sdn网络安全

1. 挑战重重 SDN离我们还有多远

除了有关 SDN融资、收购事件令人应接不暇，厂商也都纷纷亮出自己的SDN战略，唯恐在这样一个关键的时刻错失良机。软件定义网络SDN无疑是从去年初夏至今，媒体和 IT 业界最热门的话题。除了有关 SDN融资、收购事件令人应接不暇，厂商也都纷纷亮出自己的SDN战略，唯恐在这样一个关键的时刻错失良机。但实际上，SDN究竟能给客户带来什么?究竟是不是雾中花?离我们还有多远?相信不少人还是倍感困惑。SDN变革传统网络架构?随着云计算、移动互联网的爆发，传统的网络设备与功能紧耦合体系也变得越来越复杂、速度越来越慢、运维成本越来越高。在这样的背景下，SDN成为了网络虚拟化体系的重要技术明星。SDN的本质有三，一是控制转发分离，二是逻辑上集中控制，三是开放API，让用户可以通过软件编程充分控制网络的行为。在SDN架构中，物理硬件被抽象出来，独立于运行在网络上的虚拟机器和应用，从而实现软件对网络硬件的自由控制和灵活的资源调度。SDN通过灵活、快捷和虚拟化的特性带来了创新，能让网络服务商随时提供按需定制网络能力，简化网络操作，可以说颠覆了传统的网络架构。为了实现网络架构与企业业务一同成长，很多企业都把目光投向了SDN。据IDC预测，2016年SDN市场将产生37亿美元收入。目前，国内外的互联网/云服务公司、软件企业、IT企业、通信设备、电信运营商、标准组织都开始关注和研究SDN，并陆续推出相关产品。挑战重重但SDN的发展并非想象中的一帆风顺，从SDN概念诞生于斯坦福大学的实验室至今，虽然有一些支持SDN功能的商用设备发布，但目前还缺少成熟的商用案例支持后续熟度。尤其是在安全、标准、应用等方面都还存在不小的挑战。工信部电信研究院科技委主任蒋林涛先生认为，SDN技术目前还非常初步，体系结构过于简单，协议和实用案例也过于简单，但是存在很大的开拓空间。中国电信集团科技委主任韦乐平指出，SDN将面临八大挑战：集中控制和管理的扩展性;软件的复杂性和有效性;不同硬件厂家设备及管理的可迁移性;从现有硬件平台向虚拟化网络的平滑演进、兼容性和长期共存的挑战;网络安全性挑战;所有功能的自动化才能实现网路层面的虚拟化、对软硬件失效的弹性挑战以及不同厂家虚拟化设备和网管的快速有效集成挑战;避免锁定于单个厂家的挑战。例如华为企业业务BG 数据中心网络解决方案产品规划部部长宁军就表示，SDN最大的阻力还是杀手应用。目前还缺乏杀手级的SDN应用，还无法针对客户关键问题提供完善SDN解决方案，尤其是还缺乏具有行业特点的应用程序。浙江大学计算机系统结构与网络安全研究所教授吴春明表示，SDN是一种全新的网络架构，由于其开放性，在安全方面可能会存在很多问题，尤其是运行网络操作系统的服务器很可能将成为攻击目标。博科公司高级技术顾问谷增云表示，目前，SDN遇到的最大障碍是标准不统一，同时网络设备对SDN的支持还不够，缺乏对SDN部署的实战经验。极进网络中国区技术总监石奇海表示，SDN是一种革命性的创新，人们需要一定的时间来接受这种转变，其次供应商是否接受任何一种类型的控制器来构建保持开放的软件和交换机，也会对SDN带来挑战。SDN离我们还有多远?专家表示，SDN的技术、应用的发展都还处于刚刚起步的阶段，受到技术成熟度等的限制，SDN今后数年可能主要在IDC、园区网等“末梢”网络率先应用。未来，“软件定义”则可能向传输、接入、无线等各个领域延伸。SDN会如其支持者所言“给整个网络通信产业带来颠覆性的革命”，或是在经历炒作期之后成为有限部署的应用?我们目前不得而知。但它距离我们究竟还有多远?戴尔亚太区销售技术总监刘永道表示，SDN的市场才刚起步，预估需要3年才会进入成熟期，其负责管理网络产品的Arpit Joshipura表示，3-5年内，SDN还无法把企业级交换机变成物美价廉的商品。工信部电信研究院副所长刘多女士认为，目前，在可预见的一段时间内，SDN的应用部署主要集中在科研领域以及数据中心，短时间内不会给电信网或者互联网的基础架构带来重大影响。华为也表示，要到2014年才进行SDN设备的商用测试，最早在2015年实现SDN的商业部署。由于遭遇重重挑战，SDN向现有网络的引入也许将会是漫长的过程。目前关于SDN商用的讨论依旧如火如荼，我们是不是应该冷静思考?

2. SDN如何实现自动化网络安全性求解答

》中认为集中控制和大范围自动化将是软件定义网络的核心功能——最终实现适应性自动化网络安全。这个愿景正开始变成现实。由SDN实现的集中控制最终将带来安全定义路由及其他SDN安全策略，它们可能彻底改变我们定义网络及其应用或数据的方式。
德克萨斯州A&M博士生Seungwon Shin的科研工作是分析SDN将如何改变网络安全性。Shin在大学期间发表了两篇关于SDN网络安全策略的文章。第一篇是“CloudWatcher：在动态云网络中使用OpenFlow实现网络安全监控”，介绍了一种在云环境中使用SDN控制平台（如NOX和Beacon——最初由斯坦福大学开发的OpenFlow SDN控制器）执行安全监控的方法。
Shin与其博士生同学Guofei Gu一起设计了一种新的策略语言，它可用于识别网络设备及其特殊的监控功能集。通过使用这种语言，控制器就可以直接监控指定设备之间的流量。它们还可以自动将云环境中的虚拟机迁移流量及其他动态事件的流量转发到其他网络位置。这意味着它们可以将流量传输到入侵防御系统（IDS），允许安全团队根据需要监控超动态环境的事件。在这种模型中，Shin和Gu实际上设计了安全定义路由与流量控制的基础——即使仍然使用传统网络安全控制。
OpenFlow控制的SDN安全应用
在Shin的第二篇论文“FRESCO：模块化可组合的软件定义网络安全服务”中，Shin与同学们一起探讨了SDN（特别是OpenFlow）所缺少的决定性安全应用，并且提出一个面向SDN安全用例的新开发框架FRESCO。这个框架的脚本功能允许安全人员创建新的模块化库，整合和扩展安全功能，从而使用OpenFlow控制器和硬件进行控制和管理流量。FRESCO包括16个模块，其中每一个都有5个接口：输入、输出、事件、参数和操作。通过将这些值分配给这些接口，就可以实现许多通用网络安全平台和功能，从而替代防火墙、IDS和流量管理工具。
SDN和自动化网络安全的实践应用
虽然这些概念仍然在学术研究阶段，但是供应商和标准组织已经有许多实现基于SDN安全策略的实际例子。例如，sflow.com网站上有一篇博客“sFlow Packet Broker”，它介绍了一个简单的Python脚本，它可以将inMon的Flow-RT控制器应用配置为监控所有流量，专门查找通向TCP端口22（SSH）的通用路由封装（Generic Route Encapsulation）通道的流量。一旦检测有问题的流量，它就会生成一个警报，从而触发分析捕捉到的数据包。这些警报还会产生更多高级响应，如用于流量控制的防火墙集成API、开放或关闭的端口、将流量移到其他网段或VLAN，等等。
同时，虚拟防火墙也已经可以使用开放API将安全功能整合到网络中。Netuitive公司产品管理主管Richard Park写过一篇博客，其中他介绍了如何在Perl代码中使用一个RESTful API查询和更新VMware vShield的防火墙规则， 而这只是冰山之一角。在出现新的SDN工具和编制平台之后，大多数网络安全检测和响应功能很快都变得越来越自动化，支持更加快速的意外处理，而且在攻击发生时发挥像“辅助呼吸室”一样的作用。

3. 网络安全的市场需求

5G作为新一代移动通信技术体系，采用了很多新业务、新架构、新技术，将在提升移动互联网用户业务体验的基础上，进一步满足未来物联网应用的海量需求，与工业、医疗、交通、传媒等行业深度融合，实现真正的“万物互联”，推动产业互联网发展，但5G的虚拟化和软件定义能力也引入了新的安全挑战，将催生更大的网络安全市场。根据最新发布的《IDC全球网络安全支出指南》（Worldwide Security Spending Guide, 2020V2），IDC预测，在新冠肺炎疫情的影响与推动下，2020年全球网络安全相关硬件、软件、服务市场的总投资将达到1252.1亿美元，较2019年同比增长6.0%，与上期预测保持了较高的一致性。

与全球相比，中国网络安全市场近几年在国家政策法规、数字经济、威胁态势等多方需求驱动下，整体的市场规模持续呈现快速发展态势，中国网络安全投资在整体IT投资中的占比日益提升。但从IT安全投资、IT安全技术与服务成熟性等几方面来看，中国网络安全产业的发展相较于全球仍存在较大差距，这也充分体现了未来中国网络安全市场的发展潜力与发展空间。

5G催生更大网络安全市场

5G实现万物互联，推动产业互联网发展，但5G的虚拟化和软件定义能力也引入了新的安全挑战，将催生更大的网络安全市场。

“5G时代，通信变成一张IT网络，IT、OT和CT三网融合，标准的封闭通信协议和通信网络开放成软件定义的网络后，数据的入口和各种接入发生了天翻地覆的变化，从只有通信设备厂能参与的产业变成了所有IT人都能参与的蓝海市场。”亚信安全总裁陆光明表示，除了电信运营商，5G进入行业应用还将对安全产生刺激性需求，将会带动数万亿行业应用投资。

一方面，随着5G网络规划和建设逐步落地，现有网络架构的云化升级以及核心网的SDN化将引入数千亿的IT化投资。

另一方面，5G作为新基建，将加速产业互联网的发展。5G的切片网络在各行业应用过程中也会遇到大量新的网络安全挑战，甚至会出现基于这些垂直行业应用的运营商，这些行业运营商对网络以及网络安全防护的需求是7×24小时，需要有强大的网络和网络安全复合能力的厂商。

近几年来，网络安全态势变得越来越复杂，数据泄露、APT攻击、勒索病毒等事件愈演愈烈，例如2017年美国核电站持续遭遇黑客渗透攻击，2018年韩国平昌奥运会开幕式期间官网受攻击。

对网络安全的重视将推动这一行业快速发展。根据IDC最新预测，2020年中国网络安全市场总体支出将达到78.9亿美元，较2019年同比增长11.0%，增幅继续领跑全球网络安全市场。2020年，安全硬件在中国整体网络安全支出中将继续占据主导地位，占比高达53.5%；安全软件和安全服务支出比例分别为18.3%和28.2%。在2020-2024年的预测期间内，中国网络安全相关支出将实现18.7%的CAGR（年均复合增长率），预计2024年将达到167.2亿美元。

除了增速快，中国网络安全市场与其他国家相比硬件占比更大，软件和服务的比例偏低。IDC预测，2020年安全硬件在中国整体网络安全支出中将继续占据绝对主导地位，占比高达59.1%；软件和服务支出比例分别为18.4%和22.5%。

5G网络应用领域安全需求多

5G网络应用领域涉及多个应用领域，应用场景和范围不同，其安全需求也不尽相同。

对于智慧医疗来说，智慧医疗系统主要通过网络切片技术建立端到端的逻辑专网，在患者和医院、医院和医院之间，实现远程医疗、医疗信息共享等多种定制化网络服务。目前，行业内已成功实现了异地远程会诊、医疗数据快速传输和同步调阅等应用成果。但医疗切片网络中的病人，希望自己的信息只接入本切片网络中的医生，而不希望被其他切片网络中的人访问。因此，目前，智慧医疗的核心安全需求是亟须建立网络切片之间的有效隔离机制。

4. sdn网络架构的三大特征

SDN是Software Defined Network(软件定义网络)的缩写，顾名思义，这种网络技术的最大特点就是可以对网络进行编程。

SDN是一种非常新兴的技术，通过增加对网络的可编程性来革新当前偏重静态、配置复杂、改动麻烦的网络架构。SDN的一个非常大的优点就是它不属于某一家商业公司，而是属于所有IT企业和一些标准组织，因此SDN的发展也可以打破目前一些网络巨头的垄断并为网络技术的飞速发展提供动力。

SDN的定义和架构都不只有一种，但是最重要的一个就是ONF(Open Network Foundation开放网络基金会)定义的SDN和架构。因为其他的一些定义和架构多少会偏向于少数商业利益团体，所以我们以这个最为开放，也最为'标准化'的定义来介绍SDN。

如上所说，SDN就是通过软件编程来构造的网络，这种网络和传统的网络(比如以交换机、路由器为基础设施的网络)都可以实现作为一个网络应该具有的互联共享功能。但是相比后者，SDN网络带来一些更加强大的优势，查阅了身边的一些书籍和ONF官网上的一些资料，下面把这些优点用好理解的方式大致介绍一下，有些不大显眼的优点这里就不列出来了：

1. SDN网络可以建立在以x86为基础的机器上，因为这类机器通常相比专业的网络交换设备要更加便宜，所以SDN网络可以省下不少构建网络的费用，尤其是你的网络根本不需要太豪华的时候。

2. SDN网络能够通过自己编程实现的标识信息来区分底层的网络流量，并为这些流量提供更加具体的路由，比如现在底层来了一段语音流量和一段数据流量，通常语音流向需要的带宽很小但是相对来说实时性大一点，但是数据流量则正好相反，SDN网络可以通过辨别这两种流量然后将他们导入到不同的应用中进行处理。

3. SDN可以实现更加细粒度的网络控制，比如传统网络通常是基于IP进行路由，但是SDN可以基于应用、用户、会话的实时变化来实现不同的控制。

4. 配置简单，扩展性良好，使用起来更加灵活。

ONF的SDN基本架构：

可以看到每一层其实都并不是只包含自己要负责的功能，每一层都多少会涵盖一些管理类的功能。

途中蓝色的方块的区域可以被看做是网络的提供者，红、绿色方块的区域可以被看做是网络的消耗者。这张图更加直白的凸显了"平面"这个概念。

5. 什么是网络虚拟化和SDN

SDN与网络虚拟化
由于早期成功的的SDN方案中网络虚拟化案例较多，有的读者可能会认为SDN和网络虚拟化是同一个层面的，然而这是一个错误的说法。SDN不是网络虚拟化，网络虚拟化也不是SDN。SDN是一种集中控制的网络架构，可将网络划分为数据层面和控制层面。而网络虚拟化是一种网络技术，可以在物理拓扑上创建虚拟网络。传统的网络虚拟化部署需要手动逐跳部署，其效率低下，人力成本很高。而在数据中心等场景中，为实现快速部署和动态调整，必须使用自动化的业务部署。SDN的出现给网络虚拟化业务部署提供了新的解决方案。通过集中控制的方式，网络管理员可以通过控制器的API来编写程序，从而实现自动化的业务部署，大大缩短业务部署周期，同时也实现随需动态调整。
随着IaaS的发展，数据中心网络对网络虚拟化技术的需求将会越来越强烈。SDN出现不久后，SDN初创公司Nicira就开发了网络虚拟化产品NVP(Network Virtualization Platform)。Nicira被VMware收购之后，VMware结合NVP和自己的产品vCloud Networking and Security (vCNS)，推出了VMware的网络虚拟化和安全产品NSX。NSX可以为数据中心提供软件定义化的网络虚拟化服务。由于网络虚拟化是SDN早期少数几个可以落地的应用，所以大众很容易将网络虚拟化和SDN弄混淆。正如前面所说，网络虚拟化只是一种网络技术，而基于SDN的网络架构可以更容易地实现网络虚拟化。
SDN实现网络虚拟化
通过SDN实现网络虚拟化需要完成物理网络管理，网络资源虚拟化和网络隔离三部分工作。而这三部分内容往往通过专门的中间层软件完成，我们称之为网络虚拟化平台。虚拟化平台需要完成物理网络的管理和抽象虚拟化，并分别提供给不同的租户。此外，虚拟化平台还应该实现不同租户之间的相互隔离，保证不同租户互不影响。虚拟化平台的存在使得租户无法感知到网络虚拟化的存在，也即虚拟化平台可实现用户透明的网络虚拟化。
虚拟化平台
虚拟化平台是介于数据网络拓扑和租户控制器之间的中间层。面向数据平面，虚拟化平面就是控制器，而面向租户控制器，虚拟化平台就是数据平面。所以虚拟化平台本质上具有数据平面和控制层面两种属性。在虚拟化的核心层，虚拟化平台需要完成物理网络资源到虚拟资源的虚拟化映射过程。面向租户控制器，虚拟化平台充当数据平面角色，将模拟出来的虚拟网络呈现给租户控制器。从租户控制器上往下看，只能看到属于自己的虚拟网络，而并不了解真实的物理网络。而在数据层面的角度看，虚拟化平台就是控制器，而交换机并不知道虚拟平面的存在。所以虚拟化平台的存在实现了面向租户和面向底层网络的透明虚拟化，其管理全部的物理网络拓扑，并向租户提供隔离的虚拟网络。

6. SDN交换机和普通交换机的区别

区别一：

从功能方面：

SDN交换机基本具有普通交换机的所有功能。SDN交换机特别的功能在于支持OpenFlow协议（有些只支持OpenFlow1.0，有些强点支持1.0和1.3）。

区别二：

从性能方面：

SDN交换机将所需的端口改成支持OpenFlow的端口，并且将控制器的IP地址输入。然后你打开控制器（我用floodlight）就可以发现这台SDN交换机（端口只显示你设定的那些支持持OpenFlow的端口）。

区别三：

从难易程度方面：

你在控制品上输入流表，下发规则至SDN交换机。那么经过SDN交换机的数据包就根据这些流表规则转发。

而传统的交换机（无论3层还是2层）都是收到数据包之后自己决定怎么转发。和这个数据包的一些信息，问控制器怎么处理这个数据包。

暂时感觉SDN交换机的效率没普通的高。

(6)sdn网络安全扩展阅读：

SDN交换机配置及应用

一、SDN交换机配置及控制技术分析

SDN采用集中控制的思想，使SDN控制器具有全局视角，可以从全局优化的角度改变SDN交换机的转发行为，提高网络性能，因此SDN交换机配置及控制技术对于数据中心网络流量负载均衡具备非常重要的意义。

1、SDN交换机控制技术分析

Openflow是应用最广泛的SDN交换机规范。OpenFlow协议支持3种消息类型，分别是Controller-to-Switch(控制器交换机消息)、Asynchronous(异步消息)、Symmetric(对称消息)。

每一种消息类型拥有多个子消息类型。其中Controller-to-Switch消息是由控制器发起，用来管理和获取交换机的状态的消息；Asynchronous消息是由交换机发起，用来将交换机状态变化和网络事件更新到控制器的消息；Symmetric消息既可由控制器也可由交换机发起。

2、SDN交换机配置技术分析

OF-Config是SDN网络应用最广泛的交换机配置协议。OF-Config由ONF组织中的Configuration&Management工作组负责维护，于2012年1月6日发布vl.0版本。

OF-Config的最主要目标是在支持OpenFlow的网络设备上实现基本功能配置。除此之外，OF-Config还根据自身的需要制定了多种场景下需要的操作运维能力以及对交换机管理协议的需求，下面将从上述几个方面分析OF-Config协议的配置能力。

OF-Config在支持OpenFlow的网络设备上基本功能配置包括：配置一至多个控制器的IP地址；配置设备的队列、端口等资源;支持远程修改设备的端口状态。

此外，在操作运维方面，主要包括以下4点：支持从多个配置点进行配置操；支持一个配置点配置和管理多台交换机；支持由多台控制器控制同一台逻辑交换机；支持对已分配给逻辑交换机的端口和队列的配置。

而在管理协议方面，OF-Config做出了更详细的规定，如协议必须是安全的，能够确保完整性和私密性，并提供双向身份认证；协议需要支持由交换机或者配置点发起的连接，支持对部分交换机的配置；协议必须具有良好的扩展性，能够提供协议能力报告等。

3、SDN交换机配置技术与控制技术的关系

OF-Config跟OpenFlow的关系是OF-Config协议作为OpenFlow协议的“伴侣”协议，解决OpenFlow协议中没有规定的OF交换机管理和配置标准。

在OpenFlow协议中，有控制器向OF交换机发送流表以控制数据流的转发行为，但是它并没有规定如何去管理和配置这些OF交换机，而OF-Config就是为解决这一问题而提出的。

OF-Config的作用是提供一个开放接口用于远程管理和配置OF交换机。它并不会影响到流表的内容和数据转发行为，对实时性也没有太高的要求。

具体地说，诸如构建流表和确定数据流走向等事项将由OpenFlow规范进行规定，而诸如如何在OpenFlow交换机下配置控制器IP地址、如何配置交换机端口上的队列等操作则由OF-Config协议完成。

二、SDN交换机应用及配置

SDN交换机采用虚拟网络设备技术，不仅可以实现扩展数据链路层，而且还能够实现安全、具有弹性、自适应的云计算基础网络。那么SDN交换机该如何安装配置。

SDN交换机的安装

1、为了能够使SDN交换机实现外网的远程接入，在使用SDN交换机时，应该全面综合考虑SDN交换机的安装位置。在安装SDN交换机时，不仅应该配置IP地址，同时还应该对端口提供外部访问，这样才能对SDN交换机进行安装。

2、SDN交换机配置

在系统中安装SDN交换机后，配置SDN交换机时，应重新启动系统，然后到“开始/程序”中进行选择“SDN交换机管理”并使其运行，根据系统要求输入SDN交换机所在的位置，

并选择Localhost，最后点击链接，系统就会进入命令行下的配置界面，根据提示可以完成对SDN交换机的配置。

3、虚拟网卡IP地址的配置

在使用SDN交换机实现远程网络的接入时，对每一个需要接入的机器设备都要安装虚拟网卡软件，安装完成后重新启动系统就能够进入网络配置的窗口进行网络配置。

4、建立连接

在系统中如果对通信配置完成后，系统的“连接管理”中会弹出“EDOAS”图标，双击该图标，目前的系统与SDN交换机之间就会建立连接，并在右侧窗口内显示当前系统与SDN交换机之间的连接状态。

5、实现远程机器对内部网络资源的访问

远程机器要访问内部资源，首先应该与交换机建立连接，还应完成提供服务的机器与SDN交换机之间的连接，然后在远程机器的IE地址中输入需要访问的地址，就可以实现外网机器对内部网络的访问。

计算机网络主要是通过专用设备和通信介质连接起来的，可以是专用设备与多台计算机连接形成，也可以是通过单个网络与专用设备进行相互之间的连接形成。

7. 网络安全专业主要学习什么呀

网络安全的定义是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。具有保密性、完整性、可用性、可控性、可审查性的特性.

网络安全行业分类、技能需求

根据不同的安全规范、应用场景、技术实现等，安全可以有很多分类方法，在这里我们简单分为网络安全、Web安全、云安全、移动安全（手机）、桌面安全（电脑）、主机安全（服务器）、工控安全、无线安全、数据安全等不同领域。下面以个人所在行业和关注点，重点探讨 网络 / Web / 云这几个安全方向。

1 网络安全

[网络安全] 是安全行业最经典最基本的领域，也是目前国内安全公司发家致富的领域。这个领域研究的技术范畴主要围绕防火墙/NGFW/UTM、网闸、入侵检测/防御、VPN网关（IPsec/SSL）、抗DDOS、上网行为管理、负载均衡/应用交付、流量分析、漏洞扫描等。通过以上网络安全产品和技术，我们可以设计并提供一个安全可靠的网络架构，为政府/国企、互联网、银行、医院、学校等各行各行的网络基础设施保驾护航。

大的安全项目（肥肉…）主要集中在以政府/国企需求的政务网/税务网/社保网/电力网… 以运营商（移动/电信/联通）需求的电信网/城域网、以银行为主的金融网、以互联网企业需求的数据中心网等。以上这些网络，承载着国民最核心的基础设施和敏感数据，一旦泄露或者遭到非法入侵，影响范围就不仅仅是一个企业/公司/组织的事情，例如政务或军工涉密数据、国民社保身份信息、骨干网络基础设施、金融交易账户信息等。

当然，除了以上这些，还有其他的企业网、教育网等也需要大量的安全产品和服务。网络安全项目一般会由网络安全企业、系统集成商、网络与安全代理商、IT服务提供商等具备国家认定的计算机系统集成资质、安全等保等行业资质的技术单位来提供。

[技能需求]

• 网络协议：TCP/IP、VLAN/Trunk/MSTP/VRRP/QoS/802.1x、OSPF/BGP/MPLS/IPv6、SDN/Vxlan/Openflow…

• 主流网络与安全设备部署：思科/华为/华三/锐捷/Juniper/飞塔、路由器/交换机、防火墙、IDS/IPS、VPN、AC/AD…

• 网络安全架构与设计：企业网/电信网/政务网/教育网/数据中心网设计与部署…

• 信息安全等保标准、金土/金税工程… ……

[补充说明]

• 不要被电影和新闻等节奏带偏，战斗在这个领域的安全工程师非常非常多，不是天天攻击别人写攻击代码写病毒的才叫做安全工程师；

• 这个安全领域研究的内容除了defense（防御）和security（安全），相关的Hacking（攻击）技术包括协议安全（arp中间人攻击、dhcp泛洪欺骗、STP欺骗、DNS劫持攻击、HTTP/VPN弱版本或中间人攻击…）、接入安全（MAC泛洪与欺骗、802.1x、WiFi暴力破解…）、硬件安全（利用NSA泄露工具包攻击知名防火墙、设备远程代码执行漏洞getshell、网络设备弱口令破解.. ）、配置安全（不安全的协议被开启、不需要端口服务被开启…）…

• 学习这个安全方向不需要太多计算机编程功底（不是走研发路线而是走安全服务工程师路线），更多需要掌握常见安全网络架构、对网络协议和故障能抓包分析，对网络和安全设备能熟悉配置；

2 Web安全

Web安全领域从狭义的角度来看，就是一门研究[网站安全]的技术，相比[网络安全]领域，普通用户能够更加直观感知。例如，网站不能访问了、网站页面被恶意篡改了、网站被黑客入侵并泄露核心数据（例如新浪微博或淘宝网用户账号泄露，这个时候就会引发恐慌且相继修改密码等）。当然，大的安全项目里面，Web安全仅仅是一个分支，是需要跟[网络安全]是相辅相成的，只不过Web安全关注上层应用和数据，网络安全关注底层网络安全。

随着Web技术的高速发展，从原来的[Web不就是几个静态网页吗？]到了现在的[Web就是互联网]，越来越多的服务与应用直接基于Web应用来展开，而不再仅仅是一个企业网站或论坛。如今，社交、电商、游戏、网银、邮箱、OA…..等几乎所有能联网的应用，都可以直接基于Web技术来提供。

由于Web所承载的意义越来越大，围绕Web安全对应的攻击方法与防御技术也层出不穷，例如WAF（网页防火墙）、Web漏洞扫描、网页防篡改、网站入侵防护等更加细分垂直的Web安全产品也出现了。

[技能需求]Web安全的技能点同样多的数不过来，因为要搞Web方向的安全，意味初学者要对Web开发技术有所了解，例如能通过前后端技术做一个Web网站出来，好比要搞[网络安全]，首先要懂如何搭建一个网络出来。那么，Web技术就涉及到以下内容：

• 通信协议：TCP、HTTP、HTTPs

• 操作系统：Linux、Windows

• 服务架设：Apache、Nginx、LAMP、LNMP、MVC架构

• 数据库：MySQL、SQL Server、Oracle

• 编程语言：前端语言（HTML/CSS/JavaScript）、后端语言（PHP/Java/ASP/Python）

3 终端安全（移动安全/桌面安全）

移动安全主要研究例如手机、平板、智能硬件等移动终端产品的安全，例如iOS和Android安全，我们经常提到的“越狱”其实就是移动安全的范畴。而近期爆发的危机全球的Windows电脑蠕虫病毒 - “WannerCry勒索病毒”，或者更加久远的“熊猫烧香”，便是桌面安全的范畴。

桌面安全和移动安全研究的技术面都是终端安全领域，说的简单一些，一个研究电脑，一个研究手机。随着我们工作和生活，从PC端迁移到了移动端，终端安全也从桌面安全迁移到移动安全。最熟悉不过的终端安全产品，便是360、腾讯、金山毒霸、瑞星、赛门铁克、迈克菲McAfee、诺顿等全家桶……

从商业的角度看，终端安全（移动安全加桌面安全）是一门to C的业务，更多面向最终个人和用户；而网络安全、Web安全、云安全更多是一门to B的业务，面向政企单位。举例：360这家公司就是典型的从to C安全业务延伸到to B安全业务的公司，例如360企业安全便是面向政企单位提供安全产品和服务，而我们熟悉的360安全卫士和杀毒则主要面向个人用户。

4 云安全


[云安全]是基于云计算技术来开展的另外一个安全领域，云安全研究的话题包括：软件定义安全、超融合安全、虚拟化安全、机器学习+大数据+安全….. 目前，基于云计算所展开的安全产品已经非常多了，涵盖原有网络安全、Web安全、移动安全等方向，包括云防火墙、云抗DDOS、云漏扫、云桌面等，国内的腾讯云、阿里云已经有相对成熟的商用解决方案出现。

云安全在产品形态和商用交付上面，实现安全从硬件到软件再到云的变革，大大减低了传统中小型企业使用安全产品的门槛，以前一个安全项目动辄百万级别，而基于云安全，实现了真正的按需弹性购买，大大减低采购成本。另外，云时代的安全也给原有行业的规范和实施带来更多挑战和变革，例如，托管在云端的商用服务，云服务商和客户各自承担的安全建设责任和边界如何区分？云端安全项目如何做信息安全等保测评？

网络安全职位分类、招聘需求

① 安全岗位

以安全公司招聘的情况来分，安全岗位可以以研发系、工程系、销售系来区分，不同公司对于安全岗位叫法有所区分，这里以行业常见的叫法归类如下：

• 研发系：安全研发、安全攻防研究、逆向分析

• 工程系：安全工程师、安全运维工程师、安全服务工程师、安全技术支持、安全售后、渗透测试工程师、Web安全工程师、应用安全审计、移动安全工程师

• 销售系：安全销售工程师、安全售前工程师、技术解决方案工程师

8. 企业网络安全设备有哪些

企业网络的安全设备有：
1、链路负载均衡---Lookproof Branch
Lookproof Branch是Radware公司专门为中小型网络用户提供的性价比极高的广域网多链路负载均衡的整体解决方案，其功能涵盖了多链路负载均衡（Multilink LoadBalance）、多链路带宽管理和控制以及多链路网络攻击防范（IPS）。
2、IPS入侵防御系统---绿盟IPS 绿盟科技网络入侵保护系统
针对目前流行的蠕虫、病毒、间谍软件、垃圾邮件、DDoS等黑客攻击，以及网络资源滥用（P2P下载、IM即时通讯、网游、视频„„），绿盟科技提供了完善的安全防护方案。
3、网行为管理系统---网络督察
4、网络带宽管理系统--- Allot 带宽管理
使用NetEnforcer的NetWizard软件的设置功能，可以自动的获得网络上通信所使用的协议。
5、防毒墙---趋势网络病毒防护设备
Trend Micro Network VirusWall业务关键型设施的病毒爆发防御设备。

9. 部署sdn，目前的网络设备要更换吗

节省资本和运营成本、显着提高网络效率、增强网络的灵活性…看起来SDN是一个“完美”的企业级解决方案，事实确实如此吗？如果你头脑一热，兴冲冲的奔向SDN，带来的后果可能会令你焦头烂额。在部署SDN之前，企业还面临许多的问题需要慎重考虑。
SDN对传统网络的影响

传统网络设备
如何规划SDN，将会对企业的整体网络产生长期影响。SDN目前还处于非常早期的阶段——市场、标准和技术仍有待成熟。因此IT购买者必须在选择某个特定的SDN架构之前进行试用和仔细地评估对遗留网络的支持。SDN解决方案能否很好地支持企业已安装的遗留以太网交换机和路由器？向SDN的迁移计划是什么样的？
SDN对已有网络管理人才的影响
评估SDN对IT部门的影响。SDN是否提供了创建跨职能部门团队(例如服务器、存储和网络部门)以便解决数据中心或云网络需求的机会？思考SDN实施的挑战。今天的很多SDN解决方案都不够完善，或者需要大量的定制化。谁可以帮助你实施SDN(是渠道还是专业服务团队)？企业的IT部门是否有现成的SDN技能人才可用，还是说需要额外进行培养？
SDN行业标准不够成熟
目前，SDN还处于初期阶段，还没有形成一个统一广泛的行业标准。用户部署前一定要关注SDN是否可支持广泛的行业标准，这里既指网络标准(如OpenFlow)，也包括IT标准(如服务器虚拟化产品)。
SDN的软肋
也有业界专家认为，SDN并没有真正解决网络问题。它只是给网络技术人员提供工具来解决他们自己的问题。当涉及配置、编排以及故障排除时，提供一套新的API就像是给他一把螺丝刀，并要他打造自己的汽车一样。当你试图解决传统网络中出现的所有问题时，你需要一个真正的解决方案。然而，在这一点上，没有人能够确定SDN环境应该如何定义和架构，这是我们在进入多租户网络之前就存在的问题。
慎重！SDN并非适用于任何公司
SDN适合于云计算供应商以及面对大幅扩展工作负载的企业。金融服务公司和零售业就属于这类企业，其业务的动态性质需要IT的灵活性。不符合这种模式的是出版业和医疗行业，这两个行业相对比较稳定，并不会每天启动或者移动应用程序工作负载。因为他们的环境并没有那么动态。
如果你只有50个IP地址，那么你并不需要SDN。只有对于数百个、成千上万个地址，用户才需要这种SDN。建议在考虑SDN之前进行容量规划。如果你需要大量网络分区用于安全和隔离目的，你可以考虑部署SDN。如果你有大量虚拟LAN需要配置和管理，或者有VLAN需要更多自动化，你也应该考虑SDN。
如果你没有几百个虚拟机，你可能不需要部署SDN。如果企业在运行数百个工作负载，这家企业应该考虑SDN。基于SDN的不成熟性，低于这一水平的企业部署SDN都为时过早。如果你的业务或者IT环境迅速扩展且动态地变化，你会想要SDN。
SDN的好处是，即使环境的动态且不断变化的，事情总会以相同的方式进行。动态环境中的安全和网络控制可能是一场噩梦。你必须正确执行政策，不仅为了确保操作方便，而且可以确保信息位于合适的位置。
如果IT企业不具备网络工程专业技能，那应该推迟部署SDN。部署SDN会遇到很多问题，这非常费时，且需要大量工作。SDN部署与生产环境并行，在SDN切换到生产网络之前，你需要反复测试、评估、验证，这需要很多时间、资金和人力。SDN能够带来很多好处，它也能够帮助解决很多问题，但如果环境不适合部署SDN的话，它可能制造很多问题。