[发明专利]基于SDN的安全设备动态互联与智能选路决策系统及方法

说明书

本发明公开了一种基于SDN的安全设备动态互联与智能选路决策系统及方法，该系统中：安全事件检测与智能选路决策单元，用于实时采集专业安全设备池单元中各类安全设备的日志信息，并基于日志信息进行深度分析，对疑似攻击的数据流作出预判及发出告警；SDN交换机集群单元，用于实时接收下发的流表指令，通过匹配流表项完成动态调度与专业安全设备池单元中专业安全设备的互联路径，用以实现智能选路决策；专业安全设备池单元，域内设备与SDN交换机集群单元形成联动机制，动态处理不同类别的疑似攻击流数据，实现专业安全设备的安全侦测与防护。本发明可以对安全设备灵活地增加或减少，快速实现不同功能的安全设备在局域网中动态的互联与智能的选路决策。

技术领域

本发明涉及计算机网络及网络安全技术领域，尤其涉及一种基于SDN的安全设备动态互联与智能选路决策系统及方法。

背景技术

互联网中存在着复杂多样的恶意攻击行为，局域网时刻经受着内、外部的未知攻击。设法减小局域网内各类主机、服务器、数据库及应用系统等介质受到外部攻击带来的不利影响，保障局域网主干链路的稳定运行，是当前网络管理员、安全管理员、主体责任人重点关注的问题。

在传统的网络建设模式下，针对局域网的安全防护，多依赖于网络安全厂商的提供的安全设备。安全设备可以是多个独立工作的专用安全设备，例如WAF、IPS设备等，也可以是单个融合了多种安全防护功能的安全设备。安全设备以直连、串行的方式部署于主干网络中，实现对出、入的数据报文进行实时检测，根据匹配安全规则采取相应的处理措施完成防护。

然而，传统应用无论是采用多台安全设备，还是部署单台融合多种防护功能设备，均存在以下不足：

1、安全设备单点故障会造成严重的网络瘫痪。

2、部分节点或链路可能产生性能瓶颈，从而引发吞吐量的“木桶效应”。

3、管理灵活性差，且无法对混杂在正常请求里的攻击流量做针对性的处理。

在传统网络安全防护体系中，网络安全设备需要对出、入校园网的所有流量进行过滤筛查，因此安全设备一般会部署在核心域中；且为了使流量通过各级安全设备的检查，一般会选取在干路直连串行的部署方式，其中防火墙和其他安全设备串联部署在认证网关和边界交换之间，其网络拓扑图如图1，图1部署方式存在两个问题：

问题一：一旦单台安全设备出现故障，会导致严重的网络瘫痪。各节点位于同一条链路上，单节点故障影响整条链路的数据转发。如图2，防火墙在自身受到攻击或故障后停止响应，此时整个网络都会因防火墙停止工作而无法访问internet。

问题二：核心链路吞吐量受制于吞吐能力最差的安全设备。安全设备需要对经过的数据报文完成大量的拆包规则检测与封包传输，在核心链路中易形成“木桶短板”，进而影响整条链路的数据传输性能。

综上所述，实践上述部署方案，如发生设备故障(或链路故障)时，只能采用替换出现问题的安全设备(或更换线路)、重新部署上线的方式应对突发的故障，需耗费较长的时间和较大的人力，同时也会造成网络的中断。

针对上述方案，对传统网络的安全部署方法进行二次改进。通过部署可协同工作(指的是构建安全设备的水平虚拟化模式，或实现冷、热备份的方式)的安全设备，以链路聚合的方式解决上述问题。

具体部署情况如图3，在该部署模式下，虽然能在一定程度上弥补直连串行部署所带来的缺陷，但又会出现新的问题：

(1)受设备约束。要实现链路聚合，安全设备需要支持协同工作(一般需要多台同品牌、同类型、同系统版本的安全设备，且支持水平虚拟化相关协议标准)。但在实际建设过程中，受限于场地、经费、技术等资源情况，并非所有的安全设备都支持该类工作模式，换言之，能否采用这种架构，完全取决于设备本身。