快速ping_内有实例-软件定义网络SDN架构的安全快速切入

大家好,今天分享关于基于sdn架构的安全快速切入。通过下文的整体介绍,相信你可以直观了解SDN架构下安全应该是什么形态,根据自身安全基础环境和需求来打造贴身的动态安全防御能力。当然你也可以吸收思想后结合性能设备,实现动态性能调配。

该文章是之前在其它博客平台写了一篇“网络安全建设如何做到安内攘外”的落地篇,如果你也有兴趣,我可以copy过来。其次动机是我一直不断思考如何让安全能力快速切入业务,实现安全的动态调配,如何通过模块化和插拔方式,以软件定义安全的形式做到安全融合业务的最佳实践。如果该文章能够帮助达到你,我再高兴不过。

一、基础环境介绍

  • 操作系统:ubuntu-16.4
  • 网络仿真器 :mininet-2.2.2
  • 入侵检测系统:suricata-3.1(也可以使用snort)
  • SDN控制器:floodlight-1.2(比较老,新版本安装有点问题)

二、测试目标

  1. 通过mininet模拟网络环境。
  2. 通过floodlight进行流量控制牵引。
  3. 通过suricata实现入侵检测。

三、测试实现效果

  • 正常环境:主机H1ping主机H2正常,切不进行流量监测。
  • 测试环境:首先将suricata添加ping指令告警,方便测试实现。其次将Floodlight策略下发,H1流量牵引复制一份至IDS中,然后通过H1ping主机H2时,IDS设备(suricata)报错告警。
da2fa9d9abb446a72dfb9dd0571594e0.png

测试流程示例图

四、安全防护过程介绍

1.首先通过mininet模拟了一台SDN控制器(c0)、一台OVS交换机(s1)、三台模拟主机,其中一台部署了IDS设备。详情如下图:

65368202b3eed66c8276f2bbbfe4f8d2.png

模拟网络架构

模拟完毕后我们可通过ping指令进行测试,指令语句为:h1 ping -c 30 h2,详情如下图:

f859c1dc610a59f2f6cae9b9abe5d90e.png

ping测试

2.suricata部署完毕后,添加ping的指令检测。具体语句如下:

alert icmp any any <> any any (msg:"PING TEST";icode:0;itype:8; sid:1000000; rev:3;)

语句解读: icmp协议;any对any;告警显示内容为“PING TEST”;icmp协议中 type=8、code=0是回显请求(Ping请求);sid是snort规则ID;rev是规则版本号。

3.Floodlight部署完毕后,可通过WEB后台进行查看,http://IP:端口/ui/index.html,如下图:

fdd42d1bd0977f1f1db0895ddc8f86e2.png

floodlight后台截图

其中ids使用的是port3、h2是port2、h1是port1 。我们通过post形式,对流表进行操作,如下代码:

url -X POST -d '{"switch":"00:00:00:00:00:00:00:01

表情包
插入表情
评论将由博主筛选后显示,对所有人可见 | 还能输入1000个字符
相关推荐
©️2020 CSDN 皮肤主题: 1024 设计师:白松林 返回首页