對軟件定義網絡環境下安全流平臺的探究

張建剛

摘 要：隨著云計算等網絡技術的發展，固有的網絡架構已經難以滿足時代的要求，人們迫切需要對這種網絡構架進行更新，以滿足多樣化的網絡服務需求。在這樣的環境下，SDN（軟件定義網絡）應運而生，其出現迅速滿足了廣大客戶的需求，高度的可編程性及其他方面的有點受到了受眾的青睞，而安全流平臺可以為SDN環境下的網絡提供高效的安全防護保障。

關鍵詞：SDN；安全流平臺；上層控制器；網絡流量

中圖分類號：TP393.08 文獻標識碼：A DOI：10.15913/j.cnki.kjycx.2016.19.020

SDN源自于美國的一項課題研究，在隨后的發展中，其實用性備受肯定，進而形成了一種新的網絡發展導向。SDN有2個重要的特點，即可編程度高、具備高度的開放性。而這兩種特性恰恰又為之埋下了安全方面的隱患。目前，網絡攻擊手段復雜多樣，一個好的安全防護平臺異常重要。以下探討SDN環境下安全流平臺的特性、功能。

1 SDN架構環境下存在的缺陷

1.1 交換機獨立性較差

在SDN網絡架構證明了其優勢的同時，其缺陷也十分明顯，尤其是其架構下的交換機的獨立性較差。在傳統的網絡架構中，交換機作為主體，控制了網絡路徑中的信息轉發和最優路徑計算。而在SDN架構中，其功能被弱化，僅負責進行簡單的信息轉發，路徑選擇和計算被集中在了上層控制器中。這種高度集權的方式對網絡的控制力度有所提升，但如果控制器發生狀況，則會對相應部分的網絡傳輸可靠性造成影響。SDN環境下的交換機因不具備計算和判斷能力，只能被動執行來自控制層的命令。

1.2 命令源可能發生錯誤

在此系統中，控制器可以安裝第三方的軟件和應用，這些軟件和應用的可靠性無法保障。如果這些軟件存在病毒，則會對控制器造成影響。作為下層交換的唯一監督機構，一旦發生問題，則會造成整個網絡環境的不可控。

1.3 控制器缺乏有效的監督機制

在SDN環境下，其管理模式相對簡單，由控制器和交換機形成簡單的上、下兩級控制模式，控制器發出命令后，交換機負責執行命令。然而，在這個過程中，控制器的命令編寫未得到很好的監督，可能發生不可控的問題。

2 SDN環境下的安全流平臺

2.1 SDN環境下的安全流平臺模式

這種安全流平臺的模式為——將防火墻、審計等等有關安全的設備與SDN交換機進行連接，進而做下一步的安全資源的集中處理[3]，并且通過特定的自定義模式在安全設備上對網絡流量進行處理。

2.2 SDN環境下安全流平臺所具備的功能

2.2.1 對訪問進行有效控制

通過安全流平臺的安全措施，可以將流量轉移到訪問控制設備中，比如防火墻，其會根據自有規則對訪問流量進行有效控制。如果未經授權，則其訪問過程便會被強制中斷，而合理的訪問流量便會被回注到應用中。

2.2.2 對網絡攻擊進行及時檢查

SDN環境下的安全流平臺具備相應的安全措施制訂能力，可以根據需要自主地進行攻擊檢測。通過網絡流量的牽引，檢測設備能夠及時發現狀況并處理，即使是在虛擬的網絡環境中，也能做到相應的導出和檢查。

2.2.3 對網絡攻擊進行篩選、過濾

在訪問流量的過濾方面，SDN安全流平臺具備比較高效的處理模式。如果檢測到具有相關攻擊性的網絡訪問，平臺會自主將其過濾，并會在SDN平臺的應用中回注正常的訪問需求。在這個過程中，不需要擔心會對網絡中正常的通信和業務訪問造成影響，根據平臺制定的檢測措施，它只會對攻擊性的訪問流量進行有針對性的處理。

2.2.4 對網絡內容進行必要的審計

由于虛擬化技術在審計設備中可使用，不同用戶的需求可以得到相應的滿足，審計設備也可以與存儲技術進行靈活結合，從而對大量的日志或其他數字信息進行有效存儲。

2.2.5 SDN安全流平臺的監控與預警功能

該平臺基于相關的安全技術設備，可對發生在系統中的流量進而信號進行實時監控，比如遇到攻擊時，會對攻擊行為進行報警。

2.3 SDN環境下安全流模式的優勢

2.3.1 可對SDN網絡構架進行補充

SDN環境下的安全流平臺可以解決SDN構架中的網絡資源管理和配置問題，進而對安全防護方面提供更加高效的保障。

2.3.2 具備多種安全功能

通過與一些安全方面設備的整合，能提高整體業務方面的防護能力。

3 SDN環境下安全流平臺的改進方向

3.1 促進安全防護過程的可視化

一般情況下，在安全部分設置完成之后，我們難以直觀地觀察到整個安全防護過程，可通過對網絡訪問流量的相關監控和管理實現對整個網絡訪問過程的動態化監控。

3.2 對相關安全部分配置的優化

基于對訪問流量的攻擊性過濾等特點，嘗試進行更加細化的研究，使之能挖掘出有隱藏性的攻擊內容，爭取保障每一條訪問流量的安全性。

4 結束語

在當今的網絡信息化進程中，各種基于網絡活動需求的模式和平臺正在被發掘和被使用。其中，SDN環境模式應用廣泛，飽受歡迎，SDN環境下的安全流平臺為SDN網絡系統的正常運行提供了保障。安全防護工作永無止境，而隨著網絡的發展和更新，安全流平臺的功能必將越來越強大，最終很好地保證網絡活動的安全，為人們的網絡活動提供更好的服務。

參考文獻

[1]馬虔.軟件定義網絡環境下的安全流平臺研究[J].信息安全與技術，2014，28（07）.

[2]劉琦，陳云芳，張偉，等.軟件定義網絡下狀態防火墻的設計與實現[J].信息網絡安全，2015，23（11）.

[3]王俊，陳志輝，田永春，等.軟件定義網絡技術在戰術通信網中的應用研究[J].通信技術，2014，15（12）.

〔編輯：張思楠〕