[发明专利]一种基于SDN网络的应用层报文防火墙方法、装置及介质

说明书

本发明涉及基于SDN网络的应用层报文防火墙方法、装置及介质。本发明将无法在内核层SDN网络组件中匹配到对应第一匹配规则或转发规则的目标网络报文发送给SDN控制器请求相应的匹配规则，SDN控制器利用应用层防火墙规则控制器分析目标网络报文是否进行第二匹配规则匹配；是则，根据目标网络报文的应用层报文数据匹配用户态预设的应用层防火墙规则中对应的规则，获取针对目标网络的第二匹配规则，将第二匹配规则返回给SDN控制器；SDN控制器转换第二匹配规则并将所转换的第二匹配规则下发至内核层防火墙组件，SDN控制器生成针对目标网络报文的转发规则并下发到内核层SDN网络组件。本发明能够形成兼容针对网络报文非应用层和应用层的防火墙。

技术领域

本发明涉及防火墙技术领域，尤其涉及一种基于SDN网络的应用层报文防火墙方法、装置及介质。

背景技术

在云计算，虚拟化快速发展与应用的今天，企业单位以及个人的数据越来越多的存储在网络平台上，安全和稳定越来越成为网络的重点关注功能，保证网络和数据的安全越来越重要。

企业和单位的云上网络数据通讯都依赖于SDN底层技术，SDN网络的功能越来越完善的同时，现有网络环境对SDN的安全技术提出了更高的要求。当前SDN网络环境的防火墙主要针对4层以下的报文进行分类隔离来保证网络安全，对于应用层报文的防火墙考虑不足。特别是，当前的大部分SDN环境的服务器环境运行的都是Linux操作系统，对于Linux操作系统而言，4层网络的防火墙可以基于现有的Linux内核协议栈来完成报文的探测，甄别和处理，内核层面的防火墙机制设置的防火墙规则没有老化机制，过多的防火墙规则，也会降低效率。另外Linux内核层面没有7层网络防火墙机制，现有的7层网络防火墙机制都是将报文直接送到应用层，由应用层进行裁决。但是应用层和内核层面的报文获取，涉及到内存拷贝，频繁的在应用层内核层进行内存拷贝也会影响到性能。综上就防火墙而言，在内核层面，并不支持对于报文应用层数据的解析和处理，实际上在内核层面解析应用层报文，然后针对具体的应用进行分析，降低系统的整体的效率。内核层防火墙也仅仅对于4层协议以下进行分析处理，对于应用层无能为力，现有的不少应用层防火墙则是将应用层的报文全部上送的应用层，由应用层一一处理，在有大量的报文上送应用层进行处理时，势必降低整体效率，而且应用的防火墙规则一般没有老化机制，规则越多，查询效率就会越低。

发明内容

为了解决上述技术问题或者至少部分地解决上述技术问题，本发明提供一种基于SDN网络的应用层报文防火墙方法、装置及介质。

第一方面，本发明提供一种基于SDN网络的应用层报文防火墙方法，包括：

将无法在内核层SDN网络组件中匹配到对应第一匹配规则或转发规则的目标网络报文发送给SDN控制器请求相应的匹配规则，SDN控制器将目标网络报文上送至应用层防火墙规则控制器分析是否进行第二匹配规则匹配；

是则，应用层防火墙规则控制器根据目标网络报文的应用层报文数据匹配用户态预设的应用层防火墙规则中对应的规则，以获取针对目标网络报文的应用层报文数据的第二匹配规则，将第二匹配规则返回给SDN控制器；

SDN控制器转换第二匹配规则并将所转换的第二匹配规则下发至内核层防火墙组件，SDN控制器生成针对目标网络报文的转发规则并下发到内核层SDN网络组件。

更进一步地，对于接收到的网络报文，针对网络报文的前4层报文协议头在内核层SDN网络组件中匹配第一匹配规则或转发规则，检测网络报文是否匹配到对应的第一匹配规则或转发规则；

是则，按照所匹配的第一匹配规则或转发规则处理网络报文；

否则，将该网络报文作为目标网络报文发送给SDN控制器请求相应的匹配规则。

更进一步地，在应用层防火墙规则控制器分析目标网络报文无需进行第二匹配规则匹配时，SDN控制器将对应目标网络报文前4层报文协议头的第一匹配规则下发给所述内核层SDN网络组件。