• <tr id="yyy80"></tr>
  • <sup id="yyy80"></sup>
  • <tfoot id="yyy80"><noscript id="yyy80"></noscript></tfoot>
  • 99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看 ?

    面向服務(wù)的數(shù)據(jù)中心安全框架

    2018-02-01 03:27:05胡騰李觀文周華春
    電信科學(xué) 2018年1期
    關(guān)鍵詞:流表安全策略管理器

    胡騰,李觀文,周華春

    ?

    面向服務(wù)的數(shù)據(jù)中心安全框架

    胡騰1,李觀文2,周華春2

    (1. 中國(guó)工程物理研究院計(jì)算機(jī)應(yīng)用研究所,四川 綿陽(yáng) 621900; 2. 北京交通大學(xué)電子信息工程學(xué)院,北京 100044)

    隨著數(shù)據(jù)中心網(wǎng)絡(luò)在云計(jì)算領(lǐng)域的大規(guī)模商用,數(shù)據(jù)網(wǎng)絡(luò)的安全問(wèn)題愈發(fā)受到重視。然而,由于傳統(tǒng)數(shù)據(jù)中心安全設(shè)備部署方式靜態(tài)僵化,難以滿足動(dòng)態(tài)多變的網(wǎng)絡(luò)安全態(tài)勢(shì),無(wú)法應(yīng)對(duì)新的安全威脅。因此,提出一種面向服務(wù)的數(shù)據(jù)中心安全框架?;谔摂M化技術(shù)和軟件定義網(wǎng)絡(luò),將虛擬化的安全功能靈活組合,并實(shí)現(xiàn)安全策略動(dòng)態(tài)更新的過(guò)程。通過(guò)原型系統(tǒng)測(cè)試驗(yàn)證了所提安全框架的可行性和有效性,為數(shù)據(jù)中心網(wǎng)絡(luò)的靈活性和安全性提升提供了一種解決方案。

    數(shù)據(jù)中心網(wǎng)絡(luò);安全功能鏈;安全策略部署

    1 引言

    隨著云計(jì)算的發(fā)展與普及,數(shù)據(jù)中心規(guī)?;鲩L(zhǎng)的需求與日俱增。但是,當(dāng)前網(wǎng)絡(luò)安全態(tài)勢(shì)十分嚴(yán)峻,數(shù)據(jù)中心網(wǎng)絡(luò)面臨的安全威脅更是不容忽視。Cisco 2017 數(shù)據(jù)中心安全研究報(bào)告[1]指出,88% 的數(shù)據(jù)中心管理者稱2016年收到的安全攻擊有所增多,而只有38% 的管理者認(rèn)為數(shù)據(jù)中心應(yīng)對(duì)安全威脅的能力較好。面對(duì)不斷增多的安全威脅,數(shù)據(jù)中心網(wǎng)絡(luò)需要更加靈活和動(dòng)態(tài)的安全保障方案。

    然而,面對(duì)復(fù)雜的網(wǎng)絡(luò)安全局勢(shì),一方面,傳統(tǒng)數(shù)據(jù)中心安全設(shè)備集成度高、安裝部署復(fù)雜、更新成本大等局限,導(dǎo)致其難以有效應(yīng)對(duì)新的安全威脅和更多樣化的安全需求[2];另一方面,云計(jì)算的應(yīng)用帶來(lái)更加個(gè)性化的用戶服務(wù),也對(duì)數(shù)據(jù)中心安全提出更高的要求,過(guò)去靜態(tài)僵化的安全服務(wù)將無(wú)法滿足未來(lái)數(shù)據(jù)中心網(wǎng)絡(luò)動(dòng)態(tài)靈活的安全需求[3,4]。因此,需要建立面向服務(wù)的數(shù)據(jù)中心按需安全框架。

    逐漸成熟的NFV(network function virtualization,網(wǎng)絡(luò)功能虛擬化)技術(shù)[5]結(jié)合SDN(software- defined networking,軟件定義網(wǎng)絡(luò))[6],可以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)流量的靈活調(diào)度與網(wǎng)絡(luò)資源的動(dòng)態(tài)組合。參考文獻(xiàn)[7]由此提出了一種移動(dòng)目標(biāo)防御框架,實(shí)現(xiàn)靈活的數(shù)據(jù)中心安全防護(hù),可以有效緩解多種安全攻擊。參考文獻(xiàn)[8]則基于SDN架構(gòu)提出一種分析網(wǎng)絡(luò)流量安全需求并部署相應(yīng)安全功能的框架。直到SFC(service function chaining,服務(wù)功能鏈)工作組[9]提出一種基于SDN/NFV的服務(wù)功能鏈架構(gòu),將現(xiàn)有的基礎(chǔ)網(wǎng)絡(luò)功能進(jìn)行有序組合,首先提出在數(shù)據(jù)中心部署安全功能鏈[10],以滿足未來(lái)數(shù)據(jù)中心網(wǎng)絡(luò)更加靈活、多樣化的安全需求。參考文獻(xiàn)[11]綜合考慮了當(dāng)前網(wǎng)絡(luò)面臨的主要安全威脅,總結(jié)了12種基本的網(wǎng)絡(luò)安全防御模式,提出針對(duì)不同類型安全威脅的安全功能鏈構(gòu)建方式,現(xiàn)已經(jīng)基本實(shí)現(xiàn)常見(jiàn)安全場(chǎng)景的覆蓋。參考文獻(xiàn)[12]進(jìn)一步將SFC的設(shè)計(jì)思想融入數(shù)據(jù)中心安全防護(hù),通過(guò)動(dòng)態(tài)調(diào)整流量的安全檢測(cè)路徑,適應(yīng)用戶動(dòng)態(tài)的安全需求。然而,為應(yīng)對(duì)新的安全威脅,除了安全功能的動(dòng)態(tài)組合,還需要安全策略的快速部署與及時(shí)更新。I2NSF(interface to network security function,網(wǎng)絡(luò)安全功能接口)工作組[13]提出一種安全策略部署框架,期望實(shí)現(xiàn)安全策略動(dòng)態(tài)按需的管理,可以為數(shù)據(jù)中心網(wǎng)絡(luò)的安全管理員提供更加便捷、靈活的安全策略管理模式,有效降低安全策略,更新成本。然而,目前尚缺乏一種統(tǒng)一的數(shù)據(jù)中心安全框架,可以同時(shí)實(shí)現(xiàn)安全功能的靈活組合與安全策略的動(dòng)態(tài)更新。

    因此,本文結(jié)合I2NSF與SFC的設(shè)計(jì)思想,提出一種面向服務(wù)的數(shù)據(jù)中心安全框架。該架構(gòu)將傳統(tǒng)的基礎(chǔ)安全功能進(jìn)行虛擬化與資源池化,同時(shí)解耦控制層面與數(shù)據(jù)轉(zhuǎn)發(fā)層面,可以針對(duì)不同安全威脅靈活組合所需的安全功能,有效降低安全功能重新部署的成本,并支持?jǐn)?shù)據(jù)中心網(wǎng)絡(luò)動(dòng)態(tài)可變的安全需求。同時(shí),采用面向服務(wù)的策略管理方法,降低數(shù)據(jù)中心網(wǎng)絡(luò)安全維護(hù)成本和網(wǎng)絡(luò)管理員的操作復(fù)雜度,從而提高策略配置的效率和正確性。

    2 面向服務(wù)的安全框架

    本框架采用虛擬化技術(shù),將傳統(tǒng)網(wǎng)絡(luò)安全功能資源池化,實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)中安全服務(wù)資源的統(tǒng)一管理和靈活調(diào)度。該框架基于安全功能鏈思想,根據(jù)用戶業(yè)務(wù)的特定需求,將多種安全功能進(jìn)行鏈?zhǔn)浇M合,并根據(jù)需要在各安全功能上部署相應(yīng)的安全策略,動(dòng)態(tài)構(gòu)建所需的安全功能鏈。此外,考慮到用戶業(yè)務(wù)可能經(jīng)過(guò)分布式的多數(shù)據(jù)中心結(jié)構(gòu),該框架可實(shí)現(xiàn)跨域的安全互聯(lián),同時(shí)保障用戶側(cè)和數(shù)據(jù)側(cè)的安全。提出的面向服務(wù)的安全框架設(shè)計(jì)如圖1所示。

    圖1 面向服務(wù)的安全框架設(shè)計(jì)

    2.1 安全服務(wù)層

    安全服務(wù)層致力于滿足網(wǎng)絡(luò)安全管理員的安全服務(wù)需求,并針對(duì)這些安全服務(wù)需求進(jìn)行安全服務(wù)的分類與安全策略的分配,確定網(wǎng)絡(luò)安全管理員所需的邏輯安全功能鏈。安全服務(wù)管理器實(shí)現(xiàn)從安全服務(wù)需求到邏輯安全功能鏈及相應(yīng)安全策略的匹配過(guò)程。

    安全服務(wù)需求可以由網(wǎng)絡(luò)安全管理員手動(dòng)配置,即先通過(guò)安全功能配置界面設(shè)定所需的安全功能,然后,跳轉(zhuǎn)到安全策略配置界面,根據(jù)安全功能的類型制定相應(yīng)的安全策略。安全服務(wù)管理器根據(jù)網(wǎng)絡(luò)安全管理員的配置生成邏輯的安全功能鏈,通過(guò)安全功能鏈配置接口交付給資源適配層的安全功能鏈管理器,安全策略則通過(guò)安全策略配置接口交付給安全策略管理器做進(jìn)一步處理。

    2.2 資源適配層

    資源適配層從安全服務(wù)層獲得網(wǎng)絡(luò)安全管理員所需的邏輯上的安全功能鏈與安全略,然后,分別交付給安全功能鏈管理器與安全策略管理器。其中,安全功能鏈管理器由安全適配模塊、容器管理模塊及流表管理模塊組成。

    安全適配模塊首先解析安全服務(wù)層的邏輯安全功能鏈,匹配系統(tǒng)可提供安全功能實(shí)例資源,獲知所需安全功能的類型與具體數(shù)量,然后,向容器管理模塊發(fā)起資源請(qǐng)求。容器管理模塊可以基于當(dāng)前網(wǎng)絡(luò)系統(tǒng)的運(yùn)行狀態(tài)(如計(jì)算節(jié)點(diǎn)的CPU利用率和鏈路擁塞情況)和已開(kāi)啟的安全功能實(shí)例資源的負(fù)載狀態(tài)信息,選擇創(chuàng)建新的安全功能實(shí)例或重用已有安全功能實(shí)例。之后,容器管理模塊會(huì)返回所請(qǐng)求的安全功能實(shí)例的相關(guān)信息(如網(wǎng)絡(luò)位置信息)給安全適配模塊。安全適配模塊由此構(gòu)建完整的網(wǎng)絡(luò)拓?fù)湫畔?,并通告流表管理模塊。流表管理模塊據(jù)此建立該安全功能鏈對(duì)應(yīng)的完整的安全功能路徑配置信息。此外,容器管理模塊還可以動(dòng)態(tài)調(diào)整安全功能實(shí)例資源,及時(shí)釋放空閑的網(wǎng)絡(luò)系統(tǒng)資源,提供系統(tǒng)資源的利用率。

    安全策略管理器包括安全控制器和規(guī)則分發(fā)器,實(shí)現(xiàn)從面向用戶的安全策略向面向功能的安全規(guī)則轉(zhuǎn)換的翻譯過(guò)程與規(guī)則下發(fā)過(guò)程。面向用戶的安全策略由網(wǎng)絡(luò)安全管理員進(jìn)行配置,采用人類可讀的語(yǔ)言描述,卻無(wú)法直接由安全功能實(shí)例執(zhí)行,因此,需要安全控制器對(duì)其進(jìn)行一次策略翻譯,實(shí)現(xiàn)從面向用戶的安全策略到面向功能的安全規(guī)則的轉(zhuǎn)換過(guò)程。與此同時(shí),安全策略管理器也會(huì)收到來(lái)自安全功能鏈管理器分配的安全功能實(shí)例的相關(guān)信息,以生成實(shí)際可部署的安全規(guī)則,并調(diào)用規(guī)則分發(fā)器下發(fā)這些安全規(guī)則到對(duì)應(yīng)的安全功能實(shí)例。

    此外,資源適配層需要維護(hù)兩個(gè)數(shù)據(jù)庫(kù),即安全功能信息庫(kù)(security function information base, SFIB)和安全策略信息庫(kù)(security policy information base,SPIB)。安全功能信息庫(kù)存儲(chǔ)網(wǎng)絡(luò)中所有的安全功能實(shí)例資源的相關(guān)信息,用于容器管理模塊動(dòng)態(tài)查詢與更新。安全策略信息庫(kù)存儲(chǔ)所有的安全策略信息,并維護(hù)面向用戶的安全策略與面向功能的安全規(guī)則之間的映射關(guān)系。

    2.3 數(shù)據(jù)轉(zhuǎn)發(fā)層

    數(shù)據(jù)轉(zhuǎn)發(fā)層由兩類實(shí)體組成,分別是安全功能組件和路由轉(zhuǎn)發(fā)組件。

    安全功能組件由容器管理模塊動(dòng)態(tài)維護(hù),負(fù)責(zé)提供安全功能實(shí)例資源。安全功能實(shí)例基于資源適配層的安全策略管理器下發(fā)的安全規(guī)則,對(duì)數(shù)據(jù)流執(zhí)行實(shí)際的安全處理。

    路由轉(zhuǎn)發(fā)組件是數(shù)據(jù)流的基礎(chǔ)轉(zhuǎn)發(fā)設(shè)備,根據(jù)資源適配層的流表管理模塊下發(fā)的流表信息,對(duì)數(shù)據(jù)流執(zhí)行路由轉(zhuǎn)發(fā)操作。路由轉(zhuǎn)發(fā)組件包括分類器與轉(zhuǎn)發(fā)器。其中,分類器負(fù)責(zé)對(duì)不同數(shù)據(jù)流標(biāo)記相應(yīng)的SPI(service path ID,服務(wù)路徑標(biāo)識(shí))并分配初始的SI(service index,服務(wù)索引值),而轉(zhuǎn)發(fā)器負(fù)責(zé)將數(shù)據(jù)流導(dǎo)入相應(yīng)的安全功能實(shí)例,并對(duì)經(jīng)過(guò)安全處理的數(shù)據(jù)流的SI執(zhí)行減一操作。

    3 關(guān)鍵技術(shù)

    該框架涉及的關(guān)鍵技術(shù)包括安全功能的靈活組合與安全策略的動(dòng)態(tài)部署兩部分,分別介紹實(shí)現(xiàn)對(duì)應(yīng)功能的安全功能鏈管理系統(tǒng)與安全策略管理系統(tǒng)。

    3.1 安全功能鏈管理系統(tǒng)

    安全功能鏈管理系統(tǒng)涉及安全服務(wù)層的安全需求配置界面、資源適配層的安全功能鏈管理系統(tǒng)與數(shù)據(jù)轉(zhuǎn)發(fā)層的安全功能組件與路由轉(zhuǎn)發(fā)組件。安全需求配置界面基于OpenDaylight SFC項(xiàng)目[14]實(shí)現(xiàn)。

    安全功能鏈管理器是面向服務(wù)的數(shù)據(jù)中心安全框架中控制平面的重要組成部分,實(shí)現(xiàn)虛擬網(wǎng)絡(luò)資源的動(dòng)態(tài)管理與適配、安全功能實(shí)例的按需選擇或?qū)嵗?、安全功能路徑的?dòng)態(tài)創(chuàng)建與管理。安全功能鏈管理器的模塊組成如圖2所示。

    安全功能鏈管理系統(tǒng)由安全適配模塊、容器管理模塊及流表管理模塊組成。由于虛擬化的安全功能采用容器技術(shù)實(shí)現(xiàn),對(duì)應(yīng)的容器管理模塊采用Docker Swarm技術(shù)[15]管理網(wǎng)絡(luò)中可用的安全功能資源。Docker Swarm采用TCP與基礎(chǔ)設(shè)施網(wǎng)絡(luò)中的安全功能組件(計(jì)算節(jié)點(diǎn))組成集群,同時(shí)為安全適配模塊提供了系統(tǒng)調(diào)用的接口。流表管理模塊基于OpenDaylight SFC項(xiàng)目開(kāi)發(fā),它采用OpenFlow協(xié)議管理數(shù)據(jù)轉(zhuǎn)發(fā)層中的路由轉(zhuǎn)發(fā)組件,支持網(wǎng)絡(luò)安全管理員通過(guò)Web界面配置邏輯安全功能鏈,同時(shí)也為安全適配模塊提供了RESTful接口調(diào)用??紤]實(shí)際的安全功能鏈可能跨越多個(gè)數(shù)據(jù)中心域,擴(kuò)展了OpenDaylight SFC的跨域互聯(lián)功能,可生成跨域的轉(zhuǎn)發(fā)流表?;赑ython開(kāi)發(fā)了安全適配模塊,它一方面負(fù)責(zé)從安全服務(wù)層獲得用戶或網(wǎng)絡(luò)安全管理員所需的邏輯上的安全功能鏈;另一方面,支持Docker Swarm與OpenDaylight SFC之間的通信與信息交互。

    圖2 安全功能鏈管理系統(tǒng)設(shè)計(jì)

    安全功能鏈管理系統(tǒng)的工作流程如下。

    (1)網(wǎng)絡(luò)管理員通過(guò)安全需求配置界面定制所需的安全服務(wù),生成邏輯的安全功能鏈。

    (2)安全適配模塊采用系統(tǒng)調(diào)用的方式向容器管理器請(qǐng)求提供相應(yīng)的安全功能實(shí)例,后者基于當(dāng)前的資源信息,選擇已有的安全功能實(shí)例或創(chuàng)建新的安全功能實(shí)例,并返回所選實(shí)例的網(wǎng)絡(luò)信息。

    (3)安全適配模塊調(diào)用RESTful接口向流表管理模塊通告該安全功能鏈的轉(zhuǎn)發(fā)配置。

    (4)流表管理模塊利用OpenFlow協(xié)議向數(shù)據(jù)轉(zhuǎn)發(fā)層中的安全感知組件和路由轉(zhuǎn)發(fā)組件下發(fā)流表配置。

    安全功能鏈管理系統(tǒng)的主要優(yōu)勢(shì)如下。

    (1)支持安全功能的虛擬化及對(duì)應(yīng)實(shí)例的管理選擇

    數(shù)據(jù)轉(zhuǎn)發(fā)層采用容器技術(shù)實(shí)現(xiàn)安全功能的輕量虛擬化,安全功能鏈管理器中容器管理模塊負(fù)責(zé)對(duì)這些虛擬化的安全功能實(shí)例進(jìn)行統(tǒng)一管理。容器管理模塊可以遠(yuǎn)程管理和控制每個(gè)計(jì)算節(jié)點(diǎn)的虛擬資源,根據(jù)系統(tǒng)運(yùn)行狀態(tài)和負(fù)載狀態(tài)動(dòng)態(tài)創(chuàng)建、刪除安全功能實(shí)例。安全適配器可以調(diào)用容器管理模塊選擇所需的安全功能實(shí)例。

    (2)支持?jǐn)?shù)據(jù)中心域內(nèi)的安全功能鏈自動(dòng)化部署

    安全功能鏈管理器的安全適配模塊可以獲得網(wǎng)絡(luò)拓?fù)湫畔⒉⒏嬷鞅砉芾砟K,由流表管理模塊根據(jù)安全功能鏈的路徑生成對(duì)應(yīng)的轉(zhuǎn)發(fā)流表,下發(fā)到數(shù)據(jù)轉(zhuǎn)發(fā)層。數(shù)據(jù)轉(zhuǎn)發(fā)層的路由轉(zhuǎn)發(fā)組件采用Open vSwitch軟件交換機(jī)[16]實(shí)現(xiàn),可以實(shí)現(xiàn)安全功能鏈中的分類器與轉(zhuǎn)發(fā)器。通過(guò)安全功能鏈管理器下發(fā)流表到Open vSwitch,可以實(shí)現(xiàn)數(shù)據(jù)中心域內(nèi)安全功能鏈的自動(dòng)化部署。

    (3)支持跨數(shù)據(jù)中心域的安全功能鏈部署

    擴(kuò)展數(shù)據(jù)攜帶的頭部信息,可存儲(chǔ)數(shù)據(jù)流跨數(shù)據(jù)中心域轉(zhuǎn)發(fā)時(shí)所需的SPI/SI信息,并擴(kuò)展OpenDaylight SFC,實(shí)現(xiàn)控制層面對(duì)跨域轉(zhuǎn)發(fā)邏輯的支持。通過(guò)預(yù)定義跨域所需的SPI/SI信息,可以支持在多數(shù)據(jù)中心域中自動(dòng)化部署安全功能鏈。

    3.2 安全策略管理系統(tǒng)

    安全策略管理系統(tǒng)涉及安全服務(wù)層的安全策略配置界面、資源適配層的安全策略管理器和數(shù)據(jù)轉(zhuǎn)發(fā)層的安全功能組件。

    安全策略管理器基于I2NSF控制平面設(shè)計(jì),可以實(shí)現(xiàn)網(wǎng)絡(luò)安全管理員通過(guò)Web界面手動(dòng)配置具體的安全策略,并通過(guò)安全控制器下發(fā)到格式化的策略到制定的安全功能組件。安全策略管理器的基本工作流程如圖3所示。

    圖3 安全策略管理系統(tǒng)設(shè)計(jì)

    安全策略管理系統(tǒng)由用戶界面和安全控制器組成。用戶界面為網(wǎng)絡(luò)安全管理員提供可視化的安全策略配置界面,可指定所需安全服務(wù)類型與策略。安全控制器實(shí)現(xiàn)面向用戶的安全策略到面向功能的安全規(guī)則的翻譯過(guò)程,并實(shí)現(xiàn)安全規(guī)則的自動(dòng)化下發(fā)過(guò)程。

    安全策略管理系統(tǒng)的工作流程如下。

    (1)網(wǎng)絡(luò)安全管理員通過(guò)Web界面制定特定安全功能的安全策略,將策略存入安全策略信息庫(kù),同時(shí)發(fā)送給安全控制器。

    (2)安全控制器根據(jù)安全功能鏈管理器提供的安全功能實(shí)例信息,將收到的面向服務(wù)的安全策略翻譯為面向功能的安全規(guī)則,并對(duì)其進(jìn)行XML格式化。

    (3)安全控制器調(diào)用規(guī)則分發(fā)器將格式化的策略配置通過(guò)Netconf協(xié)議發(fā)送到安全功能實(shí)例上。

    安全策略管理系統(tǒng)的主要優(yōu)勢(shì)如下。

    (1)支持動(dòng)態(tài)策略更新

    因?yàn)殪o態(tài)設(shè)置的數(shù)據(jù)編號(hào),過(guò)去同一安全對(duì)象的安全策略無(wú)法進(jìn)行更新,而這將不利于本地的策略維護(hù)與多域策略協(xié)同處理。因此,應(yīng)采用時(shí)間相關(guān)函數(shù)為安全策略分配動(dòng)態(tài)編號(hào),初步實(shí)現(xiàn)本地策略更新功能。

    (2)支持多數(shù)據(jù)庫(kù)同步

    考慮多域安全策略共享與查詢問(wèn)題,控制平面采用可集群部署的數(shù)據(jù)庫(kù)存儲(chǔ)域內(nèi)的安全策略。由于Redis數(shù)據(jù)庫(kù)[17]可以快速實(shí)現(xiàn)集群的部署且擁有較好的數(shù)據(jù)同步功能,因此,應(yīng)選用Redis數(shù)據(jù)庫(kù)作為安全策略數(shù)據(jù)庫(kù)。

    4 系統(tǒng)驗(yàn)證

    為驗(yàn)證提出的面向服務(wù)的數(shù)據(jù)中心安全框架,本文基于OpenStack[18]建立虛擬化的測(cè)試床,參考SFC工作組草案[10]給出的多數(shù)據(jù)中心環(huán)境下的多SFC域互聯(lián)場(chǎng)景,建立如圖4所示的系統(tǒng)驗(yàn)證場(chǎng)景。

    該場(chǎng)景中,數(shù)據(jù)中心1構(gòu)成一個(gè)云辦公平臺(tái),可以為不同用戶提供定制化和安全的云辦公環(huán)境。而數(shù)據(jù)中心2通過(guò)虛擬化技術(shù)整合底層設(shè)施資源,可以為多個(gè)用戶同時(shí)提供應(yīng)用層服務(wù)。每個(gè)數(shù)據(jù)中心域內(nèi)采用SDN/NFV技術(shù)搭建傳統(tǒng)數(shù)據(jù)中心網(wǎng)絡(luò)的fat-tree拓?fù)?。由于兩?shù)據(jù)中心地理位置相距較遠(yuǎn),數(shù)據(jù)中心1的用戶可通過(guò)互聯(lián)網(wǎng)遠(yuǎn)程訪問(wèn)數(shù)據(jù)中心2中的服務(wù)資源。假定某一云辦公平臺(tái)用戶希望訪問(wèn)位于數(shù)據(jù)中心2中的某種特定服務(wù)資源,則該用戶的數(shù)據(jù)請(qǐng)求與傳輸需要跨域兩個(gè)不同的數(shù)據(jù)中心。為保障整個(gè)通信過(guò)程的安全,需要為該用戶的服務(wù)流建立一條跨域的安全功能鏈。其中,每個(gè)數(shù)據(jù)中心的接入層和匯聚層的虛擬交換機(jī)與核心層交換機(jī)均可視為轉(zhuǎn)發(fā)器,入口/出口網(wǎng)關(guān)作為分類器,而安全功能實(shí)例則通過(guò)容器方式在虛擬交換機(jī)上按需開(kāi)啟。該場(chǎng)景中的安全功能鏈需要跨兩個(gè)數(shù)據(jù)中心域,同時(shí),保護(hù)用戶側(cè)和數(shù)據(jù)側(cè)安全。其中,用戶側(cè)包括用于流量監(jiān)控的入侵檢測(cè)系統(tǒng)和進(jìn)行內(nèi)部防護(hù)的防火墻,數(shù)據(jù)側(cè)則包含阻止外部入侵的防火墻與用于DDoS攻擊緩解的入侵檢測(cè)服務(wù)。兩側(cè)安全功能實(shí)例分別部署在靠近用戶側(cè)和數(shù)據(jù)側(cè)的虛擬交換機(jī)上。

    圖4 系統(tǒng)驗(yàn)證場(chǎng)景

    為驗(yàn)證提出的面向服務(wù)的數(shù)據(jù)中心安全框架,首先,通過(guò)安全服務(wù)管理器的配置界面部署該安全功能鏈,包括兩個(gè)防火墻(FW)功能與兩個(gè)入侵檢測(cè)(IDS)功能。其中,左側(cè)的防火墻與入侵檢測(cè)系統(tǒng)位于數(shù)據(jù)中心1,右側(cè)的防火墻與入侵檢測(cè)系統(tǒng)位于數(shù)據(jù)中心2。安全功能鏈管理器根據(jù)安全需求分配安全功能鏈,并自動(dòng)生成相應(yīng)的SPI為165,如圖5所示。其中,防火墻功能由iptables軟件[19]實(shí)現(xiàn),入侵檢測(cè)功能由Snort軟件[20]實(shí)現(xiàn)。

    圖5 安全功能鏈配置界面

    通過(guò)安全功能鏈管理系統(tǒng)對(duì)該安全功能鏈進(jìn)行解析,并下發(fā)相應(yīng)流表到對(duì)應(yīng)的虛擬交換機(jī)上,以深度分組檢測(cè)為例,其流表配置如圖6所示。

    圖6 將數(shù)據(jù)流導(dǎo)入入侵檢測(cè)功能的流表項(xiàng)

    從圖6中可以看到,交換機(jī)接收到數(shù)據(jù)流后,通過(guò)流表逐條匹配SPI為165(流表項(xiàng)中表示為nsp)且SI為255(流表項(xiàng)中表示為nsi)的數(shù)據(jù)流。由于255為SI初始值,可以獲知需要該數(shù)據(jù)流需要經(jīng)過(guò)第一個(gè)安全攻能,即入侵檢測(cè)功能。然后匹配最終的流表?xiàng)l目,通過(guò)基于NSH(network service header,網(wǎng)絡(luò)服務(wù)報(bào)頭)的SFC流轉(zhuǎn)發(fā)方式[21],將數(shù)據(jù)流轉(zhuǎn)發(fā)到入侵檢測(cè)功能實(shí)例中。類似地,由于經(jīng)過(guò)入侵檢測(cè)功能處理后的數(shù)據(jù)流的SI值會(huì)減一(即SPI仍為165,SI為254),通過(guò)匹配如圖7所示流表,以類似方式轉(zhuǎn)發(fā)數(shù)據(jù)流至下一跳交換機(jī)。

    圖7 處理從入侵檢測(cè)功能流出數(shù)據(jù)的流表項(xiàng)

    安全功能鏈系統(tǒng)通過(guò)解析網(wǎng)絡(luò)安全管理員配置的安全需求,自動(dòng)向每個(gè)轉(zhuǎn)發(fā)器下發(fā)類似的流表,從而實(shí)現(xiàn)數(shù)據(jù)流在整個(gè)安全功能路徑內(nèi)的轉(zhuǎn)發(fā)操作,確保數(shù)據(jù)流可以依次經(jīng)過(guò)每個(gè)所需的安全功能實(shí)例。

    安全功能鏈確定后,還要根據(jù)安全需求設(shè)定相應(yīng)的安全策略。以該安全功能鏈中的入侵檢測(cè)功能為例,首先,通過(guò)安全策略配置界面中的安全功能選擇頁(yè)面,選擇需要配置策略的安全功能的類型,如圖8所示。

    圖8 安全功能選擇界面

    然后,可以看到如圖9所示安全策略詳細(xì)配置界面。在這里,網(wǎng)絡(luò)安全管理員可以定義該策略的名稱、策略的匹配項(xiàng)目和所需要執(zhí)行的安全行為。對(duì)于入侵檢測(cè)功能,這里定義檢測(cè)到源IP地址為10.0.0.24的數(shù)據(jù)流后進(jìn)行告警操作。

    配置好后選擇提交,即可完成該功能的策略配置過(guò)程,后續(xù)的策略翻譯與下發(fā)均由安全策略管理系統(tǒng)自動(dòng)完成。其中,安全策略管理系統(tǒng)基于Cisco的ConfD引擎[22]實(shí)現(xiàn)Netconf協(xié)議傳輸配置好的策略,在安全功能實(shí)例上可以實(shí)時(shí)看到策略接收過(guò)程,如圖10所示。此外,其他安全功能的策略配置過(guò)程也是類似的,此處不再贅述。

    圖9 入侵檢測(cè)配置界面

    圖10 入侵檢測(cè)功能實(shí)例的策略接收過(guò)程

    此外,還可以通過(guò)如圖11所示的安全功能日志選項(xiàng),查看已配置好的安全策略,為網(wǎng)絡(luò)安全管理員后續(xù)添加或修改安全策略做參考,避免錯(cuò)誤配置或重復(fù)配置。

    圖11 安全策略配置日志

    最后,配置好的入侵檢測(cè)系統(tǒng)策略被部署到入侵檢測(cè)功能實(shí)例上。由于本文采用的入侵檢測(cè)功能實(shí)例由Snort實(shí)現(xiàn),可以看到如圖12所示的Snort規(guī)則文件中存在新配置的條目,證明該安全策略已成功配置。

    圖12 入侵檢測(cè)功能的規(guī)則文件

    5 結(jié)束語(yǔ)

    本文考慮到現(xiàn)有數(shù)據(jù)中心網(wǎng)絡(luò)靜態(tài)僵化的安全部署方案難以有效地應(yīng)對(duì)日趨多樣化的安全威脅,提出一種面向服務(wù)的數(shù)據(jù)中心網(wǎng)絡(luò)安全框架,將網(wǎng)絡(luò)安全功能進(jìn)行虛擬化后統(tǒng)一管理;設(shè)計(jì)相應(yīng)的安全功能管理與安全策略下發(fā)系統(tǒng),以實(shí)現(xiàn)安全功能的靈活組合與安全策略的動(dòng)態(tài)更新。通過(guò)原型系統(tǒng)測(cè)試,驗(yàn)證提出的安全框架可以滿足未來(lái)數(shù)據(jù)中心網(wǎng)絡(luò)更加靈活、個(gè)性的安全需求。

    [1] Cisco. Cisco Data Center Security Study[R]. 2017.

    [2] 韋樂(lè)平. SDN的戰(zhàn)略性思考[J]. 電信科學(xué), 2015, 31(1): 7-12.

    WEI L P. Strategic thinking on SDN [J]. Telecommunications Science, 2015, 31(1): 7-12.

    [3] 王歆平, 王茜, 劉恩慧, 等. 基于SDN的按需智能路由系統(tǒng)研究與驗(yàn)證[J]. 電信科學(xué), 2014, 30(4): 8-14.

    WANG X P, WANG Q, LIU E H, et al. Research and verification on SDN-based on-demand smart routing system [J]. Telecommunications Science, 2014, 30(4): 8-14.

    [4] 李丹, 劉方明, 郭得科, 等. 軟件定義的云數(shù)據(jù)中心網(wǎng)絡(luò)基礎(chǔ)理論與關(guān)鍵技術(shù)[J]. 電信科學(xué), 2014, 30(6): 48-59.

    LI D, LIU F M, GUO D K, et al. Fundamental theory and key technology of software defined cloud data center network [J]. Telecommunications Science, 2014, 30(6): 48-59.

    [5] HAN B, GOPALAKRISHNAN V, JI L, et al. Network function virtualization: challenges and opportunities for innovations[J]. IEEE Communications Magazine, 2015, 53(2): 90-97.

    [6] NICK M, TOM A, HARI B, et al. OpenFlow: enabling innovation in campus networks[J]. ACM SIGCOMM Computer Communication Review, 2008, 38(2): 69-74.

    [7] CHUNG C J, XING T, HUANG D, et al. SeReNe: on establishing secure and resilient networking services for an SDN-based multi-tenant datacenter environment[C]// IEEE International Conference on Dependable Systems and Networks Workshops, June 22-25, 2015, Rio de Janeiro, Brazil. Piscataway: IEEE Press, 2015.

    [8] AMMAR M, RIZK M, ABDEL-HAMID A, et al. A framework for security enhancement in SDN-based datacenters[C]//2016 8th IFIP International Conference on New Technologies, Mobility and Security, November 21-23, 2016, Larnaca, Cyprus. Piscataway: IEEE Press, 2016.

    [9] JOEL H, CARLOS P. Service function chaining, RFC Editor, October 2015[R/OL]. (2015-10-01)[2017-11-14]. https://www. rfc-editor.org/rfc/rfc7665.txt.

    [10] KUMAR S, TUFAIL M, MAJEE S, et al. Service function chaining use cases in data centers. Internet-Draft draft-ietf- sfc- dc-use-cases-06[RB/OL]. (2017-01-01)[2017-11-14]. http://www. ietf.org/internet-drafts/draft-ietf-sfc-dc-use-cases-06.txt.

    [11] LEIVADEAS A, FALKNER M, LAMBADARIS I, et al. Resource management and orchestration for a dynamic service chain steering model[C]//IEEE Global Communications Conference, December 4-8, 2016,Washington, DC, USA. Piscataway: IEEE Press, 2016.

    [12] WANG X, LIU Z, LI J, et al. Tualatin: towards network security service provision in cloud datacenters[C]//2014 3rd International Conference on Computer Communication and Networks, August 4-7, 2014, Shanghai, China. Piscataway: IEEE Press, 2016.

    [13] LOPEZ D, LOPEZ E, DUNBAR L, et al. Framework for interface to network security functions. Internet-Draft draft- ietf-i2nsf-framework-08, IETF Secretariat, October 2017[R/OL]. (2017-10-10)[2017-11-10]. https://www.ietf.org /archive/id/draft- ietf-i2nsf-framework-08.txt.

    [14] OpenDaylight SFC project [EB/OL]. (2016-10-21)[2017-11-10]. https://github.com/opendaylight/sfc.

    [15] Docker [EB/OL]. (2017-01-01)[2017-11-10]. https://www. docker.com.

    [16] Open vSwitch [EB/OL]. (2016-01-01)[2017-11-10]. http:// openvswitch.org.

    [17] Redis [EB/OL]. (2017-01-01)[2017-11-10]. https://redis.io.

    [18] Openstack [EB/OL]. (2017-01-01)[2017-11-10]. https://www. openstack.org.

    [19] Iptables [EB/OL]. (2014-01-01)[2017-11-10]. http://www.netfilter.

    org/projects/iptables/index.html.

    [20] Snort [EB/OL]. (2017-01-01)[2017-11-10]. https://www. snort.org.

    [21] PAUL Q, URI E, CARLOS P. Network service header (NSH): Internet-Draft draft-ietf-sfc-nsh-28[EB/OL]. (2017-11-03) [2017-11-10]. http://www. ietf.org/internet- drafts/draft-ietf-sfc- nsh-28.txt.

    [22] Conf D[EB/OL]. (2017-01-01)[2017-11-10]. http://developer. cisco.com/site/confd.

    Service-oriented security framework for datacenter networks

    HU Teng1, LI Guanwen2, ZHOU Huachun2

    1. Institute of Computer Application, China Academy of Engineering Physics, Mianyang 621900, China 2. School of Electronic and Information Engineering, Beijing Jiaotong University, Beijing 100044, China

    With the large-scale deployment of datacenters in cloud computing, there is an increasing attention to their security issues. However, with the ossify deployment of traditional security devices, it is hard to meet the requirements of dynamical network security situation and copy with new kinds of security threats. Therefore, a service-oriented security framework for datacenter networks was proposed, which was able to compose the virtualized security functions flexibly and update the security policies dynamically based on virtualization technology and software-defined networking. With the implementation of prototype, the feasibility and availability of the proposed security framework was proved, and a solution to promote the flexibility and security of datacenter networks was provided.

    datacenter network, security function chaining, security policy deployment

    TP393

    A

    10.11959/j.issn.1000?0801.2018031

    2017?11?14;

    2017?12?13

    NSAF聯(lián)合基金資助項(xiàng)目(No. U1530118);國(guó)家自然科學(xué)基金資助項(xiàng)目(No. 61271202);國(guó)防基礎(chǔ)科研基金資助項(xiàng)目(No. JCKY2016212C005)

    NSAF (No. U1530118), The National Natural Science Foundation of China(No. 61271202), National Defense Basic Scientific Research Program of China(No. JCKY2016212C005)

    胡騰(1988?),男,中國(guó)工程物理研究院計(jì)算機(jī)應(yīng)用研究所工程師,主要研究方向?yàn)橛?jì)算機(jī)技術(shù)與信息安全。

    李觀文(1992?),男,北京交通大學(xué)電子信息工程學(xué)院博士生,主要研究方向?yàn)檐浖x網(wǎng)絡(luò)與網(wǎng)絡(luò)安全。

    周華春(1965?),男,博士,北京交通大學(xué)電子信息工程學(xué)院教授、博士生導(dǎo)師,主要研究方向?yàn)橐苿?dòng)互聯(lián)網(wǎng)、網(wǎng)絡(luò)安全與衛(wèi)星網(wǎng)絡(luò)。

    猜你喜歡
    流表安全策略管理器
    基于認(rèn)知負(fù)荷理論的叉車安全策略分析
    基于時(shí)序與集合的SDN流表更新策略
    應(yīng)急狀態(tài)啟動(dòng)磁盤管理器
    基于飛行疲勞角度探究民航飛行員飛行安全策略
    Windows文件緩沖處理技術(shù)概述
    基于緩存策略的OpenFlow流表存儲(chǔ)優(yōu)化方案研究
    簡(jiǎn)析yangUI流表控制
    軟件定義網(wǎng)絡(luò)中一種兩步式多級(jí)流表構(gòu)建算法
    淺析涉密信息系統(tǒng)安全策略
    高集成度2.5A備份電源管理器簡(jiǎn)化鋰離子電池備份系統(tǒng)
    一边亲一边摸免费视频| 亚洲成人av在线免费| 欧美老熟妇乱子伦牲交| 熟妇人妻不卡中文字幕| 国产黄色视频一区二区在线观看| 一区二区三区乱码不卡18| 国产高清国产精品国产三级 | 国产探花极品一区二区| a级一级毛片免费在线观看| 国产 一区 欧美 日韩| 亚洲国产成人一精品久久久| 久久久久国产精品人妻一区二区| 毛片一级片免费看久久久久| 日韩强制内射视频| 亚洲综合色惰| 美女主播在线视频| 夜夜看夜夜爽夜夜摸| 91狼人影院| 免费人成在线观看视频色| 久久久久久久久久久丰满| 韩国av在线不卡| 简卡轻食公司| 日韩欧美精品免费久久| 日韩强制内射视频| 97超视频在线观看视频| 亚洲国产精品专区欧美| 久久精品人妻少妇| av在线蜜桃| 国产免费福利视频在线观看| 欧美三级亚洲精品| 黄色日韩在线| 乱码一卡2卡4卡精品| 特大巨黑吊av在线直播| 女的被弄到高潮叫床怎么办| 晚上一个人看的免费电影| 女的被弄到高潮叫床怎么办| 狂野欧美白嫩少妇大欣赏| 国产精品熟女久久久久浪| 2021少妇久久久久久久久久久| 春色校园在线视频观看| 91精品伊人久久大香线蕉| 综合色丁香网| 91久久精品国产一区二区三区| 欧美国产精品一级二级三级 | 免费少妇av软件| 亚洲人成网站高清观看| 国产成人精品一,二区| 国产日韩欧美亚洲二区| 中文在线观看免费www的网站| 最近最新中文字幕大全电影3| 国产综合懂色| tube8黄色片| 欧美97在线视频| 亚洲天堂国产精品一区在线| 尤物成人国产欧美一区二区三区| 免费看日本二区| 国产精品蜜桃在线观看| 亚洲av在线观看美女高潮| 尤物成人国产欧美一区二区三区| av在线老鸭窝| 在线观看一区二区三区激情| 国产精品不卡视频一区二区| 亚洲,欧美,日韩| 精品久久久久久久人妻蜜臀av| 国产毛片在线视频| 国产又色又爽无遮挡免| 美女被艹到高潮喷水动态| 久久久精品免费免费高清| 午夜免费观看性视频| 秋霞伦理黄片| 一级毛片aaaaaa免费看小| 秋霞伦理黄片| 青春草视频在线免费观看| 又黄又爽又刺激的免费视频.| 成人综合一区亚洲| 欧美一级a爱片免费观看看| 别揉我奶头 嗯啊视频| 男人狂女人下面高潮的视频| 久热久热在线精品观看| 国产v大片淫在线免费观看| 欧美bdsm另类| av在线亚洲专区| 亚洲精品一区蜜桃| 51国产日韩欧美| 成年人午夜在线观看视频| 日日摸夜夜添夜夜爱| 视频中文字幕在线观看| 综合色丁香网| 免费观看性生交大片5| 国产免费视频播放在线视频| 久久6这里有精品| 亚洲色图综合在线观看| 午夜免费鲁丝| 少妇猛男粗大的猛烈进出视频 | 最近最新中文字幕大全电影3| 亚洲精品乱码久久久v下载方式| 久久久久久久久久久丰满| av专区在线播放| 国产精品一区二区三区四区免费观看| 在线看a的网站| 久久久久久九九精品二区国产| 久久精品人妻少妇| 日本与韩国留学比较| 又大又黄又爽视频免费| 黑人高潮一二区| 欧美另类一区| 欧美日韩视频高清一区二区三区二| 卡戴珊不雅视频在线播放| 欧美激情在线99| 97热精品久久久久久| 亚洲av免费高清在线观看| 欧美xxxx性猛交bbbb| 水蜜桃什么品种好| 久久精品国产亚洲网站| 九九爱精品视频在线观看| 精品人妻一区二区三区麻豆| 国产色爽女视频免费观看| 日韩电影二区| 亚洲精品一二三| 成人亚洲欧美一区二区av| 亚洲av国产av综合av卡| 亚洲欧美日韩无卡精品| 成人国产麻豆网| xxx大片免费视频| 亚洲精品久久午夜乱码| 欧美成人一区二区免费高清观看| av女优亚洲男人天堂| 极品教师在线视频| 免费看日本二区| 晚上一个人看的免费电影| 亚洲天堂国产精品一区在线| 国产成人a区在线观看| 午夜免费男女啪啪视频观看| 97超碰精品成人国产| 精品酒店卫生间| 身体一侧抽搐| 亚洲欧美精品专区久久| 久久久成人免费电影| 自拍欧美九色日韩亚洲蝌蚪91 | 老女人水多毛片| 国产色婷婷99| 人妻一区二区av| 国产成人精品福利久久| h日本视频在线播放| 欧美xxⅹ黑人| 国产爱豆传媒在线观看| 日韩伦理黄色片| 亚洲av.av天堂| 夫妻午夜视频| 欧美成人a在线观看| 久久精品夜色国产| 国产在线一区二区三区精| 成年女人在线观看亚洲视频 | 日本wwww免费看| 国产成人福利小说| 国产精品精品国产色婷婷| 一二三四中文在线观看免费高清| 亚洲av免费高清在线观看| 成年免费大片在线观看| 久久久a久久爽久久v久久| 国产伦精品一区二区三区四那| 国产午夜精品一二区理论片| 久久精品国产亚洲av涩爱| 伦理电影大哥的女人| 伊人久久精品亚洲午夜| 黄色日韩在线| 三级经典国产精品| 久久久久久九九精品二区国产| 亚洲成人精品中文字幕电影| 色吧在线观看| 成人漫画全彩无遮挡| 毛片女人毛片| 一级av片app| 内地一区二区视频在线| 中文字幕久久专区| www.av在线官网国产| 中文天堂在线官网| 亚洲欧美精品专区久久| 在线观看三级黄色| 搡老乐熟女国产| 亚洲高清免费不卡视频| 欧美日韩综合久久久久久| 亚洲成色77777| 欧美区成人在线视频| 日韩一本色道免费dvd| 一本—道久久a久久精品蜜桃钙片 精品乱码久久久久久99久播 | 一级毛片电影观看| 国产高清国产精品国产三级 | 久久久精品94久久精品| 国产成人免费无遮挡视频| 国产精品99久久99久久久不卡 | 18禁裸乳无遮挡动漫免费视频 | 午夜免费观看性视频| 在线精品无人区一区二区三 | 国产精品.久久久| 91久久精品电影网| 亚洲天堂av无毛| 欧美另类一区| 少妇人妻久久综合中文| 青春草视频在线免费观看| 欧美最新免费一区二区三区| 国产毛片在线视频| 免费观看av网站的网址| 国产精品福利在线免费观看| 美女国产视频在线观看| 久久久久久久精品精品| 国产淫片久久久久久久久| 亚洲精品乱码久久久v下载方式| 18+在线观看网站| 国产熟女欧美一区二区| 精华霜和精华液先用哪个| 一级a做视频免费观看| 插阴视频在线观看视频| 美女视频免费永久观看网站| 欧美人与善性xxx| 交换朋友夫妻互换小说| av免费在线看不卡| 成人漫画全彩无遮挡| 国产在视频线精品| 特大巨黑吊av在线直播| 欧美潮喷喷水| 色网站视频免费| 国产午夜精品久久久久久一区二区三区| 成人国产麻豆网| 深爱激情五月婷婷| 男人爽女人下面视频在线观看| 超碰97精品在线观看| 人妻 亚洲 视频| 永久网站在线| 少妇人妻一区二区三区视频| 亚洲综合色惰| 校园人妻丝袜中文字幕| 国产中年淑女户外野战色| 亚洲丝袜综合中文字幕| 国产精品久久久久久久电影| eeuss影院久久| 嫩草影院精品99| 在线免费十八禁| 又爽又黄a免费视频| 国产精品.久久久| 夜夜看夜夜爽夜夜摸| 亚洲欧美成人综合另类久久久| 亚洲精品久久午夜乱码| 又爽又黄无遮挡网站| 人人妻人人看人人澡| 久久热精品热| 国产av不卡久久| 日韩免费高清中文字幕av| 18禁动态无遮挡网站| 特级一级黄色大片| 久久99蜜桃精品久久| 久久久精品欧美日韩精品| 久久精品夜色国产| 秋霞伦理黄片| 人妻夜夜爽99麻豆av| 国产精品国产三级国产av玫瑰| 好男人视频免费观看在线| 中文字幕亚洲精品专区| 特级一级黄色大片| 欧美亚洲 丝袜 人妻 在线| 搡老乐熟女国产| 韩国av在线不卡| 91精品一卡2卡3卡4卡| 久久99精品国语久久久| 成人漫画全彩无遮挡| 99热这里只有是精品在线观看| 人人妻人人看人人澡| 1000部很黄的大片| 国产精品三级大全| 亚洲国产色片| 日韩电影二区| 午夜福利在线观看免费完整高清在| 国产成人免费观看mmmm| 亚洲国产最新在线播放| 观看免费一级毛片| 欧美日韩一区二区视频在线观看视频在线 | 精品99又大又爽又粗少妇毛片| 不卡视频在线观看欧美| 久久99精品国语久久久| 久久久精品欧美日韩精品| 少妇人妻精品综合一区二区| 水蜜桃什么品种好| 可以在线观看毛片的网站| 欧美成人精品欧美一级黄| 成人二区视频| 可以在线观看毛片的网站| 欧美老熟妇乱子伦牲交| 久久久久久国产a免费观看| 亚洲成人久久爱视频| 成人午夜精彩视频在线观看| 久久久精品免费免费高清| 免费av观看视频| 亚洲av国产av综合av卡| a级毛片免费高清观看在线播放| 男插女下体视频免费在线播放| 亚洲精品中文字幕在线视频 | 观看美女的网站| 久久午夜福利片| 成人亚洲精品av一区二区| 亚洲国产日韩一区二区| 身体一侧抽搐| 综合色av麻豆| 亚洲精品第二区| 亚洲国产日韩一区二区| 亚洲av欧美aⅴ国产| 亚洲精品国产成人久久av| 久久精品国产亚洲网站| 国产成人午夜福利电影在线观看| av在线蜜桃| 一级片'在线观看视频| 亚洲人与动物交配视频| 18+在线观看网站| 欧美精品人与动牲交sv欧美| av又黄又爽大尺度在线免费看| 亚洲国产色片| 久久久久久久国产电影| 成人综合一区亚洲| 国产探花在线观看一区二区| 国产探花极品一区二区| 国产成人精品久久久久久| 最新中文字幕久久久久| 久久久精品94久久精品| 超碰av人人做人人爽久久| 免费在线观看成人毛片| 国产精品99久久久久久久久| 在线观看人妻少妇| 日本免费在线观看一区| 又粗又硬又长又爽又黄的视频| 日韩 亚洲 欧美在线| a级一级毛片免费在线观看| 你懂的网址亚洲精品在线观看| 亚洲精品日韩av片在线观看| 精品一区在线观看国产| 久久人人爽人人片av| 老师上课跳d突然被开到最大视频| 少妇的逼水好多| 大话2 男鬼变身卡| 精品久久国产蜜桃| 少妇 在线观看| 国产 一区 欧美 日韩| 三级国产精品欧美在线观看| 亚洲av福利一区| 久久综合国产亚洲精品| 久久久久国产精品人妻一区二区| 国产综合懂色| 国产白丝娇喘喷水9色精品| 五月开心婷婷网| 91aial.com中文字幕在线观看| 18禁裸乳无遮挡动漫免费视频 | 99久国产av精品国产电影| 亚洲精品456在线播放app| 亚洲av二区三区四区| av又黄又爽大尺度在线免费看| 亚洲成人久久爱视频| 特级一级黄色大片| 一区二区三区精品91| 最近中文字幕高清免费大全6| 亚洲人成网站在线播| 亚洲成人av在线免费| 亚洲欧美成人综合另类久久久| 性色avwww在线观看| 乱码一卡2卡4卡精品| 欧美高清成人免费视频www| 身体一侧抽搐| 亚洲国产av新网站| 国产亚洲最大av| 晚上一个人看的免费电影| 国产白丝娇喘喷水9色精品| 在线观看一区二区三区| 国产精品久久久久久精品电影| 午夜福利视频1000在线观看| 亚洲丝袜综合中文字幕| 两个人的视频大全免费| 舔av片在线| 中文字幕亚洲精品专区| 色5月婷婷丁香| 成人亚洲精品一区在线观看 | 人妻少妇偷人精品九色| 欧美老熟妇乱子伦牲交| 久久久久精品久久久久真实原创| 亚洲综合精品二区| 精品久久久噜噜| 我的老师免费观看完整版| 1000部很黄的大片| 久久精品综合一区二区三区| 嘟嘟电影网在线观看| 国产毛片在线视频| 大话2 男鬼变身卡| 我的女老师完整版在线观看| 一二三四中文在线观看免费高清| 久久精品夜色国产| 亚洲丝袜综合中文字幕| av线在线观看网站| 在线观看人妻少妇| 99热这里只有精品一区| 国产爽快片一区二区三区| 中文在线观看免费www的网站| 精品视频人人做人人爽| 午夜视频国产福利| 不卡视频在线观看欧美| 插逼视频在线观看| 街头女战士在线观看网站| 亚洲国产av新网站| 18禁在线播放成人免费| 久久午夜福利片| 中文字幕制服av| 欧美人与善性xxx| 亚洲成人中文字幕在线播放| 日本爱情动作片www.在线观看| 韩国av在线不卡| 国产精品不卡视频一区二区| 国产亚洲5aaaaa淫片| 国产亚洲最大av| 欧美xxxx性猛交bbbb| 80岁老熟妇乱子伦牲交| 1000部很黄的大片| 亚州av有码| 简卡轻食公司| 国产在线男女| 日韩欧美 国产精品| 高清av免费在线| 2021少妇久久久久久久久久久| 国产免费又黄又爽又色| 在线观看av片永久免费下载| 免费大片18禁| 超碰97精品在线观看| 欧美xxⅹ黑人| 男女边吃奶边做爰视频| 亚洲欧美日韩另类电影网站 | 日韩精品有码人妻一区| 国产成人a∨麻豆精品| 国产乱人偷精品视频| 人体艺术视频欧美日本| 免费av毛片视频| 亚洲最大成人手机在线| 可以在线观看毛片的网站| 日韩av在线免费看完整版不卡| 国国产精品蜜臀av免费| 在现免费观看毛片| 国产淫语在线视频| 身体一侧抽搐| 夫妻午夜视频| 成人二区视频| 日韩,欧美,国产一区二区三区| 深夜a级毛片| 欧美zozozo另类| 在线观看一区二区三区激情| 亚洲第一区二区三区不卡| 欧美国产精品一级二级三级 | 可以在线观看毛片的网站| 午夜日本视频在线| 听说在线观看完整版免费高清| 免费黄色在线免费观看| a级一级毛片免费在线观看| 精品人妻偷拍中文字幕| 国产一区二区亚洲精品在线观看| 免费在线观看成人毛片| 麻豆成人av视频| 国产精品秋霞免费鲁丝片| 最后的刺客免费高清国语| 男人添女人高潮全过程视频| 神马国产精品三级电影在线观看| 一级毛片久久久久久久久女| 欧美高清性xxxxhd video| av在线蜜桃| 欧美性猛交╳xxx乱大交人| 亚洲精品国产av蜜桃| 亚洲电影在线观看av| 精品一区在线观看国产| 韩国高清视频一区二区三区| 99久久九九国产精品国产免费| 亚洲精品乱久久久久久| 亚洲人与动物交配视频| 亚洲性久久影院| 亚洲成人中文字幕在线播放| 欧美激情在线99| 男人和女人高潮做爰伦理| 韩国高清视频一区二区三区| 国产成人精品一,二区| 国产高清有码在线观看视频| 美女xxoo啪啪120秒动态图| 国产精品伦人一区二区| 亚洲经典国产精华液单| 777米奇影视久久| 99热6这里只有精品| 搞女人的毛片| 一级毛片 在线播放| 在线免费十八禁| 2022亚洲国产成人精品| 狂野欧美激情性xxxx在线观看| 啦啦啦啦在线视频资源| 国产一区二区三区综合在线观看 | 嫩草影院精品99| 国产日韩欧美亚洲二区| 亚洲成人精品中文字幕电影| 日日摸夜夜添夜夜爱| 极品少妇高潮喷水抽搐| 我的老师免费观看完整版| 成人漫画全彩无遮挡| 男人狂女人下面高潮的视频| 成人免费观看视频高清| 99热网站在线观看| 好男人在线观看高清免费视频| 亚洲av中文字字幕乱码综合| 国产乱人视频| 国产精品久久久久久av不卡| 精品人妻一区二区三区麻豆| 亚洲欧美一区二区三区黑人 | 九九在线视频观看精品| 中国三级夫妇交换| 国产黄色视频一区二区在线观看| 国产精品99久久久久久久久| 日本色播在线视频| 性插视频无遮挡在线免费观看| 老女人水多毛片| 亚洲精品乱码久久久久久按摩| 视频中文字幕在线观看| 日本三级黄在线观看| 国产午夜福利久久久久久| 亚洲国产欧美人成| 男人狂女人下面高潮的视频| 国产午夜福利久久久久久| 99九九线精品视频在线观看视频| 精品99又大又爽又粗少妇毛片| 人妻夜夜爽99麻豆av| 亚洲色图综合在线观看| 又黄又爽又刺激的免费视频.| 日本三级黄在线观看| 国产综合懂色| 色5月婷婷丁香| 欧美激情国产日韩精品一区| 十八禁网站网址无遮挡 | 97超碰精品成人国产| 欧美三级亚洲精品| 综合色丁香网| 欧美97在线视频| 亚洲自拍偷在线| 久久国内精品自在自线图片| 免费av观看视频| 久久久成人免费电影| 午夜爱爱视频在线播放| 色综合色国产| 久久久国产一区二区| 狠狠精品人妻久久久久久综合| 精品国产露脸久久av麻豆| 噜噜噜噜噜久久久久久91| 高清毛片免费看| 亚洲激情五月婷婷啪啪| 黄色怎么调成土黄色| 成年女人在线观看亚洲视频 | 男男h啪啪无遮挡| tube8黄色片| 亚洲自拍偷在线| 亚洲av免费高清在线观看| 一个人看视频在线观看www免费| 七月丁香在线播放| 香蕉精品网在线| 午夜福利在线在线| 午夜老司机福利剧场| 欧美老熟妇乱子伦牲交| 男女下面进入的视频免费午夜| 亚洲欧美中文字幕日韩二区| 亚洲经典国产精华液单| 免费av毛片视频| 97热精品久久久久久| 国产伦理片在线播放av一区| 午夜激情久久久久久久| 久久久久久久亚洲中文字幕| 亚洲伊人久久精品综合| 干丝袜人妻中文字幕| 亚洲真实伦在线观看| 国产精品嫩草影院av在线观看| h日本视频在线播放| 亚洲国产精品成人综合色| 国产精品99久久久久久久久| 狂野欧美激情性xxxx在线观看| 欧美97在线视频| 国产欧美另类精品又又久久亚洲欧美| 国产色爽女视频免费观看| 美女国产视频在线观看| 国产亚洲av片在线观看秒播厂| 亚洲一级一片aⅴ在线观看| 中文字幕人妻熟人妻熟丝袜美| 国产精品久久久久久精品电影| 国产在线一区二区三区精| 美女主播在线视频| 九九爱精品视频在线观看| 少妇人妻 视频| 久久精品国产a三级三级三级| 搡女人真爽免费视频火全软件| 国产在线一区二区三区精| 色吧在线观看| 男女那种视频在线观看| 777米奇影视久久| 哪个播放器可以免费观看大片| 91精品国产九色| 美女国产视频在线观看| 欧美潮喷喷水| 综合色丁香网| 国产高清不卡午夜福利| 久久久久精品性色| 日韩欧美精品v在线| 久久精品国产a三级三级三级| 99久久精品热视频| 中文在线观看免费www的网站| 亚洲国产欧美在线一区| 99久久精品一区二区三区| 99九九线精品视频在线观看视频| 国产探花极品一区二区| 丝袜美腿在线中文| 国产白丝娇喘喷水9色精品| 精品久久久精品久久久| 肉色欧美久久久久久久蜜桃 | 97超碰精品成人国产| 一级二级三级毛片免费看|