資源描述:
《基于SDN的安全增強(qiáng)方案研究與實(shí)現(xiàn)》由會(huì)員上傳分享,免費(fèi)在線閱讀�����,更多相關(guān)內(nèi)容在學(xué)術(shù)論文-天天文庫(kù)。
1��、碩士學(xué)位論文=1基于SDN的安全增強(qiáng)方案研究與實(shí)現(xiàn)1作者姓名王永剛指導(dǎo)教師姓名�����、職稱(chēng)蘇銳丹副教授SkM申請(qǐng)學(xué)位類(lèi)別工學(xué)碩士學(xué)校代碼10701學(xué)號(hào)1503121660分類(lèi)號(hào)TP39密級(jí)公開(kāi)西安電子科技大學(xué)碩士學(xué)位論文基于SDN的安全增強(qiáng)方案研究與實(shí)現(xiàn)作者姓名:王永剛一級(jí)學(xué)科:計(jì)算機(jī)科學(xué)與技術(shù)二級(jí)學(xué)科:計(jì)算機(jī)應(yīng)用技術(shù)學(xué)位類(lèi)別:工學(xué)碩士指導(dǎo)教師姓名��、職稱(chēng):蘇銳丹副教授學(xué)院:計(jì)算機(jī)學(xué)院提交日期:2018年6月ResearchandImplementationofSecurityEnh
2���、ancementSchemeBasedonSDNAthesissubmittedtoXIDIANUNIVERSITYinpartialfulfillmentoftherequirementsforthedegreeofMasterinComputerApplicationTechnologyByWangYonggangSupervisor:SuRuidanTitle:AssociateProfessorJune2018西安電子科技大學(xué)學(xué)位論文獨(dú)創(chuàng)性(或創(chuàng)新性)聲明秉承學(xué)校嚴(yán)謹(jǐn)?shù)膶W(xué)風(fēng)和優(yōu)良的科學(xué)道
3����、德����,本人聲明所呈交的論文是我個(gè)人在導(dǎo)師指導(dǎo)下進(jìn)行的研宄工作及取得的研究成果。盡我所知����,除了文中特別加以標(biāo)注和致謝中所羅列的內(nèi)容以外�,論文中不包含其他人已經(jīng)發(fā)表或撰寫(xiě)過(guò)的研究成果;也不包含為獲得西安電子科技大學(xué)或其它教育機(jī)構(gòu)的學(xué)位或證書(shū)而使用過(guò)的材料一�����。與我同工作的同事對(duì)本研究所做的任何貢獻(xiàn)均己在論文中作了明確的說(shuō)明并表示了謝意。一學(xué)位論文若有不實(shí)之處�,本人承擔(dān)切法律責(zé)任。本人簽名:日期:1〇����、叫西安電子科技大學(xué)關(guān)于論文使用授權(quán)的說(shuō)明本人完全了解西安電子科技大學(xué)有
4、關(guān)保留和使用學(xué)位論文的規(guī)定:����,即研宄生在校攻讀學(xué)位期間論文工作的知識(shí)產(chǎn)權(quán)屬于西安電子科技大學(xué)。學(xué)校有權(quán)保留送交論文��,的復(fù)印件����,允許查閱、借閱論文�����;學(xué)?��?梢怨颊撐牡娜炕虿糠謨?nèi)容允許采用影印�、縮印或其它復(fù)制手段保存論文。同時(shí)本人保證�����,結(jié)合學(xué)位論文研究成果完成的論文��、發(fā)明專(zhuān)利等成果�����,署名單位為西安電子科技大學(xué)�。保密的學(xué)位論文在年解密后適用本授權(quán)書(shū)。_本人簽名:導(dǎo)師簽名:日期:日期:摘要摘要隨著互聯(lián)網(wǎng)的迅猛發(fā)展�����,企業(yè)網(wǎng)絡(luò)數(shù)量與規(guī)模迅速擴(kuò)大�����,傳統(tǒng)園區(qū)網(wǎng)絡(luò)在網(wǎng)絡(luò)管理���、擴(kuò)
5���、容以及安全方面遇到了困難。軟件定義網(wǎng)絡(luò)(Software-DefinedNetworking,SDN)是目前公認(rèn)的下一代智能可編程網(wǎng)絡(luò)架構(gòu)�����,其控制平面與數(shù)據(jù)平面相分離的特點(diǎn)���,使得網(wǎng)絡(luò)管理變得簡(jiǎn)單����,因此基于SDN技術(shù)構(gòu)建的園區(qū)網(wǎng)絡(luò)正在逐漸興起��。然而�,SDN網(wǎng)絡(luò)仍然存在許多安全問(wèn)題亟待研究。首先����,本文在分析了傳統(tǒng)園區(qū)網(wǎng)絡(luò)架構(gòu)及其安全解決方案的基礎(chǔ)之上,結(jié)合SDN架構(gòu)特有的優(yōu)勢(shì)�,設(shè)計(jì)了基于SDN的園區(qū)網(wǎng)絡(luò)安全模型(SDN-CNSM),改進(jìn)了傳統(tǒng)的網(wǎng)絡(luò)安全架構(gòu)并將園區(qū)網(wǎng)絡(luò)安全劃分為控制平面安全和數(shù)據(jù)平面安全兩部
6��、分來(lái)進(jìn)行詳細(xì)研究����。解決了基于SDN的園區(qū)網(wǎng)絡(luò)無(wú)安全架構(gòu)的問(wèn)題��。其次���,本文對(duì)SDN-CNSM安全模型中最常用的虛擬局域網(wǎng)(VLAN)進(jìn)行了深入研究。VLAN模塊主要研究了基于用戶(hù)身份的動(dòng)態(tài)VLAN分配��,能在用戶(hù)登錄時(shí)依據(jù)用戶(hù)身份動(dòng)態(tài)為用戶(hù)分配VLAN�����。為此�����,本文使用了比較常用的Web門(mén)戶(hù)認(rèn)證(Portal)方式����,并設(shè)計(jì)實(shí)現(xiàn)了用戶(hù)身份管理及用戶(hù)認(rèn)證程序。為了使VLAN模塊與其他模塊很好地集成�,本文將SDN交換機(jī)內(nèi)的流表進(jìn)行分塊鏈接管理,每個(gè)功能占用一個(gè)流表塊�����,所有流表塊構(gòu)成單向鏈表。在這種鏈?zhǔn)綁K的結(jié)構(gòu)下��,很
7����、容易地實(shí)現(xiàn)了Port-VLAN��、MAC-VLAN和VLAN間通信功能���,讓VLAN配置有更多的可選方案�����。與傳統(tǒng)VLAN配置相比��,解決了用戶(hù)移動(dòng)問(wèn)題��,實(shí)現(xiàn)了VLAN自動(dòng)配置�。接著�����,本文研究并實(shí)現(xiàn)了分布式包過(guò)濾防火墻���。通過(guò)在鏈?zhǔn)綁K結(jié)構(gòu)的防火墻塊中加入防火墻規(guī)則��,讓每個(gè)交換機(jī)都具有防火墻的功能���。為對(duì)防火墻進(jìn)行統(tǒng)一管理����,還結(jié)合了園區(qū)網(wǎng)絡(luò)三層拓?fù)浣Y(jié)構(gòu)��,提出將分布式防火墻進(jìn)行分組管理的方法�,并將防火墻分為了接入組、匯聚組�����、核心組����。從系統(tǒng)全局看,VLAN能將用戶(hù)分組隔離����,VLAN間通信讓完全隔離的用戶(hù)組有了通信的可能,
8�、再通過(guò)分布式防火墻策略�,過(guò)濾VLAN間通信的數(shù)據(jù)包和同一VLAN內(nèi)用戶(hù)交互的數(shù)據(jù)包��,讓用戶(hù)間隔離更為精細(xì)����。最后,本文設(shè)計(jì)并實(shí)現(xiàn)了網(wǎng)絡(luò)管理圖形界面�,管理員可以在Web頁(yè)面中查看當(dāng)前VLAN�、防火墻的狀態(tài)信息,還能進(jìn)行用戶(hù)身份的管理�,VLAN間通信規(guī)則的制定,防火墻組的動(dòng)態(tài)定義��,組規(guī)則的動(dòng)態(tài)下發(fā)�����,防火墻規(guī)則下發(fā)����。所有配置信息都會(huì)同步存儲(chǔ)到數(shù)據(jù)庫(kù)中,在交換機(jī)重啟后由控制器自動(dòng)下發(fā)到交換機(jī)��。本文使用開(kāi)源SDN控制器Ryu和拓?fù)浞抡孳浖﨧ininet
