SDN-自动化网络安全的成就者
软件定义网络(Software Defined Network, SDN ),是一种新型网络创新架构,其核心技术OpenFlow通过将网络设备控制面与数据面分离开来,从而实现了网络流量的灵活控制,为核心网络及应用的创新提供了良好的平台。
SDN是一种新型的网络架构,它的设计理念是将网络的控制平面与数据转发平面进行分离,并实现可编程化控制。其中,应用层包括各种不同的业务和应用;控制层主要是网络操作系统,负责处理数据平面资源的编排,维护网络拓扑、状态信息等;基础设施层负责基于流表的数据处理、转发和状态收集。SDN包括如下基本特征。
控制与转发分离:转发面是一个受控转发的设备,转发和业务逻辑由分离出去的控制面进行控制,其核心控制协议就是OpenFlow协议。
逻辑上的集中控制:传统网络中,每个网元均有独立的控制面,网元间通过控制协议进行数据交互;对于SDN网络,将单个网元的控制面抽离处理,统一成一个独立于设备的控制平面,因而可以拥有网络级的状态,并根据全局网络状态进行优化。
开放API:对应用提供网络资源操作的接口。通过API接口,应用层可以告知网络如何运行才能更好地满足业务带宽、时延、计费等需求;应用层可以由客户根据自己的需求进行定制。
德克萨斯州A&M博士生Seungwon Shin的科研工作是分析SDN将如何改变网络安全性。Shin在大学期间发表了两篇关于SDN网络安全策略的文章。第一篇是“CloudWatcher:在动态云网络中使用OpenFlow实现网络安全监控”,介绍了一种在云环境中使用SDN控制平台(如NOX和Beacon——最初由斯坦福大学开发的OpenFlow SDN控制器)执行安全监控的方法。
Shin 与其博士生同学Guofei Gu一起设计了一种新的策略语言,它可用于识别网络设备及其特殊的监控功能集。通过使用这种语言,控制器就可以直接监控指定设备之间的流量。它们还可以自 动将云环境中的虚拟机迁移流量及其他动态事件的流量转发到其他网络位置。这意味着它们可以将流量传输到入侵防御系统(IDS),允许安全团队根据需要监控 超动态环境的事件。在这种模型中,Shin和Gu实际上设计了安全定义路由与流量控制的基础——即使仍然使用传统网络安全控制。
在 Shin的第二篇论文“FRESCO:模块化可组合的软件定义网络安全服务”中,Shin与同学们一起探讨了SDN(特别是OpenFlow)所缺少的决 定性安全应用,并且提出一个面向SDN安全用例的新开发框架FRESCO。这个框架的脚本功能允许安全人员创建新的模块化库,整合和扩展安全功能,从而使 用OpenFlow控制器和硬件进行控制和管理流量。FRESCO包括16个模块,其中每一个都有5个接口:输入、输出、事件、参数和操作。通过将这些值 分配给这些接口,就可以实现许多通用网络安全平台和功能,从而替代防火墙、IDS和流量管理工具。
集中控制和大范围自动化将是软件定义网络的核心功能——最终实现适应性自动化网络安全。这个愿景正开始变成现实。由SDN实现的集中控制最终将带来安全定义路由及其他SDN安全策略,它们可能彻底改变我们定义网络及其应用或数据的方式。
SDN对网络建设、组网架构和运维模式都存在潜在的影响,传统电信运营商对软件化网络的建设、运行和管理都面临系统性的挑战,建议运营商积极开展SDN的标准技术研究、网络架构创新,以规避风险、迎接挑战。
更多内容尽在:www.commernet.cn
- 上一篇:微软10月18日推出Win 8.1及其嵌入式系统
- 下一篇:谷歌眼镜上市时间将延迟