防御网络攻击的SDN安全策略

软件定义网络(SDN)技术将网络控制转移到专用SDN控制器上，由它负责管理和控制虚拟网络和物理网络的所有功能。由于SDN安全策略实现了这种隔离和控制，所以它支持更深层次的数据包分析、网络监控和流量控制，对于防御网络攻击有很大帮助。

软件定义监控的兴起

最近，微软宣布了它在内部使用了一种自行开发且基于OpenFlow的网络分流聚合平台(称为分布式以太网监控，DEMON)。这个工具可用于处理微软云网络的大规模流量。以前，其内部的成千上万个连接与网络流已经超出了传统分流与捕捉机制(如SPAN或端口镜像)的处理能力。

通过使用可编程的灵活交换机和其他网络设备，让它们作为数据包拦截和重定向平台，安全团队就可以检测和防御目前的各种常见攻击。许多行业将SDN驱动的安全分析技术称为软件定义监控(SDM)。在SDM中，SDN交换机作为数据包分析设备，而控制器则作为监控和分析设备。

使用SDN监控安全性和分析数据包

首先，来自IBM、Juniper、惠普和Arista Networks等供应商的相对较便宜的消费类可编程SDN交换机，可用于取代较昂贵的数据包分析设备。与微软的用例类似，大量的个人连接和数据流聚合到一起发送到多个安全数据包捕捉与分析平台。第一层交换机可用于捕捉和转发数据包，然后第二层(或者第三层)设备终止第一层的监控端口。此外，这些交换机还可以聚集流量，将数据流和统计数据发送到其他监控设备和平台。

兼容OpenFlow(最好也兼容sFlow)的SDK控制器可用于编程实现和管理多种兼容SDN的交换机，如Big Switch控制器。同时，安全监控堆叠软件产品(Big Switch的Big Tap)可以帮助工程师编程实现更加细粒度的过滤和端口分配功能，从而在SDN交换机上模拟出传统分流功能。

在这种环境中，多个层次的数据包分析工具可以从SDM端口接收流量。SDM端口可以连接各种硬件工具，如数据包分析设备和网络侦测设备，也可以连接基于软件的协议分析器，如Wireshark。

SDN安全策略如何防御网络攻击

SDN可以为最复杂的环境提供更高级的网络监控功能。因此，控制器和交换机就能够分辨各种数据包属性。例如，这样就可以自动阻挡或卸载拒绝服务(DoS)攻击。实际上，SDN可以防御许多攻击：

1.淹没攻击，如SYN洪水攻击：这些攻击包含大量只设置了SYN标记的TCP数据包。它们会占用带宽，也会填满目标系统的连接队列。基于SDN开发的交换机可以作为第一道防御线，分辨特定模式和设定一段特定时间内来自一个或多个来源的数据包容量临界值。然后，这些交换机可以选择丢弃数据包，或者使用其他技术和协议将它重定向到其他目标。大多数路由器和其他网络平台都没有这样细致的控制机制。

2.针对特定应用与服务的攻击：这些攻击只针对带有非常特殊HTTP请求序列的Web服务(使用带有特殊Cookie变量等信息的用户代理字符串)。SDN设备可以分辨、记录和抛弃这些请求。

3.针对协议行为的DDoS攻击：这些攻击会填满设备的状态表，但是SDN设备可以根据流顺序和连接限制分辨这些行为。

除此之外，SDN可以模拟许多基础的防火墙功能。控制器可以执行脚本和命令，快速更新MAC、IP地址及端口过滤方式，因此可以快速响应和更新流量的策略与规则。另外，它可以解放其他网络设备，使它们不需要处理大量的流量。

前面只介绍了最基本的SDN安全功能。由于能够处理更多的流量，也能够处理特定的数据包属性，所以网络安全分析能够实现的安全功能不只有基本数据包过滤和DDoS检测。而且，它也很可能能够处理更加高级的入侵检测和意外响应。