■董明

軟件定義網(wǎng)絡(luò)從低層數(shù)據(jù)包解耦，控制功能的轉(zhuǎn)發(fā)幀智能地決定應(yīng)用程序的流量應(yīng)如何傳輸這一概念發(fā)展演化而來(lái)?？刂泼姘鍙霓D(zhuǎn)發(fā)面板的分離使得網(wǎng)絡(luò)為數(shù)據(jù)包處理提供了創(chuàng)新的方法，并為建立網(wǎng)絡(luò)虛擬化提供了新的范式。SDN開(kāi)辟了整個(gè)網(wǎng)絡(luò)設(shè)計(jì)的新世界和創(chuàng)造性的網(wǎng)絡(luò)方法。SDN也引發(fā)我們重新思考如何在網(wǎng)絡(luò)上執(zhí)行安全政策。

在OpenFlow的SDN模型中，網(wǎng)絡(luò)交換機(jī)內(nèi)的流量是通過(guò)OpenFlow控制器安置的。如果流量是不存在的(Table-m iss項(xiàng))，然后切換到控制器尋求幫助，以確定數(shù)據(jù)包應(yīng)該如何轉(zhuǎn)發(fā)。OpenFlow技術(shù)規(guī)范規(guī)定，如果Table-m iss項(xiàng)的流量入口在交換機(jī)中不存在，就沒(méi)有任何規(guī)則將數(shù)據(jù)包發(fā)送到控制器，然后數(shù)據(jù)包就會(huì)被交換器丟棄。如果交換機(jī)將數(shù)據(jù)包發(fā)送到控制器，然后控制器處理數(shù)據(jù)包的消息，進(jìn)而決定數(shù)據(jù)包的命運(yùn)。然后控制器確定數(shù)據(jù)包是否應(yīng)被轉(zhuǎn)發(fā)或丟棄。這聽(tīng)起來(lái)像是SDN交換機(jī)執(zhí)行的是類似防火墻的功能，執(zhí)行的是將不包括在流量表中的流量數(shù)據(jù)包丟棄的標(biāo)準(zhǔn)的安全政策。這可以被認(rèn)為是類似于默認(rèn)的“錯(cuò)誤保護(hù)狀態(tài)”(Fail-Safe Stance)，其也 在 由 Elizabeth D.Zwicky、Simon Cooper和 D.Brent Chapman聯(lián)合編寫(xiě)的《建立互聯(lián)網(wǎng)防火墻》一書(shū)中提到。乍一看，這聽(tīng)起來(lái)像一種非常好的新的安全擔(dān)保形式，使SDN交換機(jī)每個(gè)端口看起來(lái)就像一個(gè)防火墻。

許多SDN交換機(jī)運(yùn)行起來(lái)酷似一個(gè)標(biāo)準(zhǔn)的以太網(wǎng)交換機(jī)，以太網(wǎng)幀的所有端口的洪水般的數(shù)據(jù)流量發(fā)往廣播，多播或未知的MAC地址。大多數(shù)的SDN交換機(jī)ARP流量通常就是像一個(gè)典型的基于硬件的以太網(wǎng)交換機(jī)。在大多數(shù)情況下，一個(gè)SDN交換機(jī)的默認(rèn)行為就像一個(gè)以太網(wǎng)橋，或?qū)W習(xí)型交換機(jī)。然而，讓一個(gè)SDN交換機(jī)成為一個(gè)明確的轉(zhuǎn)發(fā)模式，只有被允許的流量或由控制器配置/推送的流量將被允許發(fā)送。

如果環(huán)境中的每一個(gè)以太網(wǎng)交換機(jī)都能夠像傳統(tǒng)的防火墻，那么，這將改變?cè)诰W(wǎng)絡(luò)環(huán)境下實(shí)現(xiàn)安全策略的方式。想象一下，如果每個(gè)以太網(wǎng)交換機(jī)是多端口的防火墻，則防火墻策略可以在網(wǎng)絡(luò)上通過(guò)每次進(jìn)入交換機(jī)端口和交換機(jī)之間的每一條鏈路上實(shí)施。這樣，就對(duì)每一臺(tái)服務(wù)器，臺(tái)式機(jī)，每一條鏈路都設(shè)置了防火墻，而防火墻策略會(huì)通過(guò)一個(gè)控制器來(lái)實(shí)施，而控制器會(huì)對(duì)當(dāng)前的應(yīng)用程序流量現(xiàn)狀有一個(gè)全局觀并讓獲得允許的流量進(jìn)行有效傳輸。在整個(gè)環(huán)境執(zhí)行安全政策意味著安全邊界的完整侵蝕。太多安全政策的實(shí)施及其手動(dòng)執(zhí)行可能會(huì)為您企業(yè)的安全管理帶來(lái)噩夢(mèng)。然而，利用控制器架構(gòu)，該安全政策將只需創(chuàng)建一次，然后即可推廣到每臺(tái)網(wǎng)絡(luò)設(shè)備執(zhí)行了。

網(wǎng)絡(luò)切分(network slicing)是SDN中非常常見(jiàn)的使用案例之一。一個(gè)網(wǎng)絡(luò)在邏輯上可以劃分為分隔的網(wǎng)絡(luò)，而這些網(wǎng)絡(luò)是覆蓋在同一物理網(wǎng)絡(luò)硬件上的。網(wǎng)絡(luò)切分在大學(xué)里非常流行一種，因?yàn)榇髮W(xué)里，他們希望將不同的部門(mén)分開(kāi)(包括招生部門(mén)、財(cái)務(wù)部門(mén)、宿舍、計(jì)算機(jī)科學(xué)系等)，以便使得各自成為一個(gè)自成一體的邏輯網(wǎng)絡(luò)區(qū)域。SDN可以分隔網(wǎng)絡(luò)，類似于虛擬路由和轉(zhuǎn)發(fā)(VRF)的情況，可用于分隔第3層轉(zhuǎn)發(fā)。這也可以通過(guò)在控制面板和數(shù)據(jù)面板之間添加一個(gè)切片層來(lái)實(shí)現(xiàn)，從而使安全策略得以能夠針對(duì)特定的切片。在“流空間(Flow space)”強(qiáng)制執(zhí)行切片之間的強(qiáng)隔離意味著一個(gè)切片的行動(dòng)不會(huì)影響另一片。

使用SDN交換機(jī)作為防火墻的可行性的關(guān)鍵概念在于，其將維持應(yīng)用程序流量的狀態(tài)。訪問(wèn)控制列表(ACL)是無(wú)狀態(tài)的，當(dāng)連接開(kāi)始或結(jié)束時(shí)并沒(méi)有意識(shí)。即使有老式的思科ACLCLI參數(shù)，ACL也只是略顯“帶狀態(tài)功能”。訪問(wèn)控制列表通常并不關(guān)注任何三向TCP握手(SYN、SYN-ACK和ACK)，也不關(guān)注FIN/ACK會(huì)話終止。另一方面，狀態(tài)防火墻能夠觀察會(huì)話的建立和關(guān)閉過(guò)程，定向使用狀態(tài)檢測(cè)適用的政策。

那么，現(xiàn)代的SDN產(chǎn)品是否能夠通過(guò)安全的實(shí)施部署，使其有可能運(yùn)行起來(lái)像傳統(tǒng)的防火墻呢?當(dāng)涉及到以應(yīng)用程序?yàn)橹行牡幕A(chǔ)設(shè)施 (ACI)時(shí)，Nexus 9000交換機(jī)就能夠以一個(gè)無(wú)狀態(tài)的方式運(yùn)行。應(yīng)用程序網(wǎng)絡(luò)配置文件(ANP)在應(yīng)用程序策略基礎(chǔ)設(shè)施控制器(APIC)中配置，并以無(wú)狀態(tài)的方式被部署到交換機(jī)的 ACI架構(gòu)中。因此，一個(gè)ACI系統(tǒng)將不能夠作為標(biāo)準(zhǔn)狀態(tài)防火墻在同一安全級(jí)別上操作。這就是為什么ACI允許第4層到第7層的服務(wù)圖形進(jìn)行配置，并集成整合到ACI架構(gòu)的原因了。

當(dāng)涉及到Open vSw itch(OVS)時(shí)，其僅支持無(wú)狀態(tài)匹配的政策。配置OVS政策以匹配TCP標(biāo)簽或使用一種“學(xué)習(xí)”方法配置規(guī)則，以建立流量回歸方法。然而，這些方法中沒(méi)有一種是像一個(gè)傳統(tǒng)狀態(tài)檢測(cè)防火墻那樣的有狀態(tài)的。Open vSw itch社區(qū)正在試圖在這方面進(jìn)行努力，以便讓連接跟蹤(Conntrack)允許OVS通知Netfilter(如iptables)連接跟蹤，并保持現(xiàn)有會(huì)話狀態(tài)表。

然而，Project Floodlight可以配置ACL，這運(yùn)行起來(lái)也像一個(gè)無(wú)狀態(tài)防火墻。Floodlight有一個(gè)防火墻應(yīng)用程序模塊，通過(guò)檢查數(shù)據(jù)包執(zhí)行ACL規(guī)則。這以一種反應(yīng)方式，讓第一個(gè)數(shù)據(jù)包為流量創(chuàng)建實(shí)例，基于優(yōu)先級(jí)排序的決策規(guī)則集允許或拒絕。規(guī)則允許有重疊的流空間，但優(yōu)先創(chuàng)建第一個(gè)匹配規(guī)則的行動(dòng)，自上而下的操作政策。

VMware NSX能夠在SDN環(huán)境配置安全策略。NSX的vSphere支持邏輯交換/路由、防火墻、負(fù)載均衡、和VPN功能。防火墻規(guī)則在vN IC強(qiáng)制執(zhí)行，而當(dāng)主機(jī)遷移時(shí)，防火墻策略與虛擬機(jī)相關(guān)聯(lián)，其策略也隨之移動(dòng)。NSX分布式防火墻是一種可加載內(nèi)核模塊，提供有狀態(tài)的L2/L3/L4雙協(xié)議的防火墻，可以執(zhí)行反欺騙。VMware NSX的防火墻策略運(yùn)作起來(lái)就像一個(gè)有自反ACL的思科路由器。當(dāng)涉及到等價(jià)多路徑(ECMP)設(shè)計(jì)或高可用性(HA)時(shí)，NSX邊緣服務(wù)網(wǎng)關(guān)的防火墻功能以無(wú)狀態(tài)方式運(yùn)行。換句話說(shuō)，有狀態(tài)的防火墻和負(fù)載均衡或NAT不支持邊緣服務(wù)網(wǎng)關(guān)和高可用性或ECMP拓?fù)洹?/p>

從上述的分析中，我們可以得出這樣的結(jié)論：從控制器獲取轉(zhuǎn)發(fā)政策的SDN交換機(jī)不一定有狀態(tài)。因此，這些SDN功能的交換機(jī)無(wú)法提供作為一個(gè)狀態(tài)防火墻同樣水平的保護(hù)。詢問(wèn)供應(yīng)商關(guān)于他們SDN解決方案的防火墻功能的有狀態(tài)細(xì)節(jié)，以及了解他們是如何運(yùn)作的，是非常重要的。因?yàn)樵S多這些SDN系統(tǒng)可以以無(wú)狀態(tài)的方式操作，如果您企業(yè)需要有狀態(tài)防火墻的保護(hù)，那么您必須使用SDN政策引導(dǎo)流量與服務(wù)鏈的狀態(tài)包，檢測(cè)防火墻的網(wǎng)絡(luò)功能虛擬化(NFV)。