关于基于 SDN 的防火墙的详细信息不够多,所以我一直在搜索,最近我看到了这篇文章。事实上,有些论文同时使用了这两个术语flow policy,并且firewall policy没有给读者区分它们,这让我有点困惑。经过长时间的研究,我想出了以下区别,我想与这个社区讨论一下:
防火墙策略通常由网络运营商主动安装。相反,流策略是在从基于 OpenFlow 的交换机接收到 Packet-In 消息后由控制器被动安装以处理新流。结果,控制器创建一个新的流规则以安装在 OpenFlow-nased 交换机中,并在防火墙中安装一个新的流策略(如果没有发生违规)。
我想和你讨论一下我的发现是否合理。如果不是,请给我们一个解释。
谢谢你。
我们使用的大部分网络术语——“防火墙”、“交换机”、“SDN”、“IDS”等,都是设备厂商在推出新产品时编造出来的,并逐渐被社会所接受。它们中的任何一个都没有技术或权威的定义。
就目前而言,您所做的区分很好,但不要指望每个人都效仿,尤其是如果某些公司有一种他们称之为防火墙的东西,可以对数据包内的消息做出反应。总会有人试图模糊或合并区别。
我最近花了很多时间来区分 SDN 防火墙中安全实施中使用的关键字。不幸的是,没有标准支持这些定义。但是,我可以缩小含义的范围:
流:遍历网络的数据包序列,这些数据包共享一组标头字段值。例如,一个流可以由具有相同源和目标 IP 标头的所有数据包组成。
流策略:Openflow 交换机由流表组成,流表由定义网络中的流的规则(也称为流)组成。这些规则构成了网络的流量策略。例如- OpenFlow交换机流表中的一个或多个规则。
防火墙策略:这些是管理级别的安全约束。它由不同的防火墙规则(允许/拒绝)组成。识别数据包的特征并相应地应用一些操作。它不同于传统的防火墙规则:有状态、双向、动态。此外,与流策略不同,这是在控制器中集中定义和执行的。
例如-从客户端 C 到服务器 S 的流量应该通过中间框 M 例如- * 对于指定的交换机,阻止来自主机 10.1.2.2 - 00:00:00:02:00:00的所有流量BLOCK srcip= 10.1.2.2 *