軟件定義網絡（Software-Defined Networking,SDN）技術的出現(xiàn)為網絡安全提供了全新的研究思路,軟件定義安全（Software-Defined Security,SDS）技術將安全數(shù)據(jù)平面與安全控制平面分離,通過軟件編程與開放接口實現(xiàn)更加靈活的網絡安全系統(tǒng)。防火墻（Firewall）作為一種重要的網絡安全防護技術,能夠對網絡中的數(shù)據(jù)包進行過濾和攔截,然而傳統(tǒng)基于硬件設備實現(xiàn)的防火墻往往受到物理限制,在一個網絡中需要在多個網絡位置安裝防火墻設備,并且難以與其他安全實體協(xié)同。本文基于防火墻技術的原理,結合SDN技術在網絡安全應用上的優(yōu)勢,設計并實現(xiàn)了一種軟件定義防火墻系統(tǒng)。該系統(tǒng)具有全網訪問控制、流量實時監(jiān)控和安全策略動態(tài)更新的優(yōu)勢。系統(tǒng)提供兩種不同類型的防火墻安全服務,即包過濾防火墻安全服務和狀態(tài)檢測防火墻安全服務,基于Openday Light開源控制器完成防火墻安全服務控制層的開發(fā),并利用Open Flow協(xié)議實現(xiàn)安全策略的靈活下發(fā)。此外,作為協(xié)同防御系統(tǒng)的一部分,系統(tǒng)提供北向RESTful接口使得入侵檢測系統(tǒng)能夠通過網絡協(xié)議更新安全策略,并且基于s Flow... 

【文章來源】：浙江大學浙江省 211工程院校 985工程院校 教育部直屬院校

【文章頁數(shù)】：79 頁

【學位級別】：碩士

【部分圖文】：

SDN架構[27]

浙江大學碩士學位論文軟件定義防火墻關鍵技術12制器下發(fā)的OpenFlow流表項匹配和轉發(fā)數(shù)據(jù)包�？刂茖��？刂茖油ǔ０粋�或多個網絡控制器，控制器以軟件形式運行，提供各種網絡服務，如網絡二層、三層轉發(fā)等，通過南向接口控制基礎設施層的網絡設備，構建并維護全局的網絡視圖，實現(xiàn)傳統(tǒng)網絡設備中控制平面的功能�？刂破鬟�對底層設備進行資源抽象，并且向外暴露北向接口供用戶基于抽象資源進行網絡功能的再次開發(fā)。應用層。應用層基于北向接口和控制層提供的網絡視圖進行開發(fā)，由于控制層已經將底層資源進行統(tǒng)一抽象，開發(fā)者不需要關心底層的實現(xiàn)，只需要關注業(yè)務邏輯，以此實現(xiàn)各種不同的網絡應用。2.2.2OpenFlow協(xié)議大多數(shù)現(xiàn)代以太網交換機和路由器都是基于流表（FlowTables）來線性運行防火墻、NAT、QoS以及收集數(shù)據(jù)等功能[28]，而各個廠商設備的流表都存在差異，OpenFlow吸取了這些流表的共同特征，它提出了一種通用的OpenFlow流表，它可以無差別的運行在不同的轉發(fā)設備中，這也是使得網絡可集中化控制、可編程的關鍵因素之一。OpenFlow是SDN中的一種主流的標準南向協(xié)議，它一方面規(guī)定了運行OpenFlow協(xié)議的交換機需要支持的基本功能，另一方面規(guī)定了SDN控制器對OpenFlow交換機進行控制的通信協(xié)議。如圖2-4所示，在OpenFlow1.3版本白皮書中指出了一個OpenFlow交換機包含的主要組件，包括OpenFlow安全通道，流表以及組表。圖2-4OpenFlow交換機主要組件[28]

浙江大學碩士學位論文軟件定義防火墻關鍵技術13OpenFlow的原理比較簡單，交換機中的每個流表由一系列流表項組成，每個流表項包含匹配域和指令，交換機將接收到的數(shù)據(jù)包與流表項進行匹配，并執(zhí)行匹配成功的流表項規(guī)定的指令動作，可能是轉發(fā)數(shù)據(jù)包到某個交換機端口，或者將數(shù)據(jù)包轉發(fā)給SDN控制器，由控制器進一步判斷如何處理這個數(shù)據(jù)包。此外，SDN控制器可以使用OpenFlow協(xié)議增加、刪除和更新流表中的流表項從而控制網絡中的流量，也可以獲取交換機中已經存在的流表項的統(tǒng)計信息，以獲得網絡的拓撲信息、流量信息等。每個OpenFlow交換機包含至少一張流表，當交換機中存在一個以上流表時，這些流表形成一個流水線，按照從0到N的序號進行編號，該流水線處理數(shù)據(jù)包的流程圖2-5所示。當一個數(shù)據(jù)包進入OpenFlow交換機時，首先與編號為0的流表進行匹配，如果匹配到某個流表項的指令動作為Goto-Tablen，則再與編號為n的流表進行匹配，依次類推，但必須保證流水線處理時流表的編號由小到大，直到停止流水線處理。流表項的結構如圖2-6所示，匹配域用于匹配數(shù)據(jù)包，包括交換機端口和數(shù)據(jù)包頭部字段，在OpenFlow1.3標準中匹配域字段已經擴展到39個；優(yōu)先級規(guī)定了流表項在流表中的的優(yōu)先程度，按照優(yōu)先級由高到底進行線性匹配；計數(shù)器記錄當前流表項匹配的數(shù)據(jù)包數(shù)量；指令代表該流表項要求執(zhí)行的動作集；超時時間則規(guī)定該流表項的有效時間。圖2-5OpenFlow交換機處理數(shù)據(jù)包流程圖OpenFlow安全通道是OpenFlow交換機向外提供的一個接口，每一個OpenFlow交換機通過這個接口與外部的SDN控制器建立TCP或TLS安全連接，并使用OpenFlow協(xié)議進行通信。OpenFlow協(xié)議中規(guī)定了幾種關鍵的消息：


本文編號：3484685