网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

　　那么，现代SDN产品如何实施策略，它们运行起来是否可能像传统防火墙?说到思科以应用程序为中心的基础设施(ACI)，Nexus 9000交换机就以一种无状态方式来运行。应用程序策略基础设施控制器(APIC)中配置的应用程序网络配置文件(ANP)以无状态的方式，被部署到ACI架构中的交换机。因而，ACI系统在运行时无法达到与标准状态防火墙一样的安全级别。这就是为什么ACI允许第4层至第7层的服务图可以配置并整合到ACI架构中。

　　说到开放虚拟交换机(OVS)，它只支持策略方面的无状态匹配。可以配置匹配TCP标志的OVS策略，或者配置规则，以便使用“学习”方法来确立返回数据流。然而，这些方法没有一种像传统的状态检查防火墙那样带状态功能。开放虚拟交换机社区在开展一些工作，拥有连接跟踪工具(Conntrack)，以便让OVS可以通知Netfilter(好比正则表达式)连接跟踪器，并维持现有会话的状态表。

　　然而，Project Floodlight可以配置ACL，这些运行起来也如同无状态防火墙。Floodlight有一个防火墙应用程序模块，可通过检查数据包进入行为来执行ACL规则。这采用了一种被动的工作方式，第一个数据包旨在为流量创建实例，根据优先级排序的策略规则集来允许或拒绝流量。允许规则拥有重叠的流空间，而优先级制定了根据第一个匹配规则由上而下操作的策略。

　　VMware NSX能够配置SDN环境里面的安全策略。NSX for vSphere支持逻辑交换/路由、防火墙、负载均衡和虚拟专用网(VPN)功能。防火墙规则在虚拟网卡(vNIC)处执行，但防火墙策略与虚拟机关联起来;主机移动时，策略也随之移动。NSX分布式防火墙是一种内核可装入模块，提供了带状态功能的第2层/第3层/第4层双协议防火墙机制，能够执行反欺诈。VMware NSX防火墙策略运行起来如同拥有自反ACL的思科路由器。说到等价多路径(ECMP)设计或高可用性(HA)，NSX边缘服务网关防火墙以无状态方式运行。换句话说，状态防火墙和负载均衡或NAT并不被采用HA或ECMP拓扑结构的边缘服务网关所支持。

　　有些行业组织正在努力研制可提供强大可靠的安全策略执行功能的SDN系统。FlowGuard等研究项目和一篇题为《面向SDN的状态硬件防火墙的基于OpenFlow的原型》的文章(作者是南达科他州大学的Jacob Collings)表明，有可能在SDN网络设备里面获得状态功能。

　　经过这一番分析后，我们可以得出这个结论：从控制器获得转发策略的SDN交换机未必带状态功能。因而，这些具有SDN功能的交换机无法提供与状态防火墙一样的保护级别。询问厂商其SDN解决方案中防火墙带状态功能方面的细节，并且明白它们是如何运行的，这点很要紧。由于许多这些SDN系统可能以无状态方式来运行，如果贵企业需要状态防火墙保护，那么你就必须使用SDN策略来转发流量，并支持服务链，以获得带状态功能的数据包检查网络功能虚拟化(NFV)防火墙。