石荣水++李虎

摘 要：伴随云计算、大数据等新兴技术的诞生与发展，向传统网络提出了更高的要求，面对网络环境的日趋复杂，比如安全、速率、带宽等，使得传统网络在灵活性、可编程性、可扩展性这些方面面临着新的发展瓶颈。而SDN的出现，为解决这些难题提供了新的路径。这是SDN所面临的发展机遇，但同时也使其面临着新的安全威胁。

关键词：网络环境；SDN；机遇；挑战

中图分类号：TP393.02 文献标识码：A 文章编号：1671-2064（2017）19-0052-01

SDN作为一个新兴事物，自然无法达到尽善尽美，在有着其优势的同时，不可避免地存在着一些不足，比如其开放性和控制集中性就为网络环境带来的新的安全挑战。所以说，SDN在网络安全领域威胁与机遇并存。本文先分析了SDN面临的发展机遇，然后具体分析了SDN面临的威胁：控制层面的安全威胁、应用层面的安全威胁、开放性的安全威胁，最后提出了相应的安全加固对策：利用传统网络安全设备、控制器的高可用方案、控制器的分布式部署方案，希望能借此对SDN的进一步发展提供一定助力。

1 SDN面临的发展机遇

伴随互联网应用的大规模普及与飞速发展，网络安全成为了不容忽视的重要问题。互联网最初的设计由于主要目标是为了实现资源共享和信息互联，因此对网络安全问题有选择性地予以忽略了。虽然RADIUS、DNSSec、IPSec等技术的相继出现，促进了网络安全性的加强，然而整个网络安全仍然处于被动应对安全威胁的状态，缺乏系统性解决网络安全问题的可行方案。尤其是随着云计算、大数据等新兴计算机信息技术以及各类新兴网络应用的不断诞生，网络地址缺乏、路由体系臃肿、网络拥塞以及黑客攻击等问题日益尖锐和频繁，这些问题都最终指向互联网的可控性这一软肋，这样的网络安全形势正是SDN所面临的发展机遇。SDN诞生后，使得上述互联网安全问题有了得以解决的可能。SDN的特点主要体现在以下两个方面：一是通过软件控制器可以集中管理网络转发规则；二是控制转发平面与平面分离。SDN旨在通过构建智能化网络操作系统和网络虚拟化层，在一张物理网络拓扑的情况下对虚网予以合理划分，并通过有效的隔离机制，使得高效的资源调度和网络管控得以实现。除此之外，SDN还可以通过将预先制定的机制策略通过网络操作系统添加到网络，最终帮助其实现预期管控目的。

2 SDN面临的安全威胁

SDN面临的安全威胁具体体现在以下几个方面：（1）控制层面的安全威胁。管理集中性的优点在于管理灵活方便，运营灵活、网络设备简化，维护与管理统一高效。但管理的集中性也使得SDN的控制器成为了被重点攻击的环节，比如认证欺骗、授权欺骗、拒绝服务等等。管理集中性使得安全服务部署、服务访问控制、网络配置等均集中于SDN控制器上。一旦攻击者控制了控制器，则能够使网络服务出现大面积瘫痪情况，甚至影响到控制器所覆盖的所有地方。所以对于SDN自身体系安全体系而言，围绕控制器做好相应的攻防措施是最关键的一环。（2）应用层面的安全威胁。SDN网路的可编程性的优点在于配置灵活、支持更多业务功能、各项功能更加完善、易于升级更新、网络运行效率更高。但可编程性使得应用层面存在大量可编程接口，这就为应用层带来了许多安全威胁。比如将蠕虫木马程序植入应用层面的某个应用中以达到窃取网络信息、占用网络资源、更改网络配置等目的，那么这些行为就会干扰控制层面的正常工作进程，最终影响到网络的可用性和可靠性。或者可以直接利用某些可编程接口，从而达到网络窃听、拒绝服务攻击等目的。（3）SDN的开放性的优点在于结构透明、易于推广，支持业务创新、支持个性化定制。但这也使得其自身面临着许多安全隐患。比如网路和安全的应用插件自身都带有一定的规则写入权限，伴随应用的日趋复杂化，那么多个应用彼此之间很有可能出现安全规则冲突情况，进而使得服务中断、安全规则被绕过、网络管理混乱等现象出现。此外，第三方插件或第三方应用自身存在着的安全漏洞、未声明功能、恶意功能也为SDN埋下了更多安全隐患。

3 SDN安全加固建议

综上所述，目前SDN的安全威胁主要集中在控制器上，所以向SDN控制器的安全加固提出以下几点建议：（1）利用传统网络安全设备：将传统硬件防火墙分别部署在SDN控制器的北向与南向接口处，既可以有效防止来自数据中心外部的攻击，也可以组织内部恶意租户对控制器产生威胁。部署安全代理：SDN控制器技术采用软件实现，对软件本身进行安全加固以及漏洞更新可以在一定程度解决控制器的安全问题。（2）控制器的高可用方案：为了防止控制器由于被攻击或自身原因导致的瘫痪情况，对控制器所在的服务器进行高可用备份十分重要。（3）控制器的分布式部署方案：由于SDN集中化管理的设计理念，控制器往往承担管理数据中心大部分网络设备的职责。如果所有网络设备的管理功能都集中在单一控制器上，一旦遭受攻擊，后果将不可想象。采用分布式架构，多个控制器分别控制部分网络设备，所有控制器互为备份，可以有效解决网络安全风险。

参考文献

[1]刘小春.SDN网络安全性研究[J].信息通信，2017，（04）：96-97.

[2]郭沈瑜.云计算及SDN与安全技术研究[J].信息与电脑（理论版），2016，（24）：95-96.

[3]齐宇.SDN安全研究[J].信息网络安全，2016，（09）：69-72.endprint