1软件定义网络概述
随着科技的发展,互联网技术逐渐开始与AI、大数据、移动通信技术相融合,从而促使网络技术有了新的发展机会。但是在发展的过程中,网络也日趋复杂化,高昂的人工维护成本也给网络管理者带来了挑战。传统的网络遭遇故障的时候,需要手动进行配置诊断问题,这就导致故障排除的不及时性,从而给网络管理者、社会带来经济损失。根据上述现状,软件定义网络应运而生。软件定义网络英文简称SDN,他不仅修复了传统的网络运营框架,而且利用统一了网络框架,一方面可以减少网络管理者的运营成本;另一方面有助于提高网络运行的工作效率,及时排除网络故障。
基于传统互联网技术,软件定义网络将传统的互联互通系统的交换机的功能分解为一个独立的系统,并在该系统中增加了一个标准的接口,将该界面与该控制器的界面相联系,可有效保持交换器的标识数目。同时,软件定义网络只需根据监测平台所给出的应用界面,使用者便可以自己完成对线路切换装置的整合配置,使整个网络的资料资讯交换路径不受资料资讯面的影响,由此建立起一种将资料资讯面与监视面分离、并与介面规范相结合的SDN体系结构(图1)。
图1 SDN体系结构
2软件定义网络的安全优势
2.1防御机制增强
软件定义网络的安全功能虚拟化具有操作灵活性与信息安全性特征。软件定义网络既能通过将信息安全功能和相应方案融入起来,也可以让信息安全功能成为互联网或是其他基础设施建立、定义之后的附属组件。要想将软件定义网络安全的融入,实际设计之中,工作人员需要全方位考量解决方案。一方面,工作人员要核算好人工成本,在确保预算范围之内,还能将安全功能涉及到具体的某个位置。通过科研人员的反复试验与实践,一种被称之为“深度防御架构”可以支撑上述观点。这种架构结合了软件定义网络和网络功能虚拟化技术,是以特定流量来进行安全控制和设计的。它不仅可以降低安全风险,还可以为特定流量流经单台安全设备或者多台安全设备提供支持。如图2显示,其中,供应商1安全工具可以设置成防火墙,供应商2安全工具可以设置成入侵检测系统,供应商3安全工具则可以设置成数据泄露保护。如果在实际情况中,不会出现 数据泄露的风险,那么就可以引导流量只经过防火墙和入侵检测系统。操作这样的服务链能力,既可以对基础设施中所需数据泄露保 护控制数量进行优化,保证运行效率,又可以让非敏感信息迅速而安全的通过网络
图2 深度防御架构
2.2性能改善
在网络功能虚拟化技术的辅助下,软件定义网络相比以往有了更好的安全性能,可以更快捷高效地修复虚拟机。整个修复过程,软件定义网络和网络功能虚拟化技术可以直接利用软件的修正版创建简单的功能实例,然后再把流量转向新实例中,这样就可以起到修补系统的效果。这种做法既有利于简化新实例的部署,又有利于新实例的过渡。与此同时,整个修复过程自动化水平非常高,所以不会对相关的操作和运行性能产生很大的冲击。
3现阶段软件定义网络面临的问题
3.1应用平台未形成系统的安全保护机制
虽然目前软件定义网络的性能相对以前有了较大的改善,尤其是在安全防范机制上表现的更加完善。但是软件定义网络的应用平台却没有系统系统的安全保障机制。一旦应用程序在运行过程中遭到破坏,将面临以下四种问题:第一假冒身份、第二篡改程序、第三程序自身配置的缺陷、第四授权获取失败。
3.2控制平台面临单点失效
目前,控制平台是种过渡装置,它在软件定义系统中的作用主要是将数据平台与应用平台连接起来。但是,控制平面又是软件定义网络安全链条中相对薄弱的环节,经常面临单点失效的问题。究其原因,主要与自身不同的管理模式存在着不同潜在挑战有关。首先,控制器硬件受到破坏,网络请求就会被拒绝。其次,如果攻击者发起了大量的非法访问,超出了系统自身的承载能力,就会导致用户的正常访问需求得不到满足。另外,控制平台经常面临的安全问题还有以下几种:第一假冒身份、第二非法进入访问、第三配置自身存在较大的缺陷、第四篡改流量规则。
3.3数据平台存在安全隐患
数据平台一共有两部分硬件组成:路由器和交换器。这些硬件的主要作用是转发数据信息、采集数据信息以及转换处理数据信息。根据两大硬件提供的数据分析,数据平台中存在非常明显的安全隐患。例如,这些数据的获取都受到平台设定的规则,也就是说,只要在控制平台规则 内的数据信息,硬件设备都会毫无保留的接收。当这种情况出现后,假设攻击者全力冲击 OpenFlow 协议,然后篡改策略信息或者伪造控制流,那么就会向交换器发送虚假命令。这种假设一旦成立,就会出现难以发现的安全风险。例如,假冒流注入、数据泄露、非法访问等问题。
4结语
综上所述,软件定义网络具备防御机制增强、性能改善的优点,同时也在应用平台、控制平台以及数据平台方面面临着诸多安全问题,如应用平台未形成系统的安全保护机制、控制平台面临单点失效、数据平台存在安全隐患。因此,软件定义网络仍需要进一步完善网络框架结构,从而消除潜藏的安全隐患。
参考文献
[1]郎为民,马卫国,张寅等.软件定义网络安全框架研究[J].电信快报,2019,(12):1-7.
[2]石悦,李相龙,戴方芳.一种基于属性基加密的增强型软件定义网络安全框架[J].信息网络安全,2018(1):15-22.
[3]王海涛,郑欣,刘力军.软件定义网络——概念、架构与应用[J].数据通信,2021(01):14-17.
[4]张立群,林海涛,郇文明,毕文婷.基于OpenFlow的软件定义网络流规则冲突检测系统[J].计算机应用,2021,42(02):528-533.
[5]林华,薛静宜.软件定义网络(SDN)/网络功能虚拟化(NFV)技术研究及部署[J].广播电视网络,2021,29(01):106-108.
[6]吴玥,屈卫东,甘愿,姚怡男.软件定义网络下的人工智能网络体系架构分析[J].电子技术与软件工程,2021(01):1-4.
