一種應(yīng)用于軟件定義網(wǎng)絡(luò)的防火墻實現(xiàn)方法【
技術(shù)領(lǐng)域:
】[0001]本發(fā)明屬于計算機網(wǎng)絡(luò)領(lǐng)域�����,尤其涉及一種應(yīng)用于軟件定義網(wǎng)絡(luò)的防火墻實現(xiàn)方法�。【
背景技術(shù):
】[0002]軟件定義網(wǎng)絡(luò)(SoftwareDefinedNetwork,SDN)是一種新型網(wǎng)絡(luò)創(chuàng)新架構(gòu),是網(wǎng)絡(luò)虛擬化的一種實現(xiàn)方式�����。傳統(tǒng)IT架構(gòu)中的網(wǎng)絡(luò)���,根據(jù)業(yè)務(wù)需求部署上線以后����,如果業(yè)務(wù)需求發(fā)生變動����,重新修改相應(yīng)網(wǎng)絡(luò)設(shè)備(路由器��、交換機)上的配置是一件非常繁瑣的事情����。在互聯(lián)網(wǎng)/移動互聯(lián)網(wǎng)瞬息萬變的業(yè)務(wù)環(huán)境下,網(wǎng)絡(luò)的高穩(wěn)定與高性能還不足以滿足業(yè)務(wù)需求�,靈活性和敏捷性反而成為關(guān)鍵。SDN所做的事是將網(wǎng)絡(luò)設(shè)備上的控制權(quán)分離出來���,由集中的SDN控制器管理��,無須依賴底層網(wǎng)絡(luò)設(shè)備(路由器��、交換機)�����,屏蔽了來自底層網(wǎng)絡(luò)設(shè)備的差異����。而控制權(quán)是完全開放的,用戶可以自定義任何想實現(xiàn)的防火墻規(guī)則����,從而更加靈活和智能。[0003]傳統(tǒng)網(wǎng)絡(luò)交換機主要通過訪問控制列表(acesscontrollist)來實現(xiàn)防火墻功能�,ACL是交換機實現(xiàn)的一種數(shù)據(jù)包過濾機制,通過允許和拒絕特定的數(shù)據(jù)包進出網(wǎng)絡(luò)�,交換機可以對網(wǎng)絡(luò)訪問進行控制,有效保證網(wǎng)絡(luò)的安全運營�。但是在未來網(wǎng)絡(luò)應(yīng)用中這種傳統(tǒng)對交換機進行配置ACL的實現(xiàn)方法太過繁瑣,需要專業(yè)人士才能操作�,特別是網(wǎng)絡(luò)中交換機設(shè)備數(shù)量過多后,調(diào)整網(wǎng)絡(luò)的安全機制需要逐臺下發(fā)防火墻配置是一個繁重的過程�。軟件定義網(wǎng)絡(luò)技術(shù)的發(fā)展使得防火墻技術(shù)可以通過SDN控制器來統(tǒng)一規(guī)劃和實現(xiàn),SDN控制器北向接口API可以允許應(yīng)用程序來對網(wǎng)絡(luò)中交換機的防火墻規(guī)則進行配置和修改���?!?br/>發(fā)明內(nèi)容】[0004]本發(fā)明的目的是針對現(xiàn)有技術(shù)的不足,提出一種應(yīng)用于軟件定義網(wǎng)絡(luò)的防火墻實現(xiàn)方法�����。[0005]本發(fā)明公開了一種應(yīng)用于軟件定義網(wǎng)絡(luò)的防火墻實現(xiàn)方法���,所述防火墻包括初始化模塊�����、報文過濾模塊和報文處理模塊�;[0006]本發(fā)明中�����,對于不支持openflowl.3及以上的版本的交換機�,即不支持多級流表的交換機��,采用單級流表實現(xiàn)防火墻功能����,步驟如下:[0007]步驟1-1,啟動SDN控制器,SDN控制器與要注冊到SDN控制器的交換機互發(fā)openflow協(xié)議報文��,獲取所有交換機的信息���,交換機的信息包括交換機ID��;[0008]步驟1-2���,SDN控制器啟動已注冊交換機的防火墻功能,防火墻的初始化模塊寫一條優(yōu)先級最低�����,即優(yōu)先級為0的流表項到相應(yīng)交換機��,作為查不到流表的默認(rèn)匹配選項�����,該流表項的數(shù)據(jù)包匹配特征為全匹配����,即匹配所有報文,動作為丟棄所有經(jīng)過交換機的報文����;[0009]步驟1-3����,SDN控制器下發(fā)防火墻規(guī)則到已注冊交換機�����,防火墻的報文過濾模塊和報文處理模塊根據(jù)規(guī)則的類型進行相應(yīng)的操作��;[0010]對于支持openflowl.3及以上的版本的交換機�,即支持多級流表的交換機,采用兩級流表實現(xiàn)防火墻功能�����,步驟如下:[0011]步驟2-1��,啟動SDN控制器����,SDN控制器與要注冊到SDN控制器的交換機互發(fā)openflow協(xié)議報文���,獲取所有交換機的信息�����,交換機的信息包括交換機ID���;[0012]步驟2-2�����,SDN控制器啟動已注冊交換機的防火墻功能�����,防火墻的初始化模塊寫一條優(yōu)先級最低����,即優(yōu)先級為0的流表項到相應(yīng)交換機的第一個流表tableO�,作為查不到流表的默認(rèn)匹配選項tablemiss,該流表項的數(shù)據(jù)包匹配特征為全匹配�,即匹配所有報文,動作為丟棄所有報文����,然后寫一條優(yōu)先級最低,即優(yōu)先級為0的流表項到相應(yīng)交換機的第二個流表tablel�����,作為查不到流表的默認(rèn)匹配選項tablemiss,該流表項的數(shù)據(jù)包匹配特征為全匹配,即匹配所有報文���,動作為上送到SDN控制器�����;[0013]步驟2-3����,SDN控制器下發(fā)防火墻規(guī)則到已注冊交換機�,防火墻的報文過濾模塊和報文處理模塊根據(jù)規(guī)則的類型進行相應(yīng)的操作。[0014]步驟1-3中����,當(dāng)所述SDN控制器下發(fā)防火墻規(guī)則為允許轉(zhuǎn)發(fā)時,進行如下操作:[0015]步驟1-3-1�����,防火墻的報文過濾模塊寫一條上送SDN控制器的流表項到相應(yīng)交換機�,流表項優(yōu)先級指定為(1,round(M/2)-l)的任意整數(shù)值��,其中Μ表示交換機支持最大流表項數(shù)����,round()表示取整;[0016]步驟1-3-2���,交換機收到匹配上送流表項的報文后���,將報文上送到SDN控制器進行處理,處理過程為:SDN通過防火墻的報文處理模塊對報文MAC地址進行學(xué)習(xí)和查找��,然后生成轉(zhuǎn)發(fā)流表項并將該轉(zhuǎn)發(fā)流表項寫入對應(yīng)的交換機����,后續(xù)報文匹配轉(zhuǎn)發(fā)流表項進行轉(zhuǎn)發(fā),轉(zhuǎn)發(fā)流表項的優(yōu)先級寫為round(M/2)(確保比上送流表項的優(yōu)先級高)��,轉(zhuǎn)發(fā)流表項的hard_timeout硬超時設(shè)為Is��。[0017]步驟1-3中��,當(dāng)所述SDN控制器下發(fā)防火墻規(guī)則為丟棄時���,進行如下操作:[0018]步驟2-3-1�,防火墻的報文過濾模塊寫一條丟棄的流表項到相應(yīng)交換機,該丟棄流表項的優(yōu)先級指定為除了round(M/2)外的任意不定于零的整數(shù)值�����;[0019]步驟2-3-2�����,若存在允許轉(zhuǎn)發(fā)規(guī)則和該丟棄規(guī)則沖突�,則判斷二者優(yōu)先級,若丟棄規(guī)則優(yōu)先級更高��,則報文匹配丟棄流表項后丟棄�,步驟1-3-2中生成的轉(zhuǎn)發(fā)流表項消失(假如允許轉(zhuǎn)發(fā)規(guī)則先下發(fā),則轉(zhuǎn)發(fā)流表項已經(jīng)生成�����,在Is的緩沖時間內(nèi)報文還是匹配轉(zhuǎn)發(fā)流表項進行轉(zhuǎn)發(fā)而不會丟棄)��,因為報文不會匹配到上送的流表項上送處理����,也就不會再生成轉(zhuǎn)發(fā)流表項了。若丟棄規(guī)則優(yōu)先級更低,則報文按照如下流程處理:[0020]防火墻的報文過濾模塊寫一條上送SDN控制器的流表項到相應(yīng)交換機�����,流表項優(yōu)先級指定為(1���,round(M/2)-l)的任意整數(shù)值,其中Μ表示交換機支持最大流表項數(shù)�����,round()表示取整�;[0021]交換機收到匹配上送流表項的報文后,將報文上送到SDN控制器進行處理�,處理過程為:SDN控制器通過報文處理模塊對報文MAC地址進行學(xué)習(xí)和查找,然后生成轉(zhuǎn)發(fā)流表項并將該轉(zhuǎn)發(fā)流表項寫入對應(yīng)的交換機�,后續(xù)報文匹配轉(zhuǎn)發(fā)流表項進行轉(zhuǎn)發(fā),轉(zhuǎn)發(fā)流表項的優(yōu)先級寫為round(M/2)���,轉(zhuǎn)發(fā)流表項的硬超時設(shè)為Is�����。[0022]步驟1-3中��,當(dāng)所述SDN控制器下發(fā)防火墻規(guī)則為刪除時��,進行如下操作:[0023]若刪除的是丟棄規(guī)則���,防火墻的報文過濾模塊根據(jù)下發(fā)的規(guī)則信息到對應(yīng)交換機上查詢對應(yīng)的丟棄流表項����,查找到后刪除該流表項�����,所述規(guī)則信息包括數(shù)據(jù)包匹配域��、動作和交換機ID;[0024]若刪除的是允許轉(zhuǎn)發(fā)規(guī)則�,防火墻的報文過濾模塊根據(jù)下發(fā)的規(guī)則信息到對應(yīng)交換機上查詢對應(yīng)的上送流表項,查找到后刪除該流表項���,步驟1-3-2中生成的轉(zhuǎn)發(fā)流表項Is后消失��,且不會再生成(上送流表項已刪除����,報文不會再上送至SDN控制器)����。[0025]步驟2-3中����,當(dāng)所述SDN控制器下發(fā)防火墻規(guī)則為允許轉(zhuǎn)發(fā)時�,進行如下操作:[0026]步驟4-3-1,防火墻的報文過濾模塊寫一條上送SDN控制器的流表項到相應(yīng)交換機的第一個流表tableO�,該流表項跳轉(zhuǎn)到相應(yīng)交換機的第二個流表tablel;[0027]步驟4-3-2,交換機收到匹配上送流表項的報文后�,將報文上送到SDN控制器進行處理����,處理過程為:SDN控制器通過防火墻的報文處理模塊對報文MAC地址進行學(xué)習(xí)和查找,然后生成轉(zhuǎn)發(fā)流表項并將該轉(zhuǎn)發(fā)流表項寫入對應(yīng)的交換機的第二個流表tablel�,后續(xù)報文匹配2級流表進行轉(zhuǎn)發(fā),即匹配對應(yīng)的交換機的第一個流表tableO的上送流表項和第二個流表tablel的轉(zhuǎn)發(fā)流表項(最終執(zhí)行動作為從物理端口轉(zhuǎn)發(fā)��,因為tablel和tableO的被匹配流表項動作類型都為0FPAT_0UTPUT����,那么tablel的流表項就會覆蓋原有tableO的流表項動作),轉(zhuǎn)發(fā)流表項的idle_timeout空閑超時設(shè)為Is�����。[0028]步驟2-3中,當(dāng)所述SDN控制器下發(fā)防火墻規(guī)則為丟棄時��,進行如下操作:[0029]步驟5-3-1�����,防火墻的報文處理模塊寫一條丟棄的流表項到相應(yīng)交換機的第一個流表tableO����;[0030]步驟5-3-2,若允許轉(zhuǎn)發(fā)規(guī)則和該丟棄規(guī)則沖突�,判斷二者優(yōu)先級,若丟棄規(guī)則優(yōu)先級更高����,則報文匹配相應(yīng)交換機的第一個流表tableO的丟棄流表項后丟棄,步驟4-3-2中生成的相應(yīng)交換機的第二個流表tablel的轉(zhuǎn)發(fā)流表項消失�����;(假如“允許轉(zhuǎn)發(fā)”規(guī)則先下發(fā)�,則轉(zhuǎn)發(fā)流表項已經(jīng)生成,因為報文不會匹配到tableO的上送的流表項�,也無法goto到tablel的轉(zhuǎn)發(fā)流表項,Is后tablel的轉(zhuǎn)發(fā)流表項就會消失����。)若丟棄規(guī)則優(yōu)先級更低��,貝1J報文根據(jù)以下流程處理:[0031]防火墻的報文處理模塊寫一條上送SDN控制器的流表項到相應(yīng)交換機的第一個流表tableO���,該流表項跳轉(zhuǎn)到相應(yīng)交換機的第二個流表tablel;[0032]交換機收到匹配上送流表項的報文后,將報文上送到SDN控制器進行處理�,處理過程為:SDN控制器通過報文處理模塊對報文MAC地址進行學(xué)習(xí)和查找,然后生成轉(zhuǎn)發(fā)流表項并將該轉(zhuǎn)發(fā)流表項寫入對應(yīng)的交換機的第二個流表tablel����,后續(xù)報文匹配2級流表進行轉(zhuǎn)發(fā),即匹配對應(yīng)的交換機的第一個流表tableO的上送流表項和對應(yīng)的交換機的第二個流表tablel的轉(zhuǎn)發(fā)流表項�,轉(zhuǎn)發(fā)流表項的空閑超時設(shè)為Is����。[0033]步驟2-3中,當(dāng)所述SDN控制器下發(fā)防火墻規(guī)則為刪除時��,進行如下操作:[0034]若刪除的是丟棄規(guī)則���,防火墻的報文過濾模塊根據(jù)下發(fā)的規(guī)則信息到對應(yīng)交換機的第一個流表tableO上查詢對應(yīng)的丟棄流表項���,查找到后刪除該流表項����;[0035]若刪除的是允許轉(zhuǎn)發(fā)規(guī)則�,防火墻的報當(dāng)前第1頁1 2 3 4