[发明专利]一种应用于软件定义网络的防火墙实现方法

说明书

本发明公开了一种应用于软件定义网络的防火墙实现方法，包括：启动SDN控制器，SDN控制器与要注册到SDN控制器的交换机互发openflow协议报文，获取所有交换机的ID；SDN控制器启动已注册交换机的防火墙功能，防火墙的初始化模块写初始流表项到对应的交换机，丢弃所有经过交换机的报文；SDN控制器下发防火墙规则到某个已注册交换机，防火墙的报文过滤模块根据规则的类型下发不同的流表项到对应交换机来实现规则，SDN控制器删除某个已注册交换机的某条防火墙规则，防火墙的报文处理模块删除对应交换机的相应流表项。本方法适用于所有种类SDN交换机的防火墙实现，实现了防火墙规则的下发和删除，通用性强。

技术领域

本发明属于计算机网络领域，尤其涉及一种应用于软件定义网络的防火墙实现方法。

背景技术

软件定义网络(Software Defined Network,SDN)是一种新型网络创新架构，是网络虚拟化的一种实现方式。传统IT架构中的网络，根据业务需求部署上线以后，如果业务需求发生变动，重新修改相应网络设备(路由器、交换机)上的配置是一件非常繁琐的事情。在互联网/移动互联网瞬息万变的业务环境下，网络的高稳定与高性能还不足以满足业务需求，灵活性和敏捷性反而成为关键。SDN所做的事是将网络设备上的控制权分离出来，由集中的SDN控制器管理，无须依赖底层网络设备(路由器、交换机)，屏蔽了来自底层网络设备的差异。而控制权是完全开放的，用户可以自定义任何想实现的防火墙规则，从而更加灵活和智能。

传统网络交换机主要通过访问控制列表(acess control list)来实现防火墙功能，ACL是交换机实现的一种数据包过滤机制，通过允许和拒绝特定的数据包进出网络,交换机可以对网络访问进行控制，有效保证网络的安全运营。但是在未来网络应用中这种传统对交换机进行配置ACL的实现方法太过繁琐，需要专业人士才能操作，特别是网络中交换机设备数量过多后，调整网络的安全机制需要逐台下发防火墙配置是一个繁重的过程。软件定义网络技术的发展使得防火墙技术可以通过SDN控制器来统一规划和实现，SDN控制器北向接口API可以允许应用程序来对网络中交换机的防火墙规则进行配置和修改。

发明内容

本发明的目的是针对现有技术的不足，提出一种应用于软件定义网络的防火墙实现方法。

本发明公开了一种应用于软件定义网络的防火墙实现方法，所述防火墙包括初始化模块、报文过滤模块和报文处理模块；

本发明中，对于不支持openflow1.3及以上的版本的交换机，即不支持多级流表的交换机，采用单级流表实现防火墙功能，步骤如下：

步骤1-1，启动SDN控制器，SDN控制器与要注册到SDN控制器的交换机互发openflow协议报文，获取所有交换机的信息，交换机的信息包括交换机ID；

步骤1-2，SDN控制器启动已注册交换机的防火墙功能，防火墙的初始化模块写一条优先级最低，即优先级为0的流表项到相应交换机，作为查不到流表的默认匹配选项，该流表项的数据包匹配特征为全匹配，即匹配所有报文，动作为丢弃所有经过交换机的报文；

步骤1-3，SDN控制器下发防火墙规则到已注册交换机，防火墙的报文过滤模块和报文处理模块根据规则的类型进行相应的操作；

对于支持openflow1.3及以上的版本的交换机，即支持多级流表的交换机，采用两级流表实现防火墙功能，步骤如下：

步骤2-1，启动SDN控制器，SDN控制器与要注册到SDN控制器的交换机互发openflow协议报文，获取所有交换机的信息，交换机的信息包括交换机ID；