SDN網絡安全淺析獲獎科研報告摘

要：軟件定義網絡（software-definednetworking，簡稱SDN）把傳統網絡的控制層和數據層分離，提出了嶄新的網絡架構，為下一代網絡的發展提出了方向.本文論述SDN網絡的基本原理，重點探討SDN網絡的安全及實現，為進一步研究做好準備。

關鍵詞：SDN;網絡安全;南向接口

Abstract

SoftwaredefinedNetworking（SDN）separatesthecontrollayeranddatalayerofthetraditionalnetwork，putsforwardabrand-newnetworkarchitecture，andputsforwardthedirectionforthedevelopmentofthenextgenerationnetwork.ThispaperdiscussesthebasicprincipleofSDNnetwork，focusesonthesecurityandimplementationofSDNnetwork，andpreparesforfurtherresearch.

Keywords：SDN;networksecurity;Southboundinterface

引言

傳統網絡安全在實現中，為了應對應用層的攻擊，一般會部署VPN設備、IDS系統、DDOS檢測系統對網絡邊界進行檢查。另外也用防火墻來實現基于包的過濾和狀態監控。但是這些實現方式降低了網絡業務的靈活性，同時增加了網絡部署的難度，不利于網絡安全系統的升級和更新。

1.傳統網絡安全的實現

1.1傳統網絡安全多采用冗余模式實現網絡安全，通過部署大量安全設備實現對網絡的安全保護。一般的方式是采用防火墻在第三層實現旁路，達到冗余引流，再對數據分組進行過濾。對于上網行為的管理，則采用代理的方式進行，主要實現HTTP/HTTPS的重定向，或采用第二層透明模式對WEB報文進行過濾。而IPS/IDS等方式則采用流量鏡像模式，把冗余旁路部署在網絡邊緣鏈路。這些類型的安全設備部署和配置較為復雜，需要專業人員操作和管理，這些都增加了網絡的復雜性。

1.2網絡本身具有的冗余性和穩定性，在進行安全設備部署時也需要考慮。網絡全設備種類多，功能不同，從設備自身的可靠性提出了很高的要求。實現防火墻串聯，主從設備冗余切換時，可以依靠協議的魯棒性來保障。但廠家在實現時采用卻是各自的私有協議，這增加了網絡的復雜性以及后期運維的難度。

2.SDN架構介紹

2.1SDN網絡設備（NetworkDevices）

首先對SDN架構的網絡設備進行定義，這里的網絡設備可以被抽象成轉發面（ForwardingPlane），它可以用虛擬交換機來實現。

為了配置位于交換機內的轉發表項，網絡設備通過南向接口SouthboundInterface接收Controller發過來的指令，同時通過南向接口將事件傳送給Controller。

2.2SND南向接口（SouthboundInterface）

SDN的南向接口，是控制面和數據轉發面之間的接口，南向接口設計為標準化接口，這樣才能使軟件脫離硬件的約束，盡可能地做到按需設計，現在OpenFlow是最具影響力的南向接口標準。

2.3SDN控制器（Controllers）

在一個SDN網絡里，Controller運行在某臺獨立服務器上，如一臺x86Linux服務器或Windows服務器上。一個Controller可以控制多臺獨立設備，某一臺設備也可以被多個Controller所控制。

2.4SDN北向接口（NorthboundInterface）

在SDN架構中，北向接口指的是控制器和應用程序之間的接口，面向的是數據轉發，目前該接口尚未形成統一標準。

2.5SDN應用服務層（Services）

Services也就是應用層，它為用戶提供一些網絡服務，例如security（網絡安全）、loadbalancing（負載均衡）等。

3.基于SDN架構的網絡安全研究

SDN架構通過南北向接口來實現安全保護和高效的流量控制。北向接口首先完成網絡功能和業務的邏輯生成，通過南向接口進行流表的向下轉發，從而實現傳統網絡的數據轉發功能。

采用SDN架構來實現網絡安全功能的上移，利用SDN控制器的相關模塊來實現對應的安全功能，完成安全策略的制定和生成，再運行在Linux或者x86架構的服務器上。由于每個模塊都被集中部署在SDN控制器內，可以靈活地按需定制安全功能模塊。不難發現SDN架構下的安全實現具有諸多優點：

3.1實用性高

該架構采用N-1冗余，其可用性、可靠性不比傳統架構差，且集群式部署SDN控制器，冗余部署邊界路由器都可以很好地實現。

3.2安全性能高效

通過對比兩種系統的實現方式，我們發現采用了SDN架構的網絡，運維和部署難度得到了降低，網絡結構得到了簡化。

3.3業務開展靈活

借助SDN架構，我們可以利其OpenFlow協議定義不同性質的業務流，并針對該業務流配置相關的安全策略，這些工作只需在SDN控制器集中上完成，管理相對方便。

3.4網絡易于擴充

如果需要提高處理能力，增加架構安全性能。只需要利用基于IAAS架構云來對安全資源池進行擴充，或采用集群式服務器的部署方式即可。

3.5系統成本性價比高

利用SDN架構的特點，我們采用安全功能模塊和硬件服務器即可，不再需要其它的網絡