基于軟件定義網絡的技術與安全體系探索

◆安進朝

基于軟件定義網絡的技術與安全體系探索

◆安進朝

（河北遠東通信系統(tǒng)工程有限公司 河北 050200）

軟件定義網絡為一種全新的網絡體系結構，其應用有效彌補了傳統(tǒng)網絡結構過于扁平化、安全防護手段單一的弊端，在提升網絡安全等級、降低運維管理難度方面優(yōu)勢突出。本文介紹軟件定義網絡技術的基本特征，分析基于軟件定義網絡的安全體系構建，并對其在企業(yè)內網中的應用經驗進行總結，以搭建系統(tǒng)化的軟件定義網絡技術體系，為其研究應用提供理論參考。

軟件定義網絡；網絡安全；安全體系構建

軟件定義網絡的概念提出于2006年，最初的SDN指利用軟件進行網絡控制編程，以解決傳統(tǒng)網絡安全體系中云數據中心監(jiān)控及網絡管理邊界定義難度高、網絡邊界模糊等問題。隨著軟件定義網絡技術研究深入，其在開放性、靈活性方面優(yōu)勢進一步突出，但也表現出一定的安全問題。為更好利用軟件定義網絡技術，需要對其特點及安全體系構建做深入分析。

1 軟件定義網絡技術

SDN白皮書中將SDF網絡架構劃分為應用層、控制層和數據轉發(fā)層。其中，應用層包括各項業(yè)務應用；控制層為SDN控制軟件，網絡狀態(tài)維護、數據處理及編排等均在該層進行；數據轉發(fā)層包括各類簡化網絡設備，負責數據采集、處理、傳輸等。

SDN網絡的基本特征有三，一是控制與轉發(fā)相獨立；二是軟件及通用硬件可編程；三是設備資源的虛擬化特征?；谌椈咎卣?，SDN網絡控制的細粒度更高，管理過程更為簡單，有助于網絡創(chuàng)新促進及用戶體驗提升。

2 軟件定義網絡安全體系

2.1 應用層安全威脅及處理措施

應用層內存在大量SDN控制器可編程接口，因開放性較高，可能引發(fā)接口濫用風險?，F有的應用授權機制尚不成熟，若其中漏洞被攻擊者所利用，即可能引發(fā)接口被攻擊、惡意安裝應用等安全問題。另外，策略沖突檢測機制的成熟度也不高，OpenFlow應用程序可能會給出相互影響的流量策略，導致現有安全防護措施失效。

針對以上問題，主要處理措施有二。第一，NICE方案。該方案依照事件處理程序符號執(zhí)行進行模型強制檢查，可快速、準確定位到NOX平臺中未修改控制器程序的狀態(tài)空間。另外，該方案還可自動檢測OpebFlow程序的正確性。VeriCon為驗證系統(tǒng)，主要用于確認控制器程序的準確性，通過一階邏輯及目標網絡范圍內的不變式，可完成FloydHoare-Dijkstra驗證[1]。經實踐，該方案在SDN程序正確性檢驗及錯誤識別上優(yōu)勢突出。第二，Flover方案。Flover通過斷言集驗證流策略，完成模型檢查活動，其采用的YicesSMTsolver以NOX為基礎實現，可檢驗OpenFlow網絡運行安全性，同時提供批處理功能，有效提高控制器響應速度。NetPlumber也為一種策略檢測方案，通過對網絡中變量增減所引發(fā)網絡一致性的變動狀況做實時監(jiān)控。該方案以報頭空間分析為理論基礎，能夠依托于項子圖進行增量計算，進而完成網絡狀態(tài)的迅速驗證。

2.2 控制層安全威脅及處理措施

SDN中安裝集中式軟件控制器，因管理過程的集中性，網絡安全服務部署、訪問控制、網絡配置等均在控制器完成，進而帶來較高的單點失效風險。單點失效風險有四種情況，一是控制器本身可靠性及穩(wěn)定性導致的風險；二是集中控制方式更容易受到AAPT攻擊，一旦被攻擊，即可能導致網絡大面積癱瘓；三是集中性管理導致控制器更易遭受DoS、DDoS等資源耗盡型攻擊；四是因網絡開放性特點而帶來的網絡攻擊、網絡監(jiān)聽等安全風險。另外，因SDN控制器多布置在計算機或通用服務器上，操作系統(tǒng)所面臨的安全風險也會作用于控制器。

以DoS資源耗盡型攻擊的處理為例。該攻擊可通過交換機流量特征分析來識別。FloodGuard為一種輕量級安全框架，其由活動流分析器和數據包遷移兩個模塊構成，安全防護過程中，活動流分析器解析控制器的試運行狀態(tài)，準確識別DoS攻擊所引發(fā)的異常流量，數據包遷移則用以數據包接收和轉移，減少控制器計算資源消耗。當識別到DoS攻擊后，數據包遷移模塊重新向轉發(fā)層定義丟失信息，此時分析器對網絡流量進行監(jiān)控，提取各項異常變量，最終由控制器將這部分變量轉化為正向規(guī)則然后安裝至交換機上。

2.3 數據轉發(fā)層安全威脅及處理措施

轉發(fā)層位于SDN的最底部，由大量相互連通的交換機構成，負責數據包的處理、轉發(fā)等。因交換機為終端用戶訪問網絡的直接窗口，將攻擊鏈接附加至交換機端口即可能對交換機造成安全威脅。具體來講，轉發(fā)層面臨的安全威脅主要是中間人攻擊和DoS攻擊，本文重點對中間人攻擊進行介紹。

2.3.1安全威脅

交換機與控制器間的中間人攻擊為一種最常見的網絡入侵方式，即向源節(jié)點與目標節(jié)點間插入代理節(jié)點，攔截并篡改通信數據，且該過程無法被有效檢測。中間人攻擊可分為DNS欺騙、端口鏡像、會話劫持幾種類型，因直接作用于通信數據，該攻擊方法較為理想，在完成數據包轉發(fā)控制后，入侵者即可對系統(tǒng)做進一步的攻擊。

2.3.2處理措施

現階段針對中間人攻擊最有效的處理方法為，在交換機與控制器之間設置安全通道，引入TLS對二者間數據通信過程進行保護。但因TLS配置難度較大，可直接支持TLS的交換機還非常有限。另外，TLS因無法提供TCP級別保護，該處理方式并不能有效預防TCP級別的攻擊。

有學者提出借助FlowChecker來處理上述問題，FlowChecker可采集全部交換機模型，通過二進制決策圖及模型檢查技術完成全部巫婆配置執(zhí)行端到端快速分析驗證，進而有效找出交換機內部配置措施。另外，FortNOX可提供以角色授權及身份驗證為基礎的安全強化策略，借助創(chuàng)新算法，找出各類規(guī)律沖突[2]。因算法魯棒性較強，即便受到惡意攻擊其功能也可順利發(fā)揮。交換機與控制器中間層則由VeriFlow充當，以對整個網絡的動態(tài)變量進行監(jiān)控，若有新規(guī)則插入，實時開展Mininet實驗。

3 軟件定義網絡具體應用

3.1 案例背景

某大型企業(yè)基于SDN及虛擬化技術構建企業(yè)專網。不同于中小型企業(yè)，大型企業(yè)內網的規(guī)模大、部門結構復雜、管理難度更高，網絡中節(jié)點數可能達到上千個，在網絡管理過程中，必須同時關注網絡運行效率及其安全防護工作。

在網絡性能實現上，該大型企業(yè)近年來業(yè)務發(fā)展增速穩(wěn)定，企業(yè)部門及員工數逐漸增加，網絡數據流體量日益擴張，以往的VLAN技術已很難再滿足要求。因此需要構建一個多層次、多分支的網絡結構系統(tǒng)，以滿足多節(jié)點的信息高效傳輸需求。在網絡安全等級上，企業(yè)內網現有安全防護措施多針對傳統(tǒng)網絡結構而設計，因傳統(tǒng)安全防護措施自身重預防輕控制特點的影響，網絡受到攻擊后因缺少調整機制，會給其正常使用造成較大影響。因此大型企業(yè)內網優(yōu)化設計還需采用拓撲可動態(tài)改變的網絡結構。

3.2 方案設計

基于以上背景，在專網設計中引入SDN技術及虛擬化技術，搭建性能優(yōu)良、安全度更高的網絡架構。具體方案為：利用虛擬化技術整合企業(yè)網絡及各終端的軟硬件資源，形成虛擬化的網絡及硬件資源庫，從高層出發(fā)進行網絡重新規(guī)劃，確保各項資源均得到合理利用。SDN技術的融入徹底打破了傳統(tǒng)網絡結構，將數據轉發(fā)層與控制層相互獨立，并通過集中控制模式，順利完成網絡拓撲結構改變。

重新設計后的專網具備如下優(yōu)勢：第一，SDN技術的融入大大提高了專網的安全等級。新架構中，控制層負責網絡狀態(tài)管控工作，可依照基礎層信息動態(tài)規(guī)劃網絡資源，同時通過網絡狀態(tài)的實時監(jiān)控，實現拓撲結構的靈活調整。例如，當某路徑發(fā)生擁堵后，可將該路徑切斷，重新規(guī)劃最優(yōu)路徑并給出相應的拓撲結構。若某節(jié)點突發(fā)異常，也可將其隔離，故障排除后再重新加入。第二，虛擬化技術的融入實現了網絡軟硬件資源的有效整合和合理分層。新架構中的網絡資源由各類網絡設備構成，企業(yè)原有網絡中，支持OpenFlow的交換機設備均予以保留。網絡控制層則由運行SDN控制功能的服務器構成，向企業(yè)各部門、崗位提供相應的服務功能，并實現使用者與物理網絡間的有效銜接。

3.3 安全體系

考慮到SDN技術在安全方面的特殊性，在企業(yè)專網設計的同時進行SDN安全體系構建，以保證SDN技術優(yōu)勢充分發(fā)揮。

3.3.1安全檢測

安全檢測模塊對網絡中的DDoS攻擊、P2P僵尸網絡、蠕蟲等進行異常檢測，該模塊的作用重點為安全風險檢測，在發(fā)掘安全風險的同時，可進行風險類型識別和判斷[3]。

3.3.2DDoS檢測

該檢測模塊主要利用了SDN集中控制的特點，以流表統(tǒng)計法完成攻擊數據采集，并借助靜態(tài)流表實現對DDoS攻擊的迅速響應。

3.3.3網絡監(jiān)控

網絡監(jiān)控模塊的監(jiān)控內容主要為網絡延時、利用率、吞吐量、安全應用開發(fā)、協(xié)議分析等，由控制器進行網絡行為分析，若發(fā)現異常行為第一時間給出報警提示并將異常點隔離。而在應用層，需嚴格制定安全服務準則，準確判斷來自控制器的接口、服務、應用的安全等級，及時找出異常應用并將其納入SDN非合法應用列表當中。同時，借助可編程接口負責已有安全風險的控制和排除工作，以強化控制器的安全防護等級。

3.3.4 IDS/IPS

利用IDS靈活劃定網絡范圍，并依照虛擬機遷移情況對調整方案做動態(tài)化調整。另外還可安裝靜態(tài)流表提高響應速度。

4 結論

軟件定義網絡技術優(yōu)勢突出，受自身屬性的影響，其在運行過程中網絡安全風險的發(fā)生也具備一定特殊性。從網絡架構應用層、控制層和數據轉發(fā)層同時出發(fā)，分別制定相應的安全防護措施，以在發(fā)揮軟件定義網絡技術優(yōu)勢的同時，確保網絡安全等級達標。

[1]李冬，魯喻，于俊清.軟件定義網絡中源地址驗證綁定表安全[J].浙江大學學報（工學版），2020（8）：1-7.

[2]王世玲，張江，謝敬銳，劉星程，丁偉峻.基于軟件定義網絡的大型企業(yè)安全內網設計[J].網絡安全技術與應用，2020（07）：18-19.

[3]劉昶.網絡的新標準——軟件定義網絡[J].中國有線電視，2020（07）：800-801.