1.引言

    隨著互聯(lián)網(wǎng)和數(shù)據(jù)中心規(guī)模的迅速發(fā)展，尤其是在虛擬化技術(shù)的沖擊下，運營商和大型數(shù)據(jù)中心的運營者遇到越來越多的挑戰(zhàn)，例如:網(wǎng)絡(luò)設(shè)備沒有開放接口，很難實現(xiàn)運維活動的自動化，難以降低運營成本；依賴網(wǎng)絡(luò)設(shè)備供應(yīng)商的響應(yīng)，無法滿足業(yè)務(wù)部門快速變化的業(yè)務(wù)需求；網(wǎng)絡(luò)設(shè)備之間的互操作性不好，容易導(dǎo)致供應(yīng)商鎖定；網(wǎng)絡(luò)規(guī)模很難快速擴容和降容(Scale UP/DOWN)；由于網(wǎng)絡(luò)IP地址和物理位置綁定，很難做業(yè)務(wù)遷移；傳統(tǒng)路由策略太復(fù)雜，很難管理，容易失控等等。軟件定義網(wǎng)絡(luò)SDN( Software Defined Networking)的提出為解決以上大型數(shù)據(jù)中心的運營問題提供了可能的解決方案，因此雖然SDN還存在許多技術(shù)問題沒有解決，但己有大量云計算中心、運營商及相關(guān)廠家的進行了SDN的實踐。

    軟件定義網(wǎng)絡(luò)(SDN)通過控制器實現(xiàn)網(wǎng)絡(luò)的可編程。SDN架構(gòu)具備三個核心特征:1)控制平面和數(shù)據(jù)平面相互分離，2)智能和狀態(tài)在邏輯上集中，3)底層網(wǎng)絡(luò)基礎(chǔ)設(shè)施從應(yīng)用中抽象了出來。

    近年來學(xué)術(shù)界和工業(yè)界將軟件定義網(wǎng)絡(luò)的思想進行了進一步擴展，出現(xiàn)了軟件定義的計算、存儲等，并被統(tǒng)稱為軟件定義的環(huán)境川，其主要特點是將計算、網(wǎng)絡(luò)、存儲等從底層異構(gòu)的硬件中抽象出來，成為可由軟件定義的資源，使原來獨立、難以互通的控制組件構(gòu)成統(tǒng)一的控制平面，通過對底層基礎(chǔ)設(shè)施的可編程能力，實現(xiàn)基于策略的、自動化的集中管理和控制。

    在工業(yè)界一些廠家也提出了各種SDx，例如軟件定義數(shù)據(jù)中心、軟件定義安全等，但究其實質(zhì)都只是集中的、智能的平臺系統(tǒng)，如所提的軟件定義安全與SDN并無實質(zhì)關(guān)聯(lián)，因此也被一些業(yè)內(nèi)人士認(rèn)為是一種商業(yè)策略Big Switch和vAtmour合作提的SDsec( software defined security)安全服務(wù)層結(jié)構(gòu)可能是思想最接近本文的工作，根據(jù)它僅有的一份簡單的報告可知，SDsec采用集中的控制平面，獨立于轉(zhuǎn)發(fā)和安全執(zhí)行平面，以在整個數(shù)據(jù)中心支持統(tǒng)一的安全策略‘但目前為止，并沒有給出SDsec的具體架構(gòu)。從其原有產(chǎn)品看也更關(guān)注于虛擬化的安全。

    從網(wǎng)絡(luò)安全的角度，SDN帶來了網(wǎng)絡(luò)架構(gòu)方面的革新，這即帶人了新的安全威脅和挑戰(zhàn)，同時也帶來了新的機遇來變革傳統(tǒng)的安全防護體系。

    本文在分析SDN技術(shù)帶來的新的安全威脅和機遇的基礎(chǔ)上，提出了傳統(tǒng)網(wǎng)絡(luò)向SDN演進過程中的兩種安全架構(gòu):虛擬化的安全設(shè)備VSA( Virtualized Security Appliance)和軟件定義安全SDS ( Software Defined Security )。VSA的特點是通過傳統(tǒng)安全設(shè)備的虛擬化以及SDN對基礎(chǔ)設(shè)施或轉(zhuǎn)發(fā)層的動態(tài)可編程來實現(xiàn)SDN網(wǎng)絡(luò)中的安全嵌人，這是在SDN網(wǎng)絡(luò)發(fā)展初期，SDN網(wǎng)絡(luò)部署超前于新的安全產(chǎn)品研發(fā)時的SDN安全架構(gòu)。軟件定義安全SDS的特點是采用SDN架構(gòu)設(shè)計思想，將安全的控制平面和數(shù)據(jù)平面進行分離，通過控制平面提供的可編程能力實現(xiàn)安全服務(wù)的重構(gòu)，使安全功能服務(wù)化、模塊化、可重用，最大化SDN帶來的安全機遇。本文分別給出了VSA和SDS架構(gòu)的建設(shè)要點，對比分析了兩種架構(gòu)的優(yōu)缺點，并將網(wǎng)絡(luò)威脅分為常規(guī)網(wǎng)絡(luò)人侵、拒絕服務(wù)和分布式拒絕服務(wù)DoS/DDoS、高級持續(xù)性威脅APT ( AdvancedPersistent Threat)或定向攻擊(Targeted Attack )，針對這三類典型的攻擊場景，給出了兩種架構(gòu)下的安全防護流程。并利用開源軟件搭建了實驗系統(tǒng)，對兩種安全架構(gòu)進行了初步實驗和測試。

    本文第2節(jié)簡要分析并綜述了SDN網(wǎng)絡(luò)技術(shù)帶來的新的安全挑戰(zhàn)；第3節(jié)分析了SDN網(wǎng)絡(luò)技術(shù)給網(wǎng)絡(luò)安全帶來的機遇；第4節(jié)，歸納提出演進過程中的兩種主要的SDN安全防護機制，并針對三類網(wǎng)絡(luò)安全攻擊分析了它們各自的工作原理；第5節(jié)對兩種安全架構(gòu)進行了實驗；第6節(jié)綜述了國內(nèi)外相關(guān)研究；最后對文中主要發(fā)現(xiàn)和觀點進行了總結(jié)，并對下一步的研究方向進行了展望。

    2.SDN帶來的安全挑戰(zhàn)

    作為一種嶄新的網(wǎng)絡(luò)架構(gòu)體系，SDN面臨諸多新出現(xiàn)的、相對獨特的安全威脅和挑戰(zhàn):

    1) SDN控制器的自身安全。SDN網(wǎng)絡(luò)中的集中控制器(Controller)是SDN體系中的核心，由于SDN網(wǎng)絡(luò)的可編程性、開放性，SDN控制器安全防護的重要性遠大于傳統(tǒng)網(wǎng)絡(luò)中網(wǎng)管系統(tǒng)的安全。所以圍繞控制器的攻防是SDN體系自身安全的最關(guān)鍵環(huán)節(jié)。例如，在OpenFlow交換機流表中不存在的初始流信息將通過集中的控制器進行處理，雖然控制器可能并不是某次分布式拒絕服務(wù)攻擊的直接目標(biāo)，但大量的初始流量將使控制器的負(fù)載急劇上升。

    2)開放帶來的安全隱患。開放是一把雙刃劍，第三方的應(yīng)用和各種插件可能會帶有惡意功能、未聲明功能、安全漏洞等多種風(fēng)險。

    3)規(guī)則沖突帶來的安全隱患。安全和網(wǎng)絡(luò)的應(yīng)用插件都具備一定的規(guī)則寫人權(quán)限，處理規(guī)則之間的沖突需要精巧而完備的算法以及優(yōu)先級政策，以避免安全策略沖突或被繞過可能帶來的服務(wù)中斷等。

    4)安全相關(guān)標(biāo)準(zhǔn)協(xié)議不足。Opentlow協(xié)議提供了較為完整的路由、交換、管理等協(xié)議，但是安全相關(guān)的設(shè)備和功能組件非常復(fù)雜，在安全設(shè)組件、安全控制器(或各種安全管理器)、網(wǎng)絡(luò)控制器、云控制器等之間的通信和協(xié)作將會成為挑戰(zhàn)。

    5)分布式部署和全局視野。SDN網(wǎng)絡(luò)中流量可全局調(diào)度，但是當(dāng)前的安全設(shè)備普遍不具備全局視野能力，無法對跨設(shè)備的流進行完整的還原和分析，從而導(dǎo)致漏報。

    總體來說，針對SDN所引人的新安全威脅，相應(yīng)的防護策略包括但不限于：

    1)使用多種手段保護SDN控制器，包括認(rèn)證、職責(zé)分離和授權(quán)、審計、應(yīng)用生命周期安全、以及其它各種常規(guī)的網(wǎng)絡(luò)防護技術(shù)。

    2)強化安全策略的管理和分析，包括有效性檢查、沖突檢查、仲裁機制等，確保安全策略不被繞過和篡改。

    3)安全和各種應(yīng)用的沙箱檢測體系，以及覆蓋第三方的安全應(yīng)用開發(fā)和一致性檢查等。

    4)充分利用SDN網(wǎng)絡(luò)的全局?jǐn)?shù)據(jù)和視野，實現(xiàn)分布式安全設(shè)備的協(xié)同工作。

    5)設(shè)計實現(xiàn)安全服務(wù)和網(wǎng)絡(luò)服務(wù)之間、安全服務(wù)之間等接口的安全標(biāo)準(zhǔn)，以解決Openflow協(xié)議在安全方面的不足，并建立和完善SDN各接口的安全規(guī)范。目前，正式發(fā)布了SDN安全需求，討論了控制器和應(yīng)用之間的安全接口、認(rèn)證授權(quán)等問題，但并沒有給出對SDN安全威脅的防護機制。

    3.SDN網(wǎng)絡(luò)帶來的安全機遇

    SDN在帶來新的安全威脅和挑戰(zhàn)的同時，也給網(wǎng)絡(luò)安全防護帶來了前所未有的機遇。

    SDN網(wǎng)絡(luò)中的控制器具備全局視野，掌握整個管理域范圍內(nèi)的流信息，這與傳統(tǒng)交換機只了解所轉(zhuǎn)發(fā)的流量有很大的區(qū)別。通過和不同類型的安全功能進行結(jié)合，這個全局信息使得安全服務(wù)重構(gòu)成為可能。例如，SDN可以為每個網(wǎng)絡(luò)節(jié)點和流建立各種安全狀態(tài)屬性，并與安全信譽和異常發(fā)現(xiàn)系統(tǒng)等聯(lián)動，實現(xiàn)更智能、靈活、高效的安全機制。

    SDN中集中的控制層為各安全機制的自動化、聯(lián)動、特別是跨廠商設(shè)備的聯(lián)動，提供了新的機遇。在傳統(tǒng)網(wǎng)絡(luò)現(xiàn)有的安全設(shè)備和機制中，在安全自動化和聯(lián)動方面雖已進行了一些努力，但安全運營和流程自動化方面由于諸多原因遠未達到理想的目標(biāo)，例如，美國推動的安全內(nèi)容自動協(xié)議SCAP( Security Content Automation Protocol)只是在安全信息和呈現(xiàn)方面在美國得到一定的應(yīng)用，國內(nèi)廣泛部署的安全運維中心SOC(SecurityqAeration Center)也只是基于同一廠家的安全事件共享和關(guān)聯(lián)。

    SDN在應(yīng)用和低層轉(zhuǎn)發(fā)間增加了一層控制層，因此原來需要低層網(wǎng)絡(luò)支持的應(yīng)用層的安全策略可以通過控制層來實現(xiàn)，例如，通過VLAN，MPLS LSP虛擬網(wǎng)絡(luò)實現(xiàn)的安全隔離，將可通過控制層來編程實現(xiàn)，可以預(yù)見這種實現(xiàn)由于控制層的可編程能力，將比完全依賴底層轉(zhuǎn)發(fā)網(wǎng)絡(luò)的實現(xiàn)更具智能、更易配置、更靈活。

    SDN使得構(gòu)建全局的、全網(wǎng)狀的流表并基于此構(gòu)建端到端的網(wǎng)絡(luò)準(zhǔn)人和訪問控制體系成為可能。并且可增加靈活的控制機制:不僅可在檢測點進行處理，還可實現(xiàn)遠端控制和處理，如通知源端將特定或全部流量丟棄(Drop)，從而使惡意流量在源端即被遏制，這將提升安全防護的效率，對于對抗分布式拒絕服務(wù)等攻擊尤為有效。

    SDN網(wǎng)絡(luò)可以實現(xiàn)基于流的調(diào)度，而不是傳統(tǒng)網(wǎng)絡(luò)中基于IP包的調(diào)度，這使提升安全服務(wù)的防護效率和性能成為可能，客觀上還將使安全服務(wù)和管控更加細(xì)粒度。

    SDN控制層和基礎(chǔ)設(shè)施層的分離，以及控制層的可編程特性使得網(wǎng)絡(luò)運行維護任務(wù)可以更有效、更低成本、更快速的自動化，從而降低安全運維成本，提高安全防護的及時性和效率。

    SDN網(wǎng)絡(luò)中，原來分布在各節(jié)點上的智能管理和控制功能可以集中到控制器上完成，基礎(chǔ)設(shè)施層的節(jié)點功能可更單一化，從而降低了基礎(chǔ)設(shè)施層的節(jié)點安全防護的難度，為降低整體安全防護成本提供了可能。

    但目前對SDN網(wǎng)絡(luò)上的安全架構(gòu)還缺少系統(tǒng)的研究，更多的機遇和挑戰(zhàn)需要經(jīng)過實驗和實踐去驗證。本文基于對SDN帶來的安全機遇的分析所提出的軟件定義安全SDS的架構(gòu)是一個初步的探索。

    4.SDN網(wǎng)絡(luò)的安全防護機制

    網(wǎng)絡(luò)攻擊一直伴隨著互聯(lián)網(wǎng)的成長，從早年的Morris蠕蟲、SQL Slammer， Code Red到近年的Stuznet， Flame， Duqu等。從安全防護角度，本文將主要的網(wǎng)絡(luò)攻擊分為三大類：常規(guī)網(wǎng)絡(luò)人侵，拒絕服務(wù)和分布式拒絕服務(wù)DoS/DDoS、高級持續(xù)性威脅APT或定向攻擊m。這些傳統(tǒng)網(wǎng)絡(luò)中存在的三類典型的網(wǎng)絡(luò)攻擊同樣將出現(xiàn)在SDN網(wǎng)絡(luò)中，也是SDN的網(wǎng)絡(luò)安全機制所必需面對和解決的。

    分析SDN網(wǎng)絡(luò)的體系架構(gòu)特點，以及相關(guān)的技術(shù)成熟度，本文提出在SDN演進的過程中，有兩種架構(gòu)實現(xiàn)SDN網(wǎng)絡(luò)環(huán)境中的安全防護:虛擬化的安全設(shè)備(Virtualized SecurityAppliance)和軟件定義安全(Software Defined Security)。

    4.1虛擬化的安全設(shè)備

    VSA的特點是通過傳統(tǒng)安全設(shè)備的虛擬化來實現(xiàn)SDN網(wǎng)絡(luò)中的安全嵌人。SDN網(wǎng)絡(luò)被劃分為基礎(chǔ)設(shè)施層(主要包括計算和存儲資源，以及負(fù)責(zé)網(wǎng)絡(luò)轉(zhuǎn)發(fā)的交換和路由設(shè)備等)、控制層(主要有SDN控制器組成)和服務(wù)層(主要包括業(yè)務(wù)應(yīng)用和網(wǎng)絡(luò)安全應(yīng)用等)，在VSA模式下，安全設(shè)備，例如防火墻、人侵檢測和防護系統(tǒng)、反病毒系統(tǒng)、蜜罐等安全設(shè)備工作于服務(wù)層，由網(wǎng)絡(luò)控制器根據(jù)策略將目標(biāo)流量調(diào)度到相應(yīng)的安全設(shè)備進行處理。

    VSA的主要建設(shè)要點包括：

    1)將傳統(tǒng)軟硬件形態(tài)的安全設(shè)備虛擬化，例如防火墻、人侵檢測和防護系統(tǒng)、抗拒絕服務(wù)系統(tǒng)、反病毒系統(tǒng)、蜜罐等，支持虛擬鏡像方式的部署，并且成為qpenflow-aware，以便根據(jù)安全檢查的結(jié)果和安全策略通知控制層執(zhí)行流量調(diào)度，以完成進一步的安全檢測。

    2)將物理拓?fù)溆成涞竭壿嬐負(fù)洌�由SDN網(wǎng)絡(luò)的控制平面按照既定策略和邏輯拓?fù)鋵α鬟M行調(diào)度，讓流經(jīng)過相應(yīng)的安全設(shè)備進行處理(如監(jiān)視、檢測、清洗等)。

    3)各安全設(shè)備可繼續(xù)由各自的管理器管理，但是都提供RESTful API以便于更進一步的安全服務(wù)集成。

    VSA是現(xiàn)有安全技術(shù)在SDN網(wǎng)絡(luò)中的一種實現(xiàn)架構(gòu)，安全設(shè)備的部署和工作方式與傳統(tǒng)網(wǎng)絡(luò)相比本質(zhì)上并沒有特別的改變，安全防護能力也未能提升，只是通過SDN對網(wǎng)絡(luò)的可編程能力用邏輯拓?fù)淙〈�了物理拓�(fù)�，從而改進了安全運維的自動化程度，降低成本，同時可適應(yīng)云計算中心多租戶環(huán)境的動態(tài)性。這里給出VSA中對三類網(wǎng)絡(luò)攻擊的防御方式：

    常規(guī)網(wǎng)絡(luò)入侵:設(shè)主機A是保護目標(biāo)，根據(jù)安全策略該租戶的網(wǎng)絡(luò)中應(yīng)部署人侵檢測系統(tǒng)(IDS)對針對主機A的攻擊進行報警，此時，可通過控制器將主機A的所有流量復(fù)制并調(diào)度至IDS，由SDN網(wǎng)絡(luò)中可編程的邏輯拓?fù)鋵崿F(xiàn)安全設(shè)備的物理部署。

    拒絕服務(wù)攻擊:設(shè)主機D正在遭受拒絕服務(wù)攻擊，通過SDN控制器將主機D的所有流量或者能夠識別出的部分流量調(diào)度至抗拒絕服務(wù)系統(tǒng)進行清洗，并將清洗后的流量回注。

    高級持續(xù)威脅:設(shè)主機C是高價值的保護目標(biāo)，而主機B安全等級較低，但是需要訪問C的數(shù)據(jù)或服務(wù)。VSA中，由SDN控制器將主機B和C之間的通信流量調(diào)度到防火墻進行安全隔離和檢查。根據(jù)策略將可疑流量導(dǎo)入蜜罐或特定功能的沙箱系統(tǒng)對APT攻擊進行檢測、監(jiān)視和捕獲。

    4.2軟件定義安全

    軟件定義安全的特點是將安全的控制平面和數(shù)據(jù)平面進行分離和重構(gòu)，實現(xiàn)模塊化、服務(wù)化、可重用。

    如圖1所示，SDS將現(xiàn)有安全技術(shù)分解成原子服務(wù)，圖中威脅檢測類服務(wù)泛指基于模式匹配的網(wǎng)絡(luò)人侵檢測、反病毒和反惡意軟件系統(tǒng)、虛擬執(zhí)行或沙箱系統(tǒng)，信譽類服務(wù)泛指IP信譽、URL信譽、身份信譽、文件信譽等，這些構(gòu)成基本安全服務(wù)，并進一步細(xì)分可形成原子服務(wù)。通過SDN控制層的可編程能力及安全控制器，利用服務(wù)重構(gòu)技術(shù)和安全狀態(tài)表將各安全原子服務(wù)有機整合，形成定制的安全能力。

圖1 SDS架構(gòu)和工作機理示意圖

Fig.1 Architecture of SDS

    SDS的建設(shè)要點包括：

    1)建立全局安全狀態(tài)表GSR(Global Security Registry)，維護全局范圍的基于流的應(yīng)用信息、用戶信息、安全狀態(tài)和信譽信息、流量基線等。

    2)建立全局安全控制器GSC( Global Security Controller)，用以定義和維護更新安全策略，與SDN控制器同步更新。

    3)對傳統(tǒng)安全設(shè)備的功能進行重整，合并或簡化冗余的功能和計算處理，形成一系列的安全原子服務(wù)模塊，例如應(yīng)用識別、流量異常檢測、流量清洗、網(wǎng)絡(luò)行為異常檢測、基于模式匹配的網(wǎng)絡(luò)人侵檢測、反病毒和反惡意軟件系統(tǒng)、虛擬執(zhí)行或沙箱系統(tǒng)、蜜罐、漏洞掃描、安全配置稽核、信譽系統(tǒng)、認(rèn)證和審計等等。

    4)定義安全控制器和各安全服務(wù)的應(yīng)用編程接口API(Application Programming Interface )。

    5)通過服務(wù)重構(gòu)，由軟件定義構(gòu)成用戶定制的安全服務(wù)。

    與VSA不同，SDS中用戶通過安全服務(wù)重組定制所需的安全服務(wù)，在安全控制器下控制下實現(xiàn)在基于全局安全狀態(tài)表GSR的網(wǎng)絡(luò)防御，如圖1所示。

    對常規(guī)網(wǎng)絡(luò)人侵，設(shè)安全目標(biāo)是對主機A的所有流量進行人侵檢測和高級威脅分析。SDN控制器通過策略分發(fā)將A的流量復(fù)制到威脅檢測系統(tǒng)，結(jié)果將更新至GSR；安全控制器GSC根據(jù)既定的安全策略和GSR中的安全狀態(tài)作出下一步的動作，并將動作指令通過SDN控制器分發(fā)到相應(yīng)的基礎(chǔ)設(shè)施層設(shè)備。

    對拒絕服務(wù)攻擊，在安全服務(wù)層部署基于全局安全狀態(tài)表的流量異常檢測系統(tǒng)，在基礎(chǔ)設(shè)施層部署流量清洗系統(tǒng)。當(dāng)檢測到DDoS攻擊時，通過安全控制器和SDN控制器將判定為攻擊的流量導(dǎo)人流量清洗系統(tǒng)，將清洗后的流量送回原目的主機。不僅可以防護從互聯(lián)網(wǎng)到數(shù)據(jù)中心的DDoS攻擊，還可以同時防護數(shù)據(jù)中心內(nèi)部、數(shù)據(jù)中心之間的DDoS攻擊。

    對高級持續(xù)威脅，設(shè)主機C是高價值的保護目標(biāo)，B安全等級較低，但需訪問C的數(shù)據(jù)或服務(wù)。通過安全控制器將B訪問C的流量調(diào)度至深度包過濾DPI和應(yīng)用識別服務(wù)，相應(yīng)地，流量異常分析服務(wù)和網(wǎng)絡(luò)行為異常分析服務(wù)可以通過及時更新的安全狀態(tài)表分析監(jiān)視網(wǎng)絡(luò)連接；在發(fā)生文件型的傳送時，根據(jù)策略將文件轉(zhuǎn)送到沙箱系統(tǒng)進行深度檢查一旦B被識別為可疑，則可依照安全策略對其進行隔離或?qū)⑵渚W(wǎng)絡(luò)訪問轉(zhuǎn)送給蜜罐系統(tǒng)，同時更新信譽系統(tǒng)和安全狀態(tài)系統(tǒng)。整個過程，重組了應(yīng)用識別、異常分析、沙箱、蜜罐、信譽等多個安全服務(wù)。

    4.3 VSA與SDS架構(gòu)的比較

    VSA和SDS架構(gòu)對比見表1，VSA模式技術(shù)上更成熟，實現(xiàn)風(fēng)險較小，但是開放性以及與SDN網(wǎng)絡(luò)的兼容性不夠好；SDS模式符合SDN的設(shè)計思想，具備更好的開放性和效率，并可帶來新的安全能力，但在技術(shù)成熟度方面的風(fēng)險較大，安全功能模塊化重組后的效率、性能和能力提升還有待驗證。

表1 VSA和SDS架構(gòu)對比

Table1 Comparison of VSA and SDS

    5.可行性驗證

    本文以防火墻應(yīng)用為例搭建實驗初步驗證VSA和SDS架構(gòu)的可行性和有效性。

    實驗服務(wù)器和測試機配置均為1nte1 Core 2 Duo 2。8GHzCPU加上2.OOG RAM。實驗搭載在Ubuntu 12.04操作系統(tǒng)上，采用開源的SDN控制器Floodlight，Open vSwitch和防火墻應(yīng)用模塊之間的橋接采用Openstack中的Quantum模塊實現(xiàn)。在Floodlight上增設(shè)了安全策略應(yīng)用，F(xiàn)loodlight雖自帶防火墻應(yīng)用，但只實現(xiàn)了最簡單的包過濾功能，因此防火墻應(yīng)用仍由Linux的Iptables實現(xiàn)。應(yīng)用識別采用基于正則表達式的應(yīng)用過濾器L7-filter。本文根據(jù)前一節(jié)所述的VSA和SDS建設(shè)要點進行了二次開發(fā)，實現(xiàn)VSA和SDS架構(gòu)下的防火墻安全服務(wù)，并針對其時延特性進行了測量。

圖2 VSA和SDS架構(gòu)實驗圖

Fig.2 Experimental Framework of VSA and SDS

    VSA架構(gòu)中的實驗示意圖如圖2(左)所示。防火墻應(yīng)用集成了L7-filter應(yīng)用識別以及Iptables過濾功能，作為獨立的安全應(yīng)用與Floodlight控制器以及計算節(jié)點進行通信。模塊測試主機C1和C2通過虛擬交換機OpenvSwitch相連，F(xiàn)lood-light Controller為整個SDN網(wǎng)絡(luò)的控制器，防火墻應(yīng)用通過API調(diào)用實現(xiàn)與控制器的交互。根據(jù)VSA架構(gòu)特點，圖中各步為：

    1)主機CI向主機C2發(fā)送數(shù)據(jù)包Packet_IN；

    2 ) Floodlight控制器上的策略應(yīng)用根據(jù)策略，向交換機下發(fā)流指令，將Packet 1N重定向到防火墻應(yīng)用；

    3)數(shù)據(jù)包Packet IN根據(jù)Floodlight控制器指定的路徑流經(jīng)防火墻進行處理；

    4)防火墻應(yīng)用根據(jù)定義的策略將可疑流量丟棄；對于合法流量則通知Floodlight執(zhí)行步驟5；

    5 ) Floodlight建立從防火墻到C2的流，將合法流量發(fā)送至C2。

    根據(jù)以上流程，我們測試了主機C1至主機口間通過防火墻過濾的時延，作為對照同時測試了VSA環(huán)境下主機C1至主機C2直接通過虛擬交換機的數(shù)據(jù)發(fā)送時延。具體的時延結(jié)果和完成實驗所需代碼量如表2所示，所有時延數(shù)據(jù)均取20次實驗結(jié)果的平均值。實驗表明，相對于正常的數(shù)據(jù)包發(fā)送過程而言，基于VSA的數(shù)據(jù)包重定向流程增加了大約0.58ms的時延。

表2 YSA和SDS實驗結(jié)果統(tǒng)計

Table2 Result of VSA and SDS Experiment

    SDS架構(gòu)中的實驗示意圖如圖2(右)所示。測試主機CI和C2通過虛擬交換機OpenvSwitch相連；Floodlight控制器連接計算節(jié)點與防火墻應(yīng)用；SDS中的防火墻應(yīng)用由應(yīng)用層的應(yīng)用識別、控制器上的策略管理模塊以及虛擬交換機上的包處理執(zhí)行模塊這三個原子服務(wù)組成。實驗流程如下：

    1)測試主機C1向主機C2發(fā)送數(shù)據(jù)包Packetes IN ；

    2)交換機將流表中不存的數(shù)據(jù)包轉(zhuǎn)發(fā)給控制器，F(xiàn)lood-light根據(jù)策略將數(shù)據(jù)包轉(zhuǎn)發(fā)應(yīng)用識別服務(wù)；

    3)應(yīng)用識別服務(wù)識別這為QQ，將識別結(jié)果轉(zhuǎn)交給控制器；

    4)控制器檢查策略，根據(jù)策略應(yīng)禁止此應(yīng)用通過；

    5)根據(jù)策略管理的處理結(jié)果，F(xiàn)loodlight向數(shù)據(jù)轉(zhuǎn)發(fā)節(jié)點下發(fā)流處理的命令Drop ；

    6)基于Floodlight控制器命令，數(shù)據(jù)包Packetes IN被丟棄。

    同VSA實驗，我們測試了20次數(shù)據(jù)包在SDS環(huán)境下的復(fù)制轉(zhuǎn)發(fā)過程所需時延，并取平均值如表2所示，相對于直接交換的數(shù)據(jù)包，在SDS中數(shù)據(jù)包轉(zhuǎn)發(fā)處理流程要增加了約4.2ms時延。

    從表2可知，雖然在實驗中采用了開源的軟件，并沒有進行代碼優(yōu)化，交換機也采用的是虛擬交換機，但VSA和SDS架構(gòu)中防火墻的實現(xiàn)所引入的時延最多只是毫秒級，并不會對業(yè)務(wù)帶來質(zhì)量損傷。

    另外，在VSA和SDS實現(xiàn)中，在開源軟件的基礎(chǔ)上，我們分別只用了58行和51行C代碼就完成了所需的防火墻功能，主要的代碼量分別為控制器上簡單的策略管理、防火墻和應(yīng)用識別應(yīng)用到控制器的API調(diào)用，SDS由于由底層。pen-Flow交換機執(zhí)行了過濾功能，因此比VSA防火墻應(yīng)用有更少的代碼。

    6.相關(guān)工作

    基于SDN的安全問題也已有一些研究成果。

    FRESCO在SDN控制器上實現(xiàn)了一種安全應(yīng)用開發(fā)框架，將Python實現(xiàn)的16個基本的流量監(jiān)測和威脅檢測功能以模塊的形式提供，以便快速開發(fā)安全應(yīng)用。實驗表明利用FRESCO開發(fā)框架，及提供的資源管理、策略沖突檢測、角本工具等，可使安全應(yīng)用的開發(fā)減少90%的代碼。這是當(dāng)前與本文思想最接近的研究成果，F(xiàn)RESCO的優(yōu)勢在于使安全公司或SDN網(wǎng)絡(luò)安全服務(wù)供商可以快速開發(fā)基于SDN的安全產(chǎn)品和服務(wù)，但它采用了封閉的框架，安全服務(wù)的提供依賴于開發(fā)框架可提供的安全模塊，本文則更關(guān)注于SDN網(wǎng)絡(luò)的安全部署和服務(wù)提供架構(gòu)，所提的SDS是一種開放的架構(gòu)，安全服務(wù)層的原子服務(wù)仍由不同廠家的設(shè)備、應(yīng)用提供，它們的安全功能通過API開放，用戶可基于SDS架構(gòu)通過安全服務(wù)層不同的API調(diào)用，利用服務(wù)重組定制安全服務(wù)。FRESCO的實驗表明了當(dāng)前的安全功能是可以抽象成一些基本的原子服務(wù)，這給SDS架構(gòu)的可行性提供了一定的支撐。

    文獻都采用了緊密集成控制器和OpenFlow交換機的人侵檢測系統(tǒng)，對家庭接人網(wǎng)絡(luò)提供安全防護，但是他們采用的人侵檢測算法只處理一條流中少量的包，因此相比當(dāng)前獨立的人侵檢測系統(tǒng)其功能相關(guān)對簡單，在云計算中心等安全要求和帶寬都遠高于家庭接人網(wǎng)絡(luò)的場景中，這種將安全功能完全集成于控制器和交換機中的解決方案的性能還有待驗證；文獻提出了SDN網(wǎng)絡(luò)中一種抗拒絕服務(wù)攻擊的檢測方法，指出與傳統(tǒng)的方法相比，SDN通過集中控制器和OpenFlow協(xié)議可以直接提取每個流的統(tǒng)計信息，從而能用更少的負(fù)荷實現(xiàn)分布式拒絕服務(wù)攻擊的檢測。Fort-Nox 為NOX控制器上的應(yīng)用，使控制器可以實現(xiàn)實時的規(guī)則沖突檢查，并通過為控制器下發(fā)到交換機的規(guī)則增加基于角色的授權(quán)和安全約束來應(yīng)對惡意應(yīng)用 VAVE(Virtual source Address Validation Edge)考慮到目前>ETF源地址驗證標(biāo)準(zhǔn)SAVI(Source Address Validation Improvements)無法支持SAVI設(shè)備間交互地址有效性綁定信息，因此無法解決跨SAVI設(shè)備的地址偽造，提出了VAVE，通過OpenFlow協(xié)議關(guān)聯(lián)流對端的SAVI有效性綁定，在流建立時，由控制器對偽造地址進行過濾，從而擴展SAVI可綁定的地址范圍。

    OpenSAFE研究了大規(guī)模網(wǎng)絡(luò)中通過OpenFlow實現(xiàn)線速的流量重定向，從而將流路由到監(jiān)測設(shè)備進行安全檢查，他們的實驗表明OpenSAFE比傳統(tǒng)鏡像方法檢測出了更多的告警事件。OFRewind也實現(xiàn)了類似功能，并支持多種粒度，而不僅僅支持對整個OpenFlow流進行記錄。Cloud Watcher則研究了在采用SDN的云計算中心中將流重定向到安全監(jiān)測設(shè)備的路由算法。這些工作都可做為VSA的基礎(chǔ)。

    在OpenFlow和SDN網(wǎng)絡(luò)自身的安全性方面，F(xiàn)1owVisior分片(Slice)技術(shù)通過在控制層和數(shù)據(jù)層中增加一層實現(xiàn)虛擬網(wǎng)絡(luò)隔離從而提供一定的安全保障。文獻綜述了基于OpenFlow的SDN網(wǎng)絡(luò)的安全問題，指出當(dāng)物理鏈路安全性無法保障時，當(dāng)前在控制器和交換機間普遍缺少TLS配置的狀況有很大的安全隱患，并指出拒絕服務(wù)攻擊是控制器需首要關(guān)注的安全威脅。

    7.結(jié)論和未來工作

    本文從安全角度簡要綜述了軟件定義網(wǎng)絡(luò)的架構(gòu)特點，以及SDN網(wǎng)絡(luò)所新引人的安全挑戰(zhàn)和防護策略。然后分析了SDN網(wǎng)絡(luò)技術(shù)在網(wǎng)絡(luò)安全防護方面的優(yōu)勢以及所帶來的機遇。本文歸納提出了兩類SDN網(wǎng)絡(luò)安全架構(gòu)，并以三類網(wǎng)絡(luò)攻擊作為場景，分析了兩種架構(gòu)的工作原理。

    相對來說，虛擬化的安全設(shè)備(VSA)架構(gòu)在技術(shù)上更加成熟，而軟件定義安全(SDS)架構(gòu)則更符合SDN的設(shè)計思想，有更好的兼容性和效率。這是SDN建設(shè)過程中兩種演進的安全架構(gòu)。

    在文中分析的基礎(chǔ)上，我們通過開源軟件搭建了實驗環(huán)境，以防火墻為例對兩種安全架構(gòu)的可行性進行了初步驗證，并對各自的性能進行分析和測量。但是VSA架構(gòu)在實際云計算中心的部署和運營、SDS架構(gòu)更多的技術(shù)細(xì)節(jié)都需要經(jīng)過詳細(xì)的設(shè)計和驗證，并需要在實際網(wǎng)絡(luò)中進行實驗，這將是我們后續(xù)的工作重點。

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.oesoe.com/

本文標(biāo)題：VSA和SDS：兩種SDN網(wǎng)絡(luò)安全架構(gòu)的研究

本文網(wǎng)址：http://www.oesoe.com/html/support/11121511688.html