SDN網(wǎng)絡(luò)安全淺析獲獎科研報告摘

要：軟件定義網(wǎng)絡(luò)（software-definednetworking，簡稱SDN）把傳統(tǒng)網(wǎng)絡(luò)的控制層和數(shù)據(jù)層分離，提出了嶄新的網(wǎng)絡(luò)架構(gòu)，為下一代網(wǎng)絡(luò)的發(fā)展提出了方向.本文論述SDN網(wǎng)絡(luò)的基本原理，重點探討SDN網(wǎng)絡(luò)的安全及實現(xiàn)，為進一步研究做好準備。

關(guān)鍵詞：SDN;網(wǎng)絡(luò)安全;南向接口

Abstract

SoftwaredefinedNetworking（SDN）separatesthecontrollayeranddatalayerofthetraditionalnetwork，putsforwardabrand-newnetworkarchitecture，andputsforwardthedirectionforthedevelopmentofthenextgenerationnetwork.ThispaperdiscussesthebasicprincipleofSDNnetwork，focusesonthesecurityandimplementationofSDNnetwork，andpreparesforfurtherresearch.

Keywords：SDN;networksecurity;Southboundinterface

引言

傳統(tǒng)網(wǎng)絡(luò)安全在實現(xiàn)中，為了應(yīng)對應(yīng)用層的攻擊，一般會部署VPN設(shè)備、IDS系統(tǒng)、DDOS檢測系統(tǒng)對網(wǎng)絡(luò)邊界進行檢查。另外也用防火墻來實現(xiàn)基于包的過濾和狀態(tài)監(jiān)控。但是這些實現(xiàn)方式降低了網(wǎng)絡(luò)業(yè)務(wù)的靈活性，同時增加了網(wǎng)絡(luò)部署的難度，不利于網(wǎng)絡(luò)安全系統(tǒng)的升級和更新。

1.傳統(tǒng)網(wǎng)絡(luò)安全的實現(xiàn)

1.1傳統(tǒng)網(wǎng)絡(luò)安全多采用冗余模式實現(xiàn)網(wǎng)絡(luò)安全，通過部署大量安全設(shè)備實現(xiàn)對網(wǎng)絡(luò)的安全保護。一般的方式是采用防火墻在第三層實現(xiàn)旁路，達到冗余引流，再對數(shù)據(jù)分組進行過濾。對于上網(wǎng)行為的管理，則采用代理的方式進行，主要實現(xiàn)HTTP/HTTPS的重定向，或采用第二層透明模式對WEB報文進行過濾。而IPS/IDS等方式則采用流量鏡像模式，把冗余旁路部署在網(wǎng)絡(luò)邊緣鏈路。這些類型的安全設(shè)備部署和配置較為復(fù)雜，需要專業(yè)人員操作和管理，這些都增加了網(wǎng)絡(luò)的復(fù)雜性。

1.2網(wǎng)絡(luò)本身具有的冗余性和穩(wěn)定性，在進行安全設(shè)備部署時也需要考慮。網(wǎng)絡(luò)全設(shè)備種類多，功能不同，從設(shè)備自身的可靠性提出了很高的要求。實現(xiàn)防火墻串聯(lián)，主從設(shè)備冗余切換時，可以依靠協(xié)議的魯棒性來保障。但廠家在實現(xiàn)時采用卻是各自的私有協(xié)議，這增加了網(wǎng)絡(luò)的復(fù)雜性以及后期運維的難度。

2.SDN架構(gòu)介紹

2.1SDN網(wǎng)絡(luò)設(shè)備（NetworkDevices）

首先對SDN架構(gòu)的網(wǎng)絡(luò)設(shè)備進行定義，這里的網(wǎng)絡(luò)設(shè)備可以被抽象成轉(zhuǎn)發(fā)面（ForwardingPlane），它可以用虛擬交換機來實現(xiàn)。

為了配置位于交換機內(nèi)的轉(zhuǎn)發(fā)表項，網(wǎng)絡(luò)設(shè)備通過南向接口SouthboundInterface接收Controller發(fā)過來的指令，同時通過南向接口將事件傳送給Controller。

2.2SND南向接口（SouthboundInterface）

SDN的南向接口，是控制面和數(shù)據(jù)轉(zhuǎn)發(fā)面之間的接口，南向接口設(shè)計為標準化接口，這樣才能使軟件脫離硬件的約束，盡可能地做到按需設(shè)計，現(xiàn)在OpenFlow是最具影響力的南向接口標準。

2.3SDN控制器（Controllers）

在一個SDN網(wǎng)絡(luò)里，Controller運行在某臺獨立服務(wù)器上，如一臺x86Linux服務(wù)器或Windows服務(wù)器上。一個Controller可以控制多臺獨立設(shè)備，某一臺設(shè)備也可以被多個Controller所控制。

2.4SDN北向接口（NorthboundInterface）

在SDN架構(gòu)中，北向接口指的是控制器和應(yīng)用程序之間的接口，面向的是數(shù)據(jù)轉(zhuǎn)發(fā)，目前該接口尚未形成統(tǒng)一標準。

2.5SDN應(yīng)用服務(wù)層（Services）

Services也就是應(yīng)用層，它為用戶提供一些網(wǎng)絡(luò)服務(wù)，例如security（網(wǎng)絡(luò)安全）、loadbalancing（負載均衡）等。

3.基于SDN架構(gòu)的網(wǎng)絡(luò)安全研究

SDN架構(gòu)通過南北向接口來實現(xiàn)安全保護和高效的流量控制。北向接口首先完成網(wǎng)絡(luò)功能和業(yè)務(wù)的邏輯生成，通過南向接口進行流表的向下轉(zhuǎn)發(fā)，從而實現(xiàn)傳統(tǒng)網(wǎng)絡(luò)的數(shù)據(jù)轉(zhuǎn)發(fā)功能。

采用SDN架構(gòu)來實現(xiàn)網(wǎng)絡(luò)安全功能的上移，利用SDN控制器的相關(guān)模塊來實現(xiàn)對應(yīng)的安全功能，完成安全策略的制定和生成，再運行在Linux或者x86架構(gòu)的服務(wù)器上。由于每個模塊都被集中部署在SDN控制器內(nèi)，可以靈活地按需定制安全功能模塊。不難發(fā)現(xiàn)SDN架構(gòu)下的安全實現(xiàn)具有諸多優(yōu)點：

3.1實用性高

該架構(gòu)采用N-1冗余，其可用性、可靠性不比傳統(tǒng)架構(gòu)差，且集群式部署SDN控制器，冗余部署邊界路由器都可以很好地實現(xiàn)。

3.2安全性能高效

通過對比兩種系統(tǒng)的實現(xiàn)方式，我們發(fā)現(xiàn)采用了SDN架構(gòu)的網(wǎng)絡(luò)，運維和部署難度得到了降低，網(wǎng)絡(luò)結(jié)構(gòu)得到了簡化。

3.3業(yè)務(wù)開展靈活

借助SDN架構(gòu)，我們可以利其OpenFlow協(xié)議定義不同性質(zhì)的業(yè)務(wù)流，并針對該業(yè)務(wù)流配置相關(guān)的安全策略，這些工作只需在SDN控制器集中上完成，管理相對方便。

3.4網(wǎng)絡(luò)易于擴充

如果需要提高處理能力，增加架構(gòu)安全性能。只需要利用基于IAAS架構(gòu)云來對安全資源池進行擴充，或采用集群式服務(wù)器的部署方式即可。

3.5系統(tǒng)成本性價比高

利用SDN架構(gòu)的特點，我們采用安全功能模塊和硬件服務(wù)器即可，不再需要其它的網(wǎng)絡(luò)