SDN网络安全浅析获奖科研报告

SDN网络安全浅析获奖科研报告摘

要：软件定义网络（software-definednetworking，简称SDN）把传统网络的控制层和数据层分离，提出了崭新的网络架构，为下一代网络的发展提出了方向.本文论述SDN网络的基本原理，重点探讨SDN网络的安全及实现，为进一步研究做好准备。

关键词：SDN;网络安全;南向接口

Abstract

SoftwaredefinedNetworking（SDN）separatesthecontrollayeranddatalayerofthetraditionalnetwork，putsforwardabrand-newnetworkarchitecture，andputsforwardthedirectionforthedevelopmentofthenextgenerationnetwork.ThispaperdiscussesthebasicprincipleofSDNnetwork，focusesonthesecurityandimplementationofSDNnetwork，andpreparesforfurtherresearch.

Keywords：SDN;networksecurity;Southboundinterface

引言

传统网络安全在实现中，为了应对应用层的攻击，一般会部署VPN设备、IDS系统、DDOS检测系统对网络边界进行检查。另外也用防火墙来实现基于包的过滤和状态监控。但是这些实现方式降低了网络业务的灵活性，同时增加了网络部署的难度，不利于網络安全系统的升级和更新。

1.传统网络安全的实现

1.1传统网络安全多采用冗余模式实现网络安全，通过部署大量安全设备实现对网络的安全保护。一般的方式是采用防火墙在第三层实现旁路，达到冗余引流，再对数据分组进行过滤。对于上网行为的管理，则采用代理的方式进行，主要实现HTTP/HTTPS的重定向，或采用第二层透明模式对WEB报文进行过滤。而IPS/IDS等方式则采用流量镜像模式，把冗余旁路部署在网络边缘链路。这些类型的安全设备部署和配置较为复杂，需要专业人员操作和管理，这些都增加了网络的复杂性。

1.2网络本身具有的冗余性和稳定性，在进行安全设备部署时也需要考虑。网络全设备种类多，功能不同，从设备自身的可靠性提出了很高的要求。实现防火墙串联，主从设备冗余切换时，可以依靠协议的鲁棒性来保障。但厂家在实现时采用却是各自的私有协议，这增加了网络的复杂性以及后期运维的难度。

2.SDN架构介绍

2.1SDN网络设备（NetworkDevices）

首先对SDN架构的网络设备进行定义，这里的网络设备可以被抽象成转发面（ForwardingPlane），它可以用虚拟交换机来实现。

为了配置位于交换机内的转发表项，网络设备通过南向接口SouthboundInterface接收Controller发过来的指令，同时通过南向接口将事件传送给Controller。

2.2SND南向接口（SouthboundInterface）

SDN的南向接口，是控制面和数据转发面之间的接口，南向接口设计为标准化接口，这样才能使软件脱离硬件的约束，尽可能地做到按需设计，现在OpenFlow是最具影响力的南向接口标准。

2.3SDN控制器（Controllers）

在一个SDN网络里，Controller运行在某台独立服务器上，如一台x86Linux服务器或Windows服务器上。一个Controller可以控制多台独立设备，某一台设备也可以被多个Controller所控制。

2.4SDN北向接口（NorthboundInterface）

在SDN架构中，北向接口指的是控制器和应用程序之间的接口，面向的是数据转发，目前该接口尚未形成统一标准。

2.5SDN应用服务层（Services）

Services也就是应用层，它为用户提供一些网络服务，例如security（网络安全）、loadbalancing（负载均衡）等。

3.基于SDN架构的网络安全研究

SDN架构通过南北向接口来实现安全保护和高效的流量控制。北向接口首先完成网络功能和业务的逻辑生成，通过南向接口进行流表的向下转发，从而实现传统网络的数据转发功能。

采用SDN架构来实现网络安全功能的上移，利用SDN控制器的相关模块来实现对应的安全功能，完成安全策略的制定和生成，再运行在Linux或者x86架构的服务器上。由于每个模块都被集中部署在SDN控制器内，可以灵活地按需定制安全功能模块。不难发现SDN架构下的安全实现具有诸多优点：

3.1实用性高

该架构采用N-1冗余，其可用性、可靠性不比传统架构差，且集群式部署SDN控制器，冗余部署边界路由器都可以很好地实现。

3.2安全性能高效

通过对比两种系统的实现方式，我们发现采用了SDN架构的网络，运维和部署难度得到了降低，网络结构得到了简化。

3.3业务开展灵活

借助SDN架构，我们可以利其OpenFlow协议定义不同性质的业务流，并针对该业务流配置相关的安全策略，这些工作只需在SDN控制器集中上完成，管理相对方便。

3.4网络易于扩充

如果需要提高处理能力，增加架构安全性能。只需要利用基于IAAS架构云来对安全资源池进行扩充，或采用集群式服务器的部署方式即可。

3.5系统成本性价比高

利用SDN架构的特点，我们采用安全功能模块和硬件服务器即可，不再需要其它的网络