軟件定義網(wǎng)絡(luò)(SDN)技術(shù)將網(wǎng)絡(luò)控制轉(zhuǎn)移到專用SDN控制器上，由它負(fù)責(zé)管理和控制虛擬網(wǎng)絡(luò)和物理網(wǎng)絡(luò)的所有功能。由于SDN安全策略實(shí)現(xiàn)了這種隔離和控制，所以它支持更深層次的數(shù)據(jù)包分析、網(wǎng)絡(luò)監(jiān)控和流量控制，對(duì)于防御網(wǎng)絡(luò)攻擊有很大幫助。

軟件定義監(jiān)控的興起

最近，微軟宣布了它在內(nèi)部使用了一種自行開發(fā)且基于OpenFlow的網(wǎng)絡(luò)分流聚合平臺(tái)(稱為分布式以太網(wǎng)監(jiān)控，DEMON)。這個(gè)工具可用于處理微軟云網(wǎng)絡(luò)的大規(guī)模流量。以前，其內(nèi)部的成千上萬(wàn)個(gè)連接與網(wǎng)絡(luò)流已經(jīng)超出了傳統(tǒng)分流與捕捉機(jī)制(如SPAN或端口鏡像)的處理能力。

通過使用可編程的靈活交換機(jī)和其他網(wǎng)絡(luò)設(shè)備，讓它們作為數(shù)據(jù)包攔截和重定向平臺(tái)，安全團(tuán)隊(duì)就可以檢測(cè)和防御目前的各種常見攻擊。許多行業(yè)將SDN驅(qū)動(dòng)的安全分析技術(shù)稱為軟件定義監(jiān)控(SDM)。在SDM中，SDN交換機(jī)作為數(shù)據(jù)包分析設(shè)備，而控制器則作為監(jiān)控和分析設(shè)備。

使用SDN監(jiān)控安全性和分析數(shù)據(jù)包

首先，來(lái)自IBM、Juniper、惠普和Arista Networks等供應(yīng)商的相對(duì)較便宜的消費(fèi)類可編程SDN交換機(jī)，可用于取代較昂貴的數(shù)據(jù)包分析設(shè)備。與微軟的用例類似，大量的個(gè)人連接和數(shù)據(jù)流聚合到一起發(fā)送到多個(gè)安全數(shù)據(jù)包捕捉與分析平臺(tái)。第一層交換機(jī)可用于捕捉和轉(zhuǎn)發(fā)數(shù)據(jù)包，然后第二層(或者第三層)設(shè)備終止第一層的監(jiān)控端口。此外，這些交換機(jī)還可以聚集流量，將數(shù)據(jù)流和統(tǒng)計(jì)數(shù)據(jù)發(fā)送到其他監(jiān)控設(shè)備和平臺(tái)。

兼容OpenFlow(最好也兼容sFlow)的SDK控制器可用于編程實(shí)現(xiàn)和管理多種兼容SDN的交換機(jī)，如Big Switch控制器。同時(shí)，安全監(jiān)控堆疊軟件產(chǎn)品(Big Switch的Big Tap)可以幫助工程師編程實(shí)現(xiàn)更加細(xì)粒度的過濾和端口分配功能，從而在SDN交換機(jī)上模擬出傳統(tǒng)分流功能。

在這種環(huán)境中，多個(gè)層次的數(shù)據(jù)包分析工具可以從SDM端口接收流量。SDM端口可以連接各種硬件工具，如數(shù)據(jù)包分析設(shè)備和網(wǎng)絡(luò)偵測(cè)設(shè)備，也可以連接基于軟件的協(xié)議分析器，如Wireshark。

SDN安全策略如何防御網(wǎng)絡(luò)攻擊

SDN可以為最復(fù)雜的環(huán)境提供更高級(jí)的網(wǎng)絡(luò)監(jiān)控功能。因此，控制器和交換機(jī)就能夠分辨各種數(shù)據(jù)包屬性。例如，這樣就可以自動(dòng)阻擋或卸載拒絕服務(wù)(DoS)攻擊。實(shí)際上，SDN可以防御許多攻擊：

1.淹沒攻擊，如SYN洪水攻擊：這些攻擊包含大量只設(shè)置了SYN標(biāo)記的TCP數(shù)據(jù)包。它們會(huì)占用帶寬，也會(huì)填滿目標(biāo)系統(tǒng)的連接隊(duì)列?；赟DN開發(fā)的交換機(jī)可以作為第一道防御線，分辨特定模式和設(shè)定一段特定時(shí)間內(nèi)來(lái)自一個(gè)或多個(gè)來(lái)源的數(shù)據(jù)包容量臨界值。然后，這些交換機(jī)可以選擇丟棄數(shù)據(jù)包，或者使用其他技術(shù)和協(xié)議將它重定向到其他目標(biāo)。大多數(shù)路由器和其他網(wǎng)絡(luò)平臺(tái)都沒有這樣細(xì)致的控制機(jī)制。

2.針對(duì)特定應(yīng)用與服務(wù)的攻擊：這些攻擊只針對(duì)帶有非常特殊HTTP請(qǐng)求序列的Web服務(wù)(使用帶有特殊Cookie變量等信息的用戶代理字符串)。SDN設(shè)備可以分辨、記錄和拋棄這些請(qǐng)求。

3.針對(duì)協(xié)議行為的DDoS攻擊：這些攻擊會(huì)填滿設(shè)備的狀態(tài)表，但是SDN設(shè)備可以根據(jù)流順序和連接限制分辨這些行為。

除此之外，SDN可以模擬許多基礎(chǔ)的防火墻功能?？刂破骺梢詧?zhí)行腳本和命令，快速更新MAC、IP地址及端口過濾方式，因此可以快速響應(yīng)和更新流量的策略與規(guī)則。另外，它可以解放其他網(wǎng)絡(luò)設(shè)備，使它們不需要處理大量的流量。

前面只介紹了最基本的SDN安全功能。由于能夠處理更多的流量，也能夠處理特定的數(shù)據(jù)包屬性，所以網(wǎng)絡(luò)安全分析能夠?qū)崿F(xiàn)的安全功能不只有基本數(shù)據(jù)包過濾和DDoS檢測(cè)。而且，它也很可能能夠處理更加高級(jí)的入侵檢測(cè)和意外響應(yīng)。