[发明专利]一种基于OpenFlow协议的SDN防火墙系统和方法

说明书

本发明公开了一种基于OpenFlow协议的SDN防火墙系统和方法，系统包括：数据分析模块、防火墙规则表模块、OpenFlow控制器和OpenFlow交换机；数据分析模块的用于分析数据信息，数据可以来自传统网络设备，也可以来自服务的日志信息和Openflow交换机的统计信息。防火墙规则表模块是接受从数据分析模块传送过来的Match Field与Degree，并且根据Degree更新附属状态表；OpenFlow控制器的功能是接收从防火墙规则表模块生成的规则信息，填充Match Field、Priority、Instructions、Timeouts字段，组成完整的流表信息，完成流表的下发；OpenFlow交换机的功能是接收OpenFlow控制器下发的流表,OpenFlow交换机不需要维护特殊信息，需要将流表的统计信息发往OpenFlow控制器。

技术领域

本发明涉及一种基于OpenFlow协议的SDN防火墙系统和方法，属于互联网技术领域。

背景技术

SDN(即：软件定义网络)是一种新型网络创新架构，是未来网络发展的趋势。SDN强调网络设备的控制平面和数据平面想分离，控制平面的功能汇集到网络内的一个集中式控制器。SDN控制器实现网络拓扑的收集、路由的计算、流表的生成和下发、网络的管理与控制等功能，网络层设备仅仅负责流量的转发和策略的执行。

转发与控制分离带来了控制逻辑集中，SDN控制器拥有网络的全局静态拓扑、全网的动态转发表信息、全网络的资源利用率、故障状态等，从而也开放了网络能力，通过集中的SDN控制器实现网络资源的统一管理、整合以及虚拟化后，采用规范化的北向接口为上层应用提供按需的网络资源及服务，实现网络能力开放，按需提供。

OpenFlow作为实现SDN架构的控制器与SDN Switch的南向接口协议，定义了一系列规范，其中最重要的就是flow entry的结构，flow entry能实现对网络数据包的精细分析和控制。

传统网络的防火墙功能是在网络设备上实现的，但是在SDN网络环境中，网络层设备剥离了传统网络设备所具有的功能，成为是“哑的、简单的、最小的”数据通路，所以在SDN的网络环境中不能使用传统的方法部署网络防火墙，但是网络防火墙作为网络环境中保证网络安全的重要一环，其是必不可少的。而本发明能够很好地解决上面的问题。

发明内容

本发明目的在于针对现在的SDN网络环境下缺少网络防火墙，提出了一种基于OpenFlow协议的SDN网络防火墙系统，该系统是从SDN网络环境架构特点出发，不改变底层网络环境架构。

本发明解决其技术问题所采取的技术方案是：一种基于OpenFlow协议的SDN防火墙系统，该系统数据分析模块、防火墙规则表模块、OpenFlow控制器和OpenFlow交换机。本发明的SDN防火墙是集成到数据分析模块和防火墙规则表模块中，通过数据分析模块提取出N元组数据信息；得出的元组信息填充防火墙规则表模块，并且在防火墙规则表模块中建立附属状态表，防火墙规则表模块生成适用于OpenFlow交换机的流表信息；其流表信息通过自定义的北向接口发往OpenFlow控制器；OpenFlow控制器通过packet-in消息将流表信息发往OpenFlow交换机，然后通过OpenFlow交换机提供的Flow Entry对网络数据包精细分析和行为控制，实现防火墙功能。

数据分析模块的功能是：用于分析数据信息，数据可以来自传统网络设备，即：交换机、路由器，可以来自OpenFlow控制器的统计信息，可以来自服务器网络程序的日志信息等等，数据分析模块主要通过分析这些统计数据得出可疑网络攻击信息，提取出N元组(即：dest_ip,dst_port,source_id,source_port,ip_proto_type等)信息，组成Match Field，同时生成Degree(即：n元组数据)；Degree与Match Field同时发往防火墙规则表模块。