一种基于软件定义网络的虚拟防火墙优化方法及系统技术方案

技术编号：23609144 阅读：42 留言：0更新日期：2020-03-28 09:04

本发明专利技术公开了一种基于软件定义网络的虚拟防火墙优化方法及系统，通过SDN控制器下发ARP响应流表对SDN交换机进行控制的方式，实现防火墙集群的IP地址/弹性IP地址实的统一ARP响应，解决防火墙集群存在的Mac地址冲突或Mac地址漂移问题，无需防火墙集群或物理数据中心网络做任何的额外调整，同时SDN控制器通过监控采集防火墙的负载情况，实现以云主机为负载因子的多活负载防火墙集群。通过本发明专利技术公开的技术方案，可以最大程度上减少防火墙集群的配置，实现单体防火墙在无额外的配置下简易构建防火墙集群，且以云主机为负载因子，通过SDN控制流表实现负载均衡的方式可有效地避免防火墙集群节点间的复杂状态同步问题与防火墙集群间的脑裂问题。

An optimization method and system of virtual firewall based on Software Defined Network

全部详细技术资料下载

【技术实现步骤摘要】
一种基于软件定义网络的虚拟防火墙优化方法及系统
本专利技术属于虚拟防火墙
，具体涉及一种基于软件定义网络的虚拟防火墙优化方法及系统。
技术介绍
SDN网络，也即软件定义网络技术，通过SDN控制器和SDN交换机来实现控制流程和转发流程的分离，实现网络流量的灵活配置，SDN网络的架构设计中，包括SDN控制器和SDN交换机，其中：SDN控制器与SDN交换机采用OpenFlow协议进行通信。SDN控制器通过接收SDN交换机的Openflow首包信息分析主机的网络行为，SDN控制器根据Openflow首包信息以及网络配置生成流表下发到SDN交换机，SDN交换机依据SDN控制器下发的流表进行网络处理。在云计算场景下，网络边界的模糊化、威胁种类的变化以及大流量的攻击，对数据中心网络产生巨大冲击。业界普遍采用虚拟化防火墙方式实现云网络边界安全防御，通过创建一台虚拟机运行防火墙程序，通过Vlan或者SDN引流的方式实现。这一技书存在的局限性在于，随着云计算的规模不断增加，单体防火墙的处理能力不足以满足大规模、高并发网络的性能要求，而虚拟防火墙的受限于虚拟化技术，单体性能优化空间小。为解决这一问题，现有技术的虚拟防火墙集群可横向扩展从而实现提升处理能力。在云计算场景下，现有的业界防火墙集群的方式技术普遍采用一主多备的模式，这样的方式同一时间只有一台防火墙工作，无法解决防火墙的性能单点问题。另外部署防火墙技术本身支持集群架构，但需要特定硬件网络设备的多链路配置辅助实现，这样的方式配置复杂、容错能力差、实施成本高，难以...

【技术保护点】
1.一种基于软件定义网络的虚拟防火墙优化方法，其特征在于，包括以下步骤：/nSDN控制器控制SDN交换机回复来自云主机的对防火墙集群IP地址的ARP寻址报文，以将防火墙集群IP地址的Mac地址设置为全局统一的Mac地址；/nSDN控制器控制SDN交换机回复来自外部网络的对防火墙集群弹性IP地址的ARP寻址报文，以将防火墙集群弹性IP地址的Mac地址设置为独立统一的Mac地址；/nSDN控制器控制SDN交换机将来自云主机的对外部网络的访问流量转发至云主机关联的防火墙集群，其中，在所述云主机没有关联防火墙集群时，SDN控制器选择一空闲的防火墙集群作为所述云主机关联的防火墙集群；/nSDN控制器控制SDN交换机将来自外部网络的对云主机的访问流量转发至云主机关联的防火墙集群，其中，在所述云主机没有关联防火墙集群时，SDN控制器选择一空闲的防火墙集群作为所述云主机关联的防火墙集群。/n

【技术特征摘要】
1.一种基于软件定义网络的虚拟防火墙优化方法，其特征在于，包括以下步骤：
SDN控制器控制SDN交换机回复来自云主机的对防火墙集群IP地址的ARP寻址报文，以将防火墙集群IP地址的Mac地址设置为全局统一的Mac地址；
SDN控制器控制SDN交换机回复来自外部网络的对防火墙集群弹性IP地址的ARP寻址报文，以将防火墙集群弹性IP地址的Mac地址设置为独立统一的Mac地址；
SDN控制器控制SDN交换机将来自云主机的对外部网络的访问流量转发至云主机关联的防火墙集群，其中，在所述云主机没有关联防火墙集群时，SDN控制器选择一空闲的防火墙集群作为所述云主机关联的防火墙集群；
SDN控制器控制SDN交换机将来自外部网络的对云主机的访问流量转发至云主机关联的防火墙集群，其中，在所述云主机没有关联防火墙集群时，SDN控制器选择一空闲的防火墙集群作为所述云主机关联的防火墙集群。

2.根据权利要求1所述的基于软件定义网络的虚拟防火墙优化方法，其特征在于，所述SDN控制器控制SDN交换机回复来自云主机的对防火墙集群IP地址的ARP寻址报文，以将防火墙集群IP地址的Mac地址设置为全局统一的Mac地址的步骤包括：
SDN交换机接收云主机ARP寻址报文，并将所述云主机ARP寻址报文发送至SDN控制器；所述云主机ARP寻址报文为云主机发送的对防火墙集群进行ARP寻址的报文；
所述SDN控制器接收所述云主机ARP报文并提取出目标IP地址，为所述目标IP地址生成对应的防火墙集群统一MAC地址，并下发ARP响应流表至所述SDN交换机，使得所述SDN交换机回复所述云主机将所述目标IP地址对应的防火墙集群MAC地址设置成所述防火墙集群统一MAC地址。

3.根据权利要求1所述的基于软件定义网络的虚拟防火墙优化方法，其特征在于，所述SDN控制器控制SDN交换机回复来自外部网络的对防火墙集群弹性IP地址的ARP寻址报文，以将防火墙集群弹性IP地址的Mac地址设置为独立统一的Mac地址的步骤包括：
所述SDN交换机接收外部ARP寻址报文，并将所述外部ARP寻址报文发送至SDN控制器；所述外部ARP寻址报文为外部网络发送的对防火墙集群进行ARP寻址的报文；
所述SDN控制器接收所述外部ARP报文并提取出目标弹性IP地址，确定所述目标弹性IP地址对应的防火墙集群独立MAC地址，并下发ARP响应流表至所述SDN交换机，使得所述SDN交换机回复所述外部网络将所述目标弹性IP地址对应的防火墙集群MAC地址设置成所述防火墙集群独立MAC地址。

4.根据权利要求1所述的基于软件定义网络的虚拟防火墙优化方法，其特征在于，所述SDN控制器控制SDN交换机将来自云主机的对外部网络的访问流量转发至云主机关联的防火墙集群的步骤包括：
SDN交换机接收来自云主机对外部网络的云主机通信报文，并将所述云主机通信报文发送至SDN控制器；
所述SDN控制器接收所述云主机通信报文并提取出云主机IP地址，并通过关联信息表查询所述云主机IP地址所关联的防火墙集群，若所述云主机IP没有关联防火墙集群，则获取防火墙集群负载情况并选择一空闲的防火墙集群作为所述云主机IP地址所关联的防火墙集群；
所述SDN控制器下发ARP响应流表至所述SDN交换机，使得所述SDN交换机转发所述云主机通信报文对应的网络访问流量至所述云主机IP地址所关联的防火墙集群。

5.根据权利要求1所述的基于软件定义网络的虚拟防火墙优化方法，其特征在于，所述SDN控制器控制SDN交换机将来自外部网络的对云主机的访问流量转发至云主机关联的防火墙集群的步骤包括：
SDN交换机接收来自外部网络对云主机的外部访问报文，并将所述外部访问报文发送至SDN控制器；
所述SDN控制器接收所述外部访问报文并提取出欲访问的云主机IP地址，并通过关联信息表查询所述云主机IP地址所关联的防火墙集群，若所述云主机IP没有关联防火墙集群，则获取防火墙集群负载情况并选择一空闲的防火墙集群作为所述云主机IP地址所关联的防火墙集群；
所述SDN控制器下发ARP响应流表至所述SDN交换机，使得所述SDN交换机转发所述外部访问报文对应的网络访问流量至所述云主机IP地址所关联的防火墙集群。

6.一种基于软件定义网络的虚拟防火墙优化系统，...

【专利技术属性】
技术研发人员：刘忻，林冬艺，
申请(专利权)人：广州市品高软件股份有限公司，
类型：发明
国别省市：广东;44

全部详细技术资料下载我是这个专利的主人