基于SDN的網(wǎng)絡(luò)安全研究

劉洋，劉俊輝，劉濱

摘 要：SDN技術(shù)把網(wǎng)絡(luò)的數(shù)據(jù)層和控制層剝離，提出了全新的解決方案，從而促進了下一代網(wǎng)絡(luò)的發(fā)展。文章論述了傳統(tǒng)網(wǎng)絡(luò)架構(gòu)及其內(nèi)在安全缺陷，由此引出基于SDN系統(tǒng)的網(wǎng)絡(luò)安全的實現(xiàn)與展望，并對其安全性能進行了一定的研究。

關(guān)鍵詞：軟件定義網(wǎng)絡(luò);網(wǎng)絡(luò)安全;OpenFlow

傳統(tǒng)的網(wǎng)絡(luò)安全系統(tǒng)實現(xiàn)中，一般在防火墻之后，為了防止應(yīng)用層出現(xiàn)的攻擊，往往會部署VPN設(shè)備、入侵檢測系統(tǒng)、DDOS檢測處理功能實體，對網(wǎng)絡(luò)邊緣進行安全檢查。另外，專用的網(wǎng)絡(luò)安全設(shè)備也部署在網(wǎng)絡(luò)邊界的節(jié)點上，用防火墻實現(xiàn)基于包的過濾和狀態(tài)監(jiān)控。一方面降低了網(wǎng)絡(luò)業(yè)務(wù)的靈活性，另一方面增加了網(wǎng)絡(luò)部署的難度，不利于現(xiàn)存業(yè)務(wù)的調(diào)配和遷移。

1 傳統(tǒng)網(wǎng)絡(luò)安全的不足

（1）傳統(tǒng)網(wǎng)絡(luò)安全多采用大量安全設(shè)備的多種模式接入網(wǎng)絡(luò)邊緣。一般的防火墻采用3層旁路的方式實現(xiàn)冗余引流，從而對流量進行過濾，或者采用第二層透明模式橋接在第三層的鏈路中。上網(wǎng)行為管理設(shè)備，一般采用代理的方式對內(nèi)部員工的流量實現(xiàn)HTTP/HTTPS重定向和代理。或采用第二層透明模式對Web報文進行過濾。IPS/IDS等設(shè)備則采用流量鏡像模式，把冗余旁路部署在網(wǎng)絡(luò)邊緣鏈路。多種類型的安全設(shè)備不易部署和配置，其管理也需要專業(yè)人員，這些操作都增加了網(wǎng)絡(luò)的復(fù)雜性。

（2）對于網(wǎng)絡(luò)的冗余性和穩(wěn)定性，在進行安全設(shè)備部署時也需要慎重考慮。網(wǎng)絡(luò)安全設(shè)備種類繁多，功能各異，對可靠性提出了極高的要求。例如防火墻串聯(lián)設(shè)備的硬件ByPass、主從設(shè)備冗余切換等，依靠協(xié)議的魯棒性來保障功能的實現(xiàn)。但廠家的不同導(dǎo)致此類設(shè)備實現(xiàn)安全功能時，采用各自的私有協(xié)議，增加了網(wǎng)絡(luò)本身的復(fù)雜性以及后期運維的難度。

2 SDN架構(gòu)介紹

2.1 SDN網(wǎng)絡(luò)設(shè)備（Network Devices）

軟件定義網(wǎng)絡(luò)（Software Defined Network，SDN）設(shè)備可以被抽象成轉(zhuǎn)發(fā)面（Forwarding Plane），其可以用虛擬交換機來實現(xiàn)，沒必要一定使用硬件交換機。

為了配置位于交換機內(nèi)的轉(zhuǎn)發(fā)表項，網(wǎng)絡(luò)設(shè)備通過南向接口Southbound Interface接收Controller發(fā)過來的指令。同時通過南向接口將事件傳送給Controller。圖1為SDN通用架構(gòu)示意。

圖1 SDN通用架構(gòu)示意

2.2 SND南向接口（Southbound Interface）

SDN南向接口，主要指的是控制面和數(shù)據(jù)轉(zhuǎn)發(fā)面之間的接口，在SDN系統(tǒng)中，南向接口設(shè)計為標(biāo)準(zhǔn)化接口，使軟件脫離硬件的約束，盡可能做到按需設(shè)計、應(yīng)用為主。否則，SDN只能讓特定軟件運行在特定硬件上。

從第二層開始，已經(jīng)分辨不出虛擬交換機和硬件交換機的區(qū)別，看到的只有被抽象化的轉(zhuǎn)發(fā)面。

可以注意到，在圖1中分別出現(xiàn)了OpenFlow和Other API兩種接口[1]，因為OpenFlow為目前最具影響力的南向接口標(biāo)準(zhǔn)，還有其他標(biāo)準(zhǔn)供選擇。一些公司和組織并不看好該接口，準(zhǔn)備或著手建立其他標(biāo)準(zhǔn)。這對SDN的發(fā)展未必是壞事，盡管最終希望看到一個唯一的、大家都認可的標(biāo)準(zhǔn)，但這僅是一種理想狀態(tài)，還需要很長一段時間才能實現(xiàn)。

2.3 SDN控制器（Controllers）

在SND環(huán)境中，Controller可解釋為控制器。在一個SDN網(wǎng)絡(luò)里，不限制控制器的數(shù)量。控制器之間的關(guān)系可以定義為主從關(guān)系（只能有一個主，但可以有多個從），也可以定義為對等關(guān)系。一個Controller可以控制多臺獨立設(shè)備，某一臺設(shè)備可以被多個Controller控制。通常，Controller運行在某臺獨立服務(wù)器上，如一臺x86Linux服務(wù)器或Windows服務(wù)器上。

2.4 SDN北向接口（Northbound Interface）

在SDN架構(gòu)中，北向接口指的是控制器和應(yīng)用程序之間的接口，目前該接口尚未形成統(tǒng)一標(biāo)準(zhǔn)[2]，這正是一些標(biāo)準(zhǔn)化組織所努力的方向。但是北向接口絕對要比南向接口復(fù)雜得多，因為轉(zhuǎn)發(fā)層面向的終究是數(shù)據(jù)轉(zhuǎn)發(fā)，容易抽象出通用接口，由于應(yīng)用層的應(yīng)用程序繁雜，所以不易處理。

2.5 SDN應(yīng)用服務(wù)層（Services）

Services也就是應(yīng)用層，用Services而不用Application，主要是Services能比Application更能體現(xiàn)出網(wǎng)絡(luò)的本質(zhì)，為用戶提供一些網(wǎng)絡(luò)服務(wù)，例如security（網(wǎng)絡(luò)安全）、load balancing（負載均衡）、LLDP（拓撲發(fā)現(xiàn)）、monitoring（網(wǎng)絡(luò)監(jiān)測）和performance management（網(wǎng)絡(luò)延時、擁塞等性能指標(biāo)的管理和檢測）等。

2.6 自動化（Automation）

嚴格來講自動化不能算作一個層次，其是應(yīng)用程序的整合和封裝，一般和另一個詞Orchestration同時出現(xiàn)。本質(zhì)上，兩個詞指的是同一件事，只不過Orchestration強調(diào)手段，而Automation強調(diào)目的，業(yè)務(wù)的自動化部署就是Orchestration的目的。

3 基于SDN架構(gòu)的網(wǎng)絡(luò)安全研究

SDN架構(gòu)通過南北向接口來實現(xiàn)安全保護和高效的流量控制[3]，北向接口對業(yè)務(wù)進行編排，從而完成網(wǎng)絡(luò)功能和業(yè)務(wù)的邏輯生成。再利用南向接口進行流表的向下轉(zhuǎn)發(fā)，從而實現(xiàn)傳統(tǒng)網(wǎng)絡(luò)的數(shù)據(jù)轉(zhuǎn)發(fā)功能。

網(wǎng)絡(luò)安全功能實體上移，就是采用SDN架構(gòu)來實現(xiàn)的。它把防火墻、DDOS處理設(shè)備、入侵檢測系統(tǒng)等功能實體，利用SDN控制器的相關(guān)模塊實現(xiàn)對應(yīng)的功能。該模塊采用圖形方式，實現(xiàn)安全策略的制定和生成，其軟件均部署在Linux或者x86架構(gòu)的服務(wù)器上。

利用混合式設(shè)備（支持傳統(tǒng)第三層交換轉(zhuǎn)發(fā)及OpenFlow協(xié)議棧）處于網(wǎng)絡(luò)邊緣的交換機[4]，可以鑒別不同類型的流量，包括需安全設(shè)備進行的過濾流量、直接跨越網(wǎng)絡(luò)邊界的可信任流量等。采用SDN網(wǎng)絡(luò)架構(gòu)的系統(tǒng)，由于每個模塊都被集中部署在SDN控制器內(nèi)，可以靈活地按需定制功能模塊，從而對流量進行過濾。對比傳統(tǒng)網(wǎng)絡(luò)的安全實現(xiàn)，為不同業(yè)務(wù)流量進行分類分級過濾，需要進行大量的人工網(wǎng)絡(luò)配置，部署周期時間長、難度大。

通過對比傳統(tǒng)網(wǎng)絡(luò)安全實現(xiàn)思路和SDN安全實現(xiàn)方式，不難發(fā)現(xiàn)SDN系統(tǒng)下的安全防護具備諸多優(yōu)勢。

3.1 可用性高

該系統(tǒng)可以實現(xiàn)N-1冗余，其可用性、可靠性不比傳統(tǒng)架構(gòu)差。主要利用集群式部署SDN控制器、冗余部署邊界路由器等設(shè)備實現(xiàn)。

3.2 網(wǎng)絡(luò)高效簡潔

通過對比兩種系統(tǒng)的拓撲結(jié)構(gòu)，發(fā)現(xiàn)采用了SDN架構(gòu)的網(wǎng)絡(luò)，使運維和部署的難度得到了降低，網(wǎng)絡(luò)結(jié)構(gòu)得到了簡化。

3.3 網(wǎng)絡(luò)業(yè)務(wù)開展靈活

借助SDN架構(gòu)，可以利用OpenFlow協(xié)議定義不同性質(zhì)的業(yè)務(wù)流，并針對每種業(yè)務(wù)流配置相關(guān)的安全策略。這樣的安全配置高效靈活，所有工作只需在SDN控制器上集中完成，再通過OpenFlow流表下發(fā)執(zhí)行即可。

3.4 網(wǎng)絡(luò)容量易于擴充

如果需要提高處理能力、增加安全功能的性能，只需要利用基于IAAS架構(gòu)云對安全資源池進行擴充，或采用集群式服務(wù)器的部署方式即可。由此說明，基于SDN系統(tǒng)的安全保障能力，要取決于基于x86服務(wù)器的綜合性能指標(biāo)。

3.5 降低系統(tǒng)綜合成本

利用SDN架構(gòu)的特點，部署了安全功能模塊和硬件服務(wù)器，不再需要部署其他復(fù)雜的硬件設(shè)備。對比兩者的建設(shè)和運維成本，SDN架構(gòu)的安全模型顯示出更高的性價比。

4 結(jié)語

綜上所述，SDN架構(gòu)的網(wǎng)絡(luò)結(jié)構(gòu)，不論從業(yè)務(wù)的支持性、功能模塊的可部署性，還是網(wǎng)路安全的按需實現(xiàn)性，均要超過現(xiàn)有網(wǎng)絡(luò)，是值得深入研究的技術(shù)領(lǐng)域。

作者簡介：劉洋（1998— ），女，湖北宜城人，本科生;研究方向：通信工程。

[參考文獻]

[1]左青云，陳鳴，趙廣松，等.基于OpenFlow的SDN技術(shù)研究[J].軟件學(xué)報，2013（5）：1078-1097.

[2]鄒劍鋒.基于OpenFlow的SDN組網(wǎng)技術(shù)研究[D].北京：北京郵電大學(xué)，2014.

[3]齊宇.SDN安全研究[C].廈門：第31次全國計算機安全學(xué)術(shù)交流會，2016.

[4]孫鵬，劉秋研.SDN安全技術(shù)研究[J].中國電子科學(xué)研究院學(xué)報，2015（4）：22.

Research on SDN-based network security

Liu Yang， Liu Junhui， Liu Bin

（Wuhan Polytechnic University， Wuhan 430023， China）

Abstract：Software defined networking technology separates the control layer and data layer of the network， puts forward a new solution， and promotes the development of the next generation network. This paper discusses the traditional network architecture of SDN and the inherent defects on this basis. For this reason， it expounds the evolution and prospect of network security based on SDN architecture， and studies its security.

Key words：software defined networking; network security; OpenFlow