本发明专利技术提供一种软件定义网络中的防火墙系统及其实现方法,至少包括:Openflow交换机、防火墙模块和控制器,其中,所述Openflow交换机和防火墙模块均与控制器连接,所述Openflow交换机再与通信终端相连。本发明专利技术的软件定义网络中的防火墙系统将防火墙以模块形式嵌入在整个网络中,利用控制器对于全网的统一管控能力,实现对整个网络中所有数据流的灵活调配和统一管理,突破了防火墙的发展瓶颈;同时,本发明专利技术的软件定义网络中的防火墙系统的管控都集中于控制器,整网防护措施的升级与修改无需对设备逐一操作,缩短了部署的时间。
【技术实现步骤摘要】
【专利摘要】本专利技术提供,至少包括:Openflow交换机、防火墙模块和控制器,其中,所述Openflow交换机和防火墙模块均与控制器连接,所述Openflow交换机再与通信终端相连。本专利技术的软件定义网络中的防火墙系统将防火墙以模块形式嵌入在整个网络中,利用控制器对于全网的统一管控能力,实现对整个网络中所有数据流的灵活调配和统一管理,突破了防火墙的发展瓶颈;同时,本专利技术的软件定义网络中的防火墙系统的管控都集中于控制器,整网防护措施的升级与修改无需对设备逐一操作,缩短了部署的时间。【专利说明】
本专利技术涉及网络
,具体地,涉及一种软件定义网络(Software DefinedNetwork,,SDN)中的防火墙系统及其实现方法。
技术介绍
随着互联网技术的不断发展和进步,无论是人们的日常生活还是生产方面都与互联网息息相关。因此,网络安全问题也成为了大家关注的焦点。为了解决网络的安全问题,现有技术中普遍采用防火墙的方式来实现安全机制。 防火墙是建立在内外网络边界上的过滤封锁机制,内部网络被认为是安全和可信赖的,而外部网络被认为是不安全和不可信赖的。防火墙的作用是防止不希望的、未经授权的通信进出被保护的内部网络,通过边界控制强化内部网络的安全政策。 软件定义网络SDN是一种新的网络架构,其核心技术Openf low通过将网络设备控制面与数据面分离开来,实现了控制权和转发权的相互独立,从而灵活控制数据流。在SDN网络中,由作为逻辑控制单元的控制器来对网络进行统一的集中管控。网络的部署、运维、管理等都交由控制器完成,从而解决了网络中分散设备的运行管理问题。同时SDN网络也提供了可编程接口,按业务所需设计的软件能够直接运行在控制器上,使得全网的更新和升级能够统一完成。 SDN技术消除了底层设备的差异,使得接入设备变得复杂多样,同时也使得原本分布在各种设备上的防御机制之间难以协调统一,导致无法形成完整的安全体系。上述安全问题对SDN的应用和发展带来了阻碍。如何实现对SDN网络的安全防护已经成为本领域技术人员亟待解决的技术课题。
技术实现思路
鉴于以上所述现有技术的缺点,本专利技术的目的在于提供,其能够从根本解决全网分布式防御机制难以统一的问题,有效地提高了网络应对安全问题的能力。 为实现上述目的及其他相关目的,本专利技术提供一种软件定义网络中的防火墙系统,至少包括:0penflow交换机、防火墙模块和控制器,其中,所述Openflow交换机和防火墙模块均与控制器连接,所述Openflow交换机再与通信终端相连。 根据权上述的软件定义网络中的防火墙系统,其中:所述控制器包括包过滤模块和REST API服务模块;其中,所述包过滤模块用于根据过包滤规则处理数据包;所述RESTAPI服务模块用于将所述控制器的API可编程接口封装成REST API形式。 进一步地,根据权上述的软件定义网络中的防火墙系统,其中:所述包过滤规则定义了包过滤模块接收或者拒绝数据包的具体规则;所述数据包的头部包括源地址、目标地址、通信协议、协议端口号相关参数;所述包过滤规则是数据包的头部参数的任意组合,用于匹配数据包的头部。 根据权上述的软件定义网络中的防火墙系统,其中:所述防火墙模块利用软件定义网络中的所述控制器提供的网络拓扑结构、网络状态和网络信息,分析网络的安全需求并制定相应的安全策略,自组成防火墙体系。 根据权上述的软件定义网络中的防火墙系统,其中:所述Openflow交换机包括Openflow流表和转发模块;所述Openflow流表用于根据所述控制器下发的流表项规则匹配所接收的数据包,若是匹配成功,就将数据包交给转发模块;若是流表耗尽后仍然无法匹配,则视为异常数据包交由控制器处理;所述转发模块用于将数据包转发至主机、其他交换机或是控制器。 进一步地,根据权上述的软件定义网络中的防火墙系统,其中:所述Openflow流表由所述控制器通过Openflow协议来部署、修改和管理。 同时本专利技术还提供一种上述软件定义网络中的防火墙系统的实现方法,其包括以下步骤: 步骤1:0penflow流表匹配Openflow交换机接收到的数据包,若匹配成功,则将数据包交给转发模块进行转发;若是匹配不成功,则向控制器发送异常消息,进入步骤2 ; 步骤2:控制器分析接收到的异常消息,向防火墙模块发出处理请求; 步骤3:防火墙模块决定是否立即接收请求;若是接收,防火墙模块返回确认消息,进入步骤4 ;反之,防火墙模块将事件挂起,等待处理; 步骤4:控制器接收到确认消息后,从Openflow交换机中接收数据包再进行拆包检验,并将网络信息和数据包的头部信息提交给防火墙模块; 步骤5:防护墙模块根据控制器提交的网络信息和数据包的头部信息,分析当前网络安全需求,制定包过滤规则; 步骤6:防火墙模块下发新包过滤规则至控制器的包过滤模块; 步骤7:包过滤模块根据防火墙模块决策的规则处理数据包;同时,控制器将包过滤规则转变为Openflow协议支持的流表项规则,下发至Openflow交换机,指明Openflow交换机对于相同数据包的操作动作。 根据上述的软件定义网络中的防火墙系统的实现方法,其中:步骤3中,所述网络信息包括网络拓扑、网络运行状态。 根据上述的软件定义网络中的防火墙系统的实现方法,其中:步骤3中,防火墙模块根据安全事件的急缓程度以及自身的工作负荷决定是否立即接收请求。 如上所述,本专利技术的软件定义网络中的防火墙系统及其实现方法,具有以下有益效果: (I)防火墙系统的软件模式可控、可变、可信; (2)防火墙系统的部署、迁移、配置、升级、修改等只需在控制器上进行统一操作,也无需额外的防火墙设备; (3)实现了全网分布式防御机制的统一调度、配置和融合,提高了网络安全性能。 【专利附图】【附图说明】 图1显示为本专利技术的软件定义网络中的防火墙系统的实体结构示意图; 图2显示为本专利技术的软件定义网络中的防火墙系统的框架结构示意图; 图3显示为本专利技术的软件定义网络中的防火墙系统的实现方法的流程图。 元件标号说明 I 防火墙模块 2 控制器 3 Openflow 交换机 【具体实施方式】 以下通过特定的具体实例说明本专利技术的实施方式,本领域技术人员可由本说明书所揭露的内容轻易地了解本专利技术的其他优点与功效。本专利技术还可以通过另外不同的【具体实施方式】加以实施或应用,本说明书中的各项细节也可以基于不同观点与应用,在没有背离本专利技术的精神下进行各种修饰或改变。 需要说明的是,本实施例中所提供的图示仅以示意方式说明本专利技术的基本构想,遂图式中仅显示与本专利技术中有关的组件而非按照实际实施时的组件数目、形状及尺寸绘制,其实际实施时各组件的型态、数量及比例可为一种随意的改变,且其组件布局型态也可能更为复杂。 参照图1和图2,本专利技术的软件定义网络中的防火墙系统包括Openflow交换机 3、防火墙模块I和控制器2,其中,Openflow交换机3和防火墙模块I均与控制器2连接,Openflow交换机3再与通信终端相连。 控制器2包括包过滤模块和REST API服务模块。其中,包过滤模块根据包过滤规则处本文档来自技高网...
【技术保护点】
一种软件定义网络中的防火墙系统,其特征在于,至少包括:Openflow交换机、防火墙模块和控制器,其中,所述Openflow交换机和防火墙模块均与控制器连接,所述Openflow交换机再与通信终端相连。
【技术特征摘要】
【专利技术属性】
技术研发人员:成亚男,李捷,褚灵伟,董晨,陆肖元,
申请(专利权)人:上海宽带技术及应用工程研究中心,
类型:发明
国别省市:上海;31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。