收稿日期：2024-01-27

基金項目：2022年嘉興職業(yè)技術學院訪問工程師校企合作項目（嘉職人〔2022〕93號）

DOI：10.19850/j.cnki.2096-4706.2024.07.032

摘? 要：軟件定義網(wǎng)絡（SDN）作為新的網(wǎng)絡技術，能很好地滿足現(xiàn)在對網(wǎng)絡規(guī)模和性能的要求。為了進一步提升SDN網(wǎng)絡的安全性，文章對SDN網(wǎng)絡的防火墻系統(tǒng)進行了研究，利用控制平面與數(shù)據(jù)平面分離的特點，采用控制平面對網(wǎng)絡集中進行實時監(jiān)控與網(wǎng)絡管理，在SDN控制器中實現(xiàn)數(shù)據(jù)包過濾與入侵監(jiān)測，通過自定義數(shù)據(jù)轉(zhuǎn)發(fā)和安全策略，實現(xiàn)集中式安全控制，最終實現(xiàn)網(wǎng)絡安全性能提升。

關鍵詞：網(wǎng)絡安全；軟件定義網(wǎng)絡；防火墻系統(tǒng)；數(shù)據(jù)包過濾；入侵監(jiān)測

中圖分類號：TP311? ? 文獻標識碼：A? ? 文章編號：2096-4706（2024）07-0161-05

Design and Implementation of Firewall System Based on SDN Network

WANG Yuting

（College of Internet， Jiaxing Vocational & Technical College， Jiaxing? 314036， China）

Abstract： Software Defined Networking （SDN）， as a new network technology， can well meet the current requirements for network size and performance. In order to further enhance the security protection for SDN network， this paper studies the firewall system of SDN network. By utilizing the separation characteristic of control plane and data plane， the control plane is used for real-time monitoring and network management of the network. The data packet filtering and intrusion monitoring are implemented in the SDN controller. By customizing data forwarding and security policies， centralized security control is achieved， ultimately improving network security performance.

Keywords： network security; SDN; firewall system; data packet filtering; intrusion monitoring

0? 引? 言

隨著大數(shù)據(jù)、云計算、物聯(lián)網(wǎng)等技術的興起，網(wǎng)絡技術得到了進一步的發(fā)展，人們對網(wǎng)絡的需求越來越大，對網(wǎng)絡的要求也越來越高，因此網(wǎng)絡發(fā)展面臨著巨大挑戰(zhàn)。同時網(wǎng)絡安全的理念日益深入人心，對網(wǎng)絡安全的重視程度也在加強，也對網(wǎng)絡安全性能進一步提出了更高要求。防火墻技術作為重要的網(wǎng)絡安全機制，部署在網(wǎng)絡邊緣，能有效地區(qū)隔內(nèi)外網(wǎng)，保護私有網(wǎng)絡免受非法攻擊。但傳統(tǒng)網(wǎng)絡設備以封閉硬件形態(tài)交付，軟硬件強耦合，在傳統(tǒng)架構上進行防火墻部署受硬件影響，缺乏靈活性也難以進行二次開發(fā)，不能很好地滿足現(xiàn)在對網(wǎng)絡軟件化、自動化、協(xié)作化、智能化的要求[1]。網(wǎng)絡中引入新的網(wǎng)絡架構——軟件定義網(wǎng)絡（Software Defined Network， SDN）以適應網(wǎng)絡發(fā)展要求并克服傳統(tǒng)網(wǎng)絡中存在的弊端[2]，SDN網(wǎng)絡具有可協(xié)同、軟件可編程、具有開放接口的特點，可以很好地實現(xiàn)軟硬件分離，數(shù)據(jù)平面與控制平面解耦，改變傳統(tǒng)網(wǎng)絡安全防護體系，數(shù)據(jù)平面中的網(wǎng)絡設備（如路由器、交換機等）僅執(zhí)行控制平面下發(fā)的防火墻策略，而控制平面實現(xiàn)防火墻策略部署，能夠?qū)W(wǎng)絡進行網(wǎng)絡全局監(jiān)控和集中控制，實現(xiàn)安全策略的靈活部署和集中控制，有效提升網(wǎng)絡防護效率。

本文將設計一種基于SDN網(wǎng)絡的防火墻系統(tǒng)，通過控制平面集中收集網(wǎng)絡信息，并自定義傳輸路由規(guī)則和防火墻策略規(guī)則，實現(xiàn)對網(wǎng)絡安全策略的靈活部署與集中管理，能有效地對網(wǎng)絡進行安全管理并提升網(wǎng)絡防護效率。

1? 基于SDN網(wǎng)絡的防火墻系統(tǒng)

1.1? SDN網(wǎng)絡

軟件定義網(wǎng)絡SDN是由美國斯坦福大學Clean-Slate課題研究組最先提出，是一種基于OpenFlow技術的新型網(wǎng)絡創(chuàng)新架構[3]，能夠有效實現(xiàn)網(wǎng)絡虛擬化。網(wǎng)絡結構由原本的分布式控制轉(zhuǎn)變?yōu)榧锌刂?。該架構下將控制與轉(zhuǎn)發(fā)分離，實現(xiàn)網(wǎng)絡的轉(zhuǎn)控分離、集中控制、開放接口三個主要特征[4]。SDN網(wǎng)絡框架如圖1所示，由轉(zhuǎn)發(fā)設備和鏈路構成基礎轉(zhuǎn)發(fā)網(wǎng)絡，位于SDN網(wǎng)絡架構的轉(zhuǎn)發(fā)層，主要負責執(zhí)行用戶數(shù)據(jù)的轉(zhuǎn)發(fā)，而控制層生成在轉(zhuǎn)發(fā)過程中需要的轉(zhuǎn)發(fā)表項，并通過OpenFlow協(xié)議由南向接口下發(fā)?？刂茖邮钦麄€網(wǎng)絡的控制中心，負責收集網(wǎng)絡信息，實現(xiàn)鏈路發(fā)現(xiàn)、拓撲管理、策略制定、表項下發(fā)等支持SDN網(wǎng)絡運行的基本操作[5]。應用層則是能承載體現(xiàn)用戶意志的上層用戶應用。

1.2? 防火墻技術

防火墻常被部署在網(wǎng)絡邊緣，如在企業(yè)內(nèi)部網(wǎng)絡和不可信的外部公共網(wǎng)絡間[6]，是一種常見的網(wǎng)絡安全保障措施，通過實施相關的安全策略（如允許、拒絕、監(jiān)視、記錄）來保護網(wǎng)絡免受外界的干擾和破壞，從而確保網(wǎng)絡安全。防火墻結構如圖2所示，防火墻位于網(wǎng)絡邊緣，隔離需保護的內(nèi)部網(wǎng)絡與外部公共網(wǎng)絡，對經(jīng)過防火墻的每一個數(shù)據(jù)包均進行判斷，允許通過合法的數(shù)據(jù)，否則將丟棄數(shù)據(jù)，從而實現(xiàn)對網(wǎng)絡保護的作用。

按照防火墻的工作模式進行分類，防火墻技術可以分為包過濾防火墻、狀態(tài)檢測防火墻等[7]。包過濾防火墻是一種重要的防火墻技術，又稱分組過濾路由器或網(wǎng)絡層防火墻，主要工作于網(wǎng)絡層，一般以路由器作為網(wǎng)絡防火墻設備，過濾規(guī)則是在設備中預先設定的，將檢測數(shù)據(jù)包與過濾規(guī)則進行匹配，主要檢測地址、協(xié)議、端口等信息，通過匹配結果決定是否允許數(shù)據(jù)包通過，通常將過濾方式分為靜態(tài)和動態(tài)兩種。

包過濾防火墻簡單、有效，可以實現(xiàn)對網(wǎng)絡的保護和對網(wǎng)絡流量的控制，但該技術不對數(shù)據(jù)包內(nèi)容進行分析檢測，無法實現(xiàn)復雜的控制，也容易被攻擊者繞過。

1.3? SDN網(wǎng)絡防火墻與傳統(tǒng)網(wǎng)絡防火墻對比

傳統(tǒng)網(wǎng)絡防火墻基本由硬件制造商制定相應防火墻策略，受硬件限制，難以根據(jù)用戶需求設置自定義策略，缺乏擴展性和靈活度，網(wǎng)絡的二次開發(fā)難度較大，當網(wǎng)絡中多地需要進行防火墻部署時，受分布式控制網(wǎng)絡結構影響會造成網(wǎng)絡管理困難。與傳統(tǒng)網(wǎng)絡防火墻相比，SDN網(wǎng)絡防火墻得益于軟硬件解耦以及集中控制的網(wǎng)絡結構，能通過控制層對網(wǎng)絡進行全局監(jiān)控，收集網(wǎng)絡實時流量情況，并能根據(jù)收集到的網(wǎng)絡情況進行防火墻規(guī)則的集中設計，同時自定義傳輸數(shù)據(jù)的路由規(guī)則和策略規(guī)則，具有靈活性，改變網(wǎng)絡防護體系，提升網(wǎng)絡防護效率。

2? 系統(tǒng)設計

2.1? 基于SDN網(wǎng)絡的防火墻系統(tǒng)設計

基于SDN網(wǎng)絡的防火墻網(wǎng)絡部署圖如圖3所示，該結構下網(wǎng)絡部署與傳統(tǒng)網(wǎng)絡不同，傳統(tǒng)網(wǎng)絡需在廣域網(wǎng)與內(nèi)部網(wǎng)絡之間部署防火墻設備，將防火墻策略設置在防火墻設備上，防火墻策略與設備存在強耦合關系，如果需要對多地進行防火墻管理則需部署多個防火墻設備。但在SDN網(wǎng)絡防火墻結構中可以在SDN控制器上集中部署防火墻策略，該控制器能夠?qū)W(wǎng)絡中流量等信息進行實時監(jiān)控，并通過數(shù)據(jù)流表的形式將安全策略下發(fā)給交換機等設備，交換機設備僅需執(zhí)行SDN控制器的策略即可實現(xiàn)相應防火墻功能，在該部署情況下防火墻策略和傳輸策略等均可實現(xiàn)自定義，具有集中控制和靈活性，對多地的防火墻管理均可通過統(tǒng)一的控制器實現(xiàn)，能有效地提升網(wǎng)絡防護和數(shù)據(jù)傳輸效率。

基于SDN網(wǎng)絡的防火墻系統(tǒng)框架如圖4所示，系統(tǒng)主要由數(shù)據(jù)層和控制層兩部分組成。轉(zhuǎn)發(fā)層由網(wǎng)絡設備（如OpenFlow交換機等）組成，主要負責執(zhí)行控制層制定的防火墻策略、轉(zhuǎn)發(fā)數(shù)據(jù)包以及對網(wǎng)絡流量的監(jiān)控[8]。SDN控制器采用下發(fā)數(shù)據(jù)流表的方式對轉(zhuǎn)發(fā)層設備進行管理[9]。數(shù)據(jù)流表分為轉(zhuǎn)發(fā)流表和安全控制流表，轉(zhuǎn)發(fā)流表實現(xiàn)網(wǎng)絡二層轉(zhuǎn)發(fā)功能，通過相應信息（如MAC地址信息、設備端口號等）明確數(shù)據(jù)轉(zhuǎn)發(fā)路徑。安全控制流表則根據(jù)轉(zhuǎn)發(fā)層設備上傳的網(wǎng)絡流量信息對網(wǎng)絡情況進行分析，并下發(fā)對應網(wǎng)絡安全策略，根據(jù)該策略轉(zhuǎn)發(fā)層網(wǎng)絡設備進行策略執(zhí)行?？刂茖佑蒘DN控制器組成，主要負責根據(jù)網(wǎng)絡情況制定防火墻策略、進行網(wǎng)絡流量監(jiān)控、網(wǎng)絡日志管理、拓撲發(fā)現(xiàn)等?？刂茖訉崿F(xiàn)防火墻策略有：1）數(shù)據(jù)包過濾：部署過濾規(guī)則，設置允許或拒絕的數(shù)據(jù)包源的信息（如源地址、目的地址、端口號、協(xié)議類型等），通過該策略規(guī)則實現(xiàn)數(shù)據(jù)包篩選；2）入侵監(jiān)測：根據(jù)數(shù)據(jù)包狀態(tài)及特征來判斷是否有網(wǎng)絡攻擊等。

2.2? 防火墻策略設計

在SDN網(wǎng)絡中控制層包含安全策略模塊，該模塊配置防火墻規(guī)則以及入侵監(jiān)測。SDN控制器以主動方式下發(fā)流表項對轉(zhuǎn)發(fā)層設備進行管理，在產(chǎn)生新的防火墻規(guī)則時，則會通過OpenFlow流表轉(zhuǎn)發(fā)給網(wǎng)絡設備從而實現(xiàn)規(guī)則更新[10]。

包過濾防火墻對經(jīng)過的數(shù)據(jù)包進行管理，管理依據(jù)為包過濾規(guī)則，防火墻規(guī)則如圖5所示，其中NW_SRC表示數(shù)據(jù)包源IP地址，NW_DST表示數(shù)據(jù)包目標IP地址，NW_PROTO表示協(xié)議類型，STATUS表示執(zhí)行動作（允許或拒絕），RULE_ID表示規(guī)則ID。

包過濾防火墻工作流程如圖6所示，防火墻以事件為驅(qū)動，當監(jiān)聽到有事件時則會主動按照規(guī)則構建防火墻規(guī)則，構造完成的防火墻規(guī)則會進一步構造為流表項，再通過OpenFlow協(xié)議下發(fā)給轉(zhuǎn)發(fā)層網(wǎng)絡設備，網(wǎng)絡設備根據(jù)規(guī)則對經(jīng)過數(shù)據(jù)包執(zhí)行相應操作。

SDN網(wǎng)絡中入侵監(jiān)測也是其防火墻系統(tǒng)的重要組成部分，入侵監(jiān)測流程如圖7所示。當有數(shù)據(jù)流輸入時，控制器會抓取數(shù)據(jù)包并對數(shù)據(jù)進行預處理，處理后的數(shù)據(jù)流會跟事先定義的規(guī)則庫進行比對，當數(shù)據(jù)流監(jiān)測到正常數(shù)據(jù)流經(jīng)過時則允許通過，但當被監(jiān)測數(shù)據(jù)流為攻擊數(shù)據(jù)時則通過流表下發(fā)至設備拒絕數(shù)據(jù)通過并更新對應規(guī)則。

3? 實驗與結果

3.1? 實驗環(huán)境

本實驗使用MININET作為網(wǎng)絡仿真平臺來搭建SDN網(wǎng)絡架構，控制器采用RYU，防火墻策略運行在SDN控制器上，控制器主要負責策略的制定與下發(fā)，OpenFlow交換機作為網(wǎng)絡的主要組成單元，負責安全策略的執(zhí)行。操作系統(tǒng)為Ubuntu 16.04。實驗網(wǎng)絡拓撲如圖8所示，其中c0為集中控制器，掌握網(wǎng)絡拓撲結構以及各鏈路數(shù)據(jù)傳輸速率等，集中管理整個網(wǎng)絡，根據(jù)網(wǎng)絡區(qū)域制定合適的安全策略，s1為OpenFlow交換機，負責執(zhí)行SDN控制器制定的安全策略，允許或拒絕數(shù)據(jù)包的通過，h1～h3為網(wǎng)絡用戶，網(wǎng)絡結構通常存在一個非軍事區(qū)（Demilitarized Zone， DMZ），該區(qū)域主要用來解決外網(wǎng)設備需要對內(nèi)網(wǎng)用戶的訪問，在實驗網(wǎng)絡結構中，h1用戶處于DMZ區(qū)域，h2和h3用戶處于內(nèi)網(wǎng)區(qū)域。

3.2? 實驗結果

實驗網(wǎng)絡搭建結果如圖9所示，通過MININET實現(xiàn)SDN控制器、OpenFlow交換機以及3個網(wǎng)絡用戶構建，h1用戶處設置Web服務器對外端口為80，h1和h2將運行包過濾防火墻，對經(jīng)過的數(shù)據(jù)包進行篩選，h3將運行入侵監(jiān)測開啟對經(jīng)過h3數(shù)據(jù)的檢測。

圖10是防火墻運行情況，實驗結果顯示在該網(wǎng)絡結構下構建防火墻成功，c0為控制器負責防火墻策略制定，s1為OpenFlow交換機負責防火墻策略執(zhí)行。

用戶h1處于DMZ區(qū)域，用戶h2處于內(nèi)網(wǎng)，通過在h1～h2之間增加包過濾防火墻，允許h1與h2之間通過ICMP數(shù)據(jù)包，用戶間的防火墻策略如圖11所示，在兩個用戶間增加允許通過的防火墻策略后，如圖12所示，可以發(fā)現(xiàn)h1和h2用戶可以執(zhí)行ping指令。

用戶h1位于DMZ區(qū)域，DMZ區(qū)域設置的目的是為了解決部署防火墻以后外網(wǎng)無法對內(nèi)網(wǎng)進行訪問的問題，是設立在安全區(qū)域與非安全區(qū)域之間的緩沖，圖13結果顯示在h1上部署了服務器，服務器對外端口為80，在h1上設立了包過濾防火墻允許外網(wǎng)用戶訪問DMZ區(qū)域的服務器。

用戶h3位于內(nèi)網(wǎng)區(qū)域，對目標地址為h3的數(shù)據(jù)進行入侵監(jiān)測，當數(shù)據(jù)流為正常時數(shù)據(jù)通過，否則將拒絕數(shù)據(jù)通過，如圖14所示對目標地址為h3的數(shù)據(jù)開啟監(jiān)測功能。

4? 結? 論

本文使用新型網(wǎng)絡架構SDN網(wǎng)絡，采用集中控制式網(wǎng)絡，通過SDN控制器對網(wǎng)絡進行全局監(jiān)控，實時收集網(wǎng)絡情況，并根據(jù)情況制定合適的防火墻策略，通過OpenFlow協(xié)議將數(shù)據(jù)轉(zhuǎn)發(fā)和安全控制流表下發(fā)至交換機等網(wǎng)絡設備，網(wǎng)絡設備對防火墻策略進行執(zhí)行，該方案下設計的防火墻策略有包過濾規(guī)則和入侵監(jiān)測，能夠?qū)τ脩暨M行有效保護，有利于構建新型的網(wǎng)絡安全防護體系，滿足網(wǎng)絡發(fā)展需求。

參考文獻：

[1] 甘興龍.綜合網(wǎng)管系統(tǒng)中多agent模型與結構的研究和實現(xiàn) [D].北京：北京交通大學，2009.

[2] 高東松.基于SDN控制器和流量調(diào)度的負載均衡策略研究 [D].合肥：安徽大學，2022.

[3] 何亨，蔣俊君，宋亞州.面向創(chuàng)新人才培養(yǎng)的《軟件定義網(wǎng)絡》課程建設研究 [J].創(chuàng)新創(chuàng)業(yè)理論研究與實踐，2020，3（19）：42-44.

[4] 陳松.基于SDN的故障檢測及恢復研究 [D].東營：中國石油大學（華東），2019.

[5] 王瑞雪.面向數(shù)據(jù)中心的軟件定義網(wǎng)絡技術研究 [D].北京：北京交通大學，2017.

[6] 董宏勇.網(wǎng)絡信息安全的管理與隱患防范研究 [D].呼和浩特：內(nèi)蒙古大學，2011.

[7] 徐強.基于正則匹配和支持向量機的Web應用防火墻研究 [D].太原：中北大學，2019.

[8] 宋姝雨.基于軟件定義安全的防火墻系統(tǒng)設計與實現(xiàn) [D].杭州：浙江大學，2020.

[9] 周亞球，任勇毛，李琢，等.基于SDN的科學DMZ研究與實現(xiàn) [J].信息網(wǎng)絡安全，2019（9）：134-138.

[10] 龔燕波，劉瑛，陳健林.基于OpenFlow流表的云網(wǎng)絡異常行為主動監(jiān)測和處理 [J].電信工程技術與標準化，2019，32（7）：34-39.

作者簡介：王玉婷（1991—），女，漢族，安徽池州人，助教，碩士，研究方向：大數(shù)據(jù)技術、5G技術。