本發明公開了一種基于SDN的安全設備動態互聯與智能選路決策系統及方法，該系統中：安全事件檢測與智能選路決策單元，用于實時采集專業安全設備池單元中各類安全設備的日志信息，并基于日志信息進行深度分析，對疑似攻擊的數據流作出預判及發出告警；SDN交換機集群單元，用于實時接收下發的流表指令，通過匹配流表項完成動態調度與專業安全設備池單元中專業安全設備的互聯路徑，用以實現智能選路決策；專業安全設備池單元，域內設備與SDN交換機集群單元形成聯動機制，動態處理不同類別的疑似攻擊流數據，實現專業安全設備的安全偵測與防護。本發明可以對安全設備靈活地增加或減少，快速實現不同功能的安全設備在局域網中動態的互聯與智能的選路決策。

技術領域

本發明涉及計算機網絡及網絡安全技術領域，尤其涉及一種基于SDN的安全設備動態互聯與智能選路決策系統及方法。

背景技術

互聯網中存在著復雜多樣的惡意攻擊行為，局域網時刻經受著內、外部的未知攻擊。設法減小局域網內各類主機、服務器、數據庫及應用系統等介質受到外部攻擊帶來的不利影響，保障局域網主干鏈路的穩定運行，是當前網絡管理員、安全管理員、主體責任人重點關注的問題。

在傳統的網絡建設模式下，針對局域網的安全防護，多依賴于網絡安全廠商的提供的安全設備。安全設備可以是多個獨立工作的專用安全設備，例如WAF、IPS設備等，也可以是單個融合了多種安全防護功能的安全設備。安全設備以直連、串行的方式部署于主干網絡中，實現對出、入的數據報文進行實時檢測，根據匹配安全規則采取相應的處理措施完成防護。

然而，傳統應用無論是采用多臺安全設備，還是部署單臺融合多種防護功能設備，均存在以下不足：

1、安全設備單點故障會造成嚴重的網絡癱瘓。

2、部分節點或鏈路可能產生性能瓶頸，從而引發吞吐量的“木桶效應”。

3、管理靈活性差，且無法對混雜在正常請求里的攻擊流量做針對性的處理。

在傳統網絡安全防護體系中，網絡安全設備需要對出、入校園網的所有流量進行過濾篩查，因此安全設備一般會部署在核心域中；且為了使流量通過各級安全設備的檢查，一般會選取在干路直連串行的部署方式，其中防火墻和其他安全設備串聯部署在認證網關和邊界交換之間，其網絡拓撲圖如圖1，圖1部署方式存在兩個問題：

問題一：一旦單臺安全設備出現故障，會導致嚴重的網絡癱瘓。各節點位于同一條鏈路上，單節點故障影響整條鏈路的數據轉發。如圖2，防火墻在自身受到攻擊或故障后停止響應，此時整個網絡都會因防火墻停止工作而無法訪問internet。

問題二：核心鏈路吞吐量受制于吞吐能力最差的安全設備。安全設備需要對經過的數據報文完成大量的拆包規則檢測與封包傳輸，在核心鏈路中易形成“木桶短板”，進而影響整條鏈路的數據傳輸性能。

綜上所述，實踐上述部署方案，如發生設備故障(或鏈路故障)時，只能采用替換出現問題的安全設備(或更換線路)、重新部署上線的方式應對突發的故障，需耗費較長的時間和較大的人力，同時也會造成網絡的中斷。

針對上述方案，對傳統網絡的安全部署方法進行二次改進。通過部署可協同工作(指的是構建安全設備的水平虛擬化模式，或實現冷、熱備份的方式)的安全設備，以鏈路聚合的方式解決上述問題。

具體部署情況如圖3，在該部署模式下，雖然能在一定程度上彌補直連串行部署所帶來的缺陷，但又會出現新的問題：

(1)受設備約束。要實現鏈路聚合，安全設備需要支持協同工作(一般需要多臺同品牌、同類型、同系統版本的安全設備，且支持水平虛擬化相關協議標準)。但在實際建設過程中，受限于場地、經費、技術等資源情況，并非所有的安全設備都支持該類工作模式，換言之，能否采用這種架構，完全取決于設備本身。