本书结合了学术界的前沿研究工作和新型网络中工业界当前安全机制；同时阐述软件定义安全的构想，并给出具体实践案例。可以作为教科书指导科研，也适用于企业架构师和工程师构建自身高效的安全体系。

作者简介
刘文懋，绿盟科技创新中心总监，清华大学博士后。长期从事云计算和SDN领域的安全研究，关注以OpenStack和OpenDaylight为代表的新技术与网络安全结合出现的新挑战和新机遇，参与编写云安全等级保护标准、CSA 《Security Position Paper NFV》等标准指南。兴趣点还包括基于威胁情报的数据分析和物联网安全。
裘晓峰，北京邮电大学信息通信学院副教授，美国哥伦比亚大学访问学者，研究领域为网络技术及安全问题，二十年来历经了ATM、MPLS、P2P等网络技术的演进，对未来网络及安全架构的发展多少有些理解和认识，望通过本书与读者讨论。
王翔，博士，京东云研发工程师，在高速网络处理、云数据中心网络以及SDN与NFV方向上具有丰富的开发经验。目前负责京东公有云网络控制器的设计与研发。

软件定义的理念已得到业界的广泛关注，并从网络延伸到计算、存储、安全等领域。本书系统地介绍了基于软件定义思想重构安全体系的相关实践，为应对日益严峻的互联网安全挑战提供了很好的思路，值得广大网络和安全从业者借鉴。
—— 刘韵洁 中国工程院院士，北京邮电大学信息与通信工程学院院长

随着互联网的快速发展，网络安全形势日益严峻。新型组网构架和技术SDN与NFV结合，为解决网络安全问题提供新的解决思路，同时SDN/NFV自身的安全性也值得研究。目前,国内鲜有专著能够将SDN和NFV结合起来系统地阐释上述问题，本书的出版为相关领域的研究人员和技术人员提供很好的指导。
—— 毕军　清华大学网络科学与网络空间研究院网络体系结构研究室主任

软件定义的概念及安全是目前比较火的话题，其中软件定义网络目前业界已经炒作甚欢，相关书籍也很多，但是软件定义安全概念还相对新，急需一本专业书籍进行科普。相信凭借文懋深厚的安全功底以及近几年来他对软件定义网络和安全相结合的研究，一定能给读者带来耳目一新的视野。
—— 张卫峰 盛科网络（苏州）有限公司SDN白牌交换机首席技术官

作者对SDN/NFV网络和安全研究多年，研究成果在书中得到很好的呈现。书中系统地阐述了SDN/NFV原理、架构、组网，特别是SDN/NFV架构下的安全威胁分析，所提解决方案建议有很强的针对性和实用性。本书的出版对SDN/NFV知识的普及、SDN/NFV网络安全的研究和产业的发展有极大的促进作用。
—— 叶思海　云安全联盟（CSA）大中华区研究院院长

SDN/NFV是虚拟化技术的第二次革命，其不仅带来了新的安全问题，也带来了软件定义安全的新方法。本书对这个前沿领域的发展从理论和实践进行了完整的阐述，是从事云计算、数据中心建设、信息安全工作者的必读之书。
—— Tim Liu 山石网科首席技术官

SDN和NFV代表了未来网络软件化、虚拟化的发展方向，也在逐步带动新一轮的网络服务创新。但是，任何新生事物的诞生都不是一帆风顺的，新的网络架构必然会带来新的安全问题，也会导致以前很多的安全防护手段失效。因此，如何构建安全的下一代网络是每一个网络从业者必须要考虑的问题，也是决定新技术发展的关键因素。很欣喜看到本书的面世，相信你可以从中找到相关问题的答案。
—— 雷葆华 武汉绿色网络副总经理

光阴荏苒，SDN和NFV等新的网络技术提出也不过短短数年。在这数年中，笔者见证了网络和安全圈的很多变化：从勒索软件肆虐、DDoS产业化到网络保险初露端倪，从Target丑闻到数据泄露天天见，从Hacking Team武器库曝光到各种安全事件层出不穷，从APT关注回落到威胁情报满天飞，从网信办成立、“三法”推出到网络安全上升到国家战略，似乎每天都有“好戏”出台。可以说，这是一个最坏的时代，也是一个最好的时代。信息安全从业者如果不能适应这些矛盾、拥抱这种变化，迟早会被淘汰。
不仅安全业务日新月异，攻击手段也层出不穷，就连人们所依赖的基础设施也都在发生翻天覆地的变革。如果5年前人们对云计算还尚存疑虑，那么现在人们使用手机享受云端服务时，似乎早已理所当然。而支撑这些SaaS应用的计算、存储和网络很可能是虚拟形态的。Gartner公司的成熟度曲线早已指出，在不久的未来，SDN、NFV等新技术会重构现有的网络基础设施。那么如何认识这些新技术，如何在这些新型网络环境中部署安全防护机制，都是给从业者提出的现实问题。
本书内容如下。
第1章介绍了SDN和NFV技术的基本概念和发展方向。
第2章从架构、协议、资源、应用和系统实现等方面阐述了SDN和NFV面临的风险和解决方法。
第3～5章依次介绍了软件定义安全的背景、概念和架构。
第6章从原理上介绍了使用SDN和NFV技术实现一些安全防护的功能。
第7章介绍了业内在SDN和NFV安全方面提出的思想和产品方案。
第8章介绍了国内外企业在软件定义安全方面所做的实践工作。
由于笔者水平有限，书中难免会有错误或表达不当之处，希望读者、专家指出，以便笔者修正，在此衷心感谢！

计算机\安全

软件定义的理念已得到业界的广泛关注，并从网络延伸到计算、存储、安全等领域。本书系统地介绍了基于软件定义思想重构安全体系的相关实践，为应对日益严峻的互联网安全挑战提供了很好的思路，值得广大网络和安全从业者借鉴。
——刘韵洁 中国工程院院士，北京邮电大学信息与通信工程学院院长

随着互联网的快速发展，网络安全形势日益严峻。新型组网构架和技术SDN与NFV结合，为解决网络安全问题提供新的解决思路，同时SDN/NFV自身的安全性也值得研究。目前,国内鲜有专著能够将SDN和NFV结合起来系统地阐释上述问题，本书的出版为相关领域的研究人员和技术人员提供很好的指导。
——毕军　清华大学网络科学与网络空间研究院网络体系结构研究室主任

软件定义的概念及安全是目前比较火的话题，其中软件定义网络目前业界已经炒作甚欢，相关书籍也很多，但是软件定义安全概念还相对新，急需一本专业书籍进行科普。相信凭借文懋深厚的安全功底以及近几年来他对软件定义网络和安全相结合的研究，一定能给读者带来一个耳目一新的视野。
——张卫峰 盛科网络（苏州）有限公司SDN白牌交换机首席技术官

作者对SDN/NFV网络和安全研究多年，研究成果在书中得到很好的呈现。书中系统地阐述了SDN/NFV原理、架构、组网，特别是SDN/NFV架构下的安全威胁分析，所提解决方案建议有很强的针对性和实用性。本书的出版对SDN/NFV知识的普及、SDN/NFV网络安全的研究和产业的发展有极大的促进作用。
——叶思海　CSA大中华区研究院院长

SDN/NFV是虚拟化技术的第二次革命，其不仅带来了新的安全问题，也带来了软件定义安全的新方法。本书对这个前沿领域的发展从理论和实践进行了完整的阐述，是从事云计算、数据中心建设、信息安全工作者的必读之书。
——Tim Liu 山石网科首席技术官

SDN和NFV代表了未来网络软件化、虚拟化的发展方向，也在逐步带动新一轮的网络服务创新。但是，任何新生事物的诞生都不是一帆风顺的，新的网络架构必然会带来新的安全问题，也会导致以前很多的安全防护手段失效。因此，如何构建安全的下一代网络是每一个网络从业者必须要考虑的问题，也是决定新技术发展的关键因素。很欣喜看到这本书的面世，相信你可以从中找到相关问题的答案。
——雷葆华 武汉绿色网络副总经理

刘文懋 裘晓峰 王翔 编著：暂无简介

序
前言
第1章　SDN和NFV：下一代网络的变革 1
1.1　什么是SDN和NFV 1
1.1.1　SDN/NFV诞生的背景 1
1.1.2　SDN/NFV的体系结构 5
1.2　学术界前沿研究方向 7
1.2.1　SDN研究方向 7
1.2.2　NFV研究方向 10
1.3　产业界相关进展 21
1.3.1　SDN/NFV的市场趋势 21
1.3.2　新兴SDN实现的进展 23
1.3.3　传统厂商的SDN进展 24
第2章　SDN/NFV环境中的安全问题 31
2.1　架构安全 31
2.1.1　SDN架构的特点及安全综述 31
2.1.2　集中控制平面：SDN引入的新问题 32
2.1.3　开放API：不安全的应用接口 37
2.1.4　数据平面：传统数据流的安全问题 41
2.2　协议安全 44
2.2.1　南向协议介绍 44
2.2.2　OpenFlow协议安全 51
2.3　资源安全 54
2.3.1　NFV和Hypervisor兼容性 55
2.3.2　系统可用性 55
2.4　 应用安全 55
2.4.1　虚拟网络的边界 56
2.4.2　租户隔离 57
2.4.3　访问控制 63
2.4.4　网络虚拟化对网络安全的挑战 68
2.4.5　SDN带来的安全隐患 71
2.5　系统实现安全 76
第3章　用软件定义的理念做安全 79
3.1　不进则退，传统安全回到“石器时代” 79
3.1.1　企业业务和IT基础设施的变化 79
3.1.2　传统安全面临的挑战 80
3.1.3　SDN之前的应对方案 84
3.2　软件定义：是否是银弹 85
3.2.1　SDN带来的机遇 85
3.2.2　SDN对网络安全带来的影响 87
第4章　什么是软件定义安全 91
4.1　 软件定义安全的含义 91
4.1.1　软件定义安全的提出 91
4.1.2　软件定义安全的不同结构 94
4.1.3　软件定义安全的相关概念 100
4.2　 软件定义安全的特点 101
4.2.1　开放的生态环境 101
4.2.2　数据平面和控制平面分离 103
4.2.3　可编程的安全能力 103
4.2.4　与网络环境松耦合 104
4.3　相关支撑技术 104
4.3.1　流信息收集和控制 104
4.3.2　标准化应用接口 105
4.3.3　分布式消息通信 106
4.3.4　策略管理系统 106
4.3.5　服务编排与服务链 113
4.3.6　数据平面加速 116
第5章　软件定义的安全架构 119
5.1　软件定义安全架构 119
5.1.1　安全应用 120
5.1.2　安全控制平台 120
5.1.3　开放安全设备 121
5.2　 安全系统在SDN中如何工作 122
5.2.1　网络流量分析 122
5.2.2　网络流量控制 123
5.3　利用SDN和NFV进行安全管理 124
5.3.1　SDN/NFV在云中的应用 124
5.3.2　多设备的串联服务链 127
5.3.3　VPC的安全管理案例 129
第6章　SDN和NFV安全实践 133
6.1　基于流的安全防护 133
6.1.1　DDoS检测清洗 133
6.1.2　异常流量检测 136
6.2　移动办公环境的访问控制 138
6.3　抗APT的协同防护 142
第7章　SDN安全案例 145
7.1　DDoS缓解 145
7.1.1　Radware DefenseFlow/Defense4All 145
7.1.2　Brocade DDoS实时分析和缓解 147
7.2　软件定义的访问控制 148
7.2.1　Check Point公司的软件定义防护 148
7.2.2　OpenStack防火墙即服务 152
7.2.3　CSA SDP软件定义边界 154
第8章　软件定义安全案例 157
8.1　国外案例 157
8.1.1　Fortinet：传统安全公司的软件定义方案 157
8.1.2　Embrane Heleos：软件定义的NFV方案 160
8.1.3　CloudPassage：安全服务快速编排能力 162
8.1.4　Securosis：利用AWS和 Chef的软件定义安全实践 163
8.1.5　Catbird：软件定义分段 169
8.2　国内案例 171
8.2.1　绿盟科技：可软件定义的智慧安全 171
8.2.2　云杉LiveCloud：SDN起家的安全防护支撑 172
8.3　硅谷初创企业 174
8.3.1　Versa Networks：软件定义广域网安全 174
8.3.2　Skyport Systems：零信任的访问控制 175
8.3.3　Phantom Cyber：安全应用编排/第三方设备 175
8.3.4　业界关注软件定义安全的原因 178
8.4　结语 178