中国IDC圈7月19日报道:软件定义网络(SDN)技术将网络控制转移到专用SDN控制器上,由它负责管理和控制虚拟网络和物理网络的所有功能。由于SDN安全策略实现了这种隔离和控制,所以它支持更深层次的数据包分析、网络监控和流量控制,对于防御网络攻击有很大帮助。

软件定义监控的兴起

最近,微软宣布了它在内部使用了一种自行开发且基于OpenFlow的网络分流聚合平台(称为分布式以太网监控,DEMON)。这个工具可用于处理微软云网络的大规模流量。以前,其内部的成千上万个连接与网络流已经超出了传统分流与捕捉机制(如SPAN或端口镜像)的处理能力。

通过使用可编程的灵活交换机和其他网络设备,让它们作为数据包拦截和重定向平台,安全团队就可以检测和防御目前的各种常见攻击。许多行业将SDN驱动的安全分析技术称为软件定义监控(SDM)。在SDM中,SDN交换机作为数据包分析设备,而控制器则作为监控和分析设备。

使用SDN监控安全性和分析数据包

首先,来自IBM、Juniper、惠普和AristaNetworks等供应商的相对较便宜的消费类可编程SDN交换机,可用于取代较昂贵的数据包分析设备。与微软的用例类似,大量的个人连接和数据流聚合到一起发送到多个安全数据包捕捉与分析平台。第一层交换机可用于捕捉和转发数据包,然后第二层(或者第三层)设备终止第一层的监控端口。此外,这些交换机还可以聚集流量,将数据流和统计数据发送到其他监控设备和平台。

兼容OpenFlow(最好也兼容sFlow)的SDK控制器可用于编程实现和管理多种兼容SDN的交换机,如BigSwitch控制器。同时,安全监控堆叠软件产品(BigSwitch的BigTap)可以帮助工程师编程实现更加细粒度的过滤和端口分配功能,从而在SDN交换机上模拟出传统分流功能。

在这种环境中,多个层次的数据包分析工具可以从SDM端口接收流量。SDM端口可以连接各种硬件工具,如数据包分析设备和网络侦测设备,也可以连接基于软件的协议分析器,如Wireshark.

SDN安全策略如何防御网络攻击

SDN可以为最复杂的环境提供更高级的网络监控功能。因此,控制器和交换机就能够分辨各种数据包属性。例如,这样就可以自动阻挡或卸载拒绝服务(DoS)攻击。实际上,SDN可以防御许多攻击:

1.淹没攻击,如SYN洪水攻击:这些攻击包含大量只设置了SYN标记的TCP数据包。它们会占用带宽,也会填满目标系统的连接队列。基于SDN开发的交换机可以作为第一道防御线,分辨特定模式和设定一段特定时间内来自一个或多个来源的数据包容量临界值。然后,这些交换机可以选择丢弃数据包,或者使用其他技术和协议将它重定向到其他目标。大多数路由器和其他网络平台都没有这样细致的控制机制。

2.针对特定应用与服务的攻击:这些攻击只针对带有非常特殊HTTP请求序列的Web服务(使用带有特殊Cookie变量等信息的用户代理字符串)。SDN设备可以分辨、记录和抛弃这些请求。

3.针对协议行为的DDoS攻击:这些攻击会填满设备的状态表,但是SDN设备可以根据流顺序和连接限制分辨这些行为。

除此之外,SDN可以模拟许多基础的防火墙功能。控制器可以执行脚本和命令,快速更新MAC、IP地址及端口过滤方式,因此可以快速响应和更新流量的策略与规则。另外,它可以解放其他网络设备,使它们不需要处理大量的流量。

前面只介绍了最基本的SDN安全功能。由于能够处理更多的流量,也能够处理特定的数据包属性,所以网络安全分析能够实现的安全功能不只有基本数据包过滤和DDoS检测。而且,它也很可能能够处理更加高级的入侵检测和意外响应。

关注中国IDC圈官方微信:idc-quan 我们将定期推送IDC产业最新资讯

查看心情排 行你看到此篇文章的感受是:


  • 支持

  • 高兴

  • 震惊

  • 愤怒

  • 无聊

  • 无奈

  • 谎言

  • 枪稿

  • 不解

  • 标题党
2019-06-27 17:13:59
大数据资讯 锐捷Wi-Fi 6助力大连外国语大学校园无线网新飞跃
随着学校信息化的发展,大连外国语大学越来越重视学校的无线网络建设,计划全方位构建校园Wi-Fi,全面深入地运用现代信息技术来促进教育改革,实现教育创新的跨越式发展。 <详情>
2019-05-14 16:05:00
机房建设 全球SDN测试认证中心定制化测试服务助力数据中心网络转型
随着云计算的兴起和网络转型的不断深入,数据中心也正在面临着诸多挑战,为了适应业务的快速变化,数据中心转型也在加速进行,构建简单、开放、弹性的数据中心网络成为了趋 <详情>
2019-03-28 17:04:00
云资讯 云攻击增长65%,中国成第二大来源国
根据网络安全及及合规公司Proofpoint的研究报告,全球针对云应用程序的网络攻击暴增。 <详情>
2019-03-05 13:46:00
UPS电力 网络攻击威胁电力系统,IDC能幸免吗?
发电机、不间断电源和配电单元都有助于维护和控制运行数据中心的电源系统。但数据中心管理人员很少关注电源系统的网络安全控制,尽管其电源系统也很容易受到网络攻击的影响 <详情>
2019-02-19 17:03:00
云安全 报告显示:流量型攻击依旧是企业梦魇
2018年,网络安全领域暗流涌动,攻击趋势不断攀升,T级DDoS攻击多次爆发、数据泄露事件层出不穷、勒索软件大行其道。 <详情>