劉洋，劉俊輝，劉濱

摘 要：SDN技術(shù)把網(wǎng)絡(luò)的數(shù)據(jù)層和控制層剝離，提出了全新的解決方案，從而促進(jìn)了下一代網(wǎng)絡(luò)的發(fā)展。文章論述了傳統(tǒng)網(wǎng)絡(luò)架構(gòu)及其內(nèi)在安全缺陷，由此引出基于SDN系統(tǒng)的網(wǎng)絡(luò)安全的實(shí)現(xiàn)與展望，并對(duì)其安全性能進(jìn)行了一定的研究。

關(guān)鍵詞：軟件定義網(wǎng)絡(luò);網(wǎng)絡(luò)安全;OpenFlow

傳統(tǒng)的網(wǎng)絡(luò)安全系統(tǒng)實(shí)現(xiàn)中，一般在防火墻之后，為了防止應(yīng)用層出現(xiàn)的攻擊，往往會(huì)部署VPN設(shè)備、入侵檢測(cè)系統(tǒng)、DDOS檢測(cè)處理功能實(shí)體，對(duì)網(wǎng)絡(luò)邊緣進(jìn)行安全檢查。另外，專(zhuān)用的網(wǎng)絡(luò)安全設(shè)備也部署在網(wǎng)絡(luò)邊界的節(jié)點(diǎn)上，用防火墻實(shí)現(xiàn)基于包的過(guò)濾和狀態(tài)監(jiān)控。一方面降低了網(wǎng)絡(luò)業(yè)務(wù)的靈活性，另一方面增加了網(wǎng)絡(luò)部署的難度，不利于現(xiàn)存業(yè)務(wù)的調(diào)配和遷移。

1 傳統(tǒng)網(wǎng)絡(luò)安全的不足

（1）傳統(tǒng)網(wǎng)絡(luò)安全多采用大量安全設(shè)備的多種模式接入網(wǎng)絡(luò)邊緣。一般的防火墻采用3層旁路的方式實(shí)現(xiàn)冗余引流，從而對(duì)流量進(jìn)行過(guò)濾，或者采用第二層透明模式橋接在第三層的鏈路中。上網(wǎng)行為管理設(shè)備，一般采用代理的方式對(duì)內(nèi)部員工的流量實(shí)現(xiàn)HTTP/HTTPS重定向和代理。或采用第二層透明模式對(duì)Web報(bào)文進(jìn)行過(guò)濾。IPS/IDS等設(shè)備則采用流量鏡像模式，把冗余旁路部署在網(wǎng)絡(luò)邊緣鏈路。多種類(lèi)型的安全設(shè)備不易部署和配置，其管理也需要專(zhuān)業(yè)人員，這些操作都增加了網(wǎng)絡(luò)的復(fù)雜性。

（2）對(duì)于網(wǎng)絡(luò)的冗余性和穩(wěn)定性，在進(jìn)行安全設(shè)備部署時(shí)也需要慎重考慮。網(wǎng)絡(luò)安全設(shè)備種類(lèi)繁多，功能各異，對(duì)可靠性提出了極高的要求。例如防火墻串聯(lián)設(shè)備的硬件ByPass、主從設(shè)備冗余切換等，依靠協(xié)議的魯棒性來(lái)保障功能的實(shí)現(xiàn)。但廠家的不同導(dǎo)致此類(lèi)設(shè)備實(shí)現(xiàn)安全功能時(shí)，采用各自的私有協(xié)議，增加了網(wǎng)絡(luò)本身的復(fù)雜性以及后期運(yùn)維的難度。

2 SDN架構(gòu)介紹

2.1 SDN網(wǎng)絡(luò)設(shè)備（Network Devices）

軟件定義網(wǎng)絡(luò)（Software Defined Network，SDN）設(shè)備可以被抽象成轉(zhuǎn)發(fā)面（Forwarding Plane），其可以用虛擬交換機(jī)來(lái)實(shí)現(xiàn)，沒(méi)必要一定使用硬件交換機(jī)。

為了配置位于交換機(jī)內(nèi)的轉(zhuǎn)發(fā)表項(xiàng)，網(wǎng)絡(luò)設(shè)備通過(guò)南向接口Southbound Interface接收Controller發(fā)過(guò)來(lái)的指令。同時(shí)通過(guò)南向接口將事件傳送給Controller。圖1為SDN通用架構(gòu)示意。

圖1 SDN通用架構(gòu)示意

2.2 SND南向接口（Southbound Interface）

SDN南向接口，主要指的是控制面和數(shù)據(jù)轉(zhuǎn)發(fā)面之間的接口，在SDN系統(tǒng)中，南向接口設(shè)計(jì)為標(biāo)準(zhǔn)化接口，使軟件脫離硬件的約束，盡可能做到按需設(shè)計(jì)、應(yīng)用為主。否則，SDN只能讓特定軟件運(yùn)行在特定硬件上。

從第二層開(kāi)始，已經(jīng)分辨不出虛擬交換機(jī)和硬件交換機(jī)的區(qū)別，看到的只有被抽象化的轉(zhuǎn)發(fā)面。

可以注意到，在圖1中分別出現(xiàn)了OpenFlow和Other API兩種接口[1]，因?yàn)镺penFlow為目前最具影響力的南向接口標(biāo)準(zhǔn)，還有其他標(biāo)準(zhǔn)供選擇。一些公司和組織并不看好該接口，準(zhǔn)備或著手建立其他標(biāo)準(zhǔn)。這對(duì)SDN的發(fā)展未必是壞事，盡管最終希望看到一個(gè)唯一的、大家都認(rèn)可的標(biāo)準(zhǔn)，但這僅是一種理想狀態(tài)，還需要很長(zhǎng)一段時(shí)間才能實(shí)現(xiàn)。

2.3 SDN控制器（Controllers）

在SND環(huán)境中，Controller可解釋為控制器。在一個(gè)SDN網(wǎng)絡(luò)里，不限制控制器的數(shù)量?？刂破髦g的關(guān)系可以定義為主從關(guān)系（只能有一個(gè)主，但可以有多個(gè)從），也可以定義為對(duì)等關(guān)系。一個(gè)Controller可以控制多臺(tái)獨(dú)立設(shè)備，某一臺(tái)設(shè)備可以被多個(gè)Controller控制。通常，Controller運(yùn)行在某臺(tái)獨(dú)立服務(wù)器上，如一臺(tái)x86Linux服務(wù)器或Windows服務(wù)器上。

2.4 SDN北向接口（Northbound Interface）

在SDN架構(gòu)中，北向接口指的是控制器和應(yīng)用程序之間的接口，目前該接口尚未形成統(tǒng)一標(biāo)準(zhǔn)[2]，這正是一些標(biāo)準(zhǔn)化組織所努力的方向。但是北向接口絕對(duì)要比南向接口復(fù)雜得多，因?yàn)檗D(zhuǎn)發(fā)層面向的終究是數(shù)據(jù)轉(zhuǎn)發(fā)，容易抽象出通用接口，由于應(yīng)用層的應(yīng)用程序繁雜，所以不易處理。

2.5 SDN應(yīng)用服務(wù)層（Services）

Services也就是應(yīng)用層，用Services而不用Application，主要是Services能比Application更能體現(xiàn)出網(wǎng)絡(luò)的本質(zhì)，為用戶(hù)提供一些網(wǎng)絡(luò)服務(wù)，例如security（網(wǎng)絡(luò)安全）、load balancing（負(fù)載均衡）、LLDP（拓?fù)浒l(fā)現(xiàn)）、monitoring（網(wǎng)絡(luò)監(jiān)測(cè)）和performance management（網(wǎng)絡(luò)延時(shí)、擁塞等性能指標(biāo)的管理和檢測(cè)）等。

2.6 自動(dòng)化（Automation）

嚴(yán)格來(lái)講自動(dòng)化不能算作一個(gè)層次，其是應(yīng)用程序的整合和封裝，一般和另一個(gè)詞Orchestration同時(shí)出現(xiàn)。本質(zhì)上，兩個(gè)詞指的是同一件事，只不過(guò)Orchestration強(qiáng)調(diào)手段，而Automation強(qiáng)調(diào)目的，業(yè)務(wù)的自動(dòng)化部署就是Orchestration的目的。

3 基于SDN架構(gòu)的網(wǎng)絡(luò)安全研究

SDN架構(gòu)通過(guò)南北向接口來(lái)實(shí)現(xiàn)安全保護(hù)和高效的流量控制[3]，北向接口對(duì)業(yè)務(wù)進(jìn)行編排，從而完成網(wǎng)絡(luò)功能和業(yè)務(wù)的邏輯生成。再利用南向接口進(jìn)行流表的向下轉(zhuǎn)發(fā)，從而實(shí)現(xiàn)傳統(tǒng)網(wǎng)絡(luò)的數(shù)據(jù)轉(zhuǎn)發(fā)功能。

網(wǎng)絡(luò)安全功能實(shí)體上移，就是采用SDN架構(gòu)來(lái)實(shí)現(xiàn)的。它把防火墻、DDOS處理設(shè)備、入侵檢測(cè)系統(tǒng)等功能實(shí)體，利用SDN控制器的相關(guān)模塊實(shí)現(xiàn)對(duì)應(yīng)的功能。該模塊采用圖形方式，實(shí)現(xiàn)安全策略的制定和生成，其軟件均部署在Linux或者x86架構(gòu)的服務(wù)器上。

利用混合式設(shè)備（支持傳統(tǒng)第三層交換轉(zhuǎn)發(fā)及OpenFlow協(xié)議棧）處于網(wǎng)絡(luò)邊緣的交換機(jī)[4]，可以鑒別不同類(lèi)型的流量，包括需安全設(shè)備進(jìn)行的過(guò)濾流量、直接跨越網(wǎng)絡(luò)邊界的可信任流量等。采用SDN網(wǎng)絡(luò)架構(gòu)的系統(tǒng)，由于每個(gè)模塊都被集中部署在SDN控制器內(nèi)，可以靈活地按需定制功能模塊，從而對(duì)流量進(jìn)行過(guò)濾。對(duì)比傳統(tǒng)網(wǎng)絡(luò)的安全實(shí)現(xiàn)，為不同業(yè)務(wù)流量進(jìn)行分類(lèi)分級(jí)過(guò)濾，需要進(jìn)行大量的人工網(wǎng)絡(luò)配置，部署周期時(shí)間長(zhǎng)、難度大。

通過(guò)對(duì)比傳統(tǒng)網(wǎng)絡(luò)安全實(shí)現(xiàn)思路和SDN安全實(shí)現(xiàn)方式，不難發(fā)現(xiàn)SDN系統(tǒng)下的安全防護(hù)具備諸多優(yōu)勢(shì)。

3.1 可用性高

該系統(tǒng)可以實(shí)現(xiàn)N-1冗余，其可用性、可靠性不比傳統(tǒng)架構(gòu)差。主要利用集群式部署SDN控制器、冗余部署邊界路由器等設(shè)備實(shí)現(xiàn)。

3.2 網(wǎng)絡(luò)高效簡(jiǎn)潔

通過(guò)對(duì)比兩種系統(tǒng)的拓?fù)浣Y(jié)構(gòu)，發(fā)現(xiàn)采用了SDN架構(gòu)的網(wǎng)絡(luò)，使運(yùn)維和部署的難度得到了降低，網(wǎng)絡(luò)結(jié)構(gòu)得到了簡(jiǎn)化。

3.3 網(wǎng)絡(luò)業(yè)務(wù)開(kāi)展靈活

借助SDN架構(gòu)，可以利用OpenFlow協(xié)議定義不同性質(zhì)的業(yè)務(wù)流，并針對(duì)每種業(yè)務(wù)流配置相關(guān)的安全策略。這樣的安全配置高效靈活，所有工作只需在SDN控制器上集中完成，再通過(guò)OpenFlow流表下發(fā)執(zhí)行即可。

3.4 網(wǎng)絡(luò)容量易于擴(kuò)充

如果需要提高處理能力、增加安全功能的性能，只需要利用基于IAAS架構(gòu)云對(duì)安全資源池進(jìn)行擴(kuò)充，或采用集群式服務(wù)器的部署方式即可。由此說(shuō)明，基于SDN系統(tǒng)的安全保障能力，要取決于基于x86服務(wù)器的綜合性能指標(biāo)。

3.5 降低系統(tǒng)綜合成本

利用SDN架構(gòu)的特點(diǎn)，部署了安全功能模塊和硬件服務(wù)器，不再需要部署其他復(fù)雜的硬件設(shè)備。對(duì)比兩者的建設(shè)和運(yùn)維成本，SDN架構(gòu)的安全模型顯示出更高的性?xún)r(jià)比。

4 結(jié)語(yǔ)

綜上所述，SDN架構(gòu)的網(wǎng)絡(luò)結(jié)構(gòu)，不論從業(yè)務(wù)的支持性、功能模塊的可部署性，還是網(wǎng)路安全的按需實(shí)現(xiàn)性，均要超過(guò)現(xiàn)有網(wǎng)絡(luò)，是值得深入研究的技術(shù)領(lǐng)域。

作者簡(jiǎn)介：劉洋（1998— ），女，湖北宜城人，本科生;研究方向：通信工程。

[參考文獻(xiàn)]

[1]左青云，陳鳴，趙廣松，等.基于OpenFlow的SDN技術(shù)研究[J].軟件學(xué)報(bào)，2013（5）：1078-1097.

[2]鄒劍鋒.基于OpenFlow的SDN組網(wǎng)技術(shù)研究[D].北京：北京郵電大學(xué)，2014.

[3]齊宇.SDN安全研究[C].廈門(mén)：第31次全國(guó)計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)，2016.

[4]孫鵬，劉秋研.SDN安全技術(shù)研究[J].中國(guó)電子科學(xué)研究院學(xué)報(bào)，2015（4）：22.

Research on SDN-based network security

Liu Yang， Liu Junhui， Liu Bin

（Wuhan Polytechnic University， Wuhan 430023， China）

Abstract：Software defined networking technology separates the control layer and data layer of the network， puts forward a new solution， and promotes the development of the next generation network. This paper discusses the traditional network architecture of SDN and the inherent defects on this basis. For this reason， it expounds the evolution and prospect of network security based on SDN architecture， and studies its security.

Key words：software defined networking; network security; OpenFlow