软件定义网络(software define networking,SDN)实现了控制平面与数据平面的解耦，防火墙功能可以在控制平面实现并向交换机下发策略，但是也会导致各层之间的通信开销不可忽略，并且在控制平面上引入额外的计算负荷。针对上述问题，提出了一种基于可编程数据平面的状态防火墙方法，通过在数据平面设计有限状态机和状态表，实现根据不同的数据包类型制定相应的检测逻辑，将状态的检测和管理逻辑从控制平面转移到数据平面。最后，搭建仿真环境进行验证，结果表明该方法可以实现基于状态的细粒度的访问控制并且减少通信开销。

• 单位
  武汉大学; 中国舰船研究设计中心