一種SDN網絡架構下的安全防護解決方案設計與實現

趙曉東

摘要：為了提高軟件定義網絡（SDN）的安全性，滿足用戶對軟件定義網絡（SDN）的安全關切，提出一種SDN網絡架構下的安全防護解決方案。本文從網絡分區安全防護、控制器網絡安全防護和安全管理三方面展開論述，為讀者介紹了SDN網絡架構下網絡安全防護的常見架構和常用設施，以及SDN架構下安全防護中常見問題的解決方法;創見性的提出了防火墻負載均衡資源池技術，實現了防火墻處理資源的統一靈活調配和平滑擴展。該解決方案在多家金融機構數據中心得到成功應用，結果表明該方案是一個成功的SDN網絡架構的安全防護解決方案，為用戶的應用、數據以及網絡基礎設施提供了可靠的安全保障。

關鍵詞：軟件定義網絡;控制器;南北向防護;東西向防護;防火墻資源池;安全運營中心

中圖法分類號 ?TN915.08

SDN概述

軟件定義網絡（Software Defined Networking，SDN）[1]是一種從數據轉發平面中分離控制平面以實現支持網絡虛擬化的新技術。大多數SDN體系架構有三層：最底層是支持SDN功能的網絡基礎設施，中間層是具有網絡核心控制權的SDN控制器，最上層包括SDN配置管理的應用程序和服務[3]。常見大型SDN網絡架構如圖1所示。

SDN網絡架構下，網絡分區里的流量一般分為兩類，分區內部應用經分區網絡邊界到分區外部的流量，稱之為南北向流量;網絡分區內部服務器之間交互的流量，稱之為東西向流量。

近年來很多企業采用了SDN的網絡架構，其首要關心的問題就是安全[2]。本文從網絡分區安全防護、控制器網絡安全防護和安全管理三方面出發，設計了一種SDN網絡架構下網絡安全防護的解決方案。

1.網絡分區安全防護

1.1 網絡分區安全防護需求

SDN網絡架構下，一個大型網絡常常根據功能、安全等級及合規性要求，劃分為多個網絡分區[3]，企業的重要信息系統一般會部署在網絡分區內部，由于其承載業務的重要性，常會成為黑客們的攻擊目標。攻擊內部信息系統的方式有很多，常見的途徑是利用邊界防火墻的寬松安全策略或安全漏洞，入侵內網的薄弱主機，再通過它作為跳板橫向發掘內部的其它系統存在的漏洞，一步步獲取到更大的權限和更多的內部信息資產。從黑客常用的入侵過程可以看出網絡分區南北向防護和東西向防護都是十分必要的。

1）南北向防護需求

南北向防護主要要滿足以下防護需求：在網絡層和傳輸層拒絕未授權地址或用戶的訪問行為;在必要的情況下對合法用戶的訪問進行認證;管理授權用戶的訪問會話，防止會話篡改和信息竊取行為;阻斷對內部服務器敏感端口和漏洞的嗅探行為，屏蔽內部服務器系統和應用存在的漏洞，最大限度降低內部系統的風險敞口。

2）東西向防護需求

東西向防護主要的需求是，加強區域內部異常流量和異常網絡行為監控，必要時按需在網絡區域內部劃分不同等級的安全子域，并設置相應的安全策略，保障業務數據的安全，及時發現虛擬機之間的異常流量。

1.2 網絡分區安全防護方案

網絡分區的安全防護根據防護的網絡流量的方向分為南北向防護和東西向防護兩部分。大多數用戶在網絡分區的安全防護中常會采用防火墻[4]等設備作為防護設施。

SDN網絡架構的安全防護體系如圖2所示。

1.2.1網絡分區邊界防護（南北向防護）

南北向防護，通常指網絡分區的邊界防護，通過部署在網絡區域邊界的安全設施，用于保護本網絡區域免受來自區域外部的網絡攻擊。

常用的區域邊界防護設施有防火墻、IPS（Intrusion Prevention System）、UTM（Unified Threat Management）等，配置4-7層網絡安全策略，放行授權的網絡訪問，拒絕非授權的網絡訪問行為。防火墻[4，5，6]常部署于大型網絡的區域邊界，提供高性能的網絡訪問與安全防護;IPS[9]常用于大型網絡與互聯網之間的安全邊界的攻擊防護;UTM[10]常用于有多重防護功能要求的小型網絡環境中，一種設備同時具有防火墻、IPS、防病毒、QOS（Quality of Service）、上網行為管理、內容過濾等多種安全防護功能。

SDN網絡部署過程中，為了應用部署的靈活性與可擴展性，其架構高度云化與資源池化[1]，使得SDN架構下的網絡分區邊界防護體系具備比常規網絡架構更高的處理性能、靈活性和可擴展性。常見的大型網絡中不同區域常具有不同的處理容量，也具有不同的性能要求，而用戶在設備選型時，由于各方面的政策要求及自身的擴展性需求，常會選擇同樣型號的防火墻設備作為各個分區的防護設施，這就容易導致不同容量的分區負載極不均衡。為提高設備利用率，充分利用現有設備的處理資源，同時又具備良好的靈活性與擴展性，我們設計了防火墻負載均衡資源池的網絡分區防護方案。（注：防護設施為IPS、UTM時方案相同，僅將防火墻替換為IPS或UTM即可）

1.2.1.1方案物理架構及設備工作模式

物理架構：防火墻負載均衡資源池解決方案的物理架構為：負載均衡+防火墻+負載均衡三層架構，各層次設備為Full-meth連接[3]，防火墻負載均衡資源池網絡架構如圖3所示。

設備工作模式：兩端部署高性能負載均衡設備，負載均衡設備成對部署，三層運行在HA模式，二層雙活模式;中間部署不同容量不同型號的防火墻設備，在設備支持的情況下，可以對防火墻進行虛擬化，按需將防火墻設備劃分為粒度更細或更適宜的處理單元;負載均衡設備根據各網絡分區的容量需求為各分區分配防火墻處理資源;防火墻及虛擬防火墻自身不啟用HA/AA等高可用工作模式[4，6]，依靠外層的負載均衡設備分配工作負載。

1.2.1.2方案配置實現

在負載均衡設備上為不同網絡分區的防火墻配置虛擬服務地址，此服務地址為相關網絡分區提供防火墻服務;防火墻資源根據所服務的網絡分區不同，被劃分為多個資源組（Pool）;不同的虛擬服務地址綁定分區對應的防火墻資源組（Pool）;每個資源組根據性能需求，分配多臺防火墻設備或虛擬防火墻設備作為Pool的Member;可根據性能需求增減Pool Member，實現Pool處理性能的靈活擴展;另外，可在負載均衡設備上設置不同的權重值，使得不同的Pool Member分擔不同的工作負載，從而支持不同規格型號的設備工作在一個負載均衡的資源組（Pool）中。

1.2.2分區內網絡安全防護（東西向防護）

東西向安全防護即為分區內安全防護，目的是防止分區內薄弱主機被攻陷后，入侵者通過攻陷主機進行橫向擴權。

東西向安全防護由于其防護的攻擊源為分區內部的低風險主機及用戶，因此東西向防護策略的重點是加強區域內的網絡異常行為監控。

常用的區域內部防護設施有IDS（Intrusion Detection System）、HFW（Host firewall）、HIPS（Host IPS）等。

IDS[8]常部署在基于SDN構建的大型網絡的分布式網關或集中式網關所在的交換機上，通過端口鏡像技術獲取分區內部東西向網絡流量，分析網絡流量中的異常網絡行為，發現網絡攻擊行為和區域內部的橫向擴權行為，發出告警或按需予以阻斷。

區域內部的重要信息系統及重要主機，需進行區域內部安全防護的，可部署HFW（主機防火墻）[4]及HIPS[9]（主機入侵防護系統），進行東西向安全防護，同時也加強外部防護的防御縱深。

2、控制器網絡安全防護

SDN控制器[1，2]作為網絡的一種操作系統（OS，operating system），是整個SDN網絡的核心，負責網絡中的流量調度與安全策略控制、網絡自動化管理等。通過SDN控制器集成管理使得業務申請和網絡管理更容易。

SDN控制器大部分是基于如OpenFlow、OpenStack等開放的協議及技術構建起來的，因而易于受到各種網絡攻擊。

2.1 控制器的安全防護需求

SDN控制器常受到的網絡攻擊有如下幾種：

1）信息偽造與欺騙;

2）拒絕服務攻擊;

3）系統漏洞利用;

4）控制器偽造;

1）控制器和網絡節點的安全性，最終都會體現在其操作系統的安全性。因此，首先要強化所有公共的Linux服務器操作系統的安全性。強化系統的安全性常需部署的的安全措施有及時修復系統漏洞、部署主機防火墻或主機IPS、必要情形也可部署網絡防火墻及IPS。

2）對于信息偽造及控制器偽造等攻擊行為，歸根結底是一個通訊過程的認證和認證信息及通訊信息的私密性和完整性問題。解決此類問題，需在控制器與網絡節點之間的通訊加密及認證授權上采取強化措施。

3）對于控制器面臨的拒絕服務攻擊威脅，那么它必須擁有一個高可靠性（HA，High-Availability）的架構，暴露在公網上的SDN控制器，由于來自Internet的DDoS攻擊規模較大，僅僅靠高可靠性架構不足以抵御大規模的拒絕服務攻擊，還需要部署專用的抗DDoS設備，必要時甚至需要采購運營商的DDoS流量清洗服務。

2.2 控制器安全防護架構

基于以上3方面的控制器安全防護需求，我們提出以下控制器防護架構：

控制器的安全防護體系架構是立體的、縱深的。由如下防御措施構成：

1）在控制器所在網絡的邊界部署防火墻[4]+IPS[9]以抵御來自外部的網絡攻擊及非授權訪問請求;

2）按需在控制器所在網絡的邊界處部署防DDoS[13]設施，抵御來自外部的拒絕服務攻擊;

3）在區域內部控制器的展示層服務器之前部署Web應用層防火墻（WAF，Web Application Firewall）[11，12]，用以防護來自內部和外部的應用層網絡攻擊;

4）在控制器所在網絡區域內部部署IDS[8]，用來監控控制器和區域內部高風險的網絡端口的流量，及時發現來自區域內部的網絡攻擊;

5）在安裝控制器的服務器上按需部署基于主機的防火墻[4]或IPS[9]，并及時升級系統補丁修補系統存在的安全漏洞。

6）控制器與被管理網絡節點間采用加密協議通訊，并加強管理行為的認證與授權。

SDN控制器防護體系架構如圖4所示：

3 安全管理

上述安全防護體系，雖然可以對SDN網絡承載的應用資源和控制器進行一定程度的保護，但任何一個安全防護體系都不應是安全產品的簡單堆砌。安全防護設施要發揮最大效能，需要設施間的有效聯動，需要在運行中形成高效的安全響應機制，歸根結底，需要對所有設施和人及機制進行有效的管理，即安全管理。

推薦安全管理方案：

建立統一的安全管理平臺，對所有在網設備的安全相關配置進行集中管理，實時監控設備的運行狀態，集中管理所有安全設備的訪問控制策略，定期評估設備和整體網絡架構存在的安全漏洞與風險;

建立安全運營中心（SOC，Security Operation Center），實時收集并分析網內所有的安全日志[7]，結合威脅情報數據對日志進行橫向關聯分析和歷史關聯分析，及時發現網內的攻擊及來自外部的入侵等異常網絡行為，做到安全態勢及時感知、安全事件及時響應。

SOC與SDN控制器的聯動，具有定制開發能力的機構，可以通過定制開發，使得SOC發現安全事件后，通過SDN控制器的北向接口與控制器聯動，自動生成并下發防火墻安全策略，自動阻斷網絡攻擊，從而實現對攻擊行為的自動攔截。系統間的聯動使得安全設施自動化運作，極大提升安全事件處置及安全響應效率。

總結語：

以上的三方面，網絡分區安全防護體系+SDN控制器網絡安全防護體系+有效的安全管理，構成了一個典型的SDN網絡架構下的安全防護解決方案，此方案在實際應用中取得了較好的防護效果。通過對實際應用情況統計分析得到如下結論，分區南北向防護和控制器防護架構可以有效抵御大部分未授權訪問和DDos攻擊等網絡威脅，剩余少量高等級APT（Advanced persistent attack）攻擊及其它應用層攻擊與滲透行為，也可通過安全運營中心的事件關聯分析來發現并予以阻止。結果表明，該方案是一個成功的SDN網絡架構的安全防護解決方案，為用戶的應用、數據以及網絡基礎設施提供了可靠的安全保障。

參考文獻

[1][美]Thomas Nadeau D. 軟件定義網絡：SDN與OpenFlow解析[M].畢軍等譯.北京：人民郵電出版社，2014：285-298

[2]徐儉. 基于控制層的SDN網絡架構安全可靠性技術探究[J].電視工程，2018，01，007.

[3]杭州華三通信技術有限公司 新一代網絡建設理論與實踐[M]. 北京：電子工業出版社，2011：71-96

[4]楊東曉.防火墻技術及應用[M].北京：清華大學出版社，2019：19，120-131

[5]張海剛.關于集群防火墻負載均衡優化的研究[J].電腦知識與技術，2016，04.

[6]崔偉，齊競艷，黃皓.全狀態防火墻雙機熱備份的設計與實現[J].計算機應用研究，2004，12，098：278-280.

[7]吳婷，鄧忻，陳樂 ?基于認證日志和會話日志的用戶行為審計系統研究[J].中國新通信，2018，14，50：61-63.

[8]楊智君，田地，馬駿驍，隋欣，周斌.入侵檢測技術研究綜述[J].計算機工程與設計，2006.12.003.

[9]卿昊，袁宏春.入侵防御系統（IPS）的技術研究及其實現[J].通信技術，2003.06.040.

[10]劉勝華，金志平，劉云龍.UTM（統一威脅管理）技術綜述[J].網絡安全技術與應用，2011.04.004.

[11]辛曉杰，辛陽，姬碩.基于特征匹配的Web應用防火墻的研究與設計[J].信息網絡安全，2015，15 （11）：53-59.

[12]劉志光.Web應用防火墻技術分析[J].情報探索，2014，03，033.

[13]李傳煌，吳艷，錢正哲，孫正君，王偉明.SDN下基于深度學習混合模型的DDoS攻擊檢測與防御[J].通信學報，2018，39 （7）：176-187.