■ 文/滕征岑 可為 陳國松 崔瀚彬 北京中油瑞飛信息技術(shù)有限責(zé)任公司

1.引言

隨著云技術(shù)與大數(shù)據(jù)技術(shù)的發(fā)展，互聯(lián)網(wǎng)以超高速的節(jié)奏滲透并影響著多個領(lǐng)域前進(jìn)的腳步。由于網(wǎng)絡(luò)用戶的爆炸式增長，以及網(wǎng)絡(luò)服務(wù)的多樣性與復(fù)雜性不斷提升，其對網(wǎng)絡(luò)數(shù)據(jù)的超高速穩(wěn)定傳輸有了越來越高的要求。同時，隨著網(wǎng)絡(luò)高速化、低成本、虛擬化的趨勢，以及對于靈活可擴(kuò)展性的需求日益提升，傳統(tǒng)結(jié)構(gòu)的網(wǎng)絡(luò)也逐漸暴露出各種問題。

SDN(Software Defined Network，軟件定義網(wǎng)絡(luò))是傳統(tǒng)網(wǎng)絡(luò)架構(gòu)的一個顛覆性概念革新，其引發(fā)了學(xué)術(shù)界和工業(yè)界的廣泛研究與開發(fā)，被認(rèn)為是未來網(wǎng)絡(luò)發(fā)展的新方向。由于其自身優(yōu)越的可控制性與可管理性，受到了越來越多互聯(lián)網(wǎng)公司的重視，以期通過SDN技術(shù)來提高產(chǎn)品的性能，迅速的提高市場占有率與競爭力。SDN將傳統(tǒng)數(shù)據(jù)傳輸與控制一體的網(wǎng)絡(luò)架構(gòu)解耦，其核心理念是講數(shù)據(jù)控制與轉(zhuǎn)發(fā)分離，將網(wǎng)絡(luò)架構(gòu)抽象為三個層面，從下向上依次為設(shè)備層、控制層、應(yīng)用層，如圖1所示。

圖1 SDN三層網(wǎng)絡(luò)架構(gòu)

SDN將所有的硬件設(shè)備集中到設(shè)備層，負(fù)責(zé)數(shù)據(jù)的傳輸，而控制層通過控制層數(shù)據(jù)接口與之進(jìn)行交流。對于用戶使用的各種應(yīng)用，存在與最上面的應(yīng)用層，應(yīng)用層通過各種開放的API端口與控制層互通。SDN架構(gòu)實(shí)現(xiàn)了數(shù)據(jù)轉(zhuǎn)發(fā)與控制的分離，而且集中控制也使得可以從全局的角度進(jìn)行資源的調(diào)配。對外的API端口也使得系統(tǒng)有更高的擴(kuò)展能力，用戶可以根據(jù)需要進(jìn)行定制。

企業(yè)為了實(shí)現(xiàn)高效的網(wǎng)絡(luò)管理，規(guī)范化用戶使用互聯(lián)網(wǎng)的行為，加強(qiáng)保護(hù)企業(yè)內(nèi)部敏感數(shù)據(jù)，防止泄露，并與此同時追溯用戶的違規(guī)操作，網(wǎng)絡(luò)審計(jì)系統(tǒng)發(fā)揮了至關(guān)重要的作用。審計(jì)系統(tǒng)一般是對鏡像流量進(jìn)行分析，所以根據(jù)企業(yè)規(guī)模的不同，用戶數(shù)量會有數(shù)量級的變化，因而鏡像流量也會有巨大的差別。對于大型企業(yè)的審計(jì)系統(tǒng)，因?yàn)榇笠?guī)模用戶訪問互聯(lián)網(wǎng)，同一時間內(nèi)需要備份的流量不但對審計(jì)系統(tǒng)是個巨大的考驗(yàn)，對于存儲系統(tǒng)的實(shí)時大數(shù)據(jù)寫入也有非常高的要求。

此外，對于物理跨地域的企業(yè)廣域網(wǎng)，因?yàn)榫W(wǎng)絡(luò)分布離散，對于審計(jì)系統(tǒng)實(shí)時高效的記錄用戶上網(wǎng)行為，要求更加之高。與此同時，因網(wǎng)絡(luò)多區(qū)域分布，所以審計(jì)系統(tǒng)的統(tǒng)一維護(hù)，數(shù)據(jù)庫的維護(hù)與用戶上網(wǎng)行為的審計(jì)更加繁瑣，勢必需要新的解決方案來高效的實(shí)現(xiàn)數(shù)據(jù)備份與分析，系統(tǒng)硬件資源配置，策略下發(fā)等一系列要求。

圖2 傳統(tǒng)網(wǎng)絡(luò)審計(jì)系統(tǒng)架構(gòu)

圖3大型企業(yè)廣域網(wǎng)下的審計(jì)系統(tǒng)架構(gòu)

圖4基于SDN架構(gòu)的審計(jì)系統(tǒng)

2.傳統(tǒng)網(wǎng)絡(luò)審計(jì)系統(tǒng)

傳統(tǒng)的審計(jì)系統(tǒng)基本采用互聯(lián)網(wǎng)出口鏡像流量的方式，即并聯(lián)的方式進(jìn)行系統(tǒng)搭建，不采用串聯(lián)的方式的好處是防止審計(jì)系統(tǒng)故障而導(dǎo)致網(wǎng)絡(luò)中斷，使得用戶訪問互聯(lián)網(wǎng)受限。傳統(tǒng)審計(jì)系統(tǒng)的基本架構(gòu)，可以參見圖2。

傳統(tǒng)的網(wǎng)絡(luò)審計(jì)系統(tǒng)部署于局域網(wǎng)出口邊界，主要可分為三個部分，即數(shù)據(jù)收集引擎、數(shù)據(jù)庫與數(shù)據(jù)處理設(shè)備、數(shù)據(jù)分析與控制中心。其中，數(shù)據(jù)收集引擎負(fù)責(zé)抓取鏡像流量，并按照用戶的規(guī)則進(jìn)行簡單歸類，然后將抓取到的數(shù)據(jù)發(fā)送至數(shù)據(jù)庫，在此數(shù)據(jù)會進(jìn)行一定的預(yù)處理，如源、目的端口的識別，以及源、目的IP的識別，然后將數(shù)據(jù)進(jìn)行分類的存儲。當(dāng)需要對數(shù)據(jù)進(jìn)行審計(jì)時，數(shù)據(jù)分析與控制中心會從數(shù)據(jù)庫中調(diào)取數(shù)據(jù)，然后進(jìn)行一系列特征的識別，如通信協(xié)議、應(yīng)用種類的識別，并進(jìn)行協(xié)議還原，從而查看數(shù)據(jù)包反應(yīng)于應(yīng)用層時的內(nèi)容。

傳統(tǒng)的網(wǎng)絡(luò)審計(jì)系統(tǒng)數(shù)據(jù)收集引擎與控制中心完全分離，需要不同的應(yīng)用系統(tǒng)去分別管理，同時由于數(shù)據(jù)引擎設(shè)備固定，其決定了數(shù)據(jù)前往數(shù)據(jù)庫存儲時的吞吐量，當(dāng)局域網(wǎng)用戶明顯增長，超過其負(fù)荷，將會出現(xiàn)大量數(shù)據(jù)積壓，甚至丟數(shù)據(jù)的情況。而當(dāng)用戶減少，設(shè)備則低負(fù)荷運(yùn)轉(zhuǎn)，資源無法有效利用。一般企業(yè)夜間網(wǎng)絡(luò)流量明顯下降，此時數(shù)據(jù)處理設(shè)備也是低負(fù)荷運(yùn)轉(zhuǎn)，不能實(shí)現(xiàn)大規(guī)模預(yù)存數(shù)據(jù)的離線解析入庫。

另外，當(dāng)企業(yè)內(nèi)網(wǎng)是跨地理，包含多個局域網(wǎng)的架構(gòu)時，為了實(shí)時有效的記錄各局域網(wǎng)的數(shù)據(jù)流量，勢必要求部署多套審計(jì)系統(tǒng)，在不同的端口進(jìn)行監(jiān)測，如圖3所示。

這樣的結(jié)構(gòu)除了單一審計(jì)系統(tǒng)面臨的系統(tǒng)資源分配、數(shù)據(jù)吞吐瓶頸問題，眾多的數(shù)據(jù)分析與控制中心在使用時格外繁瑣，同時設(shè)備的地理分離使得后期運(yùn)維難度和成本也加大。

3.基于SDN架構(gòu)的審計(jì)系統(tǒng)

鑒于傳統(tǒng)審計(jì)系統(tǒng)面臨的眾多問題，結(jié)合SDN網(wǎng)絡(luò)建構(gòu)卓越的可擴(kuò)展性與靈活性，我們提出了新型的基于SDN架構(gòu)的審計(jì)系統(tǒng)，如圖4所示。

根據(jù)圖4，審計(jì)系統(tǒng)需要的存儲設(shè)備、數(shù)據(jù)處理設(shè)備完全集中與SDN架構(gòu)的底層設(shè)備層。數(shù)據(jù)流的控制通過SDN控制器進(jìn)行，上層為網(wǎng)絡(luò)審計(jì)系統(tǒng)的APP。

審計(jì)系統(tǒng)因?yàn)橐M(jìn)行大量的數(shù)據(jù)備份，所以存儲系統(tǒng)的支持倍加重要。因?yàn)椴捎肧DN架構(gòu)，系統(tǒng)的存儲系統(tǒng)可以靈活的配置，可以依據(jù)企業(yè)用戶數(shù)量分配存儲資源，從而使得存儲資源得到有效的利用。此外，對于數(shù)據(jù)處理設(shè)備，其可以集成傳統(tǒng)審計(jì)系統(tǒng)數(shù)據(jù)收集引擎以及數(shù)據(jù)分析中心的功能，可以將網(wǎng)絡(luò)出口的數(shù)據(jù)進(jìn)行分析、歸類存儲，同時依據(jù)業(yè)務(wù)需要，也可以靈活的變化數(shù)據(jù)處理設(shè)備的數(shù)量，對于實(shí)時性要求高的企業(yè)，可以對實(shí)時數(shù)據(jù)進(jìn)行解析存儲。而對實(shí)時性要求一般的企業(yè)，可以加大存儲的部署，而縮減數(shù)據(jù)處理設(shè)備的投入，按需對數(shù)據(jù)進(jìn)行解析，可以進(jìn)行數(shù)據(jù)預(yù)存，然后離線解析，充分利用數(shù)據(jù)處理設(shè)備資源，這也不再受傳統(tǒng)審計(jì)系統(tǒng)數(shù)據(jù)收集引擎數(shù)據(jù)吞吐瓶頸的限制。當(dāng)需要對數(shù)據(jù)進(jìn)行審計(jì)時，審計(jì)系統(tǒng)的APP直接可以通過策略解析，然后到SDN控制器向存儲設(shè)備調(diào)用數(shù)據(jù)，之后數(shù)據(jù)回傳給應(yīng)用界面。

對于大型的企業(yè)網(wǎng)絡(luò)，存儲與數(shù)據(jù)處理設(shè)備也可以集中部署，而審計(jì)系統(tǒng)APP統(tǒng)一管理所有局域網(wǎng)的數(shù)據(jù)，不再需要維護(hù)多個管理客戶端，多地域分散的維護(hù)大量設(shè)備。同時，由于SDN架構(gòu)對外多功能的API接口，網(wǎng)絡(luò)審計(jì)系統(tǒng)APP的功能擴(kuò)展，也會更加的便捷。系統(tǒng)整體的運(yùn)維難度與成本均得到有效的降低。

與此同時，企業(yè)一般除了審計(jì)系統(tǒng)會用到互聯(lián)網(wǎng)出口鏡像流量，IDS(入侵檢測系統(tǒng))也是根據(jù)鏡像流量進(jìn)行網(wǎng)絡(luò)行為判斷，采用SDN架構(gòu)后，SDN控制器下發(fā)策略進(jìn)行鏡像的流量不但可以給審計(jì)系統(tǒng)使用，IDS也可以共用，而不必再向傳統(tǒng)網(wǎng)絡(luò)架構(gòu)進(jìn)行多端口鏡像。

4.結(jié)束語

由于網(wǎng)絡(luò)迅速發(fā)展，大數(shù)據(jù)、虛擬化、云計(jì)算技術(shù)的推進(jìn)，傳統(tǒng)網(wǎng)絡(luò)架構(gòu)的問題逐漸顯現(xiàn)。基于傳統(tǒng)網(wǎng)絡(luò)的審計(jì)系統(tǒng)也會因?yàn)橛脩魯?shù)量龐大，數(shù)據(jù)流量超負(fù)荷而難以滿足要求。文章提出了基于SDN架構(gòu)的審計(jì)系統(tǒng)，通過整合物理硬件資源，并依靠SDN控制器流量的獲取，可以實(shí)現(xiàn)大規(guī)模的數(shù)據(jù)審計(jì)服務(wù)。此系統(tǒng)不但可以有效的利用物理資源，其優(yōu)越的可擴(kuò)展能力和靈活性也較傳統(tǒng)審計(jì)系統(tǒng)給為出色，試用對多種應(yīng)用的集成。