基于SDN的港口安全資源池建設(shè)

張華　岳皓

摘? ?要：為防范港口業(yè)務(wù)和各種信息化應(yīng)用的快速增加對網(wǎng)絡(luò)安全帶來的沖擊，文章基于軟件定義網(wǎng)絡(luò)（Software Defined Network，SDN）平臺實(shí)現(xiàn)安全設(shè)備資源池化進(jìn)行了研究，針對不同品牌、不同類型的安全設(shè)備，通過SDN平臺實(shí)現(xiàn)港口網(wǎng)絡(luò)安全設(shè)備統(tǒng)一集中調(diào)配使用，最大化地發(fā)揮安全設(shè)備的功能和性能，增加安全設(shè)備的可靠性，避免因設(shè)備切換所造成的網(wǎng)絡(luò)中斷，同時(shí)針對港口網(wǎng)絡(luò)出口的網(wǎng)絡(luò)安全設(shè)備及相關(guān)核心設(shè)備進(jìn)行資源重新整合，以滿足港口業(yè)務(wù)對網(wǎng)絡(luò)安全的全新要求。

關(guān)鍵詞：港口;SDN;安全資源池;安全服務(wù)鏈;軟件定義安全

中圖分類號： TP393? ? ? ? ? 文獻(xiàn)標(biāo)識碼：B

Abstract： Research and Application of Port Network Security Resource Pooling Platform Abstract： In order to ensure the impact of the rapid increase of port business and various information applications on network security， this paper studies the port based on SDN platform to realize the security equipment resource pool. The port network has existing brands and different types. The security equipment realizes the unified deployment of the existing security equipment of the port network through the SDN platform， maximizing the function and performance of the security equipment， increasing the reliability of the security equipment， avoiding network interruption caused by equipment switching， and targeting the port. The network security equipment and related core equipment of the network outlet re-integrate resources to meet the new requirements of the port business for network security.

Key words： port; SDN; secure resource pool; security service chain; software defined security

1 引言

隨著物聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)等新一代信息技術(shù)的快速發(fā)展，不斷提升港區(qū)軟實(shí)力實(shí)現(xiàn)港口網(wǎng)絡(luò)安全管理，滿足網(wǎng)絡(luò)安全設(shè)備智能管理的需求，為港口業(yè)務(wù)系統(tǒng)提供強(qiáng)有力的安全保障，成為了港口網(wǎng)絡(luò)安全建設(shè)的發(fā)展方向。軟件定義安全的架構(gòu)將成為對抗安全事件的利器，但對目前如何保證港口網(wǎng)絡(luò)不同品牌的安全設(shè)備統(tǒng)一管理，實(shí)現(xiàn)安全資源池化，還存在諸多的問題[1]?；赟DN的安全服務(wù)鏈方案可較好地解決目前所面臨的問題，并能夠提供彈性、按需和敏捷的安全服務(wù)。

文章基于軟件定義安全的架構(gòu)，設(shè)計(jì)了一套資源池系統(tǒng)，將安全設(shè)備完全以虛擬化的形式放入資源池，并做統(tǒng)一調(diào)度管理[2]。軟件定義安全解決了港口業(yè)務(wù)系統(tǒng)中各個(gè)安全設(shè)備的可靠部署和自動(dòng)化運(yùn)維的問題，所以采用基于SDN安全服務(wù)鏈的方式讓港口網(wǎng)絡(luò)安全變的更靈活、更具彈性。

2? 港口網(wǎng)絡(luò)安全現(xiàn)狀

2.1? 安全設(shè)備運(yùn)維復(fù)雜

目前，港口網(wǎng)絡(luò)安全防護(hù)設(shè)備整體結(jié)構(gòu)采用串接的部署方式，如果需對安全設(shè)備進(jìn)行更換或維護(hù)等操作，就會涉及到主用設(shè)備與備用設(shè)備的切換，不可避免的會對網(wǎng)絡(luò)產(chǎn)生影響，甚至?xí)斐筛劭诰W(wǎng)絡(luò)業(yè)務(wù)的中斷。

為了保證港口業(yè)務(wù)系統(tǒng)的數(shù)據(jù)安全，港口網(wǎng)絡(luò)部署了不同品牌、不同功能的安全產(chǎn)品，各個(gè)安全產(chǎn)品的工作相對獨(dú)立，無法統(tǒng)一的規(guī)劃安全策略和流量，且各個(gè)安全設(shè)備之間無法實(shí)現(xiàn)聯(lián)動(dòng)。

2.2? 安全設(shè)備利用率低

港口網(wǎng)絡(luò)為了保證其可靠性，安全設(shè)備大都采用主備模式部署，但主備模式部署的利用率較低，無法充分滿足當(dāng)前業(yè)務(wù)流量對帶寬的需求。因?yàn)椴捎弥鱾涞哪Ｊ讲渴?，網(wǎng)絡(luò)所有業(yè)務(wù)流量只運(yùn)行在主用設(shè)備上，備用設(shè)備無流量經(jīng)過，所以網(wǎng)絡(luò)利用率較低（只有50%的利用率），但隨著港口業(yè)務(wù)系統(tǒng)的大量上線，主備模式已無法滿足現(xiàn)有業(yè)務(wù)對帶寬的需求。

2.3? 網(wǎng)絡(luò)穩(wěn)定性差

因?yàn)楦劭诎踩O(shè)備采用的是串行部署，當(dāng)安全設(shè)備出現(xiàn)故障時(shí)，主用設(shè)備與備用設(shè)備之間的切換會對網(wǎng)絡(luò)產(chǎn)生影響，甚至造成網(wǎng)絡(luò)中斷，從而影響港口業(yè)務(wù)系統(tǒng)的正常使用。

2.4? 網(wǎng)絡(luò)安全投入成本較高

港口購買安全設(shè)備時(shí)，要考慮串行部署所有流量均需要經(jīng)過每個(gè)安全設(shè)備，為了避免造成網(wǎng)絡(luò)瓶頸，需要采購性能相對高端的安全設(shè)備，所以每次對安全設(shè)備的升級更新投入成本較高。實(shí)際上不同的安全設(shè)備處理不同的流量，不需要所有流量經(jīng)過每一臺安全設(shè)備，如果能夠進(jìn)行分流，可以降低部分安全設(shè)備的性能。

3? 港口網(wǎng)絡(luò)安全資源池關(guān)鍵技術(shù)研究

通過對港口網(wǎng)絡(luò)安全設(shè)備及相關(guān)核心設(shè)備重新進(jìn)行資源整合，將安全設(shè)備旁掛在核心設(shè)備或引流設(shè)備旁邊，形成安全資源池，并可以根據(jù)區(qū)域、關(guān)鍵節(jié)點(diǎn)流量去查看對應(yīng)的風(fēng)險(xiǎn)，同時(shí)明顯地提高安全響應(yīng)速度和效率。通過自動(dòng)化的安全策略部署可對安全威脅進(jìn)行有效的控制，防止和降低其對網(wǎng)絡(luò)和業(yè)務(wù)的影響。由于采用旁掛引流的方式，可實(shí)現(xiàn)安全設(shè)備流量的負(fù)載均衡，提高設(shè)備利用率，降低傳統(tǒng)串接部署設(shè)備性能瓶頸的問題。更換或更新安全設(shè)備時(shí)，也不會影響整個(gè)網(wǎng)絡(luò)的運(yùn)行，即使安全設(shè)備故障，采用逃生機(jī)制也會保證網(wǎng)絡(luò)及業(yè)務(wù)的正常運(yùn)行。

在整體的技術(shù)方案中，用戶的操作全部在SDN控制器端完成，因此除了一些必要的設(shè)備端配置外，基本上整個(gè)服務(wù)鏈的創(chuàng)建、維護(hù)等過程都是通過SDN控制器完成[3]。SDN控制器會生成相關(guān)流表并通過OpenFlow協(xié)議[4]下發(fā)流表到核心設(shè)備或引流設(shè)備上，完成后續(xù)的引流操作，從而實(shí)現(xiàn)將指定流量按需轉(zhuǎn)發(fā)到各個(gè)安全設(shè)備節(jié)點(diǎn)并最終實(shí)現(xiàn)安全資源池化。

4? 基于SDN的港口網(wǎng)絡(luò)安全資源池的建設(shè)與應(yīng)用

4.1? 構(gòu)建網(wǎng)絡(luò)安全資源池體系

在港口網(wǎng)絡(luò)部署SDN控制器以及引流網(wǎng)絡(luò)設(shè)備，通過對現(xiàn)有安全設(shè)備的旁掛部署，構(gòu)建網(wǎng)絡(luò)安全資源池。網(wǎng)絡(luò)安全資源池能夠?qū)Ω劭诘木W(wǎng)絡(luò)安全實(shí)現(xiàn)更高效、更精準(zhǔn)的安全防護(hù)。安全設(shè)備是采用邏輯旁掛的方式進(jìn)行部署，若需要對安全設(shè)備進(jìn)行升級、配置和維護(hù)等操作，不會對網(wǎng)絡(luò)造成中斷，不會影響港口業(yè)務(wù)的正常使用，從而保證業(yè)務(wù)的連續(xù)性。

原來主備的部署方式改為雙活的部署方式，實(shí)現(xiàn)網(wǎng)絡(luò)及出口帶寬的充分利用，滿足港口業(yè)務(wù)未來對帶寬的需求。實(shí)現(xiàn)安全資源池方案后，即使某臺安全設(shè)備故障，SDN控制器會通過Bypass等功能，將流量放行或?qū)⒘髁恳氲狡渌踩O(shè)備，避免港口網(wǎng)絡(luò)中斷，保證業(yè)務(wù)正常運(yùn)行。安全能力適應(yīng)業(yè)務(wù)彈性擴(kuò)展的需求，在新業(yè)務(wù)上線或原有業(yè)務(wù)擴(kuò)容時(shí)，不必改變現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)，通過基于軟件定義的服務(wù)編排方式，將所需安全能力立即在線部署。

通過優(yōu)化網(wǎng)絡(luò)安全設(shè)備后，不同功能的安全設(shè)備按需要處理不同的業(yè)務(wù)流量，各安全設(shè)備分工明確，避免所有流量都經(jīng)過每一臺安全設(shè)備（即使是該安全設(shè)備不需要處理的流量）。優(yōu)化后的安全架構(gòu)對安全設(shè)備的性能和吞吐量要求相應(yīng)會降低，后續(xù)可以減少安全設(shè)備的采購成本，還可實(shí)現(xiàn)不同廠家、不同種類的安全設(shè)備統(tǒng)一的流量管理，統(tǒng)一規(guī)劃安全策略，充分利用現(xiàn)有的安全資源，充分保證港口網(wǎng)絡(luò)的安全性。

4.2? 網(wǎng)絡(luò)安全資源池部署

通過對網(wǎng)絡(luò)安全設(shè)備及相關(guān)核心設(shè)備進(jìn)行資源重新整合，將安全設(shè)備旁掛在引流設(shè)備旁邊，形成安全資源池。形成的安全資源池可實(shí)現(xiàn)圖形化界面幫助用戶直觀了解全網(wǎng)安全態(tài)勢，并可以根據(jù)不同區(qū)域和關(guān)鍵節(jié)點(diǎn)流量去查看對應(yīng)的風(fēng)險(xiǎn)，明顯地提高了安全響應(yīng)速度和效率。通過自動(dòng)化的安全策略部署可對安全威脅進(jìn)行有效的控制，防止和減少對網(wǎng)絡(luò)及業(yè)務(wù)的影響。由于采用旁掛引流的方式，可實(shí)現(xiàn)安全設(shè)備流量的負(fù)載均衡，提高設(shè)備的利用率，解決傳統(tǒng)串接部署設(shè)備性能瓶頸的問題[5]。更換或更新設(shè)備時(shí)也不會影響整個(gè)網(wǎng)絡(luò)的運(yùn)行，即使安全設(shè)備故障，采用逃生機(jī)制也會保證網(wǎng)絡(luò)及業(yè)務(wù)的正常運(yùn)行。同時(shí)，在網(wǎng)絡(luò)中部署SDN控制器，實(shí)現(xiàn)對安全資源的流量分配?；赟DN的安全資源池作為整體網(wǎng)絡(luò)安全設(shè)備的控制器，對整個(gè)網(wǎng)絡(luò)資源進(jìn)行全局把控，生成統(tǒng)一的全局資源視圖[6]，具備網(wǎng)絡(luò)安全設(shè)備的編排能力。能夠根據(jù)用戶的需求，創(chuàng)建不同的防護(hù)鏈，對各個(gè)防護(hù)鏈上的安全設(shè)備類型以及不同產(chǎn)品的先后防護(hù)順序進(jìn)行編排，傳送不同的業(yè)務(wù)訪問流進(jìn)入相應(yīng)的防護(hù)鏈。

基于SDN的安全資源池可以實(shí)現(xiàn)并行擴(kuò)展，安全編排可以跨節(jié)點(diǎn)操作，全局池化基本力提供高可用、冗余、彈性、在線擴(kuò)容等保障，充分實(shí)現(xiàn)靈活的安全能力編排、安全實(shí)時(shí)在線、安全路徑可控、安全路徑冗余以及安全路徑隔離等功能。

為保證安全能力實(shí)時(shí)在線，基于SDN的安全資源池設(shè)計(jì)監(jiān)控模塊對安全路徑和安全設(shè)備進(jìn)行監(jiān)控，當(dāng)安全設(shè)備出現(xiàn)問題時(shí)對其進(jìn)行替換，保證防護(hù)鏈的安全能力;當(dāng)安全路徑傳輸數(shù)據(jù)為零，冗余備用路徑有傳輸數(shù)據(jù)時(shí)，自動(dòng)切換當(dāng)前傳輸路徑至冗余備用路徑，保證業(yè)務(wù)系統(tǒng)的正常通信及安全防護(hù)?；赟DN的安全資源池通過設(shè)置不同的數(shù)據(jù)傳輸映射表來分離不同的安全防護(hù)鏈，隔離不同業(yè)務(wù)系統(tǒng)的傳輸數(shù)據(jù)，保證數(shù)據(jù)的底層傳輸安全。

這種部署方式的好處是無需改動(dòng)現(xiàn)網(wǎng)的整體配置，僅需額外增加一臺獨(dú)立的交換設(shè)備和控制器[7]就可實(shí)現(xiàn)出口“糖葫蘆串”的整改，網(wǎng)絡(luò)改動(dòng)工作量小，同時(shí)兼容現(xiàn)有網(wǎng)絡(luò)的任意部署配置。

4.3? 網(wǎng)絡(luò)安全資源池實(shí)現(xiàn)過程

4.3.1創(chuàng)建服務(wù)鏈

在整個(gè)實(shí)現(xiàn)過程中，除了一些必要的設(shè)備端配置外，基本上整個(gè)服務(wù)鏈的創(chuàng)建、維護(hù)等過程都是通過SDN控制器完成。在控制器上創(chuàng)建服務(wù)鏈通過創(chuàng)建服務(wù)鏈名稱、指定業(yè)務(wù)流及指定該業(yè)務(wù)流所需要經(jīng)過的節(jié)點(diǎn)以及順序幾步完成。

完成這個(gè)設(shè)置后控制器會生成相關(guān)流表并通過OpenFlow協(xié)議下發(fā)流表到交換設(shè)備上完成后續(xù)的引流操作，從而實(shí)現(xiàn)將指定流按需轉(zhuǎn)發(fā)到各個(gè)節(jié)點(diǎn)并最終形成Service Chain功能。

4.3.2 引流模式與部署

創(chuàng)建了服務(wù)鏈之后，控制器下發(fā)相關(guān)的OpenFlow流表[8，9]并轉(zhuǎn)義成交換設(shè)備可識別的轉(zhuǎn)發(fā)規(guī)則。Service Chain節(jié)點(diǎn)（安全設(shè)備等）通常同時(shí)支持引流模式為路由模式和透明模式。本次部署采用路由模式。

當(dāng)處于路由模式時(shí)，針對P1-P9的某三層轉(zhuǎn)發(fā)的流設(shè)計(jì)如圖3所示Service Chain流量模型。

首先控制器下發(fā)組規(guī)則（Group1），該規(guī)則選擇從端口1輸入的某種特定特征的報(bào)文，選擇從端口P3、P5之一輸出，同時(shí)修改對應(yīng)的SMAC/DMAC/VLAN為指定值。在交換端的實(shí)現(xiàn)需要轉(zhuǎn)義成ECMP的方式完成。由于控制器沒有也無法指定散列規(guī)則，因此散列的方式由芯片本身決定。由于控制器無法掌握該特征流會走P3、P5哪條路徑，因此在下一個(gè)規(guī)則設(shè)置時(shí)必須同步兩條表項(xiàng)（Flow1和Flow2），使得特征報(bào)文無論從P4還是P6輸入都將繼續(xù)走P7端口。當(dāng)從P4、P6的數(shù)據(jù)流回流到交換時(shí)，需要分別進(jìn)行Flow1、Flow2的流匹配才能繼續(xù)后續(xù)的轉(zhuǎn)發(fā)規(guī)則。

4.4? 網(wǎng)絡(luò)安全資源池實(shí)現(xiàn)效果

4.4.1實(shí)現(xiàn)物理網(wǎng)絡(luò)及安全設(shè)備彈性擴(kuò)展

旁掛部署的方式消除了單點(diǎn)故障，同時(shí)避免串接設(shè)備主備切換而引起的網(wǎng)絡(luò)中斷問題。如果旁掛的安全設(shè)備出現(xiàn)問題，可利用SDN智能Bypass功能，保證業(yè)務(wù)不中斷。因?yàn)镾DN是標(biāo)準(zhǔn)開放的接口[10]，其策略主要下發(fā)給核心引流設(shè)備，所以旁掛的安全設(shè)備可以使用多種品牌的設(shè)備，可充分保護(hù)港口網(wǎng)絡(luò)現(xiàn)有投資。

4.4.2 保證港口業(yè)務(wù)的彈性擴(kuò)展

增加和刪除旁掛設(shè)備時(shí)，不會引起斷網(wǎng)。因?yàn)樵O(shè)備是采用旁掛方式，并且利用SDN動(dòng)態(tài)引流，增加新設(shè)備時(shí)，網(wǎng)絡(luò)不會產(chǎn)生中斷，待設(shè)備運(yùn)行正常穩(wěn)定后，再把相應(yīng)的流量動(dòng)態(tài)牽引過來，恢復(fù)正常。同時(shí)，在刪除設(shè)備之前，可以用SDN動(dòng)態(tài)的把承載在這臺物理設(shè)備上面的流量先牽引走，然后再刪除該設(shè)備?？蓪?shí)現(xiàn)按需引流，根據(jù)實(shí)際業(yè)務(wù)需要，動(dòng)態(tài)牽引流量到需要的安全資源上，充分利用設(shè)備和帶寬資源。通過這種方式，將避免出現(xiàn)不相關(guān)的流量大量占用設(shè)備和鏈路資源的現(xiàn)象。

4.4.3 全面掌控港口網(wǎng)絡(luò)實(shí)時(shí)安全情況

SDN控制的網(wǎng)絡(luò)出口，提供圖形化界面，簡化維護(hù)工作，滿足不同層面網(wǎng)絡(luò)管理人員的個(gè)性化需求，大大減輕了運(yùn)維的壓力，有效提升了運(yùn)維效率。更好的抽象業(yè)務(wù)層面，維護(hù)人員可以更多的關(guān)注業(yè)務(wù)層面，從業(yè)務(wù)的角度更便捷的去定義業(yè)務(wù)流的處理方式，以及承載業(yè)務(wù)流的網(wǎng)絡(luò)設(shè)備之間的邏輯關(guān)系。

5 結(jié)束語

安全資源池技術(shù)可進(jìn)一步加強(qiáng)港口網(wǎng)絡(luò)的安全防護(hù)，為港口業(yè)務(wù)系統(tǒng)提供安全保障，提高港口各業(yè)務(wù)系統(tǒng)的安全防護(hù)等級。通過構(gòu)建網(wǎng)絡(luò)安全資源池，可實(shí)現(xiàn)對港口網(wǎng)絡(luò)更高效、更精準(zhǔn)的安全防護(hù)，消除安全設(shè)備單點(diǎn)故障，避免安全設(shè)備主備切換帶來的風(fēng)險(xiǎn)。提高整網(wǎng)安全設(shè)備的利用率，降低運(yùn)維難度，保護(hù)用戶投資，減少用戶未來對安全設(shè)備投入的成本，具有較強(qiáng)的推廣價(jià)值。

參考文獻(xiàn)

[1] 雷中鋒.關(guān)于軟件定義網(wǎng)絡(luò)SDN的三大誤區(qū)[J].信息技術(shù)與信息化，2019（10）：142-143.

[2] 鄭毅.SDN的特征、發(fā)展現(xiàn)狀及趨勢[C].中國通信學(xué)會信息通信網(wǎng)絡(luò)技術(shù)委員會、《電信科學(xué)》雜志/2013年中國通信學(xué)會信息通信網(wǎng)絡(luò)技術(shù)委員會年會論文集/中國通信學(xué)會信息通信網(wǎng)絡(luò)技術(shù)委員會、《電信科學(xué)》雜志/人民郵電出版社電信科學(xué)編輯部，2013：154-155.

[3] 趙慧玲，馮明，史凡.SDN—未來網(wǎng)絡(luò)演進(jìn)的重要趨勢[J].電信科學(xué)，2012，（11）：1-5.

[4] 周嵩岑，李曦.SDN技術(shù)及其在等級保護(hù)體系中的應(yīng)用[J].網(wǎng)絡(luò)空間安全，2017，（12）：5-7.

[5] 郭春梅，張如輝，畢學(xué)堯.SDN網(wǎng)絡(luò)技術(shù)及其安全性研究[J].信息網(wǎng)絡(luò)安全，2012，（08）：112-114.

[6] 李淑玲，尚萍.基于SDN的技術(shù)化網(wǎng)絡(luò)設(shè)計(jì)—以某大型醫(yī)院為例[J].電腦知識與技術(shù)，2019，15（21）：44-46.

[7] 李建新.淺析SDN安全需求和安全實(shí)現(xiàn)[J].中小企業(yè)管理與科技（中旬刊），2019（10）：173-174.

[8] 張淑玲.基于OpenFlow的軟件定義網(wǎng)絡(luò)SDN[J].電子元器件與信息技術(shù)，2018，（12）：42-44+135

[9] 嚴(yán)瓊.淺析SDN架構(gòu)及其安全性[J].電子制作，2016，（17）：86+88.

[10] 劉楚，趙正一，張沛.全球SDN技術(shù)標(biāo)準(zhǔn)進(jìn)展[J].通信世界， 2013，（15）：36-37.

作者簡介：

張華（1978-），男，漢族，山東諸城人，解放軍信息工程大學(xué)，本科，青島港科技有限公司，工程師;主要研究方向和關(guān)注領(lǐng)域：網(wǎng)絡(luò)信息安全。

岳皓（1996-），男，漢族，山西長治人，中北大學(xué)信息商務(wù)學(xué)院，本科，青島港科技有限公司，工程師;主要研究方向和關(guān)注領(lǐng)域：網(wǎng)絡(luò)信息安全。