SDN网络安全浅析

刘滨

摘  要：软件定义网络（software-defined networking，简称SDN）把传统网络的控制层和数据层分离，提出了崭新的网络架构，为下一代网络的发展提出了方向.本文论述SDN网络的基本原理，重点探讨SDN网络的安全及实现，为进一步研究做好准备。

关键词：SDN;网络安全;南向接口

Abstract Software defined Networking（SDN）separates the control layer and data layer of the traditional network，puts forward a brand-new network architecture，and puts forward the direction for the development of the next generation network. This paper discusses the basic principle of SDN network，focuses on the security and implementation of SDN network，and prepares for further research.

Key words：SDN;network security;Southbound interface

引 言

传统网络安全在实现中，为了应对应用层的攻击，一般会部署VPN设备、IDS系统、DDOS检测系统对网络边界进行检查。另外也用防火墙来实现基于包的过滤和状态监控。但是这些实现方式降低了网络业务的灵活性，同时增加了网络部署的难度，不利于網络安全系统的升级和更新。

1.传统网络安全的实现

1.1传统网络安全多采用冗余模式实现网络安全，通过部署大量安全设备实现对网络的安全保护。一般的方式是采用防火墙在第三层实现旁路，达到冗余引流，再对数据分组进行过滤。对于上网行为的管理，则采用代理的方式进行，主要实现HTTP/HTTPS 的重定向，或采用第二层透明模式对 WEB 报文进行过滤。而IPS/IDS等方式则采用流量镜像模式，把冗余旁路部署在网络边缘链路。这些类型的安全设备部署和配置较为复杂，需要专业人员操作和管理，这些都增加了网络的复杂性。

1.2网络本身具有的冗余性和稳定性，在进行安全设备部署时也需要考虑。网络全设备种类多，功能不同，从设备自身的可靠性提出了很高的要求。实现防火墙串联，主从设备冗余切换时，可以依靠协议的鲁棒性来保障。但厂家在实现时采用却是各自的私有协议，这增加了网络的复杂性以及后期运维的难度。

2.SDN架构介绍

2.1 SDN网络设备（Network Devices）

首先对SDN架构的网络设备进行定义，这里的网络设备可以被抽象成转发面（Forwarding Plane），它可以用虚拟交换机来实现。

为了配置位于交换机内的转发表项，网络设备通过南向接口Southbound Interface接收Controller发过来的指令，同时通过南向接口将事件传送给Controller。

2.2 SND南向接口（Southbound Interface）

SDN的南向接口，是控制面和数据转发面之间的接口，南向接口设计为标准化接口，这样才能使软件脱离硬件的约束，尽可能地做到按需设计，现在OpenFlow是最具影响力的南向接口标准。

2.3 SDN控制器（Controllers）

在一个SDN网络里，Controller 运行在某台独立服务器上，如一台x86Linux服务器或Windows服务器上。一个Controller可以控制多台独立设备，某一台设备也可以被多个Controller所控制。

2.4 SDN北向接口（Northbound Interface）

在SDN架构中，北向接口指的是控制器和应用程序之间的接口，面向的是数据转发，目前该接口尚未形成统一标准。

2.5 SDN应用服务层（Services）

Services也就是应用层，它为用户提供一些网络服务，例如security（网络安全）、load balancing（负载均衡）等。

3.基于SDN架构的网络安全研究

SDN架构通过南北向接口来实现安全保护和高效的流量控制。北向接口首先完成网络功能和业务的逻辑生成，通过南向接口进行流表的向下转发，从而实现传统网络的数据转发功能。

采用SDN架构来实现网络安全功能的上移，利用 SDN 控制器的相关模块来实现对应的安全功能，完成安全策略的制定和生成，再运行在 Linux 或者x86架构的服务器上。由于每个模块都被集中部署在 SDN 控制器内，可以灵活地按需定制安全功能模块。不难发现SDN架构下的安全实现具有诸多优点：

3.1 实用性高

该架构采用 N-1 冗余，其可用性、可靠性不比传统架构差，且集群式部署 SDN控制器，冗余部署边界路由器都可以很好地实现。

3.2 安全性能高效

通过对比两种系统的实现方式，我们发现采用了SDN架构的网络，运维和部署难度得到了降低，网络结构得到了简化。

3.3 业务开展灵活

借助SDN架构，我们可以利其OpenFlow协议定义不同性质的业务流，并针对该业务流配置相关的安全策略，这些工作只需在 SDN控制器集中上完成，管理相对方便。

3.4 网络易于扩充

如果需要提高处理能力，增加架构安全性能。只需要利用基于IAAS架构云来对安全资源池进行扩充，或采用集群式服务器的部署方式即可。

3.5 系统成本性价比高

利用SDN架构的特点，我们采用安全功能模块和硬件服务器即可，不再需要其它的网络安全设备。相比传统网络安全实现方式，其在建设和运维成本上，SDN架构显示出更高的性价比。

综上所述，SDN架构的网络结构，不论从对现有业务的支持性，功能模块的可部署性，还是网路安全的按需实现性，均要优于现有网络，是值得进行深入研究的技术领域。

参考文献

[1]  薛乐梅.SDN网络安全策略研究[J].数字技术与应用，2018-10

[2]  薄杨，黄存东.软件定义网络SDN新型网络架构研究[J].佳木斯大学学报（自然科学版），2018-3

[3]  王月.软件定义网络安全研究[J].计算机技术与发展，2018-4

[4]  王龙.SDN网络安全的应对策略研究[J].科学技术创新，2019-20