访问控制列表(Access Control List,ACL)是一种网络安全保障技术,提供了网络流量过滤功能。然而,在传统网络中实现ACL技术存在着一些弊端,如网络设备成本较高,对ACL的设计、配置与维护非常繁琐且易出错等,以上弊端产生的根本原因在于传统网络采用了分布式的方式来实现ACL技术。相比于传统网络,软件定义网络(Software-Defined Networking,SDN)提供了一个更加合适的架构来实现ACL技术。SDN将网络设备中的控制逻辑与转发逻辑分离,并提供了SDN控制器以一种集中式的方式对网络设备的转发行为进行管理。本文基于SDN设计并实现了一种访问控制列表CLACK,该访问控制列表在逻辑上集中,工作在由用户驱动的主动方式下,实现对SDN中网络数据包的过滤功能。该访问控制列表提供了一个集中式的管理接口以供用户定义访问控制列表,它从全局网络视图中提取出抽象网络视图,并基于该视图实时响应用户的访问控制列表更新请求,通过操作底层OpenFlow交换机中的流表项实现访问控制列表中规定的高层网络安全策略。该访问控制列表还能够对网络视图更新事件作出动态响应,及时更新底层OpenFlow交换机中的流表,确保高层网络安全策略被正确实现。与SDN中现有的访问控制列表相比,本文提出的访问控制列表能够减少网络数据包转发时延,节约控制平面的处理资源及控制与数据平面之间的带宽,并避免了因无法及时管理交换机中的流表导致出现违背网络安全策略的现象。本文将CLACK访问控制列表实现为单控制器版本(基于Floodlight控制器)与多控制器版本(基于ONOS控制器)。两个版本CLACK的源代码现已被Floodlight与ONOS开源项目所采纳,被官方提供的最新版本控制器源码所集成。文中对CLACK进行了功能测试,验证了其能够正确的提供ACL功能。文中还通过大量实验比较了两个版本CLACK与Floodlight控制器防火墙应用的性能,实验结果表示CLACK拥有较好的性能。除此之外,本文还基于CLACK相关工作提出了一种访问控制列表安全性检测方法,该方法能够有效检测出恶意流绕开访问控制列表管理的现象,对CLACK的安全性提供了有力保障。文中对该安全性检测方法的功能进行了测试,验证了检测结果的正确性。