軟件定義網絡(SDN)技術將網絡控制轉移到專用SDN控制器上，由它負責管理和控制虛擬網絡和物理網絡的所有功能。由于SDN安全策略實現了這種隔離和控制，所以它支持更深層次的數據包分析、網絡監控和流量控制，對于防御網絡攻擊有很大幫助。

軟件定義監控的興起

最近，微軟宣布了它在內部使用了一種自行開發且基于OpenFlow的網絡分流聚合平臺(稱為分布式以太網監控，DEMON)。這個工具可用于處理微軟云網絡的大規模流量。以前，其內部的成千上萬個連接與網絡流已經超出了傳統分流與捕捉機制(如SPAN或端口鏡像)的處理能力。

通過使用可編程的靈活交換機和其他網絡設備，讓它們作為數據包攔截和重定向平臺，安全團隊就可以檢測和防御目前的各種常見攻擊。許多行業將SDN驅動的安全分析技術稱為軟件定義監控(SDM)。在SDM中，SDN交換機作為數據包分析設備，而控制器則作為監控和分析設備。

使用SDN監控安全性和分析數據包

首先，來自IBM、Juniper、惠普和Arista Networks等供應商的相對較便宜的消費類可編程SDN交換機，可用于取代較昂貴的數據包分析設備。與微軟的用例類似，大量的個人連接和數據流聚合到一起發送到多個安全數據包捕捉與分析平臺。第一層交換機可用于捕捉和轉發數據包，然后第二層(或者第三層)設備終止第一層的監控端口。此外，這些交換機還可以聚集流量，將數據流和統計數據發送到其他監控設備和平臺。

兼容OpenFlow(最好也兼容sFlow)的SDK控制器可用于編程實現和管理多種兼容SDN的交換機，如Big Switch控制器。同時，安全監控堆疊軟件產品(Big Switch的Big Tap)可以幫助工程師編程實現更加細粒度的過濾和端口分配功能，從而在SDN交換機上模擬出傳統分流功能。

在這種環境中，多個層次的數據包分析工具可以從SDM端口接收流量。SDM端口可以連接各種硬件工具，如數據包分析設備和網絡偵測設備，也可以連接基于軟件的協議分析器，如Wireshark。

SDN安全策略如何防御網絡攻擊

SDN可以為最復雜的環境提供更高級的網絡監控功能。因此，控制器和交換機就能夠分辨各種數據包屬性。例如，這樣就可以自動阻擋或卸載拒絕服務(DoS)攻擊。實際上，SDN可以防御許多攻擊：

1.淹沒攻擊，如SYN洪水攻擊：這些攻擊包含大量只設置了SYN標記的TCP數據包。它們會占用帶寬，也會填滿目標系統的連接隊列。基于SDN開發的交換機可以作為第一道防御線，分辨特定模式和設定一段特定時間內來自一個或多個來源的數據包容量臨界值。然后，這些交換機可以選擇丟棄數據包，或者使用其他技術和協議將它重定向到其他目標。大多數路由器和其他網絡平臺都沒有這樣細致的控制機制。

2.針對特定應用與服務的攻擊：這些攻擊只針對帶有非常特殊HTTP請求序列的Web服務(使用帶有特殊Cookie變量等信息的用戶代理字符串)。SDN設備可以分辨、記錄和拋棄這些請求。

3.針對協議行為的DDoS攻擊：這些攻擊會填滿設備的狀態表，但是SDN設備可以根據流順序和連接限制分辨這些行為。

除此之外，SDN可以模擬許多基礎的防火墻功能。控制器可以執行腳本和命令，快速更新MAC、IP地址及端口過濾方式，因此可以快速響應和更新流量的策略與規則。另外，它可以解放其他網絡設備，使它們不需要處理大量的流量。

前面只介紹了最基本的SDN安全功能。由于能夠處理更多的流量，也能夠處理特定的數據包屬性，所以網絡安全分析能夠實現的安全功能不只有基本數據包過濾和DDoS檢測。而且，它也很可能能夠處理更加高級的入侵檢測和意外響應。