软件定义广域网是将软件定义网络技术应用于广域网,以实现高效、特色连接服务的技术 。研究分析政府、企业新型云化业务部署快速发展后,针对网络传输承载的需求,结合软件定义网络和网络功能虚拟化等技术的发展,提出了一种较为精简的、内生安全的软件定义广域网网络架构,并给出了其典型的应用场景 。该网络架构主要包括软件定义安全接入路由器、虚拟化安全路由器、动态编排与智能控制设备等关键设备,并给出了实现上述关键设备的初步原理框架,具有较好的可实现性 。
0 引 言
随着云计算的快速发展和大规模部署,政府、企业大量的信息系统逐渐从传统的集中式数据中心向云计算分布式数据中心架构转型 。在这个发展过程中,用户对信息系统和各类业务应用的使用需求不变甚至更高,希望访问云应用能像访问本地应用一样迅速、安全,但是云计算架构下的网络流量模型发生了根本改变,对广域网的承载传输需求也发生了很大改变,主要体现在以下几点 。
(1)本地应用迁移到云端后,原来这些应用在本地运行,独享局域网带宽,现在变为云端运行,共享广域网带宽,对广域网的带宽、承载能力、可扩展性以及可靠性等都提出了更高的要求 。
(2)各地的应用都要通过广域网和云端进行通信,使得广域网的业务种类变得多样、流量变得复杂 。为了保证应用体验不受影响,需要面向不同用户实现差异化和精细化调度,以保障各类用户的服务质量 。
(3)云计算数据中心的规模部署,使得数据中心之间的互联互通和数据同步越来越多,需要专门的数据中心互联(Data Center Interconnect,DCI)网络来承载和保障这些流量,同时要求DCI网络具备实时感知、统一编排以及灵活调度等,以动态适应云计算应用的能力 。
传统广域网在建设时通常严格采用分层设计的思想和策略,基于各类通用路由器、交换机等设备构建 。为了实现多样性业务、大容量业务承载传输以及全国甚至全球互联等,使得系统十分复杂;为了保证网络的安全性、独占性等,使得系统比较封闭 。网络上承载的业务和网络本身状态之间没有关联 。网络和应用相对分割,而业务和网络之间的关联一般静态地通过维护保障人员人工配置 。这种配置通常只能固定和事前设置,无法根据不同应用业务需求进行不同策略的调整和传输 。因此,传统广域网难以适应云计算广泛应用的需求,需要对广域网进行重构和变革 。为了统筹解决这些需求,开展内生安全SD-WAN网络架构与关键设备方案研究 。
1 内生安全软件定义广域网的系统架构
通过分析软件定义网络、网络功能虚拟化、内生安全等技术,综合各技术优势和特点,研究给出一种内生安全软件定义广义网络架构 。
1.1 相关技术介绍
【内生安全SD-WAN网络架构与关键设备方案研究】
软件定义网络(Software Defined Network,SDN)技术是近年来新兴的基于软件的网络架构技术 。它将网络的控制平面和数据转发平面分离,采用集中式控制替代传统网络的分布式控制,并采用开放和可编程接口实现“软件可定义”的网络架构 。SDN是“软件即服务”的趋势从IT产业向网络领域延伸的重要实践,核心思想是通过“软化”网络设备的主要功能组件,实现网络的敏捷、开放、智能和可重构等新能力 。
网络功能虚拟化(Network Function Virtual,NFV)是将虚拟化技术在通用IT设备上实现各种复杂的网络通信设备功能,核心思想是网络功能的虚拟化和软件化 。NFV的本质是实现硬件资源与软件功能的解耦,目标是通过基于服务器来实现网络路由交换设备功能,从而取代传统网络中的私有专用网元,一方面可以显著降低网络建设成本,另一方面通过开放的应用编程接口提升网络的管理维护效率,增强网络的灵活服务提供能力等 。NFV将通用网络设备的软硬件结合模式转变为抽象的网络功能网元,并通过统一的上层资源调度与管理系统实现网络功能的可重组、灵活配置等 。通过采用NFV技术实现网络传输的动态切片、功能重组等能力,可以快速满足未来不同业务线需求下的网络灵活运营等新需要 。
内生安全技术近几年已成为新型信息基础设施安全防护理念的重要发展方向 。传统安全防护理论主要侧重于在现有网络中叠加认证、传输加密、边界防护、访问控制等安全手段来实现保护 。但随着包括云计算、5G、大数据、人工智能等新型信息基础设施建设的快速发展,相关新技术如虚拟化技术、网络切片技术、网络能力开放、异构网络接入、边缘计算新技术的引入给安全防护带来了全新的挑战,存在安全保障不足、网络传统安全边界缺失等问题 。内生安全技术重点对传统设备结构进行调整,以重新建立安全防御边界为基础,将各类安全防护手段与通信网络进行一体化设计、内生式实现,依靠系统自身体系架构和工作机制实现新型的安全防护 。内生安全技术将新型信息基础设施的安全要求和功能要求统一设计实现,重塑安全边界,实现对各类已知或未知威胁的有效防御 。
推荐阅读
- 车联网时代,我们更安全了?还是更危险了?
- 使用 Linux 安全工具进行渗透测试
- 保护文档安全的各种姿势,WPS 都替你准备好了
- 网络安全工程师演示:黑客如何配置渗透测试网络和生成安卓木马?
- 微软 Win10 KB5011831 发布:修复黑屏问题,改进安全启动组件
- 常见 Web 安全攻防总结
- Linux系统安全攻防技术
- 复杂的安全环境里,华为应用市场如何给用户吃下“定心丸”?
- Web安全之URL跳转漏洞
- jenkins+Acunetix实现自动化安全测试