SDN交換機(jī)是一種新型的防火墻嗎？

　　許多人曾預(yù)料，企業(yè)組織采用軟件定義網(wǎng)絡(luò)（SDN）技術(shù)的步伐會晚于服務(wù)提供商或多租戶數(shù)據(jù)中心和云服務(wù)提供商。我們現(xiàn)在看到網(wǎng)絡(luò)功能虛擬化（NFV）在企業(yè)內(nèi)部得到更多的使用，一些企業(yè)正開始推行SDN試點項目。就在企業(yè)考慮如何在自己的數(shù)據(jù)中心環(huán)境中利用SDN技術(shù)之際，也開始考慮SDN能提供哪些新的安全功能。針對控制器不允許傳送的數(shù)據(jù)流，SDN交換機(jī)可以丟棄數(shù)據(jù)包。本文探究SDN交換機(jī)運行起來能否像傳統(tǒng)防火墻。

　　軟件定義網(wǎng)絡(luò)是由這個概念發(fā)展而來的：將較低層的數(shù)據(jù)包/幀轉(zhuǎn)發(fā)功能與智能化決定如何傳送應(yīng)用程序流量的控制功能分離開來。控制平面與轉(zhuǎn)發(fā)平面相分離，讓網(wǎng)絡(luò)可以以新的和創(chuàng)新的方式為數(shù)據(jù)包處理提供方便，并且為網(wǎng)絡(luò)虛擬化創(chuàng)造了一種新的范式。SDN為網(wǎng)絡(luò)設(shè)計打開了一片新天地，能夠帶來創(chuàng)新的網(wǎng)絡(luò)方案。SDN還促使我們重新考慮安全策略在網(wǎng)絡(luò)里面如何執(zhí)行。

　　在OpenFlow SDN模式中，網(wǎng)絡(luò)交換機(jī)里面的數(shù)據(jù)流由OpenFlow控制器直接放在那里。要是數(shù)據(jù)流不存在（table-miss），那么交換機(jī)將數(shù)據(jù)包送到（punt）控制器，以便在決定該如何轉(zhuǎn)發(fā)數(shù)據(jù)包方面尋求幫助。OpenFlow技術(shù)規(guī)范表明，如果table-miss流表項未出現(xiàn)在交換機(jī)中，又沒有規(guī)則將數(shù)據(jù)包發(fā)送到控制器，那么交換機(jī)丟棄該數(shù)據(jù)。如果交換機(jī)將數(shù)據(jù)包送到數(shù)據(jù)包，那么控制器處理數(shù)據(jù)包進(jìn)入（Packet-in）消息，決定該數(shù)據(jù)包的命運�？刂破麟S后確定應(yīng)該轉(zhuǎn)發(fā)數(shù)據(jù)包，還是丟棄數(shù)據(jù)包。這種行為聽起來似乎SDN交換機(jī)的運行方式如同防火墻，并執(zhí)行“流表中不含有的數(shù)據(jù)包則被丟棄”標(biāo)準(zhǔn)安全策略。可以認(rèn)為這好比是默認(rèn)的“錯誤保護(hù)狀態(tài)”，Elizabeth D. Zwicky、Simon Cooper與D. Brent Chapman合著的《構(gòu)建互聯(lián)網(wǎng)防火墻》一書中也提到了“錯誤保護(hù)狀態(tài)”（Fail-Safe Stance）。乍一看，這聽起來就像是一種出色的新型安全技術(shù)，似乎SDN交換機(jī)上的每一個端口運行起來都如同防火墻。

　　許多SDN交換機(jī)運行起來酷似標(biāo)準(zhǔn)的以太網(wǎng)交換機(jī)，針對發(fā)往廣播、多播或未知MAC地址的以太網(wǎng)幀，通過所有端口泛洪數(shù)據(jù)流。大多數(shù)SDN交換機(jī)會像典型的基于硬件的以太網(wǎng)交換機(jī)那樣，泛洪正常的ARP數(shù)據(jù)流。在大多數(shù)情況下，SDN交換機(jī)的默認(rèn)行為就是充當(dāng)以太網(wǎng)網(wǎng)橋，或?qū)W習(xí)型交換機(jī)。然而，可以讓SDN交換機(jī)處于明確轉(zhuǎn)發(fā)模式：只有控制器允許或配置/推送的數(shù)據(jù)流才允許發(fā)送。

　　如果環(huán)境中的每只以太網(wǎng)交換機(jī)都可以像傳統(tǒng)防火墻那樣運行，它會改變網(wǎng)絡(luò)環(huán)境中實施安全策略的方式。設(shè)想一下：如果每只以太網(wǎng)交換機(jī)都是多端口防火墻，那么防火墻策略可以實施在整個網(wǎng)絡(luò)上的每一個入站交換機(jī)端口處和交換機(jī)之間的每條鏈路上。將會有面向每個服務(wù)器、每個桌面、每條鏈路的防火墻，防火墻策略將由控制器來實施，而控制器對當(dāng)前的應(yīng)用程序流量有一個全局觀，清楚應(yīng)該允許哪些流量。在整個環(huán)境執(zhí)行安全策略將意味著完全侵蝕安全邊界。手動實施并維護(hù)那么多的安全策略將是管理難題。然而，有了控制器架構(gòu)，策略只要創(chuàng)建一次，隨后就可以推送到每一個網(wǎng)絡(luò)設(shè)備，以便執(zhí)行。

　　網(wǎng)絡(luò)切分（network slicing）是SDN的常見使用場合之一。網(wǎng)絡(luò)可以在邏輯上劃分成邏輯分隔的網(wǎng)絡(luò)，這些網(wǎng)絡(luò)覆蓋在同一個物理網(wǎng)絡(luò)硬件上。網(wǎng)絡(luò)切分在大學(xué)里面是一種常見的使用場合，因為大學(xué)希望將不同的部門（招生部、財務(wù)科、宿室樓和計算機(jī)科學(xué)系等）劃分成自成一體的邏輯網(wǎng)絡(luò)區(qū)域。SDN可以分隔網(wǎng)絡(luò)，類似虛擬路由和轉(zhuǎn)發(fā)（VRF）實例，可用于分隔第3層轉(zhuǎn)發(fā)。這還可以通過在控制平面和數(shù)據(jù)平面之間添加一個切分層來實現(xiàn)，因而讓安全策略可以針對特定的切片。執(zhí)行“流空間（Flowspace）”中切片之間的強(qiáng)分隔意味著，一個切片中的并不影響另一個切片。想了解更多信息，可關(guān)注Flowvisor和FSFW：流空間防火墻。這方面的一個例子就是思科可擴(kuò)展網(wǎng)絡(luò)控制器（XNC）及Networking Slicing應(yīng)用程序。這樣一來，SDN就能提供“多類型防御體系”（Diversity of Defense）概念，《構(gòu)建互聯(lián)網(wǎng)防火墻》一書中同樣提到了這個概念。

　　使用具有SDN功能的交換機(jī)作為防火墻之所以切實可行，這方面的一個關(guān)鍵概念就是它為應(yīng)用程序數(shù)據(jù)流維護(hù)的狀態(tài)。訪問控制列表（ACL）不帶狀態(tài)功能，并不意識到連接何時開始或何時結(jié)束。即使有老式的思科ACL CLI參數(shù)“established”，ACI也只是變得稍微“帶狀態(tài)功能”。ACL通常并不關(guān)注任何三向TCP握手（SYN、SYN-ACK和ACK），也不關(guān)注FIN/ACK會話終止。另一方面，狀態(tài)防火墻可以觀察會話的建立及關(guān)閉過程，并使用狀態(tài)檢查技術(shù)（Stateful Inspection），定向地運用策略。

　　那么，現(xiàn)代SDN產(chǎn)品如何實施策略，它們運行起來是否可能像傳統(tǒng)防火墻？說到思科以應(yīng)用程序為中心的基礎(chǔ)設(shè)施（ACI），Nexus 9000交換機(jī)就以一種無狀態(tài)方式來運行。應(yīng)用程序策略基礎(chǔ)設(shè)施控制器（APIC）中配置的應(yīng)用程序網(wǎng)絡(luò)配置文件（ANP）以無狀態(tài)的方式，被部署到ACI架構(gòu)中的交換機(jī)。因而，ACI系統(tǒng)在運行時無法達(dá)到與標(biāo)準(zhǔn)狀態(tài)防火墻一樣的安全級別。這就是為什么ACI允許第4層至第7層的服務(wù)圖可以配置并整合到ACI架構(gòu)中。

　　說到開放虛擬交換機(jī)（OVS），它只支持策略方面的無狀態(tài)匹配�？梢耘渲闷ヅ銽CP標(biāo)志的OVS策略，或者配置規(guī)則，以便使用“學(xué)習(xí)”方法來確立返回數(shù)據(jù)流。然而，這些方法沒有一種像傳統(tǒng)的狀態(tài)檢查防火墻那樣帶狀態(tài)功能。開放虛擬交換機(jī)社區(qū)在開展一些工作，擁有連接跟蹤工具（Conntrack），以便讓OVS可以通知Netfilter（好比正則表達(dá)式）連接跟蹤器，并維持現(xiàn)有會話的狀態(tài)表。

　　然而，Project Floodlight可以配置ACL，這些運行起來也如同無狀態(tài)防火墻。Floodlight有一個防火墻應(yīng)用程序模塊，可通過檢查數(shù)據(jù)包進(jìn)入行為來執(zhí)行ACL規(guī)則。這采用了一種被動的工作方式，第一個數(shù)據(jù)包旨在為流量創(chuàng)建實例，根據(jù)優(yōu)先級排序的策略規(guī)則集來允許或拒絕流量。允許規(guī)則擁有重疊的流空間，而優(yōu)先級制定了根據(jù)第一個匹配規(guī)則由上而下操作的策略。

　　VMware NSX能夠配置SDN環(huán)境里面的安全策略。NSX for vSphere支持邏輯交換/路由、防火墻、負(fù)載均衡和虛擬專用網(wǎng)（VPN）功能。防火墻規(guī)則在虛擬網(wǎng)卡（vNIC）處執(zhí)行，但防火墻策略與虛擬機(jī)關(guān)聯(lián)起來；主機(jī)移動時，策略也隨之移動。NSX分布式防火墻是一種內(nèi)核可裝入模塊，提供了帶狀態(tài)功能的第2層/第3層/第4層雙協(xié)議防火墻機(jī)制，能夠執(zhí)行反欺詐。VMware NSX防火墻策略運行起來如同擁有自反ACL的思科路由器。說到等價多路徑（ECMP）設(shè)計或高可用性（HA），NSX邊緣服務(wù)網(wǎng)關(guān)防火墻以無狀態(tài)方式運行。換句話說，狀態(tài)防火墻和負(fù)載均衡或NAT并不被采用HA或ECMP拓?fù)浣Y(jié)構(gòu)的邊緣服務(wù)網(wǎng)關(guān)所支持。

　　有些行業(yè)組織正在努力研制可提供強(qiáng)大可靠的安全策略執(zhí)行功能的SDN系統(tǒng)。FlowGuard等研究項目和一篇題為《面向SDN的狀態(tài)硬件防火墻的基于OpenFlow的原型》的文章（作者是南達(dá)科他州大學(xué)的Jacob Collings）表明，有可能在SDN網(wǎng)絡(luò)設(shè)備里面獲得狀態(tài)功能。

　　經(jīng)過這一番分析后，我們可以得出這個結(jié)論：從控制器獲得轉(zhuǎn)發(fā)策略的SDN交換機(jī)未必帶狀態(tài)功能。因而，這些具有SDN功能的交換機(jī)無法提供與狀態(tài)防火墻一樣的保護(hù)級別。詢問廠商其SDN解決方案中防火墻帶狀態(tài)功能方面的細(xì)節(jié)，并且明白它們是如何運行的，這點很要緊。由于許多這些SDN系統(tǒng)可能以無狀態(tài)方式來運行，如果貴企業(yè)需要狀態(tài)防火墻保護(hù)，那么你就必須使用SDN策略來轉(zhuǎn)發(fā)流量，并支持服務(wù)鏈，以獲得帶狀態(tài)功能的數(shù)據(jù)包檢查網(wǎng)絡(luò)功能虛擬化（NFV）防火墻。