编辑推荐
汇集学术界和工业界对SDN/NFV安全近况和软件定义安全发展的洞察之作。众多云计算和网络安全专家联袂推荐
内容简介
本书第1章介绍了SDN和NFV技术的基本概念和发展方向,第2章从架构、协议、资源、应用和系统实现等几方面阐述了SDN和NFV面临的风险和解决方法,第3到5章依次介绍了软件定义安全的背景、概念和架构,第6章从原理上介绍了使用SDN和NFV技术实现一些安全防护的功能,第7章介绍了业内在SDN和NFV安全方面所提的思想和提出的产品方案,第8章介绍国内外企业在软件定义安全方面所做的实践工作。
目录
序
前言
第1章 SDN和NFV:下一代网络的变革1
1.1 什么是SDN和NFV1
1.1.1 SDN/NFV诞生的背景1
1.1.2 SDN/NFV的体系结构5
1.2 学术界前沿研究方向7
1.2.1 SDN研究方向7
1.2.2 NFV研究方向10
1.3 产业界相关进展21
1.3.1 SDN/NFV的市场趋势21
1.3.2 新兴SDN实现的进展23
1.3.3 传统厂商的SDN进展24
第2章 SDN/NFV环境中的安全问题31
2.1 架构安全31
2.1.1 SDN架构的特点及安全综述31
2.1.2 集中控制平面:SDN引入的新问题32
2.1.3 开放API:不安全的应用接口37
2.1.4 数据平面:传统数据流的安全问题41
2.2 协议安全44
2.2.1 南向协议介绍44
2.2.2 OpenFlow协议安全51
2.3 资源安全54
2.3.1 NFV和Hypervisor兼容性55
2.3.2 系统可用性55
2.4 应用安全55
2.4.1 虚拟网络的边界56
2.4.2 租户隔离57
2.4.3 访问控制63
2.4.4 网络虚拟化对网络安全的挑战68
2.4.5 SDN带来的安全隐患71
2.5 系统实现安全76
第3章 用软件定义的理念做安全79
3.1 不进则退,传统安全回到“石器时代”79
3.1.1 企业业务和IT基础设施的变化79
3.1.2 传统安全面临的挑战80
3.1.3 SDN之前的应对方案84
3.2 软件定义:是否是银弹 85
3.2.1 SDN带来的机遇85
3.2.2 SDN对网络安全带来的影响87
第4章 什么是软件定义安全91
4.1 软件定义安全的含义91
4.1.1 软件定义安全的提出91
4.1.2 软件定义安全的不同结构94
4.1.3 软件定义安全的相关概念100
4.2 软件定义安全的特点101
4.2.1 开放的生态环境101
4.2.2 数据平面和控制平面分离103
4.2.3 可编程的安全能力103
4.2.4 与网络环境松耦合104
4.3 相关支撑技术104
4.3.1 流信息收集和控制104
4.3.2 标准化应用接口 105
4.3.3 分布式消息通信106
4.3.4 策略管理系统106
4.3.5 服务编排与服务链113
4.3.6 数据平面加速116
第5章 软件定义的安全架构119
5.1 软件定义安全架构119
5.1.1 安全应用120
5.1.2 安全控制平台120
5.1.3 开放安全设备121
5.2 安全系统在SDN中如何工作122
5.2.1 网络流量分析122
5.2.2 网络流量控制123
5.3 利用SDN和NFV进行安全管理124
5.3.1 SDN/NFV在云中的应用 124
5.3.2 多设备的串联服务链127
5.3.3 VPC的安全管理案例129
第6章 SDN和NFV安全实践133
6.1 基于流的安全防护133
6.1.1 DDoS检测清洗133
6.1.2 异常流量检测136
6.2 移动办公环境的访问控制138
6.3 抗APT的协同防护142
第7章 SDN安全案例145
7.1 DDoS缓解145
7.1.1 Radware DefenseFlow/Defense4All145
7.1.2 Brocade DDoS实时分析和缓解147
7.2 软件定义的访问控制148
7.2.1 Check Point公司的软件定义防护148
7.2.2 OpenStack防火墙即服务152
7.2.3 CSA SDP软件定义边界154
第8章 软件定义安全案例157
8.1 国外案例157
8.1.1 Fortinet:传统安全公司的软件定义方案157
8.1.2 Embrane Heleos:软件定义的NFV方案160
8.1.3 CloudPassage:安全服务快速编排能力162
8.1.4 Securosis:利用AWS和 Chef的软件定义安全实践163
8.1.5 Catbird:软件定义分段169
8.2 国内案例171
8.2.1 绿盟科技:可软件定义的智慧安全171
8.2.2 云杉LiveCloud:SDN起家的安全防护支撑172
8.3 硅谷初创企业174
8.3.1 Versa Networks:软件定义广域网安全174
8.3.2 Skyport Systems:零信任的访问控制175
8.3.3 Phantom Cyber:安全应用编排/第三方设备175
8.3.4 业界关注软件定义安全的原因178
8.4 结语178
前言/序言
Preface 前言 光阴荏苒,SDN和NFV等新的网络技术提出也不过短短数年。在这数年中,笔者见证了网络和安全圈的很多变化:从勒索软件肆虐、DDoS产业化到网络保险初露端倪,从Target丑闻到数据泄露天天见,从Hacking Team武器库曝光到各种安全事件层出不穷,从APT关注回落到威胁情报满天飞,从网信办成立、“三法”推出到网络安全上升到国家战略,似乎每天都有“好戏”出台。可以说,这是一个最坏的时代,也是一个最好的时代。信息安全从业者如果不能适应这些矛盾、拥抱这种变化,迟早会被淘汰。 不仅安全业务日新月异,攻击手段也层出不穷,就连人们所依赖的基础设施也都在发生翻天覆地的变革。如果5年前人们对云计算还尚存疑虑,那么现在人们使用手机享受云端服务时,似乎早已理所当然。而支撑这些SaaS应用的计算、存储和网络很可能是虚拟形态的。Gartner公司的成熟度曲线早已指出,在不久的未来,SDN、NFV等新技术会重构现有的网络基础设施。那么如何认识这些新技术,如何在这些新型网络环境中部署安全防护机制,都是给从业者提出的现实问题。 本书内容如下。 第1章介绍了SDN和NFV技术的基本概念和发展方向。 第2章从架构、协议、资源、应用和系统实现等方面阐述了SDN和NFV面临的风险和解决方法。 第3~5章依次介绍了软件定义安全的背景、概念和架构。 第6章从原理上介绍了使用SDN和NFV技术实现一些安全防护的功能。 第7章介绍了业内在SDN和NFV安全方面提出的思想和产品方案。 第8章介绍了国内外企业在软件定义安全方面所做的实践工作。 由于笔者水平有限,书中难免会有错误或表达不当之处,希望读者、专家指出,以便笔者修正,在此衷心感谢! Preface 序软件定义网络(SDN)的发展之迅猛,超出所有人的预料。从2007年斯坦福大学的Ethane项目和普林斯顿大学的4D架构,到如今数十亿美元并持续快速增长的市场规模,SDN冲破网络界长期以来愈发烦冗、日趋垄断的藩篱,为技术创新和产业发展打开了一片新天地。SDN从象牙塔到投资潮前所未有的推进速度,也及时响应了云计算的呼唤。然而,正如互联网在成熟过程中所揭示的那样,网络连通技术的每一次阶跃都需要网络安全技术的伴随。反之,用户采纳新技术时对安全性的疑虑,会使其普及遭遇瓶颈。 SDN安全因而成为近年来学术研究和产业开发的热点。软件定义网络的安全性有什么特点?如何构建相应能力保护SDN安全?如何利用SDN的优势提升网络的安全性?这些都成为SDN安全的研发内容,包括SDN的安全(Secure SDN或Security for SDN)和软件定义的网络安全(SDN Security或Security by SDN)。我国SDN学术研究开展得较晚,2011年才在INFOCOM上有所展示,但产业开发的进展很快,2012年就召开了“中国开放网络高峰会议”。尽管近几年国内已经出版了一些关于SDN的书籍,但关于SDN安全较为全面的总结和介绍尚不多见。本书填补了这方面的空白,从学术前沿到实用案例,做了一番综合梳理的可贵尝试,也凝结了作者的研发成果。 SDN从技术到市场仍处于成熟期的“前夜”,而SDN安全的研究和开发更是处于茁壮成长的婴儿期,在很多方面尚未达成共识,标准化和商业化也还比较薄弱。然而,SDN引领未来网络发展的势头毋庸置疑,SDN安全更是面临着各种新兴网络的安全挑战。网络的虚拟化与隔离、入侵与泄露的防范、攻击的抵御与缓解,特别是安全策略的动态有效管理,从架构到算法、从理论到实践、从学术到产业,都还有很大的研发空间。虽然本书只是SDN安全技术的一个阶段性总结,但我相信它会成为业界向新的技术前沿发起冲击的“加油站”,为SDN安全的蓬勃发展起到推动作用。 李军清华大学研究员,博士生导师清华大学信息科学技术学院常务副院长兼信息技术研究院院长清华信息科学技术国家实验室副主任
软件定义安全:SDN/NFV新型网络的安全揭秘 下载 mobi epub pdf txt 电子书 格式