石榮水++李虎

摘 要：伴隨云計(jì)算、大數(shù)據(jù)等新興技術(shù)的誕生與發(fā)展，向傳統(tǒng)網(wǎng)絡(luò)提出了更高的要求，面對網(wǎng)絡(luò)環(huán)境的日趨復(fù)雜，比如安全、速率、帶寬等，使得傳統(tǒng)網(wǎng)絡(luò)在靈活性、可編程性、可擴(kuò)展性這些方面面臨著新的發(fā)展瓶頸。而SDN的出現(xiàn)，為解決這些難題提供了新的路徑。這是SDN所面臨的發(fā)展機(jī)遇，但同時也使其面臨著新的安全威脅。

關(guān)鍵詞：網(wǎng)絡(luò)環(huán)境；SDN；機(jī)遇；挑戰(zhàn)

中圖分類號：TP393.02 文獻(xiàn)標(biāo)識碼：A 文章編號：1671-2064（2017）19-0052-01

SDN作為一個新興事物，自然無法達(dá)到盡善盡美，在有著其優(yōu)勢的同時，不可避免地存在著一些不足，比如其開放性和控制集中性就為網(wǎng)絡(luò)環(huán)境帶來的新的安全挑戰(zhàn)。所以說，SDN在網(wǎng)絡(luò)安全領(lǐng)域威脅與機(jī)遇并存。本文先分析了SDN面臨的發(fā)展機(jī)遇，然后具體分析了SDN面臨的威脅：控制層面的安全威脅、應(yīng)用層面的安全威脅、開放性的安全威脅，最后提出了相應(yīng)的安全加固對策：利用傳統(tǒng)網(wǎng)絡(luò)安全設(shè)備、控制器的高可用方案、控制器的分布式部署方案，希望能借此對SDN的進(jìn)一步發(fā)展提供一定助力。

1 SDN面臨的發(fā)展機(jī)遇

伴隨互聯(lián)網(wǎng)應(yīng)用的大規(guī)模普及與飛速發(fā)展，網(wǎng)絡(luò)安全成為了不容忽視的重要問題?；ヂ?lián)網(wǎng)最初的設(shè)計(jì)由于主要目標(biāo)是為了實(shí)現(xiàn)資源共享和信息互聯(lián)，因此對網(wǎng)絡(luò)安全問題有選擇性地予以忽略了。雖然RADIUS、DNSSec、IPSec等技術(shù)的相繼出現(xiàn)，促進(jìn)了網(wǎng)絡(luò)安全性的加強(qiáng)，然而整個網(wǎng)絡(luò)安全仍然處于被動應(yīng)對安全威脅的狀態(tài)，缺乏系統(tǒng)性解決網(wǎng)絡(luò)安全問題的可行方案。尤其是隨著云計(jì)算、大數(shù)據(jù)等新興計(jì)算機(jī)信息技術(shù)以及各類新興網(wǎng)絡(luò)應(yīng)用的不斷誕生，網(wǎng)絡(luò)地址缺乏、路由體系臃腫、網(wǎng)絡(luò)擁塞以及黑客攻擊等問題日益尖銳和頻繁，這些問題都最終指向互聯(lián)網(wǎng)的可控性這一軟肋，這樣的網(wǎng)絡(luò)安全形勢正是SDN所面臨的發(fā)展機(jī)遇。SDN誕生后，使得上述互聯(lián)網(wǎng)安全問題有了得以解決的可能。SDN的特點(diǎn)主要體現(xiàn)在以下兩個方面：一是通過軟件控制器可以集中管理網(wǎng)絡(luò)轉(zhuǎn)發(fā)規(guī)則；二是控制轉(zhuǎn)發(fā)平面與平面分離。SDN旨在通過構(gòu)建智能化網(wǎng)絡(luò)操作系統(tǒng)和網(wǎng)絡(luò)虛擬化層，在一張物理網(wǎng)絡(luò)拓?fù)涞那闆r下對虛網(wǎng)予以合理劃分，并通過有效的隔離機(jī)制，使得高效的資源調(diào)度和網(wǎng)絡(luò)管控得以實(shí)現(xiàn)。除此之外，SDN還可以通過將預(yù)先制定的機(jī)制策略通過網(wǎng)絡(luò)操作系統(tǒng)添加到網(wǎng)絡(luò)，最終幫助其實(shí)現(xiàn)預(yù)期管控目的。

2 SDN面臨的安全威脅

SDN面臨的安全威脅具體體現(xiàn)在以下幾個方面：（1）控制層面的安全威脅。管理集中性的優(yōu)點(diǎn)在于管理靈活方便，運(yùn)營靈活、網(wǎng)絡(luò)設(shè)備簡化，維護(hù)與管理統(tǒng)一高效。但管理的集中性也使得SDN的控制器成為了被重點(diǎn)攻擊的環(huán)節(jié)，比如認(rèn)證欺騙、授權(quán)欺騙、拒絕服務(wù)等等。管理集中性使得安全服務(wù)部署、服務(wù)訪問控制、網(wǎng)絡(luò)配置等均集中于SDN控制器上。一旦攻擊者控制了控制器，則能夠使網(wǎng)絡(luò)服務(wù)出現(xiàn)大面積癱瘓情況，甚至影響到控制器所覆蓋的所有地方。所以對于SDN自身體系安全體系而言，圍繞控制器做好相應(yīng)的攻防措施是最關(guān)鍵的一環(huán)。（2）應(yīng)用層面的安全威脅。SDN網(wǎng)路的可編程性的優(yōu)點(diǎn)在于配置靈活、支持更多業(yè)務(wù)功能、各項(xiàng)功能更加完善、易于升級更新、網(wǎng)絡(luò)運(yùn)行效率更高。但可編程性使得應(yīng)用層面存在大量可編程接口，這就為應(yīng)用層帶來了許多安全威脅。比如將蠕蟲木馬程序植入應(yīng)用層面的某個應(yīng)用中以達(dá)到竊取網(wǎng)絡(luò)信息、占用網(wǎng)絡(luò)資源、更改網(wǎng)絡(luò)配置等目的，那么這些行為就會干擾控制層面的正常工作進(jìn)程，最終影響到網(wǎng)絡(luò)的可用性和可靠性?；蛘呖梢灾苯永媚承┛删幊探涌?，從而達(dá)到網(wǎng)絡(luò)竊聽、拒絕服務(wù)攻擊等目的。（3）SDN的開放性的優(yōu)點(diǎn)在于結(jié)構(gòu)透明、易于推廣，支持業(yè)務(wù)創(chuàng)新、支持個性化定制。但這也使得其自身面臨著許多安全隱患。比如網(wǎng)路和安全的應(yīng)用插件自身都帶有一定的規(guī)則寫入權(quán)限，伴隨應(yīng)用的日趨復(fù)雜化，那么多個應(yīng)用彼此之間很有可能出現(xiàn)安全規(guī)則沖突情況，進(jìn)而使得服務(wù)中斷、安全規(guī)則被繞過、網(wǎng)絡(luò)管理混亂等現(xiàn)象出現(xiàn)。此外，第三方插件或第三方應(yīng)用自身存在著的安全漏洞、未聲明功能、惡意功能也為SDN埋下了更多安全隱患。

3 SDN安全加固建議

綜上所述，目前SDN的安全威脅主要集中在控制器上，所以向SDN控制器的安全加固提出以下幾點(diǎn)建議：（1）利用傳統(tǒng)網(wǎng)絡(luò)安全設(shè)備：將傳統(tǒng)硬件防火墻分別部署在SDN控制器的北向與南向接口處，既可以有效防止來自數(shù)據(jù)中心外部的攻擊，也可以組織內(nèi)部惡意租戶對控制器產(chǎn)生威脅。部署安全代理：SDN控制器技術(shù)采用軟件實(shí)現(xiàn)，對軟件本身進(jìn)行安全加固以及漏洞更新可以在一定程度解決控制器的安全問題。（2）控制器的高可用方案：為了防止控制器由于被攻擊或自身原因?qū)е碌陌c瘓情況，對控制器所在的服務(wù)器進(jìn)行高可用備份十分重要。（3）控制器的分布式部署方案：由于SDN集中化管理的設(shè)計(jì)理念，控制器往往承擔(dān)管理數(shù)據(jù)中心大部分網(wǎng)絡(luò)設(shè)備的職責(zé)。如果所有網(wǎng)絡(luò)設(shè)備的管理功能都集中在單一控制器上，一旦遭受攻擊，后果將不可想象。采用分布式架構(gòu)，多個控制器分別控制部分網(wǎng)絡(luò)設(shè)備，所有控制器互為備份，可以有效解決網(wǎng)絡(luò)安全風(fēng)險。

參考文獻(xiàn)

[1]劉小春.SDN網(wǎng)絡(luò)安全性研究[J].信息通信，2017，（04）：96-97.

[2]郭沈瑜.云計(jì)算及SDN與安全技術(shù)研究[J].信息與電腦（理論版），2016，（24）：95-96.

[3]齊宇.SDN安全研究[J].信息網(wǎng)絡(luò)安全，2016，（09）：69-72.endprint