刘洋，刘俊辉，刘滨

摘 要：SDN技术把网络的数据层和控制层剥离，提出了全新的解决方案，从而促进了下一代网络的发展。文章论述了传统网络架构及其内在安全缺陷，由此引出基于SDN系统的网络安全的实现与展望，并对其安全性能进行了一定的研究。

关键词：软件定义网络;网络安全;OpenFlow

传统的网络安全系统实现中，一般在防火墙之后，为了防止应用层出现的攻击，往往会部署VPN设备、入侵检测系统、DDOS检测处理功能实体，对网络边缘进行安全检查。另外，专用的网络安全设备也部署在网络边界的节点上，用防火墙实现基于包的过滤和状态监控。一方面降低了网络业务的灵活性，另一方面增加了网络部署的难度，不利于现存业务的调配和迁移。

1 传统网络安全的不足

（1）传统网络安全多采用大量安全设备的多种模式接入网络边缘。一般的防火墙采用3层旁路的方式实现冗余引流，从而对流量进行过滤，或者采用第二层透明模式桥接在第三层的链路中。上网行为管理设备，一般采用代理的方式对内部员工的流量实现HTTP/HTTPS重定向和代理。或采用第二层透明模式对Web报文进行过滤。IPS/IDS等设备则采用流量镜像模式，把冗余旁路部署在网络边缘链路。多种类型的安全设备不易部署和配置，其管理也需要专业人员，这些操作都增加了网络的复杂性。

（2）对于网络的冗余性和稳定性，在进行安全设备部署时也需要慎重考虑。网络安全设备种类繁多，功能各异，对可靠性提出了极高的要求。例如防火墙串联设备的硬件ByPass、主从设备冗余切换等，依靠协议的鲁棒性来保障功能的实现。但厂家的不同导致此类设备实现安全功能时，采用各自的私有协议，增加了网络本身的复杂性以及后期运维的难度。

2 SDN架构介绍

2.1 SDN网络设备（Network Devices）

软件定义网络（Software Defined Network，SDN）设备可以被抽象成转发面（Forwarding Plane），其可以用虚拟交换机来实现，没必要一定使用硬件交换机。

为了配置位于交换机内的转发表项，网络设备通过南向接口Southbound Interface接收Controller发过来的指令。同时通过南向接口将事件传送给Controller。图1为SDN通用架构示意。

图1 SDN通用架构示意

2.2 SND南向接口（Southbound Interface）

SDN南向接口，主要指的是控制面和数据转发面之间的接口，在SDN系统中，南向接口设计为标准化接口，使软件脱离硬件的约束，尽可能做到按需设计、应用为主。否则，SDN只能让特定软件运行在特定硬件上。

从第二层开始，已经分辨不出虚拟交换机和硬件交换机的区别，看到的只有被抽象化的转发面。

可以注意到，在图1中分别出现了OpenFlow和Other API两种接口[1]，因为OpenFlow为目前最具影响力的南向接口标准，还有其他标准供选择。一些公司和组织并不看好该接口，准备或着手建立其他标准。这对SDN的发展未必是坏事，尽管最终希望看到一个唯一的、大家都认可的标准，但这仅是一种理想状态，还需要很长一段时间才能实现。

2.3 SDN控制器（Controllers）

在SND环境中，Controller可解释为控制器。在一个SDN网络里，不限制控制器的数量。控制器之间的关系可以定义为主从关系（只能有一个主，但可以有多个从），也可以定义为对等关系。一个Controller可以控制多台独立设备，某一台设备可以被多个Controller控制。通常，Controller运行在某台独立服务器上，如一台x86Linux服务器或Windows服务器上。

2.4 SDN北向接口（Northbound Interface）

在SDN架构中，北向接口指的是控制器和应用程序之间的接口，目前该接口尚未形成统一标准[2]，这正是一些标准化组织所努力的方向。但是北向接口绝对要比南向接口复杂得多，因为转发层面向的终究是数据转发，容易抽象出通用接口，由于应用层的应用程序繁杂，所以不易处理。

2.5 SDN应用服务层（Services）

Services也就是应用层，用Services而不用Application，主要是Services能比Application更能体现出网络的本质，为用户提供一些网络服务，例如security（网络安全）、load balancing（负载均衡）、LLDP（拓扑发现）、monitoring（网络监测）和performance management（网络延时、拥塞等性能指标的管理和检测）等。

2.6 自动化（Automation）

严格来讲自动化不能算作一个层次，其是应用程序的整合和封装，一般和另一个词Orchestration同时出现。本质上，两个词指的是同一件事，只不过Orchestration强调手段，而Automation强调目的，业务的自动化部署就是Orchestration的目的。

3 基于SDN架构的网络安全研究

SDN架构通过南北向接口来实现安全保护和高效的流量控制[3]，北向接口对业务进行编排，从而完成网络功能和业务的逻辑生成。再利用南向接口进行流表的向下转发，从而实现传统网络的数据转发功能。

网络安全功能实体上移，就是采用SDN架构来实现的。它把防火墙、DDOS处理设备、入侵检测系统等功能实体，利用SDN控制器的相关模块实现对应的功能。该模块采用图形方式，实现安全策略的制定和生成，其软件均部署在Linux或者x86架构的服务器上。

利用混合式设备（支持传统第三层交换转发及OpenFlow协议栈）处于网络边缘的交换机[4]，可以鑒别不同类型的流量，包括需安全设备进行的过滤流量、直接跨越网络边界的可信任流量等。采用SDN网络架构的系统，由于每个模块都被集中部署在SDN控制器内，可以灵活地按需定制功能模块，从而对流量进行过滤。对比传统网络的安全实现，为不同业务流量进行分类分级过滤，需要进行大量的人工网络配置，部署周期时间长、难度大。

通过对比传统网络安全实现思路和SDN安全实现方式，不难发现SDN系统下的安全防护具备诸多优势。

3.1 可用性高

该系统可以实现N-1冗余，其可用性、可靠性不比传统架构差。主要利用集群式部署SDN控制器、冗余部署边界路由器等设备实现。

3.2 网络高效简洁

通过对比两种系统的拓扑结构，发现采用了SDN架构的网络，使运维和部署的难度得到了降低，网络结构得到了简化。

3.3 网络业务开展灵活

借助SDN架构，可以利用OpenFlow协议定义不同性质的业务流，并针对每种业务流配置相关的安全策略。这样的安全配置高效灵活，所有工作只需在SDN控制器上集中完成，再通过OpenFlow流表下发执行即可。

3.4 网络容量易于擴充

如果需要提高处理能力、增加安全功能的性能，只需要利用基于IAAS架构云对安全资源池进行扩充，或采用集群式服务器的部署方式即可。由此说明，基于SDN系统的安全保障能力，要取决于基于x86服务器的综合性能指标。

3.5 降低系统综合成本

利用SDN架构的特点，部署了安全功能模块和硬件服务器，不再需要部署其他复杂的硬件设备。对比两者的建设和运维成本，SDN架构的安全模型显示出更高的性价比。

4 结语

综上所述，SDN架构的网络结构，不论从业务的支持性、功能模块的可部署性，还是网路安全的按需实现性，均要超过现有网络，是值得深入研究的技术领域。

作者简介：刘洋（1998— ），女，湖北宜城人，本科生;研究方向：通信工程。

[参考文献]

[1]左青云，陈鸣，赵广松，等.基于OpenFlow的SDN技术研究[J].软件学报，2013（5）：1078-1097.

[2]邹剑锋.基于OpenFlow的SDN组网技术研究[D].北京：北京邮电大学，2014.

[3]齐宇.SDN安全研究[C].厦门：第31次全国计算机安全学术交流会，2016.

[4]孙鹏，刘秋研.SDN安全技术研究[J].中国电子科学研究院学报，2015（4）：22.

Research on SDN-based network security

Liu Yang， Liu Junhui， Liu Bin

（Wuhan Polytechnic University， Wuhan 430023， China）

Abstract：Software defined networking technology separates the control layer and data layer of the network， puts forward a new solution， and promotes the development of the next generation network. This paper discusses the traditional network architecture of SDN and the inherent defects on this basis. For this reason， it expounds the evolution and prospect of network security based on SDN architecture， and studies its security.

Key words：software defined networking; network security; OpenFlow