sdn網路安全

1. 挑戰重重 SDN離我們還有多遠

除了有關 SDN融資、收購事件令人應接不暇，廠商也都紛紛亮出自己的SDN戰略，唯恐在這樣一個關鍵的時刻錯失良機。軟體定義網路SDN無疑是從去年初夏至今，媒體和 IT 業界最熱門的話題。除了有關 SDN融資、收購事件令人應接不暇，廠商也都紛紛亮出自己的SDN戰略，唯恐在這樣一個關鍵的時刻錯失良機。但實際上，SDN究竟能給客戶帶來什麼?究竟是不是霧中花?離我們還有多遠?相信不少人還是倍感困惑。SDN變革傳統網路架構?隨著雲計算、移動互聯網的爆發，傳統的網路設備與功能緊耦合體系也變得越來越復雜、速度越來越慢、運維成本越來越高。在這樣的背景下，SDN成為了網路虛擬化體系的重要技術明星。SDN的本質有三，一是控制轉發分離，二是邏輯上集中控制，三是開放API，讓用戶可以通過軟體編程充分控制網路的行為。在SDN架構中，物理硬體被抽象出來，獨立於運行在網路上的虛擬機器和應用，從而實現軟體對網路硬體的自由控制和靈活的資源調度。SDN通過靈活、快捷和虛擬化的特性帶來了創新，能讓網路服務商隨時提供按需定製網路能力，簡化網路操作，可以說顛覆了傳統的網路架構。為了實現網路架構與企業業務一同成長，很多企業都把目光投向了SDN。據IDC預測，2016年SDN市場將產生37億美元收入。目前，國內外的互聯網/雲服務公司、軟體企業、IT企業、通信設備、電信運營商、標准組織都開始關注和研究SDN，並陸續推出相關產品。挑戰重重但SDN的發展並非想像中的一帆風順，從SDN概念誕生於斯坦福大學的實驗室至今，雖然有一些支持SDN功能的商用設備發布，但目前還缺少成熟的商用案例支持後續熟度。尤其是在安全、標准、應用等方面都還存在不小的挑戰。工信部電信研究院科技委主任蔣林濤先生認為，SDN技術目前還非常初步，體系結構過於簡單，協議和實用案例也過於簡單，但是存在很大的開拓空間。中國電信集團科技委主任韋樂平指出，SDN將面臨八大挑戰：集中控制和管理的擴展性;軟體的復雜性和有效性;不同硬體廠家設備及管理的可遷移性;從現有硬體平台向虛擬化網路的平滑演進、兼容性和長期共存的挑戰;網路安全性挑戰;所有功能的自動化才能實現網路層面的虛擬化、對軟硬體失效的彈性挑戰以及不同廠家虛擬化設備和網管的快速有效集成挑戰;避免鎖定於單個廠家的挑戰。例如華為企業業務BG 數據中心網路解決方案產品規劃部部長寧軍就表示，SDN最大的阻力還是殺手應用。目前還缺乏殺手級的SDN應用，還無法針對客戶關鍵問題提供完善SDN解決方案，尤其是還缺乏具有行業特點的應用程序。浙江大學計算機系統結構與網路安全研究所教授吳春明表示，SDN是一種全新的網路架構，由於其開放性，在安全方面可能會存在很多問題，尤其是運行網路操作系統的伺服器很可能將成為攻擊目標。博科公司高級技術顧問谷增雲表示，目前，SDN遇到的最大障礙是標准不統一，同時網路設備對SDN的支持還不夠，缺乏對SDN部署的實戰經驗。極進網路中國區技術總監石奇海表示，SDN是一種革命性的創新，人們需要一定的時間來接受這種轉變，其次供應商是否接受任何一種類型的控制器來構建保持開放的軟體和交換機，也會對SDN帶來挑戰。SDN離我們還有多遠?專家表示，SDN的技術、應用的發展都還處於剛剛起步的階段，受到技術成熟度等的限制，SDN今後數年可能主要在IDC、園區網等「末梢」網路率先應用。未來，「軟體定義」則可能向傳輸、接入、無線等各個領域延伸。SDN會如其支持者所言「給整個網路通信產業帶來顛覆性的革命」，或是在經歷炒作期之後成為有限部署的應用?我們目前不得而知。但它距離我們究竟還有多遠?戴爾亞太區銷售技術總監劉永道表示，SDN的市場才剛起步，預估需要3年才會進入成熟期，其負責管理網路產品的Arpit Joshipura表示，3-5年內，SDN還無法把企業級交換機變成物美價廉的商品。工信部電信研究院副所長劉多女士認為，目前，在可預見的一段時間內，SDN的應用部署主要集中在科研領域以及數據中心，短時間內不會給電信網或者互聯網的基礎架構帶來重大影響。華為也表示，要到2014年才進行SDN設備的商用測試，最早在2015年實現SDN的商業部署。由於遭遇重重挑戰，SDN向現有網路的引入也許將會是漫長的過程。目前關於SDN商用的討論依舊如火如荼，我們是不是應該冷靜思考?

2. SDN如何實現自動化網路安全性求解答

》中認為集中控制和大范圍自動化將是軟體定義網路的核心功能——最終實現適應性自動化網路安全。這個願景正開始變成現實。由SDN實現的集中控制最終將帶來安全定義路由及其他SDN安全策略，它們可能徹底改變我們定義網路及其應用或數據的方式。
德克薩斯州A&M博士生Seungwon Shin的科研工作是分析SDN將如何改變網路安全性。Shin在大學期間發表了兩篇關於SDN網路安全策略的文章。第一篇是「CloudWatcher：在動態雲網路中使用OpenFlow實現網路安全監控」，介紹了一種在雲環境中使用SDN控制平台（如NOX和Beacon——最初由斯坦福大學開發的OpenFlow SDN控制器）執行安全監控的方法。
Shin與其博士生同學Guofei Gu一起設計了一種新的策略語言，它可用於識別網路設備及其特殊的監控功能集。通過使用這種語言，控制器就可以直接監控指定設備之間的流量。它們還可以自動將雲環境中的虛擬機遷移流量及其他動態事件的流量轉發到其他網路位置。這意味著它們可以將流量傳輸到入侵防禦系統（IDS），允許安全團隊根據需要監控超動態環境的事件。在這種模型中，Shin和Gu實際上設計了安全定義路由與流量控制的基礎——即使仍然使用傳統網路安全控制。
OpenFlow控制的SDN安全應用
在Shin的第二篇論文「FRESCO：模塊化可組合的軟體定義網路安全服務」中，Shin與同學們一起探討了SDN（特別是OpenFlow）所缺少的決定性安全應用，並且提出一個面向SDN安全用例的新開發框架FRESCO。這個框架的腳本功能允許安全人員創建新的模塊化庫，整合和擴展安全功能，從而使用OpenFlow控制器和硬體進行控制和管理流量。FRESCO包括16個模塊，其中每一個都有5個介面：輸入、輸出、事件、參數和操作。通過將這些值分配給這些介面，就可以實現許多通用網路安全平台和功能，從而替代防火牆、IDS和流量管理工具。
SDN和自動化網路安全的實踐應用
雖然這些概念仍然在學術研究階段，但是供應商和標准組織已經有許多實現基於SDN安全策略的實際例子。例如，sflow.com網站上有一篇博客「sFlow Packet Broker」，它介紹了一個簡單的Python腳本，它可以將inMon的Flow-RT控制器應用配置為監控所有流量，專門查找通向TCP埠22（SSH）的通用路由封裝（Generic Route Encapsulation）通道的流量。一旦檢測有問題的流量，它就會生成一個警報，從而觸發分析捕捉到的數據包。這些警報還會產生更多高級響應，如用於流量控制的防火牆集成API、開放或關閉的埠、將流量移到其他網段或VLAN，等等。
同時，虛擬防火牆也已經可以使用開放API將安全功能整合到網路中。Netuitive公司產品管理主管Richard Park寫過一篇博客，其中他介紹了如何在Perl代碼中使用一個RESTful API查詢和更新VMware vShield的防火牆規則， 而這只是冰山之一角。在出現新的SDN工具和編制平台之後，大多數網路安全檢測和響應功能很快都變得越來越自動化，支持更加快速的意外處理，而且在攻擊發生時發揮像「輔助呼吸室」一樣的作用。

3. 網路安全的市場需求

5G作為新一代移動通信技術體系，採用了很多新業務、新架構、新技術，將在提升移動互聯網用戶業務體驗的基礎上，進一步滿足未來物聯網應用的海量需求，與工業、醫療、交通、傳媒等行業深度融合，實現真正的「萬物互聯」，推動產業互聯網發展，但5G的虛擬化和軟體定義能力也引入了新的安全挑戰，將催生更大的網路安全市場。根據最新發布的《IDC全球網路安全支出指南》（Worldwide Security Spending Guide, 2020V2），IDC預測，在新冠肺炎疫情的影響與推動下，2020年全球網路安全相關硬體、軟體、服務市場的總投資將達到1252.1億美元，較2019年同比增長6.0%，與上期預測保持了較高的一致性。

與全球相比，中國網路安全市場近幾年在國家政策法規、數字經濟、威脅態勢等多方需求驅動下，整體的市場規模持續呈現快速發展態勢，中國網路安全投資在整體IT投資中的佔比日益提升。但從IT安全投資、IT安全技術與服務成熟性等幾方面來看，中國網路安全產業的發展相較於全球仍存在較大差距，這也充分體現了未來中國網路安全市場的發展潛力與發展空間。

5G催生更大網路安全市場

5G實現萬物互聯，推動產業互聯網發展，但5G的虛擬化和軟體定義能力也引入了新的安全挑戰，將催生更大的網路安全市場。

「5G時代，通信變成一張IT網路，IT、OT和CT三網融合，標準的封閉通信協議和通信網路開放成軟體定義的網路後，數據的入口和各種接入發生了天翻地覆的變化，從只有通信設備廠能參與的產業變成了所有IT人都能參與的藍海市場。」亞信安全總裁陸光明表示，除了電信運營商，5G進入行業應用還將對安全產生刺激性需求，將會帶動數萬億行業應用投資。

一方面，隨著5G網路規劃和建設逐步落地，現有網路架構的雲化升級以及核心網的SDN化將引入數千億的IT化投資。

另一方面，5G作為新基建，將加速產業互聯網的發展。5G的切片網路在各行業應用過程中也會遇到大量新的網路安全挑戰，甚至會出現基於這些垂直行業應用的運營商，這些行業運營商對網路以及網路安全防護的需求是7×24小時，需要有強大的網路和網路安全復合能力的廠商。

近幾年來，網路安全態勢變得越來越復雜，數據泄露、APT攻擊、勒索病毒等事件愈演愈烈，例如2017年美國核電站持續遭遇黑客滲透攻擊，2018年韓國平昌奧運會開幕式期間官網受攻擊。

對網路安全的重視將推動這一行業快速發展。根據IDC最新預測，2020年中國網路安全市場總體支出將達到78.9億美元，較2019年同比增長11.0%，增幅繼續領跑全球網路安全市場。2020年，安全硬體在中國整體網路安全支出中將繼續占據主導地位，佔比高達53.5%；安全軟體和安全服務支出比例分別為18.3%和28.2%。在2020-2024年的預測期間內，中國網路安全相關支出將實現18.7%的CAGR（年均復合增長率），預計2024年將達到167.2億美元。

除了增速快，中國網路安全市場與其他國家相比硬體佔比更大，軟體和服務的比例偏低。IDC預測，2020年安全硬體在中國整體網路安全支出中將繼續占據絕對主導地位，佔比高達59.1%；軟體和服務支出比例分別為18.4%和22.5%。

5G網路應用領域安全需求多

5G網路應用領域涉及多個應用領域，應用場景和范圍不同，其安全需求也不盡相同。

對於智慧醫療來說，智慧醫療系統主要通過網路切片技術建立端到端的邏輯專網，在患者和醫院、醫院和醫院之間，實現遠程醫療、醫療信息共享等多種定製化網路服務。目前，行業內已成功實現了異地遠程會診、醫療數據快速傳輸和同步調閱等應用成果。但醫療切片網路中的病人，希望自己的信息只接入本切片網路中的醫生，而不希望被其他切片網路中的人訪問。因此，目前，智慧醫療的核心安全需求是亟須建立網路切片之間的有效隔離機制。

4. sdn網路架構的三大特徵

SDN是Software Defined Network(軟體定義網路)的縮寫，顧名思義，這種網路技術的最大特點就是可以對網路進行編程。

SDN是一種非常新興的技術，通過增加對網路的可編程性來革新當前偏重靜態、配置復雜、改動麻煩的網路架構。SDN的一個非常大的優點就是它不屬於某一家商業公司，而是屬於所有IT企業和一些標准組織，因此SDN的發展也可以打破目前一些網路巨頭的壟斷並為網路技術的飛速發展提供動力。

SDN的定義和架構都不只有一種，但是最重要的一個就是ONF(Open Network Foundation開放網路基金會)定義的SDN和架構。因為其他的一些定義和架構多少會偏向於少數商業利益團體，所以我們以這個最為開放，也最為'標准化'的定義來介紹SDN。

如上所說，SDN就是通過軟體編程來構造的網路，這種網路和傳統的網路(比如以交換機、路由器為基礎設施的網路)都可以實現作為一個網路應該具有的互聯共享功能。但是相比後者，SDN網路帶來一些更加強大的優勢，查閱了身邊的一些書籍和ONF官網上的一些資料，下面把這些優點用好理解的方式大致介紹一下，有些不大顯眼的優點這里就不列出來了：

1. SDN網路可以建立在以x86為基礎的機器上，因為這類機器通常相比專業的網路交換設備要更加便宜，所以SDN網路可以省下不少構建網路的費用，尤其是你的網路根本不需要太豪華的時候。

2. SDN網路能夠通過自己編程實現的標識信息來區分底層的網路流量，並為這些流量提供更加具體的路由，比如現在底層來了一段語音流量和一段數據流量，通常語音流向需要的帶寬很小但是相對來說實時性大一點，但是數據流量則正好相反，SDN網路可以通過辨別這兩種流量然後將他們導入到不同的應用中進行處理。

3. SDN可以實現更加細粒度的網路控制，比如傳統網路通常是基於IP進行路由，但是SDN可以基於應用、用戶、會話的實時變化來實現不同的控制。

4. 配置簡單，擴展性良好，使用起來更加靈活。

ONF的SDN基本架構：

可以看到每一層其實都並不是只包含自己要負責的功能，每一層都多少會涵蓋一些管理類的功能。

途中藍色的方塊的區域可以被看做是網路的提供者，紅、綠色方塊的區域可以被看做是網路的消耗者。這張圖更加直白的凸顯了"平面"這個概念。

5. 什麼是網路虛擬化和SDN

SDN與網路虛擬化
由於早期成功的的SDN方案中網路虛擬化案例較多，有的讀者可能會認為SDN和網路虛擬化是同一個層面的，然而這是一個錯誤的說法。SDN不是網路虛擬化，網路虛擬化也不是SDN。SDN是一種集中控制的網路架構，可將網路劃分為數據層面和控制層面。而網路虛擬化是一種網路技術，可以在物理拓撲上創建虛擬網路。傳統的網路虛擬化部署需要手動逐跳部署，其效率低下，人力成本很高。而在數據中心等場景中，為實現快速部署和動態調整，必須使用自動化的業務部署。SDN的出現給網路虛擬化業務部署提供了新的解決方案。通過集中控制的方式，網路管理員可以通過控制器的API來編寫程序，從而實現自動化的業務部署，大大縮短業務部署周期，同時也實現隨需動態調整。
隨著IaaS的發展，數據中心網路對網路虛擬化技術的需求將會越來越強烈。SDN出現不久後，SDN初創公司Nicira就開發了網路虛擬化產品NVP(Network Virtualization Platform)。Nicira被VMware收購之後，VMware結合NVP和自己的產品vCloud Networking and Security (vCNS)，推出了VMware的網路虛擬化和安全產品NSX。NSX可以為數據中心提供軟體定義化的網路虛擬化服務。由於網路虛擬化是SDN早期少數幾個可以落地的應用，所以大眾很容易將網路虛擬化和SDN弄混淆。正如前面所說，網路虛擬化只是一種網路技術，而基於SDN的網路架構可以更容易地實現網路虛擬化。
SDN實現網路虛擬化
通過SDN實現網路虛擬化需要完成物理網路管理，網路資源虛擬化和網路隔離三部分工作。而這三部分內容往往通過專門的中間層軟體完成，我們稱之為網路虛擬化平台。虛擬化平台需要完成物理網路的管理和抽象虛擬化，並分別提供給不同的租戶。此外，虛擬化平台還應該實現不同租戶之間的相互隔離，保證不同租戶互不影響。虛擬化平台的存在使得租戶無法感知到網路虛擬化的存在，也即虛擬化平台可實現用戶透明的網路虛擬化。
虛擬化平台
虛擬化平台是介於數據網路拓撲和租戶控制器之間的中間層。面向數據平面，虛擬化平面就是控制器，而面向租戶控制器，虛擬化平台就是數據平面。所以虛擬化平台本質上具有數據平面和控制層面兩種屬性。在虛擬化的核心層，虛擬化平台需要完成物理網路資源到虛擬資源的虛擬化映射過程。面向租戶控制器，虛擬化平台充當數據平面角色，將模擬出來的虛擬網路呈現給租戶控制器。從租戶控制器上往下看，只能看到屬於自己的虛擬網路，而並不了解真實的物理網路。而在數據層面的角度看，虛擬化平台就是控制器，而交換機並不知道虛擬平面的存在。所以虛擬化平台的存在實現了面向租戶和面向底層網路的透明虛擬化，其管理全部的物理網路拓撲，並向租戶提供隔離的虛擬網路。

6. SDN交換機和普通交換機的區別

區別一：

從功能方面：

SDN交換機基本具有普通交換機的所有功能。SDN交換機特別的功能在於支持OpenFlow協議（有些只支持OpenFlow1.0，有些強點支持1.0和1.3）。

區別二：

從性能方面：

SDN交換機將所需的埠改成支持OpenFlow的埠，並且將控制器的IP地址輸入。然後你打開控制器（我用floodlight）就可以發現這台SDN交換機（埠只顯示你設定的那些支持持OpenFlow的埠）。

區別三：

從難易程度方面：

你在控製品上輸入流表，下發規則至SDN交換機。那麼經過SDN交換機的數據包就根據這些流表規則轉發。

而傳統的交換機（無論3層還是2層）都是收到數據包之後自己決定怎麼轉發。和這個數據包的一些信息，問控制器怎麼處理這個數據包。

暫時感覺SDN交換機的效率沒普通的高。

(6)sdn網路安全擴展閱讀：

SDN交換機配置及應用

一、SDN交換機配置及控制技術分析

SDN採用集中控制的思想，使SDN控制器具有全局視角，可以從全局優化的角度改變SDN交換機的轉發行為，提高網路性能，因此SDN交換機配置及控制技術對於數據中心網路流量負載均衡具備非常重要的意義。

1、SDN交換機控制技術分析

Openflow是應用最廣泛的SDN交換機規范。OpenFlow協議支持3種消息類型，分別是Controller-to-Switch(控制器交換機消息)、Asynchronous(非同步消息)、Symmetric(對稱消息)。

每一種消息類型擁有多個子消息類型。其中Controller-to-Switch消息是由控制器發起，用來管理和獲取交換機的狀態的消息；Asynchronous消息是由交換機發起，用來將交換機狀態變化和網路事件更新到控制器的消息；Symmetric消息既可由控制器也可由交換機發起。

2、SDN交換機配置技術分析

OF-Config是SDN網路應用最廣泛的交換機配置協議。OF-Config由ONF組織中的Configuration&Management工作組負責維護，於2012年1月6日發布vl.0版本。

OF-Config的最主要目標是在支持OpenFlow的網路設備上實現基本功能配置。除此之外，OF-Config還根據自身的需要制定了多種場景下需要的操作運維能力以及對交換機管理協議的需求，下面將從上述幾個方面分析OF-Config協議的配置能力。

OF-Config在支持OpenFlow的網路設備上基本功能配置包括：配置一至多個控制器的IP地址；配置設備的隊列、埠等資源;支持遠程修改設備的埠狀態。

此外，在操作運維方面，主要包括以下4點：支持從多個配置點進行配置操；支持一個配置點配置和管理多台交換機；支持由多台控制器控制同一台邏輯交換機；支持對已分配給邏輯交換機的埠和隊列的配置。

而在管理協議方面，OF-Config做出了更詳細的規定，如協議必須是安全的，能夠確保完整性和私密性，並提供雙向身份認證；協議需要支持由交換機或者配置點發起的連接，支持對部分交換機的配置；協議必須具有良好的擴展性，能夠提供協議能力報告等。

3、SDN交換機配置技術與控制技術的關系

OF-Config跟OpenFlow的關系是OF-Config協議作為OpenFlow協議的「伴侶」協議，解決OpenFlow協議中沒有規定的OF交換機管理和配置標准。

在OpenFlow協議中，有控制器向OF交換機發送流表以控制數據流的轉發行為，但是它並沒有規定如何去管理和配置這些OF交換機，而OF-Config就是為解決這一問題而提出的。

OF-Config的作用是提供一個開放介面用於遠程管理和配置OF交換機。它並不會影響到流表的內容和數據轉發行為，對實時性也沒有太高的要求。

具體地說，諸如構建流表和確定數據流走向等事項將由OpenFlow規范進行規定，而諸如如何在OpenFlow交換機下配置控制器IP地址、如何配置交換機埠上的隊列等操作則由OF-Config協議完成。

二、SDN交換機應用及配置

SDN交換機採用虛擬網路設備技術，不僅可以實現擴展數據鏈路層，而且還能夠實現安全、具有彈性、自適應的雲計算基礎網路。那麼SDN交換機該如何安裝配置。

SDN交換機的安裝

1、為了能夠使SDN交換機實現外網的遠程接入，在使用SDN交換機時，應該全面綜合考慮SDN交換機的安裝位置。在安裝SDN交換機時，不僅應該配置IP地址，同時還應該對埠提供外部訪問，這樣才能對SDN交換機進行安裝。

2、SDN交換機配置

在系統中安裝SDN交換機後，配置SDN交換機時，應重新啟動系統，然後到「開始/程序」中進行選擇「SDN交換機管理」並使其運行，根據系統要求輸入SDN交換機所在的位置，

並選擇Localhost，最後點擊鏈接，系統就會進入命令行下的配置界面，根據提示可以完成對SDN交換機的配置。

3、虛擬網卡IP地址的配置

在使用SDN交換機實現遠程網路的接入時，對每一個需要接入的機器設備都要安裝虛擬網卡軟體，安裝完成後重新啟動系統就能夠進入網路配置的窗口進行網路配置。

4、建立連接

在系統中如果對通信配置完成後，系統的「連接管理」中會彈出「EDOAS」圖標，雙擊該圖標，目前的系統與SDN交換機之間就會建立連接，並在右側窗口內顯示當前系統與SDN交換機之間的連接狀態。

5、實現遠程機器對內部網路資源的訪問

遠程機器要訪問內部資源，首先應該與交換機建立連接，還應完成提供服務的機器與SDN交換機之間的連接，然後在遠程機器的IE地址中輸入需要訪問的地址，就可以實現外網機器對內部網路的訪問。

計算機網路主要是通過專用設備和通信介質連接起來的，可以是專用設備與多台計算機連接形成，也可以是通過單個網路與專用設備進行相互之間的連接形成。

7. 網路安全專業主要學習什麼呀

網路安全的定義是指網路系統的硬體、軟體及其系統中的數據受到保護，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統連續可靠正常地運行，網路服務不中斷。具有保密性、完整性、可用性、可控性、可審查性的特性.

網路安全行業分類、技能需求

根據不同的安全規范、應用場景、技術實現等，安全可以有很多分類方法，在這里我們簡單分為網路安全、Web安全、雲安全、移動安全（手機）、桌面安全（電腦）、主機安全（伺服器）、工控安全、無線安全、數據安全等不同領域。下面以個人所在行業和關注點，重點探討 網路 / Web / 雲這幾個安全方向。

1 網路安全

[網路安全] 是安全行業最經典最基本的領域，也是目前國內安全公司發家致富的領域。這個領域研究的技術范疇主要圍繞防火牆/NGFW/UTM、網閘、入侵檢測/防禦、VPN網關（IPsec/SSL）、抗DDOS、上網行為管理、負載均衡/應用交付、流量分析、漏洞掃描等。通過以上網路安全產品和技術，我們可以設計並提供一個安全可靠的網路架構，為政府/國企、互聯網、銀行、醫院、學校等各行各行的網路基礎設施保駕護航。

大的安全項目（肥肉…）主要集中在以政府/國企需求的政務網/稅務網/社保網/電力網… 以運營商（移動/電信/聯通）需求的電信網/城域網、以銀行為主的金融網、以互聯網企業需求的數據中心網等。以上這些網路，承載著國民最核心的基礎設施和敏感數據，一旦泄露或者遭到非法入侵，影響范圍就不僅僅是一個企業/公司/組織的事情，例如政務或軍工涉密數據、國民社保身份信息、骨幹網路基礎設施、金融交易賬戶信息等。

當然，除了以上這些，還有其他的企業網、教育網等也需要大量的安全產品和服務。網路安全項目一般會由網路安全企業、系統集成商、網路與安全代理商、IT服務提供商等具備國家認定的計算機系統集成資質、安全等保等行業資質的技術單位來提供。

[技能需求]

• 網路協議：TCP/IP、VLAN/Trunk/MSTP/VRRP/QoS/802.1x、OSPF/BGP/MPLS/IPv6、SDN/Vxlan/Openflow…

• 主流網路與安全設備部署：思科/華為/華三/銳捷/Juniper/飛塔、路由器/交換機、防火牆、IDS/IPS、VPN、AC/AD…

• 網路安全架構與設計：企業網/電信網/政務網/教育網/數據中心網設計與部署…

• 信息安全等保標准、金土/金稅工程… ……

[補充說明]

• 不要被電影和新聞等節奏帶偏，戰斗在這個領域的安全工程師非常非常多，不是天天攻擊別人寫攻擊代碼寫病毒的才叫做安全工程師；

• 這個安全領域研究的內容除了defense（防禦）和security（安全），相關的Hacking（攻擊）技術包括協議安全（arp中間人攻擊、dhcp泛洪欺騙、STP欺騙、DNS劫持攻擊、HTTP/VPN弱版本或中間人攻擊…）、接入安全（MAC泛洪與欺騙、802.1x、WiFi暴力破解…）、硬體安全（利用NSA泄露工具包攻擊知名防火牆、設備遠程代碼執行漏洞getshell、網路設備弱口令破解.. ）、配置安全（不安全的協議被開啟、不需要埠服務被開啟…）…

• 學習這個安全方向不需要太多計算機編程功底（不是走研發路線而是走安全服務工程師路線），更多需要掌握常見安全網路架構、對網路協議和故障能抓包分析，對網路和安全設備能熟悉配置；

2 Web安全

Web安全領域從狹義的角度來看，就是一門研究[網站安全]的技術，相比[網路安全]領域，普通用戶能夠更加直觀感知。例如，網站不能訪問了、網站頁面被惡意篡改了、網站被黑客入侵並泄露核心數據（例如新浪微博或淘寶網用戶賬號泄露，這個時候就會引發恐慌且相繼修改密碼等）。當然，大的安全項目裡面，Web安全僅僅是一個分支，是需要跟[網路安全]是相輔相成的，只不過Web安全關註上層應用和數據，網路安全關注底層網路安全。

隨著Web技術的高速發展，從原來的[Web不就是幾個靜態網頁嗎？]到了現在的[Web就是互聯網]，越來越多的服務與應用直接基於Web應用來展開，而不再僅僅是一個企業網站或論壇。如今，社交、電商、游戲、網銀、郵箱、OA…..等幾乎所有能聯網的應用，都可以直接基於Web技術來提供。

由於Web所承載的意義越來越大，圍繞Web安全對應的攻擊方法與防禦技術也層出不窮，例如WAF（網頁防火牆）、Web漏洞掃描、網頁防篡改、網站入侵防護等更加細分垂直的Web安全產品也出現了。

[技能需求]Web安全的技能點同樣多的數不過來，因為要搞Web方向的安全，意味初學者要對Web開發技術有所了解，例如能通過前後端技術做一個Web網站出來，好比要搞[網路安全]，首先要懂如何搭建一個網路出來。那麼，Web技術就涉及到以下內容：

• 通信協議：TCP、HTTP、HTTPs

• 操作系統：Linux、Windows

• 服務架設：Apache、Nginx、LAMP、LNMP、MVC架構

• 資料庫：MySQL、SQL Server、Oracle

• 編程語言：前端語言（HTML/CSS/JavaScript）、後端語言（PHP/Java/ASP/Python）

3 終端安全（移動安全/桌面安全）

移動安全主要研究例如手機、平板、智能硬體等移動終端產品的安全，例如iOS和Android安全，我們經常提到的「越獄」其實就是移動安全的范疇。而近期爆發的危機全球的Windows電腦蠕蟲病毒 - 「WannerCry勒索病毒」，或者更加久遠的「熊貓燒香」，便是桌面安全的范疇。

桌面安全和移動安全研究的技術面都是終端安全領域，說的簡單一些，一個研究電腦，一個研究手機。隨著我們工作和生活，從PC端遷移到了移動端，終端安全也從桌面安全遷移到移動安全。最熟悉不過的終端安全產品，便是360、騰訊、金山毒霸、瑞星、賽門鐵克、邁克菲McAfee、諾頓等全家桶……

從商業的角度看，終端安全（移動安全加桌面安全）是一門to C的業務，更多面向最終個人和用戶；而網路安全、Web安全、雲安全更多是一門to B的業務，面向政企單位。舉例：360這家公司就是典型的從to C安全業務延伸到to B安全業務的公司，例如360企業安全便是面向政企單位提供安全產品和服務，而我們熟悉的360安全衛士和殺毒則主要面向個人用戶。

4 雲安全


[雲安全]是基於雲計算技術來開展的另外一個安全領域，雲安全研究的話題包括：軟體定義安全、超融合安全、虛擬化安全、機器學習+大數據+安全….. 目前，基於雲計算所展開的安全產品已經非常多了，涵蓋原有網路安全、Web安全、移動安全等方向，包括雲防火牆、雲抗DDOS、雲漏掃、雲桌面等，國內的騰訊雲、阿里雲已經有相對成熟的商用解決方案出現。

雲安全在產品形態和商用交付上面，實現安全從硬體到軟體再到雲的變革，大大減低了傳統中小型企業使用安全產品的門檻，以前一個安全項目動輒百萬級別，而基於雲安全，實現了真正的按需彈性購買，大大減低采購成本。另外，雲時代的安全也給原有行業的規范和實施帶來更多挑戰和變革，例如，託管在雲端的商用服務，雲服務商和客戶各自承擔的安全建設責任和邊界如何區分？雲端安全項目如何做信息安全等保測評？

網路安全職位分類、招聘需求

① 安全崗位

以安全公司招聘的情況來分，安全崗位可以以研發系、工程系、銷售系來區分，不同公司對於安全崗位叫法有所區分，這里以行業常見的叫法歸類如下：

• 研發系：安全研發、安全攻防研究、逆向分析

• 工程系：安全工程師、安全運維工程師、安全服務工程師、安全技術支持、安全售後、滲透測試工程師、Web安全工程師、應用安全審計、移動安全工程師

• 銷售系：安全銷售工程師、安全售前工程師、技術解決方案工程師

8. 企業網路安全設備有哪些

企業網路的安全設備有：
1、鏈路負載均衡---Lookproof Branch
Lookproof Branch是Radware公司專門為中小型網路用戶提供的性價比極高的廣域網多鏈路負載均衡的整體解決方案，其功能涵蓋了多鏈路負載均衡（Multilink LoadBalance）、多鏈路帶寬管理和控制以及多鏈路網路攻擊防範（IPS）。
2、IPS入侵防禦系統---綠盟IPS 綠盟科技網路入侵保護系統
針對目前流行的蠕蟲、病毒、間諜軟體、垃圾郵件、DDoS等黑客攻擊，以及網路資源濫用（P2P下載、IM即時通訊、網游、視頻„„），綠盟科技提供了完善的安全防護方案。
3、網行為管理系統---網路督察
4、網路帶寬管理系統--- Allot 帶寬管理
使用NetEnforcer的NetWizard軟體的設置功能，可以自動的獲得網路上通信所使用的協議。
5、防毒牆---趨勢網路病毒防護設備
Trend Micro Network VirusWall業務關鍵型設施的病毒爆發防禦設備。

9. 部署sdn，目前的網路設備要更換嗎

節省資本和運營成本、顯著提高網路效率、增強網路的靈活性…看起來SDN是一個「完美」的企業級解決方案，事實確實如此嗎？如果你頭腦一熱，興沖沖的奔向SDN，帶來的後果可能會令你焦頭爛額。在部署SDN之前，企業還面臨許多的問題需要慎重考慮。
SDN對傳統網路的影響

傳統網路設備
如何規劃SDN，將會對企業的整體網路產生長期影響。SDN目前還處於非常早期的階段——市場、標准和技術仍有待成熟。因此IT購買者必須在選擇某個特定的SDN架構之前進行試用和仔細地評估對遺留網路的支持。SDN解決方案能否很好地支持企業已安裝的遺留乙太網交換機和路由器？向SDN的遷移計劃是什麼樣的？
SDN對已有網路管理人才的影響
評估SDN對IT部門的影響。SDN是否提供了創建跨職能部門團隊(例如伺服器、存儲和網路部門)以便解決數據中心或雲網路需求的機會？思考SDN實施的挑戰。今天的很多SDN解決方案都不夠完善，或者需要大量的定製化。誰可以幫助你實施SDN(是渠道還是專業服務團隊)？企業的IT部門是否有現成的SDN技能人才可用，還是說需要額外進行培養？
SDN行業標准不夠成熟
目前，SDN還處於初期階段，還沒有形成一個統一廣泛的行業標准。用戶部署前一定要關注SDN是否可支持廣泛的行業標准，這里既指網路標准(如OpenFlow)，也包括IT標准(如伺服器虛擬化產品)。
SDN的軟肋
也有業界專家認為，SDN並沒有真正解決網路問題。它只是給網路技術人員提供工具來解決他們自己的問題。當涉及配置、編排以及故障排除時，提供一套新的API就像是給他一把螺絲刀，並要他打造自己的汽車一樣。當你試圖解決傳統網路中出現的所有問題時，你需要一個真正的解決方案。然而，在這一點上，沒有人能夠確定SDN環境應該如何定義和架構，這是我們在進入多租戶網路之前就存在的問題。
慎重！SDN並非適用於任何公司
SDN適合於雲計算供應商以及面對大幅擴展工作負載的企業。金融服務公司和零售業就屬於這類企業，其業務的動態性質需要IT的靈活性。不符合這種模式的是出版業和醫療行業，這兩個行業相對比較穩定，並不會每天啟動或者移動應用程序工作負載。因為他們的環境並沒有那麼動態。
如果你只有50個IP地址，那麼你並不需要SDN。只有對於數百個、成千上萬個地址，用戶才需要這種SDN。建議在考慮SDN之前進行容量規劃。如果你需要大量網路分區用於安全和隔離目的，你可以考慮部署SDN。如果你有大量虛擬LAN需要配置和管理，或者有VLAN需要更多自動化，你也應該考慮SDN。
如果你沒有幾百個虛擬機，你可能不需要部署SDN。如果企業在運行數百個工作負載，這家企業應該考慮SDN。基於SDN的不成熟性，低於這一水平的企業部署SDN都為時過早。如果你的業務或者IT環境迅速擴展且動態地變化，你會想要SDN。
SDN的好處是，即使環境的動態且不斷變化的，事情總會以相同的方式進行。動態環境中的安全和網路控制可能是一場噩夢。你必須正確執行政策，不僅為了確保操作方便，而且可以確保信息位於合適的位置。
如果IT企業不具備網路工程專業技能，那應該推遲部署SDN。部署SDN會遇到很多問題，這非常費時，且需要大量工作。SDN部署與生產環境並行，在SDN切換到生產網路之前，你需要反復測試、評估、驗證，這需要很多時間、資金和人力。SDN能夠帶來很多好處，它也能夠幫助解決很多問題，但如果環境不適合部署SDN的話，它可能製造很多問題。