前幾天寫了一篇文章網路安全建設如何做到安內攘外,其中核心思想之一為安全與業務的融合是下一步趨勢,近期不斷思考如何讓安全更貼身的服務靈活多變的業務?如何通過模組化、可插拔的方式與系統系統融合?如何讓業務中有安全,安全中有業務等問題。以此需求為前提,本文通過mininet模擬sdn架構網路,通過suricata實現ids檢測,利用floodlight下發流表策略對流量進行排程,目標是將防護裝置形成防護能力,通過編排方式,快速切入業務,保障業務系統穩定執行。
名稱版本
floodlight
1.2mininet
2.2.2
suricata
3.1ubuntu
16.04
本機效能有限,通過一台虛擬機器部署以上產品。文章不對產品部署及具體規則配置進行詳細描述。
一、防護流程介紹
通過ping指令進行簡單測試,初期ids裝置未採集h1與h2流量,後期通過策略下發,實現ids快速切入主機流量,對主機流量進行實時檢測。本文採用開源產品搭建,操作效果不是太友好,後期可進行完善,通過視覺化以拖拽形式實現安全快速編排。
二、模擬網路環境搭建
2.1 通過mininet,搭建模擬測試環境,見下圖:
c0為controller(sdn控制),s1為ovs交換機,h1(10.0.0.1)、h2(10.0.0.2)、ids(10.0.0.3)為三颱模擬主機。
對mininet搭建環境進行ping測試,確定網路暢通。
2.2 通過floodlight進行訪問,switches資訊如下圖:
其中h1使用port1,h2使用port2,h3使用port3,流表為預設。
網路架構圖如下:
2.3 ids主機部署suricata後,對ids新增ping指令檢測,語句如下:
alert icmp any any <> any any (msg:"ping test";icode:0;itype:8; sid:1000000; rev:3;)三、測試
初期ids未採集h1相關流量,所以當h1對h2進行ping操作時,ids不會進行流量監測。
利用floodlight,通過post形式對流表進行下發操作,將h1對h2的流量映象到ids中,流表操作語句如下:
curl -x post -d ''
當我們通過h1主機再對h2進行ping操作時,見下圖:
ids的告警資訊fast.log,監測告警如下:
可見我們通過對流表操作,實現了對主機的流量映象採集,實現了安全能力快速切入。以此邏輯我們可將已有的安全裝置進行整合(比如ips、waf等)納入至sdn架構中,將防護裝置形成防護能力,通過視覺化編排方式,快速切入業務,保障業務系統穩定執行。
四、說點其它
1.基於sdn架構的安全建設是後期發展趨勢之一。
2.sdn+安全系統虛擬化,才能發揮更大安全能力。
3.對醫療、教育、金融等行業落地使用還需進一步**。
SDN 簡述對SDN架構的認識
sdn的全稱是software defined networking,即軟體定義網路。sdn是在物理上網路控制平面和 平面 資料平面 相分離 控制平面控制多個裝置 網路底層抽象 邏輯上控制集中 可程式設計的新型網路架構。在sdn架構中,我們無須了解底層網路的情況,通過集中化控制平台 編排器就可對網路...
SDN網路架構簡述
sdn的特點之一就是控制平面與資料平面分離,其主張通過集中式的控制器平台實現網路的控制。在sdn架構中,控制平面是邏輯集中的,通過某種協議將控制資訊下發至底層的資料平面去執行。所以,控制平面被稱為sdn的大腦,指揮整個資料網路的執行。一 sdn基本架構 原創正在攀登的小蝸牛 最後發布於2017 09...
基於SDN的Neutron應用
一千個人心中,就有一千個sdn。本篇所說的sdn,就是傳統老牌裝置廠商推出的sdn方案。基於sdn的應用場景 上圖所描述的應用場景,可以說是sdn浪潮大背景下的運營商與傳統老牌裝置商心照不宣各取所需的 創新 方案。運營商一直以來都被各個裝置廠商提供的形態各異 紛繁複雜的管理介面所深深 傷害 一直期望...