欧美,精品,综合,亚洲,好吊妞视频免新费观看,免费观看三级吃奶,一级a片女人自慰免费看

 首頁 > 新聞 > 專家觀點 >

SDN交換機是一種新型的防火墻嗎?

2015-04-08 16:03:03   作者:   來源:51CTO   評論:0  點擊:


  許多人曾預(yù)料,企業(yè)組織采用軟件定義網(wǎng)絡(luò)(SDN)技術(shù)的步伐會晚于服務(wù)提供商或多租戶數(shù)據(jù)中心和云服務(wù)提供商。我們現(xiàn)在看到網(wǎng)絡(luò)功能虛擬化(NFV)在企業(yè)內(nèi)部得到更多的使用,一些企業(yè)正開始推行SDN試點項目。就在企業(yè)考慮如何在自己的數(shù)據(jù)中心環(huán)境中利用SDN技術(shù)之際,也開始考慮SDN能提供哪些新的安全功能。針對控制器不允許傳送的數(shù)據(jù)流,SDN交換機可以丟棄數(shù)據(jù)包。本文探究SDN交換機運行起來能否像傳統(tǒng)防火墻。

  軟件定義網(wǎng)絡(luò)是由這個概念發(fā)展而來的:將較低層的數(shù)據(jù)包/幀轉(zhuǎn)發(fā)功能與智能化決定如何傳送應(yīng)用程序流量的控制功能分離開來?刂破矫媾c轉(zhuǎn)發(fā)平面相分離,讓網(wǎng)絡(luò)可以以新的和創(chuàng)新的方式為數(shù)據(jù)包處理提供方便,并且為網(wǎng)絡(luò)虛擬化創(chuàng)造了一種新的范式。SDN為網(wǎng)絡(luò)設(shè)計打開了一片新天地,能夠帶來創(chuàng)新的網(wǎng)絡(luò)方案。SDN還促使我們重新考慮安全策略在網(wǎng)絡(luò)里面如何執(zhí)行。

  在OpenFlow SDN模式中,網(wǎng)絡(luò)交換機里面的數(shù)據(jù)流由OpenFlow控制器直接放在那里。要是數(shù)據(jù)流不存在(table-miss),那么交換機將數(shù)據(jù)包送到(punt)控制器,以便在決定該如何轉(zhuǎn)發(fā)數(shù)據(jù)包方面尋求幫助。OpenFlow技術(shù)規(guī)范表明,如果table-miss流表項未出現(xiàn)在交換機中,又沒有規(guī)則將數(shù)據(jù)包發(fā)送到控制器,那么交換機丟棄該數(shù)據(jù)。如果交換機將數(shù)據(jù)包送到數(shù)據(jù)包,那么控制器處理數(shù)據(jù)包進入(Packet-in)消息,決定該數(shù)據(jù)包的命運?刂破麟S后確定應(yīng)該轉(zhuǎn)發(fā)數(shù)據(jù)包,還是丟棄數(shù)據(jù)包。這種行為聽起來似乎SDN交換機的運行方式如同防火墻,并執(zhí)行“流表中不含有的數(shù)據(jù)包則被丟棄”標準安全策略?梢哉J為這好比是默認的“錯誤保護狀態(tài)”,Elizabeth D. Zwicky、Simon Cooper與D. Brent Chapman合著的《構(gòu)建互聯(lián)網(wǎng)防火墻》一書中也提到了“錯誤保護狀態(tài)”(Fail-Safe Stance)。乍一看,這聽起來就像是一種出色的新型安全技術(shù),似乎SDN交換機上的每一個端口運行起來都如同防火墻。

  許多SDN交換機運行起來酷似標準的以太網(wǎng)交換機,針對發(fā)往廣播、多播或未知MAC地址的以太網(wǎng)幀,通過所有端口泛洪數(shù)據(jù)流。大多數(shù)SDN交換機會像典型的基于硬件的以太網(wǎng)交換機那樣,泛洪正常的ARP數(shù)據(jù)流。在大多數(shù)情況下,SDN交換機的默認行為就是充當(dāng)以太網(wǎng)網(wǎng)橋,或?qū)W習(xí)型交換機。然而,可以讓SDN交換機處于明確轉(zhuǎn)發(fā)模式:只有控制器允許或配置/推送的數(shù)據(jù)流才允許發(fā)送。

  如果環(huán)境中的每只以太網(wǎng)交換機都可以像傳統(tǒng)防火墻那樣運行,它會改變網(wǎng)絡(luò)環(huán)境中實施安全策略的方式。設(shè)想一下:如果每只以太網(wǎng)交換機都是多端口防火墻,那么防火墻策略可以實施在整個網(wǎng)絡(luò)上的每一個入站交換機端口處和交換機之間的每條鏈路上。將會有面向每個服務(wù)器、每個桌面、每條鏈路的防火墻,防火墻策略將由控制器來實施,而控制器對當(dāng)前的應(yīng)用程序流量有一個全局觀,清楚應(yīng)該允許哪些流量。在整個環(huán)境執(zhí)行安全策略將意味著完全侵蝕安全邊界。手動實施并維護那么多的安全策略將是管理難題。然而,有了控制器架構(gòu),策略只要創(chuàng)建一次,隨后就可以推送到每一個網(wǎng)絡(luò)設(shè)備,以便執(zhí)行。

  網(wǎng)絡(luò)切分(network slicing)是SDN的常見使用場合之一。網(wǎng)絡(luò)可以在邏輯上劃分成邏輯分隔的網(wǎng)絡(luò),這些網(wǎng)絡(luò)覆蓋在同一個物理網(wǎng)絡(luò)硬件上。網(wǎng)絡(luò)切分在大學(xué)里面是一種常見的使用場合,因為大學(xué)希望將不同的部門(招生部、財務(wù)科、宿室樓和計算機科學(xué)系等)劃分成自成一體的邏輯網(wǎng)絡(luò)區(qū)域。SDN可以分隔網(wǎng)絡(luò),類似虛擬路由和轉(zhuǎn)發(fā)(VRF)實例,可用于分隔第3層轉(zhuǎn)發(fā)。這還可以通過在控制平面和數(shù)據(jù)平面之間添加一個切分層來實現(xiàn),因而讓安全策略可以針對特定的切片。執(zhí)行“流空間(Flowspace)”中切片之間的強分隔意味著,一個切片中的并不影響另一個切片。想了解更多信息,可關(guān)注Flowvisor和FSFW:流空間防火墻。這方面的一個例子就是思科可擴展網(wǎng)絡(luò)控制器(XNC)及Networking Slicing應(yīng)用程序。這樣一來,SDN就能提供“多類型防御體系”(Diversity of Defense)概念,《構(gòu)建互聯(lián)網(wǎng)防火墻》一書中同樣提到了這個概念。

  使用具有SDN功能的交換機作為防火墻之所以切實可行,這方面的一個關(guān)鍵概念就是它為應(yīng)用程序數(shù)據(jù)流維護的狀態(tài)。訪問控制列表(ACL)不帶狀態(tài)功能,并不意識到連接何時開始或何時結(jié)束。即使有老式的思科ACL CLI參數(shù)“established”,ACI也只是變得稍微“帶狀態(tài)功能”。ACL通常并不關(guān)注任何三向TCP握手(SYN、SYN-ACK和ACK),也不關(guān)注FIN/ACK會話終止。另一方面,狀態(tài)防火墻可以觀察會話的建立及關(guān)閉過程,并使用狀態(tài)檢查技術(shù)(Stateful Inspection),定向地運用策略。

  那么,現(xiàn)代SDN產(chǎn)品如何實施策略,它們運行起來是否可能像傳統(tǒng)防火墻?說到思科以應(yīng)用程序為中心的基礎(chǔ)設(shè)施(ACI),Nexus 9000交換機就以一種無狀態(tài)方式來運行。應(yīng)用程序策略基礎(chǔ)設(shè)施控制器(APIC)中配置的應(yīng)用程序網(wǎng)絡(luò)配置文件(ANP)以無狀態(tài)的方式,被部署到ACI架構(gòu)中的交換機。因而,ACI系統(tǒng)在運行時無法達到與標準狀態(tài)防火墻一樣的安全級別。這就是為什么ACI允許第4層至第7層的服務(wù)圖可以配置并整合到ACI架構(gòu)中。

  說到開放虛擬交換機(OVS),它只支持策略方面的無狀態(tài)匹配。可以配置匹配TCP標志的OVS策略,或者配置規(guī)則,以便使用“學(xué)習(xí)”方法來確立返回數(shù)據(jù)流。然而,這些方法沒有一種像傳統(tǒng)的狀態(tài)檢查防火墻那樣帶狀態(tài)功能。開放虛擬交換機社區(qū)在開展一些工作,擁有連接跟蹤工具(Conntrack),以便讓OVS可以通知Netfilter(好比正則表達式)連接跟蹤器,并維持現(xiàn)有會話的狀態(tài)表。

  然而,Project Floodlight可以配置ACL,這些運行起來也如同無狀態(tài)防火墻。Floodlight有一個防火墻應(yīng)用程序模塊,可通過檢查數(shù)據(jù)包進入行為來執(zhí)行ACL規(guī)則。這采用了一種被動的工作方式,第一個數(shù)據(jù)包旨在為流量創(chuàng)建實例,根據(jù)優(yōu)先級排序的策略規(guī)則集來允許或拒絕流量。允許規(guī)則擁有重疊的流空間,而優(yōu)先級制定了根據(jù)第一個匹配規(guī)則由上而下操作的策略。

  VMware NSX能夠配置SDN環(huán)境里面的安全策略。NSX for vSphere支持邏輯交換/路由、防火墻、負載均衡和虛擬專用網(wǎng)(VPN)功能。防火墻規(guī)則在虛擬網(wǎng)卡(vNIC)處執(zhí)行,但防火墻策略與虛擬機關(guān)聯(lián)起來;主機移動時,策略也隨之移動。NSX分布式防火墻是一種內(nèi)核可裝入模塊,提供了帶狀態(tài)功能的第2層/第3層/第4層雙協(xié)議防火墻機制,能夠執(zhí)行反欺詐。VMware NSX防火墻策略運行起來如同擁有自反ACL的思科路由器。說到等價多路徑(ECMP)設(shè)計或高可用性(HA),NSX邊緣服務(wù)網(wǎng)關(guān)防火墻以無狀態(tài)方式運行。換句話說,狀態(tài)防火墻和負載均衡或NAT并不被采用HA或ECMP拓撲結(jié)構(gòu)的邊緣服務(wù)網(wǎng)關(guān)所支持。

  有些行業(yè)組織正在努力研制可提供強大可靠的安全策略執(zhí)行功能的SDN系統(tǒng)。FlowGuard等研究項目和一篇題為《面向SDN的狀態(tài)硬件防火墻的基于OpenFlow的原型》的文章(作者是南達科他州大學(xué)的Jacob Collings)表明,有可能在SDN網(wǎng)絡(luò)設(shè)備里面獲得狀態(tài)功能。

  經(jīng)過這一番分析后,我們可以得出這個結(jié)論:從控制器獲得轉(zhuǎn)發(fā)策略的SDN交換機未必帶狀態(tài)功能。因而,這些具有SDN功能的交換機無法提供與狀態(tài)防火墻一樣的保護級別。詢問廠商其SDN解決方案中防火墻帶狀態(tài)功能方面的細節(jié),并且明白它們是如何運行的,這點很要緊。由于許多這些SDN系統(tǒng)可能以無狀態(tài)方式來運行,如果貴企業(yè)需要狀態(tài)防火墻保護,那么你就必須使用SDN策略來轉(zhuǎn)發(fā)流量,并支持服務(wù)鏈,以獲得帶狀態(tài)功能的數(shù)據(jù)包檢查網(wǎng)絡(luò)功能虛擬化(NFV)防火墻。

相關(guān)熱詞搜索: SDN 交換機 防火墻

上一篇:工業(yè)4.0贏在中國?

下一篇:最后一頁

分享到: 收藏

專題