SDN網(wǎng)絡(luò)安全淺析

劉濱

摘 ?要：軟件定義網(wǎng)絡(luò)（software-defined networking，簡稱SDN）把傳統(tǒng)網(wǎng)絡(luò)的控制層和數(shù)據(jù)層分離，提出了嶄新的網(wǎng)絡(luò)架構(gòu)，為下一代網(wǎng)絡(luò)的發(fā)展提出了方向.本文論述SDN網(wǎng)絡(luò)的基本原理，重點(diǎn)探討SDN網(wǎng)絡(luò)的安全及實(shí)現(xiàn)，為進(jìn)一步研究做好準(zhǔn)備。

關(guān)鍵詞：SDN;網(wǎng)絡(luò)安全;南向接口

Abstract?Software defined Networking（SDN）separates the control layer and data layer of the traditional network，puts forward a brand-new network architecture，and puts forward the direction for the development of the next generation network. This paper discusses the basic principle of SDN network，focuses on the security and implementation of SDN network，and prepares for further research.

Key words：SDN;network security;Southbound interface

引 言

傳統(tǒng)網(wǎng)絡(luò)安全在實(shí)現(xiàn)中，為了應(yīng)對(duì)應(yīng)用層的攻擊，一般會(huì)部署VPN設(shè)備、IDS系統(tǒng)、DDOS檢測(cè)系統(tǒng)對(duì)網(wǎng)絡(luò)邊界進(jìn)行檢查。另外也用防火墻來實(shí)現(xiàn)基于包的過濾和狀態(tài)監(jiān)控。但是這些實(shí)現(xiàn)方式降低了網(wǎng)絡(luò)業(yè)務(wù)的靈活性，同時(shí)增加了網(wǎng)絡(luò)部署的難度，不利于網(wǎng)絡(luò)安全系統(tǒng)的升級(jí)和更新。

1.傳統(tǒng)網(wǎng)絡(luò)安全的實(shí)現(xiàn)

1.1傳統(tǒng)網(wǎng)絡(luò)安全多采用冗余模式實(shí)現(xiàn)網(wǎng)絡(luò)安全，通過部署大量安全設(shè)備實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的安全保護(hù)。一般的方式是采用防火墻在第三層實(shí)現(xiàn)旁路，達(dá)到冗余引流，再對(duì)數(shù)據(jù)分組進(jìn)行過濾。對(duì)于上網(wǎng)行為的管理，則采用代理的方式進(jìn)行，主要實(shí)現(xiàn)HTTP/HTTPS 的重定向，或采用第二層透明模式對(duì) WEB 報(bào)文進(jìn)行過濾。而IPS/IDS等方式則采用流量鏡像模式，把冗余旁路部署在網(wǎng)絡(luò)邊緣鏈路。這些類型的安全設(shè)備部署和配置較為復(fù)雜，需要專業(yè)人員操作和管理，這些都增加了網(wǎng)絡(luò)的復(fù)雜性。

1.2網(wǎng)絡(luò)本身具有的冗余性和穩(wěn)定性，在進(jìn)行安全設(shè)備部署時(shí)也需要考慮。網(wǎng)絡(luò)全設(shè)備種類多，功能不同，從設(shè)備自身的可靠性提出了很高的要求。實(shí)現(xiàn)防火墻串聯(lián)，主從設(shè)備冗余切換時(shí)，可以依靠協(xié)議的魯棒性來保障。但廠家在實(shí)現(xiàn)時(shí)采用卻是各自的私有協(xié)議，這增加了網(wǎng)絡(luò)的復(fù)雜性以及后期運(yùn)維的難度。

2.SDN架構(gòu)介紹

2.1 SDN網(wǎng)絡(luò)設(shè)備（Network Devices）

首先對(duì)SDN架構(gòu)的網(wǎng)絡(luò)設(shè)備進(jìn)行定義，這里的網(wǎng)絡(luò)設(shè)備可以被抽象成轉(zhuǎn)發(fā)面（Forwarding Plane），它可以用虛擬交換機(jī)來實(shí)現(xiàn)。

為了配置位于交換機(jī)內(nèi)的轉(zhuǎn)發(fā)表項(xiàng)，網(wǎng)絡(luò)設(shè)備通過南向接口Southbound Interface接收Controller發(fā)過來的指令，同時(shí)通過南向接口將事件傳送給Controller。

2.2 SND南向接口（Southbound Interface）

SDN的南向接口，是控制面和數(shù)據(jù)轉(zhuǎn)發(fā)面之間的接口，南向接口設(shè)計(jì)為標(biāo)準(zhǔn)化接口，這樣才能使軟件脫離硬件的約束，盡可能地做到按需設(shè)計(jì)，現(xiàn)在OpenFlow是最具影響力的南向接口標(biāo)準(zhǔn)。

2.3 SDN控制器（Controllers）

在一個(gè)SDN網(wǎng)絡(luò)里，Controller 運(yùn)行在某臺(tái)獨(dú)立服務(wù)器上，如一臺(tái)x86Linux服務(wù)器或Windows服務(wù)器上。一個(gè)Controller可以控制多臺(tái)獨(dú)立設(shè)備，某一臺(tái)設(shè)備也可以被多個(gè)Controller所控制。

2.4 SDN北向接口（Northbound Interface）

在SDN架構(gòu)中，北向接口指的是控制器和應(yīng)用程序之間的接口，面向的是數(shù)據(jù)轉(zhuǎn)發(fā)，目前該接口尚未形成統(tǒng)一標(biāo)準(zhǔn)。

2.5 SDN應(yīng)用服務(wù)層（Services）

Services也就是應(yīng)用層，它為用戶提供一些網(wǎng)絡(luò)服務(wù)，例如security（網(wǎng)絡(luò)安全）、load balancing（負(fù)載均衡）等。

3.基于SDN架構(gòu)的網(wǎng)絡(luò)安全研究

SDN架構(gòu)通過南北向接口來實(shí)現(xiàn)安全保護(hù)和高效的流量控制。北向接口首先完成網(wǎng)絡(luò)功能和業(yè)務(wù)的邏輯生成，通過南向接口進(jìn)行流表的向下轉(zhuǎn)發(fā)，從而實(shí)現(xiàn)傳統(tǒng)網(wǎng)絡(luò)的數(shù)據(jù)轉(zhuǎn)發(fā)功能。

采用SDN架構(gòu)來實(shí)現(xiàn)網(wǎng)絡(luò)安全功能的上移，利用 SDN 控制器的相關(guān)模塊來實(shí)現(xiàn)對(duì)應(yīng)的安全功能，完成安全策略的制定和生成，再運(yùn)行在 Linux 或者x86架構(gòu)的服務(wù)器上。由于每個(gè)模塊都被集中部署在 SDN 控制器內(nèi)，可以靈活地按需定制安全功能模塊。不難發(fā)現(xiàn)SDN架構(gòu)下的安全實(shí)現(xiàn)具有諸多優(yōu)點(diǎn)：

3.1 實(shí)用性高

該架構(gòu)采用 N-1 冗余，其可用性、可靠性不比傳統(tǒng)架構(gòu)差，且集群式部署 SDN控制器，冗余部署邊界路由器都可以很好地實(shí)現(xiàn)。

3.2 安全性能高效

通過對(duì)比兩種系統(tǒng)的實(shí)現(xiàn)方式，我們發(fā)現(xiàn)采用了SDN架構(gòu)的網(wǎng)絡(luò)，運(yùn)維和部署難度得到了降低，網(wǎng)絡(luò)結(jié)構(gòu)得到了簡化。

3.3 業(yè)務(wù)開展靈活

借助SDN架構(gòu)，我們可以利其OpenFlow協(xié)議定義不同性質(zhì)的業(yè)務(wù)流，并針對(duì)該業(yè)務(wù)流配置相關(guān)的安全策略，這些工作只需在 SDN控制器集中上完成，管理相對(duì)方便。

3.4 網(wǎng)絡(luò)易于擴(kuò)充

如果需要提高處理能力，增加架構(gòu)安全性能。只需要利用基于IAAS架構(gòu)云來對(duì)安全資源池進(jìn)行擴(kuò)充，或采用集群式服務(wù)器的部署方式即可。

3.5 系統(tǒng)成本性價(jià)比高

利用SDN架構(gòu)的特點(diǎn)，我們采用安全功能模塊和硬件服務(wù)器即可，不再需要其它的網(wǎng)絡(luò)安全設(shè)備。相比傳統(tǒng)網(wǎng)絡(luò)安全實(shí)現(xiàn)方式，其在建設(shè)和運(yùn)維成本上，SDN架構(gòu)顯示出更高的性價(jià)比。

綜上所述，SDN架構(gòu)的網(wǎng)絡(luò)結(jié)構(gòu)，不論從對(duì)現(xiàn)有業(yè)務(wù)的支持性，功能模塊的可部署性，還是網(wǎng)路安全的按需實(shí)現(xiàn)性，均要優(yōu)于現(xiàn)有網(wǎng)絡(luò)，是值得進(jìn)行深入研究的技術(shù)領(lǐng)域。

參考文獻(xiàn)

[1] ?薛樂梅.SDN網(wǎng)絡(luò)安全策略研究[J].數(shù)字技術(shù)與應(yīng)用，2018-10

[2] ?薄楊，黃存東.軟件定義網(wǎng)絡(luò)SDN新型網(wǎng)絡(luò)架構(gòu)研究[J].佳木斯大學(xué)學(xué)報(bào)（自然科學(xué)版），2018-3

[3] ?王月.軟件定義網(wǎng)絡(luò)安全研究[J].計(jì)算機(jī)技術(shù)與發(fā)展，2018-4

[4] ?王龍.SDN網(wǎng)絡(luò)安全的應(yīng)對(duì)策略研究[J].科學(xué)技術(shù)創(chuàng)新，2019-20