基于openflow的SDN防火墙安全增强ppt课件.pptx

1、2 2、作品介绍、作品介绍1 1、项目背景、项目背景3 3、创新性与实用性、创新性与实用性4 4、系统演示、系统演示软件定义网络（软件定义网络（SDNSDN）互联网的发展方向互联网的发展方向云计算云计算大数据大数据移动设备移动设备可升级性可升级性网络虚拟化网络虚拟化更大的带宽更大的带宽更好的移动性更好的移动性硬件硬件应用应用硬件硬件硬件硬件硬件硬件硬件硬件操作系统操作系统操作系统操作系统操作系统网络操作系统控制程序控制程序应用应用应用应用应用应用应用应用网络重构网络重构-SDN-SDN SDN SDN 市值在市值在20182018年将达到年将达到350350亿美元亿美元(SDNSDN市值预期市

2、值预期OpenFlowOpenFlow协议下协议下SDNSDN中的安全威胁中的安全威胁只在头交只在头交换机做检换机做检查，之后查，之后数据流不数据流不检查检查没有监没有监视数据视数据流状态流状态的能力的能力 现行的现行的防火墙防火墙容易被容易被绕过绕过严重严重头交换机检查检查OpenFlowOpenFlow协议用来描述控制器和交换机之协议用来描述控制器和交换机之间交互所用信息的标准，以及控制器和交间交互所用信息的标准，以及控制器和交换机的接口标准。协议的核心部分是用于换机的接口标准。协议的核心部分是用于OpenFlowOpenFlow协议信息结构的集合。协议信息结构的集合。OF SwitchH

3、ost AHost CSDN ControllerHost DHost B安全威胁示例：绕过防火墙安全威胁示例：绕过防火墙 Host A Host B Host DOF SwitchHost AHost CSDN ControllerHost DHost BB D:Modify dst:CFlow tableA D:Modify src:BB C:ForwardFirewall RulesA C:DenyRule 2Rule N安全威胁示例：绕过防火墙安全威胁示例：绕过防火墙 Host A Host B Host C Host D现有解决方法现有的解决方案现有的解决方案OF SwitchHos

4、t AHost BB D:Modify dst:CFlow tableA D:Modify src:BB C:ForwardFirewall RulesA C:DenyRule 2Rule N Host A Host B Host C Host DACDenyD,CModify src,Modify dst,Forward求交集求交集求交集求交集求交集求交集AC空集冲突冲突现有的解决方案现有的解决方案ActionActionSrcSrcDstDst只能应用于单交换机的网络环境，没只能应用于单交换机的网络环境，没有实用性有实用性不能建立对整个网络状态的全局观测，不能建立对整个网络状态的全局观测，

5、冲突检测不完整，会出现误报的情况冲突检测不完整，会出现误报的情况没有完善的冲突解决策略没有完善的冲突解决策略我们的解决方案我们的解决方案基于基于flowpathflowpath的冲突检测与解决的冲突检测与解决2 2、作品介绍、作品介绍1 1、项目背景、项目背景3 3、创新性与实用性、创新性与实用性4 4、系统演示、系统演示界面化管理界面化管理系统主界面系统主界面Flowpath Flowpath 探测模块探测模块冲突检测模块冲突检测模块冲突解决模块冲突解决模块流表流表1A-B in:1Modify src:C out:42C-B in:7Modify dst:D out:83C-D in:10

6、Forward out:12A S1 S3 S4 DflowpathFlowpathFlowpath探测模块探测模块流表流表防火墙防火墙1 A-Ddeny2 冲突！冲突！冲突检测模块冲突检测模块流表流表流表流表1A-B in:1Modify src:C out:42C-B in:7Modify dst:D out:83C-D in:10Forward out:12头交换机阻断流表头交换机阻断流表1A-B in:1deny尾交换机阻断流表尾交换机阻断流表1 C-D in:10deny冲突解决模块冲突解决模块2 2、作品介绍、作品介绍1 1、项目背景、项目背景4 4、系统演示、系统演示3 3、创新性与实用性、创新性与实用性可适用于多交可适用于多交换机网络环境换机网络环境可视化冲突检可视化冲突检测与解决，简测与解决，简化了操作化了操作实用性实用性弥补了弥补了OpenFlowOpenFlow协议协议本身的漏洞本身的漏洞