Implementation and Performance Analyisis of Sdn Firewall on Pox Controller

摘要

SDN是计算机网络系统的新范例，其中网络控制平面与数据平面分离，并分配给在控制层运行的称为控制器的专用特定软件程序。SDN通过软件应用完全控制和管理网络，并希望改变当前网络基础设施的局限性。SDN出现以来表现出来了许多优点，不仅引入了网络架构的根本变化，而且简化了网络的控制和管理，但另一方面也出现了许多挑战。由于SDN的新体系结构而面临的一个根本问题是安全隐患。
　　解耦控制平面和数据平面带来了抽象模型的优点，使得控制和数据平面分开开发以及轻松管理和编程分布式底层网络（数据平面）的能力更加容易。SDN的出现促进了网络管理的进步，并且在很多方面都有创新。
　　由于防火墙是第一道防线，部署防火墙以保护网络免受威胁是至关重要不可或缺的。此外它是许多大型组织和基金会网络中使用的最广泛的安全机制。通常防火墙位于 LAN和公共网络（互联网）之间的边界。它通过检查所有传入和传出的数据包，然后根据已经指定的规则允许或拒绝来过滤所有流量。像传统网络一样，限制不必要的数据流量也是 SDN网络中需要的一个问题。由于复杂的设置和配置，网络规则和策略的动态变化以及流量状况，防火墙的部署有时会变得更加困难。然而 SDN通过提供以 SDN应用形式开发和部署这种机制的可能性来促进访问控制机制的实施和实施。
　　本文的主要目的是通过设计在POX控制器顶部运行的防火墙应用程序，通过SDN POX控制器限制不必要的流量来保护数据流量。
　　本文的主要贡献如下是：
　　⑴保护SDN网络。
　　⑵构建可以在多个层次工作的防火墙应用程序，并且具有限制硬件地址和IP地址的能力。
　　⑶保护虚拟端口安全，阻止对某些虚拟端口的访问。
　　⑷本文提出了防火墙模块，它在安全、管理、部署和成本方面都有很大的优势，是传统物理防火墙的最佳选择。
　　⑸最后通过 OpenFlow控制器与本文的防火墙模块运行和 L2_learning开关之间的分析和比较，来测量本文提出的防火墙模块的性能。
　　作为SDN核心的SDN控制器是SDN的中心实体和战略点，它是网络的大脑，同时也是网络的一种操作系统（OS）。SDN控制器处理应用平面和数据平面之间的所有流量，执行数据平面上的决策如何根据网络策略转发或修改流。因此它有效简化了网络的监控和管理，提供灵活性和智能化网络。
　　OpenFlow控制器提供两种模式，即被动和主动两种模式。这两种模式来管理OpenFlow交换机的流表条目。在被动模式下，数据包在进入时被处理，其中交换机的流表条目仅在对于相应流的分组的情况下才安装的情况下才被首先看到。
　　每当首次看到相应流的数据包时，交换机将通过一种事件来触发控制器，因此控制器会在该交换机中插入流条目。每个流条目与idle_timeout和hard_timeout相关联，如果没有数据包与上一个 idle_timeout秒中的规则匹配，或者自插入流程以来已经有hard_timeout秒，交换机将删除该条目并发送流消除的消息。
　　被动模式显示了现有流表存储器中最精通的利用率。然而每个新的流程都会产生一些额外的建立时间，这增加了转发延迟。这种模式的主要缺点是开关完全依赖于控制器。因此如果与控制器的连接丢失，则交换机不能转发数据包。
　　该模式的另一个缺点是太多的数据包可以转发到将消耗其大部分资源的控制器。这个缺点可以通过安装“拒绝”或“阻止”流修改来阻止交换机级别的不需要的数据包，并继续丢弃更多类似的数据包。然而这种模式仍然存在诸如，减少对大流量表的需求、管理的灵活性等缺点。
　　在主动模式下，控制器不等待接收事件作出反应，而是主动安装每个交换机中具有流条目的流表。这种模式的优点是没有流程建立时间，因为转发规则已经被定义和插入了。另一个优点是连接失败的控制器不影响交换机转发数据包。但是，这种方法的主要缺点是流表必须包含可能不适合昂贵的 TCAM的所有路由的流条目。因此，这种模式需要进行艰巨的管理。
　　为了实现和测试本文提出的的防火墙的功能，使用了以下工具：
　　⑴ Mininet，它是一个网络仿真器，用于创建真实的虚拟SDN网络拓扑。
　　⑵ POX控制器，该控制器是支持 OpenFlow的基于开源Python的SDN控制器。
　　⑶VirtualBox，它为虚拟网络的形成提供了一个环境，用于安装Mininet VM。
　　⑷ Wireshark和Jperf公司提供测试和性能分析。
　　本文提出的防火墙的主要责任是根据分析的报头过滤报文，然后根据指定的规则进行允许或拒绝。因此，它需要与开关模块一起运行，负责执行 OpenFlow开关作为一种类型的l2_learning开关。但是同时运行这两个模块会导致OpenFlow错误消息，因为两个模块都将尝试访问相同的缓冲区 ID。此外两个模块可能会在OpenFlow交换机中安装不同的规则，流表项，这些模块可能会导致策略冲突。
　　为了解决冲突问题，有两种方法：第一种方法是创建一个名为“Master”的类，其中包括防火墙模块和交换机模块。“Master”类的规则正在组织调用模块功能的顺序。第二种方法是将两个模块分开，但是应该修改交换机模块以监听防火墙模块发出的事件代替 OpenFlow协议触发的事件。在本文的工作中，实现了第二种模式。L2_learning开关选择与本文的防火墙模块一起运行，并修改为侦听其触发的事件。因此，两个模块将协同工作。首先防火墙应用程序开始解析防火墙策略，然后侦听从交换机发送的新事件。在收到数据包后，防火墙应用程序解析数据包以取出以太网头，学习或更新包含与 MAC地址关联的交换机端口的表，然后检查是否为IP包或ARP请求。如果是 IP数据包，则在“ping”或TCP段或UDP数据报的情况下检查是否为 ICMP，并根据指定的规则进行阻塞或允许。如果是ARP请求，则ARP ARP将响应ARP应答，然后在交换机上存储流表条目，加快数据包的处理速度，减少控制器交换机链路的带宽消耗。由于该防火墙是无状态的，因此它不会保留任何状态的信息来跟踪正在进行的连接。
　　本文实现的系统中，还创建了两个 python脚本：第一个 python脚本“Mycustom-topo.py”用于本文的实验设置来创建自定义拓扑，第二个是“SDN-Firewall”。
　　使用SDN方法，由于控制平面和数据平面的去耦，网络的配置，管理，控制和故障排除变得更加容易和快捷。因此，网络变得灵活，可行和高效。
　　通过实验结果表明，S D N防火墙应用程序可以替代传统的防火墙，因为它具有与物理防火墙相同的功能，无任何明显的成本。而且，通过监控和过滤内部流量，使网络更加安全。本文通过三层工作能力实现 SDN防火墙应用的效率，检测和阻止不需要的ICMP消息，TCP段和 UDP数据报。这意味着本文提出的防火墙功能正常运行。
　　使用SDN防火墙应用程序优于传统防火墙，主要表现在一下几个方面：
　　⑴安全性方面，本论文提出的 SDN防火墙采用了更多的安全性，使得内部流量也被监控，检查和过滤，而在传统的防火墙中是无法完成的。
　　⑵管理方面，SDN中的防火墙规则是动态的，因为控制器存储，更新和删除每个交换机的规则或ACL。因此本文提出的防火墙有一个简单的管理策略。
　　⑶部署方面，由于安装和配置复杂，网络规则和策略的动态变化以及流量状况，传统防火墙的部署有时会变得更加困难，但由于SDN防火墙采用安装在控制器上的SDN应用程序，因此更易于部署。
　　⑷成本方面，与传统防火墙相比 SDN防火墙相当便宜，例如，构建防火墙模块的成本并不高。
　　本文已经成功地实施了与POX控制器中的L2_learning开关一起运行的layer2-4 SDN防火墙。该防火墙工作得很好，可以检测三层OSI模型的流量，并强制执行规定。在快速分析数据包并与指定规则匹配方面，本文提出的防火墙也表现出了很好的性能。
　　由于使用OpenFlow1.0版本，它不跟踪数据包的状态，并且只支持少量标题字段，所以本文的工作局限性在于，防火墙没有保持连接状态的记录，这使得它成为无状态。未来的工作可以是有状态防火墙的实现。本研究还将进一步开发防火墙，以便在流量大的情况下减少控制器的开销。在未来的工作中，可以将一些功能添加到此防火墙，以便通过与修改的 L3_learning开关一起运行来执行防火墙功能之外的路由功能。

目录

声明

致谢

DEDICATION

CHAPTER 1:INTRODUTION

1.1 BACKGROUND

1.2 MOTIVATION

1.3RESEARCH QUESTIONS

1.4 OBJECTIVES

1.5THESIS STRUCTURE

1.6 SUMMARY

Chapter2SDN AND OPENFLOW

2.1RELATED WORK

2.2 SDN

2.3 OPENFLOW PROTOCOL

2.4NETWORK VIRTUALIZATION

2.5 SUMMARY

Chapter 3DESIGN AND IMPLEMENTATION

3.1SOFTWARE USED

3.2 METHODOLOGY

3.3 LAB SETUPANDEXPERIMENT

3.4 SUMMARY

Chapter 4RESULTS ANDDISCUSSION

4.1 RESULTS

4.2 EVALUATION

4.3 DISCUSSION

4.4 SUMMARY

Chapter5CONCLUSIONS AND FUTURE WORK

参考文献

APPENDIX