网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

从1969年ARPANET运行算起，传统网络已经发展了半个世纪，网络按照OSI的模型分成7层，通常所见最多的是二层和三层。二层就是二层交换机构成的网络，在这个网络中交换机学习mac地址和端口的对应关系，通过匹配二层报文的mac地址决定如何转发。而SDN相比传统网络具有很多优点，比如控制与转发分离，这种思想打破了传统设备供应商的绑定，提高了新业务的部署速度，可以从整个网络层面对流量进行优化等等。在SDN网络中，不管是开发人员还是用户，都可以更多的发挥自己的想象，而不用再受各种RFC的强力约束。

　　软件定义网络(SDN)技术将网络控制转移到专用SDN控制器上，由它负责管理和控制虚拟网络和物理网络的所有功能。由于SDN安全策略实现了这种隔离和控制，所以它支持更深层次的数据包分析、网络监控和流量控制，对于防御网络攻击有很大帮助。据Infonetics研究机构指出，软件定义网络（SDN）技术将会给业界带来更加灵活、更具响应性的网络基础设施。下面小编就来谈一谈SDN吧！

　　软件定义监控的兴起

　　最近，微软宣布了它在内部使用了一种自行开发且基于OpenFlow的网络分流聚合平台(称为分布式以太网监控，DEMON)。这个工具可用于处理微软云网络的大规模流量。以前，其内部的成千上万个连接与网络流已经超出了传统分流与捕捉机制(如SPAN或端口镜像)的处理能力。

　　通过使用可编程的灵活交换机和其他网络设备，让它们作为数据包拦截和重定向平台，安全团队就可以检测和防御目前的各种常见攻击。许多行业将SDN驱动的安全分析技术称为软件定义监控(SDM)。在SDM中，SDN交换机作为数据包分析设备，而控制器则作为监控和分析设备。

　　使用SDN监控安全性和分析数据包

　　首先，来自IBM、Juniper、惠普和AristaNetworks等供应商的相对较便宜的消费类可编程SDN交换机，可用于取代较昂贵的数据包分析设备。与微软的用例类似，大量的个人连接和数据流聚合到一起发送到多个安全数据包捕捉与分析平台。第一层交换机可用于捕捉和转发数据包，然后第二层(或者第三层)设备终止第一层的监控端口。此外，这些交换机还可以聚集流量，将数据流和统计数据发送到其他监控设备和平台。

　　兼容OpenFlow(最好也兼容sFlow)的SDK控制器可用于编程实现和管理多种兼容SDN的交换机，如BigSwitch控制器。同时，安全监控堆叠软件产品(BigSwitch的BigTap)可以帮助工程师编程实现更加细粒度的过滤和端口分配功能，从而在SDN交换机上模拟出传统分流功能。

　　在这种环境中，多个层次的数据包分析工具可以从SDM端口接收流量。SDM端口可以连接各种硬件工具，如数据包分析设备和网络侦测设备，也可以连接基于软件的协议分析器，如Wireshark。

我们可以从上文了解到SDN有管理和控制虚拟网络的功能，可以检测和防御目前的各种常见攻击，那么下面我们就来看看SDN安全策略是如何防御网络攻击的！

　　SDN安全策略如何防御网络攻击

　　SDN可以为最复杂的环境提供更高级的网络监控功能。因此，控制器和交换机就能够分辨各种数据包属性。例如，这样就可以自动阻挡或卸载拒绝服务(DoS)攻击。实际上，SDN可以防御许多攻击：

　　1.淹没攻击，如SYN洪水攻击：这些攻击包含大量只设置了SYN标记的TCP数据包。它们会占用带宽，也会填满目标系统的连接队列。基于SDN开发的交换机可以作为第一道防御线，分辨特定模式和设定一段特定时间内来自一个或多个来源的数据包容量临界值。然后，这些交换机可以选择丢弃数据包，或者使用其他技术和协议将它重定向到其他目标。大多数路由器和其他网络平台都没有这样细致的控制机制。