軟件定義網絡在提升企業內網安全性中的應用

◆張 江 劉星程 王世玲 謝敬銳 代文磊

(云南省軍區 云南 650051)

1 研究背景

企業內網是承載企業運營的基礎信息網絡，安全、可靠的網絡架構是確保企業正常運營的關鍵。隨著信息化水平的不斷提高，企業對網絡安全、網絡效率等方面的要求越來越高。然而目前大多數企業的內網，從本質上而言，都是一種基于傳統技術的局域網，其運行效率、安全防護等方面的弊端，已經成為企業推廣新技術和新平臺的瓶頸。

軟件定義網絡是當前網絡技術發展的新熱點，這種技術可以有效解決傳統 IP網絡在網絡安全和網絡效率方面的局限性。本文探討了軟件定義網絡技術在改造企業內網中的應用，提出了一種安全性更高、靈活性更好的企業內網架構。

2 基于SDN的企業內網架構

圖1 基于SDN的企業內網示意圖

基于SDN的企業內網架構如圖1所示，可以看出，和傳統的“扁平化”內網結構相比，基于 SDN的企業內網主要具備以下特點：

（1）基于SDN的企業內網采用分層的體系架構，即將網絡劃分為基礎設施層、控制層和應用層3層邏輯結構。

（2）基礎設施層即SDN企業內網的數據轉發層，由受控的網絡交換設備構成，與傳統內網不同的是，基礎設施層選用的交換機須支持OpenFlow控制協議。

（3）基礎設施層在本文中被分為外聯區和核心區（實際上還可以根據需要分為更多的區域），這樣的劃分突破了傳統內網的“扁平化”結構，使得處于不同區域的網絡具有不同的權限，提升了網絡安全性。

以圖1中不同區域節點的相互訪問為例：位于外聯區域的A節點試圖訪問核心區域的B節點，訪問成功與否取決于各區域上層控制層所做的訪問控制，在嚴格的訪問控制條件下，外聯區域甚至感知不到核心區域的存在。值得一提的是，即便是在區域以內的節點相互訪問，也同樣要受到上層控制器的控制。

（4）控制層由支持OpenFlow協議的控制器組成。根據網絡的規模和應用需要的不同，控制器的部署密度也可以不同：可以是一個區域設置一個控制器，一個區域設置多個控制器或是整個SDN企業內網只用一個控制器。

綜上所述，基于SDN構建的企業內網，實際上就是采用SDN體系架構對企業局域網進行改造，基礎設施層大部分可以延用原有網絡設施，只是交換機需要支持OpenFlow協議；控制層和應用層組成了網絡訪問控制系統，對企業內部的各種網絡訪問進行定義和控制。從圖1可以看出，SDN架構的網絡控制與數據轉發功能位于不同的層面，即控制系統與基礎網絡設備完全分離，避免了網絡設備自身的問題對控制系統運行產生影響，從而保證了控制層的可靠性和健壯性。相比之下，在傳統結構的企業內網中，基礎網絡設備出現的問題會對全局安全策略的實施造成影響。

3 使用動態網絡結構提升企業內網的安全性

3.1 基于SDN的動態網絡結構

基于SDN架構的網絡可以動態地改變網絡的邏輯結構，根據控制層對基礎網絡層的反饋和控制，實現對網絡全局信息流的掌握，從而對整個網絡的邏輯結構實現動態調整和更新。

圖2 SDN的反饋控制結構

圖2描述的是SDN交換機和控制器之間的反饋和控制，通過“狀態上報/指令下達”和“分析/控制”功能實現：SDN 交換機將信息流狀態向控制器上報，控制器將該狀態繼續上報到上層安全應用，安全應用根據現有的網絡結構和安全規則確定是否根據此狀態更新流表，若x更新，則通過控制器向SDN交換機發出控制指令。在SDN網絡中，傳輸的數據以信息流的方式在基礎網絡層中傳遞，信息流的傳輸由SDN交換機的流表控制，流表的制定則由控制層實現，從而實現了整個網絡邏輯結構的確定（圖3）。

圖3 基于信息流控制的SDN網絡邏輯結構

3.2 使用SDN結構提升內網安全性

基于SDN的網絡結構控制可以使得簡單網絡結構形成一個特定的、符合安全需要的邏輯結構，這種結構可以有效提高網絡的安全性和可控性，主要體現在以下兩個方面。

（1）阻斷隔絕

阻斷隔絕是指對網絡中的異常數據流向進行阻斷。具體觸發實例為：用戶對網絡某節點發起一個現行安全規則之外的訪問，當信息流進入SDN交換機時，交換機會將該信息流的狀態上報SDN控制器，控制器將該狀態上報給應用層的安全應用進行分析。安全應用分析該信息流的狀態，如果發現其違背安全規則，則通過控制器下發阻斷策略到SDN交換機，交換機根據該策略對交換機流表進行更新，從而阻斷該用戶對某節點的數據訪問。

（2）未知緩沖

未知緩沖是指在SDN網絡中，在控制器對數據流安全性無從判斷的情況下，將數據流導入緩沖區的一種策略。觸發未知緩沖過程的條件和阻斷隔絕類似，當上層安全應用收到控制器對異常數據流的判定請求后，由于暫時無法判定數據流的合法性，安全應用對控制器下發未知緩沖策略，控制器根據該策略更新交換機的流表，使得異常數據流進入緩沖區域。上層安全應用在此期間繼續分析數據流的安全性，必要時可人工干預，最終判定該數據流的安全性。

4 結語

傳統企業內網的架構一般都是一種“扁平化”的簡單網絡結構，即便實現了VLAN劃分，網絡節點之間的通信也仍然處于一種不可控、不可管的狀態，為病毒和木馬的傳播提供了溫床。本文基于軟件定義網絡的架構和特點，提出了一種基于SDN的新型企業內網架構。這種架構的優勢在于突破了傳統企業內網“扁平化”的簡單結構，使得部門與部門之間、節點與節點之間的網絡通信都通過SDN的控制層統一管理，提高了企業內網的安全性，為部署新一代的信息系統提供了環境支撐和安全保障。