趙曉東

摘要：為了提高軟件定義網(wǎng)絡(luò)（SDN）的安全性，滿足用戶對軟件定義網(wǎng)絡(luò)（SDN）的安全關(guān)切，提出一種SDN網(wǎng)絡(luò)架構(gòu)下的安全防護(hù)解決方案。本文從網(wǎng)絡(luò)分區(qū)安全防護(hù)、控制器網(wǎng)絡(luò)安全防護(hù)和安全管理三方面展開論述，為讀者介紹了SDN網(wǎng)絡(luò)架構(gòu)下網(wǎng)絡(luò)安全防護(hù)的常見架構(gòu)和常用設(shè)施，以及SDN架構(gòu)下安全防護(hù)中常見問題的解決方法;創(chuàng)見性的提出了防火墻負(fù)載均衡資源池技術(shù)，實現(xiàn)了防火墻處理資源的統(tǒng)一靈活調(diào)配和平滑擴(kuò)展。該解決方案在多家金融機(jī)構(gòu)數(shù)據(jù)中心得到成功應(yīng)用，結(jié)果表明該方案是一個成功的SDN網(wǎng)絡(luò)架構(gòu)的安全防護(hù)解決方案，為用戶的應(yīng)用、數(shù)據(jù)以及網(wǎng)絡(luò)基礎(chǔ)設(shè)施提供了可靠的安全保障。

關(guān)鍵詞：軟件定義網(wǎng)絡(luò);控制器;南北向防護(hù);東西向防護(hù);防火墻資源池;安全運(yùn)營中心

中圖法分類號 ?TN915.08

SDN概述

軟件定義網(wǎng)絡(luò)（Software Defined Networking，SDN）[1]是一種從數(shù)據(jù)轉(zhuǎn)發(fā)平面中分離控制平面以實現(xiàn)支持網(wǎng)絡(luò)虛擬化的新技術(shù)。大多數(shù)SDN體系架構(gòu)有三層：最底層是支持SDN功能的網(wǎng)絡(luò)基礎(chǔ)設(shè)施，中間層是具有網(wǎng)絡(luò)核心控制權(quán)的SDN控制器，最上層包括SDN配置管理的應(yīng)用程序和服務(wù)[3]。常見大型SDN網(wǎng)絡(luò)架構(gòu)如圖1所示。

SDN網(wǎng)絡(luò)架構(gòu)下，網(wǎng)絡(luò)分區(qū)里的流量一般分為兩類，分區(qū)內(nèi)部應(yīng)用經(jīng)分區(qū)網(wǎng)絡(luò)邊界到分區(qū)外部的流量，稱之為南北向流量;網(wǎng)絡(luò)分區(qū)內(nèi)部服務(wù)器之間交互的流量，稱之為東西向流量。

近年來很多企業(yè)采用了SDN的網(wǎng)絡(luò)架構(gòu)，其首要關(guān)心的問題就是安全[2]。本文從網(wǎng)絡(luò)分區(qū)安全防護(hù)、控制器網(wǎng)絡(luò)安全防護(hù)和安全管理三方面出發(fā)，設(shè)計了一種SDN網(wǎng)絡(luò)架構(gòu)下網(wǎng)絡(luò)安全防護(hù)的解決方案。

1.網(wǎng)絡(luò)分區(qū)安全防護(hù)

1.1 網(wǎng)絡(luò)分區(qū)安全防護(hù)需求

SDN網(wǎng)絡(luò)架構(gòu)下，一個大型網(wǎng)絡(luò)常常根據(jù)功能、安全等級及合規(guī)性要求，劃分為多個網(wǎng)絡(luò)分區(qū)[3]，企業(yè)的重要信息系統(tǒng)一般會部署在網(wǎng)絡(luò)分區(qū)內(nèi)部，由于其承載業(yè)務(wù)的重要性，常會成為黑客們的攻擊目標(biāo)。攻擊內(nèi)部信息系統(tǒng)的方式有很多，常見的途徑是利用邊界防火墻的寬松安全策略或安全漏洞，入侵內(nèi)網(wǎng)的薄弱主機(jī)，再通過它作為跳板橫向發(fā)掘內(nèi)部的其它系統(tǒng)存在的漏洞，一步步獲取到更大的權(quán)限和更多的內(nèi)部信息資產(chǎn)。從黑客常用的入侵過程可以看出網(wǎng)絡(luò)分區(qū)南北向防護(hù)和東西向防護(hù)都是十分必要的。

1）南北向防護(hù)需求

南北向防護(hù)主要要滿足以下防護(hù)需求：在網(wǎng)絡(luò)層和傳輸層拒絕未授權(quán)地址或用戶的訪問行為;在必要的情況下對合法用戶的訪問進(jìn)行認(rèn)證;管理授權(quán)用戶的訪問會話，防止會話篡改和信息竊取行為;阻斷對內(nèi)部服務(wù)器敏感端口和漏洞的嗅探行為，屏蔽內(nèi)部服務(wù)器系統(tǒng)和應(yīng)用存在的漏洞，最大限度降低內(nèi)部系統(tǒng)的風(fēng)險敞口。

2）東西向防護(hù)需求

東西向防護(hù)主要的需求是，加強(qiáng)區(qū)域內(nèi)部異常流量和異常網(wǎng)絡(luò)行為監(jiān)控，必要時按需在網(wǎng)絡(luò)區(qū)域內(nèi)部劃分不同等級的安全子域，并設(shè)置相應(yīng)的安全策略，保障業(yè)務(wù)數(shù)據(jù)的安全，及時發(fā)現(xiàn)虛擬機(jī)之間的異常流量。

1.2 網(wǎng)絡(luò)分區(qū)安全防護(hù)方案

網(wǎng)絡(luò)分區(qū)的安全防護(hù)根據(jù)防護(hù)的網(wǎng)絡(luò)流量的方向分為南北向防護(hù)和東西向防護(hù)兩部分。大多數(shù)用戶在網(wǎng)絡(luò)分區(qū)的安全防護(hù)中常會采用防火墻[4]等設(shè)備作為防護(hù)設(shè)施。

SDN網(wǎng)絡(luò)架構(gòu)的安全防護(hù)體系如圖2所示。

1.2.1網(wǎng)絡(luò)分區(qū)邊界防護(hù)（南北向防護(hù)）

南北向防護(hù)，通常指網(wǎng)絡(luò)分區(qū)的邊界防護(hù)，通過部署在網(wǎng)絡(luò)區(qū)域邊界的安全設(shè)施，用于保護(hù)本網(wǎng)絡(luò)區(qū)域免受來自區(qū)域外部的網(wǎng)絡(luò)攻擊。

常用的區(qū)域邊界防護(hù)設(shè)施有防火墻、IPS（Intrusion Prevention System）、UTM（Unified Threat Management）等，配置4-7層網(wǎng)絡(luò)安全策略，放行授權(quán)的網(wǎng)絡(luò)訪問，拒絕非授權(quán)的網(wǎng)絡(luò)訪問行為。防火墻[4，5，6]常部署于大型網(wǎng)絡(luò)的區(qū)域邊界，提供高性能的網(wǎng)絡(luò)訪問與安全防護(hù);IPS[9]常用于大型網(wǎng)絡(luò)與互聯(lián)網(wǎng)之間的安全邊界的攻擊防護(hù);UTM[10]常用于有多重防護(hù)功能要求的小型網(wǎng)絡(luò)環(huán)境中，一種設(shè)備同時具有防火墻、IPS、防病毒、QOS（Quality of Service）、上網(wǎng)行為管理、內(nèi)容過濾等多種安全防護(hù)功能。

SDN網(wǎng)絡(luò)部署過程中，為了應(yīng)用部署的靈活性與可擴(kuò)展性，其架構(gòu)高度云化與資源池化[1]，使得SDN架構(gòu)下的網(wǎng)絡(luò)分區(qū)邊界防護(hù)體系具備比常規(guī)網(wǎng)絡(luò)架構(gòu)更高的處理性能、靈活性和可擴(kuò)展性。常見的大型網(wǎng)絡(luò)中不同區(qū)域常具有不同的處理容量，也具有不同的性能要求，而用戶在設(shè)備選型時，由于各方面的政策要求及自身的擴(kuò)展性需求，常會選擇同樣型號的防火墻設(shè)備作為各個分區(qū)的防護(hù)設(shè)施，這就容易導(dǎo)致不同容量的分區(qū)負(fù)載極不均衡。為提高設(shè)備利用率，充分利用現(xiàn)有設(shè)備的處理資源，同時又具備良好的靈活性與擴(kuò)展性，我們設(shè)計了防火墻負(fù)載均衡資源池的網(wǎng)絡(luò)分區(qū)防護(hù)方案。（注：防護(hù)設(shè)施為IPS、UTM時方案相同，僅將防火墻替換為IPS或UTM即可）

1.2.1.1方案物理架構(gòu)及設(shè)備工作模式

物理架構(gòu)：防火墻負(fù)載均衡資源池解決方案的物理架構(gòu)為：負(fù)載均衡+防火墻+負(fù)載均衡三層架構(gòu)，各層次設(shè)備為Full-meth連接[3]，防火墻負(fù)載均衡資源池網(wǎng)絡(luò)架構(gòu)如圖3所示。

設(shè)備工作模式：兩端部署高性能負(fù)載均衡設(shè)備，負(fù)載均衡設(shè)備成對部署，三層運(yùn)行在HA模式，二層雙活模式;中間部署不同容量不同型號的防火墻設(shè)備，在設(shè)備支持的情況下，可以對防火墻進(jìn)行虛擬化，按需將防火墻設(shè)備劃分為粒度更細(xì)或更適宜的處理單元;負(fù)載均衡設(shè)備根據(jù)各網(wǎng)絡(luò)分區(qū)的容量需求為各分區(qū)分配防火墻處理資源;防火墻及虛擬防火墻自身不啟用HA/AA等高可用工作模式[4，6]，依靠外層的負(fù)載均衡設(shè)備分配工作負(fù)載。

1.2.1.2方案配置實現(xiàn)

在負(fù)載均衡設(shè)備上為不同網(wǎng)絡(luò)分區(qū)的防火墻配置虛擬服務(wù)地址，此服務(wù)地址為相關(guān)網(wǎng)絡(luò)分區(qū)提供防火墻服務(wù);防火墻資源根據(jù)所服務(wù)的網(wǎng)絡(luò)分區(qū)不同，被劃分為多個資源組（Pool）;不同的虛擬服務(wù)地址綁定分區(qū)對應(yīng)的防火墻資源組（Pool）;每個資源組根據(jù)性能需求，分配多臺防火墻設(shè)備或虛擬防火墻設(shè)備作為Pool的Member;可根據(jù)性能需求增減Pool Member，實現(xiàn)Pool處理性能的靈活擴(kuò)展;另外，可在負(fù)載均衡設(shè)備上設(shè)置不同的權(quán)重值，使得不同的Pool Member分擔(dān)不同的工作負(fù)載，從而支持不同規(guī)格型號的設(shè)備工作在一個負(fù)載均衡的資源組（Pool）中。

1.2.2分區(qū)內(nèi)網(wǎng)絡(luò)安全防護(hù)（東西向防護(hù)）

東西向安全防護(hù)即為分區(qū)內(nèi)安全防護(hù)，目的是防止分區(qū)內(nèi)薄弱主機(jī)被攻陷后，入侵者通過攻陷主機(jī)進(jìn)行橫向擴(kuò)權(quán)。

東西向安全防護(hù)由于其防護(hù)的攻擊源為分區(qū)內(nèi)部的低風(fēng)險主機(jī)及用戶，因此東西向防護(hù)策略的重點是加強(qiáng)區(qū)域內(nèi)的網(wǎng)絡(luò)異常行為監(jiān)控。

常用的區(qū)域內(nèi)部防護(hù)設(shè)施有IDS（Intrusion Detection System）、HFW（Host firewall）、HIPS（Host IPS）等。

IDS[8]常部署在基于SDN構(gòu)建的大型網(wǎng)絡(luò)的分布式網(wǎng)關(guān)或集中式網(wǎng)關(guān)所在的交換機(jī)上，通過端口鏡像技術(shù)獲取分區(qū)內(nèi)部東西向網(wǎng)絡(luò)流量，分析網(wǎng)絡(luò)流量中的異常網(wǎng)絡(luò)行為，發(fā)現(xiàn)網(wǎng)絡(luò)攻擊行為和區(qū)域內(nèi)部的橫向擴(kuò)權(quán)行為，發(fā)出告警或按需予以阻斷。

區(qū)域內(nèi)部的重要信息系統(tǒng)及重要主機(jī)，需進(jìn)行區(qū)域內(nèi)部安全防護(hù)的，可部署HFW（主機(jī)防火墻）[4]及HIPS[9]（主機(jī)入侵防護(hù)系統(tǒng)），進(jìn)行東西向安全防護(hù)，同時也加強(qiáng)外部防護(hù)的防御縱深。

2、控制器網(wǎng)絡(luò)安全防護(hù)

SDN控制器[1，2]作為網(wǎng)絡(luò)的一種操作系統(tǒng)（OS，operating system），是整個SDN網(wǎng)絡(luò)的核心，負(fù)責(zé)網(wǎng)絡(luò)中的流量調(diào)度與安全策略控制、網(wǎng)絡(luò)自動化管理等。通過SDN控制器集成管理使得業(yè)務(wù)申請和網(wǎng)絡(luò)管理更容易。

SDN控制器大部分是基于如OpenFlow、OpenStack等開放的協(xié)議及技術(shù)構(gòu)建起來的，因而易于受到各種網(wǎng)絡(luò)攻擊。

2.1 控制器的安全防護(hù)需求

SDN控制器常受到的網(wǎng)絡(luò)攻擊有如下幾種：

1）信息偽造與欺騙;

2）拒絕服務(wù)攻擊;

3）系統(tǒng)漏洞利用;

4）控制器偽造;

1）控制器和網(wǎng)絡(luò)節(jié)點的安全性，最終都會體現(xiàn)在其操作系統(tǒng)的安全性。因此，首先要強(qiáng)化所有公共的Linux服務(wù)器操作系統(tǒng)的安全性。強(qiáng)化系統(tǒng)的安全性常需部署的的安全措施有及時修復(fù)系統(tǒng)漏洞、部署主機(jī)防火墻或主機(jī)IPS、必要情形也可部署網(wǎng)絡(luò)防火墻及IPS。

2）對于信息偽造及控制器偽造等攻擊行為，歸根結(jié)底是一個通訊過程的認(rèn)證和認(rèn)證信息及通訊信息的私密性和完整性問題。解決此類問題，需在控制器與網(wǎng)絡(luò)節(jié)點之間的通訊加密及認(rèn)證授權(quán)上采取強(qiáng)化措施。

3）對于控制器面臨的拒絕服務(wù)攻擊威脅，那么它必須擁有一個高可靠性（HA，High-Availability）的架構(gòu)，暴露在公網(wǎng)上的SDN控制器，由于來自Internet的DDoS攻擊規(guī)模較大，僅僅靠高可靠性架構(gòu)不足以抵御大規(guī)模的拒絕服務(wù)攻擊，還需要部署專用的抗DDoS設(shè)備，必要時甚至需要采購運(yùn)營商的DDoS流量清洗服務(wù)。

2.2 控制器安全防護(hù)架構(gòu)

基于以上3方面的控制器安全防護(hù)需求，我們提出以下控制器防護(hù)架構(gòu)：

控制器的安全防護(hù)體系架構(gòu)是立體的、縱深的。由如下防御措施構(gòu)成：

1）在控制器所在網(wǎng)絡(luò)的邊界部署防火墻[4]+IPS[9]以抵御來自外部的網(wǎng)絡(luò)攻擊及非授權(quán)訪問請求;

2）按需在控制器所在網(wǎng)絡(luò)的邊界處部署防DDoS[13]設(shè)施，抵御來自外部的拒絕服務(wù)攻擊;

3）在區(qū)域內(nèi)部控制器的展示層服務(wù)器之前部署Web應(yīng)用層防火墻（WAF，Web Application Firewall）[11，12]，用以防護(hù)來自內(nèi)部和外部的應(yīng)用層網(wǎng)絡(luò)攻擊;

4）在控制器所在網(wǎng)絡(luò)區(qū)域內(nèi)部部署IDS[8]，用來監(jiān)控控制器和區(qū)域內(nèi)部高風(fēng)險的網(wǎng)絡(luò)端口的流量，及時發(fā)現(xiàn)來自區(qū)域內(nèi)部的網(wǎng)絡(luò)攻擊;

5）在安裝控制器的服務(wù)器上按需部署基于主機(jī)的防火墻[4]或IPS[9]，并及時升級系統(tǒng)補(bǔ)丁修補(bǔ)系統(tǒng)存在的安全漏洞。

6）控制器與被管理網(wǎng)絡(luò)節(jié)點間采用加密協(xié)議通訊，并加強(qiáng)管理行為的認(rèn)證與授權(quán)。

SDN控制器防護(hù)體系架構(gòu)如圖4所示：

3 安全管理

上述安全防護(hù)體系，雖然可以對SDN網(wǎng)絡(luò)承載的應(yīng)用資源和控制器進(jìn)行一定程度的保護(hù)，但任何一個安全防護(hù)體系都不應(yīng)是安全產(chǎn)品的簡單堆砌。安全防護(hù)設(shè)施要發(fā)揮最大效能，需要設(shè)施間的有效聯(lián)動，需要在運(yùn)行中形成高效的安全響應(yīng)機(jī)制，歸根結(jié)底，需要對所有設(shè)施和人及機(jī)制進(jìn)行有效的管理，即安全管理。

推薦安全管理方案：

建立統(tǒng)一的安全管理平臺，對所有在網(wǎng)設(shè)備的安全相關(guān)配置進(jìn)行集中管理，實時監(jiān)控設(shè)備的運(yùn)行狀態(tài)，集中管理所有安全設(shè)備的訪問控制策略，定期評估設(shè)備和整體網(wǎng)絡(luò)架構(gòu)存在的安全漏洞與風(fēng)險;

建立安全運(yùn)營中心（SOC，Security Operation Center），實時收集并分析網(wǎng)內(nèi)所有的安全日志[7]，結(jié)合威脅情報數(shù)據(jù)對日志進(jìn)行橫向關(guān)聯(lián)分析和歷史關(guān)聯(lián)分析，及時發(fā)現(xiàn)網(wǎng)內(nèi)的攻擊及來自外部的入侵等異常網(wǎng)絡(luò)行為，做到安全態(tài)勢及時感知、安全事件及時響應(yīng)。

SOC與SDN控制器的聯(lián)動，具有定制開發(fā)能力的機(jī)構(gòu)，可以通過定制開發(fā)，使得SOC發(fā)現(xiàn)安全事件后，通過SDN控制器的北向接口與控制器聯(lián)動，自動生成并下發(fā)防火墻安全策略，自動阻斷網(wǎng)絡(luò)攻擊，從而實現(xiàn)對攻擊行為的自動攔截。系統(tǒng)間的聯(lián)動使得安全設(shè)施自動化運(yùn)作，極大提升安全事件處置及安全響應(yīng)效率。

總結(jié)語：

以上的三方面，網(wǎng)絡(luò)分區(qū)安全防護(hù)體系+SDN控制器網(wǎng)絡(luò)安全防護(hù)體系+有效的安全管理，構(gòu)成了一個典型的SDN網(wǎng)絡(luò)架構(gòu)下的安全防護(hù)解決方案，此方案在實際應(yīng)用中取得了較好的防護(hù)效果。通過對實際應(yīng)用情況統(tǒng)計分析得到如下結(jié)論，分區(qū)南北向防護(hù)和控制器防護(hù)架構(gòu)可以有效抵御大部分未授權(quán)訪問和DDos攻擊等網(wǎng)絡(luò)威脅，剩余少量高等級APT（Advanced persistent attack）攻擊及其它應(yīng)用層攻擊與滲透行為，也可通過安全運(yùn)營中心的事件關(guān)聯(lián)分析來發(fā)現(xiàn)并予以阻止。結(jié)果表明，該方案是一個成功的SDN網(wǎng)絡(luò)架構(gòu)的安全防護(hù)解決方案，為用戶的應(yīng)用、數(shù)據(jù)以及網(wǎng)絡(luò)基礎(chǔ)設(shè)施提供了可靠的安全保障。

參考文獻(xiàn)

[1][美]Thomas Nadeau D. 軟件定義網(wǎng)絡(luò)：SDN與OpenFlow解析[M].畢軍等譯.北京：人民郵電出版社，2014：285-298

[2]徐儉. 基于控制層的SDN網(wǎng)絡(luò)架構(gòu)安全可靠性技術(shù)探究[J].電視工程，2018，01，007.

[3]杭州華三通信技術(shù)有限公司 新一代網(wǎng)絡(luò)建設(shè)理論與實踐[M]. 北京：電子工業(yè)出版社，2011：71-96

[4]楊東曉.防火墻技術(shù)及應(yīng)用[M].北京：清華大學(xué)出版社，2019：19，120-131

[5]張海剛.關(guān)于集群防火墻負(fù)載均衡優(yōu)化的研究[J].電腦知識與技術(shù)，2016，04.

[6]崔偉，齊競艷，黃皓.全狀態(tài)防火墻雙機(jī)熱備份的設(shè)計與實現(xiàn)[J].計算機(jī)應(yīng)用研究，2004，12，098：278-280.

[7]吳婷，鄧忻，陳樂 ?基于認(rèn)證日志和會話日志的用戶行為審計系統(tǒng)研究[J].中國新通信，2018，14，50：61-63.

[8]楊智君，田地，馬駿驍，隋欣，周斌.入侵檢測技術(shù)研究綜述[J].計算機(jī)工程與設(shè)計，2006.12.003.

[9]卿昊，袁宏春.入侵防御系統(tǒng)（IPS）的技術(shù)研究及其實現(xiàn)[J].通信技術(shù)，2003.06.040.

[10]劉勝華，金志平，劉云龍.UTM（統(tǒng)一威脅管理）技術(shù)綜述[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2011.04.004.

[11]辛?xí)越埽陵?，姬碩.基于特征匹配的Web應(yīng)用防火墻的研究與設(shè)計[J].信息網(wǎng)絡(luò)安全，2015，15 （11）：53-59.

[12]劉志光.Web應(yīng)用防火墻技術(shù)分析[J].情報探索，2014，03，033.

[13]李傳煌，吳艷，錢正哲，孫正君，王偉明.SDN下基于深度學(xué)習(xí)混合模型的DDoS攻擊檢測與防御[J].通信學(xué)報，2018，39 （7）：176-187.