在本質上,OpenFlow是一種語言,它允許控制器和設備相互“交談”。當OpenFlow交換機被放置在網絡中時,控制器將配合它使用。網絡管 理員需要配置不同的流量表,來管理網絡內的活動。流量表包括“流量”—這是定義預期網絡行爲的另一種方式。流量可能是TCP連接、特定IP範圍內的所有流 量,或者網絡管理員選擇的任何其他類型的網絡特徵。
當符合既定流量定義的數據包到達OpenFlow交換機時,它們將按照既定的流量表被轉發。而當流量表內不符合任何定義的數據包到達交換機時,它們 將被轉發到控制器做進一步處理——這正是軟件定義網絡的用武之地。這暗示着網絡管理員可以在極其精細的水平配置流量表,從而與某些類型的軟件的行爲保持一 致。網絡管理員還可以在“空中”改變流量表,基本上是基於正在運行的應用來路由流量。
在軟件和/或協議測試領域,這種發展提供了令人興奮的可能性,因爲這將讓研究人員能夠在生產環境測試不同的應用,而不會影響實際生產流量。隨着該技 術逐漸成熟,SDN的概念將可以演變成爲有用的安全技術,網絡管理員將可以在細節水平來定義哪些應用可以或者不可以穿越不同的網絡設備。在未來某天,它可 能會成爲全新的縱深防禦安全層。
也就是說,對於大多數企業來說,OpenFlow和SDN還屬於極其新興的技術,還不夠成熟。儘管現在大多數主要網絡和IT供應商在某種程度上使用 了OpenFlow,行業巨頭(例如思科和VMware)正在開發自己的技術,這可能會威脅到OpenFlow的普及。有些人甚至認爲,SDN可能帶來很 大的安全隱患,因爲成功攻擊SDN控制器的攻擊者能夠獲得對整個網絡的控制。無論如何,企業網絡安全專業人員應該繼續關注OpenFlow技術,因爲在未 來幾年,它可能成爲企業網絡中有效的新技術。
轉載:http://security.zdnet.com.cn/security_zone/2013/0828/2173857.shtml