目前，SDN已被業(yè)界公認為下一代網(wǎng)絡(luò )的發(fā)展方向，包括愛(ài)立信、思科、華為在內的眾多網(wǎng)絡(luò )設備供應商都在順應這一趨勢，推出相應的產(chǎn)品和解決方案。不過(guò)，近期思科總裁錢(qián)伯斯的一句“還沒(méi)有從一個(gè)客戶(hù)那里聽(tīng)到他們想要SDN”，讓人們對SDN產(chǎn)業(yè)化能力產(chǎn)生諸多質(zhì)疑。而探究其中原因，在SDN世界里，虛擬化所產(chǎn)生的安全問(wèn)題一直未解，使得SDN發(fā)展緩慢前行。

　　在近期召開(kāi)的一個(gè)安全會(huì )議上，市場(chǎng)調研機構IDC的安全產(chǎn)品部門(mén)研究主管John Grady對SDN安全問(wèn)題的擔憂(yōu)表示肯定。他認為SDN目前依然只是一個(gè)流行詞匯。物理網(wǎng)絡(luò )安全仍然是一個(gè)以硬件為導向的市場(chǎng)。從長(cháng)遠看，人們很想知道對于虛擬化網(wǎng)絡(luò )安全應用有什么影響，以及這種影響對于網(wǎng)絡(luò )安全平臺意味著(zhù)什么。

　　從概念上講，SDN帶來(lái)的益處顯而易見(jiàn)：其不必觸及每個(gè)交換機和路由器，通過(guò)將網(wǎng)絡(luò )設備控制面與數據面分離開(kāi)來(lái)，便可實(shí)現網(wǎng)絡(luò )流量的靈活控制。這樣一來(lái)，客戶(hù)可以在理論上使用任何啟用OpenFlow的硬件，這意味著(zhù)企業(yè)不再需要從同一供應商那里購買(mǎi)所有的網(wǎng)絡(luò )設備。

　　但是這樣做的同時(shí)也會(huì )產(chǎn)生一些安全隱患，OpenFlow網(wǎng)絡(luò )由OpenFlow交換機、FlowVisor網(wǎng)絡(luò )虛擬化和Controller控制器三部分組成。而負責管理OpenFlow協(xié)議的開(kāi)放網(wǎng)絡(luò )聯(lián)盟（ONF）在去年10月發(fā)表了一篇論文，文中指出了兩個(gè)潛在的SDN安全問(wèn)題，也是行業(yè)必須封堵的兩個(gè)網(wǎng)絡(luò )攻擊途徑：集中控制是一個(gè)“潛在的單點(diǎn)攻擊和故障源”；控制器與數據轉發(fā)設備之間的南向接口很容易“受到攻擊而降低網(wǎng)絡(luò )的可用性、性能和完整性”。

　　可以很明顯看出，SDN控制器是黑客一個(gè)主要攻擊目標，因為它既是一個(gè)集中的網(wǎng)絡(luò )干擾點(diǎn)，也是一個(gè)潛在的單點(diǎn)故障源。Voodoo Security安全咨詢(xún)師和IANS領(lǐng)導成員Dave Shackleford說(shuō)：“如果不注意控制器，那么它會(huì )成為攻擊者的最主要目標，他們可能會(huì )輕松攻破它，修改代碼庫，改變流量控制，從而在一些位置過(guò)濾或藏匿數據，任由攻擊者操控數據。”

　　也正因為如此，目前選擇SDN就意味著(zhù)要選擇承受來(lái)自網(wǎng)絡(luò )安全的威脅，而一直以來(lái)，SDN概念中并沒(méi)有過(guò)多地考慮安全因素。這也是造成企業(yè)在選擇SDN時(shí)猶豫不決，無(wú)法進(jìn)行規模部署的原因之一。因此，目前需要盡快了解安全系統如何融入SDN網(wǎng)絡(luò )。