Skip to main content
Nubint
QUICK REVIEW

[论文解读] SDFW: SDN-based Stateful Distributed Firewall

Ankur Chowdhary, Dijiang Huang|arXiv (Cornell University)|Jan 1, 2018
Software-Defined Networks and 5G参考文献 9被引用 4
一句话总结

SDFW 提出了一种可扩展的、分布式的、有状态的防火墙,用于 SDN 环境,通过在数据平面中实现连接跟踪,在多个交换机之间跟踪连接状态,从而实现对东西向攻击(如 TCP-SYN 洪水攻击)的有效检测与缓解,性能仅降低 1.6%。该系统通过将状态管理去中心化,避免了控制器的性能瓶颈,同时在多租户数据中心中保持了细粒度的安全性。

ABSTRACT

SDN provides a programmable command and control networking system in a multi-tenant cloud network using control and data plane separation. However, separating the control and data planes make it difficult for incorporating some security services (e.g., firewalls) into SDN framework. Most of the existing solutions use SDN switches as packet filters and rely on SDN controllers to implement firewall policy management functions, which is impractical for implementing stateful firewalls since SDN switches only send session's initial packets and statistical data of flows to their controllers. For a data center networking environment, applying a Distributed FireWall (DFW) system to prevent attacker's lateral movements is highly desired, in which designing and implementing an SDN-based Stateful DFW (SDFW) demand a scalable distributed states management solution at the data plane to track packets and flow states. Our performance results show that SDFW achieves scalable security against data plane attacks with a marginal performance hit ~ 1.6% reduction in network bandwidth.

研究动机与目标

  • 解决 SDN 环境中缺乏有状态、分布式防火墙支持的问题,以检测和缓解多租户数据中心中的横向移动攻击。
  • 通过将状态跟踪分布到数据平面交换机,克服集中式 SDN 防火墙的性能瓶颈。
  • 通过在交换机级别实施连接跟踪,实现实时检测数据平面攻击(如 TCP-SYN 洪水攻击)。
  • 提供一种可扩展、可编程的安全框架,支持多租户和有状态检查,同时避免对 SDN 控制器造成过载。

提出的方法

  • SDFW 通过扩展 Open vSwitch 的 conntrack 模块,在数据平面中直接维护连接状态,实现有状态防火墙功能。
  • 每个交换机使用 OpenFlow 规则和连接跟踪表本地跟踪流状态,减少对中央控制器在状态维护方面的依赖。
  • 系统使用 OpenFlow 规则强制执行安全策略,包括根据检测到的攻击模式丢弃或限速恶意流量。
  • 攻击检测在交换机级别通过流行为的统计分析(如异常的 SYN 包速率)完成。
  • 该架构利用分布式虚拟交换机和网络信息库(NIB)在多个交换机之间协调状态跟踪。
  • 在检测到恶意行为后,本地应用对策(如流量丢弃或重定向至蜜罐)。

实验结果

研究问题

  • RQ1如何在不使集中控制器过载的情况下,有效扩展 SDN 环境中的有状态防火墙?
  • RQ2在数据中心网络中,将连接状态跟踪分布到多个交换机的性能开销是多少?
  • RQ3与集中式模型相比,分布式有状态防火墙是否能更高效地检测和缓解东西向攻击(如 TCP-SYN 洪水攻击)?
  • RQ4该系统如何在共享的可编程网络基础设施中维护多租户和策略隔离?
  • RQ5在分布式防火墙架构中,安全粒度与网络性能之间的权衡是什么?

主要发现

  • 在 100 台主机的扁平拓扑中,由于在单个交换机上集中进行状态跟踪,SDFW 导致网络带宽减少 11%,延迟增加 9%。
  • 在 64 台主机和 9 个交换机的树形拓扑中,SDFW 仅造成 1.6% 的带宽减少和 3.5% 的延迟增加,表现出显著的可扩展性。
  • 去中心化设计通过将状态跟踪卸载到各个交换机,显著降低了控制器负载,从而在大规模环境中实现更好的性能。
  • SDFW 通过在本地应用 OpenFlow 规则丢弃恶意流量,成功检测并缓解了 TCP-SYN 洪水攻击。
  • 通过在东西向流量流中维护并强制执行连接状态,该系统有效防止了横向移动。
  • 结果证实,SDFW 在保持安全粒度的同时,提供了可扩展、低开销的数据平面攻击防护。

更好的研究,从现在开始

从论文设计到论文写作,大幅缩短您的研究时间。

无需绑定信用卡

本解读由 AI 生成,并经人工编辑审核。