張志廣

【摘要】 文章針對現(xiàn)階段接入網(wǎng)安全技術(shù)的幾點(diǎn)問題進(jìn)行分析研究，在研究目前對于解決方法的基礎(chǔ)上，通過結(jié)合SDN網(wǎng)絡(luò)架構(gòu)的自身技術(shù)和特點(diǎn)實(shí)施研究，通過目前所擁有的安全網(wǎng)絡(luò)體系，以組網(wǎng)安全為出發(fā)點(diǎn)，提出了一種全新的建立在SDN接入網(wǎng)安全問題的全新的方法，同時(shí)有效具體的描述了此方法的最終設(shè)計(jì)要求以及通信流程，為接入網(wǎng)安全提供針對性的解決方法。

【關(guān)鍵詞】 SDN 接入網(wǎng) 安全技術(shù) 分析研究

對于網(wǎng)絡(luò)而言，接入網(wǎng)的存在在某種程度上說就是網(wǎng)絡(luò)的“最后一米”，因此接入網(wǎng)的新能能夠?qū)φ麄€(gè)的網(wǎng)絡(luò)性能有直接的影響。近幾年隨著網(wǎng)絡(luò)信息技術(shù)的深入發(fā)展，接入網(wǎng)也逐漸向著易維護(hù)、高帶寬以及全業(yè)務(wù)等方向發(fā)展，在給人們帶來便捷的同時(shí)，一些深層次的東西也引發(fā)了人們的思考，比如如何有效解決接入網(wǎng)安全問題等。

一、接入網(wǎng)安全問題分析

1.1防護(hù)效果較差

現(xiàn)階段來看，因?yàn)椴糠旨用荏w系被部分惡意用戶進(jìn)行有意或者無意的破解，導(dǎo)致加密認(rèn)證防護(hù)效果出現(xiàn)了較大的滑坡。目前我國接入網(wǎng)在安全方面采取的措施主要以防火墻防御手段為主，通過靜態(tài)被動的形式，最終導(dǎo)致其很難靈活應(yīng)對相關(guān)惡意攻擊，尤其是病毒方面的供給。另外以往的安全解決方法很難解決其拒絕服務(wù)攻擊，這種攻擊其帶來的打擊非常深遠(yuǎn)，直接影響接入網(wǎng)的安全使用。

1.2防護(hù)成本較高

在以往的安全解決方法中，為了能夠充分低于網(wǎng)絡(luò)的惡意攻擊，其傳統(tǒng)方法需要對各個(gè)分支的網(wǎng)絡(luò)實(shí)施有針對性的網(wǎng)絡(luò)安全部署，這樣就導(dǎo)致龐大的分支網(wǎng)絡(luò)需要長時(shí)間的的費(fèi)用支持，最終增加了其防護(hù)的成本。

1.3靈活性以及協(xié)同性較差

在網(wǎng)絡(luò)中是安全設(shè)備實(shí)施部署其往往需要互通獨(dú)立，很難真正意義上的配合工作。在網(wǎng)絡(luò)中如果某個(gè)安全設(shè)備自身出現(xiàn)問題，則別的往往不能頂替其工作，設(shè)備與設(shè)備之間可能會出現(xiàn)此設(shè)備繁忙工作而其他設(shè)備處于空閑的狀態(tài)，導(dǎo)致設(shè)備的使用率出現(xiàn)較低的情況。

二、基于SDN的接入網(wǎng)安全技術(shù)分析

2.1 SDN技術(shù)簡單分析

所謂SDN實(shí)際上就是軟件定義網(wǎng)絡(luò)（即Software Defined Network），是現(xiàn)階段使用頻率較高的一種全新網(wǎng)絡(luò)架構(gòu)，為我國網(wǎng)絡(luò)虛擬化的一種安全管理手段，該技術(shù)中最核心的技術(shù)就是OpenFlow[1]。

該技術(shù)能夠把和網(wǎng)絡(luò)設(shè)備有關(guān)的控制面和信息轉(zhuǎn)發(fā)面直接有效的進(jìn)行分離，同時(shí)能夠讓控制面實(shí)現(xiàn)有效的可編程化，最終的目的就是為了能夠讓控制的網(wǎng)絡(luò)實(shí)現(xiàn)智能化甚至是集中化的管理與運(yùn)行。

2.2基于SDN的接入網(wǎng)安全技術(shù)

在此次研究的SDN技術(shù)中，在操作者想要通過某種程序?qū)W(wǎng)絡(luò)服務(wù)器進(jìn)行訪問的情況下，第一步的操作流程必然是選取一種相對較為確定而又有效的接入方法同時(shí)首先對訪問要求進(jìn)行發(fā)令，之后操作者所發(fā)出的訪問請求就能夠通過接入的交換機(jī)進(jìn)行有效的轉(zhuǎn)發(fā)，在轉(zhuǎn)發(fā)操作完成之后借助虛擬化的技術(shù)于公共網(wǎng)絡(luò)的安全傳輸至資源分支網(wǎng)絡(luò)，而分支網(wǎng)絡(luò)所安裝的Openfiow交換機(jī)就能夠?qū)Ρ镜氐牧鞅韺?shí)施查詢同時(shí)進(jìn)行最合理有效的匹配。

如果流表在匹配中完全成功或者達(dá)到了一定的期限，此訪問請求就能夠利用相關(guān)的路由同時(shí)通過防火墻與IPS安全設(shè)備的檢查進(jìn)行連通，在確定沒有特殊的情況下就能送達(dá)至服務(wù)器，在服務(wù)器能夠充分接受相關(guān)的訪問請求的情況下，操作者就能夠訪問相關(guān)的資源；如果OFS流表沒有相關(guān)的流表項(xiàng)目，則OFS就會通過轉(zhuǎn)化器把請求指令轉(zhuǎn)發(fā)給SDN服務(wù)器。

在請求指令發(fā)送之后，SDN服務(wù)器就能夠直接接受該方面的指令請求，同時(shí)對整個(gè)的網(wǎng)絡(luò)結(jié)構(gòu)中的相關(guān)安全設(shè)備部署狀況實(shí)施查詢，這樣就能夠?qū)Σ僮髡咴L問中的服務(wù)器分支的網(wǎng)絡(luò)是否存在部署情況，部署安全等級等進(jìn)行判斷。

假若部署了相關(guān)的安全設(shè)備，則SDN控制器就會通過網(wǎng)絡(luò)向此分支網(wǎng)絡(luò)下OFS進(jìn)行指令發(fā)送，指令發(fā)送主要以發(fā)流表項(xiàng)為主，同時(shí)構(gòu)建路由；

假若不存在安全設(shè)備部署的情況，則SDN控制器則會即刻查詢次分支網(wǎng)絡(luò)相對較為空閑的同時(shí)能夠直接使用的安全設(shè)備，最終建立路由。

需要指出的是，訪問的請求往往需要依據(jù)所構(gòu)建的路由實(shí)施IPS以及防火墻方面的檢測；如果數(shù)據(jù)沒有異常現(xiàn)象，操作者所發(fā)送的請求就會直接送至服務(wù)器，而服務(wù)器在通過相關(guān)指令之后操作者就能夠訪問相關(guān)資源[2]。

三、結(jié)語

SDN現(xiàn)階段使用頻率較高的一種全新網(wǎng)絡(luò)架構(gòu)，其技術(shù)的存在同時(shí)能夠讓控制面實(shí)現(xiàn)有效的可編程化，能夠讓控制的網(wǎng)絡(luò)實(shí)現(xiàn)智能化甚至是集中化的管理與運(yùn)行。

參 考 文 獻(xiàn)

[1] 沈成彬，蔣銘，曾濤等.SDN/NFV技術(shù)的接入網(wǎng)應(yīng)用[J].中興通訊技術(shù)，2015，21（4）：15-19，29.

[2] 孫茜，田霖，周一青等.基于NFV與SDN的未來接入網(wǎng)虛擬化關(guān)鍵技術(shù)[J].信息通信技術(shù)，2016，21（1）：57-62.