[发明专利]一种软件定义防火墙系统的实现方法

权利要求书

1.一种软件定义防火墙系统的实现方法，其特征在于，包括以下步骤：

（1）OpenFlow交换机与SDN控制器建立连接，SDN控制器向OpenFlow交换机下发一条table-miss流表项，所述table-miss流表项的匹配域为全匹配，动作为上送到SDN控制器，优先级为0，SDN控制器中的状态检测过滤模块向OpenFlow交换机下发一条初始流表项，所述初始流表项的匹配域为TCP，动作为上送到SDN控制器，优先级大于0；

（2）网络数据包经过OpenFlow交换机，匹配OpenFlow交换机中动作为上送到SDN控制器的流表项，被OpenFlow交换机封装为packet-in消息发送给SDN控制器；

（3）SDN控制器接收到packet-in消息并进行处理，处理过程为：SDN控制器中的消息解码模块提取packet-in消息包含的数据包，并提取数据包的IP协议字段以判断IP协议类型，SDN控制器中的包过滤模块和状态检测过滤模块根据防火墙规则库模块中的防火墙规则对不同IP协议类型的数据包进行相应处理；

所述数据包的IP协议类型为无状态协议，消息解码模块将数据包发送给包过滤模块，进行如下步骤：SDN控制器中包过滤模块接收到数据包，将数据包与防火墙规则进行匹配，若成功匹配的防火墙规则的预设动作为拒绝则丢弃数据包，并下发一条丢弃流表项到发送该数据包OpenFlow交换机，所述丢弃流表项优先级大于0；若成功匹配的防火墙规则的预设动作为允许，则下发一条转发流表项到发送该数据包的OpenFlow交换机，所述转发流表项优先级大于0，并将数据包封装为packet-out消息发送回OpenFlow交换机；

所述数据包的IP协议类型为TCP协议，消息解码模块将数据包发送给状态检测过滤模块，进行如下步骤：SDN控制器中状态检测过滤模块接收到TCP协议数据包，从数据包中提取TCP标志位；

（3.1）当TCP标志位为SYN=1,ACK=0时，进行如下步骤：状态检测过滤模块将数据包与防火墙规则进行匹配，若成功匹配的防火墙规则的预设动作为拒绝则丢弃数据包，若成功匹配的防火墙规则的预设动作为允许，则对数据包的目的MAC地址进行学习和查找相应的OpenFlow交换机端口，将数据包封装为packet-out消息发送给OpenFlow交换机，并在状态连接表中添加该数据包所属的TCP连接，所述状态连接表记录TCP连接，所述TCP连接包括TCP连接的源IP、目的IP、源端口、目的端口、计时器、计数器；

（3. 2）当TCP标志位为FIN=0, ACK=1或FIN=1时，进行如下步骤：状态检测过滤模块将数据包与状态连接表匹配，若不存在匹配的TCP连接，则丢弃数据包；若存在匹配的TCP连接，则对数据包的目的MAC地址进行学习和查找相应的OpenFlow交换机端口，将数据包封装为packet-out消息发送给OpenFlow交换机，并更新所匹配的TCP连接。

2.根据权利要求1所述的实现方法，其特征在于，所述防火墙规则库模块存储防火墙规则，网络管理员通过防火墙规则管理应用能够增加、删除、查询防火墙规则库模块中的防火墙规则，所述防火墙规则包括防火墙规则的优先级、匹配域和动作。

3.根据权利要求1所述的实现方法，其特征在于，所述包过滤模块和状态检测过滤模块将数据包与防火墙规则匹配时，按照防火墙规则优先级从高到低的顺序进行匹配。

4.根据权利要求1所述的实现方法，其特征在于，所述TCP连接初始化时，计时器开始计时，计数器的值为2；当TCP连接匹配到某个数据包，计时器被置0，当TCP连接的计时器计时时间超过一分钟，状态连接表删除该TCP连接；当TCP连接匹配到某个处于连接关闭状态的数据包，若计数器的值为2，则将计数器值减1，否则删除该TCP连接。