软件定义安全：SDN/NFV新型网络的安全揭秘

本书第1章介绍了SDN和NFV技术的基本概念和发展方向，第2章从架构、协议、资源、应用和系统实现等几方面阐述了SDN和NFV面临的风险和解决方法，第3到5章依次介绍了软件定义安全的背景、概念和架构，第6章从原理上介绍了使用SDN和NFV技术实现一些安全防护的功能，第7章介绍了业内在SDN和NFV安全方面所提的思想和提出的产品方案，第8章介绍国内外企业在软件定义安全方面所做的实践工作。

Contents　目　录序前言第1章　SDN和NFV：下一代网络的变革11.1　什么是SDN和NFV11.1.1　SDN/NFV诞生的背景11.1.2　SDN/NFV的体系结构51.2　学术界前沿研究方向71.2.1　SDN研究方向71.2.2　NFV研究方向101.3　产业界相关进展211.3.1　SDN/NFV的市场趋势211.3.2　新兴SDN实现的进展231.3.3　传统厂商的SDN进展24第2章　SDN/NFV环境中的安全问题312.1　架构安全312.1.1　SDN架构的特点及安全综述312.1.2　集中控制平面：SDN引入的新问题322.1.3　开放API：不安全的应用接口372.1.4　数据平面：传统数据流的安全问题412.2　协议安全442.2.1　南向协议介绍442.2.2　OpenFlow协议安全512.3　资源安全542.3.1　NFV和Hypervisor兼容性552.3.2　系统可用性552.4　 应用安全552.4.1　虚拟网络的边界562.4.2　租户隔离572.4.3　访问控制632.4.4　网络虚拟化对网络安全的挑战682.4.5　SDN带来的安全隐患712.5　系统实现安全76第3章　用软件定义的理念做安全793.1　不进则退，传统安全回到“石器时代”793.1.1　企业业务和IT基础设施的变化793.1.2　传统安全面临的挑战803.1.3　SDN之前的应对方案843.2　软件定义：是否是银弹 853.2.1　SDN带来的机遇853.2.2　SDN对网络安全带来的影响87第4章　什么是软件定义安全914.1　 软件定义安全的含义914.1.1　软件定义安全的提出914.1.2　软件定义安全的不同结构944.1.3　软件定义安全的相关概念1004.2　 软件定义安全的特点1014.2.1　开放的生态环境1014.2.2　数据平面和控制平面分离1034.2.3　可编程的安全能力1034.2.4　与网络环境松耦合1044.3　相关支撑技术1044.3.1　流信息收集和控制1044.3.2　标准化应用接口 1054.3.3　分布式消息通信1064.3.4　策略管理系统1064.3.5　服务编排与服务链1134.3.6　数据平面加速116第5章　软件定义的安全架构1195.1　软件定义安全架构1195.1.1　安全应用1205.1.2　安全控制平台1205.1.3　开放安全设备1215.2　 安全系统在SDN中如何工作1225.2.1　网络流量分析1225.2.2　网络流量控制1235.3　利用SDN和NFV进行安全管理1245.3.1　SDN/NFV在云中的应用 1245.3.2　多设备的串联服务链1275.3.3　VPC的安全管理案例129第6章　SDN和NFV安全实践1336.1　基于流的安全防护1336.1.1　DDoS检测清洗1336.1.2　异常流量检测1366.2　移动办公环境的访问控制1386.3　抗APT的协同防护142第7章　SDN安全案例1457.1　DDoS缓解1457.1.1　Radware DefenseFlow/Defense4All1457.1.2　Brocade DDoS实时分析和缓解1477.2　软件定义的访问控制1487.2.1　Check Point公司的软件定义防护1487.2.2　OpenStack防火墙即服务1527.2.3　CSA SDP软件定义边界154第8章　软件定义安全案例1578.1　国外案例1578.1.1　Fortinet：传统安全公司的软件定义方案1578.1.2　Embrane Heleos：软件定义的NFV方案1608.1.3　CloudPassage：安全服务快速编排能力1628.1.4　Securosis：利用AWS和 Chef的软件定义安全实践1638.1.5　Catbird：软件定义分段1698.2　国内案例1718.2.1　绿盟科技：可软件定义的智慧安全1718.2.2　云杉LiveCloud：SDN起家的安全防护支撑1728.3　硅谷初创企业1748.3.1　Versa Networks：软件定义广域网安全1748.3.2　Skyport Systems：零信任的访问控制1758.3.3　Phantom Cyber：安全应用编排/第三方设备1758.3.4　业界关注软件定义安全的原因1788.4　结语178

Preface　前言光阴荏苒，SDN和NFV等新的网络技术提出也不过短短数年。在这数年中，笔者见证了网络和安全圈的很多变化：从勒索软件肆虐、DDoS产业化到网络保险初露端倪，从Target丑闻到数据泄露天天见，从Hacking Team武器库曝光到各种安全事件层出不穷，从APT关注回落到威胁情报满天飞，从网信办成立、“三法”推出到网络安全上升到国家战略，似乎每天都有“好戏”出台。可以说，这是一个最坏的时代，也是一个最好的时代。信息安全从业者如果不能适应这些矛盾、拥抱这种变化，迟早会被淘汰。 不仅安全业务日新月异，攻击手段也层出不穷，就连人们所依赖的基础设施也都在发生翻天覆地的变革。如果5年前人们对云计算还尚存疑虑，那么现在人们使用手机享受云端服务时，似乎早已理所当然。而支撑这些SaaS应用的计算、存储和网络很可能是虚拟形态的。Gartner公司的成熟度曲线早已指出，在不久的未来，SDN、NFV等新技术会重构现有的网络基础设施。那么如何认识这些新技术，如何在这些新型网络环境中部署安全防护机制，都是给从业者提出的现实问题。 本书内容如下。 第1章介绍了SDN和NFV技术的基本概念和发展方向。 第2章从架构、协议、资源、应用和系统实现等方面阐述了SDN和NFV面临的风险和解决方法。 第3～5章依次介绍了软件定义安全的背景、概念和架构。 第6章从原理上介绍了使用SDN和NFV技术实现一些安全防护的功能。 第7章介绍了业内在SDN和NFV安全方面提出的思想和产品方案。 第8章介绍了国内外企业在软件定义安全方面所做的实践工作。 由于笔者水平有限，书中难免会有错误或表达不当之处，希望读者、专家指出，以便笔者修正，在此衷心感谢！