本申請涉及網(wǎng)絡(luò)安全的領(lǐng)域，具體而言，涉及一種軟件定義網(wǎng)絡(luò)的防火墻驗(yàn)證方法和裝置。

背景技術(shù)：

1、隨著sdn（軟件定義網(wǎng)絡(luò)）技術(shù)的發(fā)展，網(wǎng)絡(luò)管理變得更加靈活和高效。然而，現(xiàn)有的sdn中的防火墻規(guī)則配置復(fù)雜，容易引發(fā)死鎖問題，影響網(wǎng)絡(luò)的正常運(yùn)行。因此，需要一種有效的驗(yàn)證系統(tǒng)及方法，確保sdn防火墻規(guī)則的正確執(zhí)行，提高網(wǎng)絡(luò)的安全性和一致性。

2、sdn網(wǎng)絡(luò)中防火墻規(guī)則與數(shù)據(jù)平面實(shí)際執(zhí)行不一致會導(dǎo)致死鎖、安全漏洞問題，包括但不限于：規(guī)則在控制器配置成功，但交換機(jī)未正確執(zhí)行。動態(tài)更新規(guī)則時新舊規(guī)則沖突導(dǎo)致網(wǎng)絡(luò)出現(xiàn)問題。

3、因此，如何準(zhǔn)確驗(yàn)證防火墻的異常情況，是一個需要解決的技術(shù)問題。

技術(shù)實(shí)現(xiàn)思路

1、本申請實(shí)施例的目的在于提供一種軟件定義網(wǎng)絡(luò)的防火墻驗(yàn)證方法，通過本申請的實(shí)施例的技術(shù)方案可以達(dá)到準(zhǔn)確驗(yàn)證防火墻的異常情況的效果。

2、第一方面，本申請實(shí)施例提供了一種軟件定義網(wǎng)絡(luò)的防火墻驗(yàn)證方法，包括，在軟件定義網(wǎng)絡(luò)控制器下發(fā)防火墻規(guī)則時，獲取數(shù)據(jù)流動過程中產(chǎn)生的開放流表；基于預(yù)設(shè)的編程語言將防火墻規(guī)則和開放流表轉(zhuǎn)換為防火墻規(guī)則驗(yàn)證進(jìn)程和開放流表執(zhí)行進(jìn)程，其中，防火墻規(guī)則驗(yàn)證進(jìn)程包括用于轉(zhuǎn)換防火墻規(guī)則驗(yàn)證進(jìn)程的第一轉(zhuǎn)換模塊和執(zhí)行防火墻規(guī)則驗(yàn)證進(jìn)程的防火墻規(guī)則驗(yàn)證進(jìn)程模塊，開放流表執(zhí)行進(jìn)程包括用于轉(zhuǎn)換開放流表執(zhí)行進(jìn)程的第二轉(zhuǎn)換模塊和執(zhí)行開放流表執(zhí)行進(jìn)程的開放流表執(zhí)行進(jìn)程模塊；比較防火墻規(guī)則驗(yàn)證進(jìn)程和開放流表執(zhí)行進(jìn)程的并行操作狀態(tài)的一致性，并生成防火墻驗(yàn)證結(jié)果，其中，防火墻驗(yàn)證結(jié)果包括防火墻規(guī)則驗(yàn)證結(jié)果和開放流表驗(yàn)證結(jié)果。

3、本申請在上述實(shí)施例中，在軟件定義網(wǎng)絡(luò)控制器下發(fā)防火墻規(guī)則時，通過并行執(zhí)行基于防火墻規(guī)則的防火墻規(guī)則驗(yàn)證進(jìn)程和基于開放流表的開放流表執(zhí)行進(jìn)程，并對比二者狀態(tài)判斷死鎖情況，能精確檢測防火墻規(guī)則在開放流表中的執(zhí)行狀態(tài)，及時發(fā)現(xiàn)規(guī)則執(zhí)行異常。通過該方法可以達(dá)到準(zhǔn)確驗(yàn)證防火墻的異常情況的效果。

4、在一些實(shí)施例中，比較防火墻規(guī)則驗(yàn)證進(jìn)程和開放流表執(zhí)行進(jìn)程的并行操作狀態(tài)的一致性，并生成防火墻驗(yàn)證結(jié)果，包括：比較防火墻規(guī)則驗(yàn)證進(jìn)程和開放流表執(zhí)行進(jìn)程的并行操作狀態(tài)是否一致；當(dāng)防火墻規(guī)則驗(yàn)證進(jìn)程和開放流表執(zhí)行進(jìn)程的并行操作狀態(tài)不一致時，生成防火墻規(guī)則和開放流表的鎖死信息。

5、本申請在上述實(shí)施例中，通過并行執(zhí)行基于防火墻規(guī)則的防火墻規(guī)則驗(yàn)證進(jìn)程和基于開放流表的開放流表執(zhí)行進(jìn)程，并對比二者狀態(tài)判斷死鎖情況，準(zhǔn)確已驗(yàn)證防火墻的異常情況。

6、在一些實(shí)施例中，在比較防火墻規(guī)則驗(yàn)證進(jìn)程和開放流表執(zhí)行進(jìn)程的并行操作狀態(tài)的一致性，并生成防火墻驗(yàn)證結(jié)果之后，還包括：根據(jù)鎖死信息生成日志并進(jìn)行報警，其中，日志包括防火墻規(guī)則驗(yàn)證進(jìn)程和開放流表的錯誤規(guī)則和節(jié)點(diǎn)信息。

7、本申請在上述實(shí)施例中，可以在防火墻有異常時，及時的報警，發(fā)現(xiàn)并解決防火墻異常問題。

8、在一些實(shí)施例中，在軟件定義網(wǎng)絡(luò)控制器下發(fā)防火墻規(guī)則時，獲取數(shù)據(jù)流動過程中產(chǎn)生的開放流表，包括：在軟件定義網(wǎng)絡(luò)控制器控制多個節(jié)點(diǎn)傳輸數(shù)據(jù)時，獲取控制器下發(fā)的防火墻規(guī)則和傳輸數(shù)據(jù)過程中產(chǎn)生的開放流表，其中，軟件定義網(wǎng)絡(luò)控制器控制多個節(jié)點(diǎn)傳輸數(shù)據(jù)的應(yīng)用場景包括：企業(yè)內(nèi)部網(wǎng)絡(luò)防火墻保護(hù)企業(yè)數(shù)據(jù)和資源場景、數(shù)據(jù)中心網(wǎng)絡(luò)流量傳輸保護(hù)不同用戶之間的網(wǎng)絡(luò)隔離和安全策略、云計算時驗(yàn)證每一用戶設(shè)置的防火墻是否正確執(zhí)行和電信網(wǎng)絡(luò)通信數(shù)據(jù)傳輸時驗(yàn)證軟件定義網(wǎng)絡(luò)中的防火墻規(guī)則。

9、本申請在上述實(shí)施例中，本申請防火墻驗(yàn)證的場景可以為多個，在不同場景下都可以通過本申請雙進(jìn)程驗(yàn)證的方法實(shí)現(xiàn)防火墻規(guī)則和異常的準(zhǔn)確驗(yàn)證。

10、在一些實(shí)施例中，基于預(yù)設(shè)的編程語言將防火墻規(guī)則和開放流表轉(zhuǎn)換為防火墻規(guī)則驗(yàn)證進(jìn)程和開放流表執(zhí)行進(jìn)程，包括：選擇預(yù)設(shè)的腳本文件并放置于預(yù)設(shè)的配置文件；執(zhí)行配置文件中的編程語言對應(yīng)腳本，獲取防火墻規(guī)則驗(yàn)證進(jìn)程和開放流表執(zhí)行進(jìn)程。

11、本申請在上述實(shí)施例中，可以通過編程語言提前設(shè)置腳本，用于直接獲取防火墻規(guī)則驗(yàn)證進(jìn)程和開放流表執(zhí)行進(jìn)程，以便于后續(xù)雙進(jìn)程的驗(yàn)證。

12、第二方面，本申請實(shí)施例提供了一種軟件定義網(wǎng)絡(luò)的防火墻驗(yàn)證裝置，包括：

13、獲取模塊，用于在軟件定義網(wǎng)絡(luò)控制器下發(fā)防火墻規(guī)則時，獲取數(shù)據(jù)流動過程中產(chǎn)生的開放流表；

14、轉(zhuǎn)換模塊，用于基于預(yù)設(shè)的編程語言將防火墻規(guī)則和開放流表轉(zhuǎn)換為防火墻規(guī)則驗(yàn)證進(jìn)程和開放流表執(zhí)行進(jìn)程，其中，防火墻規(guī)則驗(yàn)證進(jìn)程包括用于轉(zhuǎn)換防火墻規(guī)則驗(yàn)證進(jìn)程的第一轉(zhuǎn)換模塊和執(zhí)行防火墻規(guī)則驗(yàn)證進(jìn)程的防火墻規(guī)則驗(yàn)證進(jìn)程模塊，開放流表執(zhí)行進(jìn)程包括用于轉(zhuǎn)換開放流表執(zhí)行進(jìn)程的第二轉(zhuǎn)換模塊和執(zhí)行開放流表執(zhí)行進(jìn)程的開放流表執(zhí)行進(jìn)程模塊；

15、驗(yàn)證模塊，用于比較防火墻規(guī)則驗(yàn)證進(jìn)程和開放流表執(zhí)行進(jìn)程的并行操作狀態(tài)的一致性，并生成防火墻驗(yàn)證結(jié)果，其中，防火墻驗(yàn)證結(jié)果包括防火墻規(guī)則驗(yàn)證結(jié)果和開放流表驗(yàn)證結(jié)果。

16、可選的，驗(yàn)證模塊具體用于：

17、比較防火墻規(guī)則驗(yàn)證進(jìn)程和開放流表執(zhí)行進(jìn)程的并行操作狀態(tài)是否一致；

18、當(dāng)防火墻規(guī)則驗(yàn)證進(jìn)程和開放流表執(zhí)行進(jìn)程的并行操作狀態(tài)不一致時，生成防火墻規(guī)則和開放流表的鎖死信息。

19、可選的，所述裝置還包括：

20、報警模塊，用于驗(yàn)證模塊在比較防火墻規(guī)則驗(yàn)證進(jìn)程和開放流表執(zhí)行進(jìn)程的并行操作狀態(tài)的一致性，并生成防火墻驗(yàn)證結(jié)果之后，根據(jù)鎖死信息生成日志并進(jìn)行報警，其中，日志包括防火墻規(guī)則驗(yàn)證進(jìn)程和開放流表的錯誤規(guī)則和節(jié)點(diǎn)信息。

21、可選的，獲取模塊具體用于：

22、在軟件定義網(wǎng)絡(luò)控制器控制多個節(jié)點(diǎn)傳輸數(shù)據(jù)時，獲取控制器下發(fā)的防火墻規(guī)則和傳輸數(shù)據(jù)過程中產(chǎn)生的開放流表，其中，軟件定義網(wǎng)絡(luò)控制器控制多個節(jié)點(diǎn)傳輸數(shù)據(jù)的應(yīng)用場景包括：企業(yè)內(nèi)部網(wǎng)絡(luò)防火墻保護(hù)企業(yè)數(shù)據(jù)和資源場景、數(shù)據(jù)中心網(wǎng)絡(luò)流量傳輸保護(hù)不同用戶之間的網(wǎng)絡(luò)隔離和安全策略、云計算時驗(yàn)證每一用戶設(shè)置的防火墻是否正確執(zhí)行和電信網(wǎng)絡(luò)通信數(shù)據(jù)傳輸時驗(yàn)證軟件定義網(wǎng)絡(luò)中的防火墻規(guī)則。

23、可選的，轉(zhuǎn)換模塊具體用于：

24、選擇預(yù)設(shè)的腳本文件并放置于預(yù)設(shè)的配置文件；

25、執(zhí)行配置文件中的編程語言對應(yīng)腳本，獲取防火墻規(guī)則驗(yàn)證進(jìn)程和開放流表執(zhí)行進(jìn)程。

26、第三方面，本申請實(shí)施例提供一種電子設(shè)備，包括處理器以及存儲器，所述存儲器存儲有計算機(jī)可讀取指令，當(dāng)所述計算機(jī)可讀取指令由所述處理器執(zhí)行時，運(yùn)行如上述第一方面提供的所述方法中的步驟。

27、第四方面，本申請實(shí)施例提供一種可讀存儲介質(zhì)，其上存儲有計算機(jī)程序，所述計算機(jī)程序被處理器執(zhí)行時運(yùn)行如上述第一方面提供的所述方法中的步驟。

28、本申請的其他特征和優(yōu)點(diǎn)將在隨后的說明書闡述，并且，部分地從說明書中變得顯而易見，或者通過實(shí)施本申請實(shí)施例了解。

技術(shù)特征：

1.一種軟件定義網(wǎng)絡(luò)的防火墻驗(yàn)證方法，其特征在于，包括：

2.根據(jù)權(quán)利要求1所述的方法，其特征在于，所述比較所述防火墻規(guī)則驗(yàn)證進(jìn)程和所述開放流表執(zhí)行進(jìn)程的并行操作狀態(tài)的一致性，并生成防火墻驗(yàn)證結(jié)果，包括：

3.根據(jù)權(quán)利要求2所述的方法，其特征在于，在所述比較所述防火墻規(guī)則驗(yàn)證進(jìn)程和所述開放流表執(zhí)行進(jìn)程的并行操作狀態(tài)的一致性，并生成防火墻驗(yàn)證結(jié)果之后，所述方法還包括：

4.根據(jù)權(quán)利要求1-3任一項(xiàng)所述的方法，其特征在于，所述在軟件定義網(wǎng)絡(luò)控制器下發(fā)防火墻規(guī)則時，獲取數(shù)據(jù)流動過程中產(chǎn)生的開放流表，包括：

5.根據(jù)權(quán)利要求1-3任一項(xiàng)所述的方法，其特征在于，所述基于預(yù)設(shè)的編程語言將所述防火墻規(guī)則和所述開放流表轉(zhuǎn)換為防火墻規(guī)則驗(yàn)證進(jìn)程和開放流表執(zhí)行進(jìn)程，包括：

6.一種軟件定義網(wǎng)絡(luò)的防火墻驗(yàn)證裝置，其特征在于，包括：

7.根據(jù)權(quán)利要求6所述的裝置，其特征在于，所述驗(yàn)證模塊具體用于：

8.根據(jù)權(quán)利要求7所述的裝置，其特征在于，所述裝置還包括：

9.根據(jù)權(quán)利要求6-8任一項(xiàng)所述的裝置，其特征在于，所述獲取模塊具體用于：

10.根據(jù)權(quán)利要求6-8任一項(xiàng)所述的裝置，其特征在于，所述轉(zhuǎn)換模塊具體用于：

技術(shù)總結(jié)
本申請涉及網(wǎng)絡(luò)安全的領(lǐng)域，具體提供一種軟件定義網(wǎng)絡(luò)的防火墻驗(yàn)證方法和裝置，該方法包括，在軟件定義網(wǎng)絡(luò)控制器下發(fā)防火墻規(guī)則時，獲取數(shù)據(jù)流動過程中產(chǎn)生的開放流表；基于預(yù)設(shè)的編程語言將防火墻規(guī)則和開放流表轉(zhuǎn)換為防火墻規(guī)則驗(yàn)證進(jìn)程和開放流表執(zhí)行進(jìn)程；比較防火墻規(guī)則驗(yàn)證進(jìn)程和開放流表執(zhí)行進(jìn)程的并行操作狀態(tài)的一致性，并生成防火墻驗(yàn)證結(jié)果。通過該方法可以達(dá)到準(zhǔn)確驗(yàn)證防火墻的異常情況的效果。

技術(shù)研發(fā)人員：趙錦江,李曦
受保護(hù)的技術(shù)使用者：紫光恒越技術(shù)有限公司
技術(shù)研發(fā)日：
技術(shù)公布日：2025/5/8