由于科研需要,参与到了一个状态防火墙的设计上,状态防火墙打算用floodlight实现APP,所以现在记录下自己的思考过程:
状态防火墙能够记录每个链接的状态并且根据规则决定数据包的动作,由于现在controller的北向已经完成了,北向只是完成了接口,可以达到针对某个特定交换机下发GOTO_FP流表,并且能够初始化某个特定交换机流表的功能。
假设我要完成的功能是让我内网里的用户能够访问外部的HTTP服务,但是不允许非内网机器发起的链接,假设我是192.168/16的网段
如果用一般的包过滤防火墙规则只能这么下发:
源地址源端口 目的地址目的端口 ...其他匹配字段...动作
192.168/16