许多人预期企业组织将采用软件定义网络(SDN)技术迟于服务供应商或多租户数据中心和云服务提供商。雷竞技电脑网站我们现在看到更多的使用网络虚拟化功能企业内部和一些企业正在启动SDN试点项目。当企业考虑如何在他们的数据中心环境中利用SDN技术时,他们开始考虑有什么新东西雷竞技电脑网站安全SDN可以提供的功能。SDN交换机可以丢弃控制器不允许的流的数据包。本文探讨SDN交换机是否可以像传统防火墙那样运行。
软件定义网络从将底层包/帧转发与智能决定应用程序流量如何传输的控制功能解耦的概念演化而来。控制平面与转发平面的分离允许网络以新的创新方式促进数据包处理,并为网络虚拟化创建了新的范式。SDN已经打开了一个全新的网络设计世界,并使创造性的方法联网。SDN也让我们重新考虑如何在网络内执行安全策略。
在OpenFlowSDN模型中,网络交换机中的流由OpenFlow控制器放置在那里。如果流不存在(table-miss),交换机就会转向控制器请求帮助,以确定数据包应该如何转发。的OpenFlow技术规范声明如果table-miss流条目不在交换机中,并且没有规则将数据包发送给控制器,则该数据包将被交换机丢弃。如果交换机将包推给控制器,则控制器处理包内消息并决定包的命运。然后控制器决定数据包应该被转发还是丢弃。这种行为听起来像是SDN交换机的行为像防火墙,并执行“流表中不包含的被删除”的标准安全策略。这可以被认为类似于默认值"自动防故障装置的立场”书中还提到构建网络防火墙,伊丽莎白·d·兹威基、西蒙·库珀和d·布伦特·查普曼合著。乍一看,这听起来像是一种很棒的新安全形式,似乎SDN交换机的每个端口都可以充当防火墙。
许多SDN交换机的行为很像一个标准的以太网交换机,并将流量溢出以太网帧的所有端口,用于广播、组播或未知的MAC地址。大多数SDN交换机像典型的基于硬件的以太网交换机一样充斥着正常的ARP流量。在大多数情况下,SDN交换机的默认行为是充当以太网网桥或学习交换机。然而,可以将SDN交换机设置为显式转发模式,只有控制器允许或配置/推送的流才被允许。
如果环境中的每个以太网交换机都能像传统的防火墙那样执行,那么它将改变在网络环境中实现安全策略的方式。设想一下,如果每个以太网交换机都是一个多端口防火墙,那么防火墙策略可以在整个网络的每个入口交换机端口和交换机之间的每个链路上实现。每个服务器、桌面、每个链接都有防火墙,而防火墙策略将由一个控制器实现,该控制器维护当前应用程序流量的全局视图以及应该允许哪些流量。在整个环境中执行安全策略将意味着完整安全防线的侵蚀。手动实现和维护这么多安全策略对管理来说是一场噩梦。但是,对于控制器体系结构,策略只创建一次,然后下推到每个网络设备进行实施。
网络切片是SDN网络最流行的应用之一。一个网络可以在逻辑上分割成逻辑上独立的网络,覆盖在相同的物理网络硬件上。网络分段是大学中很流行的一种用例,因为大学希望将不同的系(招生、财务、宿舍楼、计算机系等)分离到它们自己的逻辑网络区域中。SDN可以像这样分离网络虚拟路由和转发(VRF)实例可用于分离第三层转发。这也可以通过在控制平面和数据平面之间添加一个切片层来实现,从而使安全策略特定于切片。在“流空间”中强制执行片之间的强隔离意味着一个片中的动作不会影响另一个片。有关更多信息,请参阅Flowvisor和FSFW: Flowspace防火墙。这的一个例子思科可扩展网络控制器(XNC)网络切割程序。透过这些方式,网上通讯系统可提供国防的多样性“概念构建网络防火墙。
使用支持sdn的交换机作为防火墙的可行性的关键概念是它将维护应用程序流量的状态。访问控制列表(acl)是无状态的,并且不知道连接何时启动或结束。即使已经建立了很老的Cisco ACL CLI参数,ACL也只是稍微变得“有状态”。acl通常不关注三向TCP握手(SYN, SYN-ACK, ACK)或FIN/ACK会话的拆卸。有状态的防火墙另一方面,观察会话的建立和关闭过程,并使用状态检查定向地应用它们的策略。
那么,现代的SDN产品是如何实现安全性的呢?它们能像传统的防火墙那样运行吗?当谈到思科的时候以应用程序为中心的基础设施(ACI), Nexus 9000交换机以无状态方式运行。的应用程序的网络配置文件(ANPs)在应用策略基础架构控制器(APIC)部署到开关在ACI织物在无状态的方式。因此,ACI系统将不能以与标准有状态防火墙相同的安全级别进行操作。这就是为什么ACI允许Layer-4-to-7服务图要配置并集成到ACI结构中。
到那个时刻Open vSwitch,它只支持策略上的无状态匹配。可以配置与TCP标志匹配的OVS策略,或者配置使用“learn”方法来建立流量返回流的规则。但是,这两种方法都不像传统的有状态检查防火墙那样有状态。有工作被完成由Open vSwitch的社区进行连接追踪(Conntrack)让OVS通知aNetfilter(认为iptables的)连接跟踪和保持现有会话的状态表。
项目照明灯可以配置acl,但是,这些操作也类似于无状态防火墙。照明灯有防火墙应用程序模块,通过检查包入行为来强制执行ACL规则。这在一个被动的方法,第一个包帮助实例化流,根据优先级排序的策略规则集允许或拒绝流量。允许规则具有重叠流空间,但优先级自顶向下创建第一个匹配规则操作策略。
VMware NSX等车型的底盘具有对SDN环境中配置安全策略的能力。NSX vSphere的支持逻辑交换/路由,防火墙,负载均衡,和VPN功能。防火墙规则是在vNIC的强制执行,但防火墙策略与虚拟机并且当主机移动相关联,因此该政策。在NSX分布式防火墙是内核可加载模块,并提供状态L2 / L3 / L4双协议防火墙和可以做反欺骗。VMware的NSX防火墙策略操作像Cisco路由器用反身ACL。当涉及到等价多路径(ECMP)设计或高可用性(HA),在NSX边缘服务网关防火墙的功能无状态的方式。换句话说,具有HA或ECMP拓扑的边缘服务网关不支持有状态防火墙和负载平衡或NAT。
有一些组织正在努力创建提供健壮的安全策略实施的SDN系统。研究项目FlowGuard还有一篇题为"基于openflow的面向sdn的有状态硬件防火墙原型北达科他州大学的Jacob Collings指出,在SDN网络设备中建立状态可能是有潜力的。
从这个分析,我们可以得出结论,从控制器获得其转发策略的SDN交换机不一定是有状态的。因此,这些启用sdn的交换机无法提供与有状态防火墙相同级别的保护。重要的是询问供应商关于他们的SDN解决方案中防火墙功能的状态性的细节,并了解他们是如何操作的。由于许多这些SDN系统可能以无状态方式运行,如果您的组织需要有状态的防火墙保护,那么您必须使用SDN策略来使用服务链接将流量导向有状态的包检查网络虚拟化功能(NFV)防火墙。