集中控制和大范圍自動(dòng)化將是軟件定義網(wǎng)絡(luò)的核心功能——最終實(shí)現(xiàn)適應(yīng)性自動(dòng)化網(wǎng)絡(luò)安全。這個(gè)愿景正開始變成現(xiàn)實(shí)。由SDN實(shí)現(xiàn)的集中控制最終將帶來安全定義路由及其他SDN安全策略，它們可能徹底改變我們定義網(wǎng)絡(luò)及其應(yīng)用或數(shù)據(jù)的方式。

什么是安全定義路由?

德克薩斯州A&M博士生Seungwon Shin的科研工作是分析SDN將如何改變網(wǎng)絡(luò)安全性。Shin在大學(xué)期間發(fā)表了兩篇關(guān)于SDN網(wǎng)絡(luò)安全策略的文章。第一篇是“CloudWatcher：在動(dòng)態(tài)云網(wǎng)絡(luò)中使用OpenFlow實(shí)現(xiàn)網(wǎng)絡(luò)安全監(jiān)控”，介紹了一種在云環(huán)境中使用SDN控制平臺(如NOX和Beacon——最初由斯坦福大學(xué)開發(fā)的OpenFlow SDN控制器)執(zhí)行安全監(jiān)控的方法。

Shin 與其博士生同學(xué)Guofei Gu一起設(shè)計(jì)了一種新的策略語言，它可用于識別網(wǎng)絡(luò)設(shè)備及其特殊的監(jiān)控功能集。通過使用這種語言，控制器就可以直接監(jiān)控指定設(shè)備之間的流量。它們還可以自動(dòng)將云環(huán)境中的虛擬機(jī)遷移流量及其他動(dòng)態(tài)事件的流量轉(zhuǎn)發(fā)到其他網(wǎng)絡(luò)位置。這意味著它們可以將流量傳輸?shù)饺肭址烙到y(tǒng)(IDS)，允許安全團(tuán)隊(duì)根據(jù)需要監(jiān)控超動(dòng)態(tài)環(huán)境的事件。在這種模型中，Shin和Gu實(shí)際上設(shè)計(jì)了安全定義路由與流量控制的基礎(chǔ)——即使仍然使用傳統(tǒng)網(wǎng)絡(luò)安全控制。

OpenFlow控制的SDN安全應(yīng)用

在 Shin的第二篇論文“FRESCO：模塊化可組合的軟件定義網(wǎng)絡(luò)安全服務(wù)”中，Shin與同學(xué)們一起探討了SDN(特別是OpenFlow)所缺少的決定性安全應(yīng)用，并且提出一個(gè)面向SDN安全用例的新開發(fā)框架FRESCO。這個(gè)框架的腳本功能允許安全人員創(chuàng)建新的模塊化庫，整合和擴(kuò)展安全功能，從而使用OpenFlow控制器和硬件進(jìn)行控制和管理流量。FRESCO包括16個(gè)模塊，其中每一個(gè)都有5個(gè)接口：輸入、輸出、事件、參數(shù)和操作。通過將這些值分配給這些接口，就可以實(shí)現(xiàn)許多通用網(wǎng)絡(luò)安全平臺和功能，從而替代防火墻、IDS和流量管理工具。

SDN和自動(dòng)化網(wǎng)絡(luò)安全的實(shí)踐應(yīng)用

雖然這些概念仍然在學(xué)術(shù)研究階段，但是供應(yīng)商和標(biāo)準(zhǔn)組織已經(jīng)有許多實(shí)現(xiàn)基于SDN安全策略的實(shí)際例子。例如，sflow.com網(wǎng)站上有一篇博客 “sFlow Packet Broker”，它介紹了一個(gè)簡單的Python腳本，它可以將inMon的Flow-RT控制器應(yīng)用配置為監(jiān)控所有流量，專門查找通向TCP端口 22(SSH)的通用路由封裝(Generic Route Encapsulation)通道的流量。一旦檢測有問題的流量，它就會(huì)生成一個(gè)警報(bào)，從而觸發(fā)分析捕捉到的數(shù)據(jù)包。這些警報(bào)還會(huì)產(chǎn)生更多高級響應(yīng)，如用于流量控制的防火墻集成API、開放或關(guān)閉的端口、將流量移到其他網(wǎng)段或VLAN，等等。

同時(shí)，虛擬防火墻也已經(jīng)可以使用開放API將安全功能整合到網(wǎng)絡(luò)中。Netuitive公司產(chǎn)品管理主管Richard Park寫過一篇博客，其中他介紹了如何在Perl代碼中使用一個(gè)RESTful API查詢和更新VMware vShield的防火墻規(guī)則， 而這只是冰山之一角。在出現(xiàn)新的SDN工具和編制平臺之后，大多數(shù)網(wǎng)絡(luò)安全檢測和響應(yīng)功能很快都變得越來越自動(dòng)化，支持更加快速的意外處理，而且在攻擊發(fā)生時(shí)發(fā)揮像“輔助呼吸室”一樣的作用。

隨著越來越多像FRESCO這樣的工具出現(xiàn)，網(wǎng)絡(luò)和虛擬化供應(yīng)商推出了面向自動(dòng)化和編制的新型API，而且對于一些協(xié)議(如OpenFlow)和標(biāo)準(zhǔn)(如sFlow)的支持也越來越好，我們將最終看到更好地集成到網(wǎng)絡(luò)中的適應(yīng)性安全產(chǎn)品。