適用場景
- 只將資安設備看得懂的封包送入(分流功能),有效減輕資安設備的負載量。
- 降低資安設備負載後,可使用較低規格的設備以節省成本。
- 避免主幹網路因資安設備故障而導致全網斷線。
- 整合資安設備之黑名單來達到資安聯防的效果。
- 解決當需要測試外部攻擊時,必須開通每一台資安設備的白名單。
- 解決不同型號無法同時使用之問題。
- 整合當資安設備為虛擬機(NFV)時的設定問題。
- 讓大量的視訊封包不需要經過資安設備檢查,降低資安設備流量與負載。
資源最佳運用
- 傳統的網路架構,資安設備各司其職,資源使用比重不一。
- SDN 架構,網路設備只專注於傳遞封包,不做網路管理。
傳統網路架構 v.s. 服務鏈網路架構
服務鏈範例:IPS 配合加解密設備
Dashboard 畫面
需求規格
- 支援 OpenFlow 1.3 之開放流交換器
- Match Field
- Ingress port. Numerical representation of incoming port, starting at 1. This may be a physical or switch-defined logical port.
- Ethernet source MAC address
- Ethernet destination MAC address
- Ethernet type of the OpenFlow
- VLAN-ID
- VLAN priority (VLAN-PCP)
- IPv4 source address
- IPv4 destination address
- IPv4 protocol number
- TCP/UDP source port
- TCP/UDP destination port
- ICMPv4 type
- ICMPv4 code
- Action
- Output (Req) : Forwards the packet to a specified OpenFlow port ( 2 port at least). If out-port is Controller, then the packet will be sent as packet-in message.
- Drop (Req) : No explicit drop action. Packet with empty action set should be dropped.
- Meter meter-id : Directs the packet to the specified meter.
