SDN網絡安全淺析

劉濱

摘 ?要：軟件定義網絡（software-defined networking，簡稱SDN）把傳統網絡的控制層和數據層分離，提出了嶄新的網絡架構，為下一代網絡的發展提出了方向.本文論述SDN網絡的基本原理，重點探討SDN網絡的安全及實現，為進一步研究做好準備。

關鍵詞：SDN;網絡安全;南向接口

Abstract?Software defined Networking（SDN）separates the control layer and data layer of the traditional network，puts forward a brand-new network architecture，and puts forward the direction for the development of the next generation network. This paper discusses the basic principle of SDN network，focuses on the security and implementation of SDN network，and prepares for further research.

Key words：SDN;network security;Southbound interface

引 言

傳統網絡安全在實現中，為了應對應用層的攻擊，一般會部署VPN設備、IDS系統、DDOS檢測系統對網絡邊界進行檢查。另外也用防火墻來實現基于包的過濾和狀態監控。但是這些實現方式降低了網絡業務的靈活性，同時增加了網絡部署的難度，不利于網絡安全系統的升級和更新。

1.傳統網絡安全的實現

1.1傳統網絡安全多采用冗余模式實現網絡安全，通過部署大量安全設備實現對網絡的安全保護。一般的方式是采用防火墻在第三層實現旁路，達到冗余引流，再對數據分組進行過濾。對于上網行為的管理，則采用代理的方式進行，主要實現HTTP/HTTPS 的重定向，或采用第二層透明模式對 WEB 報文進行過濾。而IPS/IDS等方式則采用流量鏡像模式，把冗余旁路部署在網絡邊緣鏈路。這些類型的安全設備部署和配置較為復雜，需要專業人員操作和管理，這些都增加了網絡的復雜性。

1.2網絡本身具有的冗余性和穩定性，在進行安全設備部署時也需要考慮。網絡全設備種類多，功能不同，從設備自身的可靠性提出了很高的要求。實現防火墻串聯，主從設備冗余切換時，可以依靠協議的魯棒性來保障。但廠家在實現時采用卻是各自的私有協議，這增加了網絡的復雜性以及后期運維的難度。

2.SDN架構介紹

2.1 SDN網絡設備（Network Devices）

首先對SDN架構的網絡設備進行定義，這里的網絡設備可以被抽象成轉發面（Forwarding Plane），它可以用虛擬交換機來實現。

為了配置位于交換機內的轉發表項，網絡設備通過南向接口Southbound Interface接收Controller發過來的指令，同時通過南向接口將事件傳送給Controller。

2.2 SND南向接口（Southbound Interface）

SDN的南向接口，是控制面和數據轉發面之間的接口，南向接口設計為標準化接口，這樣才能使軟件脫離硬件的約束，盡可能地做到按需設計，現在OpenFlow是最具影響力的南向接口標準。

2.3 SDN控制器（Controllers）

在一個SDN網絡里，Controller 運行在某臺獨立服務器上，如一臺x86Linux服務器或Windows服務器上。一個Controller可以控制多臺獨立設備，某一臺設備也可以被多個Controller所控制。

2.4 SDN北向接口（Northbound Interface）

在SDN架構中，北向接口指的是控制器和應用程序之間的接口，面向的是數據轉發，目前該接口尚未形成統一標準。

2.5 SDN應用服務層（Services）

Services也就是應用層，它為用戶提供一些網絡服務，例如security（網絡安全）、load balancing（負載均衡）等。

3.基于SDN架構的網絡安全研究

SDN架構通過南北向接口來實現安全保護和高效的流量控制。北向接口首先完成網絡功能和業務的邏輯生成，通過南向接口進行流表的向下轉發，從而實現傳統網絡的數據轉發功能。

采用SDN架構來實現網絡安全功能的上移，利用 SDN 控制器的相關模塊來實現對應的安全功能，完成安全策略的制定和生成，再運行在 Linux 或者x86架構的服務器上。由于每個模塊都被集中部署在 SDN 控制器內，可以靈活地按需定制安全功能模塊。不難發現SDN架構下的安全實現具有諸多優點：

3.1 實用性高

該架構采用 N-1 冗余，其可用性、可靠性不比傳統架構差，且集群式部署 SDN控制器，冗余部署邊界路由器都可以很好地實現。

3.2 安全性能高效

通過對比兩種系統的實現方式，我們發現采用了SDN架構的網絡，運維和部署難度得到了降低，網絡結構得到了簡化。

3.3 業務開展靈活

借助SDN架構，我們可以利其OpenFlow協議定義不同性質的業務流，并針對該業務流配置相關的安全策略，這些工作只需在 SDN控制器集中上完成，管理相對方便。

3.4 網絡易于擴充

如果需要提高處理能力，增加架構安全性能。只需要利用基于IAAS架構云來對安全資源池進行擴充，或采用集群式服務器的部署方式即可。

3.5 系統成本性價比高

利用SDN架構的特點，我們采用安全功能模塊和硬件服務器即可，不再需要其它的網絡安全設備。相比傳統網絡安全實現方式，其在建設和運維成本上，SDN架構顯示出更高的性價比。

綜上所述，SDN架構的網絡結構，不論從對現有業務的支持性，功能模塊的可部署性，還是網路安全的按需實現性，均要優于現有網絡，是值得進行深入研究的技術領域。

參考文獻

[1] ?薛樂梅.SDN網絡安全策略研究[J].數字技術與應用，2018-10

[2] ?薄楊，黃存東.軟件定義網絡SDN新型網絡架構研究[J].佳木斯大學學報（自然科學版），2018-3

[3] ?王月.軟件定義網絡安全研究[J].計算機技術與發展，2018-4

[4] ?王龍.SDN網絡安全的應對策略研究[J].科學技術創新，2019-20