SDN交换机是新形式的防火墙?

SDN[注]交换机可能像防火墙，但它们可能不能替代防火墙

很多人预计企业部署软件定义网络[注](SDN)技术会比服务提供商或多租户数据中心及云服务提供商要晚。我们现在看到企业越来越多使用网络功能虚拟化[注](NFV[注])，有些企业还开始SDN试点项目。随着企业考虑如何在其数据中心环境使用SDN技术，他们开始考虑SDN可以提供哪些新的安全功能。SDN交换机可以为由控制器阻止的流量丢弃数据包。在本文中，我们将探讨SDN交换机是否可以作为传统防火墙。

软件定义网络最初的概念是，解耦更低层数据包/帧转发与控制功能，智能地确定应该如何传输应用流量。分离控制平面与转发平面允许网络以创新的方式推动数据包处理，开创了网络虚拟化[注]的新典范。SDN开辟了全新的网络设计世界，并对网络采用创造性的方法。SDN还让我们重新考虑如何在网络内执行安全策略。

在OpenFlow SDN模型中，网络交换机内的流量由OpenFlow控制器控制。如果流量不存在(流表项)，交换机会向控制器寻求帮助以确定是否应该转发数据包。OpenFlow技术规范指明，如果流表项不存在于交换机中，并且没有规则来将数据包发送到控制器，那么，数据包被交换机丢弃。如果交换机将数据包发给控制器，控制器会处理数据包中信息，并确定该数据包的命运。随后控制器决定是否应该转发或丢弃数据包。这似乎听起来SDN交换机像是防火墙，并执行“流量表中不包含的数据包应该丢弃”标准安全策略。这可以被认为是类似于默认的“故障安全状态”，乍一看，这像是全新的安全形势，似乎SDN交换机的每个端口都可以作为防火墙。

很多SDN交换机的行为都很像标准以太网交换机，并将以太网帧所有端口的流量发送到广播、组播或未知MAC地址。大多数SDN交换机像典型的硬件以太网交换机一样处理正常ARP流量。在大多数情况下，SDN交换机的默认行为像是以太网桥接，或者学习交换机。然而，我们也可以把SDN交换机放在明确的转发模式，其中仅允许控制器允许或配置/推送的流量。

如果环境中的每个以太网交换机都可以像传统防火墙运行，这将改变安全策略在网络环境中的部署方式。试想一下，如果每个以太网交换机都是多端口防火墙，那么，防火墙策略可以部署在整个网络中，每个入口交换机端口，交换机之间的每个链接中。每台服务器、桌面、每个链接都会有防火墙，防火墙策略将有控制器来部署，该控制器拥有现有应用流量的整体视图，知道应该允许哪些流量。在整个环境执行安全策略意味着完全“侵蚀”安全边界。对于管理员来说，部署很多安全策略和手动维护这些策略将会是一个噩梦。然而，在控制器架构中，策略在创建后可以推送到每个网络设备来执行。

网络切片是SDN的主要使用用例之一。在相同的物理网络硬件中，网络可以被逻辑地分割成单独的网络。网络切片是大学环境中流行的用例，因为他们想要根据不同部门(招生、财务、学生宿舍等)分隔逻辑网络。SDN可以分隔网络，类似于虚拟路由和转发(VRF)实例可以用于分离3层网络转发。这还可以通过在控制平面和数据平面之间添加切片层来实现，从而让安全策略作为特定切片。切片之间的分隔意味着一个切片中的操作不会影响另一个切片。这方面的例子还有思科可扩展网络控制器(XNC)中的网络切片(Networking Slicing)应用。在这些方面，SDN可以提供“多样性防御”概念。

使用SDN交换机作为防火墙的可行性在于，它可以维护应用流量的状态。访问控制列表(ACL)是无状态的，不知道何时连接开始或结束。即使是思科ACL CLI参数“建立”，ACL只是略显有状态。ACL通常不会关注三路TCP握手(SYN、SYN-ACK、ACK)或FIN/AC会话中断。另一方面，状态防火墙会关注会话建立和关闭，并使用状态检测直接应用其策略。

那么，现代SDN产品如何部署安全性，它们能否像传统防火墙一样行事?当涉及到思科的应用为中心的基础设施(ACI)时，Nexus 9000交换机以无状态方式运行。应用策略基础设施控制器(APIC)中配置的应用网络配置文件(ANP)以无状态的方式部署到ACI架构的交换机中。因此，ACI系统无法以与标准状态防火墙相同水平的安全性来运作。这就是为什么ACI允许配置和整合4-7层网络服务图形到ACI架构的原因。

对于Open vSwitch(OVS)，它只支持无状态策略匹配。我们可以配置匹配TCP标记的OVS策略(+本站微信networkworldweixin)，或者配置规则来使用“学习”的方法来建立流量的回流。然而，与传统状态检测防火墙一样，这些方法都是有状态的。Open vSwitch社区正在实现连接追踪(Conntrack)来允许OVS通知Netfilter连接跟踪器，并维持现有会话的状态表。

Project Floodlight可以配置ACL，但这些操作也像是无状态防火墙。Floodlight有防火墙应用模块，通过检查Packet-In行为来执行ACL规则。这是一种反应式的做法，第一个数据包帮助实例化流量，然后基于优先级排序策略规则集来允许或拒绝流量。规则允许有重叠流空间，但优先级创建了第一个匹配规则操作策略。

VMware NSX深圳CISCO代理商 深信服代理商 信锐无线代理商 思科代理商 WPS代理商 深圳Ruckus优科代理商 深圳华为代理商  工厂宿舍无线解决方案 酒店wifi无线解决方案 园区无线  微信营销 微信认证 会场无线租赁 无线WIFI租赁能够在SDN环境内配置安全策略。NSX for vSphere支持逻辑交换/路由、防火墙、负载均衡和VPN功能。防火墙规则在vNIC强制执行，但防火墙策略与VM关联，当主机移动时，策略也会随之移动。NSX分布式防火墙是内核可加载模块，并提供状态L2/L3/L4双协议防火墙，还可以进行反欺诈。VMware NSX防火墙策略运作就像是具有反射ACL的思科路由器。当涉及等价多路径(ECMP)设计或高可用性(HA)时，NSX Edge Services Gateway防火墙以无状态方式运作。换句话说，Edge Services Gateway现在不支持状态防火墙和负载均衡或NAT。

有些研发团队在试图创建可以提供强大安全策略执行的SDN系统。FlowGuard等研究项目表明，可能在SDN网络设备内建立状态。

从这些分析中，我们可以得出的结论是，SDN交换机从控制器获取转发策略，但不一定是有状态的。这些SDN交换机无法提供状态防火墙相同的保护水平。企业应该询问供应商其SDN解决方案中防火墙功能的状态详细信息，并明白它们如何运作。由于很多这些SDN系统可能以无状态的方式运作，如果你的企业需要状态防火墙保护，那么你必须使用SDN策略来转移流量到状态数据包检测网络功能虚拟化(NFV)防火墙。