《计算机网络安全原理》第15章 网络安全新技术.pptxVIP

声 明本PPT是电子工业出版社出版的教材《计算机网络安全原理》配套教学PPT（部分内容的深度和广度在教材的基础上有所扩展），作者：吴礼发本PPT可能直接或间接采用了网上资源、公开学术报告中的部分PPT页面、图片、文字，引用时我们力求在该PPT的备注栏或标题栏中注明出处，如果有疏漏之处，敬请谅解。同时对被引用资源或报告的作者表示诚挚的谢意！本PPT可免费使用、修改，使用时请保留此页。第 十五 章 网络安全新技术内容提纲SDN安全1零信任安全2移动目标防御3网络空间拟态防御4问题分析现有网络存在的问题：互联网流量急剧上升，对电信运营商提出了巨大挑战。为满足不断增长变化的用户需求，虚拟化与大数据等新型应用技术在网络服务器上进行越来越多的网络配置和数据传输等操作，传统网络的层次结构和封闭的网络设备已经不能够满足其日益增长的高可靠性、灵活性和扩展性方面的需求软件定义网络SDN的提出斯坦福大学的Clean Slate研究组于2006年提出了“软件定义网络（Software-Defined Network, SDN）”这一新型网络创新架构核心思想：将传统网络中的网络管理控制从网络数据转发层中分离出来，即将控制平面和数据平面分离，用集中统一的软件管理底层硬件，让网络交换设备成为单一的数据转发设备，控制则由逻辑上的集中控制器完成，实现网络管理控制的逻辑中心化和可编程化。SDN体系结构SDN架构包含应用层、控制层和数据层三个层次应用层业务应用北向接口（应用程序编程接口）控制层SDN控制软件 / 网络服务南向接口（控制数据平面接口）数据层网络设备网络设备网络设备ONF SDN架构NFV体系结构虚拟网络功能（VNF）NFV管理与编排虚拟网络功能1虚拟网络功能2…虚拟网络功能n编排工具NFV基础设施（NFVI）虚拟网络功能管理虚拟计算虚拟网络虚拟存储虚拟化层虚拟基础设施管理计算硬件网络硬件存储硬件OpenFlowOpenFlow作为ONF推出的SDN南向接口上控制器与数据层中的交换机之间的通信协议，已成为事实上的标准OpenFlowOpenFlow交换机进行数据转发的依据是流表（Flow Table）每个流表项都由3部分组成：用于数据包匹配的包头域（Header Fields），用于统计匹配数据包个数的计数器（Counters），用于展示匹配的数据包如何处理的操作（Actions）操作：必备：转发（forward）、丢弃（drop），可选：排队（enqueue）、修改域（modify field）OpenFlow控制器与交换机之间建立TLS连接的基本工作过程，OpenFlow 1.3 将TLS 设置为可选择项，增加了SDN 的安全风险SDN安全-应用层安全应用层安全威胁来自于两个方面：恶意应用造成的威胁，普通应用相互干扰或是运行出错等原因造成的威胁包括：各类SDN 应用程序的恶意代码威胁；SDN 应用程序自身漏洞（BUG）及配置缺陷威胁；SDN 应用程序受到外部恶意攻击威胁；SDN 应用程序角色认证及访问权限威胁等SDN安全-应用层安全SDN恶意应用程序攻击场景示例SDN安全-应用层安全SDN应用程序配置冲突示例SDN安全-北向接口安全北向接口安全问题与应用层安全问题具有一定相似性，主要集中在非法访问权限、身份授权认证、数据泄露、数据篡改及程序漏洞等SDN安全-控制层安全控制器是核心，安全非常重要控制器面临的安全威胁主要包括拒绝服务攻击和非法接入等SDN安全-南向接口安全OpenFlow 协议中可能涉及的安全问题包括：控制器与交换机之间缺少数据加密措施控制器与交换机通信缺乏认证机制主要原因：考虑到性能，没有启用TLSSDN安全-数据层安全数据层安全威胁，主要存在于数据层交换设备上。与传统设备类似，数据层交换设备的安全问题并非SDN 特有，主要的安全威胁有拒绝服务攻击、非法设备接入和病毒感染传播SDN安全研究表中A、N、C、S、D 分别表示应用层、北向接口、控制层、南向接口和数据层SDN安全研究内容提纲SDN安全1零信任安全2移动目标防御3网络空间拟态防御4边界防护边界防护边界防护边界防护问题：边界防护建立在“网络内部的系统和网络流量是可信的”这一假设上，缺乏网络内部的流量检查。新的网络应用和计算模式，如云计算、移动设备、物联网，已无法满足“网络有明确的边界”这一条件，使得传统的、基于网络边界的安全防护模式逐渐失去了防护能力。分区部署使得主机部署缺乏物理及逻辑上的灵活性。边界防护设备一旦被突破，整个网络处于危险之中。边界防护突破边界不可避免在Kill Chain攻击框架发布近10年后，ATTCK框架进一步丰富了攻击分析和场景，包含了黑客渗透过程中利用具体的各种技术。在这些攻击技术和手段面前，传统的安全设备堆叠已经失守，如各种Webshell的混淆