基于软件定义安全的防火墙系统设计与实现
发布时间:2021-11-09 05:07
软件定义网络(Software-Defined Networking,SDN)技术的出现为网络安全提供了全新的研究思路,软件定义安全(Software-Defined Security,SDS)技术将安全数据平面与安全控制平面分离,通过软件编程与开放接口实现更加灵活的网络安全系统。防火墙(Firewall)作为一种重要的网络安全防护技术,能够对网络中的数据包进行过滤和拦截,然而传统基于硬件设备实现的防火墙往往受到物理限制,在一个网络中需要在多个网络位置安装防火墙设备,并且难以与其他安全实体协同。本文基于防火墙技术的原理,结合SDN技术在网络安全应用上的优势,设计并实现了一种软件定义防火墙系统。该系统具有全网访问控制、流量实时监控和安全策略动态更新的优势。系统提供两种不同类型的防火墙安全服务,即包过滤防火墙安全服务和状态检测防火墙安全服务,基于Openday Light开源控制器完成防火墙安全服务控制层的开发,并利用Open Flow协议实现安全策略的灵活下发。此外,作为协同防御系统的一部分,系统提供北向RESTful接口使得入侵检测系统能够通过网络协议更新安全策略,并且基于s Flow...
【文章来源】:浙江大学浙江省 211工程院校 985工程院校 教育部直属院校
【文章页数】:79 页
【学位级别】:硕士
【部分图文】:
SDN架构[27]
浙江大学硕士学位论文软件定义防火墙关键技术12制器下发的OpenFlow流表项匹配和转发数据包。控制层。控制层通常包含一个或多个网络控制器,控制器以软件形式运行,提供各种网络服务,如网络二层、三层转发等,通过南向接口控制基础设施层的网络设备,构建并维护全局的网络视图,实现传统网络设备中控制平面的功能。控制器还对底层设备进行资源抽象,并且向外暴露北向接口供用户基于抽象资源进行网络功能的再次开发。应用层。应用层基于北向接口和控制层提供的网络视图进行开发,由于控制层已经将底层资源进行统一抽象,开发者不需要关心底层的实现,只需要关注业务逻辑,以此实现各种不同的网络应用。2.2.2OpenFlow协议大多数现代以太网交换机和路由器都是基于流表(FlowTables)来线性运行防火墙、NAT、QoS以及收集数据等功能[28],而各个厂商设备的流表都存在差异,OpenFlow吸取了这些流表的共同特征,它提出了一种通用的OpenFlow流表,它可以无差别的运行在不同的转发设备中,这也是使得网络可集中化控制、可编程的关键因素之一。OpenFlow是SDN中的一种主流的标准南向协议,它一方面规定了运行OpenFlow协议的交换机需要支持的基本功能,另一方面规定了SDN控制器对OpenFlow交换机进行控制的通信协议。如图2-4所示,在OpenFlow1.3版本白皮书中指出了一个OpenFlow交换机包含的主要组件,包括OpenFlow安全通道,流表以及组表。图2-4OpenFlow交换机主要组件[28]
浙江大学硕士学位论文软件定义防火墙关键技术13OpenFlow的原理比较简单,交换机中的每个流表由一系列流表项组成,每个流表项包含匹配域和指令,交换机将接收到的数据包与流表项进行匹配,并执行匹配成功的流表项规定的指令动作,可能是转发数据包到某个交换机端口,或者将数据包转发给SDN控制器,由控制器进一步判断如何处理这个数据包。此外,SDN控制器可以使用OpenFlow协议增加、删除和更新流表中的流表项从而控制网络中的流量,也可以获取交换机中已经存在的流表项的统计信息,以获得网络的拓扑信息、流量信息等。每个OpenFlow交换机包含至少一张流表,当交换机中存在一个以上流表时,这些流表形成一个流水线,按照从0到N的序号进行编号,该流水线处理数据包的流程图2-5所示。当一个数据包进入OpenFlow交换机时,首先与编号为0的流表进行匹配,如果匹配到某个流表项的指令动作为Goto-Tablen,则再与编号为n的流表进行匹配,依次类推,但必须保证流水线处理时流表的编号由小到大,直到停止流水线处理。流表项的结构如图2-6所示,匹配域用于匹配数据包,包括交换机端口和数据包头部字段,在OpenFlow1.3标准中匹配域字段已经扩展到39个;优先级规定了流表项在流表中的的优先程度,按照优先级由高到底进行线性匹配;计数器记录当前流表项匹配的数据包数量;指令代表该流表项要求执行的动作集;超时时间则规定该流表项的有效时间。图2-5OpenFlow交换机处理数据包流程图OpenFlow安全通道是OpenFlow交换机向外提供的一个接口,每一个OpenFlow交换机通过这个接口与外部的SDN控制器建立TCP或TLS安全连接,并使用OpenFlow协议进行通信。OpenFlow协议中规定了几种关键的消息:
本文编号:3484685
【文章来源】:浙江大学浙江省 211工程院校 985工程院校 教育部直属院校
【文章页数】:79 页
【学位级别】:硕士
【部分图文】:
SDN架构[27]
浙江大学硕士学位论文软件定义防火墙关键技术12制器下发的OpenFlow流表项匹配和转发数据包。控制层。控制层通常包含一个或多个网络控制器,控制器以软件形式运行,提供各种网络服务,如网络二层、三层转发等,通过南向接口控制基础设施层的网络设备,构建并维护全局的网络视图,实现传统网络设备中控制平面的功能。控制器还对底层设备进行资源抽象,并且向外暴露北向接口供用户基于抽象资源进行网络功能的再次开发。应用层。应用层基于北向接口和控制层提供的网络视图进行开发,由于控制层已经将底层资源进行统一抽象,开发者不需要关心底层的实现,只需要关注业务逻辑,以此实现各种不同的网络应用。2.2.2OpenFlow协议大多数现代以太网交换机和路由器都是基于流表(FlowTables)来线性运行防火墙、NAT、QoS以及收集数据等功能[28],而各个厂商设备的流表都存在差异,OpenFlow吸取了这些流表的共同特征,它提出了一种通用的OpenFlow流表,它可以无差别的运行在不同的转发设备中,这也是使得网络可集中化控制、可编程的关键因素之一。OpenFlow是SDN中的一种主流的标准南向协议,它一方面规定了运行OpenFlow协议的交换机需要支持的基本功能,另一方面规定了SDN控制器对OpenFlow交换机进行控制的通信协议。如图2-4所示,在OpenFlow1.3版本白皮书中指出了一个OpenFlow交换机包含的主要组件,包括OpenFlow安全通道,流表以及组表。图2-4OpenFlow交换机主要组件[28]
浙江大学硕士学位论文软件定义防火墙关键技术13OpenFlow的原理比较简单,交换机中的每个流表由一系列流表项组成,每个流表项包含匹配域和指令,交换机将接收到的数据包与流表项进行匹配,并执行匹配成功的流表项规定的指令动作,可能是转发数据包到某个交换机端口,或者将数据包转发给SDN控制器,由控制器进一步判断如何处理这个数据包。此外,SDN控制器可以使用OpenFlow协议增加、删除和更新流表中的流表项从而控制网络中的流量,也可以获取交换机中已经存在的流表项的统计信息,以获得网络的拓扑信息、流量信息等。每个OpenFlow交换机包含至少一张流表,当交换机中存在一个以上流表时,这些流表形成一个流水线,按照从0到N的序号进行编号,该流水线处理数据包的流程图2-5所示。当一个数据包进入OpenFlow交换机时,首先与编号为0的流表进行匹配,如果匹配到某个流表项的指令动作为Goto-Tablen,则再与编号为n的流表进行匹配,依次类推,但必须保证流水线处理时流表的编号由小到大,直到停止流水线处理。流表项的结构如图2-6所示,匹配域用于匹配数据包,包括交换机端口和数据包头部字段,在OpenFlow1.3标准中匹配域字段已经扩展到39个;优先级规定了流表项在流表中的的优先程度,按照优先级由高到底进行线性匹配;计数器记录当前流表项匹配的数据包数量;指令代表该流表项要求执行的动作集;超时时间则规定该流表项的有效时间。图2-5OpenFlow交换机处理数据包流程图OpenFlow安全通道是OpenFlow交换机向外提供的一个接口,每一个OpenFlow交换机通过这个接口与外部的SDN控制器建立TCP或TLS安全连接,并使用OpenFlow协议进行通信。OpenFlow协议中规定了几种关键的消息:
本文编号:3484685
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/3484685.html
