軟件定義網(wǎng)絡(luò)在提升企業(yè)內(nèi)網(wǎng)安全性中的應(yīng)用

◆張 江 劉星程 王世玲 謝敬銳 代文磊

(云南省軍區(qū) 云南 650051)

1 研究背景

企業(yè)內(nèi)網(wǎng)是承載企業(yè)運(yùn)營的基礎(chǔ)信息網(wǎng)絡(luò)，安全、可靠的網(wǎng)絡(luò)架構(gòu)是確保企業(yè)正常運(yùn)營的關(guān)鍵。隨著信息化水平的不斷提高，企業(yè)對網(wǎng)絡(luò)安全、網(wǎng)絡(luò)效率等方面的要求越來越高。然而目前大多數(shù)企業(yè)的內(nèi)網(wǎng)，從本質(zhì)上而言，都是一種基于傳統(tǒng)技術(shù)的局域網(wǎng)，其運(yùn)行效率、安全防護(hù)等方面的弊端，已經(jīng)成為企業(yè)推廣新技術(shù)和新平臺的瓶頸。

軟件定義網(wǎng)絡(luò)是當(dāng)前網(wǎng)絡(luò)技術(shù)發(fā)展的新熱點，這種技術(shù)可以有效解決傳統(tǒng) IP網(wǎng)絡(luò)在網(wǎng)絡(luò)安全和網(wǎng)絡(luò)效率方面的局限性。本文探討了軟件定義網(wǎng)絡(luò)技術(shù)在改造企業(yè)內(nèi)網(wǎng)中的應(yīng)用，提出了一種安全性更高、靈活性更好的企業(yè)內(nèi)網(wǎng)架構(gòu)。

2 基于SDN的企業(yè)內(nèi)網(wǎng)架構(gòu)

圖1 基于SDN的企業(yè)內(nèi)網(wǎng)示意圖

基于SDN的企業(yè)內(nèi)網(wǎng)架構(gòu)如圖1所示，可以看出，和傳統(tǒng)的“扁平化”內(nèi)網(wǎng)結(jié)構(gòu)相比，基于 SDN的企業(yè)內(nèi)網(wǎng)主要具備以下特點：

（1）基于SDN的企業(yè)內(nèi)網(wǎng)采用分層的體系架構(gòu)，即將網(wǎng)絡(luò)劃分為基礎(chǔ)設(shè)施層、控制層和應(yīng)用層3層邏輯結(jié)構(gòu)。

（2）基礎(chǔ)設(shè)施層即SDN企業(yè)內(nèi)網(wǎng)的數(shù)據(jù)轉(zhuǎn)發(fā)層，由受控的網(wǎng)絡(luò)交換設(shè)備構(gòu)成，與傳統(tǒng)內(nèi)網(wǎng)不同的是，基礎(chǔ)設(shè)施層選用的交換機(jī)須支持OpenFlow控制協(xié)議。

（3）基礎(chǔ)設(shè)施層在本文中被分為外聯(lián)區(qū)和核心區(qū)（實際上還可以根據(jù)需要分為更多的區(qū)域），這樣的劃分突破了傳統(tǒng)內(nèi)網(wǎng)的“扁平化”結(jié)構(gòu)，使得處于不同區(qū)域的網(wǎng)絡(luò)具有不同的權(quán)限，提升了網(wǎng)絡(luò)安全性。

以圖1中不同區(qū)域節(jié)點的相互訪問為例：位于外聯(lián)區(qū)域的A節(jié)點試圖訪問核心區(qū)域的B節(jié)點，訪問成功與否取決于各區(qū)域上層控制層所做的訪問控制，在嚴(yán)格的訪問控制條件下，外聯(lián)區(qū)域甚至感知不到核心區(qū)域的存在。值得一提的是，即便是在區(qū)域以內(nèi)的節(jié)點相互訪問，也同樣要受到上層控制器的控制。

（4）控制層由支持OpenFlow協(xié)議的控制器組成。根據(jù)網(wǎng)絡(luò)的規(guī)模和應(yīng)用需要的不同，控制器的部署密度也可以不同：可以是一個區(qū)域設(shè)置一個控制器，一個區(qū)域設(shè)置多個控制器或是整個SDN企業(yè)內(nèi)網(wǎng)只用一個控制器。

綜上所述，基于SDN構(gòu)建的企業(yè)內(nèi)網(wǎng)，實際上就是采用SDN體系架構(gòu)對企業(yè)局域網(wǎng)進(jìn)行改造，基礎(chǔ)設(shè)施層大部分可以延用原有網(wǎng)絡(luò)設(shè)施，只是交換機(jī)需要支持OpenFlow協(xié)議；控制層和應(yīng)用層組成了網(wǎng)絡(luò)訪問控制系統(tǒng)，對企業(yè)內(nèi)部的各種網(wǎng)絡(luò)訪問進(jìn)行定義和控制。從圖1可以看出，SDN架構(gòu)的網(wǎng)絡(luò)控制與數(shù)據(jù)轉(zhuǎn)發(fā)功能位于不同的層面，即控制系統(tǒng)與基礎(chǔ)網(wǎng)絡(luò)設(shè)備完全分離，避免了網(wǎng)絡(luò)設(shè)備自身的問題對控制系統(tǒng)運(yùn)行產(chǎn)生影響，從而保證了控制層的可靠性和健壯性。相比之下，在傳統(tǒng)結(jié)構(gòu)的企業(yè)內(nèi)網(wǎng)中，基礎(chǔ)網(wǎng)絡(luò)設(shè)備出現(xiàn)的問題會對全局安全策略的實施造成影響。

3 使用動態(tài)網(wǎng)絡(luò)結(jié)構(gòu)提升企業(yè)內(nèi)網(wǎng)的安全性

3.1 基于SDN的動態(tài)網(wǎng)絡(luò)結(jié)構(gòu)

基于SDN架構(gòu)的網(wǎng)絡(luò)可以動態(tài)地改變網(wǎng)絡(luò)的邏輯結(jié)構(gòu)，根據(jù)控制層對基礎(chǔ)網(wǎng)絡(luò)層的反饋和控制，實現(xiàn)對網(wǎng)絡(luò)全局信息流的掌握，從而對整個網(wǎng)絡(luò)的邏輯結(jié)構(gòu)實現(xiàn)動態(tài)調(diào)整和更新。

圖2 SDN的反饋控制結(jié)構(gòu)

圖2描述的是SDN交換機(jī)和控制器之間的反饋和控制，通過“狀態(tài)上報/指令下達(dá)”和“分析/控制”功能實現(xiàn)：SDN 交換機(jī)將信息流狀態(tài)向控制器上報，控制器將該狀態(tài)繼續(xù)上報到上層安全應(yīng)用，安全應(yīng)用根據(jù)現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)和安全規(guī)則確定是否根據(jù)此狀態(tài)更新流表，若x更新，則通過控制器向SDN交換機(jī)發(fā)出控制指令。在SDN網(wǎng)絡(luò)中，傳輸?shù)臄?shù)據(jù)以信息流的方式在基礎(chǔ)網(wǎng)絡(luò)層中傳遞，信息流的傳輸由SDN交換機(jī)的流表控制，流表的制定則由控制層實現(xiàn)，從而實現(xiàn)了整個網(wǎng)絡(luò)邏輯結(jié)構(gòu)的確定（圖3）。

圖3 基于信息流控制的SDN網(wǎng)絡(luò)邏輯結(jié)構(gòu)

3.2 使用SDN結(jié)構(gòu)提升內(nèi)網(wǎng)安全性

基于SDN的網(wǎng)絡(luò)結(jié)構(gòu)控制可以使得簡單網(wǎng)絡(luò)結(jié)構(gòu)形成一個特定的、符合安全需要的邏輯結(jié)構(gòu)，這種結(jié)構(gòu)可以有效提高網(wǎng)絡(luò)的安全性和可控性，主要體現(xiàn)在以下兩個方面。

（1）阻斷隔絕

阻斷隔絕是指對網(wǎng)絡(luò)中的異常數(shù)據(jù)流向進(jìn)行阻斷。具體觸發(fā)實例為：用戶對網(wǎng)絡(luò)某節(jié)點發(fā)起一個現(xiàn)行安全規(guī)則之外的訪問，當(dāng)信息流進(jìn)入SDN交換機(jī)時，交換機(jī)會將該信息流的狀態(tài)上報SDN控制器，控制器將該狀態(tài)上報給應(yīng)用層的安全應(yīng)用進(jìn)行分析。安全應(yīng)用分析該信息流的狀態(tài)，如果發(fā)現(xiàn)其違背安全規(guī)則，則通過控制器下發(fā)阻斷策略到SDN交換機(jī)，交換機(jī)根據(jù)該策略對交換機(jī)流表進(jìn)行更新，從而阻斷該用戶對某節(jié)點的數(shù)據(jù)訪問。

（2）未知緩沖

未知緩沖是指在SDN網(wǎng)絡(luò)中，在控制器對數(shù)據(jù)流安全性無從判斷的情況下，將數(shù)據(jù)流導(dǎo)入緩沖區(qū)的一種策略。觸發(fā)未知緩沖過程的條件和阻斷隔絕類似，當(dāng)上層安全應(yīng)用收到控制器對異常數(shù)據(jù)流的判定請求后，由于暫時無法判定數(shù)據(jù)流的合法性，安全應(yīng)用對控制器下發(fā)未知緩沖策略，控制器根據(jù)該策略更新交換機(jī)的流表，使得異常數(shù)據(jù)流進(jìn)入緩沖區(qū)域。上層安全應(yīng)用在此期間繼續(xù)分析數(shù)據(jù)流的安全性，必要時可人工干預(yù)，最終判定該數(shù)據(jù)流的安全性。

4 結(jié)語

傳統(tǒng)企業(yè)內(nèi)網(wǎng)的架構(gòu)一般都是一種“扁平化”的簡單網(wǎng)絡(luò)結(jié)構(gòu)，即便實現(xiàn)了VLAN劃分，網(wǎng)絡(luò)節(jié)點之間的通信也仍然處于一種不可控、不可管的狀態(tài)，為病毒和木馬的傳播提供了溫床。本文基于軟件定義網(wǎng)絡(luò)的架構(gòu)和特點，提出了一種基于SDN的新型企業(yè)內(nèi)網(wǎng)架構(gòu)。這種架構(gòu)的優(yōu)勢在于突破了傳統(tǒng)企業(yè)內(nèi)網(wǎng)“扁平化”的簡單結(jié)構(gòu)，使得部門與部門之間、節(jié)點與節(jié)點之間的網(wǎng)絡(luò)通信都通過SDN的控制層統(tǒng)一管理，提高了企業(yè)內(nèi)網(wǎng)的安全性，為部署新一代的信息系統(tǒng)提供了環(huán)境支撐和安全保障。