许多人预计企业组织将采用软件定义网络(SDN)技术比服务提供商晚或多租户数据中心和云服务提供商。2020欧洲杯预赛我们现在看到更多地使用网络功能虚拟化(NFV)在企业中,一些企业正在启动SDN试点项目。由于企业考虑如何在数据中心环境中使用SDN技术,他们开始考虑什么新的2020欧洲杯预赛安全能力SDN可以提供。SDN交换机可以删除控制器不允许的流量的数据包。本文探讨了SDN交换机是否可以像传统防火墙一样。
软件定义网络从将下层数据包/帧转发与智能确定应用程序流量传输方式的控制功能分离的概念演变而来。控制平面与转发平面的分离允许网络以新的创新方式促进数据包处理,并为网络虚拟化创建了新的范例。SDN开辟了一个全新的网络设计世界,并为网络设计提供了创造性的方法。SDN还促使我们重新考虑如何在网络中实施安全策略。
在openflow.SDN模型,网络交换机内的流量通过OpenFlow控制器放置在那里。如果不存在流(表 - 未命中),则切换程序对控制器的Punts询问帮助确定应如何转发数据包。这OpenFlow技术规范说明如果交换机中不存在表未命中流条目,并且没有向控制器发送数据包的规则,则交换机会丢弃数据包。如果交换机将数据包推送到控制器,则控制器处理消息中的数据包并确定该数据包的命运。然后,控制器确定是转发还是丢弃数据包。这种行为听起来像SDN交换机的行为像防火墙,并强制执行“未包含在流表中的内容将被删除”标准安全策略。这可以被视为与默认值类似”故障安全姿态这本书里也提到了这一点构建互联网防火墙,作者:伊丽莎白D。Zwicky,Simon Cooper和D。布伦特·查普曼。乍一看,这听起来像是一种全新的安全形式,似乎SDN交换机的每个端口都可以像防火墙一样工作。
许多SDN交换机的行为非常类似于标准以太网交换机,并将所有端口的通信量用于发送到广播、多播或未知MAC地址的以太网帧。大多数SDN交换机像典型的基于硬件的以太网交换机一样,充斥着正常的ARP流量。在大多数情况下,SDN交换机的默认行为类似于以太网桥或学习交换机。但是,可以将SDN交换机置于显式转发模式,从而仅允许控制器允许或配置/推送的流。
如果环境中的每个以太网交换机都可以像传统防火墙执行,则它将改变安全策略在网络环境中实现的方式。想象一下,如果每个以太网交换机都是多端口防火墙,则可以在每个入口交换机端口和交换机之间的每个链路上整个网络实现防火墙策略。对于每个服务器,桌面,每个链接以及防火墙策略将有防火墙将由维护当前应用程序流量的全局视图以及应允许的流量来实现。在整个环境中强制执行安全策略将意味着完整安全周界的侵蚀. 手动实施和维护这么多安全策略将是一场管理噩梦。但是,对于控制器体系结构,策略将创建一次,然后下推到每个网络设备以执行。
网络切片是SDN的流行用例之一。网络可以逻辑上刻录到逻辑上分离的网络,覆盖在相同的物理网络硬件上。网络切片在大学中是一个流行的用例,因为他们希望将不同的系(招生、财务、宿舍、计算机科学系等)划分为自己的逻辑网络飞地。SDN可以分离网络,类似于虚拟路由和转发(VRF)实例可用于分离第3层转发。这也可以通过在控制平面和数据平面之间添加切片层来实现,从而使安全策略特定于切片。在“Flowspace”中的片之间强制执行强隔离意味着一个片中的操作不会影响另一个片。有关更多信息,请参阅流量和FSFW:Flowspace防火墙.举个例子思科可扩展网络控制器(xnc)与网络切片应用程序.在这些方式中,SDN可以提供“国防多样性“也提到的概念构建互联网防火墙.
使用SDN启用交换机作为防火墙的可行性的关键概念是它将维护应用程序流量流的状态。访问控制列表(ACL)不是有状态的,并且不知道连接何时开始或结束。即使使用了旧的Cisco ACL CLI参数“已建立”,ACL也只是稍微“有状态”。ACL通常不注意三向关系TCP握手(SYN,SYN-ACK,ACK)或FIN/ACK会话断开。有状态防火墙另一方面,遵守会话建立和关闭过程,并使用有状态检查对其进行定性进行定性。
那么,现代SDN产品是如何实现安全性的?它们的行为会像传统的防火墙吗?当谈到思科的以应用程序为中心的基础架构(ACI),Nexus 9000交换机以无状态方式操作。这应用网络配置文件(ANPS)配置在应用程序策略基础架构控制器(APIC)部署在ACI fabric的交换机上无状态的方式. 因此,ACI系统将无法在与标准有状态防火墙相同的安全级别下运行。这就是为什么ACI允许第4至7层服务图要配置并集成到ACI结构中。
当涉及到打开vswitch.(OVS),它只支持在政策上的无状态匹配。可以配置匹配TCP标志的OVS策略或配置规则以使用“学习”方法来建立流量的返回流程。然而,这些方法都不是传统的有状态检查防火墙。有正在做的工作通过Open vSwitch社区进行连接跟踪(康特拉克)允许OVS通知NetFilter.(想象一下iptables)连接跟踪器并维护现有会话的状态表。
项目泛光灯可以配置ACL,但是,这些也像无状态防火墙一样运行。泛光灯有A.防火墙应用程序模块通过检查分组行为来强制执行ACL规则。这在一个中反应方式,使用第一个数据包帮助实例化流量和流量,或基于优先级排序的策略规则集拒绝。规则允许具有重叠的流空间,但优先级创建了第一个匹配规则动作自上而下的策略。
VMware NSX具有在SDN环境中配置安全策略的能力。NSX for vSphere支持逻辑交换/路由、防火墙、负载均衡和VPN功能。防火墙规则在vNIC上执行,但防火墙策略与虚拟机关联,当主机移动时,策略也关联。NSX分布式防火墙是一个内核可加载模块,提供有状态的L2/L3/L4双协议防火墙,可以做反欺骗。VMware的NSX防火墙策略就像Cisco路由器一样反射性前交叉韧带.当涉及到Equal Cost Multi-Path (ECMP)设计或高可用性(HA)时,NSX Edge Services Gateway防火墙的功能是无国籍方式.换句话说,边缘服务网关与HA或ECMP拓扑的边缘服务网关不支持有状态防火墙和负载平衡。
有些团体正在努力创建提供强大的安全策略实施的SDN系统。研究项目喜欢villguard.和一个标题为“基于OpenFlow的面向SDN的有状态硬件防火墙原型北达科他大学的Jacob Collings写道,在SDN网络设备内可能有建立状态充实的潜力。
从这个分析来看,我们可以得出结论,从控制器获得其转发策略的SDN交换机不一定是有状态。因此,启用SDN的交换机无法提供与有状态防火墙相同的保护级别。在他们的SDN解决方案中询问供应商有关其防火墙功能的状态的详细信息,并了解它们的运作方式。因为这些SDN系统中的许多可以以无状态的方式运行,因为如果您的组织需要有状态防火墙保护,则必须使用SDN策略以服务链接到有状态数据包检测的服务转向流量网络功能虚拟化(NFV)防火墙。