[发明专利]一种基于SDN网络的应用层报文防火墙方法、装置及介质

权利要求书

1.一种基于SDN网络的应用层报文防火墙方法，其特征在于，包括：

对于接收到的网络报文，针对网络报文的前4层报文协议头在内核层SDN网络组件中匹配第一匹配规则或转发规则，检测网络报文是否匹配到对应的第一匹配规则或转发规则；

是则，按照所匹配的第一匹配规则或转发规则处理网络报文；

否则，将该网络报文作为目标网络报文发送给SDN控制器请求相应的匹配规则；SDN控制器将目标网络报文上送至应用层防火墙规则控制器分析是否进行第二匹配规则匹配；

是则，应用层防火墙规则控制器根据目标网络报文的应用层报文数据匹配用户态预设的应用层防火墙规则中对应的规则，以获取针对目标网络报文的应用层报文数据的第二匹配规则，将第二匹配规则返回给SDN控制器；

所述SDN控制器接收到由所述应用层防火墙规则控制器反馈的针对目标网络报文的第二匹配规则，SDN控制器根据该目标网络报文的前4层报文协议头生成对应的转发规则，所述SDN控制器将转发规则下发给所述内核层SDN网络组件，所述内核层SDN网络组件将与该目标网络报文的前4层报文协议头相同的网络报文转发给内核层防火墙组件匹配对应的第二匹配规则处理。

2.根据权利要求1所述的基于SDN网络的应用层报文防火墙方法，其特征在于，在应用层防火墙规则控制器分析目标网络报文无需进行第二匹配规则匹配时，SDN控制器将对应目标网络报文前4层报文协议头的第一匹配规则下发给所述内核层SDN网络组件。

3.根据权利要求1所述的基于SDN网络的应用层报文防火墙方法，其特征在于，所述应用层防火墙规则控制器解析所获取的目标网络报文并获取目标网络报文的应用层报文数据，根据应用层报文数据分析目标网络报文是否进行第二匹配规则匹配。

4.根据权利要求1所述的基于SDN网络的应用层报文防火墙方法，其特征在于，将转发至内核层防火墙组件且无法在内核层防火墙组件匹配到对应第二匹配规则的目标网络报文发送给SDN控制器请求相应的第二匹配规则。

5.根据权利要求1所述的基于SDN网络的应用层报文防火墙方法，其特征在于，所述内核层SDN网络组件和所述内核层防火墙组件均配置老化机制，对于在预设老化时间内没有网络报文命中的第一匹配规则、第二匹配规则和转发规则进行老化清除。

6.根据权利要求5所述的基于SDN网络的应用层报文防火墙方法，其特征在于，第二匹配规则和相应的转发规则的老化时间一致。

7.一种实现基于SDN网络的应用层报文防火墙方法的装置，其特征在于，包括：报文接收模块，所述报文接收模块接收网络报文；

第一匹配规则模块，所述第一匹配规则模块根据网络报文前4层报文协议头匹配对应的第一匹配规则或转发规则处理网络报文；

第二匹配规则模块，所述第二匹配规则模块根据网络报文应用层报文数据匹配对应的第二匹配规则处理网络报文；

SDN控制器，所述SDN控制器根据匹配规则请求向第一匹配规则模块下发第一匹配规则或转发规则，或向第二匹配规则模块下发第二匹配规则；

应用层防火墙规则控制器，所述应用层防火墙规则控制器用于分析网络报文是否需要根据应用层报文数据进行第二匹配规则匹配处理，是则根据网络报文应用层报文数据匹配防火墙规则配置模块预设的应用层防火墙规则中的对应规则形成第二匹配规则返回给SDN控制器；

防火墙规则配置模块，所述防火墙规则配置模块配置应用层防火墙规则；

老化模块，所述老化模块控制第一匹配规则模块和第二匹配规则模块中相应的规则老化。

8.一种实现基于SDN网络的应用层报文防火墙方法的介质，其特征在于，所述实现基于SDN网络的应用层报文防火墙方法的介质存储至少一条指令，所述指令被处理器读取并执行实现如权利要求1-6任一所述的基于SDN网络的应用层报文防火墙方法。