(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111657766.3 (22)申请日 2021.12.3 0 (71)申请人 苏州浪潮智能科技有限公司 地址 215100 江苏省苏州市吴中区吴中经 济开发区郭巷街道官浦路1号9幢 (72)发明人 王传雷　王培辉　 (74)专利代理 机构 济南诚智商标专利事务所有 限公司 3710 5 代理人 周杰 (51)Int.Cl. H04L 9/40(2022.01) G06K 9/62(2022.01) (54)发明名称 一种基于SDN网络的应用层报文防火墙方 法、 装置及 介质 (57)摘要 本发明涉及基于SDN网络的应用层报文防火 墙方法、 装置及介质。 本发明将无法在内核层SDN 网络组件中匹配到对应第一匹配规则或转发规 则的目标网络报文发送给SDN控制器请求相应的 匹配规则， SDN控制器利用应用 层防火墙规则控 制器分析目标网络报文是否进行第二匹配规则 匹配； 是则， 根据目标网络报文的应用层报文数 据匹配用户态预设的应用层防火墙规则中对应 的规则， 获取针对目标网络的第二匹配规则， 将 第二匹配规则返回给SDN控制器； SDN控制器转换 第二匹配规则并将所转换的第二匹配规则下发 至内核层防火墙组件， SDN控制器生成针对目标 网络报文的转发规则并下 发到内核层SDN网络组 件。 本发明能够形成兼容针对网络报文非应用层 和应用层的防火墙 。 权利要求书2页 说明书7页 附图3页 CN 114338194 A 2022.04.12 CN 114338194 A 1.一种基于S DN网络的应用层报文防火墙方法， 其特 征在于， 包括： 将无法在内核层SDN网络组件中匹配到对应第 一匹配规则或转发规则的目标网络报文 发送给SDN控制器以请求相应的匹配规则， SDN控制器将目标网络报文 上送至应用层防火墙 规则控制器分析 是否进行第二匹配规则匹配； 是则， 应用层防火墙规则控制器根据目标网络报文的应用层报文数据匹配用户态预设 的应用层防火墙规则中对应的规则， 以获取针对目标网络报文的应用层报文 数据的第二匹 配规则， 将第二匹配规则返回给S DN控制器； SDN控制器转换第二匹配规则并将所转换的第二匹配规则下发至内核层防火墙组件， SDN控制器生成针对目标网络报文的转发规则并下发到内核层S DN网络组件。 2.根据权利要求1所述的基于SDN网络的应用层报文防火墙方法， 其特征在于， 对于接 收到的网络报文， 针对网络报文的前4层报文协 议头在内核层SDN网络组件中匹配第一匹配 规则或转发规则， 检测网络报文是否匹配到对应的第一匹配规则或转发规则； 是则， 按照所匹配的第一匹配规则或转发规则处 理网络报文； 否则， 将该网络报文作为目标网络报文发送给S DN控制器请求相应的匹配规则。 3.根据权利要求1所述的基于SDN网络的应用层报文防火墙方法， 其特征在于， 在应用 层防火墙规则控制器分析目标网络报文无需进行第二匹配规则匹配时， SDN控制器将对应 目标网络报文前4层报文协议头的第一匹配规则下发给 所述内核层S DN网络组件。 4.根据权利要求1所述的基于SDN网络的应用层报文防火墙方法， 其特征在于， 所述应 用层防火墙规则控制 器解析所获取的目标网络报文并获取目标网络报文的应用层报文数 据， 根据应用层报文数据分析目标网络报文是否进行第二匹配规则匹配。 5.根据权利 要求1所述的基于SDN网络的应用层报文防火墙方法， 其特征在于， 所述SDN 控制器接收到由所述应用层防火墙规则控制器反馈的针对目标网络报文的第二匹配规则， SDN控制器根据该目标网络报文的前4层报文协议头生成对应的转发规则， 所述SDN控制器 将转发规则下发给所述内核层SDN网络组件， 所述内核层SDN网络组件将与该目标网络报文 的前4层报文协 议头相同的网络报文转 发给内核层防火墙组件匹配对应的第二匹配规则处 理。 6.根据权利要求1所述的基于SDN网络的应用层报文防火墙方法， 其特征在于， 将转发 至内核层防火墙组件且无法在内核层防火墙组件匹配到对应第二匹配规则的目标网络报 文发送给S DN控制器请求相应的第二匹配规则。 7.根据权利要求1所述的基于SDN网络的应用层报文防火墙方法， 其特征在于， 所述内 核层SDN网络组件和所述内核层防火墙组件均配置老化机制， 对于在预设老化时间内没有 网络报文命中的第一匹配规则、 第二匹配规则和转发规则进行老化清除。 8.根据权利要求7所述的基于SDN网络的应用层报文防火墙方法， 其特征在于， 第二匹 配规则和相应的转发规则的老化时间一 致。 9.一种实现基于SDN网络的应用层报文防火墙方法的装置， 其特征在于， 包括： 报文接 收模块， 所述报文接收模块接收网络报文； 第一匹配规则模块， 所述第一匹配规则模块根据网络报文前4层报文协议头匹配对应 的第一匹配规则或转发规则处 理网络报文； 第二匹配规则模块， 所述第 二匹配规则模块根据网络报文应用层报文数据匹配对应的权　利　要　求　书 1/2 页 2 CN 114338194 A 2第二匹配规则处 理网络报文； SDN控制器， 所述SDN控制器根据匹配规则请求向第一匹配规则模块下发第一匹配规则 或转发规则， 或向第二匹配规则模块下发第二匹配规则； 应用层防火墙规则控制器， 所述应用层防火墙规则控制器用于分析网络报文是否 需要 根据应用层报文 数据进行第二匹配规则匹配处理， 是则根据网络报文应用层报文 数据匹配 防火墙规则配置模块预设的应用层防火墙规则中的对应规则形成第二匹配规则返回给SDN 控制器； 防火墙规则配置模块， 所述防火墙规则配置模块配置应用层防火墙规则； 老化模块， 所述老化模块控制第 一匹配规则模块和第 二匹配规则模块中相应的规则老 化。 10.一种实现基于SDN网络的应用 层报文防火墙方法的介质， 其特征在于， 所述实现基 于SDN网络的应用层报文防火墙方法的介质存储至少一条指令， 读取并执行所述指令实现 如权利要求1 ‑8任一所述的基于S DN网络的应用层报文防火墙方法。权　利　要　求　书 2/2 页 3 CN 114338194 A 3