OpenFlow如何實(shí)現(xiàn)和保護(hù)軟件定義網(wǎng)絡(luò)?OpenFlow是實(shí)現(xiàn)軟件定義網(wǎng)絡(luò)(SDN)的協(xié)議。概括地說，SDN是一種新興的企業(yè)網(wǎng)絡(luò)方法，它將控制平面從網(wǎng)絡(luò)硬件中解耦出來，由控制器軟件來管理網(wǎng)絡(luò)設(shè)備的行為。很多人希望SDN能夠?qū)崿F(xiàn)網(wǎng)絡(luò)硬件供應(yīng)商之間更高水平的互操作性。

在本質(zhì)上，OpenFlow是一種語言，它允許控制器和設(shè)備相互“交談”。當(dāng)OpenFlow交換機(jī)被放置在網(wǎng)絡(luò)中時(shí)，控制器將配合它使用。網(wǎng)絡(luò)管理員需要配置不同的流量表，來管理網(wǎng)絡(luò)內(nèi)的活動。流量表包括“流量”—這是定義預(yù)期網(wǎng)絡(luò)行為的另一種方式。流量可能是TCP連接、特定IP范圍內(nèi)的所有流量，或者網(wǎng)絡(luò)管理員選擇的任何其他類型的網(wǎng)絡(luò)特征。

當(dāng)符合既定流量定義的數(shù)據(jù)包到達(dá)OpenFlow交換機(jī)時(shí)，它們將按照既定的流量表被轉(zhuǎn)發(fā)。而當(dāng)流量表內(nèi)不符合任何定義的數(shù)據(jù)包到達(dá)交換機(jī)時(shí)，它們將被轉(zhuǎn)發(fā)到控制器做進(jìn)一步處理——這正是軟件定義網(wǎng)絡(luò)的用武之地。這暗示著網(wǎng)絡(luò)管理員可以在極其精細(xì)的水平配置流量表，從而與某些類型的軟件的行為保持一致。網(wǎng)絡(luò)管理員還可以在“空中”改變流量表，基本上是基于正在運(yùn)行的應(yīng)用來路由流量。

在軟件和/或協(xié)議測試領(lǐng)域，這種發(fā)展提供了令人興奮的可能性，因?yàn)檫@將讓研究人員能夠在生產(chǎn)環(huán)境測試不同的應(yīng)用，而不會影響實(shí)際生產(chǎn)流量。隨著該技術(shù)逐漸成熟，SDN的概念將可以演變成為有用的安全技術(shù)，網(wǎng)絡(luò)管理員將可以在細(xì)節(jié)水平來定義哪些應(yīng)用可以或者不可以穿越不同的網(wǎng)絡(luò)設(shè)備。在未來某天，它可能會成為全新的縱深防御安全層。

也就是說，對于大多數(shù)企業(yè)來說，OpenFlow和SDN還屬于極其新興的技術(shù)，還不夠成熟。盡管現(xiàn)在大多數(shù)主要網(wǎng)絡(luò)和IT供應(yīng)商在某種程度上使用了OpenFlow，行業(yè)巨頭(例如思科和VMware)正在開發(fā)自己的技術(shù)，這可能會威脅到OpenFlow的普及。有些人甚至認(rèn)為，SDN可能帶來很大的安全隱患，因?yàn)槌晒鬝DN控制器的攻擊者能夠獲得對整個(gè)網(wǎng)絡(luò)的控制。無論如何，企業(yè)網(wǎng)絡(luò)安全專業(yè)人員應(yīng)該繼續(xù)關(guān)注OpenFlow技術(shù)，因?yàn)樵谖磥韼啄?，它可能成為企業(yè)網(wǎng)絡(luò)中有效的新技術(shù)。