日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案
防御網(wǎng)絡(luò)攻擊的SDN安全策略

軟件定義網(wǎng)絡(luò)(SDN)技術(shù)將網(wǎng)絡(luò)控制轉(zhuǎn)移到專用SDN控制器上,由它負(fù)責(zé)管理和控制虛擬網(wǎng)絡(luò)和物理網(wǎng)絡(luò)的所有功能。由于SDN安全策略實(shí)現(xiàn)了這種隔離和控制,所以它支持更深層次的數(shù)據(jù)包分析、網(wǎng)絡(luò)監(jiān)控和流量控制,對(duì)于防御網(wǎng)絡(luò)攻擊有很大幫助。

創(chuàng)新互聯(lián)專業(yè)為企業(yè)提供宣恩網(wǎng)站建設(shè)、宣恩做網(wǎng)站、宣恩網(wǎng)站設(shè)計(jì)、宣恩網(wǎng)站制作等企業(yè)網(wǎng)站建設(shè)、網(wǎng)頁(yè)設(shè)計(jì)與制作、宣恩企業(yè)網(wǎng)站模板建站服務(wù),十年宣恩做網(wǎng)站經(jīng)驗(yàn),不只是建網(wǎng)站,更提供有價(jià)值的思路和整體網(wǎng)絡(luò)服務(wù)。

軟件定義監(jiān)控的興起

最近,微軟宣布了它在內(nèi)部使用了一種自行開(kāi)發(fā)且基于OpenFlow的網(wǎng)絡(luò)分流聚合平臺(tái)(稱為分布式以太網(wǎng)監(jiān)控,DEMON)。這個(gè)工具可用于處理微軟云網(wǎng)絡(luò)的大規(guī)模流量。以前,其內(nèi)部的成千上萬(wàn)個(gè)連接與網(wǎng)絡(luò)流已經(jīng)超出了傳統(tǒng)分流與捕捉機(jī)制(如SPAN或端口鏡像)的處理能力。

通過(guò)使用可編程的靈活交換機(jī)和其他網(wǎng)絡(luò)設(shè)備,讓它們作為數(shù)據(jù)包攔截和重定向平臺(tái),安全團(tuán)隊(duì)就可以檢測(cè)和防御目前的各種常見(jiàn)攻擊。許多行業(yè)將SDN驅(qū)動(dòng)的安全分析技術(shù)稱為軟件定義監(jiān)控(SDM)。在SDM中,SDN交換機(jī)作為數(shù)據(jù)包分析設(shè)備,而控制器則作為監(jiān)控和分析設(shè)備。

使用SDN監(jiān)控安全性和分析數(shù)據(jù)包

首先,來(lái)自IBM、Juniper、惠普和Arista Networks等供應(yīng)商的相對(duì)較便宜的消費(fèi)類可編程SDN交換機(jī),可用于取代較昂貴的數(shù)據(jù)包分析設(shè)備。與微軟的用例類似,大量的個(gè)人連接和數(shù)據(jù)流聚合到一起發(fā)送到多個(gè)安全數(shù)據(jù)包捕捉與分析平臺(tái)。第一層交換機(jī)可用于捕捉和轉(zhuǎn)發(fā)數(shù)據(jù)包,然后第二層(或者第三層)設(shè)備終止第一層的監(jiān)控端口。此外,這些交換機(jī)還可以聚集流量,將數(shù)據(jù)流和統(tǒng)計(jì)數(shù)據(jù)發(fā)送到其他監(jiān)控設(shè)備和平臺(tái)。

兼容OpenFlow(最好也兼容sFlow)的SDK控制器可用于編程實(shí)現(xiàn)和管理多種兼容SDN的交換機(jī),如Big Switch控制器。同時(shí),安全監(jiān)控堆疊軟件產(chǎn)品(Big Switch的Big Tap)可以幫助工程師編程實(shí)現(xiàn)更加細(xì)粒度的過(guò)濾和端口分配功能,從而在SDN交換機(jī)上模擬出傳統(tǒng)分流功能。

在這種環(huán)境中,多個(gè)層次的數(shù)據(jù)包分析工具可以從SDM端口接收流量。SDM端口可以連接各種硬件工具,如數(shù)據(jù)包分析設(shè)備和網(wǎng)絡(luò)偵測(cè)設(shè)備,也可以連接基于軟件的協(xié)議分析器,如Wireshark。

SDN安全策略如何防御網(wǎng)絡(luò)攻擊

SDN可以為最復(fù)雜的環(huán)境提供更高級(jí)的網(wǎng)絡(luò)監(jiān)控功能。因此,控制器和交換機(jī)就能夠分辨各種數(shù)據(jù)包屬性。例如,這樣就可以自動(dòng)阻擋或卸載拒絕服務(wù)(DoS)攻擊。實(shí)際上,SDN可以防御許多攻擊:

1.淹沒(méi)攻擊,如SYN洪水攻擊:這些攻擊包含大量只設(shè)置了SYN標(biāo)記的TCP數(shù)據(jù)包。它們會(huì)占用帶寬,也會(huì)填滿目標(biāo)系統(tǒng)的連接隊(duì)列?;赟DN開(kāi)發(fā)的交換機(jī)可以作為第一道防御線,分辨特定模式和設(shè)定一段特定時(shí)間內(nèi)來(lái)自一個(gè)或多個(gè)來(lái)源的數(shù)據(jù)包容量臨界值。然后,這些交換機(jī)可以選擇丟棄數(shù)據(jù)包,或者使用其他技術(shù)和協(xié)議將它重定向到其他目標(biāo)。大多數(shù)路由器和其他網(wǎng)絡(luò)平臺(tái)都沒(méi)有這樣細(xì)致的控制機(jī)制。

2.針對(duì)特定應(yīng)用與服務(wù)的攻擊:這些攻擊只針對(duì)帶有非常特殊HTTP請(qǐng)求序列的Web服務(wù)(使用帶有特殊Cookie變量等信息的用戶代理字符串)。SDN設(shè)備可以分辨、記錄和拋棄這些請(qǐng)求。

3.針對(duì)協(xié)議行為的DDoS攻擊:這些攻擊會(huì)填滿設(shè)備的狀態(tài)表,但是SDN設(shè)備可以根據(jù)流順序和連接限制分辨這些行為。

除此之外,SDN可以模擬許多基礎(chǔ)的防火墻功能。控制器可以執(zhí)行腳本和命令,快速更新MAC、IP地址及端口過(guò)濾方式,因此可以快速響應(yīng)和更新流量的策略與規(guī)則。另外,它可以解放其他網(wǎng)絡(luò)設(shè)備,使它們不需要處理大量的流量。

前面只介紹了最基本的SDN安全功能。由于能夠處理更多的流量,也能夠處理特定的數(shù)據(jù)包屬性,所以網(wǎng)絡(luò)安全分析能夠?qū)崿F(xiàn)的安全功能不只有基本數(shù)據(jù)包過(guò)濾和DDoS檢測(cè)。而且,它也很可能能夠處理更加高級(jí)的入侵檢測(cè)和意外響應(yīng)。


分享名稱:防御網(wǎng)絡(luò)攻擊的SDN安全策略
URL地址:http://www.5511xx.com/article/dhsojhj.html