SDN防火墙的设计和实现方式

软件定义网络(SDN)是一种新型的网络架构,它将网络控制层与数据转发层分离,从而通过集中的控制器中的软件平台去实现可编程化控制底层硬件,实现对网络资源灵活的按需调配。随着软件定义网络的使用及普及,软件定义网络中的安全问题逐渐受到人们的重视。

本文对软件定义网络中的防火墙安全策略进行了研究,提出了一种实现可扩展、可动态部署的软件定义网络防火墙的方式。

传统防火墙的劣势

传统防火墙通常被部署在内网与外方之间来进行网络边界划分,通过对进出内网的网络数据包的检查和过滤保护内部网络环境的纯净和安全。然而防火墙的检查范围及过滤规则等防火墙安全策略是需要人为配置和调节的,而目前的研究已证明现存的防火墙安全策略的配置非常容易出错并且防火墙安全策略本身就存在漏洞,这就给了非法数据包对内网进行入侵、渗透及攻击创造了条件。

同时,由于传统防火墙的主要功能是对内外网间传递的数据包进行检查和过滤,因此内网环境对于防火墙来说是“盲”的——防火墙并不知道内网的结构,也无法查看和分析内网各个设备之间通信的数据包。这样的安全策略必须建立在内网设备都是安全可信的前提之下,然而在实践中,内网机器往往并不安全:由于内网设备配置不当或内网人员操作不当,内网机器有很大几率遭受攻击。而当这种攻击发生时,传统防火墙便置若无物,无法发挥任何作用。另外,在一个已经存在的计算机网络环境中新增网络设备(如防火墙)也是一件非常繁琐的工作。

1

SDN防火墙的优势

随着软件定义网络概念的提出,利用其较于传统互联网架构的优势,在SDN下开发和部署新型防火墙设备便显得尤为重要且更加方便、灵活。

SDN防火墙能够被SDN控制器直接部署,利用SDN控制器能直接对平台编程的特点,SDN防火墙能轻松实现接收并部署SDN控制器下发的防火墙安全策略,SDN控制器也可以集中控制内网环境中SDN防火墙的数量、位置和规则。同时,由于在软件定义网络环境下,SDN控制器能够集中设计、部署和处理网络环境中的防火墙设备及网络结构,避免了由于人员操作失误而引起的网络安全策略漏洞,并使得网络流量转发和路由的开销进一步减少。

2

SDN防火墙整体功能

SDN防火墙由硬件模块、防火墙网关和控制器模块三个部分组成:

3

硬件模块

硬件模块主要由SDN网络环境下的主机和SDN交换机组成。其网络拓扑可以由用户自定义。由于在SDN中,交换机只负责数据层数据的转发和与SDN控制器交互,因此无需对SDN交换机进行编程或设置。

防火墙模块

防火墙模块内主要包含用户自定义的防火墙网关。在整个SDN防火墙中,SDN控制器会根据用户设置的防火墙安全策略来选择性地将未知流量转发至防火墙模块中的防火墙网关中,供用户对未知流量进行分析,或是对入侵和渗透的溯源和取证。

控制器模块

控制器模块是SDN防火墙的核心模块,需要对SDN控制器进行编程,使得SDN控制器不仅能够做到传统SDN控制器的所有功能,还需存储和读取用户所设置的防火墙安全策略,然后根据防火墙的安全策略来控制流量的接收、拦截和转发。

实现方式

拓扑环境

如图所示,在此网络拓扑中,存在三个SDN交换机Switch1、Switch2和Switch3,并且三个交换机可以相互通信,Switch1连接了一个防火墙网关FG,Switch2连接了两台主机Host1和Host2,Switch3连接了两台主机Host3和Host4。SDN控制器Controller负责与三台SDN交换机交互。

4

控制器逻辑

在监听模式下,SDN控制器会接收SDN交换机发来的数据。当交换机接收到无法识别的数据包时,会与SDN控制器交互信息,由SDN控制器下发命令为交换机生成流表。如果数据包为非IP数据包,此数据包将会被直接转发;如果改数据包为IP数据包,则SDN控制器会查询防火墙安全策略来决定是否转发数据包或者将数据包转发至防火墙网关。

5

防火墙网关逻辑

SDN控制器会对未知的IP数据包进行判断,如果不符合防火墙安全策略,则会将IP数据包通过SDN交换机的特定端口转发至防火墙网关,由防火墙网关对数据包进行分析和处理。
防火墙网关有两种状态:监听状态和非监听状态。如果防火墙网关处在监听状态,当有IP数据包传入时,防火墙网关将会记录这些IP数据包并写入log文件供管理员查看,同时防火墙网关也支持实时的IP数据包显示以向网络管理员提供报警信息。在一系列工作完成之后,防火墙网关将把IP数据包转发到目标地址。其主要流程如下:
6

参考文献

  1. A Lightweight DDoS flooding attack detection using NOX/OpenFlow, Mehdi S A, Khalid J, Khayam S.
  2. FLOWGUARD: Building robust firewalls for software-defined networks, Hu H, Han W, Ahn G J, et al.
  3. 浅析SDN安全需求和安全实现, 周苏静.
  4. Analysis of SDN Contributions for Cloud Computing Security, Jesus W P D, Silva D A D, Frota F V L D.

 

*来源:Armoury LaiW3n  Mottoin小编整理发布

原创文章,作者:Moto,如若转载,请注明出处:http://www.mottoin.com/article/network/85799.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code