本发明专利技术公开了一种安全防御系统,包括核心交换机、安全资源池和多个终端,安全资源池中包含微隔离子系统和多个安全组件;核心交换机用于将接收到的访问流量引导到安全资源池,经由安全资源池中各安全组件进行清洗防护后发送给相应终端;每个终端用于基于自身的微隔离策略,在确定接收到的访问流量为安全流量时,接受相应的访问;将自身的流量信息上报给微隔离子系统;微隔离子系统用于输出展示各终端的流量详情和访问关系,以基于各终端的流量详情和访问关系调整相应终端的微隔离策略。应用本发明专利技术实施例所提供的技术方案,进行东西向和南北向流量的统一安全防护,增强了私有云安全性。本发明专利技术还公开了一种安全防御方法,具有相应技术效果。
【技术实现步骤摘要】
一种安全防御系统及方法
本专利技术涉及网络安全
,特别是涉及一种安全防御系统及方法。
技术介绍
随着互联网在各领域应用的越来越广泛,各种网络攻击也在不断变化和增加。在企事业单位构建的私有云中,可能部署有大量终端,一旦受到网络攻击,将给企事业单位造成较大的经济损失。受到网络攻击的终端主要是由于安全防御能力不强或者系统、应用本身存在漏洞。目前,网络攻击多种多样,传统防御方法主要是通过防火墙进行防御,在网络出入口部署防火墙,对出入流量进行清洗,拦截攻击流量。这种方法过于简单,防御能力较弱,一旦拦截失败,攻击流量进入私有云,极易在终端间进行横向平移,安全隐患较大。
技术实现思路
本专利技术的目的是提供一种安全防御系统及方法,以进行东西向和南北向流量的统一安全防御,提高防御能力,增强私有云安全性。为解决上述技术问题,本专利技术提供如下技术方案:一种安全防御系统,包括部署在私有云的核心交换机、安全资源池和多个终端,所述安全资源池中包含微隔离子系统和多个安全组件,所述多个终端的每个终端中均安装有微隔离插件,用于接收所述微隔离子系统下发的微隔离策略;其中,所述核心交换机,用于在接收到对终端的访问流量时,将接收到的访问流量引导到所述安全资源池,经由所述安全资源池中各安全组件进行清洗防护后发送给相应终端;所述多个终端,其中每个终端,用于在接收到所述核心交换机或其他终端发送的访问流量时,基于自身的微隔离策略,确定接收到的访问流量是否为安全流量,如果是,则接受相应的访问;将自身的流量发出信息和流量接收信息上报给所述微隔离子系统;所述微隔离子系统,用于接收各终端上报的流量发出信息和流量接收信息,并输出展示各终端的流量详情和访问关系,以基于各终端的流量详情和访问关系调整相应终端的微隔离策略。在本专利技术的一种具体实施方式中,所述微隔离子系统,还用于在接收到对微隔离策略的调整指令时,将调整后的微隔离策略下发给相应终端;所述调整指令为在基于各终端的流量详情和访问关系,确定存在异常访问流量时做出的。在本专利技术的一种具体实施方式中,每个终端,还用于在确定接收到的访问流量非安全流量时,拒绝接受相应的访问。在本专利技术的一种具体实施方式中,所述微隔离子系统,还用于在输出展示各终端的流量详情和访问关系时,将各终端拒绝接受的访问流量区别显示。在本专利技术的一种具体实施方式中,所述微隔离子系统,还用于基于各终端上报的流量接收信息,确定是否存在被终端拒绝接受次数大于设定阈值的访问流量,如果是,则输出处理提示信息。在本专利技术的一种具体实施方式中,所述多个安全组件至少包括防火墙安全组件和上网行为管理安全组件。一种安全防御方法,应用于部署在私有云的安全资源池中的微隔离子系统,所述私有云中还部署有核心交换机和多个终端,所述多个终端的每个终端中均安装有微隔离插件,用于接收所述微隔离子系统下发的微隔离策略;所述方法包括:接收各终端上报的流量发出信息和流量接收信息;输出展示各终端的流量详情和访问关系,以基于各终端的流量详情和访问关系调整相应终端的微隔离策略;其中,所述多个终端的每个终端用于在接收到所述核心交换机或其他终端发送的访问流量时,基于自身的微隔离策略,确定接收到的访问流量是否为安全流量,如果是,则接受相应的访问;将自身的流量发出信息和流量接收信息上报给所述微隔离子系统。在本专利技术的一种具体实施方式中,所述安全资源池中还包含多个安全组件,所述多个终端的每个终端接收到的所述核心交换机发送的访问流量为:所述核心交换机在接收到对终端的访问流量时,将接收到的访问流量引导到所述安全资源池,经由所述安全资源池中各安全组件进行清洗防护后发送给相应终端的。在本专利技术的一种具体实施方式中,还包括:在接收到对微隔离策略的调整指令时,将调整后的微隔离策略下发给相应终端;所述调整指令为在基于各终端的流量详情和访问关系,确定存在异常访问流量时做出的。在本专利技术的一种具体实施方式中,所述多个终端的每个终端还用于在确定接收到的访问流量为非安全流量时,拒绝接受相应的访问,所述方法还包括:在输出展示各终端的流量详情和访问关系时,将各终端拒绝接受的访问流量区别显示。在本专利技术的一种具体实施方式中,还包括:基于各终端上报的流量接收信息,确定是否存在被终端拒绝接受次数大于设定阈值的访问流量;如果是,则输出处理提示信息。应用本专利技术实施例所提供的技术方案,安全资源池中包含微隔离子系统和多个安全组件,每个终端中均安装有微隔离插件,用于接收微隔离子系统下发的微隔离策略,核心交换机在接收到对终端的访问流量时,将接收到的访问流量引导到安全资源池,经由安全资源池中各安全组件进行清洗防护后发送给相应终端,每个终端在接收到核心交换机或者其他终端发送的访问流量时,基于自身的微隔离策略,在确定接收到的访问流量为安全流量时,接受相应的访问,将自身的流量发出信息和流量接收信息上报给微隔离子系统,微隔离子系统接收各终端上报的流量发出信息和流量接收信息,并输出展示各终端的流量详情和访问关系,以使运维人员基于此调整相应终端的微隔离策略。将微隔离子系统合入到安全资源池中,完善安全资源池各方面的防御能力,进行东西向和南北向流量的统一安全防护,提高防御能力,增强私有云安全性。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本专利技术实施例中一种安全防御系统的结构示意图;图2为本专利技术实施例中流量详情和访问关系展示示意图;图3为本专利技术实施例中一种安全防御方法的实施流程图。具体实施方式为了使本
的人员更好地理解本专利技术方案,下面结合附图和具体实施方式对本专利技术作进一步的详细说明。显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。参见图1所示,为本专利技术实施例所提供的一种安全防御系统的结构示意图,该系统包括部署在私有云的核心交换机110、安全资源池120和多个终端,如终端131、终端132、终端133、终端134,安全资源池120中包含微隔离子系统121和多个安全组件,如安全组件122、安全组件123、安全组件124,多个终端的每个终端中均安装有微隔离插件,用于接收微隔离子系统121下发的微隔离策略。其中,核心交换机110,用于在接收到对终端的访问流量时,将接收到的访问流量引导到安全资源池120,经由安全资源池120中各安全组件进行清洗防护后发送给相应终端;多个终端,其中每个终端用于在接收到核心交换机110或其他终端发送的访问流量时,基于自身的微隔离策略,确定接收到的访问流量是否为安全流量,如果是,则接受相应的访问;将自身的流量发出信息和流量接收信息上报给微隔离子系统121;微隔离子系统121,用于接收各终端上报的流量发出信息和流量接收信息,并输出展示各终端的流量详情和访问关系,以基于各终端的流量详情和访问关系调整相应终端的微隔离策略。在实际应用中,私有云的终端之间可能会有互访需求,私有云的终端与外部设备通过互联网也可本文档来自技高网...
【技术保护点】
1.一种安全防御系统,其特征在于,包括部署在私有云的核心交换机、安全资源池和多个终端,所述安全资源池中包含微隔离子系统和多个安全组件,所述多个终端的每个终端中均安装有微隔离插件,用于接收所述微隔离子系统下发的微隔离策略;其中,所述核心交换机,用于在接收到对终端的访问流量时,将接收到的访问流量引导到所述安全资源池,经由所述安全资源池中各安全组件进行清洗防护后发送给相应终端;所述多个终端,其中每个终端,用于在接收到所述核心交换机或其他终端发送的访问流量时,基于自身的微隔离策略,确定接收到的访问流量是否为安全流量,如果是,则接受相应的访问;将自身的流量发出信息和流量接收信息上报给所述微隔离子系统;所述微隔离子系统,用于接收各终端上报的流量发出信息和流量接收信息,并输出展示各终端的流量详情和访问关系,以基于各终端的流量详情和访问关系调整相应终端的微隔离策略。
【技术特征摘要】
1.一种安全防御系统,其特征在于,包括部署在私有云的核心交换机、安全资源池和多个终端,所述安全资源池中包含微隔离子系统和多个安全组件,所述多个终端的每个终端中均安装有微隔离插件,用于接收所述微隔离子系统下发的微隔离策略;其中,所述核心交换机,用于在接收到对终端的访问流量时,将接收到的访问流量引导到所述安全资源池,经由所述安全资源池中各安全组件进行清洗防护后发送给相应终端;所述多个终端,其中每个终端,用于在接收到所述核心交换机或其他终端发送的访问流量时,基于自身的微隔离策略,确定接收到的访问流量是否为安全流量,如果是,则接受相应的访问;将自身的流量发出信息和流量接收信息上报给所述微隔离子系统;所述微隔离子系统,用于接收各终端上报的流量发出信息和流量接收信息,并输出展示各终端的流量详情和访问关系,以基于各终端的流量详情和访问关系调整相应终端的微隔离策略。2.根据权利要求1所述的安全防御系统,其特征在于,所述微隔离子系统,还用于在接收到对微隔离策略的调整指令时,将调整后的微隔离策略下发给相应终端;所述调整指令为在基于各终端的流量详情和访问关系,确定存在异常访问流量时做出的。3.根据权利要求1所述的安全防御系统,其特征在于,每个终端,还用于在确定接收到的访问流量非安全流量时,拒绝接受相应的访问。4.根据权利要求3所述的安全防御系统,其特征在于,所述微隔离子系统,还用于在输出展示各终端的流量详情和访问关系时,将各终端拒绝接受的访问流量区别显示。5.根据权利要求3所述的安全防御系统,其特征在于,所述微隔离子系统,还用于基于各终端上报的流量接收信息,确定是否存在被终端拒绝接受次数大于设定阈值的访问流量,如果是,则输出处理提示信息。6.根据权利要求1至5之中任一项所述的安全防御系统,其特征在于,所述多个安全组件至少包括防...
【专利技术属性】
技术研发人员:邓胜利,
申请(专利权)人:深信服科技股份有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。