[发明专利]一种基于OpenFlow协议的SDN防火墙系统和方法

权利要求书

1.一种基于OpenFlow协议的SDN防火墙系统，其特征在于，所述系统包括：数据分析模块、防火墙规则表模块、OpenFlow控制器和OpenFlow交换机；

数据分析模块的功能是：用于分析数据信息，数据来自传统网络设备，也可以来自服务的日志信息和Openflow交换机的统计信息；数据分析模块对获取的数据进行特征分析，提取出关键数据生成Match Field和Degree，数据分析模块用于收集OpenFlow Swicth的统计信息和服务器的日志信息，在混杂网络环境下也能用来收集路由器交换机的日志和统计信息，数据分析模块对收集的信息进行分析处理，即：采用特征分析提取出攻击的发起方的数据，形成Match Field信息：dest_ip,dst_port,source_id,source_port,ip_proto_type；Degree信息：count-num，action，Match Field是根据特征提取得出攻击源信息，分别是目的IP地址、目的端端口号、源IP地址、源端口号，协议类型；Degree由二元组组成，其中count-num是用来反映Match Field的等级，即：值越大代表攻击越频繁，而action则定义对攻击源的数据包采取的行为，即：取值为modify，normal，drop；

防火墙规则表模块的功能是：接受从数据分析模块传送过来的Match Field与Degree，并且根据Degree更新附属状态表；Match Field和附属状态表生成Priority、Instructions和Timeouts填充防火墙规则表，最后防火墙规则表模块将防火墙规则下发到OpenFlow控制器中；

OpenFlow控制器的功能是：接收从防火墙规则表模块生成的规则信息，填充MatchField、Priority、Instructions、Timeouts字段，组成完整的流表信息，完成流表的下发；另外收集各个OpenFlow交换机的统计信息，统计信息经由数据通道发往数据分析模块；除此之外，OpenFlow控制器完成的功能与普通Controller无异；

OpenFlow交换机的功能是：接收OpenFlow控制器下发的流表,OpenFlow交换机不需要维护特殊信息，也不需要额外的职责，即：一切仍然按照它的原本模式工作；但需要将流表的统计信息发往OpenFlow控制器；

接受从数据分析模块传送过来的Match Field与Degree，并且根据Degree的count_num字段更新附属状态表，附属状态表是一系列Timer值的集合，每个定时器都对应rule-tables中的一条rule；Match Field和附属状态表的Timer值生成Priority、Instructions和Timeouts，这里这三个字段其实就是OpenFlow定义的Flow Entry的三个字段填充防火墙规则表，最后防火墙规则表模块将防火墙规则下发到OpenFlow控制器中。

2.根据权利要求1所述的一种基于OpenFlow协议的SDN防火墙系统，其特征在于，所述系统的SDN防火墙集成到数据分析模块和防火墙规则表模块中，通过数据分析模块提取出N元组数据信息；得出的元组信息填充防火墙规则表模块，并且在防火墙规则表模块中建立附属状态表，防火墙规则表模块生成适用于OpenFlow交换机的流表信息；其流表信息通过自定义的北向接口发往OpenFlow控制器；OpenFlow控制器通过packet-in消息将流表信息发往OpenFlow交换机，然后通过OpenFlow交换机提供的Flow Entry对网络数据包精细分析和行为控制。