基于SDN的港口安全資源池建設

張華　岳皓

摘? ?要：為防范港口業務和各種信息化應用的快速增加對網絡安全帶來的沖擊，文章基于軟件定義網絡（Software Defined Network，SDN）平臺實現安全設備資源池化進行了研究，針對不同品牌、不同類型的安全設備，通過SDN平臺實現港口網絡安全設備統一集中調配使用，最大化地發揮安全設備的功能和性能，增加安全設備的可靠性，避免因設備切換所造成的網絡中斷，同時針對港口網絡出口的網絡安全設備及相關核心設備進行資源重新整合，以滿足港口業務對網絡安全的全新要求。

關鍵詞：港口;SDN;安全資源池;安全服務鏈;軟件定義安全

中圖分類號： TP393? ? ? ? ? 文獻標識碼：B

Abstract： Research and Application of Port Network Security Resource Pooling Platform Abstract： In order to ensure the impact of the rapid increase of port business and various information applications on network security， this paper studies the port based on SDN platform to realize the security equipment resource pool. The port network has existing brands and different types. The security equipment realizes the unified deployment of the existing security equipment of the port network through the SDN platform， maximizing the function and performance of the security equipment， increasing the reliability of the security equipment， avoiding network interruption caused by equipment switching， and targeting the port. The network security equipment and related core equipment of the network outlet re-integrate resources to meet the new requirements of the port business for network security.

Key words： port; SDN; secure resource pool; security service chain; software defined security

1 引言

隨著物聯網、云計算、大數據等新一代信息技術的快速發展，不斷提升港區軟實力實現港口網絡安全管理，滿足網絡安全設備智能管理的需求，為港口業務系統提供強有力的安全保障，成為了港口網絡安全建設的發展方向。軟件定義安全的架構將成為對抗安全事件的利器，但對目前如何保證港口網絡不同品牌的安全設備統一管理，實現安全資源池化，還存在諸多的問題[1]?；赟DN的安全服務鏈方案可較好地解決目前所面臨的問題，并能夠提供彈性、按需和敏捷的安全服務。

文章基于軟件定義安全的架構，設計了一套資源池系統，將安全設備完全以虛擬化的形式放入資源池，并做統一調度管理[2]。軟件定義安全解決了港口業務系統中各個安全設備的可靠部署和自動化運維的問題，所以采用基于SDN安全服務鏈的方式讓港口網絡安全變的更靈活、更具彈性。

2? 港口網絡安全現狀

2.1? 安全設備運維復雜

目前，港口網絡安全防護設備整體結構采用串接的部署方式，如果需對安全設備進行更換或維護等操作，就會涉及到主用設備與備用設備的切換，不可避免的會對網絡產生影響，甚至會造成港口網絡業務的中斷。

為了保證港口業務系統的數據安全，港口網絡部署了不同品牌、不同功能的安全產品，各個安全產品的工作相對獨立，無法統一的規劃安全策略和流量，且各個安全設備之間無法實現聯動。

2.2? 安全設備利用率低

港口網絡為了保證其可靠性，安全設備大都采用主備模式部署，但主備模式部署的利用率較低，無法充分滿足當前業務流量對帶寬的需求。因為采用主備的模式部署，網絡所有業務流量只運行在主用設備上，備用設備無流量經過，所以網絡利用率較低（只有50%的利用率），但隨著港口業務系統的大量上線，主備模式已無法滿足現有業務對帶寬的需求。

2.3? 網絡穩定性差

因為港口安全設備采用的是串行部署，當安全設備出現故障時，主用設備與備用設備之間的切換會對網絡產生影響，甚至造成網絡中斷，從而影響港口業務系統的正常使用。

2.4? 網絡安全投入成本較高

港口購買安全設備時，要考慮串行部署所有流量均需要經過每個安全設備，為了避免造成網絡瓶頸，需要采購性能相對高端的安全設備，所以每次對安全設備的升級更新投入成本較高。實際上不同的安全設備處理不同的流量，不需要所有流量經過每一臺安全設備，如果能夠進行分流，可以降低部分安全設備的性能。

3? 港口網絡安全資源池關鍵技術研究

通過對港口網絡安全設備及相關核心設備重新進行資源整合，將安全設備旁掛在核心設備或引流設備旁邊，形成安全資源池，并可以根據區域、關鍵節點流量去查看對應的風險，同時明顯地提高安全響應速度和效率。通過自動化的安全策略部署可對安全威脅進行有效的控制，防止和降低其對網絡和業務的影響。由于采用旁掛引流的方式，可實現安全設備流量的負載均衡，提高設備利用率，降低傳統串接部署設備性能瓶頸的問題。更換或更新安全設備時，也不會影響整個網絡的運行，即使安全設備故障，采用逃生機制也會保證網絡及業務的正常運行。

在整體的技術方案中，用戶的操作全部在SDN控制器端完成，因此除了一些必要的設備端配置外，基本上整個服務鏈的創建、維護等過程都是通過SDN控制器完成[3]。SDN控制器會生成相關流表并通過OpenFlow協議[4]下發流表到核心設備或引流設備上，完成后續的引流操作，從而實現將指定流量按需轉發到各個安全設備節點并最終實現安全資源池化。

4? 基于SDN的港口網絡安全資源池的建設與應用

4.1? 構建網絡安全資源池體系

在港口網絡部署SDN控制器以及引流網絡設備，通過對現有安全設備的旁掛部署，構建網絡安全資源池。網絡安全資源池能夠對港口的網絡安全實現更高效、更精準的安全防護。安全設備是采用邏輯旁掛的方式進行部署，若需要對安全設備進行升級、配置和維護等操作，不會對網絡造成中斷，不會影響港口業務的正常使用，從而保證業務的連續性。

原來主備的部署方式改為雙活的部署方式，實現網絡及出口帶寬的充分利用，滿足港口業務未來對帶寬的需求。實現安全資源池方案后，即使某臺安全設備故障，SDN控制器會通過Bypass等功能，將流量放行或將流量引入到其他安全設備，避免港口網絡中斷，保證業務正常運行。安全能力適應業務彈性擴展的需求，在新業務上線或原有業務擴容時，不必改變現有網絡結構，通過基于軟件定義的服務編排方式，將所需安全能力立即在線部署。

通過優化網絡安全設備后，不同功能的安全設備按需要處理不同的業務流量，各安全設備分工明確，避免所有流量都經過每一臺安全設備（即使是該安全設備不需要處理的流量）。優化后的安全架構對安全設備的性能和吞吐量要求相應會降低，后續可以減少安全設備的采購成本，還可實現不同廠家、不同種類的安全設備統一的流量管理，統一規劃安全策略，充分利用現有的安全資源，充分保證港口網絡的安全性。

4.2? 網絡安全資源池部署

通過對網絡安全設備及相關核心設備進行資源重新整合，將安全設備旁掛在引流設備旁邊，形成安全資源池。形成的安全資源池可實現圖形化界面幫助用戶直觀了解全網安全態勢，并可以根據不同區域和關鍵節點流量去查看對應的風險，明顯地提高了安全響應速度和效率。通過自動化的安全策略部署可對安全威脅進行有效的控制，防止和減少對網絡及業務的影響。由于采用旁掛引流的方式，可實現安全設備流量的負載均衡，提高設備的利用率，解決傳統串接部署設備性能瓶頸的問題[5]。更換或更新設備時也不會影響整個網絡的運行，即使安全設備故障，采用逃生機制也會保證網絡及業務的正常運行。同時，在網絡中部署SDN控制器，實現對安全資源的流量分配。基于SDN的安全資源池作為整體網絡安全設備的控制器，對整個網絡資源進行全局把控，生成統一的全局資源視圖[6]，具備網絡安全設備的編排能力。能夠根據用戶的需求，創建不同的防護鏈，對各個防護鏈上的安全設備類型以及不同產品的先后防護順序進行編排，傳送不同的業務訪問流進入相應的防護鏈。

基于SDN的安全資源池可以實現并行擴展，安全編排可以跨節點操作，全局池化基本力提供高可用、冗余、彈性、在線擴容等保障，充分實現靈活的安全能力編排、安全實時在線、安全路徑可控、安全路徑冗余以及安全路徑隔離等功能。

為保證安全能力實時在線，基于SDN的安全資源池設計監控模塊對安全路徑和安全設備進行監控，當安全設備出現問題時對其進行替換，保證防護鏈的安全能力;當安全路徑傳輸數據為零，冗余備用路徑有傳輸數據時，自動切換當前傳輸路徑至冗余備用路徑，保證業務系統的正常通信及安全防護?；赟DN的安全資源池通過設置不同的數據傳輸映射表來分離不同的安全防護鏈，隔離不同業務系統的傳輸數據，保證數據的底層傳輸安全。

這種部署方式的好處是無需改動現網的整體配置，僅需額外增加一臺獨立的交換設備和控制器[7]就可實現出口“糖葫蘆串”的整改，網絡改動工作量小，同時兼容現有網絡的任意部署配置。

4.3? 網絡安全資源池實現過程

4.3.1創建服務鏈

在整個實現過程中，除了一些必要的設備端配置外，基本上整個服務鏈的創建、維護等過程都是通過SDN控制器完成。在控制器上創建服務鏈通過創建服務鏈名稱、指定業務流及指定該業務流所需要經過的節點以及順序幾步完成。

完成這個設置后控制器會生成相關流表并通過OpenFlow協議下發流表到交換設備上完成后續的引流操作，從而實現將指定流按需轉發到各個節點并最終形成Service Chain功能。

4.3.2 引流模式與部署

創建了服務鏈之后，控制器下發相關的OpenFlow流表[8，9]并轉義成交換設備可識別的轉發規則。Service Chain節點（安全設備等）通常同時支持引流模式為路由模式和透明模式。本次部署采用路由模式。

當處于路由模式時，針對P1-P9的某三層轉發的流設計如圖3所示Service Chain流量模型。

首先控制器下發組規則（Group1），該規則選擇從端口1輸入的某種特定特征的報文，選擇從端口P3、P5之一輸出，同時修改對應的SMAC/DMAC/VLAN為指定值。在交換端的實現需要轉義成ECMP的方式完成。由于控制器沒有也無法指定散列規則，因此散列的方式由芯片本身決定。由于控制器無法掌握該特征流會走P3、P5哪條路徑，因此在下一個規則設置時必須同步兩條表項（Flow1和Flow2），使得特征報文無論從P4還是P6輸入都將繼續走P7端口。當從P4、P6的數據流回流到交換時，需要分別進行Flow1、Flow2的流匹配才能繼續后續的轉發規則。

4.4? 網絡安全資源池實現效果

4.4.1實現物理網絡及安全設備彈性擴展

旁掛部署的方式消除了單點故障，同時避免串接設備主備切換而引起的網絡中斷問題。如果旁掛的安全設備出現問題，可利用SDN智能Bypass功能，保證業務不中斷。因為SDN是標準開放的接口[10]，其策略主要下發給核心引流設備，所以旁掛的安全設備可以使用多種品牌的設備，可充分保護港口網絡現有投資。

4.4.2 保證港口業務的彈性擴展

增加和刪除旁掛設備時，不會引起斷網。因為設備是采用旁掛方式，并且利用SDN動態引流，增加新設備時，網絡不會產生中斷，待設備運行正常穩定后，再把相應的流量動態牽引過來，恢復正常。同時，在刪除設備之前，可以用SDN動態的把承載在這臺物理設備上面的流量先牽引走，然后再刪除該設備?？蓪崿F按需引流，根據實際業務需要，動態牽引流量到需要的安全資源上，充分利用設備和帶寬資源。通過這種方式，將避免出現不相關的流量大量占用設備和鏈路資源的現象。

4.4.3 全面掌控港口網絡實時安全情況

SDN控制的網絡出口，提供圖形化界面，簡化維護工作，滿足不同層面網絡管理人員的個性化需求，大大減輕了運維的壓力，有效提升了運維效率。更好的抽象業務層面，維護人員可以更多的關注業務層面，從業務的角度更便捷的去定義業務流的處理方式，以及承載業務流的網絡設備之間的邏輯關系。

5 結束語

安全資源池技術可進一步加強港口網絡的安全防護，為港口業務系統提供安全保障，提高港口各業務系統的安全防護等級。通過構建網絡安全資源池，可實現對港口網絡更高效、更精準的安全防護，消除安全設備單點故障，避免安全設備主備切換帶來的風險。提高整網安全設備的利用率，降低運維難度，保護用戶投資，減少用戶未來對安全設備投入的成本，具有較強的推廣價值。

參考文獻

[1] 雷中鋒.關于軟件定義網絡SDN的三大誤區[J].信息技術與信息化，2019（10）：142-143.

[2] 鄭毅.SDN的特征、發展現狀及趨勢[C].中國通信學會信息通信網絡技術委員會、《電信科學》雜志/2013年中國通信學會信息通信網絡技術委員會年會論文集/中國通信學會信息通信網絡技術委員會、《電信科學》雜志/人民郵電出版社電信科學編輯部，2013：154-155.

[3] 趙慧玲，馮明，史凡.SDN—未來網絡演進的重要趨勢[J].電信科學，2012，（11）：1-5.

[4] 周嵩岑，李曦.SDN技術及其在等級保護體系中的應用[J].網絡空間安全，2017，（12）：5-7.

[5] 郭春梅，張如輝，畢學堯.SDN網絡技術及其安全性研究[J].信息網絡安全，2012，（08）：112-114.

[6] 李淑玲，尚萍.基于SDN的技術化網絡設計—以某大型醫院為例[J].電腦知識與技術，2019，15（21）：44-46.

[7] 李建新.淺析SDN安全需求和安全實現[J].中小企業管理與科技（中旬刊），2019（10）：173-174.

[8] 張淑玲.基于OpenFlow的軟件定義網絡SDN[J].電子元器件與信息技術，2018，（12）：42-44+135

[9] 嚴瓊.淺析SDN架構及其安全性[J].電子制作，2016，（17）：86+88.

[10] 劉楚，趙正一，張沛.全球SDN技術標準進展[J].通信世界， 2013，（15）：36-37.

作者簡介：

張華（1978-），男，漢族，山東諸城人，解放軍信息工程大學，本科，青島港科技有限公司，工程師;主要研究方向和關注領域：網絡信息安全。

岳皓（1996-），男，漢族，山西長治人，中北大學信息商務學院，本科，青島港科技有限公司，工程師;主要研究方向和關注領域：網絡信息安全。