91精品人妻互换日韩精品久久影视|又粗又大的网站激情文学制服91|亚州A∨无码片中文字慕鲁丝片区|jizz中国无码91麻豆精品福利|午夜成人AA婷婷五月天精品|素人AV在线国产高清不卡片|尤物精品视频影院91日韩|亚洲精品18国产精品闷骚

作者：田英

    2008年，斯坦福大學的Nick Meowm教授等人提出了OpenFlow這一概念，這是由Clean Slate計劃資助的一個開放式協(xié)議標準，后來成為了GENI的子項目。隨著對OpenFlow技術(shù)的深入研究，又進一步提出了軟件定義網(wǎng)絡( software defined networking, SDN)。基于Openflow協(xié)議下的SDN技術(shù)是一種新型的網(wǎng)絡架構(gòu)，中央控制器以軟件的形式存在于網(wǎng)絡構(gòu)架中的控制層，對原本數(shù)據(jù)轉(zhuǎn)發(fā)層各個設(shè)備上的控制部分以網(wǎng)絡全局集中管理的形式加以替換，實現(xiàn)對整個網(wǎng)絡運行的集中化管控與策略下發(fā)。在傳統(tǒng)的因特網(wǎng)中控制功能負責對轉(zhuǎn)發(fā)數(shù)據(jù)的決策，而數(shù)據(jù)轉(zhuǎn)發(fā)功能是負責數(shù)據(jù)的轉(zhuǎn)發(fā)，它們緊耦合在同一層網(wǎng)絡基礎(chǔ)設(shè)備上，正是因為這種控制與轉(zhuǎn)發(fā)高度耦合的網(wǎng)絡構(gòu)架機制導致其網(wǎng)絡控制平面管理變得相當復雜，當有新的網(wǎng)絡技術(shù)出現(xiàn)時，很難及時地部署在原有的網(wǎng)絡上。這種形式的網(wǎng)絡架構(gòu)在其擴展性和靈活性上很難跟上當今網(wǎng)絡高速發(fā)展的步伐。在OpenFlow協(xié)議標準化的SDN網(wǎng)絡架構(gòu)下，網(wǎng)絡的控制轉(zhuǎn)發(fā)分離架構(gòu)使得控制轉(zhuǎn)發(fā)的策略存在于控制器中，策略的下發(fā)也是通過控制器下發(fā)到數(shù)據(jù)轉(zhuǎn)發(fā)層，從而引導著網(wǎng)絡底層設(shè)備（如交換機）進行數(shù)據(jù)的轉(zhuǎn)發(fā)。這樣一來轉(zhuǎn)發(fā)層的功能將變得單一而高效，新的網(wǎng)絡技術(shù)和協(xié)議在原有網(wǎng)絡中的融合將變得更加容易，這種網(wǎng)絡架構(gòu)下其靈活性和可操作性方面相比于傳統(tǒng)的網(wǎng)絡有大幅提升。邏輯控制和數(shù)據(jù)轉(zhuǎn)發(fā)分離的這種管控思想是SDN技術(shù)的研究基礎(chǔ)。

    在0pen flow協(xié)議SDN環(huán)境下的防火墻部署方面，相比于傳統(tǒng)防火墻的部署特點，SDN防火墻不是直接部署在被保護網(wǎng)絡的邊界，而是通過在控制層的中央控制器這一軟件管控形式將策略下發(fā)到轉(zhuǎn)發(fā)層的設(shè)備上，因此防火墻的升級、修改、配置等無需在轉(zhuǎn)發(fā)層中處于安全狀態(tài)的硬件設(shè)備上逐一進行，這種網(wǎng)絡運行機制加快了防火墻開發(fā)和部署。在SDN架構(gòu)下，防火墻策略的部署與下發(fā)也具有其特有的特性：1）彈性化，通過SDN控制器提供的可編程接口，靈活制定具有差異化的防火墻策略，構(gòu)建一個可靈活應對不同安全需求的防火墻應用；2）高效性，由于處在控制層中的SDN控制器能夠全局化實時監(jiān)控網(wǎng)絡基礎(chǔ)設(shè)施的運行狀態(tài)，從而能夠更加及時而準確地監(jiān)控和管理防火墻策略運行的狀態(tài)，及時反饋給管理員，便于管理人員高效管理整個網(wǎng)絡環(huán)境；3）細粒度，SDN環(huán)境中OpenFlow協(xié)議標準化的流表結(jié)構(gòu)扁平化了對數(shù)據(jù)包在網(wǎng)絡中轉(zhuǎn)發(fā)的處理層次，使得網(wǎng)絡中的數(shù)據(jù)在OpenFlow協(xié)議標準下對數(shù)據(jù)轉(zhuǎn)發(fā)的處理能滿足細粒度要求。SDN的防火墻策略不僅能滿足傳統(tǒng)防火墻訪問控制和隔離的功能，還可以進一步根據(jù)Open Flow流表項中字段和網(wǎng)絡資源進行抽象和處理，從而使防火墻在應對事件處理中能有粗粒度到細粒度的選擇性空間。本文通過構(gòu)建虛擬網(wǎng)絡環(huán)境，調(diào)用控制器的REST API端口，編寫了一個基于IP地址的狀態(tài)防火墻策略，并基于此防火墻進行一個實例的驗證與分析。

1 SDN網(wǎng)絡架構(gòu)及其防火墻構(gòu)成

    1) SDN網(wǎng)絡架構(gòu)

    SDN作為一種新興的可編程的網(wǎng)絡架構(gòu)，將傳統(tǒng)的網(wǎng)絡設(shè)備緊耦合的網(wǎng)絡架構(gòu)解耦成應用、控制、轉(zhuǎn)發(fā)3層，完成基于OpenFlow標準化協(xié)議下SDN控制器對網(wǎng)絡狀態(tài)運行的實時集中管控以及網(wǎng)絡應用的可編程化，如圖1所示。

    在SDN網(wǎng)絡體系架構(gòu)中，完成對各層面之間的接口的開放和標準化是關(guān)鍵：(1)控制平面與數(shù)據(jù)平面的接口（又稱為南向接口），該接口屏蔽網(wǎng)絡基礎(chǔ)設(shè)施資源在類型、支持的協(xié)議等方面的異構(gòu)性，使得數(shù)據(jù)平面的網(wǎng)絡設(shè)備（如交換機）能夠通過標準化的OpenFlow協(xié)議接收控制平面的指令。SDN控制器通過南向協(xié)議進行鏈路發(fā)現(xiàn)、拓撲管理、策略制定、表項下發(fā)，其中鏈路發(fā)現(xiàn)和拓撲管理主要是控制器利用南向接口的上行通道對底層交換設(shè)備的上報信息進行統(tǒng)一監(jiān)控和統(tǒng)計；(2)控制層和直用層的接口（又稱為北向接口），北向接口能為網(wǎng)絡用白或網(wǎng)管人員提供足夠的開放性，從而使得管理人員能夠通過應用層的軟件在控制平面中央控制器對數(shù)據(jù)轉(zhuǎn)發(fā)層下發(fā)指令與策略，完成對整個被管理網(wǎng)絡的控制與服務。

    基于OpenFlow的SDN技術(shù)帶給運營商和用戶帶來了更加靈活的網(wǎng)絡管控、更高效的資源利用率、更彈性的資源調(diào)度。我們將其分為三個部分并加以闡述：(1)更加靈活的網(wǎng)絡管控，其標準化的南向接口屏蔽了底層設(shè)備的異構(gòu)性，管理者只需在控制層通過控制器就能夠?qū)崿F(xiàn)對整個網(wǎng)絡的統(tǒng)一管控，即通過SDN中央控制器對轉(zhuǎn)發(fā)層下發(fā)指令和策略，無需手動地對網(wǎng)絡硬件設(shè)備進行配置；(2)更高效的資源利用率，由于SDN控制器監(jiān)控著整個網(wǎng)絡基礎(chǔ)設(shè)施的狀態(tài)，對網(wǎng)絡狀態(tài)實時信息有全局的管控，從而能夠更加智能和實時地調(diào)配網(wǎng)絡資源，有效提高了網(wǎng)絡資源的利用率；(3)更彈性的資源調(diào)度，處于應用層的各種業(yè)務需求和應用可以通過北向接口得以實現(xiàn)，再由處于控制層的SDN控制器通過南向接口將網(wǎng)絡策略下發(fā)到數(shù)據(jù)轉(zhuǎn)發(fā)層，從而實現(xiàn)了更加彈性化的資源調(diào)度。

    正如SDN的名字所言，它具有靈活的軟件編程能力，使得網(wǎng)絡自動化管理和控制能力獲得了空前的提升，能夠有效解決當前網(wǎng)絡系統(tǒng)所面臨的資源規(guī)模擴展受限、組網(wǎng)靈活性差、難以快速滿足業(yè)務需求等問題。

    2)基于SDN網(wǎng)絡的防火墻構(gòu)成

    基于OpenFlow的SDN環(huán)境下的軟件防火墻主要由五大功能模塊組成，如圖2所示。

  (1)防火墻模塊：該模塊相當于是應用層的一個應用程序，定期通過控制層獲取底層網(wǎng)絡運行狀態(tài)信息。例如，底層交換機接到大量惡意數(shù)據(jù)包或者網(wǎng)絡拓撲中的某些鏈路失效，實時評估當前網(wǎng)絡的安全狀態(tài)，從而調(diào)整對網(wǎng)絡狀況查詢頻率，能及時地通過控制器向數(shù)據(jù)轉(zhuǎn)發(fā)層下發(fā)相應的包過濾規(guī)則等一系列有效措施，為網(wǎng)絡提供有效的安全屏障。

    (2) REST API服務模塊：在控制平面中REST API服務模塊實際上是完成了與上一層應用層的對接，也就是之前提到的南向接口，而包過濾模塊就是通過這一標準化開放的可編程接口完成與上層防火墻模塊的交互。該模塊中向應用層提供的開放的可編程接的接口，即REST API形式，同時也遵循了網(wǎng)絡中HTTP等相關(guān)協(xié)議。

    (3)包過濾模塊：該模塊內(nèi)含一套過濾規(guī)則，規(guī)則定義了包過濾模塊對于數(shù)據(jù)包的具體操作，對接收到的數(shù)據(jù)完成通過或丟棄決策。包頭涵蓋多個域，如源IP地址、目標IP地址、源MAC地址、目的MAC地址、通信協(xié)議號等，包過濾模塊中的過濾規(guī)則主要是對數(shù)據(jù)包頭中多域的參數(shù)值進行匹配。包過濾的過程即在控制平面中通過對接收到數(shù)據(jù)包進行解析，檢查數(shù)據(jù)包的頭部匹配域的參數(shù)值，從而決定是否讓數(shù)據(jù)包通過或者直接進行丟棄。

    (4)二層轉(zhuǎn)發(fā)模塊：該模塊主要是通過OpenFlow協(xié)議與數(shù)據(jù)轉(zhuǎn)發(fā)層進行信息的交互，對于數(shù)據(jù)包的控制信息即通過此模塊傳遞到數(shù)據(jù)轉(zhuǎn)發(fā)層。二層轉(zhuǎn)發(fā)模塊主要是對數(shù)據(jù)轉(zhuǎn)發(fā)層中的網(wǎng)絡拓撲或者是流表項等信息定期進行統(tǒng)計，并將所獲得的信息傳遞給控制器，相當于整個網(wǎng)絡中指揮中心與數(shù)據(jù)轉(zhuǎn)發(fā)層的樞紐。

    (5)數(shù)據(jù)轉(zhuǎn)發(fā)模塊：該模塊運行在一些支持OpenFlow協(xié)議的設(shè)備（主要指支持OpenFlow協(xié)議的交換機）上，只是簡單地完成對數(shù)據(jù)包的轉(zhuǎn)發(fā)工作。存在于交換機中的流表同樣按照OpenFlow協(xié)議制定，流表項由匹配域、計數(shù)器和動作三項組成。數(shù)據(jù)的轉(zhuǎn)發(fā)是對交換機中的流表項進行優(yōu)先級的匹配，對于匹配成功的數(shù)據(jù)包會直接執(zhí)行流表項中的動作和計數(shù)器功能，如轉(zhuǎn)發(fā)到交換機的某個端口，并在計數(shù)器中記錄轉(zhuǎn)發(fā)包的數(shù)量等。對于沒有匹配成功的數(shù)據(jù)包將以PACKET_IN的形式發(fā)送到控制器進行處理。

2虛擬環(huán)境構(gòu)建

    1)網(wǎng)絡拓撲建立與功能描述

    ( 1)網(wǎng)絡拓撲中共有兩個網(wǎng)段，10.1.1.0/24代表內(nèi)網(wǎng)，包括兩個主機（hostl與host2）和一個HTTP服務器(host3);10.1.2.0/24代表外網(wǎng)，由一個主機(host4)作為代表，對于每個網(wǎng)段的lP網(wǎng)關(guān)設(shè)置為10.1．X．0/24，X=l，2分別代表內(nèi)網(wǎng)與外網(wǎng)，兩個網(wǎng)絡是通過一個OpenFlow交換機連接起來；整個網(wǎng)絡的控制層則由Pyretic模式下的控制器架構(gòu)來代替。

    (2)對于OpenFlow的交換機，整個網(wǎng)絡拓撲都為2L-learning交換機，即網(wǎng)絡拓撲中任意交換機都有學習認識網(wǎng)絡拓撲中其他交換機端口的功能；IP網(wǎng)關(guān)負責連接兩個網(wǎng)絡（內(nèi)網(wǎng)與外網(wǎng)）。其中狀態(tài)防火墻是用來實現(xiàn)內(nèi)網(wǎng)與外網(wǎng)的隔離，為了簡單起見，我們僅設(shè)定為基于IP地址的主機識別，在狀態(tài)防火墻的作用下它能讓內(nèi)網(wǎng)的主機隨時訪問外網(wǎng)，外網(wǎng)被訪問的IP僅能短時間（如3秒內(nèi)）與訪問主機進行通信。當然，處于外網(wǎng)的主機能夠隨時訪問HTTP服務器，HTTP服務器能夠隨時與內(nèi)網(wǎng)的主機進行通信。

    2) Pyretic模式下的虛擬環(huán)境實現(xiàn)

    在虛擬環(huán)境的搭建中，所有主機與交換機由mininet來提供，為了完成mininet與Pyretic模式的融合，我們將對mininet下的網(wǎng)絡拓撲組件進行虛擬化，從而在接下來防火墻策略的建立中能使用Pyretic所特有的語法與規(guī)則。上文中的物理OpenFlow交換機，在Pyretic模式將其分解為多個虛擬組件，這樣一來，錯綜復雜的一個組件將轉(zhuǎn)換成許多個小的組件。實際上是把一個大交換機虛擬化為許多小的虛擬MAC感知交換機。這些小的組件每一個都有一個虛擬標簽，包括防火墻、虛擬網(wǎng)關(guān)等。在Pyretic模式下，數(shù)據(jù)包的轉(zhuǎn)發(fā)、流表字段的設(shè)定以及在試驗中防火墻策略的設(shè)計將變得更靈活簡便。整個虛擬網(wǎng)絡如圖3所示。

3 Pyretic與狀態(tài)防火墻機制

    1) Pyretic

    在這里有必要介紹—下網(wǎng)絡編程語言Pyretic，對于網(wǎng)絡管理員來說，Pyretic能夠提供一種高層次的北向SDN AIP，即與SDN的控制器關(guān)聯(lián)。我們選取Pyretic來完成網(wǎng)絡虛擬環(huán)境和狀態(tài)防火墻的建立，是因為Pyretic具有其獨特的優(yōu)勢。

    Pyretic是一種程序友好且領(lǐng)域特定的Python內(nèi)嵌的語言，Pyretic隱藏了SDN編程的復雜性，簡化了策略創(chuàng)建的過程；Pyretic提出了并聯(lián)操作符和順序操作符，將由不同模塊生成的策略通過一種簡單卻功能強大的方式結(jié)合起來；Pyretic提出了網(wǎng)絡對象的概念，它允許程序員抽象化物理拓撲結(jié)構(gòu)的細節(jié)并且依據(jù)網(wǎng)絡的抽象特點編寫策略；

抽象數(shù)據(jù)包模型使得高層信息和數(shù)據(jù)包可以聯(lián)系起來并且使得模塊之間可以相互協(xié)調(diào)。

    接下來，我們將簡單介紹常用的Pyretic策略與表達．值得注意的是‘+’為策略并聯(lián)操作符，‘I’為匹配聯(lián)合操作符。

    match(f=v):過濾報頭域f值為v的數(shù)據(jù)包

    —A：    謂詞取反

    A&B：  謂詞A與B的邏輯交

    A l B：  謂詞A與B的邏輯并

    fwd(a):  轉(zhuǎn)發(fā)數(shù)據(jù)包輸出端口a

    flood():  除了輸入端口，在一個網(wǎng)絡最小生成樹中發(fā)送的所有數(shù)據(jù)包到所有端口

    drop:  產(chǎn)生空集（沒有輸出數(shù)據(jù)包）

    passthrough:產(chǎn)生輸入數(shù)據(jù)包（標識功能）

    A>>B：  A的輸出變?yōu)锽的輸入（順序組合）

    A +B:  A的輸出和B的輸出被平行組合

    if_(p，A，B)．如果數(shù)據(jù)包被P過濾，那么使用A，否則使用B

    Pyretic提供一種運行實時系統(tǒng)，該系統(tǒng)允許程序員高度抽象網(wǎng)絡策略，再用多種方式將它們組合在一起，并執(zhí)行它們抽象的網(wǎng)絡拓撲。這些在第2部分的網(wǎng)絡虛擬環(huán)境的建立中能夠很好地體現(xiàn)。例如，(match(at=None. inport=l)>> push_vloc(lOOO,l》+(match(at=None. inport=2)>>push_vloc(1000，2》，表示在內(nèi)網(wǎng)中，hostl和host2與虛擬化的Openflow交換機（在mlmnnet中為ovskLwitch）建立對接。而在狀態(tài)防火墻中函數(shù)功能完成策略的合并與級聯(lián)也是至關(guān)重要的。例如，self.policv= self.forward+ (self.wp>>self.query)，表示狀態(tài)防火墻策略更新是基于當前轉(zhuǎn)發(fā)和查詢策略的。

    2)狀態(tài)防火墻機制

    實驗中所使用的狀態(tài)防火墻策略是通過上文中提到REST API開放網(wǎng)絡編程接口使用POX控制器在虛擬網(wǎng)絡中對OpenFlow交換機完成策略的部署與下發(fā)。在狀態(tài)防火墻pyretic_firewall.py腳本中，主要由IPquery、Policy.Timequery等函數(shù)完成一種狀態(tài)防火墻機制，IPquery函數(shù)主要是完成內(nèi)網(wǎng)IP與外網(wǎng)IP的匹配識別功能，從而達到限制訪問的效果；Policy函數(shù)相當于為IP匹配提供一種依據(jù)，即視為一種存放黑名單和白名單的IP地址庫；Timequery函數(shù)完成通信的時間限制。在實驗過程中Policy函數(shù)中的IP地址庫是依據(jù)Timequery函數(shù)提供的時間限制訪問而動態(tài)更新的，并且訪問的發(fā)起是由內(nèi)網(wǎng)主機發(fā)起的，整個防火墻體系即視為一種狀態(tài)防火墻機制。

    從宏觀層面上看，本實驗中的狀態(tài)防火墻屬于應用平面中的一個應用，在SDN控制器的北向接口完成上層應用的調(diào)用再通過控制器的南向接口對底層虛擬化的交換機完成策略的下發(fā)。在上述虛擬網(wǎng)絡環(huán)境建立完成的情況下，狀態(tài)防火墻機制中簡單邏輯流程為：當內(nèi)網(wǎng)主機的IP訪問外網(wǎng)主機( host4) IP時，在設(shè)定時限內(nèi)(f=3s)兩主機可以互相ping通，超過時限時外網(wǎng)被ping的IP將不能ping通內(nèi)網(wǎng)的IP,整個狀態(tài)防火墻策略的下發(fā)都是由控制器Controller完成。狀態(tài)防火墻機制描述如圖4所示。

4實驗與結(jié)果

    1)實驗環(huán)境準備

    本文網(wǎng)絡虛擬環(huán)境的建立以及實驗的測試都在一臺裝有XenCenter( version 6.2)的服務器上完成的，XenCenter是一個能提供虛擬機的平臺。整個實驗中我們僅需在XenCenter平臺上創(chuàng)建一個虛擬機并取名為VM( Ubuntu13.10)，在VM中裝載有mininet，mininet是開源的，可以通過mininet鏡像文件導入VM中。mininet可創(chuàng)建一個支持SDN的任意拓撲的網(wǎng)絡結(jié)構(gòu)，并可以靈活地進行相關(guān)測試，本實驗中網(wǎng)絡虛擬環(huán)境中所有主機和交換機由mininet產(chǎn)生；mininet自帶實驗中控制平面中的控制器POX，當mininet啟動時POX控制器也會及時啟動，而由Pyretic編寫的狀態(tài)防火墻策略是通過控制POX下發(fā)給數(shù)據(jù)平面的。接下來將更加詳細地介紹整個實驗過程。

    2)實驗環(huán)境建立

    在這里我們將完成虛擬環(huán)境構(gòu)建以及狀態(tài)防火墻的下發(fā)：

  (1)對于在圖1中的虛擬網(wǎng)絡建立，我們是在裝載有mininet的虛擬機VM中用Python編寫一個網(wǎng)絡拓撲腳本mininet_pyhsical_network.py來實現(xiàn)的。在mininet中本可以通過簡單的指令就可以完成網(wǎng)絡拓撲的建立，但因?qū)嶒炓�求，我們要對其建立的網(wǎng)絡拓撲進行Pyretic模式的融合。在VM中鍵人下面的指令即完成了網(wǎng)絡虛擬環(huán)境的建立，如圖5所示。

    sudo python mlnlnet_pyhsical_network.py

    (2)啟動用Pyretic編寫的狀態(tài)防火墻策略腳本pyretic_firewall．py，該腳本放置于/root/pvretic/pyretic/examples目錄下，與狀態(tài)防火墻的主函數(shù)pyretic_main在同一目錄下。執(zhí)行主函數(shù)腳本后，虛擬網(wǎng)絡將與Pyretic模式下的POX控制器進行連接，防火墻策略此時已開始生效。啟動指令如下：

    Pyretic.py pyretic.examples.pyretic_main

    3)實驗測試與結(jié)果分析

    在完成上面實驗環(huán)境的搭建的基礎(chǔ)上，我們將在mininet中用ping操作完成整個實驗的測試與結(jié)果的說明。

    實驗場景l(fā)：在mlnlnet中驗證內(nèi)網(wǎng)的連通性，即hostl對host2進行ping操作。指令：hl ping -cl h2。mlnlnet中可以直接觀察到結(jié)果，如果成功則說明內(nèi)網(wǎng)的L2-learning交換機工作正常，且內(nèi)網(wǎng)絡主機之間可以連通，同時我們也可以通過ping指令完成主機與服務器之間的連通性。

    實驗場景2：在mlnlnet中驗證內(nèi)網(wǎng)與外網(wǎng)的連通性，即host4對host3進行ping操作。指令：h4 ping -cl h3。同上在mlnlnet中直接觀察結(jié)果，在狀態(tài)防火墻機制中，我們設(shè)定外網(wǎng)主機可以直接ping通內(nèi)網(wǎng)服務器，即外網(wǎng)主機h4隨時可ping通host3運行HTTP服務。

    實驗場景3:在mininet中驗證狀態(tài)防火墻的主要功能，即hostl對host4進行ping操作。指令：hl ping -cl h4。在mlnlnet中直接觀察結(jié)果，在設(shè)計狀態(tài)防火墻機制時，內(nèi)網(wǎng)主機能ping通外網(wǎng)主機，實驗中t=3s，即h4在3s內(nèi)能回ping主機hl，超過3s，則host4不能ping通hostl，對于所屬內(nèi)網(wǎng)的host2效果也是如此。

    實驗場景4:在mlnlnet中驗證內(nèi)網(wǎng)與外網(wǎng)的隔離性，即host4對hostl進行ping操作，指令：h4 ping -cl hl。在mininet中直接觀察結(jié)果，此項實驗同時也能體現(xiàn)狀態(tài)防火墻具備的普通防火墻的網(wǎng)絡間訪問控制特性，只有內(nèi)網(wǎng)主機hl先行ping主機h4并且在f時間內(nèi)才能成功，外網(wǎng)主機不能直接訪問內(nèi)網(wǎng)主機（hostl和host2）。

5結(jié)束語

    基于Openflow協(xié)議的SDN網(wǎng)絡架構(gòu)下的防火墻有著傳統(tǒng)防火墻不具備的優(yōu)勢。SDN網(wǎng)絡架構(gòu)下的可編程管理方式具有高度的靈活性，在對防火墻進行功能的升級或應用進行增刪改時無需過度依靠硬件與專業(yè)系統(tǒng)的開發(fā)，可以以模塊或應用程序的方式加入SDN網(wǎng)絡架構(gòu)中。同時，SDN作為一種全新的未來網(wǎng)絡管理架構(gòu)，SDN防火墻具有的彈性化、高效性、細粒度等特性，使其在實際應用中能體現(xiàn)出巨大的實用價值，很好地實現(xiàn)了現(xiàn)有網(wǎng)絡技術(shù)和未來網(wǎng)絡的融合。

  本文在對SDN環(huán)境下防火墻特性分析的基礎(chǔ)上，通過一個實例，利用SDN中數(shù)據(jù)傳輸面板與控制面板分離的特性，以及Pyretic提出的一種基于SDN的網(wǎng)絡編程語言，將本文中的狀態(tài)防火墻策略和流表策略融合到一起，再由控制層面通過控制器POX(Pyretic模式)下發(fā)到虛擬網(wǎng)絡環(huán)境中的交換機中。實驗表明了SDN網(wǎng)絡構(gòu)架環(huán)境下該防火墻下發(fā)的靈活性和細粒度。

6摘要：

軟件定義網(wǎng)絡（software defined networking，SDN）技術(shù)將傳統(tǒng)網(wǎng)絡構(gòu)架解耦為控制平面和數(shù)據(jù)平面，為研發(fā)網(wǎng)絡新應用和未來互聯(lián)網(wǎng)技術(shù)提供了一種新的解決方案。但隨著SDN相關(guān)網(wǎng)絡設(shè)備的出現(xiàn)，安全問題成為制約其發(fā)展的一個重要因素。傳統(tǒng)的防火墻被置于非信任的網(wǎng)絡與被保護網(wǎng)絡之間，當網(wǎng)絡出現(xiàn)安全隱患時采用邊界上的過濾封鎖機制來應對。然而傳統(tǒng)防火墻在面對不斷更新的大量網(wǎng)絡攻擊時仍然漏洞百出，急需對防火墻應對危險的機制進行創(chuàng)新。SDN是一種新興的控制與轉(zhuǎn)發(fā)相分離并直接可編程的網(wǎng)絡架構(gòu)，其核心思想是將傳統(tǒng)網(wǎng)絡設(shè)備緊耦合的網(wǎng)絡架構(gòu)解耦成傳輸面與控制面，網(wǎng)絡管理人員可以通過一個中央控制器向網(wǎng)絡中的交換機下發(fā)防火墻策略。文章先介紹了SDN防火墻架構(gòu)相關(guān)知識后，采用軟件定義網(wǎng)絡編程語言Pyretic編寫一種基于IP地址識別的狀態(tài)防火墻，并將其部署在控制面中。通過搭建虛擬網(wǎng)絡完成狀態(tài)防火墻策略部署與下發(fā)實驗，充分表明該防火墻策略在軟件定義網(wǎng)絡環(huán)境中實現(xiàn)的靈活性與控制的細粒度。