• <tr id="yyy80"></tr>
  • <sup id="yyy80"></sup>
  • <tfoot id="yyy80"><noscript id="yyy80"></noscript></tfoot>
  • 99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看 ?

    面向服務(wù)的數(shù)據(jù)中心安全框架

    2018-02-01 03:27:05胡騰李觀文周華春
    電信科學(xué) 2018年1期
    關(guān)鍵詞:流表安全策略管理器

    胡騰,李觀文,周華春

    ?

    面向服務(wù)的數(shù)據(jù)中心安全框架

    胡騰1,李觀文2,周華春2

    (1. 中國(guó)工程物理研究院計(jì)算機(jī)應(yīng)用研究所,四川 綿陽(yáng) 621900; 2. 北京交通大學(xué)電子信息工程學(xué)院,北京 100044)

    隨著數(shù)據(jù)中心網(wǎng)絡(luò)在云計(jì)算領(lǐng)域的大規(guī)模商用,數(shù)據(jù)網(wǎng)絡(luò)的安全問(wèn)題愈發(fā)受到重視。然而,由于傳統(tǒng)數(shù)據(jù)中心安全設(shè)備部署方式靜態(tài)僵化,難以滿足動(dòng)態(tài)多變的網(wǎng)絡(luò)安全態(tài)勢(shì),無(wú)法應(yīng)對(duì)新的安全威脅。因此,提出一種面向服務(wù)的數(shù)據(jù)中心安全框架?;谔摂M化技術(shù)和軟件定義網(wǎng)絡(luò),將虛擬化的安全功能靈活組合,并實(shí)現(xiàn)安全策略動(dòng)態(tài)更新的過(guò)程。通過(guò)原型系統(tǒng)測(cè)試驗(yàn)證了所提安全框架的可行性和有效性,為數(shù)據(jù)中心網(wǎng)絡(luò)的靈活性和安全性提升提供了一種解決方案。

    數(shù)據(jù)中心網(wǎng)絡(luò);安全功能鏈;安全策略部署

    1 引言

    隨著云計(jì)算的發(fā)展與普及,數(shù)據(jù)中心規(guī)?;鲩L(zhǎng)的需求與日俱增。但是,當(dāng)前網(wǎng)絡(luò)安全態(tài)勢(shì)十分嚴(yán)峻,數(shù)據(jù)中心網(wǎng)絡(luò)面臨的安全威脅更是不容忽視。Cisco 2017 數(shù)據(jù)中心安全研究報(bào)告[1]指出,88% 的數(shù)據(jù)中心管理者稱2016年收到的安全攻擊有所增多,而只有38% 的管理者認(rèn)為數(shù)據(jù)中心應(yīng)對(duì)安全威脅的能力較好。面對(duì)不斷增多的安全威脅,數(shù)據(jù)中心網(wǎng)絡(luò)需要更加靈活和動(dòng)態(tài)的安全保障方案。

    然而,面對(duì)復(fù)雜的網(wǎng)絡(luò)安全局勢(shì),一方面,傳統(tǒng)數(shù)據(jù)中心安全設(shè)備集成度高、安裝部署復(fù)雜、更新成本大等局限,導(dǎo)致其難以有效應(yīng)對(duì)新的安全威脅和更多樣化的安全需求[2];另一方面,云計(jì)算的應(yīng)用帶來(lái)更加個(gè)性化的用戶服務(wù),也對(duì)數(shù)據(jù)中心安全提出更高的要求,過(guò)去靜態(tài)僵化的安全服務(wù)將無(wú)法滿足未來(lái)數(shù)據(jù)中心網(wǎng)絡(luò)動(dòng)態(tài)靈活的安全需求[3,4]。因此,需要建立面向服務(wù)的數(shù)據(jù)中心按需安全框架。

    逐漸成熟的NFV(network function virtualization,網(wǎng)絡(luò)功能虛擬化)技術(shù)[5]結(jié)合SDN(software- defined networking,軟件定義網(wǎng)絡(luò))[6],可以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)流量的靈活調(diào)度與網(wǎng)絡(luò)資源的動(dòng)態(tài)組合。參考文獻(xiàn)[7]由此提出了一種移動(dòng)目標(biāo)防御框架,實(shí)現(xiàn)靈活的數(shù)據(jù)中心安全防護(hù),可以有效緩解多種安全攻擊。參考文獻(xiàn)[8]則基于SDN架構(gòu)提出一種分析網(wǎng)絡(luò)流量安全需求并部署相應(yīng)安全功能的框架。直到SFC(service function chaining,服務(wù)功能鏈)工作組[9]提出一種基于SDN/NFV的服務(wù)功能鏈架構(gòu),將現(xiàn)有的基礎(chǔ)網(wǎng)絡(luò)功能進(jìn)行有序組合,首先提出在數(shù)據(jù)中心部署安全功能鏈[10],以滿足未來(lái)數(shù)據(jù)中心網(wǎng)絡(luò)更加靈活、多樣化的安全需求。參考文獻(xiàn)[11]綜合考慮了當(dāng)前網(wǎng)絡(luò)面臨的主要安全威脅,總結(jié)了12種基本的網(wǎng)絡(luò)安全防御模式,提出針對(duì)不同類型安全威脅的安全功能鏈構(gòu)建方式,現(xiàn)已經(jīng)基本實(shí)現(xiàn)常見(jiàn)安全場(chǎng)景的覆蓋。參考文獻(xiàn)[12]進(jìn)一步將SFC的設(shè)計(jì)思想融入數(shù)據(jù)中心安全防護(hù),通過(guò)動(dòng)態(tài)調(diào)整流量的安全檢測(cè)路徑,適應(yīng)用戶動(dòng)態(tài)的安全需求。然而,為應(yīng)對(duì)新的安全威脅,除了安全功能的動(dòng)態(tài)組合,還需要安全策略的快速部署與及時(shí)更新。I2NSF(interface to network security function,網(wǎng)絡(luò)安全功能接口)工作組[13]提出一種安全策略部署框架,期望實(shí)現(xiàn)安全策略動(dòng)態(tài)按需的管理,可以為數(shù)據(jù)中心網(wǎng)絡(luò)的安全管理員提供更加便捷、靈活的安全策略管理模式,有效降低安全策略,更新成本。然而,目前尚缺乏一種統(tǒng)一的數(shù)據(jù)中心安全框架,可以同時(shí)實(shí)現(xiàn)安全功能的靈活組合與安全策略的動(dòng)態(tài)更新。

    因此,本文結(jié)合I2NSF與SFC的設(shè)計(jì)思想,提出一種面向服務(wù)的數(shù)據(jù)中心安全框架。該架構(gòu)將傳統(tǒng)的基礎(chǔ)安全功能進(jìn)行虛擬化與資源池化,同時(shí)解耦控制層面與數(shù)據(jù)轉(zhuǎn)發(fā)層面,可以針對(duì)不同安全威脅靈活組合所需的安全功能,有效降低安全功能重新部署的成本,并支持?jǐn)?shù)據(jù)中心網(wǎng)絡(luò)動(dòng)態(tài)可變的安全需求。同時(shí),采用面向服務(wù)的策略管理方法,降低數(shù)據(jù)中心網(wǎng)絡(luò)安全維護(hù)成本和網(wǎng)絡(luò)管理員的操作復(fù)雜度,從而提高策略配置的效率和正確性。

    2 面向服務(wù)的安全框架

    本框架采用虛擬化技術(shù),將傳統(tǒng)網(wǎng)絡(luò)安全功能資源池化,實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)中安全服務(wù)資源的統(tǒng)一管理和靈活調(diào)度。該框架基于安全功能鏈思想,根據(jù)用戶業(yè)務(wù)的特定需求,將多種安全功能進(jìn)行鏈?zhǔn)浇M合,并根據(jù)需要在各安全功能上部署相應(yīng)的安全策略,動(dòng)態(tài)構(gòu)建所需的安全功能鏈。此外,考慮到用戶業(yè)務(wù)可能經(jīng)過(guò)分布式的多數(shù)據(jù)中心結(jié)構(gòu),該框架可實(shí)現(xiàn)跨域的安全互聯(lián),同時(shí)保障用戶側(cè)和數(shù)據(jù)側(cè)的安全。提出的面向服務(wù)的安全框架設(shè)計(jì)如圖1所示。

    圖1 面向服務(wù)的安全框架設(shè)計(jì)

    2.1 安全服務(wù)層

    安全服務(wù)層致力于滿足網(wǎng)絡(luò)安全管理員的安全服務(wù)需求,并針對(duì)這些安全服務(wù)需求進(jìn)行安全服務(wù)的分類與安全策略的分配,確定網(wǎng)絡(luò)安全管理員所需的邏輯安全功能鏈。安全服務(wù)管理器實(shí)現(xiàn)從安全服務(wù)需求到邏輯安全功能鏈及相應(yīng)安全策略的匹配過(guò)程。

    安全服務(wù)需求可以由網(wǎng)絡(luò)安全管理員手動(dòng)配置,即先通過(guò)安全功能配置界面設(shè)定所需的安全功能,然后,跳轉(zhuǎn)到安全策略配置界面,根據(jù)安全功能的類型制定相應(yīng)的安全策略。安全服務(wù)管理器根據(jù)網(wǎng)絡(luò)安全管理員的配置生成邏輯的安全功能鏈,通過(guò)安全功能鏈配置接口交付給資源適配層的安全功能鏈管理器,安全策略則通過(guò)安全策略配置接口交付給安全策略管理器做進(jìn)一步處理。

    2.2 資源適配層

    資源適配層從安全服務(wù)層獲得網(wǎng)絡(luò)安全管理員所需的邏輯上的安全功能鏈與安全略,然后,分別交付給安全功能鏈管理器與安全策略管理器。其中,安全功能鏈管理器由安全適配模塊、容器管理模塊及流表管理模塊組成。

    安全適配模塊首先解析安全服務(wù)層的邏輯安全功能鏈,匹配系統(tǒng)可提供安全功能實(shí)例資源,獲知所需安全功能的類型與具體數(shù)量,然后,向容器管理模塊發(fā)起資源請(qǐng)求。容器管理模塊可以基于當(dāng)前網(wǎng)絡(luò)系統(tǒng)的運(yùn)行狀態(tài)(如計(jì)算節(jié)點(diǎn)的CPU利用率和鏈路擁塞情況)和已開(kāi)啟的安全功能實(shí)例資源的負(fù)載狀態(tài)信息,選擇創(chuàng)建新的安全功能實(shí)例或重用已有安全功能實(shí)例。之后,容器管理模塊會(huì)返回所請(qǐng)求的安全功能實(shí)例的相關(guān)信息(如網(wǎng)絡(luò)位置信息)給安全適配模塊。安全適配模塊由此構(gòu)建完整的網(wǎng)絡(luò)拓?fù)湫畔?,并通告流表管理模塊。流表管理模塊據(jù)此建立該安全功能鏈對(duì)應(yīng)的完整的安全功能路徑配置信息。此外,容器管理模塊還可以動(dòng)態(tài)調(diào)整安全功能實(shí)例資源,及時(shí)釋放空閑的網(wǎng)絡(luò)系統(tǒng)資源,提供系統(tǒng)資源的利用率。

    安全策略管理器包括安全控制器和規(guī)則分發(fā)器,實(shí)現(xiàn)從面向用戶的安全策略向面向功能的安全規(guī)則轉(zhuǎn)換的翻譯過(guò)程與規(guī)則下發(fā)過(guò)程。面向用戶的安全策略由網(wǎng)絡(luò)安全管理員進(jìn)行配置,采用人類可讀的語(yǔ)言描述,卻無(wú)法直接由安全功能實(shí)例執(zhí)行,因此,需要安全控制器對(duì)其進(jìn)行一次策略翻譯,實(shí)現(xiàn)從面向用戶的安全策略到面向功能的安全規(guī)則的轉(zhuǎn)換過(guò)程。與此同時(shí),安全策略管理器也會(huì)收到來(lái)自安全功能鏈管理器分配的安全功能實(shí)例的相關(guān)信息,以生成實(shí)際可部署的安全規(guī)則,并調(diào)用規(guī)則分發(fā)器下發(fā)這些安全規(guī)則到對(duì)應(yīng)的安全功能實(shí)例。

    此外,資源適配層需要維護(hù)兩個(gè)數(shù)據(jù)庫(kù),即安全功能信息庫(kù)(security function information base, SFIB)和安全策略信息庫(kù)(security policy information base,SPIB)。安全功能信息庫(kù)存儲(chǔ)網(wǎng)絡(luò)中所有的安全功能實(shí)例資源的相關(guān)信息,用于容器管理模塊動(dòng)態(tài)查詢與更新。安全策略信息庫(kù)存儲(chǔ)所有的安全策略信息,并維護(hù)面向用戶的安全策略與面向功能的安全規(guī)則之間的映射關(guān)系。

    2.3 數(shù)據(jù)轉(zhuǎn)發(fā)層

    數(shù)據(jù)轉(zhuǎn)發(fā)層由兩類實(shí)體組成,分別是安全功能組件和路由轉(zhuǎn)發(fā)組件。

    安全功能組件由容器管理模塊動(dòng)態(tài)維護(hù),負(fù)責(zé)提供安全功能實(shí)例資源。安全功能實(shí)例基于資源適配層的安全策略管理器下發(fā)的安全規(guī)則,對(duì)數(shù)據(jù)流執(zhí)行實(shí)際的安全處理。

    路由轉(zhuǎn)發(fā)組件是數(shù)據(jù)流的基礎(chǔ)轉(zhuǎn)發(fā)設(shè)備,根據(jù)資源適配層的流表管理模塊下發(fā)的流表信息,對(duì)數(shù)據(jù)流執(zhí)行路由轉(zhuǎn)發(fā)操作。路由轉(zhuǎn)發(fā)組件包括分類器與轉(zhuǎn)發(fā)器。其中,分類器負(fù)責(zé)對(duì)不同數(shù)據(jù)流標(biāo)記相應(yīng)的SPI(service path ID,服務(wù)路徑標(biāo)識(shí))并分配初始的SI(service index,服務(wù)索引值),而轉(zhuǎn)發(fā)器負(fù)責(zé)將數(shù)據(jù)流導(dǎo)入相應(yīng)的安全功能實(shí)例,并對(duì)經(jīng)過(guò)安全處理的數(shù)據(jù)流的SI執(zhí)行減一操作。

    3 關(guān)鍵技術(shù)

    該框架涉及的關(guān)鍵技術(shù)包括安全功能的靈活組合與安全策略的動(dòng)態(tài)部署兩部分,分別介紹實(shí)現(xiàn)對(duì)應(yīng)功能的安全功能鏈管理系統(tǒng)與安全策略管理系統(tǒng)。

    3.1 安全功能鏈管理系統(tǒng)

    安全功能鏈管理系統(tǒng)涉及安全服務(wù)層的安全需求配置界面、資源適配層的安全功能鏈管理系統(tǒng)與數(shù)據(jù)轉(zhuǎn)發(fā)層的安全功能組件與路由轉(zhuǎn)發(fā)組件。安全需求配置界面基于OpenDaylight SFC項(xiàng)目[14]實(shí)現(xiàn)。

    安全功能鏈管理器是面向服務(wù)的數(shù)據(jù)中心安全框架中控制平面的重要組成部分,實(shí)現(xiàn)虛擬網(wǎng)絡(luò)資源的動(dòng)態(tài)管理與適配、安全功能實(shí)例的按需選擇或?qū)嵗?、安全功能路徑的?dòng)態(tài)創(chuàng)建與管理。安全功能鏈管理器的模塊組成如圖2所示。

    安全功能鏈管理系統(tǒng)由安全適配模塊、容器管理模塊及流表管理模塊組成。由于虛擬化的安全功能采用容器技術(shù)實(shí)現(xiàn),對(duì)應(yīng)的容器管理模塊采用Docker Swarm技術(shù)[15]管理網(wǎng)絡(luò)中可用的安全功能資源。Docker Swarm采用TCP與基礎(chǔ)設(shè)施網(wǎng)絡(luò)中的安全功能組件(計(jì)算節(jié)點(diǎn))組成集群,同時(shí)為安全適配模塊提供了系統(tǒng)調(diào)用的接口。流表管理模塊基于OpenDaylight SFC項(xiàng)目開(kāi)發(fā),它采用OpenFlow協(xié)議管理數(shù)據(jù)轉(zhuǎn)發(fā)層中的路由轉(zhuǎn)發(fā)組件,支持網(wǎng)絡(luò)安全管理員通過(guò)Web界面配置邏輯安全功能鏈,同時(shí)也為安全適配模塊提供了RESTful接口調(diào)用??紤]實(shí)際的安全功能鏈可能跨越多個(gè)數(shù)據(jù)中心域,擴(kuò)展了OpenDaylight SFC的跨域互聯(lián)功能,可生成跨域的轉(zhuǎn)發(fā)流表?;赑ython開(kāi)發(fā)了安全適配模塊,它一方面負(fù)責(zé)從安全服務(wù)層獲得用戶或網(wǎng)絡(luò)安全管理員所需的邏輯上的安全功能鏈;另一方面,支持Docker Swarm與OpenDaylight SFC之間的通信與信息交互。

    圖2 安全功能鏈管理系統(tǒng)設(shè)計(jì)

    安全功能鏈管理系統(tǒng)的工作流程如下。

    (1)網(wǎng)絡(luò)管理員通過(guò)安全需求配置界面定制所需的安全服務(wù),生成邏輯的安全功能鏈。

    (2)安全適配模塊采用系統(tǒng)調(diào)用的方式向容器管理器請(qǐng)求提供相應(yīng)的安全功能實(shí)例,后者基于當(dāng)前的資源信息,選擇已有的安全功能實(shí)例或創(chuàng)建新的安全功能實(shí)例,并返回所選實(shí)例的網(wǎng)絡(luò)信息。

    (3)安全適配模塊調(diào)用RESTful接口向流表管理模塊通告該安全功能鏈的轉(zhuǎn)發(fā)配置。

    (4)流表管理模塊利用OpenFlow協(xié)議向數(shù)據(jù)轉(zhuǎn)發(fā)層中的安全感知組件和路由轉(zhuǎn)發(fā)組件下發(fā)流表配置。

    安全功能鏈管理系統(tǒng)的主要優(yōu)勢(shì)如下。

    (1)支持安全功能的虛擬化及對(duì)應(yīng)實(shí)例的管理選擇

    數(shù)據(jù)轉(zhuǎn)發(fā)層采用容器技術(shù)實(shí)現(xiàn)安全功能的輕量虛擬化,安全功能鏈管理器中容器管理模塊負(fù)責(zé)對(duì)這些虛擬化的安全功能實(shí)例進(jìn)行統(tǒng)一管理。容器管理模塊可以遠(yuǎn)程管理和控制每個(gè)計(jì)算節(jié)點(diǎn)的虛擬資源,根據(jù)系統(tǒng)運(yùn)行狀態(tài)和負(fù)載狀態(tài)動(dòng)態(tài)創(chuàng)建、刪除安全功能實(shí)例。安全適配器可以調(diào)用容器管理模塊選擇所需的安全功能實(shí)例。

    (2)支持?jǐn)?shù)據(jù)中心域內(nèi)的安全功能鏈自動(dòng)化部署

    安全功能鏈管理器的安全適配模塊可以獲得網(wǎng)絡(luò)拓?fù)湫畔⒉⒏嬷鞅砉芾砟K,由流表管理模塊根據(jù)安全功能鏈的路徑生成對(duì)應(yīng)的轉(zhuǎn)發(fā)流表,下發(fā)到數(shù)據(jù)轉(zhuǎn)發(fā)層。數(shù)據(jù)轉(zhuǎn)發(fā)層的路由轉(zhuǎn)發(fā)組件采用Open vSwitch軟件交換機(jī)[16]實(shí)現(xiàn),可以實(shí)現(xiàn)安全功能鏈中的分類器與轉(zhuǎn)發(fā)器。通過(guò)安全功能鏈管理器下發(fā)流表到Open vSwitch,可以實(shí)現(xiàn)數(shù)據(jù)中心域內(nèi)安全功能鏈的自動(dòng)化部署。

    (3)支持跨數(shù)據(jù)中心域的安全功能鏈部署

    擴(kuò)展數(shù)據(jù)攜帶的頭部信息,可存儲(chǔ)數(shù)據(jù)流跨數(shù)據(jù)中心域轉(zhuǎn)發(fā)時(shí)所需的SPI/SI信息,并擴(kuò)展OpenDaylight SFC,實(shí)現(xiàn)控制層面對(duì)跨域轉(zhuǎn)發(fā)邏輯的支持。通過(guò)預(yù)定義跨域所需的SPI/SI信息,可以支持在多數(shù)據(jù)中心域中自動(dòng)化部署安全功能鏈。

    3.2 安全策略管理系統(tǒng)

    安全策略管理系統(tǒng)涉及安全服務(wù)層的安全策略配置界面、資源適配層的安全策略管理器和數(shù)據(jù)轉(zhuǎn)發(fā)層的安全功能組件。

    安全策略管理器基于I2NSF控制平面設(shè)計(jì),可以實(shí)現(xiàn)網(wǎng)絡(luò)安全管理員通過(guò)Web界面手動(dòng)配置具體的安全策略,并通過(guò)安全控制器下發(fā)到格式化的策略到制定的安全功能組件。安全策略管理器的基本工作流程如圖3所示。

    圖3 安全策略管理系統(tǒng)設(shè)計(jì)

    安全策略管理系統(tǒng)由用戶界面和安全控制器組成。用戶界面為網(wǎng)絡(luò)安全管理員提供可視化的安全策略配置界面,可指定所需安全服務(wù)類型與策略。安全控制器實(shí)現(xiàn)面向用戶的安全策略到面向功能的安全規(guī)則的翻譯過(guò)程,并實(shí)現(xiàn)安全規(guī)則的自動(dòng)化下發(fā)過(guò)程。

    安全策略管理系統(tǒng)的工作流程如下。

    (1)網(wǎng)絡(luò)安全管理員通過(guò)Web界面制定特定安全功能的安全策略,將策略存入安全策略信息庫(kù),同時(shí)發(fā)送給安全控制器。

    (2)安全控制器根據(jù)安全功能鏈管理器提供的安全功能實(shí)例信息,將收到的面向服務(wù)的安全策略翻譯為面向功能的安全規(guī)則,并對(duì)其進(jìn)行XML格式化。

    (3)安全控制器調(diào)用規(guī)則分發(fā)器將格式化的策略配置通過(guò)Netconf協(xié)議發(fā)送到安全功能實(shí)例上。

    安全策略管理系統(tǒng)的主要優(yōu)勢(shì)如下。

    (1)支持動(dòng)態(tài)策略更新

    因?yàn)殪o態(tài)設(shè)置的數(shù)據(jù)編號(hào),過(guò)去同一安全對(duì)象的安全策略無(wú)法進(jìn)行更新,而這將不利于本地的策略維護(hù)與多域策略協(xié)同處理。因此,應(yīng)采用時(shí)間相關(guān)函數(shù)為安全策略分配動(dòng)態(tài)編號(hào),初步實(shí)現(xiàn)本地策略更新功能。

    (2)支持多數(shù)據(jù)庫(kù)同步

    考慮多域安全策略共享與查詢問(wèn)題,控制平面采用可集群部署的數(shù)據(jù)庫(kù)存儲(chǔ)域內(nèi)的安全策略。由于Redis數(shù)據(jù)庫(kù)[17]可以快速實(shí)現(xiàn)集群的部署且擁有較好的數(shù)據(jù)同步功能,因此,應(yīng)選用Redis數(shù)據(jù)庫(kù)作為安全策略數(shù)據(jù)庫(kù)。

    4 系統(tǒng)驗(yàn)證

    為驗(yàn)證提出的面向服務(wù)的數(shù)據(jù)中心安全框架,本文基于OpenStack[18]建立虛擬化的測(cè)試床,參考SFC工作組草案[10]給出的多數(shù)據(jù)中心環(huán)境下的多SFC域互聯(lián)場(chǎng)景,建立如圖4所示的系統(tǒng)驗(yàn)證場(chǎng)景。

    該場(chǎng)景中,數(shù)據(jù)中心1構(gòu)成一個(gè)云辦公平臺(tái),可以為不同用戶提供定制化和安全的云辦公環(huán)境。而數(shù)據(jù)中心2通過(guò)虛擬化技術(shù)整合底層設(shè)施資源,可以為多個(gè)用戶同時(shí)提供應(yīng)用層服務(wù)。每個(gè)數(shù)據(jù)中心域內(nèi)采用SDN/NFV技術(shù)搭建傳統(tǒng)數(shù)據(jù)中心網(wǎng)絡(luò)的fat-tree拓?fù)?。由于兩?shù)據(jù)中心地理位置相距較遠(yuǎn),數(shù)據(jù)中心1的用戶可通過(guò)互聯(lián)網(wǎng)遠(yuǎn)程訪問(wèn)數(shù)據(jù)中心2中的服務(wù)資源。假定某一云辦公平臺(tái)用戶希望訪問(wèn)位于數(shù)據(jù)中心2中的某種特定服務(wù)資源,則該用戶的數(shù)據(jù)請(qǐng)求與傳輸需要跨域兩個(gè)不同的數(shù)據(jù)中心。為保障整個(gè)通信過(guò)程的安全,需要為該用戶的服務(wù)流建立一條跨域的安全功能鏈。其中,每個(gè)數(shù)據(jù)中心的接入層和匯聚層的虛擬交換機(jī)與核心層交換機(jī)均可視為轉(zhuǎn)發(fā)器,入口/出口網(wǎng)關(guān)作為分類器,而安全功能實(shí)例則通過(guò)容器方式在虛擬交換機(jī)上按需開(kāi)啟。該場(chǎng)景中的安全功能鏈需要跨兩個(gè)數(shù)據(jù)中心域,同時(shí),保護(hù)用戶側(cè)和數(shù)據(jù)側(cè)安全。其中,用戶側(cè)包括用于流量監(jiān)控的入侵檢測(cè)系統(tǒng)和進(jìn)行內(nèi)部防護(hù)的防火墻,數(shù)據(jù)側(cè)則包含阻止外部入侵的防火墻與用于DDoS攻擊緩解的入侵檢測(cè)服務(wù)。兩側(cè)安全功能實(shí)例分別部署在靠近用戶側(cè)和數(shù)據(jù)側(cè)的虛擬交換機(jī)上。

    圖4 系統(tǒng)驗(yàn)證場(chǎng)景

    為驗(yàn)證提出的面向服務(wù)的數(shù)據(jù)中心安全框架,首先,通過(guò)安全服務(wù)管理器的配置界面部署該安全功能鏈,包括兩個(gè)防火墻(FW)功能與兩個(gè)入侵檢測(cè)(IDS)功能。其中,左側(cè)的防火墻與入侵檢測(cè)系統(tǒng)位于數(shù)據(jù)中心1,右側(cè)的防火墻與入侵檢測(cè)系統(tǒng)位于數(shù)據(jù)中心2。安全功能鏈管理器根據(jù)安全需求分配安全功能鏈,并自動(dòng)生成相應(yīng)的SPI為165,如圖5所示。其中,防火墻功能由iptables軟件[19]實(shí)現(xiàn),入侵檢測(cè)功能由Snort軟件[20]實(shí)現(xiàn)。

    圖5 安全功能鏈配置界面

    通過(guò)安全功能鏈管理系統(tǒng)對(duì)該安全功能鏈進(jìn)行解析,并下發(fā)相應(yīng)流表到對(duì)應(yīng)的虛擬交換機(jī)上,以深度分組檢測(cè)為例,其流表配置如圖6所示。

    圖6 將數(shù)據(jù)流導(dǎo)入入侵檢測(cè)功能的流表項(xiàng)

    從圖6中可以看到,交換機(jī)接收到數(shù)據(jù)流后,通過(guò)流表逐條匹配SPI為165(流表項(xiàng)中表示為nsp)且SI為255(流表項(xiàng)中表示為nsi)的數(shù)據(jù)流。由于255為SI初始值,可以獲知需要該數(shù)據(jù)流需要經(jīng)過(guò)第一個(gè)安全攻能,即入侵檢測(cè)功能。然后匹配最終的流表?xiàng)l目,通過(guò)基于NSH(network service header,網(wǎng)絡(luò)服務(wù)報(bào)頭)的SFC流轉(zhuǎn)發(fā)方式[21],將數(shù)據(jù)流轉(zhuǎn)發(fā)到入侵檢測(cè)功能實(shí)例中。類似地,由于經(jīng)過(guò)入侵檢測(cè)功能處理后的數(shù)據(jù)流的SI值會(huì)減一(即SPI仍為165,SI為254),通過(guò)匹配如圖7所示流表,以類似方式轉(zhuǎn)發(fā)數(shù)據(jù)流至下一跳交換機(jī)。

    圖7 處理從入侵檢測(cè)功能流出數(shù)據(jù)的流表項(xiàng)

    安全功能鏈系統(tǒng)通過(guò)解析網(wǎng)絡(luò)安全管理員配置的安全需求,自動(dòng)向每個(gè)轉(zhuǎn)發(fā)器下發(fā)類似的流表,從而實(shí)現(xiàn)數(shù)據(jù)流在整個(gè)安全功能路徑內(nèi)的轉(zhuǎn)發(fā)操作,確保數(shù)據(jù)流可以依次經(jīng)過(guò)每個(gè)所需的安全功能實(shí)例。

    安全功能鏈確定后,還要根據(jù)安全需求設(shè)定相應(yīng)的安全策略。以該安全功能鏈中的入侵檢測(cè)功能為例,首先,通過(guò)安全策略配置界面中的安全功能選擇頁(yè)面,選擇需要配置策略的安全功能的類型,如圖8所示。

    圖8 安全功能選擇界面

    然后,可以看到如圖9所示安全策略詳細(xì)配置界面。在這里,網(wǎng)絡(luò)安全管理員可以定義該策略的名稱、策略的匹配項(xiàng)目和所需要執(zhí)行的安全行為。對(duì)于入侵檢測(cè)功能,這里定義檢測(cè)到源IP地址為10.0.0.24的數(shù)據(jù)流后進(jìn)行告警操作。

    配置好后選擇提交,即可完成該功能的策略配置過(guò)程,后續(xù)的策略翻譯與下發(fā)均由安全策略管理系統(tǒng)自動(dòng)完成。其中,安全策略管理系統(tǒng)基于Cisco的ConfD引擎[22]實(shí)現(xiàn)Netconf協(xié)議傳輸配置好的策略,在安全功能實(shí)例上可以實(shí)時(shí)看到策略接收過(guò)程,如圖10所示。此外,其他安全功能的策略配置過(guò)程也是類似的,此處不再贅述。

    圖9 入侵檢測(cè)配置界面

    圖10 入侵檢測(cè)功能實(shí)例的策略接收過(guò)程

    此外,還可以通過(guò)如圖11所示的安全功能日志選項(xiàng),查看已配置好的安全策略,為網(wǎng)絡(luò)安全管理員后續(xù)添加或修改安全策略做參考,避免錯(cuò)誤配置或重復(fù)配置。

    圖11 安全策略配置日志

    最后,配置好的入侵檢測(cè)系統(tǒng)策略被部署到入侵檢測(cè)功能實(shí)例上。由于本文采用的入侵檢測(cè)功能實(shí)例由Snort實(shí)現(xiàn),可以看到如圖12所示的Snort規(guī)則文件中存在新配置的條目,證明該安全策略已成功配置。

    圖12 入侵檢測(cè)功能的規(guī)則文件

    5 結(jié)束語(yǔ)

    本文考慮到現(xiàn)有數(shù)據(jù)中心網(wǎng)絡(luò)靜態(tài)僵化的安全部署方案難以有效地應(yīng)對(duì)日趨多樣化的安全威脅,提出一種面向服務(wù)的數(shù)據(jù)中心網(wǎng)絡(luò)安全框架,將網(wǎng)絡(luò)安全功能進(jìn)行虛擬化后統(tǒng)一管理;設(shè)計(jì)相應(yīng)的安全功能管理與安全策略下發(fā)系統(tǒng),以實(shí)現(xiàn)安全功能的靈活組合與安全策略的動(dòng)態(tài)更新。通過(guò)原型系統(tǒng)測(cè)試,驗(yàn)證提出的安全框架可以滿足未來(lái)數(shù)據(jù)中心網(wǎng)絡(luò)更加靈活、個(gè)性的安全需求。

    [1] Cisco. Cisco Data Center Security Study[R]. 2017.

    [2] 韋樂(lè)平. SDN的戰(zhàn)略性思考[J]. 電信科學(xué), 2015, 31(1): 7-12.

    WEI L P. Strategic thinking on SDN [J]. Telecommunications Science, 2015, 31(1): 7-12.

    [3] 王歆平, 王茜, 劉恩慧, 等. 基于SDN的按需智能路由系統(tǒng)研究與驗(yàn)證[J]. 電信科學(xué), 2014, 30(4): 8-14.

    WANG X P, WANG Q, LIU E H, et al. Research and verification on SDN-based on-demand smart routing system [J]. Telecommunications Science, 2014, 30(4): 8-14.

    [4] 李丹, 劉方明, 郭得科, 等. 軟件定義的云數(shù)據(jù)中心網(wǎng)絡(luò)基礎(chǔ)理論與關(guān)鍵技術(shù)[J]. 電信科學(xué), 2014, 30(6): 48-59.

    LI D, LIU F M, GUO D K, et al. Fundamental theory and key technology of software defined cloud data center network [J]. Telecommunications Science, 2014, 30(6): 48-59.

    [5] HAN B, GOPALAKRISHNAN V, JI L, et al. Network function virtualization: challenges and opportunities for innovations[J]. IEEE Communications Magazine, 2015, 53(2): 90-97.

    [6] NICK M, TOM A, HARI B, et al. OpenFlow: enabling innovation in campus networks[J]. ACM SIGCOMM Computer Communication Review, 2008, 38(2): 69-74.

    [7] CHUNG C J, XING T, HUANG D, et al. SeReNe: on establishing secure and resilient networking services for an SDN-based multi-tenant datacenter environment[C]// IEEE International Conference on Dependable Systems and Networks Workshops, June 22-25, 2015, Rio de Janeiro, Brazil. Piscataway: IEEE Press, 2015.

    [8] AMMAR M, RIZK M, ABDEL-HAMID A, et al. A framework for security enhancement in SDN-based datacenters[C]//2016 8th IFIP International Conference on New Technologies, Mobility and Security, November 21-23, 2016, Larnaca, Cyprus. Piscataway: IEEE Press, 2016.

    [9] JOEL H, CARLOS P. Service function chaining, RFC Editor, October 2015[R/OL]. (2015-10-01)[2017-11-14]. https://www. rfc-editor.org/rfc/rfc7665.txt.

    [10] KUMAR S, TUFAIL M, MAJEE S, et al. Service function chaining use cases in data centers. Internet-Draft draft-ietf- sfc- dc-use-cases-06[RB/OL]. (2017-01-01)[2017-11-14]. http://www. ietf.org/internet-drafts/draft-ietf-sfc-dc-use-cases-06.txt.

    [11] LEIVADEAS A, FALKNER M, LAMBADARIS I, et al. Resource management and orchestration for a dynamic service chain steering model[C]//IEEE Global Communications Conference, December 4-8, 2016,Washington, DC, USA. Piscataway: IEEE Press, 2016.

    [12] WANG X, LIU Z, LI J, et al. Tualatin: towards network security service provision in cloud datacenters[C]//2014 3rd International Conference on Computer Communication and Networks, August 4-7, 2014, Shanghai, China. Piscataway: IEEE Press, 2016.

    [13] LOPEZ D, LOPEZ E, DUNBAR L, et al. Framework for interface to network security functions. Internet-Draft draft- ietf-i2nsf-framework-08, IETF Secretariat, October 2017[R/OL]. (2017-10-10)[2017-11-10]. https://www.ietf.org /archive/id/draft- ietf-i2nsf-framework-08.txt.

    [14] OpenDaylight SFC project [EB/OL]. (2016-10-21)[2017-11-10]. https://github.com/opendaylight/sfc.

    [15] Docker [EB/OL]. (2017-01-01)[2017-11-10]. https://www. docker.com.

    [16] Open vSwitch [EB/OL]. (2016-01-01)[2017-11-10]. http:// openvswitch.org.

    [17] Redis [EB/OL]. (2017-01-01)[2017-11-10]. https://redis.io.

    [18] Openstack [EB/OL]. (2017-01-01)[2017-11-10]. https://www. openstack.org.

    [19] Iptables [EB/OL]. (2014-01-01)[2017-11-10]. http://www.netfilter.

    org/projects/iptables/index.html.

    [20] Snort [EB/OL]. (2017-01-01)[2017-11-10]. https://www. snort.org.

    [21] PAUL Q, URI E, CARLOS P. Network service header (NSH): Internet-Draft draft-ietf-sfc-nsh-28[EB/OL]. (2017-11-03) [2017-11-10]. http://www. ietf.org/internet- drafts/draft-ietf-sfc- nsh-28.txt.

    [22] Conf D[EB/OL]. (2017-01-01)[2017-11-10]. http://developer. cisco.com/site/confd.

    Service-oriented security framework for datacenter networks

    HU Teng1, LI Guanwen2, ZHOU Huachun2

    1. Institute of Computer Application, China Academy of Engineering Physics, Mianyang 621900, China 2. School of Electronic and Information Engineering, Beijing Jiaotong University, Beijing 100044, China

    With the large-scale deployment of datacenters in cloud computing, there is an increasing attention to their security issues. However, with the ossify deployment of traditional security devices, it is hard to meet the requirements of dynamical network security situation and copy with new kinds of security threats. Therefore, a service-oriented security framework for datacenter networks was proposed, which was able to compose the virtualized security functions flexibly and update the security policies dynamically based on virtualization technology and software-defined networking. With the implementation of prototype, the feasibility and availability of the proposed security framework was proved, and a solution to promote the flexibility and security of datacenter networks was provided.

    datacenter network, security function chaining, security policy deployment

    TP393

    A

    10.11959/j.issn.1000?0801.2018031

    2017?11?14;

    2017?12?13

    NSAF聯(lián)合基金資助項(xiàng)目(No. U1530118);國(guó)家自然科學(xué)基金資助項(xiàng)目(No. 61271202);國(guó)防基礎(chǔ)科研基金資助項(xiàng)目(No. JCKY2016212C005)

    NSAF (No. U1530118), The National Natural Science Foundation of China(No. 61271202), National Defense Basic Scientific Research Program of China(No. JCKY2016212C005)

    胡騰(1988?),男,中國(guó)工程物理研究院計(jì)算機(jī)應(yīng)用研究所工程師,主要研究方向?yàn)橛?jì)算機(jī)技術(shù)與信息安全。

    李觀文(1992?),男,北京交通大學(xué)電子信息工程學(xué)院博士生,主要研究方向?yàn)檐浖x網(wǎng)絡(luò)與網(wǎng)絡(luò)安全。

    周華春(1965?),男,博士,北京交通大學(xué)電子信息工程學(xué)院教授、博士生導(dǎo)師,主要研究方向?yàn)橐苿?dòng)互聯(lián)網(wǎng)、網(wǎng)絡(luò)安全與衛(wèi)星網(wǎng)絡(luò)。

    猜你喜歡
    流表安全策略管理器
    基于認(rèn)知負(fù)荷理論的叉車安全策略分析
    基于時(shí)序與集合的SDN流表更新策略
    應(yīng)急狀態(tài)啟動(dòng)磁盤管理器
    基于飛行疲勞角度探究民航飛行員飛行安全策略
    Windows文件緩沖處理技術(shù)概述
    基于緩存策略的OpenFlow流表存儲(chǔ)優(yōu)化方案研究
    簡(jiǎn)析yangUI流表控制
    軟件定義網(wǎng)絡(luò)中一種兩步式多級(jí)流表構(gòu)建算法
    淺析涉密信息系統(tǒng)安全策略
    高集成度2.5A備份電源管理器簡(jiǎn)化鋰離子電池備份系統(tǒng)
    草草在线视频免费看| 免费av毛片视频| 九九热线精品视视频播放| 精品久久久久久久末码| 亚洲人成网站在线播| 91狼人影院| 亚洲专区中文字幕在线| 黄片小视频在线播放| 狠狠狠狠99中文字幕| 在线看三级毛片| 久久人妻av系列| 国产精品一区二区三区四区免费观看 | АⅤ资源中文在线天堂| 中亚洲国语对白在线视频| 免费看日本二区| 在线观看免费视频日本深夜| 3wmmmm亚洲av在线观看| 99久久无色码亚洲精品果冻| 久久草成人影院| 丁香六月欧美| 精品一区二区三区视频在线观看免费| 黄色女人牲交| 欧美在线一区亚洲| 亚洲第一电影网av| 日本黄色视频三级网站网址| 长腿黑丝高跟| 一进一出抽搐动态| 美女被艹到高潮喷水动态| 国产亚洲精品久久久久久毛片| 午夜a级毛片| 亚洲av熟女| 首页视频小说图片口味搜索| 一本综合久久免费| 国产av在哪里看| 露出奶头的视频| 日韩有码中文字幕| av专区在线播放| 亚洲一区二区三区色噜噜| 亚洲av免费在线观看| 99riav亚洲国产免费| 直男gayav资源| 网址你懂的国产日韩在线| 亚洲自拍偷在线| 我要看日韩黄色一级片| 成年免费大片在线观看| 日韩精品中文字幕看吧| 丰满的人妻完整版| 久久久久国内视频| 中文字幕久久专区| 婷婷精品国产亚洲av在线| a级毛片免费高清观看在线播放| 久99久视频精品免费| 成人欧美大片| 亚洲真实伦在线观看| 综合色av麻豆| 在线免费观看不下载黄p国产 | 免费一级毛片在线播放高清视频| 人人妻,人人澡人人爽秒播| 午夜福利免费观看在线| 国产麻豆成人av免费视频| 99精品在免费线老司机午夜| 人人妻,人人澡人人爽秒播| 国产一区二区三区在线臀色熟女| 久久草成人影院| 在线a可以看的网站| 91av网一区二区| 波多野结衣高清作品| 最后的刺客免费高清国语| 久久草成人影院| 亚洲在线观看片| 成年版毛片免费区| 精品久久久久久,| 色综合站精品国产| 麻豆国产av国片精品| 亚洲人成网站在线播| 欧美绝顶高潮抽搐喷水| 午夜两性在线视频| 国产野战对白在线观看| 国产高清激情床上av| 久久精品综合一区二区三区| 一边摸一边抽搐一进一小说| 桃色一区二区三区在线观看| 欧美潮喷喷水| 久久久久免费精品人妻一区二区| 欧美乱色亚洲激情| 婷婷精品国产亚洲av| 深夜a级毛片| 深夜精品福利| 我的女老师完整版在线观看| 国产私拍福利视频在线观看| 国产一区二区激情短视频| 久久久久九九精品影院| 国产真实乱freesex| 中文字幕免费在线视频6| 久久人妻av系列| 亚洲中文日韩欧美视频| 国产亚洲精品综合一区在线观看| 欧美不卡视频在线免费观看| 欧美最新免费一区二区三区 | 女生性感内裤真人,穿戴方法视频| 欧美在线一区亚洲| 99久久精品国产亚洲精品| 99热这里只有是精品50| 国产毛片a区久久久久| 午夜影院日韩av| 岛国在线免费视频观看| 99热这里只有是精品50| 久久久久久九九精品二区国产| 国产主播在线观看一区二区| 中文字幕熟女人妻在线| 亚洲欧美日韩高清专用| 乱码一卡2卡4卡精品| 国产精品国产高清国产av| 神马国产精品三级电影在线观看| 精品午夜福利在线看| 一边摸一边抽搐一进一小说| 亚洲中文日韩欧美视频| 精华霜和精华液先用哪个| or卡值多少钱| 婷婷丁香在线五月| 国产免费一级a男人的天堂| 国产精品三级大全| 校园春色视频在线观看| 亚洲人成网站在线播放欧美日韩| 久久久久久大精品| 蜜桃久久精品国产亚洲av| 日本黄色视频三级网站网址| 18禁在线播放成人免费| 亚洲av电影不卡..在线观看| 99久久久亚洲精品蜜臀av| 淫秽高清视频在线观看| 亚洲精品乱码久久久v下载方式| 国产视频一区二区在线看| 久久精品影院6| 中文字幕精品亚洲无线码一区| 免费在线观看日本一区| 在线观看免费视频日本深夜| 在线免费观看的www视频| 亚洲国产色片| 欧美乱色亚洲激情| 丰满的人妻完整版| 一级作爱视频免费观看| 成人国产综合亚洲| 长腿黑丝高跟| 久久久国产成人精品二区| 老司机深夜福利视频在线观看| 亚洲成人精品中文字幕电影| 亚洲性夜色夜夜综合| 亚洲第一欧美日韩一区二区三区| 不卡一级毛片| 亚洲av一区综合| 校园春色视频在线观看| 精品人妻偷拍中文字幕| 嫩草影院入口| 99久久精品一区二区三区| 精品人妻视频免费看| 精品久久久久久久末码| 久久久久免费精品人妻一区二区| 深夜精品福利| 久久九九热精品免费| 久久伊人香网站| 色哟哟哟哟哟哟| 免费看美女性在线毛片视频| 亚洲在线自拍视频| 在线观看一区二区三区| 18禁黄网站禁片午夜丰满| 成人永久免费在线观看视频| 88av欧美| 免费黄网站久久成人精品 | 18禁黄网站禁片午夜丰满| 99国产精品一区二区三区| 一进一出好大好爽视频| 国产成人aa在线观看| 国产精品99久久久久久久久| www.999成人在线观看| 免费在线观看成人毛片| 国产精品乱码一区二三区的特点| 变态另类丝袜制服| 欧美3d第一页| 女同久久另类99精品国产91| 偷拍熟女少妇极品色| 成熟少妇高潮喷水视频| 国产一级毛片七仙女欲春2| 国内揄拍国产精品人妻在线| 一级毛片久久久久久久久女| 亚洲人成电影免费在线| 国产色婷婷99| 日本五十路高清| 夜夜爽天天搞| 国产亚洲精品av在线| 久久婷婷人人爽人人干人人爱| 日韩欧美精品免费久久 | av欧美777| 亚洲aⅴ乱码一区二区在线播放| 精品久久久久久成人av| 亚洲av五月六月丁香网| 成人永久免费在线观看视频| 伦理电影大哥的女人| 国产老妇女一区| 男女下面进入的视频免费午夜| 国产国拍精品亚洲av在线观看| 亚洲精华国产精华精| 日韩 亚洲 欧美在线| 直男gayav资源| 人人妻人人看人人澡| 成人特级黄色片久久久久久久| 深夜a级毛片| 欧美性感艳星| 性欧美人与动物交配| 免费av观看视频| 精品国产三级普通话版| 色视频www国产| 一级黄色大片毛片| 欧美性猛交╳xxx乱大交人| 老师上课跳d突然被开到最大视频 久久午夜综合久久蜜桃 | 精品久久久久久久末码| 国产探花极品一区二区| 国产一区二区亚洲精品在线观看| 中文在线观看免费www的网站| 波多野结衣高清无吗| 一区二区三区免费毛片| 精品一区二区三区av网在线观看| 一级黄色大片毛片| 高清日韩中文字幕在线| aaaaa片日本免费| 在线a可以看的网站| 最近视频中文字幕2019在线8| 日本在线视频免费播放| 成人国产一区最新在线观看| 97超视频在线观看视频| 日韩亚洲欧美综合| 天天一区二区日本电影三级| 中文字幕熟女人妻在线| 精品一区二区三区av网在线观看| 久久99热这里只有精品18| 午夜激情福利司机影院| 亚洲成人久久性| 两个人视频免费观看高清| 美女被艹到高潮喷水动态| 国产主播在线观看一区二区| x7x7x7水蜜桃| 麻豆久久精品国产亚洲av| 亚洲七黄色美女视频| 99精品在免费线老司机午夜| 久久久久久久久久黄片| 国产精品久久电影中文字幕| 一级a爱片免费观看的视频| 午夜精品久久久久久毛片777| 欧美不卡视频在线免费观看| 在线观看美女被高潮喷水网站 | 亚洲专区国产一区二区| 热99在线观看视频| 精品免费久久久久久久清纯| 亚洲欧美激情综合另类| 人妻丰满熟妇av一区二区三区| 国内精品一区二区在线观看| 婷婷精品国产亚洲av在线| а√天堂www在线а√下载| bbb黄色大片| 国产综合懂色| 国产精品98久久久久久宅男小说| 3wmmmm亚洲av在线观看| 制服丝袜大香蕉在线| 国产美女午夜福利| 一本精品99久久精品77| 国产免费男女视频| 国产精品久久久久久亚洲av鲁大| 露出奶头的视频| 国产久久久一区二区三区| 亚洲电影在线观看av| 岛国在线免费视频观看| 内射极品少妇av片p| 女生性感内裤真人,穿戴方法视频| 欧美黄色淫秽网站| 精品不卡国产一区二区三区| 国产黄色小视频在线观看| 99久久成人亚洲精品观看| 精品不卡国产一区二区三区| 欧美激情在线99| 中文资源天堂在线| a级毛片a级免费在线| 真实男女啪啪啪动态图| 91麻豆精品激情在线观看国产| 国产v大片淫在线免费观看| 波多野结衣高清无吗| 真人一进一出gif抽搐免费| 国产黄片美女视频| 欧美zozozo另类| 免费av观看视频| АⅤ资源中文在线天堂| 怎么达到女性高潮| 国产精品一区二区三区四区久久| 级片在线观看| 久久99热这里只有精品18| 老司机午夜福利在线观看视频| 日本免费一区二区三区高清不卡| 国产精品久久视频播放| 黄色日韩在线| 久久天躁狠狠躁夜夜2o2o| 国产探花极品一区二区| 嫩草影院精品99| 成人欧美大片| 色哟哟·www| 淫妇啪啪啪对白视频| www.色视频.com| 极品教师在线视频| 日韩欧美精品v在线| 熟女人妻精品中文字幕| 国内少妇人妻偷人精品xxx网站| 高清毛片免费观看视频网站| 中文亚洲av片在线观看爽| 久久久久久久精品吃奶| 成人国产综合亚洲| 啪啪无遮挡十八禁网站| 国产精品98久久久久久宅男小说| 欧美成人a在线观看| 757午夜福利合集在线观看| 99国产综合亚洲精品| 成人精品一区二区免费| 久久久久久国产a免费观看| 欧美一级a爱片免费观看看| 免费av毛片视频| 内地一区二区视频在线| 国产伦精品一区二区三区视频9| 欧美中文日本在线观看视频| 日韩成人在线观看一区二区三区| 国产成人欧美在线观看| 一级a爱片免费观看的视频| 亚洲一区高清亚洲精品| 美女大奶头视频| 最新在线观看一区二区三区| 午夜影院日韩av| aaaaa片日本免费| 国产三级中文精品| 亚洲人成伊人成综合网2020| 亚洲真实伦在线观看| 在线免费观看不下载黄p国产 | a级毛片免费高清观看在线播放| 中文字幕久久专区| 精品久久国产蜜桃| 日日夜夜操网爽| 亚洲av成人av| 精品人妻一区二区三区麻豆 | 三级男女做爰猛烈吃奶摸视频| 女人十人毛片免费观看3o分钟| 国产成+人综合+亚洲专区| 亚洲无线在线观看| www.熟女人妻精品国产| 国产三级在线视频| 男人狂女人下面高潮的视频| 精品久久久久久,| 日本黄色片子视频| 亚洲国产精品sss在线观看| 国产日本99.免费观看| 简卡轻食公司| 一区二区三区激情视频| 免费人成视频x8x8入口观看| 看片在线看免费视频| 国内揄拍国产精品人妻在线| 高清在线国产一区| 免费电影在线观看免费观看| 真实男女啪啪啪动态图| 色综合亚洲欧美另类图片| 51国产日韩欧美| av天堂中文字幕网| 国产成人影院久久av| 中文资源天堂在线| 国产国拍精品亚洲av在线观看| 免费观看精品视频网站| 床上黄色一级片| 成人一区二区视频在线观看| 久久久久久大精品| 成人永久免费在线观看视频| 成人午夜高清在线视频| 亚洲经典国产精华液单 | 国内少妇人妻偷人精品xxx网站| 精品一区二区三区视频在线| 亚洲精品亚洲一区二区| 99热这里只有是精品在线观看 | 黄色丝袜av网址大全| 精品国产三级普通话版| 老师上课跳d突然被开到最大视频 久久午夜综合久久蜜桃 | 国产单亲对白刺激| 男人舔女人下体高潮全视频| 国产av一区在线观看免费| 一进一出好大好爽视频| 久久久精品大字幕| 亚洲国产欧美人成| 91九色精品人成在线观看| 欧美一区二区亚洲| 国产精品乱码一区二三区的特点| 天天躁日日操中文字幕| 国产视频一区二区在线看| 一本久久中文字幕| 国内精品美女久久久久久| 久久久国产成人免费| 久久久久久九九精品二区国产| 国产精品美女特级片免费视频播放器| 亚洲真实伦在线观看| 首页视频小说图片口味搜索| 最新中文字幕久久久久| 老师上课跳d突然被开到最大视频 久久午夜综合久久蜜桃 | 亚洲av不卡在线观看| 婷婷色综合大香蕉| 精品久久久久久久久久久久久| 免费电影在线观看免费观看| 国产精品电影一区二区三区| 乱人视频在线观看| 欧美绝顶高潮抽搐喷水| 精品久久久久久久末码| 亚洲一区二区三区色噜噜| 别揉我奶头~嗯~啊~动态视频| 国产爱豆传媒在线观看| 最新在线观看一区二区三区| av欧美777| av黄色大香蕉| 变态另类丝袜制服| 国产亚洲精品综合一区在线观看| а√天堂www在线а√下载| 成年版毛片免费区| 毛片女人毛片| 亚洲一区二区三区色噜噜| 久99久视频精品免费| 人人妻,人人澡人人爽秒播| 国产成人欧美在线观看| 国产免费av片在线观看野外av| 真实男女啪啪啪动态图| 欧美一区二区国产精品久久精品| 欧美乱色亚洲激情| 天堂√8在线中文| 亚洲av电影不卡..在线观看| 美女大奶头视频| 国产精品久久久久久久久免 | 亚洲aⅴ乱码一区二区在线播放| 99久久九九国产精品国产免费| 在线观看午夜福利视频| 国产色婷婷99| or卡值多少钱| 婷婷亚洲欧美| 亚洲av免费高清在线观看| 大型黄色视频在线免费观看| 免费看日本二区| 男女做爰动态图高潮gif福利片| 久久人妻av系列| 精品久久久久久久久av| 国产亚洲精品综合一区在线观看| 岛国在线免费视频观看| 小说图片视频综合网站| 久久久国产成人免费| 亚洲精品在线观看二区| 亚洲久久久久久中文字幕| 黄片小视频在线播放| 国产精品野战在线观看| 亚洲国产欧洲综合997久久,| 精品久久久久久久久久免费视频| 噜噜噜噜噜久久久久久91| 成人永久免费在线观看视频| 午夜福利在线观看吧| 色哟哟哟哟哟哟| 久久久久性生活片| 搡女人真爽免费视频火全软件 | 欧美乱妇无乱码| 国产三级中文精品| 欧美另类亚洲清纯唯美| 国产精品一区二区三区四区久久| 韩国av一区二区三区四区| 欧美zozozo另类| 国产探花极品一区二区| 国产黄色小视频在线观看| 国产乱人伦免费视频| 在线观看免费视频日本深夜| 国产成人aa在线观看| 日韩成人在线观看一区二区三区| 国产在视频线在精品| 久久人人爽人人爽人人片va | 精品午夜福利在线看| 国产在线男女| 91久久精品国产一区二区成人| 精品国产亚洲在线| 在线看三级毛片| 热99在线观看视频| 国产精品电影一区二区三区| 51午夜福利影视在线观看| 亚洲国产精品合色在线| 国产伦人伦偷精品视频| 国产精品98久久久久久宅男小说| 99精品久久久久人妻精品| 亚洲美女黄片视频| 国产精品永久免费网站| 国产精品三级大全| 黄色配什么色好看| 亚洲欧美日韩高清专用| 亚洲国产精品999在线| 午夜久久久久精精品| 国产一区二区在线av高清观看| 欧美绝顶高潮抽搐喷水| 国产亚洲av嫩草精品影院| 婷婷精品国产亚洲av在线| 国产精品久久电影中文字幕| 国产成人福利小说| 又黄又爽又免费观看的视频| 麻豆国产av国片精品| 精品久久久久久,| 精品人妻一区二区三区麻豆 | 亚洲精品在线观看二区| 日本在线视频免费播放| 欧美日韩中文字幕国产精品一区二区三区| 欧美精品啪啪一区二区三区| 国产亚洲精品久久久com| 亚洲精品一区av在线观看| 亚洲美女搞黄在线观看 | 国产精品免费一区二区三区在线| 亚洲成av人片在线播放无| 夜夜爽天天搞| 大型黄色视频在线免费观看| 欧洲精品卡2卡3卡4卡5卡区| 琪琪午夜伦伦电影理论片6080| 国产精品国产高清国产av| 国产欧美日韩一区二区精品| 婷婷色综合大香蕉| 国产探花在线观看一区二区| 69人妻影院| 身体一侧抽搐| 欧美丝袜亚洲另类 | 久久久久久久精品吃奶| 日韩欧美 国产精品| 精品日产1卡2卡| 亚洲精品色激情综合| 18+在线观看网站| 深爱激情五月婷婷| 欧美绝顶高潮抽搐喷水| 久久午夜亚洲精品久久| 18禁黄网站禁片免费观看直播| 乱码一卡2卡4卡精品| 舔av片在线| 国产视频一区二区在线看| aaaaa片日本免费| 国产91精品成人一区二区三区| 脱女人内裤的视频| 亚洲最大成人av| 欧美日韩国产亚洲二区| 99riav亚洲国产免费| 最好的美女福利视频网| 亚洲人成网站高清观看| 性色av乱码一区二区三区2| 亚洲第一区二区三区不卡| 精品久久久久久成人av| 国产精品日韩av在线免费观看| 国语自产精品视频在线第100页| 精品熟女少妇八av免费久了| 亚洲片人在线观看| 午夜日韩欧美国产| 久久久久国内视频| 亚洲自拍偷在线| 男女那种视频在线观看| 69人妻影院| 成人毛片a级毛片在线播放| 免费黄网站久久成人精品 | 激情在线观看视频在线高清| 国产美女午夜福利| 日韩欧美一区二区三区在线观看| 韩国av一区二区三区四区| 免费观看的影片在线观看| 美女大奶头视频| 成人欧美大片| 一区二区三区免费毛片| 亚洲美女黄片视频| 看免费av毛片| 啪啪无遮挡十八禁网站| 精品人妻1区二区| 老师上课跳d突然被开到最大视频 久久午夜综合久久蜜桃 | 国产成人a区在线观看| 91在线精品国自产拍蜜月| 国内少妇人妻偷人精品xxx网站| 欧美国产日韩亚洲一区| 一个人免费在线观看的高清视频| 午夜两性在线视频| 中出人妻视频一区二区| 久久久久久国产a免费观看| 麻豆成人av在线观看| 又爽又黄无遮挡网站| 变态另类丝袜制服| 在线观看66精品国产| 97超级碰碰碰精品色视频在线观看| 我的女老师完整版在线观看| 国产精品乱码一区二三区的特点| 可以在线观看的亚洲视频| 香蕉av资源在线| 熟妇人妻久久中文字幕3abv| 欧美色视频一区免费| 国产伦精品一区二区三区视频9| 国产精品不卡视频一区二区 | av在线观看视频网站免费| 久久久精品大字幕| 99久久无色码亚洲精品果冻| 日韩欧美国产一区二区入口| 精品久久久久久久久久免费视频| 亚洲国产精品成人综合色| 亚洲精品亚洲一区二区| 又黄又爽又刺激的免费视频.| 亚洲欧美日韩卡通动漫| 久久久久亚洲av毛片大全| 亚洲人成网站高清观看| 免费搜索国产男女视频| 国产精品影院久久| 99热这里只有是精品50| 久久亚洲真实| 亚洲成人精品中文字幕电影| 日日摸夜夜添夜夜添小说| 一本久久中文字幕| 午夜免费成人在线视频| 亚洲男人的天堂狠狠| 99在线人妻在线中文字幕| 亚洲,欧美,日韩| 亚洲成av人片免费观看|