最酷的示威之一RSA会议在旧金山是一个网络功能虚拟化(NFV)的防火墙和深度内容检测引擎,嵌入到大量拉登网络的软件定义网络(SDN)控制平面中。防火墙/ DCI引擎过滤内容并实时堵塞SQL注入攻击,而不会减慢模拟网络。
基于OpenStack的试验台被思皮创建和运营,这是一个令人着迷于其网络测试平台的南加州公司。安全公司与防火墙和DCI引擎是楔形网络,这是一个专注于云的加拿大公司。
测试平台验证了能力Wedgebos.- Wedge的虚拟化防火墙和深度内容检查员 - 阻止基于OpenStack的虚拟环境中的标识内容。
测试负荷来自思博伦雪崩,它生成模拟层4-7 Web客户端和服务器流量。测试被策划了速度,Spirent的虚拟和物理环境的集成实验室管理系统。在测试中,WedgeoS即使网络被流量淹没,也会基于已配置的策略阻止了恶意内容,而不会影响吞吐量。
其中一个测试确实内容阻止,过滤掉包含特定关键字的所有流量。检测到的另一个测试和过滤恶意软件,包括病毒攻击和XSS(跨站点脚本)和SQL注入攻击。这两种模拟都是现实的,因为两种类型的攻击都可能发生在基于物理和云的网络上。
Wedge的嵌入式安全平台的名称是NFV-S,或用于安全性的网络功能虚拟化。根据楔形,NFV-S在NFV上构建,提供可扩展的弹性安全性,可以嵌入到基于SDN的网络中作为可预测的服务。我认为楔子希望NFV-S成为广泛采用的规范,但据我所知,这一点是楔形自己的产品。
虽然该测试表明,基于NFV的安全功能在模拟的SDN网络中运行良好,但整个点是可预测性的。涉及虚拟化网络时,存在令人难以置信的变量。由于嵌套抽象层的数量,很难知道那些NFV服务将运行的硬件类型,以及该功能的硬件有多少。这是nfv:
- 什么是处理器和记忆?你永远不会知道。
- 什么是真实的带宽和吞吐量?你永远不会知道。
- 还有什么在那里运行?你永远不会知道。
- NFV函数是否会运行?是的。
- NFV函数是否会快速运行?也许。也许不会。
- NFV功能可以处理流量的尖峰吗?很难说,但可能是是的。
- 在该硬件上运行的其他NFV函数是否有什么影响?不可能肯定地说,但测试和仿真可能会给你一个相当好的主意。
这就是RSA会议的测试进来的地方,表明Spirent的工具可以模仿虚拟网络上的现实世界流量,并以可预测的方式处理Workload的WedgeoS,以确保在压力条件下满足保证的服务水平。
顺便说一下,这个测试是一个更新测试这两家公司于2014年4月跑了。但是,2014年旧的测试更加专注于展示螺旋的SDN测试设施,楔形安全系统作为该试验台上的概念验证应用。新的2015年测试表明,安全软件过滤内容并阻止攻击,并且可以在大量被贩运的模拟网络上进行。
一年是这项业务的很长一段时间,它很棒的是,嵌入在软件定义网络中的NFV软件已从“由Golly,它起作用!”概念验证到驾驶测试,在负载下显示可靠的性能。随着更多组织寻找将网络流量移动到基于SDN的网络,我们将需要嵌入式安全性,我们将需要NFV,我们将需要预测性。
毕竟,如果我们无法预测我们的虚拟网络的性能,那就到了什么?