[发明专利]一种SDN防火墙系统及实现方法

说明书

一种SDN防火墙系统及实现方法，该系统及方法对防火墙的管控都集中在控制器，利用控制器对全网的统一管理，为SDN网络提供更加安全和便捷的服务。为了将内网和公网分开，检查出入防火墙的数据包，决定拦截或是放行哪些数据包。用户可以填写自己的访问策略决定是否允许访问某些网站。本项目防火墙模块运用二层转发。本系统为一种基于OpenFlow协议1.3的SDN防火墙系统，本系统使用python语言在ubuntu系统上编写，在ubuntu系统上正常运行；本系统及方法能够很好的实现跨平台移植，该系统具有非常重要的应用价值。

技术领域

本发明涉及一种SDN防火墙系统及实现方法，属于网络技术领域。

背景技术

近年来，随着计算机网络规模的急剧膨胀和应用类型的不断丰富，Internet的结构和功能正变得日趋复杂，管控能力正在日趋减弱。为了解决现有网络结构面临的诸多难题，我们需要在现有互联网环境下逐步地向下一代互联网迈进。

基于OpenFlow的SDN技术分离了网络的控制平面和数据平面，为网络新应用的研发和互联网技术下一代提供了一种新的解决方案。该技术是一个开放式协议标准，提供了在真实网络环境中部署、测试创新的网络体系和协议的平台。

SDN接口分北向和南向，北向接口提供了丰富的API可以供开发和设计应用。SDN南向接口用于在控制器与转发设备间建立连接，OpenFlow协议则是SDN中的南向接口协议，定义了一系列的标准。

传统防火墙功能实现在网络设备中，但在SDN网络环境中控制层与数据层的分离使得防火墙的功能可以使用更简单的方式来实现，不需要更改底层的网络设备。

发明内容

本发明的目的是针对现有的SDN网络环境设计一种SDN网络防火墙系统，对防火墙的管控都集中在控制器，利用控制器对全网的统一管理，为SDN网络提供更加安全和便捷的服务。为了将内网和公网分开，检查出入防火墙的数据包，决定拦截或是放行哪些数据包。用户可以填写自己的访问策略决定是否允许访问某些网站。本项目防火墙模块运用二层转发。

为达到以上发明目的，本发明采用的技术方案为一种基于OpenFlow协议1.3的SDN防火墙系统，本系统使用python语言在ubuntu系统上编写，在ubuntu系统上正常运行。

通过对数据包的解析，分析数据包的状态并结合数据包与规则表文件中填写的五元组进行比较，决定数据包由哪个端口转发出去，满足条件的数据包则从相应的端口转发出去或者packet-in到控制器，不满足条件的数据包则丢掉，不允许通过控制器。

一种SDN防火墙系统，该系统包括数据包分析模块、防火墙规则表(rule_table)模块、定时器(Timer)模块、防火墙连接表(conn_table)模块、防火墙MAC地址表模块、OpenFlow控制器、OpenFlow交换机。图1描述了系统的总体框架架构，控制器模块通过OpenFlow协议与交换机模块通信,启动控制器模块的同时运行防火墙模块，OpenFlow交换机连接了不同的终端，从一个终端发送数据包给另一个终端需要匹配流表，控制器结合防火墙模块来对交换机进行控制，从而确保数据包的转发与否。

1)防火墙连接表模块中的防火墙规则表包括ip_src，ip_dst，src_port，dst_port，protocol(协议)，act(动作)字段。ip_src和ip_dst都能够填写网段，这使得所有网段内的ip地址都满足条件。当ip_dst填写的是0.0.0.0/0时，表示源ip能够访问所有网段的网址。act动作分drop和pass，状态为drop时数据包不允许通过。