网络安全系统的分布式部署浅论

◆任俊明

（山西潞安环保能源开发股份有限公司煤炭运销总公司 山西 046204）

网络安全系统的分布式部署浅论

◆任俊明

（山西潞安环保能源开发股份有限公司煤炭运销总公司 山西 046204）

随着网络技术的快速发展，传统网络出现了网络配置复杂度高、网络安全设备性能出现瓶颈等问题，可编程网络的相关研究为解决这些问题提供了理论依据和数学支撑。网络安全配置如果能分布式部署在网络接入层设备上，将大大减轻网络边界安全设备的压力，提高网络运行效率。本文讨论了在可编程网络的相关技术下，实现网络安全的分布式部署的理论可行性。

可编程网络；分布式；网络安全

0 引言

近年来，随着计算机及网络技术的迅猛发展，计算机可以处理的数据和程序也由单台计算机上的数学运算、文件处理，拓扑结构较简单的局域网上的内部业务处理、办公自动化等发展到基于复杂的内部网（Intranet）、企业外部网（Extranet）、全球互联网（Internet）的企业级信息处理系统和世界范围内的信息共享和业务处理。随着“云计算”、“物联网”、“大数据”、“互联网+”、“万物互联”等新兴计算机概念的兴起，计算机网络越来越成为影响国计民生的重大基础设施。网络安全日益成为关系国家安全和主权、社会稳定的重要问题。网络安全正随着全球信息化步伐的加快而变得越来越重要。同时，随着网络安全需求的日益提高，不少企业和大中型组织在维护网络安全却遇到了很多困境。

1 网络安全的困境

1.1 网络威胁种类越来越多

现在的网络威胁形式，早已不是简单的针对网络边界网关的攻击，网络威胁更大几率是从网络内部的某台计算机上触发的，往往由于某台计算机接入了不明来源的移动存储设备或打开了某个外网的压缩包就被感染了病毒，随机感染了大量内网计算机。以往那种在网络出口处安装一个防火墙（或增强型的所谓统一网关之类设备）就能防御所有网络威胁的方案显然不再适用，由于威胁来自内部，并没有通过网络边界，网络边界上再强的处理能力都望洋兴叹。也有很多网络安全公司（主要是杀毒软件厂商）开始提出“网络版杀毒”的概念，究其原理，不过是在入网的每台计算机上安装一套杀毒（或防火墙）软件，再由企业自建的统一杀毒软件升级服务器对这些杀毒软件和防火墙进行病毒定义和安全规则升级。更甚一些的，会通过IEEE802.1x协议，对入网计算机进行“准入控制”，强制要求必须安装这一杀毒软件（甚至可以限制操作系统、USB端口是否启用等“准入条件”）的计算机才可以接入网络。这一方案也有其弊端，首先，在每一台计算机终端上安装相同的杀毒软件在几年前也许还有可能，在BYOD（Bring Your Own Device指携带自己的设备办公，这些设备包括个人电脑、手机、平板等）大潮愈演愈烈的当今，随着终端的类型、性能、归属等的参差不齐，几乎不可能完成统一杀毒软件这样的任务，更进一步说，很多杀毒软件极其耗费系统资源，对性能较低的终端，根本无法满足安装的需求；其次，即便所有终端都满足了杀毒软件安装的性能需求，同时也是企业内部管理的计算机，同样会由于杀毒软件占用系统资源而造成运算能力的浪费，以至于很多用户戏称“装杀毒软件还不如中个病毒，起码电脑能快点”；最后，杀毒软件或系统补丁都属于被动安全，网络威胁产生时，如果安全软件厂商或操作系统厂商没有及时更新病毒定义或系统补丁，甚至没有及时反馈到安全威胁，那么这套体系将眼睁睁看着网络威胁肆虐而无能为力。

1.2 对防火墙性能要求越来越高

即使是应对传统的针对边界设备的安全威胁，防火墙性能也是一个不得不考虑的坎。防火墙本来是从路由器衍生而来，都是处于网络边界的设备，随着网络威胁的不同展现形式，现在防火墙也不得不处于“军备竞赛”的状况之中，从最初的仅仅是包过滤到现在解包的层级越来越高，甚至产生了号称“应对一到七层所有网络威胁”的统一网关设备，对所有数据进行细致的拆包检查。拆包层数越多，对防火墙的性能需求就越高。即使是这样，也难免出现漏网之鱼，对于很多加密压缩数据，不要说很多安全网关设备仅仅是盒式设备，就是动用几台服务器去运算，也很难在瞬间就解开这些数据包，这些所谓的安全网关，一定是牺牲了网络的通过性能来获得安全性的，难免产生网络延迟的加大等弊端。

2 SDN可编程网络带来的新思路

谈到SDN可编程网络，我们要从Open Flow说起。2006年，斯坦福大学开始了一个名为Clean Slate项目，希望能够重新设计现有网络基础架构。同年，斯坦福的学生 Martin Casado开始了一个网络安全与管理的项目Ethane，主要思想是通过集中控制设备，让网络管理人员可以快捷地定义网络流上的安全控制策略，同时将这些安全策略方便地部署到各类网络设备中，继而实现整个网络通讯的安全控制。在这个项目的启发下，Martin和他的导师Nick McKeown教授意识到，如果将这一设计推而广之，把传统网络设备的数据转发和路由控制两个功能模块分离开来，用集中控制设备设计一个标准化的接口对各类网络设备进行统一管理和配置，那么这将为网络资源的设计、管理和使用提供更大的自定义空间，从而更为网络的革新与发展开创出一个完全不同的新天地，他们将这一概念称之为Open Flow。在Open Flow为网络带来的可编程的特性基础上，Nick教授和他的团队进一步将其发展出了SDN可编程网络：若将网络中所有的网络设备视为可管理的资源，参照操作系统的结构，可以把他们想象成一个网络操作系统（Network OS）。这个网络操作系统一方面把底层网络设备的具体细节透明化、简单化、标准化、抽象化，同时还为上层应用提供了统一的管理视图和编程接口。这样，在这个网络操作系统平台上，我们可以编写各种各样的程序和应用，通过代码或视图来重新定义逻辑网络拓扑结构，以满足用户对网络资源的不同层次需求，再也不需要考虑底层网络的物理拓扑结构。

由此可见，SDN可编程网络从诞生之初就是为了解决网络安全与管理的问题而生的，在SDN可编程网络日新月异的进化发展后，我们可以在SDN的基础上，寻找到更高效、更便捷的网络安全解决思路。

3 网络安全系统分布式部署

SDN可编程网络给网络概念的冲击无疑是翻天覆地的，它同样会极大地改变网络安全系统的形态，它给网络安全的部署带来了以下几个转变：

3.1 让“防火墙”无处不在

SDN的控制面是独立于转发面的，同时对转发面的行为实现可控，使得我们完全可以在控制面编程来实现新的网络协议，我们可以针对不同的网络威胁编制网络协议自行实现新的功能，可以简单的说，我们可以将底层任何一个网络设备通过编程的方法让它变成一个“防火墙”。大大抑制很多内网威胁的生存空间。

3.2 让“防火墙”虚拟化，实现性能聚合

SDN可编程网络不仅仅是实现了单个网络节点的可编程，更是将编程的可能性实现到了整个网络上。控制设备的存储内存储有全局所有设备的拓扑，可以计算任意节点之间的路由，并控制转发路径。同样每个终端设备的接入权限也可以由控制设备完全控制，转发面设备完全没有感知。通过这一功能，我们可以将以前单一“防火墙”所做的工作分成很多工作片段，由很多个底层网络设备协同完成，大大减轻单一网络设备的负担，提升整个网络响应性能。

3.3 完全不再占用PC的运算能力

通过以上两项，我们获得了一个无处不在的、性能超强的虚拟“防火墙”，任何接入到网络中的设备都可以在这个防火墙的防护之下，PC端可以完全弃用防火墙软件，仅保留一定的U盘病毒查杀能力，大大减少PC端的负担。

4 结语

我们不能期望SDN成为解决现在所有网络安全问题的“万金油”，不存在任何一项单独技术可以解决所有问题。但是，SDN确实给网络安全的部署及使用带了许多新的思路，我们希望在不远的将来，网络安全问题可以真正得到妥善解决，还我们一个清新的网络环境。

[1]斯坦福大学Clean Slate项目网站，http：//cleanslate.sta nford.edu/.

[2]陈文华.基于SDN技术的互联网发展与运营探讨[J].广东通信技术，2013.

[3]袁广翔.软件定义网络技术发展与应用研究[J].现代电信科技，2013.

[4]赵慧玲，冯明，史凡.SDN――未来网络演进的重要趋势[J].电信科学，2012.