SDN发展对网络安全的影响及安全防范路径思考

0 引言

SDN（Software Defined Network）软件定义网络，是一种新型网络架构，也是实现网络虚拟化的方式，核心技术是将数据面和网络设备控制面分开，从而随意控制网络流量，使网络变得更加智能。近几年，计算机网络技术飞速发展，新技术层出不穷，云数据、虚拟化等正是网络发展的主要趋势，技术的进步给人们的生活带来便利的同时也让计算机技术的实现遇到的瓶颈。传统的网络架构封闭性强，而设备硬件又是由制造商控制，网络部署只能通过手动方式来完成，根本无法满足技术发展的要求，也无法满足人们想要灵活部署，快速应用的想法。SDN的出现从很大程度上解决了网络部署的问题，简化了网络，提高了互联网的效率，也推动了互联网技术向更高端的技术的发展。

1 传统网络结构与SDN网络结构的对比

SDN的提出是在2006年，美国的斯坦福大学Nick McKeown教授组织学生运用Openf1ow的概念简化校园网络时提出的。目前正处于发展的中初期阶段。其作用就是开放网络资源，通过调用软件来控制网络运用。

传统的网络就是各种企业商家、平台等合作协议的大组合，对于每一个最初的部署方案都是为了暂时的解决目前的问题，没有灵活性和可变性，前瞻性也让人堪忧，若要想实现一个可编排的网络生态系统是非常困难，且在网络系统部署中网络链路负载不均衡。

和传统网络相比，SDN网络按需分配、自动负载均衡，其中最让人惊讶的特性就是可以随着应用和数据的增加而同步扩展网络资源，根据使用者的实际情况配置网络资源。这必然是网络发展的最终趋势。

2 SDN对硬件协议可编程的实现

对于SDN的体系结构很多人归纳出三个特性，分别是控制与转发分离、开放的编程接口、.集中化的网络控制。但从软件的定义上分析，又有另外三个特点，分别是网络服务的虚拟化和业务的可编程、软件的开放性和硬件的通用性、三是一定规模下的控制集中化能保证集中管理整个网络资源。

SDN以控制器为中心，分别向南向和北向API实现对硬件和协议的可编程，这种编程方式承载了网络编程的思想，也展现出了SDN网络架构的开放性优势，用户可以根据自身需求对网络进行定制，可见SDN的灵活程度。

3 SDN虚拟化技术的强大作用

SDN形象的将网络中的所有的网络设备当成需要管理的资源，将底层网络的细节进行抽象，并且为上层应用提供了统一的编程接口和管理视图，用户可以不用在意底层网络的物理结构，只管根据软件来定义逻辑上的不同需求即可。

SDN的这种变化和虚拟化技术有很大程度的相似之处，将计算机中的网络资源分配给多个虚拟机，客户在使用时，常常会以为个人在使用所有资源，但实际上是对整个网络资源的管理和分配。传统的网络对人们使用网络的模式有诸多限制，所以人们不得不寻求新的发展道路。SDN的出现解决了这个问题，让虚拟技术向网络虚拟化发展，其原理就是在交换机和应用之间创建了一个虚拟网络，数据包转发的工作由交换机来做，其他的工作都由软件来控制虚拟网络层实现。SDN开辟了网络虚拟化的新空间，通过虚拟化技术让计算机网络技术上升到一个新的台阶。

4 SDN对网络安全的影响

SDN虽然处于发展的中初期，但是其决定性的优势给传统网络带来了颠覆性的变革，给网络技术带来新灵感的同时也给网络安全带来了新的挑战。SDN技术的出现，给网络安全提出了更高的要求，传统的网络安全策略已经不能胜任SDN技术带来的新挑战，所以网络安全必须要从新的思路出发，寻找新的突破口。但无论网络结构如何变化，网络安全都保持一个最终目的，就是保障存储信息的保密性、完整性和有用性。

4.1 SDN颠覆传统安全架构，实现全网一致的安全策略与安全配置

SDN最大的特性就是将传统的网络变成开放性的网络，能够根据不同行业的不同要求，对网络进行定制并快速完成部署。当然，SDN也可以将网络安全建立在集中的控制器上，方便进行统一的管理，使全局安全统一一致。这里提到的安全包括数据安全和设备安全以及应用安全，通过这样的管理方式，让厂商、服务提供商以及用户能够形成共同的安全意识。这种一体化的安全策略，可以让上下游充分沟通，最终达成统一的意见，共同维护整个体系的安全。所以，SDN的技术的出现，给网络安全提供了更加快捷、方便、丰富的管理手段。

传统的安全架构是垂直体系的烟筒式架构方式，资源浪费严重。在SDN技术下，应该形成一种大范围的安全意识，这种大范围的安全意识应该由安全厂商、服务提供商以及用户根据自身环境和需求来共同构建。以前的安全架构主要是安全厂商和服务提供商通过技术和设备来完成，对资金和技术的要求较高，局限性也比较多。最终的网络架构是用户在体验，所以对于网络安全问题，应多从用户方来进行考虑。

4.2 SDN使防御机制灵活变更

传统的网络架构是围绕硬件而展开的，SDN的出现，让产品的易扩展性、灵活性、安全性以及可管理性都能够通过软件来控制，从而简化了硬件的监控和维护程序。使用方可以根据威胁的变化，随时随地快捷的调整防御计划和策略，使防御可以再次编程、再次升级，灵活的把握安全防御机制，这种方式将为成为安全机制未来发展的方向。当然，SDN技术再强大，也需要硬件的支撑，只是硬件以后会趋向于标准化，而解决安全问题的责任会落到软件身上。

4.3 正确认识SDN带来的不安定因素

SDN的出现虽然实现了安全网络架构统一范围的实现，形成了逻辑层的中央控制，但是SDN控制器是和大量的网络设备连接在一起的，也就意味着任何控制层的风险都会给网络安全造成威胁。任何一个网络设备出现问题，都也可能造成严重的后果。防御能力的强弱取决于中央控制能力的强弱。若中央控制器上存在弱点且被攻破，那么就意味着网络安全的全线失守，这样造成的损失比起传统的方案要大得多。况且器件、协议以及算法的不自主，很可能留有漏洞或者后门，攻击者通过这些薄弱点可以直接对安全策略和设备进行控制。安全装置一般需要对设备进行经常性的大规模升级才能适应软件定义的运行环境要求，设备的更新换代快，很多设备可能很快就会失去利用价值，用户的设备投资难以保证。所以SDN技术在发展的同时，人们也要清楚的认识到这些现实问题。

5 解决网络安全的创新途径

网络安全一直是人们老生常谈的一个问题，云安全联盟（CSA）提出了一个创新的加密安全架构，这种安全架构提出了易于调整的方式去调整边界，其突出优势在于能够实现“黑箱”网络，所谓“黑箱”就是指在互联网上看不到的网络，既然是看不到的网络，那么要攻击的话就十分困难了。目前，美国国防部就是用的黑箱网络。CSA的安全即服务工作组公布的实施指导文件对已数据丢失保护、身份识别和访问管理、入侵管理、Web安全、业务连续性和灾难恢复以及网络安全和安全评估等服务进行了规范。要求网络安全产品供应商必须能够提供可以运行在 SDN网络上的安全服务。技术在不断的发展，网络技术创新发展的同时要求网络安全也能随之推出有效的解决途径，才能在网络安全的情况下，健康科学的发展网络技术。

6 总结

综上所述，SDN技术给传统的网络技术带来了新的碰撞，也让网络技术面临了大规模的变革。SDN以其独特的优势给人们的生活带来了更多的便捷，同时也引发了一些新的网络安全问题，正确认识SDN技术，增强互联网风险意识，不断追求创新的解决途径才能让网络技术发展的同时，网络安全也同时得到更好的提升。