移动安全安全管理 应用案例 网络威胁 系统安全 应用安全 数据安全 云安全
当前位置: 主页 > 信息安全 > 安全管理 >

防御收集报复打击的SDN安然策略

时间:2013-07-18 23:20来源:TuZhiJiaMi企业信息安全专家 点击:
软件定义收集(SDN)手艺将收集节制转移到专用SDN节制器上,由它负责治理和节制虚拟收集和物理收集的所有功能。因为SDN安然策略实现了这类隔离和节制,所以它撑持更深层次的数据包阐发、收
Tags网络攻击(132)安全管理(325)安全策略(98)SDN(13)  

  软件定义收集(SDN)手艺将收集节制转移到专用SDN节制器上,由它负责治理和节制虚拟收集和物理收集的所有功能。因为SDN安然策略实现了这类隔离和节制,所以它撑持更深层次的数据包阐发、收集监控和流量节制,对防御收集报复打击有很大年夜帮忙。

  软件定义监控的鼓起

  比来,微软发布了它在内部利用了一种自行开辟且基于OpenFlow的收集分流聚合平台(称为漫衍式以太网监控,DEMON)。这个东西可用于措置微软云收集的大年夜范围流量。之前,其内部的不计其数个连接与收集流已超出了传统分流与捕获机制(如SPAN或端口镜像)的措置能力。

  经由过程利用可编程的矫捷互换机和其他收集设备,让它们作为数据包反对和重定向平台,安然团队便可以检测和防御今朝的各类常见报复打击。良多行业将SDN驱动的安然阐发手艺称为软件定义监控(SDM)。在SDM中,SDN互换机作为数据包阐发设备,而节制器则作为监控和阐发设备。

  利用SDN监控安然性和阐发数据包

  起首,来自IBM、Juniper、惠普和Arista Networks等供给商的相对较便宜的消费类可编程SDN互换机,可用于代替较昂贵的数据包阐发设备。与微软的用例近似,大年夜量的小我连接和数据流聚合到一路发送到多个安然数据包捕获与阐发平台。第一层互换机可用于捕获和转发数据包,然后第二层(或第三层)设备终止第一层的监控端口。别的,这些互换机还可以堆积流量,将数据流和统计数据发送到其他监控设备和平台。

  兼容OpenFlow(最好也兼容sFlow)的SDK节制器可用于编程实现和治理多种兼容SDN的互换机,如Big Switch节制器。同时,安然监控堆叠软件产品(Big Switch的Big Tap)可以帮忙工程师编程实现加倍细粒度的过滤和端口分派功能,从而在SDN互换机上摹拟出传统分流功能。

  在这类环境中,多个层次的数据包阐发东西可以从SDM端口领受流量。SDM端口可以连接各类硬件东西,如数据包阐发设备和收集侦测设备,也能够连接基于软件的和谈阐发器,如Wireshark。

  SDN安然策略若何防御收集报复打击

  SDN可觉得最复杂的环境供给更高级的收集监控功能。是以,节制器和互换机就可以够辩白各类数据包属性。例如,如许便可以主动反对或卸载拒尽办事(DoS)报复打击。实际上,SDN可以防御良多报复打击:

  1、沉没报复打击,如SYN洪水报复打击:这些报复打击包含大年夜量只设置了SYN标识表记标帜的TCP数据包。它们会占用带宽,也会填满方针系统的连接队列。基于SDN开辟的互换机可以作为第一道防御线,辩白特定模式和设定一段特按时候内来自一个或多个来历的数据包涵量临界值。然后,这些互换机可以选择丢弃数据包,或利用其他手艺和和谈将它重定向到其他方针。大年夜大都路由器和其他收集平台都没有如许详实的节制机制。

  2、针对特定利用与办事的报复打击:这些报复打击只针对带有很是特别HTTP要求序列的Web办事(利用带有特别Cookie变量等信息的用户代办署理字符串)。SDN设备可以辩白、记实和丢弃这些要求。

  3、针对和谈行动的DDoS报复打击:这些报复打击会填满设备的状况表,可是SDN设备可以按照流挨次和连接限制辩白这些行动。

  除此以外,SDN可以摹拟良多根本的防火墙功能。节制器可以履行脚本和号令,快速更新MAC、IP地址及端口过滤编制,是以可以快速响应和更新流量的策略与法则。别的,它可以解放其他收集设备,使它们不需要措置大年夜量的流量。

  前面只介绍了最根基的SDN安然功能。因为可以或许措置更多的流量,也能够或许措置特定的数据包属性,所以收集安然阐发可以或许实现的安然功能不只有根基数据包过滤和DDoS检测。并且,它也很可能可以或许措置加倍高级的进侵检测和不测响应。

------分隔线----------------------------

推荐内容