基于SDN 的防火墻主動防御系統設計

崇慶春

(射陽縣人民政府 信息中心,江蘇 射陽 224300)

0 引言

傳統安全防御技術只是運用了單一的安全設備。這些安全設備在防護過程中最常用的手段就是對鏈中的某一項內容進行阻斷或攻擊,具有單點性、靜態性的特征。 盡管曾經取得過良好的安全防護效果,但由于當前網絡攻擊具有較強的隱蔽性、全面性,因此防御效果不佳[1-2]。 怎樣才能讓防火墻核心異構冗余集群更好地與安全設備相整合,在應對網絡攻擊中產生良好的協同效應,能在第一時間內響應網絡攻擊,是防御技術升級、防御面擴大的重點內容。 本文以動態聯動機制為基點創建SDN 防火墻,希望能增強防御的主動性,讓上述問題迎刃而解。

1 架構設計

1.1 整體架構

本文設計的架構主要包含3 大部分:SDN 防火墻、控制器集群系統和IDS 聯動防御系統。 該設計緊密地把IDS 自動安全架構與冗余異構的控制器核心集群相銜接,以聯動、動態的形式實施網絡安全防護,增強區域之內安全防御的主動性。 SDN 防火墻聯動防御架構如圖1 所示。

圖1 控制系統網絡

如果在區域中出現了攻擊流量,SDN 防火墻的入侵檢測模塊將自動化分析這一流量并及時把分析結果反饋給決策層。 如果驗明屬于正常業務流量,則允許其通行;若認定為惡意行為的攻擊流量,決策層會及時把流量表下發給控制器集群,并及時對安全策略進行更新,下達新指令。 在這種情況下,決策層能及時審查每組控制器所處的狀態,與主控制器組協同控制所有的控制器信息,把表流下發給下聯SDN 交換機且適時調整安全策略。 只要有惡意流量通過SDN 交換機,被識別后都將會被阻攔或更改流表,自動對惡意攻擊進行攔截,以達到直接阻斷攻擊源的目的。

1.2 SDN 防火墻控制器集群架構

當前,云計算已經被引入多家企業,具有規模大、體量大的鮮明特征。 流量規模如此之大是SDN 控制器不能承載的,但為了增強其拓展性、安全性、恢復性,避免單個控制器受到猛烈攻擊,滿足核心設備的冗余需求,需要同時運用多個控制器,確保網絡運行能始終保持穩定[3-4]。 控制器集群之間的通信是成對出現的,而且要與網絡狀態趨于統一。 所以,要把同樣的共識算法引入所有的控制器之中,類似于RAFT,PAXOS 等,采用同樣的控制器表決器增強SDN 防火墻控制核心的負載能力。 在這方面,Floodlight,Ryu 等都是不錯的選擇。

1.3 SDN 防火墻與IDS 聯動架構

SDN 防火墻與入侵檢測模塊的聯動架構,如圖2所示。

圖2 聯動架構流程

2 功能模塊及工作流程

2.1 SDN 防火墻控制器集群模塊

通常情況下,傳統防火墻系統具有單一化的特征,0-Day 漏洞的存在必定會遭到入侵攻擊。 SDN 技術是建立在數據平面解耦與控制平臺的基礎之上,對分層結構體系的控制將更加靈活。 以此為基礎,本文設計的SDN 防火墻控制器集群架構,如圖3 所示。 該架構的主要功能有:(1)對控制器進行協調,由此形成統一化、全局化的網絡拓撲圖。 (2)對流表策略進行統一調配,增強控制集群核心穩定性。

圖3 SDN 防火墻控制器集群架構

2.2 SDN 防火墻控制器決策模塊

每一種控制器系統集群都是由多樣化的控制器構成的,采用控制器系統決策算法,能動態化地選擇最合理的管理組控制器及時下達相應的策略。 如果控制器系統遇到了攻擊者,攻擊難度會持續增加,成本也得到了控制,避免控制器被入侵之后惡意發送流表情況的發生,從整體上增強SDN 防火墻架構的魯棒性。

在這個SDN 防火墻系統之中,控制器系統調度模塊主要存在于控制平面之中,這一模塊承擔著整個系統對控制器核心系統做出決策、進行調度的責任,由如下4 部分構成。

(1)轉發:把拓撲與狀態信息及時采集并匯總,將其發送到每一個控制器系統之中,結合這一控制器系統扮演的角色檢測流表的一致性。

(2)監測:最關鍵的一項功能就是對控制器系統的鏈路連接狀態進行檢測,及時識別異常情況。 與提前設定的標準值實施對比,如果吞吐量、延遲有了較為明顯的改變,則需判斷控制器系統是否遭到攻擊,并及時把對比結果傳送到表決器之中。

(3)決策:主要是借助于監測了解每一個控制器系統的流表情況,實施一致性對比活動。 如果控制器系統的數量為N個,遭到攻擊之后,只能同時影響到(N+1)/2 個控制器系統同,處于安全狀態的流表規則畢竟為多數;如果存在與之不同的可疑控制器系統,則需要標識這一系統且對調度程序予以告知。

(4)調度:主要是從控制器集群之中的控制器系統做出選擇,把最合理的3 個或多個視作實時控制器系統,對其中的流表規則實施對比。 可采取兩種方式在控制器中進行靈活切換:第一種方式,在設定安全周期時運用定時器,控制器系統工作達到設定時間之后,從集群剩余的控制器系統中做出新的選擇,確定合適的實時控制器系統,在檢測時嚴格遵守控制器規則。 第二種方式,在審計對比中決策器時,一旦識別異常情況要馬上發出警報,按調度程序在實時控制器系統中做出靈活切換,確保SDN 防火墻控制器系統的安全性得到保障。

SDN 控制器決策模塊按如下步驟進行:轉發器動態化收集狀態信息,及時將其傳遞給控制器,監測器要對控制器系統進行實時跟蹤,以便于識別異常情況。如果沒有發出警報,則要按提前設定的安全周期,借助于調度器向決策器發送相應的指令,及時在各個管理組之間進行調整、切換。 如果監控器發現了不同于審計規則的內容或是鏈路出現了故障,在第一時間內將情況反饋給決策器,分析當前的安全態勢,實時化標記入侵的控制器系統。 根據SDN 防火墻控制器集群中余下部分的具體情況,再次從中選擇實時控制器系統組,向調度器下達關閉帶有標記的控制器系統的指令,新的控制器系統組被調用,流表規則審計功能正式恢復,安全周期由此實現了更新。 重復上述步驟之后,SDN防火墻控制器將始終保持穩定狀態。 SDN 防火墻控制器決策系統架構如圖4 所示。

圖4 SDN 防火墻控制器決策系統架構

2.3 SDN 防火墻與IDS 聯動防御模塊

當系統中出現了新的網絡流量,流量最先進入SDN 交換機。 由于交換機上設立了IDS 模塊,能及時對這些流量進行掃描,辯明其是否正常,如果將其確認為正常流量,不需要對其進行任何處理,放行并允許其訪問核心業務系統。 如果經過監測后將其認定為惡意流量,IDS 模塊能直接發出報警,把具備這種特征的流量一并存儲于數據庫之中,且向SDN 控制器發出通知。SDN 控制器接口會對接收到的報警日志進行讀取,了解惡意流量來自哪一個IP 地上,自動化把這些信息匯總進SDN 控制器的流表之中,由此制定安全策略且將其下發至SDN 交換機。 整個流程的實施,SDN與IDS 之間在安全防御方面形成了良好的協同與聯動,能自動下發安全策略,防御效率得到了有效提升,產生了實時化的防御效果。 入侵檢測模塊的工作流程如圖5 所示。

圖5 入侵檢測模塊聯動工作流程

在本系統中,入侵檢測模塊需要及時把生成的告警信息反饋給SDN 控制器中,確保惡意攻擊能被及時攔截在外面,如圖6 所示。 在這一模塊中,不僅要動態化監聽網絡流量,而且要適時分析,結合原有特征庫、規則庫及行為標識,及時對流量進行檢測、查詢,一旦識別了惡意流量,將自動生成報警并在報警中對惡意流量的具體特征進行描述。

圖6 入侵檢測過程

SDN 控制器與IDS 聯動防御系統實現了無縫銜接。 當防御區域有流量進入后,SDN 交換機能自動化將其發送至控制器之中,控制器以IDS 規則檢測為依托,把所有符合規則的流量進行記錄且生成告警日志。警報解釋器接收告警日志之后對其中的信息進行解析,指明攻擊類型、攻擊的IP、來自哪一個IP 等。 對這些內容進行梳理并將具體情況反饋給SDN 控制器,由此生成相應的OpenFlow 規則條目,再發布給每一個區域的SDN 交換機更新流表。 歷經這樣的流程,將自動攔截惡意流量,如果日后再次有此類流量進入系統,利用前期生成的流量標識與流表,能及時把流量丟棄并采用合適的對策對惡意行為予以處理,提升防護效果。

3 結語

本文針對傳統防火墻防御聯動機制差的問題,提出了一種基于SDN 的防火墻主動防御系統,該系統可以進行動態聯動防御機制,彌補了傳統防火墻面臨未知漏洞攻擊而防御不足的問題。 本文的研究實現了自動化網絡安全策略部署,可以對多數的網絡攻擊形成自動攔截功能,減輕了網絡信息管理者的工作負擔,提升了網絡安全防護效能。