對基于SDN的接入網安全技術的幾點探討

張志廣

【摘要】 文章針對現階段接入網安全技術的幾點問題進行分析研究，在研究目前對于解決方法的基礎上，通過結合SDN網絡架構的自身技術和特點實施研究，通過目前所擁有的安全網絡體系，以組網安全為出發點，提出了一種全新的建立在SDN接入網安全問題的全新的方法，同時有效具體的描述了此方法的最終設計要求以及通信流程，為接入網安全提供針對性的解決方法。

【關鍵詞】 SDN 接入網 安全技術 分析研究

對于網絡而言，接入網的存在在某種程度上說就是網絡的“最后一米”，因此接入網的新能能夠對整個的網絡性能有直接的影響。近幾年隨著網絡信息技術的深入發展，接入網也逐漸向著易維護、高帶寬以及全業務等方向發展，在給人們帶來便捷的同時，一些深層次的東西也引發了人們的思考，比如如何有效解決接入網安全問題等。

一、接入網安全問題分析

1.1防護效果較差

現階段來看，因為部分加密體系被部分惡意用戶進行有意或者無意的破解，導致加密認證防護效果出現了較大的滑坡。目前我國接入網在安全方面采取的措施主要以防火墻防御手段為主，通過靜態被動的形式，最終導致其很難靈活應對相關惡意攻擊，尤其是病毒方面的供給。另外以往的安全解決方法很難解決其拒絕服務攻擊，這種攻擊其帶來的打擊非常深遠，直接影響接入網的安全使用。

1.2防護成本較高

在以往的安全解決方法中，為了能夠充分低于網絡的惡意攻擊，其傳統方法需要對各個分支的網絡實施有針對性的網絡安全部署，這樣就導致龐大的分支網絡需要長時間的的費用支持，最終增加了其防護的成本。

1.3靈活性以及協同性較差

在網絡中是安全設備實施部署其往往需要互通獨立，很難真正意義上的配合工作。在網絡中如果某個安全設備自身出現問題，則別的往往不能頂替其工作，設備與設備之間可能會出現此設備繁忙工作而其他設備處于空閑的狀態，導致設備的使用率出現較低的情況。

二、基于SDN的接入網安全技術分析

2.1 SDN技術簡單分析

所謂SDN實際上就是軟件定義網絡（即Software Defined Network），是現階段使用頻率較高的一種全新網絡架構，為我國網絡虛擬化的一種安全管理手段，該技術中最核心的技術就是OpenFlow[1]。

該技術能夠把和網絡設備有關的控制面和信息轉發面直接有效的進行分離，同時能夠讓控制面實現有效的可編程化，最終的目的就是為了能夠讓控制的網絡實現智能化甚至是集中化的管理與運行。

2.2基于SDN的接入網安全技術

在此次研究的SDN技術中，在操作者想要通過某種程序對網絡服務器進行訪問的情況下，第一步的操作流程必然是選取一種相對較為確定而又有效的接入方法同時首先對訪問要求進行發令，之后操作者所發出的訪問請求就能夠通過接入的交換機進行有效的轉發，在轉發操作完成之后借助虛擬化的技術于公共網絡的安全傳輸至資源分支網絡，而分支網絡所安裝的Openfiow交換機就能夠對本地的流表實施查詢同時進行最合理有效的匹配。

如果流表在匹配中完全成功或者達到了一定的期限，此訪問請求就能夠利用相關的路由同時通過防火墻與IPS安全設備的檢查進行連通，在確定沒有特殊的情況下就能送達至服務器，在服務器能夠充分接受相關的訪問請求的情況下，操作者就能夠訪問相關的資源；如果OFS流表沒有相關的流表項目，則OFS就會通過轉化器把請求指令轉發給SDN服務器。

在請求指令發送之后，SDN服務器就能夠直接接受該方面的指令請求，同時對整個的網絡結構中的相關安全設備部署狀況實施查詢，這樣就能夠對操作者訪問中的服務器分支的網絡是否存在部署情況，部署安全等級等進行判斷。

假若部署了相關的安全設備，則SDN控制器就會通過網絡向此分支網絡下OFS進行指令發送，指令發送主要以發流表項為主，同時構建路由；

假若不存在安全設備部署的情況，則SDN控制器則會即刻查詢次分支網絡相對較為空閑的同時能夠直接使用的安全設備，最終建立路由。

需要指出的是，訪問的請求往往需要依據所構建的路由實施IPS以及防火墻方面的檢測；如果數據沒有異?，F象，操作者所發送的請求就會直接送至服務器，而服務器在通過相關指令之后操作者就能夠訪問相關資源[2]。

三、結語

SDN現階段使用頻率較高的一種全新網絡架構，其技術的存在同時能夠讓控制面實現有效的可編程化，能夠讓控制的網絡實現智能化甚至是集中化的管理與運行。

參 考 文 獻

[1] 沈成彬，蔣銘，曾濤等.SDN/NFV技術的接入網應用[J].中興通訊技術，2015，21（4）：15-19，29.

[2] 孫茜，田霖，周一青等.基于NFV與SDN的未來接入網虛擬化關鍵技術[J].信息通信技術，2016，21（1）：57-62.