序
前言
第1章 SDN和NFV:下一代网络的变革1
1.1 什么是SDN和NFV1
1.1.1 SDN/NFV诞生的背景1
1.1.2 SDN/NFV的体系结构5
1.2 学术界前沿研究方向7
1.2.1 SDN研究方向7
1.2.2 NFV研究方向10
1.3 产业界相关进展21
1.3.1 SDN/NFV的市场趋势21
1.3.2 新兴SDN实现的进展23
1.3.3 传统厂商的SDN进展24
第2章 SDN/NFV环境中的安全问题31
2.1 架构安全31
2.1.1 SDN架构的特点及安全综述31
2.1.2 集中控制平面:SDN引入的新问题32
2.1.3 开放API:不安全的应用接口37
2.1.4 数据平面:传统数据流的安全问题41
2.2 协议安全44
2.2.1 南向协议介绍44
2.2.2 OpenFlow协议安全51
2.3 资源安全54
2.3.1 NFV和Hypervisor兼容性55
2.3.2 系统可用性55
2.4 应用安全55
2.4.1 虚拟网络的边界56
2.4.2 租户隔离57
2.4.3 访问控制63
2.4.4 网络虚拟化对网络安全的挑战68
2.4.5 SDN带来的安全隐患71
2.5 系统实现安全76
第3章 用软件定义的理念做安全79
3.1 不进则退,传统安全回到“石器时代”79
3.1.1 企业业务和IT基础设施的变化79
3.1.2 传统安全面临的挑战80
3.1.3 SDN之前的应对方案84
3.2 软件定义:是否是银弹 85
3.2.1 SDN带来的机遇85
3.2.2 SDN对网络安全带来的影响87
第4章 什么是软件定义安全91
4.1 软件定义安全的含义91
4.1.1 软件定义安全的提出91
4.1.2 软件定义安全的不同结构94
4.1.3 软件定义安全的相关概念100
4.2 软件定义安全的特点101
4.2.1 开放的生态环境101
4.2.2 数据平面和控制平面分离103
4.2.3 可编程的安全能力103
4.2.4 与网络环境松耦合104
4.3 相关支撑技术104
4.3.1 流信息收集和控制104
4.3.2 标准化应用接口 105
4.3.3 分布式消息通信106
4.3.4 策略管理系统106
4.3.5 服务编排与服务链113
4.3.6 数据平面加速116
第5章 软件定义的安全架构119
5.1 软件定义安全架构119
5.1.1 安全应用120
5.1.2 安全控制平台120
5.1.3 开放安全设备121
5.2 安全系统在SDN中如何工作122
5.2.1 网络流量分析122
5.2.2 网络流量控制123
5.3 利用SDN和NFV进行安全管理124
5.3.1 SDN/NFV在云中的应用 124
5.3.2 多设备的串联服务链127
5.3.3 VPC的安全管理案例129
第6章 SDN和NFV安全实践133
6.1 基于流的安全防护133
6.1.1 DDoS检测清洗133
6.1.2 异常流量检测136
6.2 移动办公环境的访问控制138
6.3 抗APT的协同防护142
第7章 SDN安全案例145
7.1 DDoS缓解145
7.1.1 Radware DefenseFlow/Defense4All145
7.1.2 Brocade DDoS实时分析和缓解147
7.2 软件定义的访问控制148
7.2.1 Check Point公司的软件定义防护148
7.2.2 OpenStack防火墙即服务152
7.2.3 CSA SDP软件定义边界154
第8章 软件定义安全案例157
8.1 国外案例157
8.1.1 Fortinet:传统安全公司的软件定义方案157
8.1.2 Embrane Heleos:软件定义的NFV方案160
8.1.3 CloudPassage:安全服务快速编排能力162
8.1.4 Securosis:利用AWS和 Chef的软件定义安全实践163
8.1.5 Catbird:软件定义分段169
8.2 国内案例171
8.2.1 绿盟科技:可软件定义的智慧安全171
8.2.2 云杉LiveCloud:SDN起家的安全防护支撑172
8.3 硅谷初创企业174
8.3.1 Versa Networks:软件定义广域网安全174
8.3.2 Skyport Systems:零信任的访问控制175
8.3.3 Phantom Cyber:安全应用编排/第三方设备175
8.3.4 业界关注软件定义安全的原因178
8.4 结语178