12月12日，全球首個探討產(chǎn)業(yè)互聯(lián)網(wǎng)的大型會議，2014 CVW﹒產(chǎn)業(yè)互聯(lián)網(wǎng)大會在北京亦莊召開，并通過紐約時代廣場大屏幕同步呈現(xiàn)。大會由亞信集團(tuán)、云基地和亦莊經(jīng)濟(jì)技術(shù)開發(fā)區(qū)聯(lián)合舉辦，匯聚超過5000名關(guān)注互聯(lián)網(wǎng)和傳統(tǒng)產(chǎn)業(yè)發(fā)展的全球IT和傳統(tǒng)行業(yè)領(lǐng)袖和精英，探討“互聯(lián)網(wǎng)進(jìn)入傳統(tǒng)行業(yè)”、“傳統(tǒng)行業(yè)互聯(lián)網(wǎng)化”的演進(jìn)以及產(chǎn)業(yè)互聯(lián)網(wǎng)的技術(shù)模式和業(yè)務(wù)創(chuàng)新。

在下午的“網(wǎng)絡(luò)安全@互聯(lián)網(wǎng)”主題論壇中，山石網(wǎng)科CTO劉向明帶來《云數(shù)據(jù)中心網(wǎng)絡(luò)安全》的主題演講。

以下是他的演講全文：

劉向明：我在這里聽了那么多演講，感覺到收獲很大。因為產(chǎn)業(yè)互聯(lián)網(wǎng)實際涵蓋了現(xiàn)在所有熱門的技術(shù)，在數(shù)據(jù)收集這邊有智能 家居有工業(yè)系統(tǒng)，當(dāng)數(shù)據(jù)收集上了以后進(jìn)行數(shù)據(jù)分析我們有大數(shù)據(jù)的技術(shù)，會利用到數(shù)據(jù)中心，虛擬化這些技術(shù)。這些數(shù)據(jù)背后的使 用通過移動互聯(lián)網(wǎng)，大家拿一個PAD控制這些系統(tǒng)，最后涉及到移動互聯(lián)。我們現(xiàn)在可能這次的討論，方方面面的都有涵蓋的原因。 我們公司是專門做網(wǎng)絡(luò)安全，所以我在這里分享一下我們在網(wǎng)絡(luò)安全，在虛擬化安全方面的一些思考和實踐。在數(shù)據(jù)中心里面做安全 ，實際上安全的問題可能大家非常了解，因為虛擬化使得這種安全的邊界模糊，我們在公有云里面有租戶之間的隔離，租戶內(nèi)部的安 全控制怎么做？現(xiàn)有的一些安全方案，利用硬件去做，把租戶之間的流量或者系統(tǒng)之間的流量去引流，然后做安全控制，它會引起一 些效率的問題，流量它引出來然后回溯回去，帶來延時的影響，另外數(shù)據(jù)中心遷移也是特別大的問題。

最后強(qiáng)調(diào)一下是管理的問題，這是我們現(xiàn)在發(fā)現(xiàn)的重大問題。我們現(xiàn)在有管理系統(tǒng)，可以管網(wǎng)絡(luò)資源，但是現(xiàn)在有一個安全系統(tǒng) 進(jìn)來了，或者現(xiàn)在一個負(fù)載均衡系統(tǒng)進(jìn)來，他有他自己的管理方法，怎么把管理融合？往往是一個需要耗費相當(dāng)工作的事情?，F(xiàn)在比 較好的做法，就是把你的系統(tǒng)能夠提供出去，讓集成更加簡單一點?？纯醇夹g(shù)的發(fā)展，這里面我想講兩點，第一點就是SDN，現(xiàn)在大 家做一個數(shù)據(jù)中心SDN肯定是一個考慮。SDN給數(shù)據(jù)中心安全帶來一個契機(jī)，原來模糊的邊界因為SDN變成一個有結(jié)構(gòu)的網(wǎng)絡(luò)，使得安 全能夠重新找到一個著力點。這個SDN另外一點就是它能夠使得網(wǎng)絡(luò)資源和存儲資源和計算資源一樣，可以被用戶去分割去使用。另 外一個技術(shù)就是NFV，就是網(wǎng)絡(luò)功能的虛擬化。這個原來在運營商方面講的比較多一點，它實際是說原來在網(wǎng)絡(luò)的功能和安全功能， 比如路由交換，以前是用硬件實現(xiàn)。在這種情況下是不是需要用軟件實現(xiàn)？對于大型運營商來說，他認(rèn)為這是必須的，計算資源對他 來說是取之不盡，他的數(shù)據(jù)中心里面有很多。

目前的情況在中小型的數(shù)據(jù)中心里面，可以利用硬件。因為硬件的技術(shù)比較成熟，產(chǎn)品比較成熟，所以可以滿足一些需求。但是 NFA的趨勢也是不可逆的，因為NFA的產(chǎn)品，到了某個時刻肯定會成熟，成熟以后會被接受，會被中小型的云所接受。目前在NFA的框 架下，如果實現(xiàn)安全大概可以分為兩種。一種就是把安全設(shè)備打包成一個VM，現(xiàn)在很多廠商都有這樣的產(chǎn)品。另外就是在內(nèi)部做安全 ，這種可能針對于，相對來說比較有資源的廠商，比如VMware，他在里面做安全。這兩種方案都有它的好處，基于VM的防火墻比較簡 單，因為原代碼跟硬件都是一樣的，可以同時服務(wù)南北向、東西向流量每個租戶不是互相影響。但是有明顯的缺陷，首先是單個VM， 受限于你數(shù)據(jù)中心里面跑的最快的服務(wù)器，他沒有辦法保證對于突發(fā)的響應(yīng)。比如讓他做防火墻，他流量非常小的時候是這樣，流量 非常大的時候你沒有辦法增加資源去做。

對于內(nèi)部的做法也有局限性，因為它相當(dāng)于一個操作系統(tǒng)內(nèi)核，如果它崩潰了，整個機(jī)器上所有的VM都崩潰了。所以一般在上面 提供安全，相對來說比較安全，做一些簡單的設(shè)備控制這樣的功能。現(xiàn)在NFA的發(fā)展方向，有一個很重要的方向就是從單虛擬機(jī)向多 虛擬機(jī)發(fā)展，分布式的發(fā)展。這個比較好理解，原來一個路由實現(xiàn)的，現(xiàn)在是多個功能實現(xiàn)。有一個好處，首先性能可以彈性擴(kuò)展， 你的資源不用可以分給其他的租戶去用，有各種各樣的好處。通過將多個VM集成以后提供給很多租戶，達(dá)到資源更好利用。這里面講 到一個例子，虛擬路由器。這個應(yīng)該講一開始虛擬路由器是一個VM形式提供的，包括我們的Openstack里面有一個路由器，這個版本 出來以后它的虛擬路由器，現(xiàn)在成為一個分布式的。這個在其他的系統(tǒng)廠商，包括VMware，實際上在最近一兩年之內(nèi)實現(xiàn)了分布式的 路由器的功能。

它的分布式帶來一個好處，它解決了NFV想要達(dá)到這個目的，而且能夠在云的彈性環(huán)境下，可以實現(xiàn)這個功能。這里給了一個例 子，它和分布式有什么區(qū)別。上面可以想象就是Openstack，他們之間需要通訊。三層通訊從到最左邊，這個版本里面每個都有一個 小的分布式，左邊網(wǎng)絡(luò)設(shè)備的節(jié)點在，這種情況下帶寬都不會受影響。所以我們做網(wǎng)絡(luò)安全的方面，也是類似一個思路，我們把我們 的網(wǎng)絡(luò)安全做成一個分布式的系統(tǒng)，這里做一個對比，我們也經(jīng)常看到有一種架構(gòu)，這種產(chǎn)品一般有三種卡。第一種卡就是控制卡， 包括配置包括外部管理一般有兩塊，可以做備份。另外一種卡就是線卡，負(fù)責(zé)包的進(jìn)和出，另外一種卡就是安全服務(wù)卡。如果某些流 量需要做，那么這個流量就會送到這個卡上面做。在這種架構(gòu)上，一般的硬件可以達(dá)到這種性能，安全處理的性能可以根據(jù)插卡不同 達(dá)到不同效果，我可以通過卡的形式增加安全處理的能力。

我們公司也有這樣的系統(tǒng)，我們考慮云安全的時候，我們想為什么不把這套系統(tǒng)整體放在云上面，不是把某一個，把整個機(jī)器變 成一個VM，而且把機(jī)器每一塊板卡當(dāng)成VM去做，這就是我們現(xiàn)在跟合作伙伴推的彈性的基礎(chǔ)架構(gòu)。還有一個好處，我們的虛擬的線卡 ，可以隨著服務(wù)器的增加而增加。當(dāng)你需要更多安全功能，可以通過增加安全服務(wù)的VM增加安全處理能力。我講講這個系統(tǒng)的特點， 第一點是NFV，不需要任何的安全系統(tǒng)是通過一套VM的形式提供給用戶。它天然適應(yīng)云化數(shù)據(jù)中心的架構(gòu)，用戶可以根據(jù)你的需要調(diào) 整安全卡和線卡的比例。也支持多租戶的場景，它的管理系統(tǒng)和機(jī)框管理系統(tǒng)一樣，管理起來是一個設(shè)備，數(shù)據(jù)中心有很多和VM，像 一個大的管理設(shè)備，中間很多插卡。虛擬機(jī)的遷移，這個設(shè)備里面自然會支持。剛才提到有非常好的彈性，可以根據(jù)自己的需求增加 你對網(wǎng)絡(luò)處理或者安全處理的性能。

另外一個，傳統(tǒng)來說這種方案都有一個問題，就是引流的問題，我們這個系統(tǒng)里面因為我們有一些線卡會接近保護(hù)的VM，所以這 個VM需要安全處理，會就近送到安全處理的地方，使得你的上網(wǎng)能夠保證。我們現(xiàn)在跟一些合作伙伴，包括一些云的管理系統(tǒng)的合作 伙伴去做集成，如果大家有興趣可以在會后找我。