軟件定義網(wǎng)絡(luò)（Software-Defined Networking,SDN）技術(shù)的出現(xiàn)為網(wǎng)絡(luò)安全提供了全新的研究思路,軟件定義安全（Software-Defined Security,SDS）技術(shù)將安全數(shù)據(jù)平面與安全控制平面分離,通過(guò)軟件編程與開(kāi)放接口實(shí)現(xiàn)更加靈活的網(wǎng)絡(luò)安全系統(tǒng)。防火墻（Firewall）作為一種重要的網(wǎng)絡(luò)安全防護(hù)技術(shù),能夠?qū)W(wǎng)絡(luò)中的數(shù)據(jù)包進(jìn)行過(guò)濾和攔截,然而傳統(tǒng)基于硬件設(shè)備實(shí)現(xiàn)的防火墻往往受到物理限制,在一個(gè)網(wǎng)絡(luò)中需要在多個(gè)網(wǎng)絡(luò)位置安裝防火墻設(shè)備,并且難以與其他安全實(shí)體協(xié)同。本文基于防火墻技術(shù)的原理,結(jié)合SDN技術(shù)在網(wǎng)絡(luò)安全應(yīng)用上的優(yōu)勢(shì),設(shè)計(jì)并實(shí)現(xiàn)了一種軟件定義防火墻系統(tǒng)。該系統(tǒng)具有全網(wǎng)訪問(wèn)控制、流量實(shí)時(shí)監(jiān)控和安全策略動(dòng)態(tài)更新的優(yōu)勢(shì)。系統(tǒng)提供兩種不同類型的防火墻安全服務(wù),即包過(guò)濾防火墻安全服務(wù)和狀態(tài)檢測(cè)防火墻安全服務(wù),基于Openday Light開(kāi)源控制器完成防火墻安全服務(wù)控制層的開(kāi)發(fā),并利用Open Flow協(xié)議實(shí)現(xiàn)安全策略的靈活下發(fā)。此外,作為協(xié)同防御系統(tǒng)的一部分,系統(tǒng)提供北向RESTful接口使得入侵檢測(cè)系統(tǒng)能夠通過(guò)網(wǎng)絡(luò)協(xié)議更新安全策略,并且基于s Flow... 

【文章來(lái)源】：浙江大學(xué)浙江省 211工程院校 985工程院校 教育部直屬院校

【文章頁(yè)數(shù)】：79 頁(yè)

【學(xué)位級(jí)別】：碩士

【部分圖文】：

SDN架構(gòu)[27]

浙江大學(xué)碩士學(xué)位論文軟件定義防火墻關(guān)鍵技術(shù)12制器下發(fā)的OpenFlow流表項(xiàng)匹配和轉(zhuǎn)發(fā)數(shù)據(jù)包�？刂茖印？刂茖油ǔ０粋�(gè)或多個(gè)網(wǎng)絡(luò)控制器，控制器以軟件形式運(yùn)行，提供各種網(wǎng)絡(luò)服務(wù)，如網(wǎng)絡(luò)二層、三層轉(zhuǎn)發(fā)等，通過(guò)南向接口控制基礎(chǔ)設(shè)施層的網(wǎng)絡(luò)設(shè)備，構(gòu)建并維護(hù)全局的網(wǎng)絡(luò)視圖，實(shí)現(xiàn)傳統(tǒng)網(wǎng)絡(luò)設(shè)備中控制平面的功能。控制器還對(duì)底層設(shè)備進(jìn)行資源抽象，并且向外暴露北向接口供用戶基于抽象資源進(jìn)行網(wǎng)絡(luò)功能的再次開(kāi)發(fā)。應(yīng)用層。應(yīng)用層基于北向接口和控制層提供的網(wǎng)絡(luò)視圖進(jìn)行開(kāi)發(fā)，由于控制層已經(jīng)將底層資源進(jìn)行統(tǒng)一抽象，開(kāi)發(fā)者不需要關(guān)心底層的實(shí)現(xiàn)，只需要關(guān)注業(yè)務(wù)邏輯，以此實(shí)現(xiàn)各種不同的網(wǎng)絡(luò)應(yīng)用。2.2.2OpenFlow協(xié)議大多數(shù)現(xiàn)代以太網(wǎng)交換機(jī)和路由器都是基于流表（FlowTables）來(lái)線性運(yùn)行防火墻、NAT、QoS以及收集數(shù)據(jù)等功能[28]，而各個(gè)廠商設(shè)備的流表都存在差異，OpenFlow吸取了這些流表的共同特征，它提出了一種通用的OpenFlow流表，它可以無(wú)差別的運(yùn)行在不同的轉(zhuǎn)發(fā)設(shè)備中，這也是使得網(wǎng)絡(luò)可集中化控制、可編程的關(guān)鍵因素之一。OpenFlow是SDN中的一種主流的標(biāo)準(zhǔn)南向協(xié)議，它一方面規(guī)定了運(yùn)行OpenFlow協(xié)議的交換機(jī)需要支持的基本功能，另一方面規(guī)定了SDN控制器對(duì)OpenFlow交換機(jī)進(jìn)行控制的通信協(xié)議。如圖2-4所示，在OpenFlow1.3版本白皮書(shū)中指出了一個(gè)OpenFlow交換機(jī)包含的主要組件，包括OpenFlow安全通道，流表以及組表。圖2-4OpenFlow交換機(jī)主要組件[28]

浙江大學(xué)碩士學(xué)位論文軟件定義防火墻關(guān)鍵技術(shù)13OpenFlow的原理比較簡(jiǎn)單，交換機(jī)中的每個(gè)流表由一系列流表項(xiàng)組成，每個(gè)流表項(xiàng)包含匹配域和指令，交換機(jī)將接收到的數(shù)據(jù)包與流表項(xiàng)進(jìn)行匹配，并執(zhí)行匹配成功的流表項(xiàng)規(guī)定的指令動(dòng)作，可能是轉(zhuǎn)發(fā)數(shù)據(jù)包到某個(gè)交換機(jī)端口，或者將數(shù)據(jù)包轉(zhuǎn)發(fā)給SDN控制器，由控制器進(jìn)一步判斷如何處理這個(gè)數(shù)據(jù)包。此外，SDN控制器可以使用OpenFlow協(xié)議增加、刪除和更新流表中的流表項(xiàng)從而控制網(wǎng)絡(luò)中的流量，也可以獲取交換機(jī)中已經(jīng)存在的流表項(xiàng)的統(tǒng)計(jì)信息，以獲得網(wǎng)絡(luò)的拓?fù)湫畔ⅰ⒘髁啃畔⒌�。每個(gè)OpenFlow交換機(jī)包含至少一張流表，當(dāng)交換機(jī)中存在一個(gè)以上流表時(shí)，這些流表形成一個(gè)流水線，按照從0到N的序號(hào)進(jìn)行編號(hào)，該流水線處理數(shù)據(jù)包的流程圖2-5所示。當(dāng)一個(gè)數(shù)據(jù)包進(jìn)入OpenFlow交換機(jī)時(shí)，首先與編號(hào)為0的流表進(jìn)行匹配，如果匹配到某個(gè)流表項(xiàng)的指令動(dòng)作為Goto-Tablen，則再與編號(hào)為n的流表進(jìn)行匹配，依次類推，但必須保證流水線處理時(shí)流表的編號(hào)由小到大，直到停止流水線處理。流表項(xiàng)的結(jié)構(gòu)如圖2-6所示，匹配域用于匹配數(shù)據(jù)包，包括交換機(jī)端口和數(shù)據(jù)包頭部字段，在OpenFlow1.3標(biāo)準(zhǔn)中匹配域字段已經(jīng)擴(kuò)展到39個(gè)；優(yōu)先級(jí)規(guī)定了流表項(xiàng)在流表中的的優(yōu)先程度，按照優(yōu)先級(jí)由高到底進(jìn)行線性匹配；計(jì)數(shù)器記錄當(dāng)前流表項(xiàng)匹配的數(shù)據(jù)包數(shù)量；指令代表該流表項(xiàng)要求執(zhí)行的動(dòng)作集；超時(shí)時(shí)間則規(guī)定該流表項(xiàng)的有效時(shí)間。圖2-5OpenFlow交換機(jī)處理數(shù)據(jù)包流程圖OpenFlow安全通道是OpenFlow交換機(jī)向外提供的一個(gè)接口，每一個(gè)OpenFlow交換機(jī)通過(guò)這個(gè)接口與外部的SDN控制器建立TCP或TLS安全連接，并使用OpenFlow協(xié)議進(jìn)行通信。OpenFlow協(xié)議中規(guī)定了幾種關(guān)鍵的消息：


本文編號(hào)：3484685