軟件定義網(wǎng)絡(luò)(SDN)技術(shù)將網(wǎng)絡(luò)控制轉(zhuǎn)移到專用SDN控制器上，由它負責(zé)管理和控制虛擬網(wǎng)絡(luò)和物理網(wǎng)絡(luò)的所有功能。由于SDN安全策略實現(xiàn)了這種隔離和控制，所以它支持更深層次的數(shù)據(jù)包分析、網(wǎng)絡(luò)監(jiān)控和流量控制，對于防御網(wǎng)絡(luò)攻擊有很大幫助。

軟件定義監(jiān)控的興起

最近，微軟宣布了它在內(nèi)部使用了一種自行開發(fā)且基于OpenFlow的網(wǎng)絡(luò)分流聚合平臺(稱為分布式以太網(wǎng)監(jiān)控，DEMON)。這個工具可用于處理微軟云網(wǎng)絡(luò)的大規(guī)模流量。以前，其內(nèi)部的成千上萬個連接與網(wǎng)絡(luò)流已經(jīng)超出了傳統(tǒng)分流與捕捉機制(如SPAN或端口鏡像)的處理能力。

通過使用可編程的靈活交換機和其他網(wǎng)絡(luò)設(shè)備，讓它們作為數(shù)據(jù)包攔截和重定向平臺，安全團隊就可以檢測和防御目前的各種常見攻擊。許多行業(yè)將SDN驅(qū)動的安全分析技術(shù)稱為軟件定義監(jiān)控(SDM)。在SDM中，SDN交換機作為數(shù)據(jù)包分析設(shè)備，而控制器則作為監(jiān)控和分析設(shè)備。

使用SDN監(jiān)控安全性和分析數(shù)據(jù)包

首先，來自IBM、Juniper、惠普和Arista Networks等供應(yīng)商的相對較便宜的消費類可編程SDN交換機，可用于取代較昂貴的數(shù)據(jù)包分析設(shè)備。與微軟的用例類似，大量的個人連接和數(shù)據(jù)流聚合到一起發(fā)送到多個安全數(shù)據(jù)包捕捉與分析平臺。第一層交換機可用于捕捉和轉(zhuǎn)發(fā)數(shù)據(jù)包，然后第二層(或者第三層)設(shè)備終止第一層的監(jiān)控端口。此外，這些交換機還可以聚集流量，將數(shù)據(jù)流和統(tǒng)計數(shù)據(jù)發(fā)送到其他監(jiān)控設(shè)備和平臺。

兼容OpenFlow(最好也兼容sFlow)的SDK控制器可用于編程實現(xiàn)和管理多種兼容SDN的交換機，如Big Switch控制器。同時，安全監(jiān)控堆疊軟件產(chǎn)品(Big Switch的Big Tap)可以幫助工程師編程實現(xiàn)更加細粒度的過濾和端口分配功能，從而在SDN交換機上模擬出傳統(tǒng)分流功能。

在這種環(huán)境中，多個層次的數(shù)據(jù)包分析工具可以從SDM端口接收流量。SDM端口可以連接各種硬件工具，如數(shù)據(jù)包分析設(shè)備和網(wǎng)絡(luò)偵測設(shè)備，也可以連接基于軟件的協(xié)議分析器，如Wireshark。

SDN安全策略如何防御網(wǎng)絡(luò)攻擊

SDN可以為最復(fù)雜的環(huán)境提供更高級的網(wǎng)絡(luò)監(jiān)控功能。因此，控制器和交換機就能夠分辨各種數(shù)據(jù)包屬性。例如，這樣就可以自動阻擋或卸載拒絕服務(wù)(DoS)攻擊。實際上，SDN可以防御許多攻擊：

1.淹沒攻擊，如SYN洪水攻擊：這些攻擊包含大量只設(shè)置了SYN標(biāo)記的TCP數(shù)據(jù)包。它們會占用帶寬，也會填滿目標(biāo)系統(tǒng)的連接隊列?；赟DN開發(fā)的交換機可以作為第一道防御線，分辨特定模式和設(shè)定一段特定時間內(nèi)來自一個或多個來源的數(shù)據(jù)包容量臨界值。然后，這些交換機可以選擇丟棄數(shù)據(jù)包，或者使用其他技術(shù)和協(xié)議將它重定向到其他目標(biāo)。大多數(shù)路由器和其他網(wǎng)絡(luò)平臺都沒有這樣細致的控制機制。

2.針對特定應(yīng)用與服務(wù)的攻擊：這些攻擊只針對帶有非常特殊HTTP請求序列的Web服務(wù)(使用帶有特殊Cookie變量等信息的用戶代理字符串)。SDN設(shè)備可以分辨、記錄和拋棄這些請求。

3.針對協(xié)議行為的DDoS攻擊：這些攻擊會填滿設(shè)備的狀態(tài)表，但是SDN設(shè)備可以根據(jù)流順序和連接限制分辨這些行為。

除此之外，SDN可以模擬許多基礎(chǔ)的防火墻功能?？刂破骺梢詧?zhí)行腳本和命令，快速更新MAC、IP地址及端口過濾方式，因此可以快速響應(yīng)和更新流量的策略與規(guī)則。另外，它可以解放其他網(wǎng)絡(luò)設(shè)備，使它們不需要處理大量的流量。

前面只介紹了最基本的SDN安全功能。由于能夠處理更多的流量，也能夠處理特定的數(shù)據(jù)包屬性，所以網(wǎng)絡(luò)安全分析能夠?qū)崿F(xiàn)的安全功能不只有基本數(shù)據(jù)包過濾和DDoS檢測。而且，它也很可能能夠處理更加高級的入侵檢測和意外響應(yīng)。