張建剛

摘 要：隨著云計(jì)算等網(wǎng)絡(luò)技術(shù)的發(fā)展，固有的網(wǎng)絡(luò)架構(gòu)已經(jīng)難以滿足時(shí)代的要求，人們迫切需要對(duì)這種網(wǎng)絡(luò)構(gòu)架進(jìn)行更新，以滿足多樣化的網(wǎng)絡(luò)服務(wù)需求。在這樣的環(huán)境下，SDN（軟件定義網(wǎng)絡(luò)）應(yīng)運(yùn)而生，其出現(xiàn)迅速滿足了廣大客戶的需求，高度的可編程性及其他方面的有點(diǎn)受到了受眾的青睞，而安全流平臺(tái)可以為SDN環(huán)境下的網(wǎng)絡(luò)提供高效的安全防護(hù)保障。

關(guān)鍵詞：SDN；安全流平臺(tái)；上層控制器；網(wǎng)絡(luò)流量

中圖分類號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A DOI：10.15913/j.cnki.kjycx.2016.19.020

SDN源自于美國(guó)的一項(xiàng)課題研究，在隨后的發(fā)展中，其實(shí)用性備受肯定，進(jìn)而形成了一種新的網(wǎng)絡(luò)發(fā)展導(dǎo)向。SDN有2個(gè)重要的特點(diǎn)，即可編程度高、具備高度的開(kāi)放性。而這兩種特性恰恰又為之埋下了安全方面的隱患。目前，網(wǎng)絡(luò)攻擊手段復(fù)雜多樣，一個(gè)好的安全防護(hù)平臺(tái)異常重要。以下探討SDN環(huán)境下安全流平臺(tái)的特性、功能。

1 SDN架構(gòu)環(huán)境下存在的缺陷

1.1 交換機(jī)獨(dú)立性較差

在SDN網(wǎng)絡(luò)架構(gòu)證明了其優(yōu)勢(shì)的同時(shí)，其缺陷也十分明顯，尤其是其架構(gòu)下的交換機(jī)的獨(dú)立性較差。在傳統(tǒng)的網(wǎng)絡(luò)架構(gòu)中，交換機(jī)作為主體，控制了網(wǎng)絡(luò)路徑中的信息轉(zhuǎn)發(fā)和最優(yōu)路徑計(jì)算。而在SDN架構(gòu)中，其功能被弱化，僅負(fù)責(zé)進(jìn)行簡(jiǎn)單的信息轉(zhuǎn)發(fā)，路徑選擇和計(jì)算被集中在了上層控制器中。這種高度集權(quán)的方式對(duì)網(wǎng)絡(luò)的控制力度有所提升，但如果控制器發(fā)生狀況，則會(huì)對(duì)相應(yīng)部分的網(wǎng)絡(luò)傳輸可靠性造成影響。SDN環(huán)境下的交換機(jī)因不具備計(jì)算和判斷能力，只能被動(dòng)執(zhí)行來(lái)自控制層的命令。

1.2 命令源可能發(fā)生錯(cuò)誤

在此系統(tǒng)中，控制器可以安裝第三方的軟件和應(yīng)用，這些軟件和應(yīng)用的可靠性無(wú)法保障。如果這些軟件存在病毒，則會(huì)對(duì)控制器造成影響。作為下層交換的唯一監(jiān)督機(jī)構(gòu)，一旦發(fā)生問(wèn)題，則會(huì)造成整個(gè)網(wǎng)絡(luò)環(huán)境的不可控。

1.3 控制器缺乏有效的監(jiān)督機(jī)制

在SDN環(huán)境下，其管理模式相對(duì)簡(jiǎn)單，由控制器和交換機(jī)形成簡(jiǎn)單的上、下兩級(jí)控制模式，控制器發(fā)出命令后，交換機(jī)負(fù)責(zé)執(zhí)行命令。然而，在這個(gè)過(guò)程中，控制器的命令編寫(xiě)未得到很好的監(jiān)督，可能發(fā)生不可控的問(wèn)題。

2 SDN環(huán)境下的安全流平臺(tái)

2.1 SDN環(huán)境下的安全流平臺(tái)模式

這種安全流平臺(tái)的模式為——將防火墻、審計(jì)等等有關(guān)安全的設(shè)備與SDN交換機(jī)進(jìn)行連接，進(jìn)而做下一步的安全資源的集中處理[3]，并且通過(guò)特定的自定義模式在安全設(shè)備上對(duì)網(wǎng)絡(luò)流量進(jìn)行處理。

2.2 SDN環(huán)境下安全流平臺(tái)所具備的功能

2.2.1 對(duì)訪問(wèn)進(jìn)行有效控制

通過(guò)安全流平臺(tái)的安全措施，可以將流量轉(zhuǎn)移到訪問(wèn)控制設(shè)備中，比如防火墻，其會(huì)根據(jù)自有規(guī)則對(duì)訪問(wèn)流量進(jìn)行有效控制。如果未經(jīng)授權(quán)，則其訪問(wèn)過(guò)程便會(huì)被強(qiáng)制中斷，而合理的訪問(wèn)流量便會(huì)被回注到應(yīng)用中。

2.2.2 對(duì)網(wǎng)絡(luò)攻擊進(jìn)行及時(shí)檢查

SDN環(huán)境下的安全流平臺(tái)具備相應(yīng)的安全措施制訂能力，可以根據(jù)需要自主地進(jìn)行攻擊檢測(cè)。通過(guò)網(wǎng)絡(luò)流量的牽引，檢測(cè)設(shè)備能夠及時(shí)發(fā)現(xiàn)狀況并處理，即使是在虛擬的網(wǎng)絡(luò)環(huán)境中，也能做到相應(yīng)的導(dǎo)出和檢查。

2.2.3 對(duì)網(wǎng)絡(luò)攻擊進(jìn)行篩選、過(guò)濾

在訪問(wèn)流量的過(guò)濾方面，SDN安全流平臺(tái)具備比較高效的處理模式。如果檢測(cè)到具有相關(guān)攻擊性的網(wǎng)絡(luò)訪問(wèn)，平臺(tái)會(huì)自主將其過(guò)濾，并會(huì)在SDN平臺(tái)的應(yīng)用中回注正常的訪問(wèn)需求。在這個(gè)過(guò)程中，不需要擔(dān)心會(huì)對(duì)網(wǎng)絡(luò)中正常的通信和業(yè)務(wù)訪問(wèn)造成影響，根據(jù)平臺(tái)制定的檢測(cè)措施，它只會(huì)對(duì)攻擊性的訪問(wèn)流量進(jìn)行有針對(duì)性的處理。

2.2.4 對(duì)網(wǎng)絡(luò)內(nèi)容進(jìn)行必要的審計(jì)

由于虛擬化技術(shù)在審計(jì)設(shè)備中可使用，不同用戶的需求可以得到相應(yīng)的滿足，審計(jì)設(shè)備也可以與存儲(chǔ)技術(shù)進(jìn)行靈活結(jié)合，從而對(duì)大量的日志或其他數(shù)字信息進(jìn)行有效存儲(chǔ)。

2.2.5 SDN安全流平臺(tái)的監(jiān)控與預(yù)警功能

該平臺(tái)基于相關(guān)的安全技術(shù)設(shè)備，可對(duì)發(fā)生在系統(tǒng)中的流量進(jìn)而信號(hào)進(jìn)行實(shí)時(shí)監(jiān)控，比如遇到攻擊時(shí)，會(huì)對(duì)攻擊行為進(jìn)行報(bào)警。

2.3 SDN環(huán)境下安全流模式的優(yōu)勢(shì)

2.3.1 可對(duì)SDN網(wǎng)絡(luò)構(gòu)架進(jìn)行補(bǔ)充

SDN環(huán)境下的安全流平臺(tái)可以解決SDN構(gòu)架中的網(wǎng)絡(luò)資源管理和配置問(wèn)題，進(jìn)而對(duì)安全防護(hù)方面提供更加高效的保障。

2.3.2 具備多種安全功能

通過(guò)與一些安全方面設(shè)備的整合，能提高整體業(yè)務(wù)方面的防護(hù)能力。

3 SDN環(huán)境下安全流平臺(tái)的改進(jìn)方向

3.1 促進(jìn)安全防護(hù)過(guò)程的可視化

一般情況下，在安全部分設(shè)置完成之后，我們難以直觀地觀察到整個(gè)安全防護(hù)過(guò)程，可通過(guò)對(duì)網(wǎng)絡(luò)訪問(wèn)流量的相關(guān)監(jiān)控和管理實(shí)現(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)訪問(wèn)過(guò)程的動(dòng)態(tài)化監(jiān)控。

3.2 對(duì)相關(guān)安全部分配置的優(yōu)化

基于對(duì)訪問(wèn)流量的攻擊性過(guò)濾等特點(diǎn)，嘗試進(jìn)行更加細(xì)化的研究，使之能挖掘出有隱藏性的攻擊內(nèi)容，爭(zhēng)取保障每一條訪問(wèn)流量的安全性。

4 結(jié)束語(yǔ)

在當(dāng)今的網(wǎng)絡(luò)信息化進(jìn)程中，各種基于網(wǎng)絡(luò)活動(dòng)需求的模式和平臺(tái)正在被發(fā)掘和被使用。其中，SDN環(huán)境模式應(yīng)用廣泛，飽受歡迎，SDN環(huán)境下的安全流平臺(tái)為SDN網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行提供了保障。安全防護(hù)工作永無(wú)止境，而隨著網(wǎng)絡(luò)的發(fā)展和更新，安全流平臺(tái)的功能必將越來(lái)越強(qiáng)大，最終很好地保證網(wǎng)絡(luò)活動(dòng)的安全，為人們的網(wǎng)絡(luò)活動(dòng)提供更好的服務(wù)。

參考文獻(xiàn)

[1]馬虔.軟件定義網(wǎng)絡(luò)環(huán)境下的安全流平臺(tái)研究[J].信息安全與技術(shù)，2014，28（07）.

[2]劉琦，陳云芳，張偉，等.軟件定義網(wǎng)絡(luò)下?tīng)顟B(tài)防火墻的設(shè)計(jì)與實(shí)現(xiàn)[J].信息網(wǎng)絡(luò)安全，2015，23（11）.

[3]王俊，陳志輝，田永春，等.軟件定義網(wǎng)絡(luò)技術(shù)在戰(zhàn)術(shù)通信網(wǎng)中的應(yīng)用研究[J].通信技術(shù)，2014，15（12）.

〔編輯：張思楠〕