您好!欢迎光临云杰通信官网,我司专业提供企业SD-WAN、MPLS组网、国际网络专线、云专线接入服务。
服务热线:13631779516

企业网络优化专家

网络加速综合解决方案服务商

行业知识 NEWS

云杰通信助您了解行业,全方位掌握国际互联网最新资讯

您当前的位置:首页 > 资讯中心 > 行业知识

SDN软件定义网络安全部署

2021-05-26 15:33云杰小编阅读:113

SDN软件定义网络安全部署

软体定义监控—传统依交换机实体埠TAP或SPAN Port分流捕捉封包的安全监测方法,在大型云端资料中心网路中成本太高而难以实施。SDN网路可以做更精细的控制,管理者可以设定政策分层过滤,只针对「有意义」的网路连线进行捕捉监测。

移动目标防御—所谓移动目标防御(Moving Target Defense,MTD)的策略,是建立一个(由外部看来)属性多样而不断变化的网路系统,使骇客在发动攻击前难以对目标进行侦查,借此增加攻击的难度而达成防御。可随机变动的属性包含IP、Port、路由、主机身份、指令集合等。比起传统网路,SDN网路控制与转发分离的特性更容易实作出这样的网路系统。北卡罗来纳大学基于OpenFlow协议研发的随机主机转换(OF-RHM)技术,即是利用SDN网路实作主机IP快速转换,但同时保持网路服务对用户透明,实验证明可有效防范随机扫描攻击及蠕虫传播。

网路自我防御—SDN交换器依据流表比对封包L2-L4表头的若干栏位,包括来源与目的MAC、IP、Port等,来决定是否转发封包或进行其他处置(如限速),因而可将防火墙ACL功能与一些基本安全机制内建在网路中,大幅提升网路自我防御能力。例如SDN交换器可检查来源IP的有效性,或可针对特定来源或目的设置特定时间内封包容量临界值,超过时则丢弃封包或转发流量清洗,以抵挡Flooding类的攻击。

快速应变措施—SDN控制器可以执行脚本,快速更改交换器端口配置,比起传统网路,更具弹性与快速应变的能力。例如用来应变DDoS攻击的旁路清洗(Out-Of-Path,OOP)系统,在传统网路上侦测器需先透过Netflow由交换器或路由器收集足够资讯,判断系统遭受攻击后,再透过BGP更动边界路由器的路由表,将入向流量(Inbound Traffic)导到流量清洗系统过滤掉攻击封包后,再导回伺服器,应变时程可能数十分钟甚至数小时。而在SDN网路,交换器透过OpenFlow协议回报网路状态,使控制器能即时侦测出DDoS攻击,随后可立即改变交换器流表,将入向流量导入流量清洗系统,相同的OOP应变措施几秒内即可启动完成。


云杰通信&网络综合解决方案提供商,助力企业信息化建设、数字化转型、以及全球化互联。SD-WAN方案可实现全球访问加速、SaaS访问加速、海外视频加速、海外分支组网,有效提升国际间沟通效率,助力中国企业开拓国际市场。服务热线:13631779516,欢迎来电咨询。

文章标题:《SDN软件定义网络安全部署》

作  者:云杰小编。本文部分资料来源于网络,转载目的在于传递更多信息及学习参考:https://www.gdyunjie.cn/showinfo-114-4514-0.html

主要业务
企业专线网络MPLS组网SD-WAN云专线
行业解决方案
跨境电商智能制造业互联网医疗国际教育
关于我们
公司简介服务支持商务合作联系我们
热门专题:TikTok虚拟专网虚拟专网服务虚拟专网业务虚拟网服务器虚拟网上国外网上外网外网打开访问国外网国外网站访问快速访问外网国外网站慢访问国外网站访问外网mstp、mpls企业mpls国内mplsmpls企业专线广东mplsmstp/mplsmpls计费mpls费用mstp mpls欧洲mplssdwan上网企业组网外网跨国sdwan国际专用网企业国际网专线网络国际专线网络电信国际专线国际专线价格网络国际专线国际专线跨境网络专线国际数据专线访问国际网络国际网络专线国际互联网专线深港网络专线深港专线价格东莞国际上网微软云专线专线上云云专线端到端pon云专线混合云专线接入腾讯云专线云专线定义混合云专线电信云专线跨云专线
Copyright @ 版权所有2012-2019 广东云杰通信有限公司 粤ICP备18062193号