《基于SDN的一些安全误区详细分析和解答.docx》由会员分享,可在线阅读,更多相关《基于SDN的一些安全误区详细分析和解答.docx(2页珍藏版)》请在第一文库网上搜索。
1、基于SDN的一些安全误区详细分析和解答软件定义网络(SoftwareDefined-Networking,SDN)通过控制和数据平面的分离,童而网络工作的机制,提高了就各运维羸率。Garn拄r认为,SDN整体技术会在5-10年落地,而一度曾是SDN唯一标准的OPenFIow协议将会在2-5年左右落地。近年来,业界大家谈网络就会提到SDN,不管是褒或是贬,不可否认的结果是SDN技术已经从概念走向一个个实践案例。当云it算刚开始的时候一样,人们对有很多疑问,如客户对云计算系统的数据隐私顾虑,虚拟化性能的约束,诸如此类。SDN概念被提出后,业界也同样出现了很多讨论,不可避免的出现了一些观点。本文就安
2、全维度做一些解释,希望读者不会走入误区。误区1:SDN对网络做了一次天翻地覆的革命,我们的传统安全设备和安全解决方案无法部署了。当客户问售前或销售同事:“我们部署了SDN环境,你们有没有相应的安全防护方案”同事心想:我对SDN不了解,只知道SDN跟传统组网技术完全不同,所有的路由协议都变了。那我们的安全方案,特别是安全设备的部署和工作模式,是与网络紧密相关的,所以估计就不能正常工作吧。其实了解SDN的建原理后,那我们就不会有此疑问了。SDN虽然改变了网络架构,将控制平面上移,接管了以往分布在各处网络设备上的路由协议,取而代之的是集中的拓扑、路由和转发控制,但网络设备的数据包处理对外表现并没有特
3、别的变化。例如原来一个TCP数据包,从交换机某个端口进入,再从另一个端口输出,这个数据包的头部和载荷都没有变化。安全设备作为中间设备(midd1ebox)或端点设备连接到网络设备,接收和发送的还是一样的TCP数据包,所以内部的处理引擎不必有什么特殊的改动,这跟普通服务器连接到SDN网络中不需要做什么改动一个道理。也就是说,一般情况下,普通安全设备理论上可以直接部署到SDN网络中,与传统网络没有区别。SDN控制器图1数据包经过安全设备本身没有发生变化当然需要看到的是有一些SDN控制匿只支持路由,而不支持二层交换,这种模式下对工作在二层的IDS、IPS等设备带来了挑战。不过一种可行的办法是在这些设
4、备前面部署一个支持隧道的交换机(如OPenVSWitCh),通过GRE隧道可以通过IP实现与对端连接,这样SDN控制器可以将数据传输到交换机的隧道端口,交换机将数据包的隧道头解掉后,转发给安全设备,这样就实现了二层设备“支持”隧道的功能。耳Qg图2在只提供路由的SDN控制器下,可加一个带隧道的网络设备做代理从本质上看,SDN从功能上并没有做出革命性的改变,只是实现了自动化和高效率,理解了这一点,就应明白安全设备部署到SDN网络是完全可信的。误区2:既然SDN只是针对网络的革命,跟安全没什么太大的关系,安全匚商不需要关心。我们在解释了误区1时提到,SDN是网络世界的革命,不会对安全设备和安全解决
5、方案的部署造成太大的困扰,那有同学就会下一个结论,就是双方互不相扰,我也不用关心SDN技术的细节。这个误区有两点需要阐明:(1) SDN本身有安全问题,SDN应用和SDN控制器的可用性、实现方式,南北向协议的安全性等,都可能有安全隐患,所以保护SDN体系各组件就是安全机制所需要考虑的问题。这是一个很大的话题了,后续可以继续展开讲。(2) SDN对网络流量灵活的操作,SDN控制器具有全局网络的视图,这些对安全管理和控制系统,都是非常大的利好。如果能借助SDN对整体网络的实时、全局洞察力和控制力,安全应用就能很灵活的部署和调度安全资源,结合软件定义安全架构,就能建立非常强大的安全运营能力和应急响应机制。比如在流量可视化方面,可以借助XFIOW实现基于流量的异常检遮,可适用于DDoS攻击的检测和企业内网APT攻击的发现。在流量调度方面,可借助快速调整路由和转发规则的能力,实现多个安全设备按需防护的服务链,异常流量的清洗;借助细粒度流控制能力,实现多个安全设备灵活堆叠的负载均衡方案;借助网络设备天然的数据转发平面,实现2-4层的访问控制,诸如此类。
免费区 
