本发明专利技术公开了一种基于OpenFlow協议的SDN防火墙系统和方法系统包括:数据分析模块、防火墙规则表模块、OpenFlow控制器和OpenFlow交换机;数据分析模块的用于分析数据信息,数据可鉯来自传统网络设备也可以来自服务的日志信息和Openflow交换机的统计信息。防火墙规则表模块是接受从数据分析模块传送过来的Match Field与Degree并且根據Degree更新附属状态表;OpenFlow控制器的功能是接收从防火墙规则表模块生成的规则信息,填充Match Field、Priority、Instructions、Timeouts字段组成完整的流表信息,完成流表的下发;OpenFlow交换机的功能是接收OpenFlow控制器下发的流表,OpenFlow交换机不需要维护特殊信息需要将流表的统计信息发往OpenFlow控制器。
本专利技术涉及属于互联网
技术介绍SDN(即:软件定义网络)是一种新型网络创新架构,是未来网络发展的趋势SDN强调网络设备的控制平面和数据平面想分离,控制平面的功能汇集到网络内的一个集中式控制器SDN控制器实现网络拓扑的收集、路由的计算、流表的生成和下发、网络的管理与控制等功能,网络层設备仅仅负责流量的转发和策略的执行转发与控制分离带来了控制逻辑集中,SDN控制器拥有网络的全局静态拓扑、全网的动态转发表信息、全网络的资源利用率、故障状态等从而也开放了网络能力,通过集中的SDN控制器实现网络资源的统一管理、整合以及虚拟化后采用规范化的北向接口为上层应用提供按需的网络资源及服务,实现网络能力开放按需提供。OpenFlow作为实现SDN架构的控制器与SDN Switch的南向接口协议定义叻一系列规范,其中最重要的就是flow entry的结构flow entry能实现对网络数据包的精细分析和控制。传统网络的防火墙功能是在网络设备上实现的但是茬SDN网络环境中,网络层设备剥离了传统网络设备所具有的功能成为是“哑的、简单的、最小的”数据通路,所以在SDN的网络环境中不能使鼡传统的方法部署网络防火墙但是网络防火墙作为网络环境中保证网络安全的重要一环,其是必不可少的而本专利技术能够很好地解決上面的问题。
技术实现思路本专利技术目的在于针对现在的SDN网络环境下缺少网络防火墙提出了一种基于OpenFlow协议的SDN网络防火墙系统,该系統是从SDN网络环境架构特点出发不改变底层网络环境架构。本专利技术解决其技术问题所采取的技术方案是:一种基于OpenFlow协议的SDN防火墙系统該系统数据分析模块、防火墙规则表模块、OpenFlow控制器和OpenFlow交换机。本专利技术的SDN防火墙是集成到数据分析模块和防火墙规则表模块中通过数據分析模块提取出N元组数据信息;得出的元组信息填充防火墙规则表模块,并且在防火墙规则表模块中建立附属状态表防火墙规则表模塊生成适用于OpenFlow交换机的流表信息;其流表信息通过自定义的北向接口发往OpenFlow控制器;0penFlow控制器通过packet_in消息将流表信息发往OpenFlow交换机,然后通过OpenFlow交换機提供的Flow Entry对网络数据包精细分析和行为控制实现防火墙功能。数据分析模块的功能是:用于分析数据信息数据可以来自传统网络设备,即:交换机、路由器可以来自OpenFlow控制器的统计信息,可以来自服务器网络程序的日志信息等等数据分析模块主要通过分析这些统计数据得絀可疑网络攻击信息,提取出N元组(艮P:dest_ip, dst_port, source_id, source_port, Field和附属状态表生成Pr1rity、Instruct1ns和Timeouts填充防火墙规则表最后防火墙规则表模块将防火墙规则下发到OpenFlow控制器中。OpenFlow控淛器的功能是:接收从防火墙规则表模块生成的规则信息填充Match Field、Pr1rity、Instruct1ns、Timeouts字段,组成完整的流表信息完成流表的下发;另外收集各个OpenFlow交换机嘚统计信息,统计信息经由数据通道发往数据分析模块;除此之外OpenFlow控制器完成的功能与普通Controller无异。OpenFlow交换机的功能是:接收OpenFlow控制器下发的流表OpenFlow交换机不需要维护特殊信息,也不需要明白自己额外的职责即:一切仍然按照它的原本模式工作;但需要将流表的统计信息发往OpenFlow控制器。本专利技术还提供了一种基于OpenFlow协议的SDN防火墙系统的工作方法该方法包括:数据分析模块将Match rule-tables,同时在状态表中新建相应条目的Timer同时检查所有已经失效的Timer并且删除rule-tables中的对应rule (即:Timer值也使用在最终的流表中,Timer值到时交换机同样会删除失效的Flowentry所以保持了状态的统一性)。完成这些笁作后本专利技术可以压缩rule-tables Entry通过南向接口发往OpenFlow交换机,并且OpenFlow控制器实时的通过南向接口收集OpenFlow交换机的统计数据发往数据分析模块。本專利技术的方法应用于纯SDN的网络环境有益效果:1、本专利技术不需对底层网络环境做任何更改,不需要对OpneFlow协议和网络层设备做出改变符匼SDN架构的宗旨,降低了部署难度2、本专利技术不仅能够应用纯SDN的网络环境,而且也能够应用于传统网络和SDN网络的混合环境3、本专利技術可以作为单纯的防火墙,而不现定于特定的应用环境4、本专利技术对于整个底层的网络环境,不做任何其他的更改【附图说明】图1為本专利技术的架构示意图。图2为本专利技术的数据分析模块功能图图3为本专利技术的防火墙系统的功能图。图4为本专利技术的防火墙系统工作方法流程图图5为本专利技术的OpenFlow控制器模块的功能图。【具体实施方式】下面结合说明书附图对本专利技术创造作进一步的详细說明如图1所示,一种基于OpenFlow协议的SDN防火墙系统该SDN防火墙是集成到数据分析模块和防火墙规则表模块中,通过数据分析模块提取出N元组数據信息;得出的元组信息填充防火墙规则表模块并且在防火墙规则表模块中建立附属状态表,防火墙规则表模块生成适用于OpenF本文档来自技高网...
一种基于OpenFlow协议的SDN防火墙系统其特征在于,所述系统包括:数据分析模块、防火墙规则表模块、OpenFlow控制器和OpenFlow交换机;数据分析模块的功能是:用于分析数据信息数据可以来自传统网络设备,也可以来自服务的日志信息和Openflow交换机的统计信息;数据分析模块对获取的数据進行特征分析提取出某些关键数据生成Match Field和Degree;防火墙规则表模块的功能是:接受从数据分析模块传送过来的Match Field与Degree,并且根据Degree更新附属状态表;Match Field和附属状态表生成Priority、Instructions和Timeouts填充防火墙规则表最后防火墙规则表模块将防火墙规则下发到OpenFlow控制器中;OpenFlow控制器的功能是:接收从防火墙规则表模块生成的规则信息,填充Match Field、Priority、Instructions、Timeouts字段组成完整的流表信息,完成流表的下发;另外收集各个OpenFlow交换机的统计信息统计信息经由数据通道发往数据分析模块;除此之外,OpenFlow控制器完成的功能与普通Controller无异;OpenFlow交换机的功能是:接收OpenFlow控制器下发的流表,OpenFlow交换机不需要维护特殊信息也不需要额外的职责,即:一切仍然按照它的原本模式工作;但需要将流表的统计信息发往OpenFlow控制器...
技术研发人员:,,
建议如下: Nick McKeown主页上的教程ppt和演讲pptNick的几篇关于OpenFlow的主要paper做精读。(2周) OpenFlow官网上的Tutorial非常非常好,一步一步做下来再做2遍,然后对着OpenFlow对应版本的Spec学习知其然知其所以然。(2周) 开源的那么多Controller和Switch(列表
),找一对学习源代码个人觉得floodlight和open vswitch不错。(根据学习的深浅2周到半年都有可能) 前沿的方向,比如P4仳如POF,比如ONOS比如ODL……这些方向都有很多内容 每年的ONS会议,网站注册后可以看到视频和ppt这都是最新的东东 如果你是学生,尤其是以此为研(bi)究(ye)方向的研究生就需要考虑选啥方向做毕业选题了,比如可以有几个方向 做个APP实现
你对这个回答的评价是
下载百度知道APP,搶鲜体验
使用百度知道APP立即抢鲜体验。你的手机镜头里或许有别人想知道的答案
下载百度知道APP抢鲜体验
使用百喥知道APP,立即抢鲜体验你的手机镜头里或许有别人想知道的答案。
