软件定义网络的主动式有状态防火墙解析
1. 防火墙基础架构
1.1 防火墙表
防火墙应用程序使用两个表:访问表(Access Table)和状态表(State Table)。
- 访问表 :采用白名单方式包含管理员的安全规则,在两个层面进行维护。编排器管理全局访问表,整合所有网络安全策略;在控制器层面,每个防火墙应用程序维护与控制器网络范围相关的本地访问表。管理员仅向编排器提供表示授权路由的策略,防火墙应用程序接收到这些策略后,将其解释为访问OpenFlow规则(Access OF Rules)并安装到数据平面设备上。防火墙会改变数据平面设备的行为,设备以OpenFlow规则的形式执行接收到的安全策略。防火墙会生成三种专用的OpenFlow规则:
- 丢弃所有意外流量(表未命中)。
- 访问OpenFlow规则(管理员策略)。
- 状态OpenFlow规则(仅允许接收触发活动连接当前状态转换的事件)。
- 状态表 :每个防火墙应用程序都有一个专有表来记录网络连接的历史。状态表包含识别和区分不同连接的所有信息,防火墙利用它来了解连接状态、验证数据包的合法性、创建状态OpenFlow规则以及存储活动连接的状态及其特征。
1.2 OpenFlow表
在数据平面,一组OpenFlow规则根据OpenFlow标准表达安全规则。每个数据平面设备在OpenFlow表中维护这些规则。防火墙应用程序将解释后的安全策略或有状态决策安装到表中。根据这些规则,数据平面设备的行为如下:
- 默认情况下阻止所有网络流量。
- 仅允许安全
超级会员免费看
订阅专栏 解锁全文
2万+

被折叠的 条评论
为什么被折叠?



