您好, 访客   登录/注册

基于SDN的港口安全资源池建设

来源:用户上传      作者:

  摘   要:为防范港口业务和各种信息化应用的快速增加对网络安全带来的冲击,文章基于软件定义网络(Software Defined Network,SDN)平台实现安全设备资源池化进行了研究,针对不同品牌、不同类型的安全设备,通过SDN平台实现港口网络安全设备统一集中调配使用,最大化地发挥安全设备的功能和性能,增加安全设备的可靠性,避免因设备切换所造成的网络中断,同时针对港口网络出口的网络安全设备及相关核心设备进行资源重新整合,以满足港口业务对网络安全的全新要求。
  关键词:港口;SDN;安全资源池;安全服务链;软件定义安全
  中图分类号: TP393          文献标识码:B
  Abstract: Research and Application of Port Network Security Resource Pooling Platform Abstract: In order to ensure the impact of the rapid increase of port business and various information applications on network security, this paper studies the port based on SDN platform to realize the security equipment resource pool. The port network has existing brands and different types. The security equipment realizes the unified deployment of the existing security equipment of the port network through the SDN platform, maximizing the function and performance of the security equipment, increasing the reliability of the security equipment, avoiding network interruption caused by equipment switching, and targeting the port. The network security equipment and related core equipment of the network outlet re-integrate resources to meet the new requirements of the port business for network security.
  Key words: port; SDN; secure resource pool; security service chain; software defined security
  1 引言
  随着物联网、云计算、大数据等新一代信息技术的快速发展,不断提升港区软实力实现港口网络安全管理,满足网络安全设备智能管理的需求,为港口业务系统提供强有力的安全保障,成为了港口网络安全建设的发展方向。软件定义安全的架构将成为对抗安全事件的利器,但对目前如何保证港口网络不同品牌的安全设备统一管理,实现安全资源池化,还存在诸多的问题[1]。基于SDN的安全服务链方案可较好地解决目前所面临的问题,并能够提供弹性、按需和敏捷的安全服务。
  文章基于软件定义安全的架构,设计了一套资源池系统,将安全设备完全以虚拟化的形式放入资源池,并做统一调度管理[2]。软件定义安全解决了港口业务系统中各个安全设备的可靠部署和自动化运维的问题,所以采用基于SDN安全服务链的方式让港口网络安全变的更灵活、更具弹性。
  2  港口网络安全现状
  2.1  安全设备运维复杂
  目前,港口网络安全防护设备整体结构采用串接的部署方式,如果需对安全设备进行更换或维护等操作,就会涉及到主用设备与备用设备的切换,不可避免的会对网络产生影响,甚至会造成港口网络业务的中断。
  为了保证港口业务系统的数据安全,港口网络部署了不同品牌、不同功能的安全产品,各个安全产品的工作相对独立,无法统一的规划安全策略和流量,且各个安全设备之间无法实现联动。
  2.2  安全设备利用率低
  港口网络为了保证其可靠性,安全设备大都采用主备模式部署,但主备模式部署的利用率较低,无法充分满足当前业务流量对带宽的需求。因为采用主备的模式部署,网络所有业务流量只运行在主用设备上,备用设备无流量经过,所以网络利用率较低(只有50%的利用率),但随着港口业务系统的大量上线,主备模式已无法满足现有业务对带宽的需求。
  2.3  网络稳定性差
  因为港口安全设备采用的是串行部署,当安全设备出现故障时,主用设备与备用设备之间的切换会对网络产生影响,甚至造成网络中断,从而影响港口业务系统的正常使用。
  2.4  网络安全投入成本较高
  港口购买安全设备时,要考虑串行部署所有流量均需要经过每个安全设备,为了避免造成网络瓶颈,需要采购性能相对高端的安全设备,所以每次对安全设备的升级更新投入成本较高。实际上不同的安全设备处理不同的流量,不需要所有流量经过每一台安全设备,如果能够进行分流,可以降低部分安全设备的性能。
  3  港口网络安全资源池关键技术研究
  通过对港口网络安全设备及相关核心设备重新进行資源整合,将安全设备旁挂在核心设备或引流设备旁边,形成安全资源池,并可以根据区域、关键节点流量去查看对应的风险,同时明显地提高安全响应速度和效率。通过自动化的安全策略部署可对安全威胁进行有效的控制,防止和降低其对网络和业务的影响。由于采用旁挂引流的方式,可实现安全设备流量的负载均衡,提高设备利用率,降低传统串接部署设备性能瓶颈的问题。更换或更新安全设备时,也不会影响整个网络的运行,即使安全设备故障,采用逃生机制也会保证网络及业务的正常运行。   在整体的技术方案中,用户的操作全部在SDN控制器端完成,因此除了一些必要的设备端配置外,基本上整个服务链的创建、维护等过程都是通过SDN控制器完成[3]。SDN控制器会生成相关流表并通过OpenFlow协议[4]下发流表到核心设备或引流设备上,完成后续的引流操作,从而实现将指定流量按需转发到各个安全设备节点并最终实现安全资源池化。
  4  基于SDN的港口网络安全资源池的建设与应用
  4.1  构建网络安全资源池体系
  在港口网络部署SDN控制器以及引流网络设备,通过对现有安全设备的旁挂部署,构建网络安全资源池。网络安全资源池能够对港口的网络安全实现更高效、更精准的安全防护。安全设备是采用逻辑旁挂的方式进行部署,若需要对安全设备进行升级、配置和维护等操作,不会对网络造成中断,不会影响港口业务的正常使用,从而保证业务的连续性。
  原来主备的部署方式改为双活的部署方式,实现网络及出口带宽的充分利用,满足港口业务未来对带宽的需求。实现安全资源池方案后,即使某台安全设备故障,SDN控制器会通过Bypass等功能,将流量放行或将流量引入到其他安全设备,避免港口网络中断,保证业务正常运行。安全能力适应业务弹性扩展的需求,在新业务上线或原有业务扩容时,不必改变现有网络结构,通过基于软件定义的服务编排方式,将所需安全能力立即在线部署。
  通过优化网络安全设备后,不同功能的安全设备按需要处理不同的业务流量,各安全设备分工明确,避免所有流量都经过每一台安全设备(即使是该安全设备不需要处理的流量)。优化后的安全架构对安全设备的性能和吞吐量要求相应会降低,后续可以减少安全设备的采购成本,还可实现不同厂家、不同种类的安全设备统一的流量管理,统一规划安全策略,充分利用现有的安全资源,充分保证港口网络的安全性。
  4.2  网络安全资源池部署
  通过对网络安全设备及相关核心设备进行资源重新整合,将安全设备旁挂在引流设备旁边,形成安全资源池。形成的安全资源池可实现图形化界面帮助用户直观了解全网安全态势,并可以根据不同区域和关键节点流量去查看对应的风险,明显地提高了安全响应速度和效率。通过自动化的安全策略部署可对安全威胁进行有效的控制,防止和减少对网络及业务的影响。由于采用旁挂引流的方式,可实现安全设备流量的负载均衡,提高设备的利用率,解决传统串接部署设备性能瓶颈的问题[5]。更换或更新设备时也不会影响整个网络的运行,即使安全设备故障,采用逃生机制也会保证网络及业务的正常运行。同时,在网络中部署SDN控制器,实现对安全资源的流量分配。基于SDN的安全资源池作为整体网络安全设备的控制器,对整个网络资源进行全局把控,生成统一的全局资源视图[6],具备网络安全设备的编排能力。能够根据用户的需求,创建不同的防护链,对各个防护链上的安全设备类型以及不同产品的先后防护顺序进行编排,传送不同的业务访问流进入相应的防护链。
  基于SDN的安全资源池可以实现并行扩展,安全编排可以跨节点操作,全局池化基本力提供高可用、冗余、弹性、在线扩容等保障,充分实现灵活的安全能力编排、安全实时在线、安全路径可控、安全路径冗余以及安全路径隔离等功能。
  为保证安全能力实时在线,基于SDN的安全资源池设计监控模块对安全路径和安全设备进行监控,当安全设备出现问题时对其进行替换,保证防护链的安全能力;当安全路径传输数据为零,冗余备用路径有传输数据时,自动切换当前传输路径至冗余备用路径,保证业务系统的正常通信及安全防护。基于SDN的安全资源池通过设置不同的数据传输映射表来分离不同的安全防护链,隔离不同业务系统的传输数据,保证数据的底层传输安全。
  这种部署方式的好处是无需改动现网的整体配置,仅需额外增加一台独立的交换设备和控制器[7]就可实现出口“糖葫芦串”的整改,网络改动工作量小,同时兼容现有网络的任意部署配置。
  4.3  网络安全资源池实现过程
  4.3.1创建服务链
  在整个实现过程中,除了一些必要的设备端配置外,基本上整个服务链的创建、维护等过程都是通过SDN控制器完成。在控制器上创建服务链通过创建服务链名称、指定业务流及指定该业务流所需要经过的节点以及顺序几步完成。
  完成这个设置后控制器会生成相关流表并通过OpenFlow协议下发流表到交换设备上完成后续的引流操作,从而实现将指定流按需转发到各个节点并最终形成Service Chain功能。
  4.3.2 引流模式与部署
  创建了服务链之后,控制器下發相关的OpenFlow流表[8,9]并转义成交换设备可识别的转发规则。Service Chain节点(安全设备等)通常同时支持引流模式为路由模式和透明模式。本次部署采用路由模式。
  当处于路由模式时,针对P1-P9的某三层转发的流设计如图3所示Service Chain流量模型。
  首先控制器下发组规则(Group1),该规则选择从端口1输入的某种特定特征的报文,选择从端口P3、P5之一输出,同时修改对应的SMAC/DMAC/VLAN为指定值。在交换端的实现需要转义成ECMP的方式完成。由于控制器没有也无法指定散列规则,因此散列的方式由芯片本身决定。由于控制器无法掌握该特征流会走P3、P5哪条路径,因此在下一个规则设置时必须同步两条表项(Flow1和Flow2),使得特征报文无论从P4还是P6输入都将继续走P7端口。当从P4、P6的数据流回流到交换时,需要分别进行Flow1、Flow2的流匹配才能继续后续的转发规则。
  4.4  网络安全资源池实现效果
  4.4.1实现物理网络及安全设备弹性扩展
  旁挂部署的方式消除了单点故障,同时避免串接设备主备切换而引起的网络中断问题。如果旁挂的安全设备出现问题,可利用SDN智能Bypass功能,保证业务不中断。因为SDN是标准开放的接口[10],其策略主要下发给核心引流设备,所以旁挂的安全设备可以使用多种品牌的设备,可充分保护港口网络现有投资。   4.4.2 保证港口业务的弹性扩展
  增加和删除旁挂设备时,不会引起断网。因为设备是采用旁挂方式,并且利用SDN动态引流,增加新设备时,网络不会产生中断,待设备运行正常稳定后,再把相应的流量动态牵引过来,恢复正常。同时,在删除设备之前,可以用SDN动态的把承载在这台物理设备上面的流量先牵引走,然后再删除该设备。可实现按需引流,根据实际业务需要,动态牵引流量到需要的安全资源上,充分利用设备和带宽资源。通过这种方式,将避免出现不相关的流量大量占用设备和链路资源的现象。
  4.4.3 全面掌控港口网络实时安全情况
  SDN控制的网络出口,提供图形化界面,简化维护工作,满足不同层面网络管理人员的个性化需求,大大减轻了运维的压力,有效提升了运维效率。更好的抽象业务层面,维护人员可以更多的关注业务层面,从业务的角度更便捷的去定义业务流的处理方式,以及承载业务流的网络设备之间的逻辑关系。
  5 结束语
  安全资源池技术可进一步加强港口网络的安全防护,为港口业务系统提供安全保障,提高港口各业务系统的安全防护等级。通过构建网络安全资源池,可实现对港口网络更高效、更精准的安全防护,消除安全设备单点故障,避免安全设备主备切换带来的风险。提高整网安全设备的利用率,降低运维难度,保护用户投资,减少用户未来对安全设备投入的成本,具有较强的推广价值。
  参考文献
  [1] 雷中锋.关于软件定义网络SDN的三大误区[J].信息技术与信息化,2019(10):142-143.
  [2] 郑毅.SDN的特征、发展现状及趋势[C].中國通信学会信息通信网络技术委员会、《电信科学》杂志/2013年中国通信学会信息通信网络技术委员会年会论文集/中国通信学会信息通信网络技术委员会、《电信科学》杂志/人民邮电出版社电信科学编辑部,2013:154-155.
  [3] 赵慧玲,冯明,史凡.SDN—未来网络演进的重要趋势[J].电信科学,2012,(11):1-5.
  [4] 周嵩岑,李曦.SDN技术及其在等级保护体系中的应用[J].网络空间安全,2017,(12):5-7.
  [5] 郭春梅,张如辉,毕学尧.SDN网络技术及其安全性研究[J].信息网络安全,2012,(08):112-114.
  [6] 李淑玲,尚萍.基于SDN的技术化网络设计—以某大型医院为例[J].电脑知识与技术,2019,15(21):44-46.
  [7] 李建新.浅析SDN安全需求和安全实现[J].中小企业管理与科技(中旬刊),2019(10):173-174.
  [8] 张淑玲.基于OpenFlow的软件定义网络SDN[J].电子元器件与信息技术,2018,(12):42-44+135
  [9] 严琼.浅析SDN架构及其安全性[J].电子制作,2016,(17):86+88.
  [10] 刘楚,赵正一,张沛.全球SDN技术标准进展[J].通信世界, 2013,(15):36-37.
  作者简介:
  张华(1978-),男,汉族,山东诸城人,解放军信息工程大学,本科,青岛港科技有限公司,工程师;主要研究方向和关注领域:网络信息安全。
  岳皓(1996-),男,汉族,山西长治人,中北大学信息商务学院,本科,青岛港科技有限公司,工程师;主要研究方向和关注领域:网络信息安全。
转载注明来源:https://www.xzbu.com/1/view-15250763.htm