軟件定義網絡技術與安全體系新探

前言：尋找寫作靈感？中文期刊網用心挑選的軟件定義網絡技術與安全體系新探，希望能為您的閱讀和創作帶來靈感，歡迎大家閱讀并分享。

摘要：軟件定義網絡為一種全新的網絡體系結構，其應用有效彌補了傳統網絡結構過于扁平化、安全防護手段單一的弊端，在提升網絡安全等級、降低運維管理難度方面優勢突出。本文介紹軟件定義網絡技術的基本特征，分析基于軟件定義網絡的安全體系構建，并對其在企業內網中的應用經驗進行總結，以搭建系統化的軟件定義網絡技術體系，為其研究應用提供理論參考。

關鍵詞：軟件定義網絡；網絡安全；安全體系構建

軟件定義網絡的概念提出于2006年，最初的SDN指利用軟件進行網絡控制編程，以解決傳統網絡安全體系中云數據中心監控及網絡管理邊界定義難度高、網絡邊界模糊等問題。隨著軟件定義網絡技術研究深入，其在開放性、靈活性方面優勢進一步突出，但也表現出一定的安全問題。為更好利用軟件定義網絡技術，需要對其特點及安全體系構建做深入分析。

1軟件定義網絡技術

SDN白皮書中將SDF網絡架構劃分為應用層、控制層和數據轉發層。其中，應用層包括各項業務應用；控制層為SDN控制軟件，網絡狀態維護、數據處理及編排等均在該層進行；數據轉發層包括各類簡化網絡設備，負責數據采集、處理、傳輸等。SDN網絡的基本特征有三，一是控制與轉發相獨立；二是軟件及通用硬件可編程；三是設備資源的虛擬化特征?；谌椈咎卣?，SDN網絡控制的細粒度更高，管理過程更為簡單，有助于網絡創新促進及用戶體驗提升。

2軟件定義網絡安全體系

2.1應用層安全威脅及處理措施。應用層內存在大量SDN控制器可編程接口，因開放性較高，可能引發接口濫用風險?，F有的應用授權機制尚不成熟，若其中漏洞被攻擊者所利用，即可能引發接口被攻擊、惡意安裝應用等安全問題。另外，策略沖突檢測機制的成熟度也不高，OpenFlow應用程序可能會給出相互影響的流量策略，導致現有安全防護措施失效。針對以上問題，主要處理措施有二。第一，NICE方案。該方案依照事件處理程序符號執行進行模型強制檢查，可快速、準確定位到NOX平臺中未修改控制器程序的狀態空間。另外，該方案還可自動檢測OpebFlow程序的正確性。VeriCon為驗證系統，主要用于確認控制器程序的準確性，通過一階邏輯及目標網絡范圍內的不變式，可完成FloydHoare-Dijkstra驗證[1]。經實踐，該方案在SDN程序正確性檢驗及錯誤識別上優勢突出。第二，Flover方案。Flover通過斷言集驗證流策略，完成模型檢查活動，其采用的YicesSMTsolver以NOX為基礎實現，可檢驗OpenFlow網絡運行安全性，同時提供批處理功能，有效提高控制器響應速度。NetPlumber也為一種策略檢測方案，通過對網絡中變量增減所引發網絡一致性的變動狀況做實時監控。該方案以報頭空間分析為理論基礎，能夠依托于項子圖進行增量計算，進而完成網絡狀態的迅速驗證。

2.2控制層安全威脅及處理措施。服務部署、訪問控制、網絡配置等均在控制器完成，進而帶來較高的單點失效風險。單點失效風險有四種情況，一是控制器本身可靠性及穩定性導致的風險；二是集中控制方式更容易受到AAPT攻擊，一旦被攻擊，即可能導致網絡大面積癱瘓；三是集中性管理導致控制器更易遭受DoS、DDoS等資源耗盡型攻擊；四是因網絡開放性特點而帶來的網絡攻擊、網絡監聽等安全風險。另外，因SDN控制器多布置在計算機或通用服務器上，操作系統所面臨的安全風險也會作用于控制器。以DoS資源耗盡型攻擊的處理為例。該攻擊可通過交換機流量特征分析來識別。FloodGuard為一種輕量級安全框架，其由活動流分析器和數據包遷移兩個模塊構成，安全防護過程中，活動流分析器解析控制器的試運行狀態，準確識別DoS攻擊所引發的異常流量，數據包遷移則用以數據包接收和轉移，減少控制器計算資源消耗。當識別到DoS攻擊后，數據包遷移模塊重新向轉發層定義丟失信息，此時分析器對網絡流量進行監控，提取各項異常變量，最終由控制器將這部分變量轉化為正向規則然后安裝至交換機上。

2.3數據轉發層安全威脅及處理措施。轉發層位于SDN的最底部，由大量相互連通的交換機構成，負責數據包的處理、轉發等。因交換機為終端用戶訪問網絡的直接窗口，將攻擊鏈接附加至交換機端口即可能對交換機造成安全威脅。具體來講，轉發層面臨的安全威脅主要是中間人攻擊和DoS攻擊，本文重點對中間人攻擊進行介紹。2.3.1安全威脅。交換機與控制器間的中間人攻擊為一種最常見的網絡入侵方式，即向源節點與目標節點間插入節點，攔截并篡改通信數據，且該過程無法被有效檢測。中間人攻擊可分為DNS欺騙、端口鏡像、會話劫持幾種類型，因直接作用于通信數據，該攻擊方法較為理想，在完成數據包轉發控制后，入侵者即可對系統做進一步的攻擊。2.3.2處理措施?，F階段針對中間人攻擊最有效的處理方法為，在交換機與控制器之間設置安全通道，引入TLS對二者間數據通信過程進行保護。但因TLS配置難度較大，可直接支持TLS的交換機還非常有限。另外，TLS因無法提供TCP級別保護，該處理方式并不能有效預防TCP級別的攻擊。有學者提出借助FlowChecker來處理上述問題，FlowChecker可采集全部交換機模型，通過二進制決策圖及模型檢查技術完成全部巫婆配置執行端到端快速分析驗證，進而有效找出交換機內部配置措施。另外，FortNOX可提供以角色授權及身份驗證為基礎的安全強化策略，借助創新算法，找出各類規律沖突[2]。因算法魯棒性較強，即便受到惡意攻擊其功能也可順利發揮。交換機與控制器中間層則由VeriFlow充當，以對整個網絡的動態變量進行監控，若有新規則插入，實時開展Mininet實驗。

3軟件定義網絡具體應用

3.1案例背景。某大型企業基于SDN及虛擬化技術構建企業專網。不同于中小型企業，大型企業內網的規模大、部門結構復雜、管理難度更高，網絡中節點數可能達到上千個，在網絡管理過程中，必須同時關注網絡運行效率及其安全防護工作。在網絡性能實現上，該大型企業近年來業務發展增速穩定，企業部門及員工數逐漸增加，網絡數據流體量日益擴張，以往的VLAN技術已很難再滿足要求。因此需要構建一個多層次、多分支的網絡結構系統，以滿足多節點的信息高效傳輸需求。在網絡安全等級上，企業內網現有安全防護措施多針對傳統網絡結構而設計，因傳統安全防護措施自身重預防輕控制特點的影響，網絡受到攻擊后因缺少調整機制，會給其正常使用造成較大影響。因此大型企業內網優化設計還需采用拓撲可動態改變的網絡結構。

3.2方案設計?；谝陨媳尘?，在專網設計中引入SDN技術及虛擬化技術，搭建性能優良、安全度更高的網絡架構。具體方案為：利用虛擬化技術整合企業網絡及各終端的軟硬件資源，形成虛擬化的網絡及硬件資源庫，從高層出發進行網絡重新規劃，確保各項資源均得到合理利用。SDN技術的融入徹底打破了傳統網絡結構，將數據轉發層與控制層相互獨立，并通過集中控制模式，順利完成網絡拓撲結構改變。重新設計后的專網具備如下優勢：第一，SDN技術的融入大大提高了專網的安全等級。新架構中，控制層負責網絡狀態管控工作，可依照基礎層信息動態規劃網絡資源，同時通過網絡狀態的實時監控，實現拓撲結構的靈活調整。例如，當某路徑發生擁堵后，可將該路徑切斷，重新規劃最優路徑并給出相應的拓撲結構。若某節點突發異常，也可將其隔離，故障排除后再重新加入。第二，虛擬化技術的融入實現了網絡軟硬件資源的有效整合和合理分層。新架構中的網絡資源由各類網絡設備構成，企業原有網絡中，支持OpenFlow的交換機設備均予以保留。網絡控制層則由運行SDN控制功能的服務器構成，向企業各部門、崗位提供相應的服務功能，并實現使用者與物理網絡間的有效銜接。

3.3安全體系?？紤]到SDN技術在安全方面的特殊性，在企業專網設計的同時進行SDN安全體系構建，以保證SDN技術優勢充分發揮。3.3.1安全檢測安全檢測模塊對網絡中的DDoS攻擊、P2P僵尸網絡、蠕蟲等進行異常檢測，該模塊的作用重點為安全風險檢測，在發掘安全風險的同時，可進行風險類型識別和判斷[3]。3.3.2DDoS檢測該檢測模塊主要利用了SDN集中控制的特點，以流表統計法完成攻擊數據采集，并借助靜態流表實現對DDoS攻擊的迅速響應。3.3.3網絡監控網絡監控模塊的監控內容主要為網絡延時、利用率、吞吐量、安全應用開發、協議分析等，由控制器進行網絡行為分析，若發現異常行為第一時間給出報警提示并將異常點隔離。而在應用層，需嚴格制定安全服務準則，準確判斷來自控制器的接口、服務、應用的安全等級，及時找出異常應用并將其納入SDN非合法應用列表當中。同時，借助可編程接口負責已有安全風險的控制和排除工作，以強化控制器的安全防護等級。3.3.4IDS/IPS利用IDS靈活劃定網絡范圍，并依照虛擬機遷移情況對調整方案做動態化調整。另外還可安裝靜態流表提高響應速度。

4結論

軟件定義網絡技術優勢突出，受自身屬性的影響，其在運行過程中網絡安全風險的發生也具備一定特殊性。從網絡架構應用層、控制層和數據轉發層同時出發，分別制定相應的安全防護措施，以在發揮軟件定義網絡技術優勢的同時，確保網絡安全等級達標。

參考文獻：

[1]李冬，魯喻，于俊清.軟件定義網絡中源地址驗證綁定表安全[J].浙江大學學報（工學版），2020（8）：1-7.

[2]王世玲，張江，謝敬銳，劉星程，丁偉峻.基于軟件定義網絡的大型企業安全內網設計[J].網絡安全技術與應用，2020（07）：18-19.

[3]劉昶.網絡的新標準——軟件定義網絡[J].中國有線電視，2020（07）：800-801.

作者:安進朝 單位:河北遠東通信系統工程有限公司