崇慶春

(射陽縣人民政府 信息中心,江蘇 射陽 224300)

0 引言

傳統(tǒng)安全防御技術(shù)只是運用了單一的安全設(shè)備。這些安全設(shè)備在防護過程中最常用的手段就是對鏈中的某一項內(nèi)容進行阻斷或攻擊,具有單點性、靜態(tài)性的特征。 盡管曾經(jīng)取得過良好的安全防護效果,但由于當前網(wǎng)絡(luò)攻擊具有較強的隱蔽性、全面性,因此防御效果不佳[1-2]。 怎樣才能讓防火墻核心異構(gòu)冗余集群更好地與安全設(shè)備相整合,在應(yīng)對網(wǎng)絡(luò)攻擊中產(chǎn)生良好的協(xié)同效應(yīng),能在第一時間內(nèi)響應(yīng)網(wǎng)絡(luò)攻擊,是防御技術(shù)升級、防御面擴大的重點內(nèi)容。 本文以動態(tài)聯(lián)動機制為基點創(chuàng)建SDN 防火墻,希望能增強防御的主動性,讓上述問題迎刃而解。

1 架構(gòu)設(shè)計

1.1 整體架構(gòu)

本文設(shè)計的架構(gòu)主要包含3 大部分:SDN 防火墻、控制器集群系統(tǒng)和IDS 聯(lián)動防御系統(tǒng)。 該設(shè)計緊密地把IDS 自動安全架構(gòu)與冗余異構(gòu)的控制器核心集群相銜接,以聯(lián)動、動態(tài)的形式實施網(wǎng)絡(luò)安全防護,增強區(qū)域之內(nèi)安全防御的主動性。 SDN 防火墻聯(lián)動防御架構(gòu)如圖1 所示。

圖1 控制系統(tǒng)網(wǎng)絡(luò)

如果在區(qū)域中出現(xiàn)了攻擊流量,SDN 防火墻的入侵檢測模塊將自動化分析這一流量并及時把分析結(jié)果反饋給決策層。 如果驗明屬于正常業(yè)務(wù)流量,則允許其通行;若認定為惡意行為的攻擊流量,決策層會及時把流量表下發(fā)給控制器集群,并及時對安全策略進行更新,下達新指令。 在這種情況下,決策層能及時審查每組控制器所處的狀態(tài),與主控制器組協(xié)同控制所有的控制器信息,把表流下發(fā)給下聯(lián)SDN 交換機且適時調(diào)整安全策略。 只要有惡意流量通過SDN 交換機,被識別后都將會被阻攔或更改流表,自動對惡意攻擊進行攔截,以達到直接阻斷攻擊源的目的。

1.2 SDN 防火墻控制器集群架構(gòu)

當前,云計算已經(jīng)被引入多家企業(yè),具有規(guī)模大、體量大的鮮明特征。 流量規(guī)模如此之大是SDN 控制器不能承載的,但為了增強其拓展性、安全性、恢復(fù)性,避免單個控制器受到猛烈攻擊,滿足核心設(shè)備的冗余需求,需要同時運用多個控制器,確保網(wǎng)絡(luò)運行能始終保持穩(wěn)定[3-4]。 控制器集群之間的通信是成對出現(xiàn)的,而且要與網(wǎng)絡(luò)狀態(tài)趨于統(tǒng)一。 所以,要把同樣的共識算法引入所有的控制器之中,類似于RAFT,PAXOS 等,采用同樣的控制器表決器增強SDN 防火墻控制核心的負載能力。 在這方面,Floodlight,Ryu 等都是不錯的選擇。

1.3 SDN 防火墻與IDS 聯(lián)動架構(gòu)

SDN 防火墻與入侵檢測模塊的聯(lián)動架構(gòu),如圖2所示。

圖2 聯(lián)動架構(gòu)流程

2 功能模塊及工作流程

2.1 SDN 防火墻控制器集群模塊

通常情況下,傳統(tǒng)防火墻系統(tǒng)具有單一化的特征,0-Day 漏洞的存在必定會遭到入侵攻擊。 SDN 技術(shù)是建立在數(shù)據(jù)平面解耦與控制平臺的基礎(chǔ)之上,對分層結(jié)構(gòu)體系的控制將更加靈活。 以此為基礎(chǔ),本文設(shè)計的SDN 防火墻控制器集群架構(gòu),如圖3 所示。 該架構(gòu)的主要功能有:(1)對控制器進行協(xié)調(diào),由此形成統(tǒng)一化、全局化的網(wǎng)絡(luò)拓撲圖。 (2)對流表策略進行統(tǒng)一調(diào)配,增強控制集群核心穩(wěn)定性。

圖3 SDN 防火墻控制器集群架構(gòu)

2.2 SDN 防火墻控制器決策模塊

每一種控制器系統(tǒng)集群都是由多樣化的控制器構(gòu)成的,采用控制器系統(tǒng)決策算法,能動態(tài)化地選擇最合理的管理組控制器及時下達相應(yīng)的策略。 如果控制器系統(tǒng)遇到了攻擊者,攻擊難度會持續(xù)增加,成本也得到了控制,避免控制器被入侵之后惡意發(fā)送流表情況的發(fā)生,從整體上增強SDN 防火墻架構(gòu)的魯棒性。

在這個SDN 防火墻系統(tǒng)之中,控制器系統(tǒng)調(diào)度模塊主要存在于控制平面之中,這一模塊承擔著整個系統(tǒng)對控制器核心系統(tǒng)做出決策、進行調(diào)度的責(zé)任,由如下4 部分構(gòu)成。

(1)轉(zhuǎn)發(fā):把拓撲與狀態(tài)信息及時采集并匯總,將其發(fā)送到每一個控制器系統(tǒng)之中,結(jié)合這一控制器系統(tǒng)扮演的角色檢測流表的一致性。

(2)監(jiān)測:最關(guān)鍵的一項功能就是對控制器系統(tǒng)的鏈路連接狀態(tài)進行檢測,及時識別異常情況。 與提前設(shè)定的標準值實施對比,如果吞吐量、延遲有了較為明顯的改變,則需判斷控制器系統(tǒng)是否遭到攻擊,并及時把對比結(jié)果傳送到表決器之中。

(3)決策:主要是借助于監(jiān)測了解每一個控制器系統(tǒng)的流表情況,實施一致性對比活動。 如果控制器系統(tǒng)的數(shù)量為N個,遭到攻擊之后,只能同時影響到(N+1)/2 個控制器系統(tǒng)同,處于安全狀態(tài)的流表規(guī)則畢竟為多數(shù);如果存在與之不同的可疑控制器系統(tǒng),則需要標識這一系統(tǒng)且對調(diào)度程序予以告知。

(4)調(diào)度:主要是從控制器集群之中的控制器系統(tǒng)做出選擇,把最合理的3 個或多個視作實時控制器系統(tǒng),對其中的流表規(guī)則實施對比。 可采取兩種方式在控制器中進行靈活切換:第一種方式,在設(shè)定安全周期時運用定時器,控制器系統(tǒng)工作達到設(shè)定時間之后,從集群剩余的控制器系統(tǒng)中做出新的選擇,確定合適的實時控制器系統(tǒng),在檢測時嚴格遵守控制器規(guī)則。 第二種方式,在審計對比中決策器時,一旦識別異常情況要馬上發(fā)出警報,按調(diào)度程序在實時控制器系統(tǒng)中做出靈活切換,確保SDN 防火墻控制器系統(tǒng)的安全性得到保障。

SDN 控制器決策模塊按如下步驟進行:轉(zhuǎn)發(fā)器動態(tài)化收集狀態(tài)信息,及時將其傳遞給控制器,監(jiān)測器要對控制器系統(tǒng)進行實時跟蹤,以便于識別異常情況。如果沒有發(fā)出警報,則要按提前設(shè)定的安全周期,借助于調(diào)度器向決策器發(fā)送相應(yīng)的指令,及時在各個管理組之間進行調(diào)整、切換。 如果監(jiān)控器發(fā)現(xiàn)了不同于審計規(guī)則的內(nèi)容或是鏈路出現(xiàn)了故障,在第一時間內(nèi)將情況反饋給決策器,分析當前的安全態(tài)勢,實時化標記入侵的控制器系統(tǒng)。 根據(jù)SDN 防火墻控制器集群中余下部分的具體情況,再次從中選擇實時控制器系統(tǒng)組,向調(diào)度器下達關(guān)閉帶有標記的控制器系統(tǒng)的指令,新的控制器系統(tǒng)組被調(diào)用,流表規(guī)則審計功能正式恢復(fù),安全周期由此實現(xiàn)了更新。 重復(fù)上述步驟之后,SDN防火墻控制器將始終保持穩(wěn)定狀態(tài)。 SDN 防火墻控制器決策系統(tǒng)架構(gòu)如圖4 所示。

圖4 SDN 防火墻控制器決策系統(tǒng)架構(gòu)

2.3 SDN 防火墻與IDS 聯(lián)動防御模塊

當系統(tǒng)中出現(xiàn)了新的網(wǎng)絡(luò)流量,流量最先進入SDN 交換機。 由于交換機上設(shè)立了IDS 模塊,能及時對這些流量進行掃描,辯明其是否正常,如果將其確認為正常流量,不需要對其進行任何處理,放行并允許其訪問核心業(yè)務(wù)系統(tǒng)。 如果經(jīng)過監(jiān)測后將其認定為惡意流量,IDS 模塊能直接發(fā)出報警,把具備這種特征的流量一并存儲于數(shù)據(jù)庫之中,且向SDN 控制器發(fā)出通知。SDN 控制器接口會對接收到的報警日志進行讀取,了解惡意流量來自哪一個IP 地上,自動化把這些信息匯總進SDN 控制器的流表之中,由此制定安全策略且將其下發(fā)至SDN 交換機。 整個流程的實施,SDN與IDS 之間在安全防御方面形成了良好的協(xié)同與聯(lián)動,能自動下發(fā)安全策略,防御效率得到了有效提升,產(chǎn)生了實時化的防御效果。 入侵檢測模塊的工作流程如圖5 所示。

圖5 入侵檢測模塊聯(lián)動工作流程

在本系統(tǒng)中,入侵檢測模塊需要及時把生成的告警信息反饋給SDN 控制器中,確保惡意攻擊能被及時攔截在外面,如圖6 所示。 在這一模塊中,不僅要動態(tài)化監(jiān)聽網(wǎng)絡(luò)流量,而且要適時分析,結(jié)合原有特征庫、規(guī)則庫及行為標識,及時對流量進行檢測、查詢,一旦識別了惡意流量,將自動生成報警并在報警中對惡意流量的具體特征進行描述。

圖6 入侵檢測過程

SDN 控制器與IDS 聯(lián)動防御系統(tǒng)實現(xiàn)了無縫銜接。 當防御區(qū)域有流量進入后,SDN 交換機能自動化將其發(fā)送至控制器之中,控制器以IDS 規(guī)則檢測為依托,把所有符合規(guī)則的流量進行記錄且生成告警日志。警報解釋器接收告警日志之后對其中的信息進行解析,指明攻擊類型、攻擊的IP、來自哪一個IP 等。 對這些內(nèi)容進行梳理并將具體情況反饋給SDN 控制器,由此生成相應(yīng)的OpenFlow 規(guī)則條目,再發(fā)布給每一個區(qū)域的SDN 交換機更新流表。 歷經(jīng)這樣的流程,將自動攔截惡意流量,如果日后再次有此類流量進入系統(tǒng),利用前期生成的流量標識與流表,能及時把流量丟棄并采用合適的對策對惡意行為予以處理,提升防護效果。

3 結(jié)語

本文針對傳統(tǒng)防火墻防御聯(lián)動機制差的問題,提出了一種基于SDN 的防火墻主動防御系統(tǒng),該系統(tǒng)可以進行動態(tài)聯(lián)動防御機制,彌補了傳統(tǒng)防火墻面臨未知漏洞攻擊而防御不足的問題。 本文的研究實現(xiàn)了自動化網(wǎng)絡(luò)安全策略部署,可以對多數(shù)的網(wǎng)絡(luò)攻擊形成自動攔截功能,減輕了網(wǎng)絡(luò)信息管理者的工作負擔,提升了網(wǎng)絡(luò)安全防護效能。