基于SDN架构,让安全能力快速切入业务
前几天写了一篇文章网络安全建设如何做到安内攘外,其中核心思想之一为安全与业务的融合是下一步趋势,近期不断思考如何让安全更贴身的服务灵活多变的业务?如何通过模块化、可插拔的方式与系统系统融合?如何让业务中有安全,安全中有业务等问题。以此需求为前提,本文通过Mininet模拟SDN架构网络,通过Suricata实现IDS检测,利用Floodlight下发流表策略对流量进行调度,目标是将防护设备形成防护能力,通过编排方式,快速切入业务,保障业务系统稳定运行。
名称 | 版本 |
floodlight | 1.2 |
mininet | 2.2.2 |
suricata | 3.1 |
ubuntu | 16.04 |
本机性能有限,通过一台虚拟机部署以上产品。文章不对产品部署及具体规则配置进行详细描述。
一、防护流程介绍
通过ping指令进行简单测试,初期IDS设备未采集h1与h2流量,后期通过策略下发,实现IDS快速切入主机流量,对主机流量进行实时检测。本文采用开源产品搭建,操作效果不是太友好,后期可进行完善,通过可视化以拖拽形式实现安全快速编排。
二、模拟网络环境搭建
2.1 通过mininet,搭建模拟测试环境,见下图:
c0为controller(SDN控制),s1为OVS交换机,h1(10.0.0.1)、h2(10.0.0.2)、IDS(10.0.0.3)为三台模拟主机。
对mininet搭建环境进行ping测试,确定网络畅通。
2.2 通过Floodlight进行访问,Switches信息如下图:
其中h1使用port1,h2使用port2,h3使用port3,流表为默认。
网络架构图如下:
2.3 IDS主机部署Suricata后,对IDS添加ping指令检测,语句如下:
alert icmp any any <> any any (msg:"PING TEST";icode:0;itype:8; sid:1000000; rev:3;)
具体icode与itype数值选择,见下图:
三、测试
初期IDS未采集h1相关流量,所以当h1对h2进行ping操作时,IDS不会进行流量监测。
利用floodlight,通过post形式对流表进行下发操作,将h1对h2的流量镜像到IDS中,流表操作语句如下:
curl -X POST -d '{"switch":"00:00:00:00:00:00:00:01","name":"flow-mod-2","cookie":"123","priority":"32768","in_port":"1","eth_type":"0x0800","active":"true","actions":"output=2,3"}' http://127.0.0.1:8080/wm/staticflowpusher/json
通过Floodlight查看,流表已下发成功。
当我们通过h1主机再对h2进行ping操作时,见下图:
IDS的告警信息fast.log,监测告警如下:
可见我们通过对流表操作,实现了对主机的流量镜像采集,实现了安全能力快速切入。以此逻辑我们可将已有的安全设备进行整合(比如IPS、WAF等)纳入至SDN架构中,将防护设备形成防护能力,通过可视化编排方式,快速切入业务,保障业务系统稳定运行。
四、说点其它
1.基于SDN架构的安全建设是后期发展趋势之一。
2.SDN+安全系统虚拟化,才能发挥更大安全能力。
3.对医疗、教育、金融等行业落地使用还需进一步探讨。
基于SDN架构,让安全能力快速切入业务相关推荐
- android sdn,华为发布全球首个基于SDN架构的敏捷物联解决方案
[中国,北京,2015年5月21] 在华为网络大会(HNC2015)上,华为发布了全球首个基于SDN架构的敏捷物联解决方案,此方案能让各种物件自动联网,让不同物件之间自由的"对话" ...
- 浅谈SDN架构下的运维工作
目前国内的网络运维还处于初级阶段,工作人员每天就像救火一样,天天疲于奔命.运维人员只能埋头查找系统运行的日志,耗时耗力,老眼昏花不说,有时候忙了半天还一无所获,作为运维工程师的你,有木有遇到过类似苦逼 ...
- AI能力凸显!AidLux助力高通快速切入AIoT市场
2017年开始,"AIoT"开始逐渐被大众所熟知.边缘计算设备作为分析处理数据的基础支撑,在该领域中的作用也日益凸显. 凭借小体积.高性能.低功耗等先天优势,ARM在边缘计算兴起这 ...
- 中国银联与上海银行基于SDN的下一代金融云网络联合研究与应用实践:从分层分区传统架构向云网架构转型...
本文作者: 上海银行 马永祥等 中国银联 祖立军等 0.引言 中国银联与上海银行就金融云与SDN技术研究等达成合作,其中中国银联的电子商务与电子支付国家工程实验室与上海银行数据中心以下一代金融云数据中 ...
- 基于SDN的应用定义安全方案
基于SDN的应用可以按需定制部署安全功能,快速开通安全服务:应用可以动态控制业务流能否通过网络,确保应用安全策略实时生效. 安全服务发展趋势 随着互联网的蓬勃发展,企业面临越来越多的安全威胁.针对大量 ...
- SDN精华问答 | 了解SDN架构
SDN火热了好一阵子,无论运营商.政府企业.投资机构,一段时间,不知道SDN.不能甩几个SDN相关的名词术语,似乎都落后于时代了.今天,就来看看关于SDN的精华问答吧. 1 Q:SDN的本质属性? ...
- 基于SDN网络的优化技术和QoS研究分析(二)
编者按 随着网络技术的发展,越来越多的分布式应用和不同类型的网络技术被部署到网络上,基于传统IP的网络体系结构正面临越来越多的问题,传统的优势正逐渐成为制约网络技术发展的瓶颈. 由于篇幅较长,文章将分 ...
- SDN学习路径——SDN架构
目录 一.SDN定义 二.SDN与传统网络的区别与意义 三.ONF组织的SDN体系架构 四.ONF组织定义意义 五.SDN的数据控制分离的可行性 六.传统控制平面和数据平面概述 七.传统控制平面 八. ...
- ONF组织的SDN架构文档——原理与架构构件(二/一)
4原理和架构构件 这节介绍SDN原理,形成SDN架构的功能实体和组织关系,随后详细介绍. 4.1原理 ONF从一个较高的视角对SDN进行介绍[1],一些基本的SDN原理在其中有引证,他们的应用在此 ...
- modbus报文解析实例_云原生、全栈可编程的下一代SDN解析与实践 (一)丨传统SDN架构演进...
点击上方蓝字关注我们 多年以前,由于基于传统协议的控制平面缺乏灵活性,无法满足多样的业务对数据平面的转发需求,软件定义网络(SDN)被提了出来.业界希望通过一种转控分离.开放解耦的架构,让网络资源能够 ...
最新文章
- python在列表末尾删除一个_从链接列表的尾部移除(Python)
- 互联网协议 — IPv4 — 分片与重组
- MASM5.0汇编环境安装
- php跳一跳小游戏,原生JS实现的跳一跳小游戏完整实例
- boat启动器 minecraft_minecraft boat
- Hive SQL 窗口函数
- 照片转换为动画 html5,如何使用html5让图片转圈的动画效果
- Sublime Text 2安装汉化破解、插件包安装教程
- oh my Zsh使用手册
- 正则去除汉字和只取数字
- 关于公司架构管控的思考
- 自定义MyBatis拦截器
- 交换机telnet远程登陆配置
- IDEA快捷键(持续学习ing)
- 微信支付.商家转账到零钱案例
- 云南大理旅游时间推荐
- SUSE12 LVM- Logical Volume Manager(逻辑卷管理)实例
- mysql经典46_50个经典SQL语句
- 【C】C语言数组与字符串(包括:字符串与字符数组)
- 嵌入式实践教程--设备树下的LCD驱动开发
热门文章
- Redis核心考案 | 系统性学习 | 无知的我费曼笔记(图文排版无水印)
- GeoServer源码解析和扩展
- npm设置阿里云镜像并使用npm安装yarn
- 如何将一个幻灯片的照片平铺_如何创建平铺背景幻灯片
- 视觉SLAM十四讲 2-概述部分
- 人工智能的民主化:让每个人都能掌控技术的力量
- 图像中目标的绝对位置信息(1)--How much Position Information Do Convolutional Neural Networks Encode
- 在 Eclipse 中嵌入 NASA World Wind Java SDK
- 复合选择器之并集选择器
- eNSP动态路由综合试验(RIP)