張建剛

摘 要：隨著云計(jì)算等網(wǎng)絡(luò)技術(shù)的發(fā)展，固有的網(wǎng)絡(luò)架構(gòu)已經(jīng)難以滿足時代的要求，人們迫切需要對這種網(wǎng)絡(luò)構(gòu)架進(jìn)行更新，以滿足多樣化的網(wǎng)絡(luò)服務(wù)需求。在這樣的環(huán)境下，SDN（軟件定義網(wǎng)絡(luò)）應(yīng)運(yùn)而生，其出現(xiàn)迅速滿足了廣大客戶的需求，高度的可編程性及其他方面的有點(diǎn)受到了受眾的青睞，而安全流平臺可以為SDN環(huán)境下的網(wǎng)絡(luò)提供高效的安全防護(hù)保障。

關(guān)鍵詞：SDN；安全流平臺；上層控制器；網(wǎng)絡(luò)流量

中圖分類號：TP393.08 文獻(xiàn)標(biāo)識碼：A DOI：10.15913/j.cnki.kjycx.2016.19.020

SDN源自于美國的一項(xiàng)課題研究，在隨后的發(fā)展中，其實(shí)用性備受肯定，進(jìn)而形成了一種新的網(wǎng)絡(luò)發(fā)展導(dǎo)向。SDN有2個重要的特點(diǎn)，即可編程度高、具備高度的開放性。而這兩種特性恰恰又為之埋下了安全方面的隱患。目前，網(wǎng)絡(luò)攻擊手段復(fù)雜多樣，一個好的安全防護(hù)平臺異常重要。以下探討SDN環(huán)境下安全流平臺的特性、功能。

1 SDN架構(gòu)環(huán)境下存在的缺陷

1.1 交換機(jī)獨(dú)立性較差

在SDN網(wǎng)絡(luò)架構(gòu)證明了其優(yōu)勢的同時，其缺陷也十分明顯，尤其是其架構(gòu)下的交換機(jī)的獨(dú)立性較差。在傳統(tǒng)的網(wǎng)絡(luò)架構(gòu)中，交換機(jī)作為主體，控制了網(wǎng)絡(luò)路徑中的信息轉(zhuǎn)發(fā)和最優(yōu)路徑計(jì)算。而在SDN架構(gòu)中，其功能被弱化，僅負(fù)責(zé)進(jìn)行簡單的信息轉(zhuǎn)發(fā)，路徑選擇和計(jì)算被集中在了上層控制器中。這種高度集權(quán)的方式對網(wǎng)絡(luò)的控制力度有所提升，但如果控制器發(fā)生狀況，則會對相應(yīng)部分的網(wǎng)絡(luò)傳輸可靠性造成影響。SDN環(huán)境下的交換機(jī)因不具備計(jì)算和判斷能力，只能被動執(zhí)行來自控制層的命令。

1.2 命令源可能發(fā)生錯誤

在此系統(tǒng)中，控制器可以安裝第三方的軟件和應(yīng)用，這些軟件和應(yīng)用的可靠性無法保障。如果這些軟件存在病毒，則會對控制器造成影響。作為下層交換的唯一監(jiān)督機(jī)構(gòu)，一旦發(fā)生問題，則會造成整個網(wǎng)絡(luò)環(huán)境的不可控。

1.3 控制器缺乏有效的監(jiān)督機(jī)制

在SDN環(huán)境下，其管理模式相對簡單，由控制器和交換機(jī)形成簡單的上、下兩級控制模式，控制器發(fā)出命令后，交換機(jī)負(fù)責(zé)執(zhí)行命令。然而，在這個過程中，控制器的命令編寫未得到很好的監(jiān)督，可能發(fā)生不可控的問題。

2 SDN環(huán)境下的安全流平臺

2.1 SDN環(huán)境下的安全流平臺模式

這種安全流平臺的模式為——將防火墻、審計(jì)等等有關(guān)安全的設(shè)備與SDN交換機(jī)進(jìn)行連接，進(jìn)而做下一步的安全資源的集中處理[3]，并且通過特定的自定義模式在安全設(shè)備上對網(wǎng)絡(luò)流量進(jìn)行處理。

2.2 SDN環(huán)境下安全流平臺所具備的功能

2.2.1 對訪問進(jìn)行有效控制

通過安全流平臺的安全措施，可以將流量轉(zhuǎn)移到訪問控制設(shè)備中，比如防火墻，其會根據(jù)自有規(guī)則對訪問流量進(jìn)行有效控制。如果未經(jīng)授權(quán)，則其訪問過程便會被強(qiáng)制中斷，而合理的訪問流量便會被回注到應(yīng)用中。

2.2.2 對網(wǎng)絡(luò)攻擊進(jìn)行及時檢查

SDN環(huán)境下的安全流平臺具備相應(yīng)的安全措施制訂能力，可以根據(jù)需要自主地進(jìn)行攻擊檢測。通過網(wǎng)絡(luò)流量的牽引，檢測設(shè)備能夠及時發(fā)現(xiàn)狀況并處理，即使是在虛擬的網(wǎng)絡(luò)環(huán)境中，也能做到相應(yīng)的導(dǎo)出和檢查。

2.2.3 對網(wǎng)絡(luò)攻擊進(jìn)行篩選、過濾

在訪問流量的過濾方面，SDN安全流平臺具備比較高效的處理模式。如果檢測到具有相關(guān)攻擊性的網(wǎng)絡(luò)訪問，平臺會自主將其過濾，并會在SDN平臺的應(yīng)用中回注正常的訪問需求。在這個過程中，不需要擔(dān)心會對網(wǎng)絡(luò)中正常的通信和業(yè)務(wù)訪問造成影響，根據(jù)平臺制定的檢測措施，它只會對攻擊性的訪問流量進(jìn)行有針對性的處理。

2.2.4 對網(wǎng)絡(luò)內(nèi)容進(jìn)行必要的審計(jì)

由于虛擬化技術(shù)在審計(jì)設(shè)備中可使用，不同用戶的需求可以得到相應(yīng)的滿足，審計(jì)設(shè)備也可以與存儲技術(shù)進(jìn)行靈活結(jié)合，從而對大量的日志或其他數(shù)字信息進(jìn)行有效存儲。

2.2.5 SDN安全流平臺的監(jiān)控與預(yù)警功能

該平臺基于相關(guān)的安全技術(shù)設(shè)備，可對發(fā)生在系統(tǒng)中的流量進(jìn)而信號進(jìn)行實(shí)時監(jiān)控，比如遇到攻擊時，會對攻擊行為進(jìn)行報警。

2.3 SDN環(huán)境下安全流模式的優(yōu)勢

2.3.1 可對SDN網(wǎng)絡(luò)構(gòu)架進(jìn)行補(bǔ)充

SDN環(huán)境下的安全流平臺可以解決SDN構(gòu)架中的網(wǎng)絡(luò)資源管理和配置問題，進(jìn)而對安全防護(hù)方面提供更加高效的保障。

2.3.2 具備多種安全功能

通過與一些安全方面設(shè)備的整合，能提高整體業(yè)務(wù)方面的防護(hù)能力。

3 SDN環(huán)境下安全流平臺的改進(jìn)方向

3.1 促進(jìn)安全防護(hù)過程的可視化

一般情況下，在安全部分設(shè)置完成之后，我們難以直觀地觀察到整個安全防護(hù)過程，可通過對網(wǎng)絡(luò)訪問流量的相關(guān)監(jiān)控和管理實(shí)現(xiàn)對整個網(wǎng)絡(luò)訪問過程的動態(tài)化監(jiān)控。

3.2 對相關(guān)安全部分配置的優(yōu)化

基于對訪問流量的攻擊性過濾等特點(diǎn)，嘗試進(jìn)行更加細(xì)化的研究，使之能挖掘出有隱藏性的攻擊內(nèi)容，爭取保障每一條訪問流量的安全性。

4 結(jié)束語

在當(dāng)今的網(wǎng)絡(luò)信息化進(jìn)程中，各種基于網(wǎng)絡(luò)活動需求的模式和平臺正在被發(fā)掘和被使用。其中，SDN環(huán)境模式應(yīng)用廣泛，飽受歡迎，SDN環(huán)境下的安全流平臺為SDN網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行提供了保障。安全防護(hù)工作永無止境，而隨著網(wǎng)絡(luò)的發(fā)展和更新，安全流平臺的功能必將越來越強(qiáng)大，最終很好地保證網(wǎng)絡(luò)活動的安全，為人們的網(wǎng)絡(luò)活動提供更好的服務(wù)。

參考文獻(xiàn)

[1]馬虔.軟件定義網(wǎng)絡(luò)環(huán)境下的安全流平臺研究[J].信息安全與技術(shù)，2014，28（07）.

[2]劉琦，陳云芳，張偉，等.軟件定義網(wǎng)絡(luò)下狀態(tài)防火墻的設(shè)計(jì)與實(shí)現(xiàn)[J].信息網(wǎng)絡(luò)安全，2015，23（11）.

[3]王俊，陳志輝，田永春，等.軟件定義網(wǎng)絡(luò)技術(shù)在戰(zhàn)術(shù)通信網(wǎng)中的應(yīng)用研究[J].通信技術(shù)，2014，15（12）.

〔編輯：張思楠〕