基于SDN架构，让安全能力快速切入业务

        前几天写了一篇文章网络安全建设如何做到安内攘外，其中核心思想之一为安全与业务的融合是下一步趋势，近期不断思考如何让安全更贴身的服务灵活多变的业务？如何通过模块化、可插拔的方式与系统系统融合？如何让业务中有安全，安全中有业务等问题。以此需求为前提，本文通过Mininet模拟SDN架构网络，通过Suricata实现IDS检测，利用Floodlight下发流表策略对流量进行调度，目标是将防护设备形成防护能力，通过编排方式，快速切入业务，保障业务系统稳定运行。

本机性能有限，通过一台虚拟机部署以上产品。文章不对产品部署及具体规则配置进行详细描述。

一、防护流程介绍

        通过ping指令进行简单测试，初期IDS设备未采集h1与h2流量，后期通过策略下发，实现IDS快速切入主机流量，对主机流量进行实时检测。本文采用开源产品搭建，操作效果不是太友好，后期可进行完善，通过可视化以拖拽形式实现安全快速编排。

二、模拟网络环境搭建

    2.1 通过mininet，搭建模拟测试环境，见下图：

c0为controller（SDN控制），s1为OVS交换机，h1（10.0.0.1）、h2(10.0.0.2)、IDS(10.0.0.3)为三台模拟主机。

对mininet搭建环境进行ping测试，确定网络畅通。
2.2 通过Floodlight进行访问，Switches信息如下图：

其中h1使用port1,h2使用port2，h3使用port3，流表为默认。

网络架构图如下：

2.3 IDS主机部署Suricata后，对IDS添加ping指令检测，语句如下：

alert icmp any any <> any any (msg:"PING TEST";icode:0;itype:8; sid:1000000; rev:3;)

具体icode与itype数值选择，见下图：

三、测试

 初期IDS未采集h1相关流量，所以当h1对h2进行ping操作时，IDS不会进行流量监测。

 利用floodlight，通过post形式对流表进行下发操作，将h1对h2的流量镜像到IDS中，流表操作语句如下：

curl -X POST -d '{"switch":"00:00:00:00:00:00:00:01","name":"flow-mod-2","cookie":"123","priority":"32768","in_port":"1","eth_type":"0x0800","active":"true","actions":"output=2,3"}'  http://127.0.0.1:8080/wm/staticflowpusher/json

通过Floodlight查看，流表已下发成功。

当我们通过h1主机再对h2进行ping操作时,见下图：

IDS的告警信息fast.log，监测告警如下：

       可见我们通过对流表操作，实现了对主机的流量镜像采集，实现了安全能力快速切入。以此逻辑我们可将已有的安全设备进行整合（比如IPS、WAF等）纳入至SDN架构中，将防护设备形成防护能力，通过可视化编排方式，快速切入业务，保障业务系统稳定运行。

四、说点其它

    1.基于SDN架构的安全建设是后期发展趋势之一。

    2.SDN+安全系统虚拟化，才能发挥更大安全能力。

    3.对医疗、教育、金融等行业落地使用还需进一步探讨。