許多人曾預料，企業(yè)組織采用軟件定義網絡（SDN）技術的步伐會晚于服務提供商或多租戶數據中心和云服務提供商。我們現在看到網絡功能虛擬化（NFV）在企業(yè)內部得到更多的使用，一些企業(yè)正開始推行SDN試點項目。就在企業(yè)考慮如何在自己的數據中心環(huán)境中利用SDN技術之際，也開始考慮SDN能提供哪些新的安全功能。針對控制器不允許傳送的數據流，SDN交換機可以丟棄數據包。本文探究SDN交換機運行起來能否像傳統(tǒng)防火墻。

　　軟件定義網絡是由這個概念發(fā)展而來的：將較低層的數據包/幀轉發(fā)功能與智能化決定如何傳送應用程序流量的控制功能分離開來�？刂破矫媾c轉發(fā)平面相分離，讓網絡可以以新的和創(chuàng)新的方式為數據包處理提供方便，并且為網絡虛擬化創(chuàng)造了一種新的范式。SDN為網絡設計打開了一片新天地，能夠帶來創(chuàng)新的網絡方案。SDN還促使我們重新考慮安全策略在網絡里面如何執(zhí)行。

　　在OpenFlow SDN模式中，網絡交換機里面的數據流由OpenFlow控制器直接放在那里。要是數據流不存在（table-miss），那么交換機將數據包送到（punt）控制器，以便在決定該如何轉發(fā)數據包方面尋求幫助。OpenFlow技術規(guī)范表明，如果table-miss流表項未出現在交換機中，又沒有規(guī)則將數據包發(fā)送到控制器，那么交換機丟棄該數據。如果交換機將數據包送到數據包，那么控制器處理數據包進入（Packet-in）消息，決定該數據包的命運。控制器隨后確定應該轉發(fā)數據包，還是丟棄數據包。這種行為聽起來似乎SDN交換機的運行方式如同防火墻，并執(zhí)行“流表中不含有的數據包則被丟棄”標準安全策略�？梢哉J為這好比是默認的“錯誤保護狀態(tài)”，Elizabeth D. Zwicky、Simon Cooper與D. Brent Chapman合著的《構建互聯網防火墻》一書中也提到了“錯誤保護狀態(tài)”（Fail-Safe Stance）。乍一看，這聽起來就像是一種出色的新型安全技術，似乎SDN交換機上的每一個端口運行起來都如同防火墻。

　　許多SDN交換機運行起來酷似標準的以太網交換機，針對發(fā)往廣播、多播或未知MAC地址的以太網幀，通過所有端口泛洪數據流。大多數SDN交換機會像典型的基于硬件的以太網交換機那樣，泛洪正常的ARP數據流。在大多數情況下，SDN交換機的默認行為就是充當以太網網橋，或學習型交換機。然而，可以讓SDN交換機處于明確轉發(fā)模式：只有控制器允許或配置/推送的數據流才允許發(fā)送。

　　如果環(huán)境中的每只以太網交換機都可以像傳統(tǒng)防火墻那樣運行，它會改變網絡環(huán)境中實施安全策略的方式。設想一下：如果每只以太網交換機都是多端口防火墻，那么防火墻策略可以實施在整個網絡上的每一個入站交換機端口處和交換機之間的每條鏈路上。將會有面向每個服務器、每個桌面、每條鏈路的防火墻，防火墻策略將由控制器來實施，而控制器對當前的應用程序流量有一個全局觀，清楚應該允許哪些流量。在整個環(huán)境執(zhí)行安全策略將意味著完全侵蝕安全邊界。手動實施并維護那么多的安全策略將是管理難題。然而，有了控制器架構，策略只要創(chuàng)建一次，隨后就可以推送到每一個網絡設備，以便執(zhí)行。

　　網絡切分（network slicing）是SDN的常見使用場合之一。網絡可以在邏輯上劃分成邏輯分隔的網絡，這些網絡覆蓋在同一個物理網絡硬件上。網絡切分在大學里面是一種常見的使用場合，因為大學希望將不同的部門（招生部、財務科、宿室樓和計算機科學系等）劃分成自成一體的邏輯網絡區(qū)域。SDN可以分隔網絡，類似虛擬路由和轉發(fā)（VRF）實例，可用于分隔第3層轉發(fā)。這還可以通過在控制平面和數據平面之間添加一個切分層來實現，因而讓安全策略可以針對特定的切片。執(zhí)行“流空間（Flowspace）”中切片之間的強分隔意味著，一個切片中的并不影響另一個切片。想了解更多信息，可關注Flowvisor和FSFW：流空間防火墻。這方面的一個例子就是思科可擴展網絡控制器（XNC）及Networking Slicing應用程序。這樣一來，SDN就能提供“多類型防御體系”（Diversity of Defense）概念，《構建互聯網防火墻》一書中同樣提到了這個概念。

　　使用具有SDN功能的交換機作為防火墻之所以切實可行，這方面的一個關鍵概念就是它為應用程序數據流維護的狀態(tài)。訪問控制列表（ACL）不帶狀態(tài)功能，并不意識到連接何時開始或何時結束。即使有老式的思科ACL CLI參數“established”，ACI也只是變得稍微“帶狀態(tài)功能”。ACL通常并不關注任何三向TCP握手（SYN、SYN-ACK和ACK），也不關注FIN/ACK會話終止。另一方面，狀態(tài)防火墻可以觀察會話的建立及關閉過程，并使用狀態(tài)檢查技術（Stateful Inspection），定向地運用策略。

　　那么，現代SDN產品如何實施策略，它們運行起來是否可能像傳統(tǒng)防火墻？說到思科以應用程序為中心的基礎設施（ACI），Nexus 9000交換機就以一種無狀態(tài)方式來運行。應用程序策略基礎設施控制器（APIC）中配置的應用程序網絡配置文件（ANP）以無狀態(tài)的方式，被部署到ACI架構中的交換機。因而，ACI系統(tǒng)在運行時無法達到與標準狀態(tài)防火墻一樣的安全級別。這就是為什么ACI允許第4層至第7層的服務圖可以配置并整合到ACI架構中。

　　說到開放虛擬交換機（OVS），它只支持策略方面的無狀態(tài)匹配�？梢耘渲闷ヅ銽CP標志的OVS策略，或者配置規(guī)則，以便使用“學習”方法來確立返回數據流。然而，這些方法沒有一種像傳統(tǒng)的狀態(tài)檢查防火墻那樣帶狀態(tài)功能。開放虛擬交換機社區(qū)在開展一些工作，擁有連接跟蹤工具（Conntrack），以便讓OVS可以通知Netfilter（好比正則表達式）連接跟蹤器，并維持現有會話的狀態(tài)表。

　　然而，Project Floodlight可以配置ACL，這些運行起來也如同無狀態(tài)防火墻。Floodlight有一個防火墻應用程序模塊，可通過檢查數據包進入行為來執(zhí)行ACL規(guī)則。這采用了一種被動的工作方式，第一個數據包旨在為流量創(chuàng)建實例，根據優(yōu)先級排序的策略規(guī)則集來允許或拒絕流量。允許規(guī)則擁有重疊的流空間，而優(yōu)先級制定了根據第一個匹配規(guī)則由上而下操作的策略。

　　VMware NSX能夠配置SDN環(huán)境里面的安全策略。NSX for vSphere支持邏輯交換/路由、防火墻、負載均衡和虛擬專用網（VPN）功能。防火墻規(guī)則在虛擬網卡（vNIC）處執(zhí)行，但防火墻策略與虛擬機關聯起來；主機移動時，策略也隨之移動。NSX分布式防火墻是一種內核可裝入模塊，提供了帶狀態(tài)功能的第2層/第3層/第4層雙協議防火墻機制，能夠執(zhí)行反欺詐。VMware NSX防火墻策略運行起來如同擁有自反ACL的思科路由器。說到等價多路徑（ECMP）設計或高可用性（HA），NSX邊緣服務網關防火墻以無狀態(tài)方式運行。換句話說，狀態(tài)防火墻和負載均衡或NAT并不被采用HA或ECMP拓撲結構的邊緣服務網關所支持。

　　有些行業(yè)組織正在努力研制可提供強大可靠的安全策略執(zhí)行功能的SDN系統(tǒng)。FlowGuard等研究項目和一篇題為《面向SDN的狀態(tài)硬件防火墻的基于OpenFlow的原型》的文章（作者是南達科他州大學的Jacob Collings）表明，有可能在SDN網絡設備里面獲得狀態(tài)功能。

　　經過這一番分析后，我們可以得出這個結論：從控制器獲得轉發(fā)策略的SDN交換機未必帶狀態(tài)功能。因而，這些具有SDN功能的交換機無法提供與狀態(tài)防火墻一樣的保護級別。詢問廠商其SDN解決方案中防火墻帶狀態(tài)功能方面的細節(jié)，并且明白它們是如何運行的，這點很要緊。由于許多這些SDN系統(tǒng)可能以無狀態(tài)方式來運行，如果貴企業(yè)需要狀態(tài)防火墻保護，那么你就必須使用SDN策略來轉發(fā)流量，并支持服務鏈，以獲得帶狀態(tài)功能的數據包檢查網絡功能虛擬化（NFV）防火墻。