14、软件定义网络的主动状态防火墙

软件定义网络的主动状态防火墙

1. 引言

软件定义网络（SDN）是一种新兴的网络架构范式，它具有可编程和灵活的特点。SDN主要基于两个来自软件工程的理念：
- 分离关注点 ：将数据平面和控制平面解耦。数据平面成为简单的转发层，控制层在逻辑上集中为一个或多个控制器。网络应用运行在控制层之上，可集成到控制器中或解耦到应用平面。这种平面之间的抽象使得高级语言能够配置网络应用、控制器和数据平面设备，无需担心硬件和软件细节的约束，同时控制器能对SDN网络的任何部分有全局视野，有助于强化网络和安全策略，提高服务质量（QoS）。
- 接口标准化抽象 ：对数据平面设备、控制器和网络应用之间的不同接口进行标准化，定义了一些协议用于SDN各平面之间的通信。例如，数据平面和控制平面之间的“南向接口”，如OpenFlow（OF）协议，它为控制器提供了高级抽象，使其能够通过添加OpenFlow规则来重新编程数据平面设备，并通过设置计数器收集流量信息。

SDN的这些特性使网络更加灵活、易于重新编程且复杂度降低，网络服务能有效、动态地部署，操作和交易也更易于管理且不易出错。然而，SDN环境下的安全问题具有两面性：一方面，SDN便于开发高效、灵活和可控的安全解决方案；另一方面，它也引入了一些以前不存在的新威胁，这些漏洞可能存在于任何SDN组件中，且严重程度和可能性各不相同。

本文介绍了一种SDN主动状态防火墙及其集中管理接口，该解决方案由编排器（Orchestrator）和防火墙应用（Firewall Application）两个组件组成。编排器负责管理网络元素和管理员之间的安全策略，其主要目标是提供网络的全局视图，