《软件定义安全 SDN/NFV新型网络的安全揭秘》

随着虚拟化技术的日臻完善，云计算已经在各行各业得到了众多的应用，政务云、金融云、电信云等如雨后春笋般不断地涌现。那么如何保证云上业务的安全，成为了当前亟需解决的重要问题。

本书从安全防护的角度出发，简要介绍了一些云上业务安全防护的思路。但是终究还是不能完全覆盖。为此，我们的研究团队历时一年，出版了国内第一本关于软件定义安全的书籍《软件定义安全 SDN/NFV新型网络的安全揭秘》，全书深入剖析了基于SDN和NFV这种新型网络所面临的安全问题，以及如何有效的应用SDN/NFV技术来进行解决。同时根据我们的学术积累以及客户反馈，深入的分析了学术界和工业界当前在软件定义安全上所进行的探索与实践。希望能够通过我们的工作，让您更加清晰的知道如何使自己云上的业务变得更加安全。

本书第1章介绍了SDN和NFV技术的基本概念和发展方向，第2章从架构、协议、资源、应用和系统实现等几方面阐述了SDN和NFV面临的风险和解决方法，第3到5章依次介绍了软件定义安全的背景、概念和架构，第6章从原理上介绍了使用SDN和NFV技术实现一些安全防护的功能，第7章介绍了业内在SDN和NFV安全方面所提的思想和提出的产品方案，第8章介绍国内外企业在软件定义安全方面所做的实践工作。

目录
序
前言
第1章　SDN和NFV：下一代网络的变革1
1.1　什么是SDN和NFV1
1.1.1　SDN/NFV诞生的背景1
1.1.2　SDN/NFV的体系结构5
1.2　学术界前沿研究方向7
1.2.1　SDN研究方向7
1.2.2　NFV研究方向10
1.3　产业界相关进展21
1.3.1　SDN/NFV的市场趋势21
1.3.2　新兴SDN实现的进展23
1.3.3　传统厂商的SDN进展24
第2章　SDN/NFV环境中的安全问题31
2.1　架构安全31
2.1.1　SDN架构的特点及安全综述31
2.1.2　集中控制平面：SDN引入的新问题32
2.1.3　开放API：不安全的应用接口37
2.1.4　数据平面：传统数据流的安全问题41
2.2　协议安全44
2.2.1　南向协议介绍44
2.2.2　OpenFlow协议安全51
2.3　资源安全54
2.3.1　NFV和Hypervisor兼容性55
2.3.2　系统可用性55
2.4　 应用安全55
2.4.1　虚拟网络的边界56
2.4.2　租户隔离57
2.4.3　访问控制63
2.4.4　网络虚拟化对网络安全的挑战68
2.4.5　SDN带来的安全隐患71
2.5　系统实现安全76
第3章　用软件定义的理念做安全79
3.1　不进则退，传统安全回到“石器时代”79
3.1.1　企业业务和IT基础设施的变化79
3.1.2　传统安全面临的挑战80
3.1.3　SDN之前的应对方案84
3.2　软件定义：是否是银弹 85
3.2.1　SDN带来的机遇85
3.2.2　SDN对网络安全带来的影响87
第4章　什么是软件定义安全91
4.1　 软件定义安全的含义91
4.1.1　软件定义安全的提出91
4.1.2　软件定义安全的不同结构94
4.1.3　软件定义安全的相关概念100
4.2　 软件定义安全的特点101
4.2.1　开放的生态环境101
4.2.2　数据平面和控制平面分离103
4.2.3　可编程的安全能力103
4.2.4　与网络环境松耦合104
4.3　相关支撑技术104
4.3.1　流信息收集和控制104
4.3.2　标准化应用接口 105
4.3.3　分布式消息通信106
4.3.4　策略管理系统106
4.3.5　服务编排与服务链113
4.3.6　数据平面加速116
第5章　软件定义的安全架构119
5.1　软件定义安全架构119
5.1.1　安全应用120
5.1.2　安全控制平台120
5.1.3　开放安全设备121
5.2　 安全系统在SDN中如何工作122
5.2.1　网络流量分析122
5.2.2　网络流量控制123
5.3　利用SDN和NFV进行安全管理124
5.3.1　SDN/NFV在云中的应用 124
5.3.2　多设备的串联服务链127
5.3.3　VPC的安全管理案例129
第6章　SDN和NFV安全实践133
6.1　基于流的安全防护133
6.1.1　DDoS检测清洗133
6.1.2　异常流量检测136
6.2　移动办公环境的访问控制138
6.3　抗APT的协同防护142
第7章　SDN安全案例145
7.1　DDoS缓解145
7.1.1　Radware DefenseFlow/Defense4All145
7.1.2　Brocade DDoS实时分析和缓解147
7.2　软件定义的访问控制148
7.2.1　Check Point公司的软件定义防护148
7.2.2　OpenStack防火墙即服务152
7.2.3　CSA SDP软件定义边界154
第8章　软件定义安全案例157
8.1　国外案例157
8.1.1　Fortinet：传统安全公司的软件定义方案157
8.1.2　Embrane Heleos：软件定义的NFV方案160
8.1.3　CloudPassage：安全服务快速编排能力162
8.1.4　Securosis：利用AWS和 Chef的软件定义安全实践163
8.1.5　Catbird：软件定义分段169
8.2　国内案例171
8.2.1　绿盟科技：可软件定义的智慧安全171
8.2.2　云杉LiveCloud：SDN起家的安全防护支撑172
8.3　硅谷初创企业174
8.3.1　Versa Networks：软件定义广域网安全174
8.3.2　Skyport Systems：零信任的访问控制175
8.3.3　Phantom Cyber：安全应用编排/第三方设备175
8.3.4　业界关注软件定义安全的原因178
8.4　结语178