技術領域

本發明涉及信息安全領域，具體涉及一種SDN(Software Defined Network，軟件定義網絡)網絡防護方法及裝置。

背景技術

在虛擬化網絡中，可以通過SDN技術將網絡資源以資源池的方式進行整合，并能根據用戶的需求，利用控制器進行集中統一的管理、配置和部署網絡，為用戶提供網絡服務。虛擬化網絡：就是在一個物理網絡上模擬出多個邏輯網絡，其網絡配置不受物理設備位置的限制，該網絡內的每個物理設備能夠互聯互通，并且用戶在邏輯網絡的體驗與在物理網絡的體驗一樣。

SDN(Software Defined Network，軟件定義網絡)：它是一種新興的網絡架構，實現控制與轉發相分離，并且用戶可直接對網絡編程。

SDN網絡架構可以被分為三個主要部分：控制器(controller)、SDN交換機(SDN switch)、網絡應用。控制器可以作為網絡的一種操作系統(OS，Operating System)，負責網絡中流量的控制，能自動管理網絡，并且向上層應用提供用于實現網絡服務的可編程接口(API，Application Programming Interface)，網絡人員能夠靈活地編寫多種網絡應用，通過該接口管理整個網絡。SDN交換機進行數據層的轉發。流表是SDN交換機的關鍵組件，負責數據包的高速查詢和轉發。SDN交換機中的流表包含多組流表項，每組流表項就是一個轉發規則。進入SDN交換機的數據包通過查詢流表來獲得轉發的目的端口。控制器可通過安全通道控制和管理SDN交換機，同時控制器接收來自SDN交換機的事件并向SDN交換機發送數據包。OpenFlow(協議)用來描述控制器和SDN交換機之間交互所用信息的標準。SDN交換機和控制器通過安全通道進行通信的信息必須按照OpenFlow協議規定的格式來執行。

SDN技術為網絡的配置和部署帶來極大靈活性和便捷性的同時，也引入了新的網絡安全威脅，例如：SDN網絡的邏輯結構太容易被改變，而通常物理網絡在構建網絡環境時，一般用戶的業務系統都會在構建好網絡后，再經過充分的測試后才會正式運行，但是SDN通過流表可以在用戶業務系統運行中隨意地改變網絡的拓撲，這樣就產生了很大的風險。由于每次更改后都沒有進行足夠的測試，例如規定訪問某服務器之前必須要先經過某防火墻，而用戶或惡意攻擊控制SDN控制器下發非法規則，直接跳過該防火墻直接訪問服務器，會給服務器帶來威脅。作為控制中心的SDN控制器一旦被攻擊或發生異常，將可能導致整個網絡的故障；另外，還有非法鏈接請求、洪泛攻擊等威脅。

其中，SYN攻擊：是洪泛攻擊的一種。它利用傳輸控制協議(TCP，Transmission Control Protocol)的三次握手機制的漏洞，通過偽造的IP地址向被攻擊端持續發出SYN請求，而被攻擊端發出的響應報文SYN-ACK就無法得到再確認ACK包，一段時間后被攻擊端會重發SYN-ACK，等待再確認，直到超過其設定的最大等待時間該連接請求才會被關閉。如此，被攻擊端在等待關閉這個連接的過程中被消耗了資源，如果這樣的連接數量非常多，主機資源將被耗盡，從而達到攻擊的目的。

目前的SDN網絡安全監控方案大多是通過擴展SDN網絡設備的功能來實現安全防御，通常和防火墻、入侵檢測及防御系統等配合，或直接通過第三方安全檢測產品檢測。然而，這些方案多是單方面的注重檢測或阻止攻擊進入SDN網絡內部，忽略了對SDN網絡內部設備和用戶操作的監控和處理。SDN網絡仍舊會遇到以下問題：1)沒有有效地發現被攻擊的SDN控制器下發的惡意策略和用戶錯誤操作下發的非法策略，而只監測發現不完善處理機制，并不能保證網絡服務的可靠性和可用性；2)沒有針對SDN網絡受到洪泛攻擊、非法鏈接請求等攻擊時的高效可靠防護機制。

發明內容：

本發明提供一種SDN網絡防護方法及裝置，能夠使SDN網絡更加安全和高效。

為解決上述技術問題，本發明實施例提供一種軟件定義網絡SDN網絡防護方法，所述方法包括：

當SDN控制器下發流表后，判斷所述SDN控制器下發的流表的合法性；

在所述SDN控制器下發的流表合法時，通過客戶端代理和服務器端代理向SDN交換機下發所述流表；

其中，所述SDN控制器下發的流表包括針對所述SDN交換機轉發的請求數據包下發的流表，和/或，針對更改網絡部署下發的流表。

可選地，所述方法還包括：

當服務端代理接收到所述SDN交換機轉發的請求數據包后，查詢服務端代理的緩存中是否有匹配的流表；