我试图找出 FloodLight OpenFlow 控制器中 ACL、防火墙和静态规则之间的区别。
查看https://floodlight.atlassian.net/wiki/display/floodlightcontroller/Floodlight+REST+API,我可以对控制器做 3 种不同的事情。我可以定义 ACL、防火墙规则和静态条目。
我有网络背景,我知道基本上 ACL = 防火墙。现在,来到 OpenFlow 和 SDN 世界,我很难理解它们 3 之间的区别。有人可以解释一下吗?
ACL 和防火墙之间的区别在于关键字有状态。防火墙保留状态表,而基本 ACL 仅根据第 3/4 层属性进行过滤。在路由器中,防火墙功能被称为基于上下文的访问控制,CBAC。还有自反 ACL。我们现在拥有具有最深数据包检测功能的 NGFW(应用感知防火墙)。
当一个数据包到达一个没有匹配流的 OpenFlow 交换机时。数据包被发送到控制器,控制器对其进行评估,添加适当的条目,并让交换机继续转发。或者,条目可以在数据包到达之前由交换机中的控制器主动插入。
从网络的角度来看:
ACL - 基于源或目标 IP 地址或端口/协议的过滤器。永远不应使用 ACL 代替网络边缘的防火墙。
防火墙 - 与上述相同但更智能,取决于类型可以基于应用程序和行为、会话类型等。它们可以是稳定的和应用程序感知的。
静态规则 - 如果我正确理解您的上下文,您指的是“静态防火墙规则”,它更像是 ACL,即阻止/允许依赖于 IP/端口源/目标的流量。
希望这可以帮助,
保罗
为了增加前两个响应,Floodlight FW 是一个动态数据包过滤器,将反应规则安装到交换机上。
它是动态的,因为它响应到达控制器的数据包并根据控制器(或控制器 FW 应用程序)持有的 ACL 选择适当的规则。然后在交换机上安装规则。
相比之下,静态或主动规则预装在交换机上。无需参考控制器。
然而,这两种方法都无法处理跟踪流状态。识别流的开始很容易(SYN 数据包将其丢弃),例如,在看到两个 FINS 和两个 ACK 的 TCP 最终握手之后发送删除规则消息就稍微困难一些。因此,Floodlight FW 使漏洞保持打开状态,直到发生超时。这为攻击者提供了维护漏洞的机会。