网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

【CSDN报道】 2013中国软件开发者大会（以下简称SDCC）于8月30-31日在北京新云南皇冠假日酒店举办。作为CSDN和《程序员》杂志倾力打造、千人规模以上的顶级技术盛会，今年2013 SDCC以“软件定义未来”为主题，来自于国内外一线的技术精英，就大数据分析与BI、架构实践、研发管理、IT基础设施与运维、产品与设计、开放平台等专题和参会者进行了深入的分享和探讨。此外，32小时编程马拉松、CTO论道论坛等量身定制的特色环节也受到了参会者的强烈关注。

在IT基础设施与运维分论坛上微软开发者与平台事业部Windows Azure资深架构师方兴讲述了开源软件在微软Windows Azure上的应用，美团网云平台架构师邱剑亦分享了基于Open vSwitch/OpenFlow的云平台网络安全实践，又拍云运维总监邵海杨谈了“嵌入式系统在又拍云运维中的应用”，还有 QingCloud创始人黄允松现场带来的“云之基石，自由计算：SDN与公私兼顾”主题分享，四人分别从不同的角度阐述了IT基础设施的搭建以及运维中的关键因素。

邱剑：基于Open vSwitch/OpenFlow的云平台网络安全实践

据邱剑介绍，美团从2012年初开始规划做自己的云平台，基于ApenStock架构自主开发，9月份第一版上线，随着不断地升级，目前其大部分服务都在美团自己的平台上。美团在做云主机过程中遇到了几个问题：一是云主机过程中的安全问题；其次是OpenFlow、Open  vSwitch的问题。以下将从这三个方面分别细说。

1. 安全问题

在云主机网络中，大概分两部分，一是外网，二是内网。在数据中心，很多时候需要内网，提供服务则需要外网。在网络安全方面需要先分级，一个是网络的基础安全，保证主机启动以后能够获得地址，顺利获取数据库通讯。为保证安全要防止几点：防止用户随意改IP地址或者攻击，造成别人不能访问；防止DHCP欺骗、防止ARP欺骗。在基本网络安全的基础上，要保证更高层次的安全，一个是外网防火墙，防止外部访问一些敏感的端口。另外是内网网络的隔离，现在云平台内网的隔离技术采用几种不同的方式，一种是共享内网，例如亚马逊AWS；还有一种内网架构，在内网做出一些虚拟网络帮助用户，这样的用户在虚拟网络里，与别的虚拟网络完全分离开。其它还包括防止虚拟机被攻击、防止木马，但需要更高层次的技术。

2.OpenFlow

很多人把OpenFlow当做SDN的一个实现方式，上层是控制层面，下层是转化层面，但实际上这两个是封闭的，无法实现一些效果和转化规则。OpenFlow则把这个节点打开了，也把控制层和交换层分离开了，OpenFlow控制交换节点，只要交换节点符合OpenFlow协议，就能自己实现控制节点，把相应的规则放到OpenFlow交换节点上，就实现了控制层面以及数据层面的分离。

OpenFlow如何工作？OpenFlow做了两件事情：一是为了控制层面和数据层面分离，把数据层面标准化、抽象化。以前的数据层面逻辑非常简单，在OpenFlow里面就把数据层面做抽象，扩大化的同时又保证标准；OpenFlow标准化的数据层面，定义了一个交流协议，允许数据层面把相应的变化汇报给控制层面。

OpenFlow的工作场景是什么？OpenFlow的控制器会下发初始化流表到交换机，让交换机有相应的规则，进行报文转发。把这些报文通过OpenFlow操作上传到OpenFlow处理器。一些报文进入交换机以后，根据一些规则就出去了。有些可能要上送到控制器，控制器就会根据收到的报文再下发一些新的流表，比较动态申请的流表，这样可以做更精细的控制。 

3. Open  vSwitch

Open  vSwitch是目前一款支持OpenFlow协议的软件交换机，Nicira公司从07年开始开发这个交换机，性能高、稳定可靠。我们可以应用它的特性防止伪造源IP地址。虚拟机启动后，安装静态Flow，只允许从指定端口发出IP和MAC匹配的IP报文，丢弃其它IP报文，便防止了虚拟机伪造源IP。

其中的内网隔离主要是广播隔离。下发静态Flow，将虚拟机发出的广播报文送到控制器，由控制器发给相应的虚拟机。但需要在控制器去实现相应的逻辑，这样就可以相对容易的实现内网的隔离。实现方案是采用分布式OpenFlow控制器。一个控制器服务一台宿主机，消除性能瓶颈和单点。

大概架构就是宿主机、虚拟机和外界网络，通过Open  vSwitch对接，在虚拟机内部实现对OpenFlow的控制器，控制器再通过云平台的应用进行通讯。

方兴：开源软件在微软Windows Azure上的应用