■董明

軟件定義網絡從低層數據包解耦，控制功能的轉發(fā)幀智能地決定應用程序的流量應如何傳輸這一概念發(fā)展演化而來。控制面板從轉發(fā)面板的分離使得網絡為數據包處理提供了創(chuàng)新的方法，并為建立網絡虛擬化提供了新的范式。SDN開辟了整個網絡設計的新世界和創(chuàng)造性的網絡方法。SDN也引發(fā)我們重新思考如何在網絡上執(zhí)行安全政策。

在OpenFlow的SDN模型中，網絡交換機內的流量是通過OpenFlow控制器安置的。如果流量是不存在的(Table-m iss項)，然后切換到控制器尋求幫助，以確定數據包應該如何轉發(fā)。OpenFlow技術規(guī)范規(guī)定，如果Table-m iss項的流量入口在交換機中不存在，就沒有任何規(guī)則將數據包發(fā)送到控制器，然后數據包就會被交換器丟棄。如果交換機將數據包發(fā)送到控制器，然后控制器處理數據包的消息，進而決定數據包的命運。然后控制器確定數據包是否應被轉發(fā)或丟棄。這聽起來像是SDN交換機執(zhí)行的是類似防火墻的功能，執(zhí)行的是將不包括在流量表中的流量數據包丟棄的標準的安全政策。這可以被認為是類似于默認的“錯誤保護狀態(tài)”(Fail-Safe Stance)，其也 在 由 Elizabeth D.Zwicky、Simon Cooper和 D.Brent Chapman聯合編寫的《建立互聯網防火墻》一書中提到。乍一看，這聽起來像一種非常好的新的安全擔保形式，使SDN交換機每個端口看起來就像一個防火墻。

許多SDN交換機運行起來酷似一個標準的以太網交換機，以太網幀的所有端口的洪水般的數據流量發(fā)往廣播，多播或未知的MAC地址。大多數的SDN交換機ARP流量通常就是像一個典型的基于硬件的以太網交換機。在大多數情況下，一個SDN交換機的默認行為就像一個以太網橋，或學習型交換機。然而，讓一個SDN交換機成為一個明確的轉發(fā)模式，只有被允許的流量或由控制器配置/推送的流量將被允許發(fā)送。

如果環(huán)境中的每一個以太網交換機都能夠像傳統(tǒng)的防火墻，那么，這將改變在網絡環(huán)境下實現安全策略的方式。想象一下，如果每個以太網交換機是多端口的防火墻，則防火墻策略可以在網絡上通過每次進入交換機端口和交換機之間的每一條鏈路上實施。這樣，就對每一臺服務器，臺式機，每一條鏈路都設置了防火墻，而防火墻策略會通過一個控制器來實施，而控制器會對當前的應用程序流量現狀有一個全局觀并讓獲得允許的流量進行有效傳輸。在整個環(huán)境執(zhí)行安全政策意味著安全邊界的完整侵蝕。太多安全政策的實施及其手動執(zhí)行可能會為您企業(yè)的安全管理帶來噩夢。然而，利用控制器架構，該安全政策將只需創(chuàng)建一次，然后即可推廣到每臺網絡設備執(zhí)行了。

網絡切分(network slicing)是SDN中非常常見的使用案例之一。一個網絡在邏輯上可以劃分為分隔的網絡，而這些網絡是覆蓋在同一物理網絡硬件上的。網絡切分在大學里非常流行一種，因為大學里，他們希望將不同的部門分開(包括招生部門、財務部門、宿舍、計算機科學系等)，以便使得各自成為一個自成一體的邏輯網絡區(qū)域。SDN可以分隔網絡，類似于虛擬路由和轉發(fā)(VRF)的情況，可用于分隔第3層轉發(fā)。這也可以通過在控制面板和數據面板之間添加一個切片層來實現，從而使安全策略得以能夠針對特定的切片。在“流空間(Flow space)”強制執(zhí)行切片之間的強隔離意味著一個切片的行動不會影響另一片。

使用SDN交換機作為防火墻的可行性的關鍵概念在于，其將維持應用程序流量的狀態(tài)。訪問控制列表(ACL)是無狀態(tài)的，當連接開始或結束時并沒有意識。即使有老式的思科ACLCLI參數，ACL也只是略顯“帶狀態(tài)功能”。訪問控制列表通常并不關注任何三向TCP握手(SYN、SYN-ACK和ACK)，也不關注FIN/ACK會話終止。另一方面，狀態(tài)防火墻能夠觀察會話的建立和關閉過程，定向使用狀態(tài)檢測適用的政策。

那么，現代的SDN產品是否能夠通過安全的實施部署，使其有可能運行起來像傳統(tǒng)的防火墻呢?當涉及到以應用程序為中心的基礎設施 (ACI)時，Nexus 9000交換機就能夠以一個無狀態(tài)的方式運行。應用程序網絡配置文件(ANP)在應用程序策略基礎設施控制器(APIC)中配置，并以無狀態(tài)的方式被部署到交換機的 ACI架構中。因此，一個ACI系統(tǒng)將不能夠作為標準狀態(tài)防火墻在同一安全級別上操作。這就是為什么ACI允許第4層到第7層的服務圖形進行配置，并集成整合到ACI架構的原因了。

當涉及到Open vSw itch(OVS)時，其僅支持無狀態(tài)匹配的政策。配置OVS政策以匹配TCP標簽或使用一種“學習”方法配置規(guī)則，以建立流量回歸方法。然而，這些方法中沒有一種是像一個傳統(tǒng)狀態(tài)檢測防火墻那樣的有狀態(tài)的。Open vSw itch社區(qū)正在試圖在這方面進行努力，以便讓連接跟蹤(Conntrack)允許OVS通知Netfilter(如iptables)連接跟蹤，并保持現有會話狀態(tài)表。

然而，Project Floodlight可以配置ACL，這運行起來也像一個無狀態(tài)防火墻。Floodlight有一個防火墻應用程序模塊，通過檢查數據包執(zhí)行ACL規(guī)則。這以一種反應方式，讓第一個數據包為流量創(chuàng)建實例，基于優(yōu)先級排序的決策規(guī)則集允許或拒絕。規(guī)則允許有重疊的流空間，但優(yōu)先創(chuàng)建第一個匹配規(guī)則的行動，自上而下的操作政策。

VMware NSX能夠在SDN環(huán)境配置安全策略。NSX的vSphere支持邏輯交換/路由、防火墻、負載均衡、和VPN功能。防火墻規(guī)則在vN IC強制執(zhí)行，而當主機遷移時，防火墻策略與虛擬機相關聯，其策略也隨之移動。NSX分布式防火墻是一種可加載內核模塊，提供有狀態(tài)的L2/L3/L4雙協(xié)議的防火墻，可以執(zhí)行反欺騙。VMware NSX的防火墻策略運作起來就像一個有自反ACL的思科路由器。當涉及到等價多路徑(ECMP)設計或高可用性(HA)時，NSX邊緣服務網關的防火墻功能以無狀態(tài)方式運行。換句話說，有狀態(tài)的防火墻和負載均衡或NAT不支持邊緣服務網關和高可用性或ECMP拓撲。

從上述的分析中，我們可以得出這樣的結論：從控制器獲取轉發(fā)政策的SDN交換機不一定有狀態(tài)。因此，這些SDN功能的交換機無法提供作為一個狀態(tài)防火墻同樣水平的保護。詢問供應商關于他們SDN解決方案的防火墻功能的有狀態(tài)細節(jié)，以及了解他們是如何運作的，是非常重要的。因為許多這些SDN系統(tǒng)可以以無狀態(tài)的方式操作，如果您企業(yè)需要有狀態(tài)防火墻的保護，那么您必須使用SDN政策引導流量與服務鏈的狀態(tài)包，檢測防火墻的網絡功能虛擬化(NFV)。