SDN能否替代传统防火墙，SDAS是否与SDN互补？

安涩涩

软件定义网络(SDN)将网络从硬件平面转移到了软件平面，受到软件控制器的管理。其好处包括自动化和简化网络管理工作以及提高应用程序性能。但同时，作为一项新的技术，SDN也很容易受到攻击。例如：将控制集中到SDN控制器中能够模糊了防护的分层硬件的界限，例如防火墙；通过从数据平面解耦控制平面，SDN引入了新的攻击面，例如网络控制器、其协议以及API；SDN的一个优势在于，软件控制器可以安装在操作系统(例如Windows或者Linux)之上的COTS硬件上，这能够节省部署和其他成本；由于SDN控制器的集中化性质，高级持续性攻击(APT)只需要感染这个控制器就可以有效地获取对整个网络的控制权。
F5 SDAS是F5推出的应用交付领域的一个新概念，全称是Software Defined Application Service（软件定义的应用服务）。这是F5推出的一种由多个平台（BIG-IP、LineRate、Traffix）组成的弹性架构，可提供统一、可编程的设备、网络和应用服务。F5 SDAS是下一代应用服务交付模式。F5 SDAS充分利用了F5的创新技术，包括可扩展性模式、可编程性以及数据平面与控制平面的内在分离，从而创建一个独特的应用服务架构，能够把F5应用交付服务的优势延伸到所有的应用，而不论其在何处。F5 SDAS架构为构建有弹性的应用服务奠定了基础。ScaleN技术在平台层上实现了按需应用和运行可扩展性。这意味着，这种架构可以部署在硬件、软件和虚拟系统的组合之中，而且可以超越数据中心边界进入云计算环境，因为该平台提供了在动态环境中扩展和管理服务所需的弹性和运行一致性。
F5 SDAS由三个主要组件构成：
•应用服务平台。该服务平台支持在控制路径及数据路径方面的可编程性。它是可延伸的，能够支持创建新服务。
•应用服务架构。该架构提供了多项核心服务，如可扩展性、服务隔离、多租户以及与网络的集成。
•应用服务。F5 SDAS的核心是一系列面向应用交付的丰富服务。
可编程性是SDN模式的主要特点，能够支持运营可延伸性。F5 SDAS支持数据路径和控制路径的可编程性，能够确保应用服务以及应用服务架构的可延伸性。在功能上，F5平台提供了一套插件架构，通过它可以添加额外的服务。多年来，F5已经使用这种架构延伸了多种应用服务，包括负载均衡、安全的远程访问、应用加速和优化以及应用交付防火墙。应用服务是发布周期的重要组成部分，持续的交付能够通过一致的、可预测的、可重复的部署自动化来缩短发布周期时间并降低风险。

SDAS不是 SDN 的替代物，而是与其形成互补；它在 4-7 层提供了 SDN 在 2/3 层提供的功能和优势。

seikoman

SDN从目前来看，应该在短期内不能完全替代传统防火墙的作用。但是SDN的作用也在不断被完善。
全球领先的应用交付厂商——F5，推出了许多可以与SDN相结合的解决方案。
F5 Synthesis是F5在近期推出的下一代应用服务交付模式Synthesis新融合架构，这是一个无限制交付应用服务的全新架构愿景，借助一个高性能的服务架构，它将为企业提供安全、快速、可靠的应用。作为一种新的架构愿景，Synthesis全面兼顾了销售、市场、服务、产品管理和产品开发等各个领域，这是F5向市场和客户传达解决方案和产品发布信息的新途径。

IP__~@8_2