软件定义网络下状态防火墙的设计与实现

doi:10.3969/j.issn.1671-1122.2015.11.008

信息网络安全 ›› 2015, Vol. 15 ›› Issue (11): 47-52.doi: 10.3969/j.issn.1671-1122.2015.11.008

软件定义网络下状态防火墙的设计与实现

刘琦, 陈云芳, 张伟

南京邮电大学,江苏南京 210003

收稿日期:2015-09-01 出版日期:2015-11-25 发布日期:2015-11-20
作者简介:
作者简介：刘琦（1991-）,男,湖北,硕士研究生,主要研究方向：软件定义网络;陈云芳（1976-）,男,江苏,副教授,博士,主要研究方向：信息安全、人工免疫、社会计算;张伟（1973-）,男,江苏,教授,博士,主要研究方向：社会网络分析、恶意代码分析。
基金资助:
国家自然科学基金[61272422]

Design and Implementation of Stateful Firewall Based on Software-defined Networking

LIU Qi, CHEN Yun-fang, ZHANG Wei

Nanjing University of Posts and Telecommunications, Nanjing Jiangsu 210003, China

Received:2015-09-01 Online:2015-11-25 Published:2015-11-20

摘要/Abstract

摘要：

软件定义网络（software defined networking,SDN）技术将传统网络构架解耦为控制平面和数据平面,为研发网络新应用和未来互联网技术提供了一种新的解决方案。但随着SDN 相关网络设备的出现,安全问题成为制约其发展的一个重要因素。传统的防火墙被置于非信任的网络与被保护网络之间,当网络出现安全隐患时采用边界上的过滤封锁机制来应对。然而传统防火墙在面对不断更新的大量网络攻击时仍然漏洞百出,急需对防火墙应对危险的机制进行创新。SDN 是一种新兴的控制与转发相分离并直接可编程的网络架构, 其核心思想是将传统网络设备紧耦合的网络架构解耦成传输面与控制面,网络管理人员可以通过一个中央控制器向网络中的交换机下发防火墙策略。文章先介绍了SDN防火墙架构相关知识后,采用软件定义网络编程语言Pyretic编写一种基于IP地址识别的状态防火墙,并将其部署在控制面中。通过搭建虚拟网络完成状态防火墙策略部署与下发实验,充分表明该防火墙策略在软件定义网络环境中实现的灵活性与控制的细粒度。

关键词: 软件定义网络, 控制器, 状态防火墙

Abstract:

Compared with the traditional network architecture, the control and data planes are decoupled in software-defined networking, which provide a new solution for research on new network applications and future Internet technologies. However, according to the recent research and progress of SDN, security problem has not been addressed, which will be a significant issue. Traditional firewalls in the face of constantly updating a large number of network attacks are still loopholes, the urgent need for innovative mechanisms firewall in the face of danger situation. SDN is a new control and forwarding separation and direct programmable network architecture, the main idea is to decouple traditional tight coupling network equipment to get forwarding plane and control plane, network management staffissued can send the firewall policy to the switches in the network through a central controller. In this paper, after introducing the relevant knowledge of SDN firewall architecture, a stateful firewall policies be designed by a software-defined network programming language pyretic based on IP address recognition, and deployed in the control plane. In order to fully show the flexibility and control of fine-grained firewall policy in software-defined network environments, a stateful firewall policy is deployed and issued in the virtual network.

Key words: software-defined networking, controller, stateful firewall

中图分类号:

TP309

刘琦, 陈云芳, 张伟. 软件定义网络下状态防火墙的设计与实现[J]. 信息网络安全, 2015, 15(11): 47-52.

LIU Qi, CHEN Yun-fang, ZHANG Wei. Design and Implementation of Stateful Firewall Based on Software-defined Networking[J]. Netinfo Security, 2015, 15(11): 47-52.

图/表 5

参考文献 12

[1]	Mckeown N, Anderson T, Balakrishnan H, et al.OpenFlow: Enablinginnovation in campus networks[J]. ACM SIGCOMM Computer Communication Review, 2008,38(2):69-74.
[2]	Elliott C.GENI: Opening up new classes of experiments in global networking[J]. IEEE Internet Computing, 2010,14(1):39-42.
[3]	左青云,陈鸣,赵广松,等.基于OpenFlow的SDN 技术研究[J].软件学报2013,(5):1078-1097.
[4]	Thomas D.Nadeau, Ken Gray .软件定义网络[M].北京:人民邮电出版社,2014.
[5]	雷葆华. SDN核心技术剖析和实战指南[M].北京:电子工业出版社,2013.
[6]	成亚男,董晨,褚灵伟,等.基于软件定义网络的防火墙系统设计与实现[J].计算机应用与软件,2015,(1):286-288,312.
[7]	王淑玲,李济汉,张云勇,等. SDN 架构及安全性研究[J].中国学术期刊电子出版社,2013,(3):117-122.
[8]	王一飞. 陌生网络边界防火墙规则配置方法研究[J]. 信息网络安全,2014,(9):161-164.
[9]	赵可新,陈玉芳.包过滤防火墙系统的设计与研究[J].现代电子技术,2011,34(6) :112-113.
[10]	卿斯汉. 关键基础设施安全防护[J]. 信息网络安全,2015,(2):1-6.
[11]	黄宝座,赵喜求. OpenFlow技术及应用优势分析[J].电脑知识与技术,2012,8(25):5985-5987.
[12]	卢云龙,罗守山,郭玉鹏. 基于改进策略树的防火墙策略审计方案设计与实现[J]. 信息网络安全,2014,(10):64-69.

[1]	赵鹏程, 于俊清, 李冬. 一种基于深度学习的SRv6网络流量调度优化算法[J]. 信息网络安全, 2024, 24(2): 272-281.
[2]	王智, 张浩, 顾建军. SDN网络中基于联合熵与多重聚类的DDoS攻击检测[J]. 信息网络安全, 2023, 23(10): 1-7.
[3]	于俊清, 李自尊, 吴驰, 赵贻竹. 面向软件定义网络的两级DDoS攻击检测与防御[J]. 信息网络安全, 2022, 22(1): 1-8.
[4]	范广宇, 王兴伟, 贾杰, 黄敏. SDN应用平面与控制平面安全交互方法[J]. 信息网络安全, 2021, 21(6): 70-79.
[5]	李朝阳, 谭晶磊, 胡瑞钦, 张红旗. 基于双重地址跳变的移动目标防御方法[J]. 信息网络安全, 2021, 21(2): 24-33.
[6]	王鹃, 杨泓远, 樊成阳. 一种基于多阶段攻击响应的SDN动态蜜罐[J]. 信息网络安全, 2021, 21(1): 27-40.
[7]	冉金鹏, 王翔, 赵尚弘, 高航航. 基于果蝇优化的虚拟SDN网络映射算法[J]. 信息网络安全, 2020, 20(6): 65-74.
[8]	王健, 王语杰, 韩磊. 基于突变模型的SDN环境中DDoS攻击检测方法[J]. 信息网络安全, 2020, 20(5): 11-20.
[9]	周亚球, 任勇毛, 李琢, 周旭. 基于SDN的科学DMZ研究与实现[J]. 信息网络安全, 2019, 19(9): 134-138.
[10]	赖成喆, 王文娟. 面向车队的安全且具备隐私保护的移动性管理框架[J]. 信息网络安全, 2018, 18(7): 36-46.
[11]	石悦, 李相龙, 戴方芳. 一种基于属性基加密的增强型软件定义网络安全框架[J]. 信息网络安全, 2018, 18(1): 15-22.
[12]	李剑锋, 刘渊, 张浩, 王晓锋. 面向IaaS云平台的路由转发优化研究与实现[J]. 信息网络安全, 2017, 17(9): 10-15.
[13]	徐洋, 陈燚, 何锐, 谢晓尧. SDN中DDoS检测及多层防御方法研究[J]. 信息网络安全, 2017, 17(12): 22-28.
[14]	齐宇. SDN安全研究[J]. 信息网络安全, 2016, 16(9): 69-72.
[15]	陈颖聪, 陈广清, 陈智明, 万能. 面向智能电网SDN的二进制代码分析漏洞扫描方法研究[J]. 信息网络安全, 2016, 16(7): 35-39.

软件定义网络下状态防火墙的设计与实现

Design and Implementation of Stateful Firewall Based on Software-defined Networking

RichHTML

PDF (PC)

可视化

摘要/Abstract

引用本文

使用本文

图/表 5

参考文献 12

相关文章 15

编辑推荐

Metrics

本文评价