■ 文/滕征岑 可為 陳國(guó)松 崔瀚彬 北京中油瑞飛信息技術(shù)有限責(zé)任公司

1.引言

隨著云技術(shù)與大數(shù)據(jù)技術(shù)的發(fā)展，互聯(lián)網(wǎng)以超高速的節(jié)奏滲透并影響著多個(gè)領(lǐng)域前進(jìn)的腳步。由于網(wǎng)絡(luò)用戶的爆炸式增長(zhǎng)，以及網(wǎng)絡(luò)服務(wù)的多樣性與復(fù)雜性不斷提升，其對(duì)網(wǎng)絡(luò)數(shù)據(jù)的超高速穩(wěn)定傳輸有了越來(lái)越高的要求。同時(shí)，隨著網(wǎng)絡(luò)高速化、低成本、虛擬化的趨勢(shì)，以及對(duì)于靈活可擴(kuò)展性的需求日益提升，傳統(tǒng)結(jié)構(gòu)的網(wǎng)絡(luò)也逐漸暴露出各種問(wèn)題。

SDN(Software Defined Network，軟件定義網(wǎng)絡(luò))是傳統(tǒng)網(wǎng)絡(luò)架構(gòu)的一個(gè)顛覆性概念革新，其引發(fā)了學(xué)術(shù)界和工業(yè)界的廣泛研究與開(kāi)發(fā)，被認(rèn)為是未來(lái)網(wǎng)絡(luò)發(fā)展的新方向。由于其自身優(yōu)越的可控制性與可管理性，受到了越來(lái)越多互聯(lián)網(wǎng)公司的重視，以期通過(guò)SDN技術(shù)來(lái)提高產(chǎn)品的性能，迅速的提高市場(chǎng)占有率與競(jìng)爭(zhēng)力。SDN將傳統(tǒng)數(shù)據(jù)傳輸與控制一體的網(wǎng)絡(luò)架構(gòu)解耦，其核心理念是講數(shù)據(jù)控制與轉(zhuǎn)發(fā)分離，將網(wǎng)絡(luò)架構(gòu)抽象為三個(gè)層面，從下向上依次為設(shè)備層、控制層、應(yīng)用層，如圖1所示。

圖1 SDN三層網(wǎng)絡(luò)架構(gòu)

SDN將所有的硬件設(shè)備集中到設(shè)備層，負(fù)責(zé)數(shù)據(jù)的傳輸，而控制層通過(guò)控制層數(shù)據(jù)接口與之進(jìn)行交流。對(duì)于用戶使用的各種應(yīng)用，存在與最上面的應(yīng)用層，應(yīng)用層通過(guò)各種開(kāi)放的API端口與控制層互通。SDN架構(gòu)實(shí)現(xiàn)了數(shù)據(jù)轉(zhuǎn)發(fā)與控制的分離，而且集中控制也使得可以從全局的角度進(jìn)行資源的調(diào)配。對(duì)外的API端口也使得系統(tǒng)有更高的擴(kuò)展能力，用戶可以根據(jù)需要進(jìn)行定制。

企業(yè)為了實(shí)現(xiàn)高效的網(wǎng)絡(luò)管理，規(guī)范化用戶使用互聯(lián)網(wǎng)的行為，加強(qiáng)保護(hù)企業(yè)內(nèi)部敏感數(shù)據(jù)，防止泄露，并與此同時(shí)追溯用戶的違規(guī)操作，網(wǎng)絡(luò)審計(jì)系統(tǒng)發(fā)揮了至關(guān)重要的作用。審計(jì)系統(tǒng)一般是對(duì)鏡像流量進(jìn)行分析，所以根據(jù)企業(yè)規(guī)模的不同，用戶數(shù)量會(huì)有數(shù)量級(jí)的變化，因而鏡像流量也會(huì)有巨大的差別。對(duì)于大型企業(yè)的審計(jì)系統(tǒng)，因?yàn)榇笠?guī)模用戶訪問(wèn)互聯(lián)網(wǎng)，同一時(shí)間內(nèi)需要備份的流量不但對(duì)審計(jì)系統(tǒng)是個(gè)巨大的考驗(yàn)，對(duì)于存儲(chǔ)系統(tǒng)的實(shí)時(shí)大數(shù)據(jù)寫(xiě)入也有非常高的要求。

此外，對(duì)于物理跨地域的企業(yè)廣域網(wǎng)，因?yàn)榫W(wǎng)絡(luò)分布離散，對(duì)于審計(jì)系統(tǒng)實(shí)時(shí)高效的記錄用戶上網(wǎng)行為，要求更加之高。與此同時(shí)，因網(wǎng)絡(luò)多區(qū)域分布，所以審計(jì)系統(tǒng)的統(tǒng)一維護(hù)，數(shù)據(jù)庫(kù)的維護(hù)與用戶上網(wǎng)行為的審計(jì)更加繁瑣，勢(shì)必需要新的解決方案來(lái)高效的實(shí)現(xiàn)數(shù)據(jù)備份與分析，系統(tǒng)硬件資源配置，策略下發(fā)等一系列要求。

圖2 傳統(tǒng)網(wǎng)絡(luò)審計(jì)系統(tǒng)架構(gòu)

圖3大型企業(yè)廣域網(wǎng)下的審計(jì)系統(tǒng)架構(gòu)

圖4基于SDN架構(gòu)的審計(jì)系統(tǒng)

2.傳統(tǒng)網(wǎng)絡(luò)審計(jì)系統(tǒng)

傳統(tǒng)的審計(jì)系統(tǒng)基本采用互聯(lián)網(wǎng)出口鏡像流量的方式，即并聯(lián)的方式進(jìn)行系統(tǒng)搭建，不采用串聯(lián)的方式的好處是防止審計(jì)系統(tǒng)故障而導(dǎo)致網(wǎng)絡(luò)中斷，使得用戶訪問(wèn)互聯(lián)網(wǎng)受限。傳統(tǒng)審計(jì)系統(tǒng)的基本架構(gòu)，可以參見(jiàn)圖2。

傳統(tǒng)的網(wǎng)絡(luò)審計(jì)系統(tǒng)部署于局域網(wǎng)出口邊界，主要可分為三個(gè)部分，即數(shù)據(jù)收集引擎、數(shù)據(jù)庫(kù)與數(shù)據(jù)處理設(shè)備、數(shù)據(jù)分析與控制中心。其中，數(shù)據(jù)收集引擎負(fù)責(zé)抓取鏡像流量，并按照用戶的規(guī)則進(jìn)行簡(jiǎn)單歸類(lèi)，然后將抓取到的數(shù)據(jù)發(fā)送至數(shù)據(jù)庫(kù)，在此數(shù)據(jù)會(huì)進(jìn)行一定的預(yù)處理，如源、目的端口的識(shí)別，以及源、目的IP的識(shí)別，然后將數(shù)據(jù)進(jìn)行分類(lèi)的存儲(chǔ)。當(dāng)需要對(duì)數(shù)據(jù)進(jìn)行審計(jì)時(shí)，數(shù)據(jù)分析與控制中心會(huì)從數(shù)據(jù)庫(kù)中調(diào)取數(shù)據(jù)，然后進(jìn)行一系列特征的識(shí)別，如通信協(xié)議、應(yīng)用種類(lèi)的識(shí)別，并進(jìn)行協(xié)議還原，從而查看數(shù)據(jù)包反應(yīng)于應(yīng)用層時(shí)的內(nèi)容。

傳統(tǒng)的網(wǎng)絡(luò)審計(jì)系統(tǒng)數(shù)據(jù)收集引擎與控制中心完全分離，需要不同的應(yīng)用系統(tǒng)去分別管理，同時(shí)由于數(shù)據(jù)引擎設(shè)備固定，其決定了數(shù)據(jù)前往數(shù)據(jù)庫(kù)存儲(chǔ)時(shí)的吞吐量，當(dāng)局域網(wǎng)用戶明顯增長(zhǎng)，超過(guò)其負(fù)荷，將會(huì)出現(xiàn)大量數(shù)據(jù)積壓，甚至丟數(shù)據(jù)的情況。而當(dāng)用戶減少，設(shè)備則低負(fù)荷運(yùn)轉(zhuǎn)，資源無(wú)法有效利用。一般企業(yè)夜間網(wǎng)絡(luò)流量明顯下降，此時(shí)數(shù)據(jù)處理設(shè)備也是低負(fù)荷運(yùn)轉(zhuǎn)，不能實(shí)現(xiàn)大規(guī)模預(yù)存數(shù)據(jù)的離線解析入庫(kù)。

另外，當(dāng)企業(yè)內(nèi)網(wǎng)是跨地理，包含多個(gè)局域網(wǎng)的架構(gòu)時(shí)，為了實(shí)時(shí)有效的記錄各局域網(wǎng)的數(shù)據(jù)流量，勢(shì)必要求部署多套審計(jì)系統(tǒng)，在不同的端口進(jìn)行監(jiān)測(cè)，如圖3所示。

這樣的結(jié)構(gòu)除了單一審計(jì)系統(tǒng)面臨的系統(tǒng)資源分配、數(shù)據(jù)吞吐瓶頸問(wèn)題，眾多的數(shù)據(jù)分析與控制中心在使用時(shí)格外繁瑣，同時(shí)設(shè)備的地理分離使得后期運(yùn)維難度和成本也加大。

3.基于SDN架構(gòu)的審計(jì)系統(tǒng)

鑒于傳統(tǒng)審計(jì)系統(tǒng)面臨的眾多問(wèn)題，結(jié)合SDN網(wǎng)絡(luò)建構(gòu)卓越的可擴(kuò)展性與靈活性，我們提出了新型的基于SDN架構(gòu)的審計(jì)系統(tǒng)，如圖4所示。

根據(jù)圖4，審計(jì)系統(tǒng)需要的存儲(chǔ)設(shè)備、數(shù)據(jù)處理設(shè)備完全集中與SDN架構(gòu)的底層設(shè)備層。數(shù)據(jù)流的控制通過(guò)SDN控制器進(jìn)行，上層為網(wǎng)絡(luò)審計(jì)系統(tǒng)的APP。

審計(jì)系統(tǒng)因?yàn)橐M(jìn)行大量的數(shù)據(jù)備份，所以存儲(chǔ)系統(tǒng)的支持倍加重要。因?yàn)椴捎肧DN架構(gòu)，系統(tǒng)的存儲(chǔ)系統(tǒng)可以靈活的配置，可以依據(jù)企業(yè)用戶數(shù)量分配存儲(chǔ)資源，從而使得存儲(chǔ)資源得到有效的利用。此外，對(duì)于數(shù)據(jù)處理設(shè)備，其可以集成傳統(tǒng)審計(jì)系統(tǒng)數(shù)據(jù)收集引擎以及數(shù)據(jù)分析中心的功能，可以將網(wǎng)絡(luò)出口的數(shù)據(jù)進(jìn)行分析、歸類(lèi)存儲(chǔ)，同時(shí)依據(jù)業(yè)務(wù)需要，也可以靈活的變化數(shù)據(jù)處理設(shè)備的數(shù)量，對(duì)于實(shí)時(shí)性要求高的企業(yè)，可以對(duì)實(shí)時(shí)數(shù)據(jù)進(jìn)行解析存儲(chǔ)。而對(duì)實(shí)時(shí)性要求一般的企業(yè)，可以加大存儲(chǔ)的部署，而縮減數(shù)據(jù)處理設(shè)備的投入，按需對(duì)數(shù)據(jù)進(jìn)行解析，可以進(jìn)行數(shù)據(jù)預(yù)存，然后離線解析，充分利用數(shù)據(jù)處理設(shè)備資源，這也不再受傳統(tǒng)審計(jì)系統(tǒng)數(shù)據(jù)收集引擎數(shù)據(jù)吞吐瓶頸的限制。當(dāng)需要對(duì)數(shù)據(jù)進(jìn)行審計(jì)時(shí)，審計(jì)系統(tǒng)的APP直接可以通過(guò)策略解析，然后到SDN控制器向存儲(chǔ)設(shè)備調(diào)用數(shù)據(jù)，之后數(shù)據(jù)回傳給應(yīng)用界面。

對(duì)于大型的企業(yè)網(wǎng)絡(luò)，存儲(chǔ)與數(shù)據(jù)處理設(shè)備也可以集中部署，而審計(jì)系統(tǒng)APP統(tǒng)一管理所有局域網(wǎng)的數(shù)據(jù)，不再需要維護(hù)多個(gè)管理客戶端，多地域分散的維護(hù)大量設(shè)備。同時(shí)，由于SDN架構(gòu)對(duì)外多功能的API接口，網(wǎng)絡(luò)審計(jì)系統(tǒng)APP的功能擴(kuò)展，也會(huì)更加的便捷。系統(tǒng)整體的運(yùn)維難度與成本均得到有效的降低。

與此同時(shí)，企業(yè)一般除了審計(jì)系統(tǒng)會(huì)用到互聯(lián)網(wǎng)出口鏡像流量，IDS(入侵檢測(cè)系統(tǒng))也是根據(jù)鏡像流量進(jìn)行網(wǎng)絡(luò)行為判斷，采用SDN架構(gòu)后，SDN控制器下發(fā)策略進(jìn)行鏡像的流量不但可以給審計(jì)系統(tǒng)使用，IDS也可以共用，而不必再向傳統(tǒng)網(wǎng)絡(luò)架構(gòu)進(jìn)行多端口鏡像。

4.結(jié)束語(yǔ)

由于網(wǎng)絡(luò)迅速發(fā)展，大數(shù)據(jù)、虛擬化、云計(jì)算技術(shù)的推進(jìn)，傳統(tǒng)網(wǎng)絡(luò)架構(gòu)的問(wèn)題逐漸顯現(xiàn)?；趥鹘y(tǒng)網(wǎng)絡(luò)的審計(jì)系統(tǒng)也會(huì)因?yàn)橛脩魯?shù)量龐大，數(shù)據(jù)流量超負(fù)荷而難以滿足要求。文章提出了基于SDN架構(gòu)的審計(jì)系統(tǒng)，通過(guò)整合物理硬件資源，并依靠SDN控制器流量的獲取，可以實(shí)現(xiàn)大規(guī)模的數(shù)據(jù)審計(jì)服務(wù)。此系統(tǒng)不但可以有效的利用物理資源，其優(yōu)越的可擴(kuò)展能力和靈活性也較傳統(tǒng)審計(jì)系統(tǒng)給為出色，試用對(duì)多種應(yīng)用的集成。