一种运营商网络安全功能虚拟化系统.pdf

BusinessOperation业务与运营

一种运营商网络安全功能虚拟化系统

部署方法

11,2,321,21,2

钟植任 关洪涛 刘冉  姜海洋 谢高岗

1中国科学院计算技术研究所北京100190

2江苏省未来网络创新研究院南京211111

3南京邮电大学南京210003

、、。

摘要在边缘网络部署专用设备实现网络安全防护的方法存在建设成本高维护困难功能受限等问题网络功

，，，

能虚拟化技术通过在骨干网络部署通用平台可以实现传统专用安全设备的功能有效降低建设与维护成本提升

。，

安全防护能力文章提出一种针对运营商的网络安全功能虚拟化系统部署方法能够在不改变网络拓扑与主干网路

，。

由的条件下实现快速部署为用户提供稳定可靠的定制化网络安全服务该方法已在江苏某运营商网络试用并取得

良好效果。

；；；；

关键词网络安全网络功能虚拟化软件定义网络网络地址转换VXLAN

限等问题[2]。购买大量专用安全设理、节约成本的目的。运营商在提

引言

备，费用昂贵，且部分功能重叠。供网络接入服务的同时也能够开展

互联网由于其开放、共享的特不同设备厂家提供的安全设备管理更多增值业务，避免管道化问题。

点，已成为当今社会应用范围最广方式各异，缺乏标准化接口。实体典型的NFV部署案例是Domain2.0[4]

的信息通信技术深远影响着人类设备部署位置僵化，功能升级复和CORD[5]。

，

的生产生活然而与之伴随的是源杂，设备数据难以共享，严重制约Domain2.0是电信运营商

。

源不断的安全问题。为此，互联网了安全防护的效果。ATT在2013年提出的一个计划，

用户在边缘网络部署了大量的安全网络功能虚拟化[3](Network目标是将未来的运营商网络建设成

设备，典型的有防火墙、入侵检测FunctionVirtualization，NFV)开放、标准、统一的运营平台，借

系统、上网行为管理系统等。相关技术的提出带来了一种新的网鉴现有数据中心的技术，将网络业

数据表明，当前互联网上部署的网络安全解决方案。NFV最早由务实现成类似于数据中心云服务

络中间件设备数量已接近路由交换欧洲电信标准组织(European一样的网络服务。CORD(Central

设备数量[1]。TelecommunicationsStandardsOfficeRe-architectedasa

这种通过部署大量专用设备Institute，ETSI)提出，旨在将传统Datacenter)是Domain2.0计划中具

的方法能够在一定程度上解决当前网络功能以软件的形式运行在高性有代表性的案例。CORD使用白牌

互联网面对的安全问题，但也存在能通用服务器上，