前言:寻找写作灵感?中文期刊网用心挑选的软件定义网络技术与安全体系新探,希望能为您的阅读和创作带来灵感,欢迎大家阅读并分享。
摘要:软件定义网络为一种全新的网络体系结构,其应用有效弥补了传统网络结构过于扁平化、安全防护手段单一的弊端,在提升网络安全等级、降低运维管理难度方面优势突出。本文介绍软件定义网络技术的基本特征,分析基于软件定义网络的安全体系构建,并对其在企业内网中的应用经验进行总结,以搭建系统化的软件定义网络技术体系,为其研究应用提供理论参考。
关键词:软件定义网络;网络安全;安全体系构建
软件定义网络的概念提出于2006年,最初的SDN指利用软件进行网络控制编程,以解决传统网络安全体系中云数据中心监控及网络管理边界定义难度高、网络边界模糊等问题。随着软件定义网络技术研究深入,其在开放性、灵活性方面优势进一步突出,但也表现出一定的安全问题。为更好利用软件定义网络技术,需要对其特点及安全体系构建做深入分析。
1软件定义网络技术
SDN白皮书中将SDF网络架构划分为应用层、控制层和数据转发层。其中,应用层包括各项业务应用;控制层为SDN控制软件,网络状态维护、数据处理及编排等均在该层进行;数据转发层包括各类简化网络设备,负责数据采集、处理、传输等。SDN网络的基本特征有三,一是控制与转发相独立;二是软件及通用硬件可编程;三是设备资源的虚拟化特征。基于三项基本特征,SDN网络控制的细粒度更高,管理过程更为简单,有助于网络创新促进及用户体验提升。
2软件定义网络安全体系
2.1应用层安全威胁及处理措施。应用层内存在大量SDN控制器可编程接口,因开放性较高,可能引发接口滥用风险。现有的应用授权机制尚不成熟,若其中漏洞被攻击者所利用,即可能引发接口被攻击、恶意安装应用等安全问题。另外,策略冲突检测机制的成熟度也不高,OpenFlow应用程序可能会给出相互影响的流量策略,导致现有安全防护措施失效。针对以上问题,主要处理措施有二。第一,NICE方案。该方案依照事件处理程序符号执行进行模型强制检查,可快速、准确定位到NOX平台中未修改控制器程序的状态空间。另外,该方案还可自动检测OpebFlow程序的正确性。VeriCon为验证系统,主要用于确认控制器程序的准确性,通过一阶逻辑及目标网络范围内的不变式,可完成FloydHoare-Dijkstra验证[1]。经实践,该方案在SDN程序正确性检验及错误识别上优势突出。第二,Flover方案。Flover通过断言集验证流策略,完成模型检查活动,其采用的YicesSMTsolver以NOX为基础实现,可检验OpenFlow网络运行安全性,同时提供批处理功能,有效提高控制器响应速度。NetPlumber也为一种策略检测方案,通过对网络中变量增减所引发网络一致性的变动状况做实时监控。该方案以报头空间分析为理论基础,能够依托于项子图进行增量计算,进而完成网络状态的迅速验证。
2.2控制层安全威胁及处理措施。服务部署、访问控制、网络配置等均在控制器完成,进而带来较高的单点失效风险。单点失效风险有四种情况,一是控制器本身可靠性及稳定性导致的风险;二是集中控制方式更容易受到AAPT攻击,一旦被攻击,即可能导致网络大面积瘫痪;三是集中性管理导致控制器更易遭受DoS、DDoS等资源耗尽型攻击;四是因网络开放性特点而带来的网络攻击、网络监听等安全风险。另外,因SDN控制器多布置在计算机或通用服务器上,操作系统所面临的安全风险也会作用于控制器。以DoS资源耗尽型攻击的处理为例。该攻击可通过交换机流量特征分析来识别。FloodGuard为一种轻量级安全框架,其由活动流分析器和数据包迁移两个模块构成,安全防护过程中,活动流分析器解析控制器的试运行状态,准确识别DoS攻击所引发的异常流量,数据包迁移则用以数据包接收和转移,减少控制器计算资源消耗。当识别到DoS攻击后,数据包迁移模块重新向转发层定义丢失信息,此时分析器对网络流量进行监控,提取各项异常变量,最终由控制器将这部分变量转化为正向规则然后安装至交换机上。
2.3数据转发层安全威胁及处理措施。转发层位于SDN的最底部,由大量相互连通的交换机构成,负责数据包的处理、转发等。因交换机为终端用户访问网络的直接窗口,将攻击链接附加至交换机端口即可能对交换机造成安全威胁。具体来讲,转发层面临的安全威胁主要是中间人攻击和DoS攻击,本文重点对中间人攻击进行介绍。2.3.1安全威胁。交换机与控制器间的中间人攻击为一种最常见的网络入侵方式,即向源节点与目标节点间插入节点,拦截并篡改通信数据,且该过程无法被有效检测。中间人攻击可分为DNS欺骗、端口镜像、会话劫持几种类型,因直接作用于通信数据,该攻击方法较为理想,在完成数据包转发控制后,入侵者即可对系统做进一步的攻击。2.3.2处理措施。现阶段针对中间人攻击最有效的处理方法为,在交换机与控制器之间设置安全通道,引入TLS对二者间数据通信过程进行保护。但因TLS配置难度较大,可直接支持TLS的交换机还非常有限。另外,TLS因无法提供TCP级别保护,该处理方式并不能有效预防TCP级别的攻击。有学者提出借助FlowChecker来处理上述问题,FlowChecker可采集全部交换机模型,通过二进制决策图及模型检查技术完成全部巫婆配置执行端到端快速分析验证,进而有效找出交换机内部配置措施。另外,FortNOX可提供以角色授权及身份验证为基础的安全强化策略,借助创新算法,找出各类规律冲突[2]。因算法鲁棒性较强,即便受到恶意攻击其功能也可顺利发挥。交换机与控制器中间层则由VeriFlow充当,以对整个网络的动态变量进行监控,若有新规则插入,实时开展Mininet实验。
3软件定义网络具体应用
3.1案例背景。某大型企业基于SDN及虚拟化技术构建企业专网。不同于中小型企业,大型企业内网的规模大、部门结构复杂、管理难度更高,网络中节点数可能达到上千个,在网络管理过程中,必须同时关注网络运行效率及其安全防护工作。在网络性能实现上,该大型企业近年来业务发展增速稳定,企业部门及员工数逐渐增加,网络数据流体量日益扩张,以往的VLAN技术已很难再满足要求。因此需要构建一个多层次、多分支的网络结构系统,以满足多节点的信息高效传输需求。在网络安全等级上,企业内网现有安全防护措施多针对传统网络结构而设计,因传统安全防护措施自身重预防轻控制特点的影响,网络受到攻击后因缺少调整机制,会给其正常使用造成较大影响。因此大型企业内网优化设计还需采用拓扑可动态改变的网络结构。
3.2方案设计。基于以上背景,在专网设计中引入SDN技术及虚拟化技术,搭建性能优良、安全度更高的网络架构。具体方案为:利用虚拟化技术整合企业网络及各终端的软硬件资源,形成虚拟化的网络及硬件资源库,从高层出发进行网络重新规划,确保各项资源均得到合理利用。SDN技术的融入彻底打破了传统网络结构,将数据转发层与控制层相互独立,并通过集中控制模式,顺利完成网络拓扑结构改变。重新设计后的专网具备如下优势:第一,SDN技术的融入大大提高了专网的安全等级。新架构中,控制层负责网络状态管控工作,可依照基础层信息动态规划网络资源,同时通过网络状态的实时监控,实现拓扑结构的灵活调整。例如,当某路径发生拥堵后,可将该路径切断,重新规划最优路径并给出相应的拓扑结构。若某节点突发异常,也可将其隔离,故障排除后再重新加入。第二,虚拟化技术的融入实现了网络软硬件资源的有效整合和合理分层。新架构中的网络资源由各类网络设备构成,企业原有网络中,支持OpenFlow的交换机设备均予以保留。网络控制层则由运行SDN控制功能的服务器构成,向企业各部门、岗位提供相应的服务功能,并实现使用者与物理网络间的有效衔接。
3.3安全体系。考虑到SDN技术在安全方面的特殊性,在企业专网设计的同时进行SDN安全体系构建,以保证SDN技术优势充分发挥。3.3.1安全检测安全检测模块对网络中的DDoS攻击、P2P僵尸网络、蠕虫等进行异常检测,该模块的作用重点为安全风险检测,在发掘安全风险的同时,可进行风险类型识别和判断[3]。3.3.2DDoS检测该检测模块主要利用了SDN集中控制的特点,以流表统计法完成攻击数据采集,并借助静态流表实现对DDoS攻击的迅速响应。3.3.3网络监控网络监控模块的监控内容主要为网络延时、利用率、吞吐量、安全应用开发、协议分析等,由控制器进行网络行为分析,若发现异常行为第一时间给出报警提示并将异常点隔离。而在应用层,需严格制定安全服务准则,准确判断来自控制器的接口、服务、应用的安全等级,及时找出异常应用并将其纳入SDN非合法应用列表当中。同时,借助可编程接口负责已有安全风险的控制和排除工作,以强化控制器的安全防护等级。3.3.4IDS/IPS利用IDS灵活划定网络范围,并依照虚拟机迁移情况对调整方案做动态化调整。另外还可安装静态流表提高响应速度。
4结论
软件定义网络技术优势突出,受自身属性的影响,其在运行过程中网络安全风险的发生也具备一定特殊性。从网络架构应用层、控制层和数据转发层同时出发,分别制定相应的安全防护措施,以在发挥软件定义网络技术优势的同时,确保网络安全等级达标。
参考文献:
[1]李冬,鲁喻,于俊清.软件定义网络中源地址验证绑定表安全[J].浙江大学学报(工学版),2020(8):1-7.
[2]王世玲,张江,谢敬锐,刘星程,丁伟峻.基于软件定义网络的大型企业安全内网设计[J].网络安全技术与应用,2020(07):18-19.
[3]刘昶.网络的新标准——软件定义网络[J].中国有线电视,2020(07):800-801.
作者:安进朝 单位:河北远东通信系统工程有限公司
