本发明专利技术涉及云计算环境下软件安全定义导流装置,包括:管理平台,其提供安全导流策略配置接口,允许管理员配置安全导流策略;管理模块,其接收安全导流策略文件并根据安全导流策略文件的内容形成导流策略表;流量识别模块,其接收和识别镜像过来的业务流量,并对已识别的业务流量进行预处理;流量处理模块,其对预处理后的业务流量进行二次处理;流量发送模块,其将二次处理后的业务流量发送到指定端口,由外部设备对业务流量进行接收;数据统计模块,其对所有业务流量进行统计,并向管理模块进行发送,再由管理模块将统计信息发送给管理平台。本发明专利技术能按需灵活镜像业务流量,可靠性更强,并可实现软件定义安全导流。
【技术实现步骤摘要】
【专利摘要】本专利技术涉及云计算环境下软件安全定义导流装置,包括:管理平台,其提供安全导流策略配置接口,允许管理员配置安全导流策略;管理模块,其接收安全导流策略文件并根据安全导流策略文件的内容形成导流策略表;流量识别模块,其接收和识别镜像过来的业务流量,并对已识别的业务流量进行预处理;流量处理模块,其对预处理后的业务流量进行二次处理;流量发送模块,其将二次处理后的业务流量发送到指定端口,由外部设备对业务流量进行接收;数据统计模块,其对所有业务流量进行统计,并向管理模块进行发送,再由管理模块将统计信息发送给管理平台。本专利技术能按需灵活镜像业务流量,可靠性更强,并可实现软件定义安全导流。【专利说明】
本专利技术属于信息安全
,设及云计算环境下业务流量的镜像、监控、统计与 分析,具体设及。
技术介绍
随着数据中屯、的大规模建设,虚拟化技术的大规模应用,为了最大化发挥虚拟化 的优势,保证数据中屯、的稳定、持续、高效运行,云计算成为当前IT支撑系统的首选。 云计算技术的核屯、在于虚拟化技术,虚拟化技术包括了计算资源虚拟化、存储资 源虚拟化、安全资源虚拟化和网络资源虚拟化等。在虚拟化技术中,网络资源虚拟化技术显 得格外重要,因为它是连接计算资源虚拟化、存储资源虚拟化和安全资源虚拟化的纽带。 网络资源虚拟化的两个重要概念为OVS和化enFlow。 OVS是openvswitch的简称,指开源虚拟交换机,它是部署在服务器上的软件,实现 云计算环境下的数据交换功能。OVS具备流量镜像功能,可W通过mirror命令,将业务系统 所连接端口的业务流量镜像一份到一个特定的端口,连接在该端口的业务系统可W收取所 有的镜像流量。 化enf low是开源协议,同时也是OVS的重要组成部分,通过化enf low协议,可W实 现数据转发的控制功能,为特定的访问关系指定一条需要经过的路径,简称引流。 云计算技术为业务系统资源的灵活分配、按需调整、快速恢复提供了有力支持,大 大提升了运维效率,节省了系统部署时间,降低了工作量。[000引但云计算技术同时也存在一些问题。例如,在传统业务系统中运行正常的安全设 备,当网络虚拟化采用VXlan技术实现虚拟业务系统的跨地域迁移时,存在着无法识别 VXlan数据包头、无法部署的情况;云计算环境下的业务系统边界消失,无法在边界实现安 全控制;业务系统的流量在OVS内部转发,安全检测设备无法发现OVS内部的安全问题。 此外,通过OVS的mirror命令所获取的数据存在数据重复,导致网络流量翻倍,影 响网络性能;OVS的mirror命令镜像到的数据与网络接口关联度高,从同一个接口获取的数 据可能包含多个业务系统的信息,而某些业务系统的信息在进行安全分析时并不需要,镜 像的灵活性差。
技术实现思路
本专利技术的目的是提供一种,通 过其解决W下问题:1)云计算环境中,物理拓扑与业务逻辑拓扑边界不一致,导致基于安全 监控需求的业务流量无法获取的问题;2)传统安全监控在云计算环境中无法提供对东西向 业务流量的监控问题,W及在特定业务环境下,对大业务流量中无需通过安全设备的流量 的细粒度流量选择优化问题;3)传统使用物理交换机镜像功能所无法实现的按安全监控需 求和安全设备配置拓扑,从多个源镜像到多个不同目的的按需复杂流量镜像处理的问题; 4)传统安全监控方案中,没有基于安全监控需求的统一安全监控流量管控框架,实现对整 个网络中所有流量和所有安全监控设备的镜像流量规则的按需软件定义和管控的问题。 为了实现上述目的,本专利技术提供如下技术方案:一种云计算环境下软件安全定义 导流装置,其包括: 管理平台,该管理平台用于提供安全导流策略配置接口,允许管理员通过该配置 接口配置安全导流策略; 管理模块,该管理模块用于接收所述管理平台通过CWCP协议下发的安全导流策略 文件并根据安全导流策略文件的内容形成导流策略表; 流量识别模块,该流量识别模块用于接收和识别镜像过来的业务流量,并W所述 导流策略表的导流策略对已识别的业务流量进行预处理; 流量处理模块,该流量处理模块用于根据所述导流策略表对所述流量识别模块预 处理后的业务流量进行二次处理; 流量发送模块,该流量发送模块用于将所述流量处理模块二次处理后的业务流量 发送到指定端口,由连接在该端口的外部设备对业务流量进行接收; 数据统计模块,该数据统计模块用于对镜像过来的所有业务流量进行统计,并W 主动或被动的方式向所述管理模块进行发送,再由所述管理模块将统计信息发送给所述管 理平台。 此外,本专利技术提供一种基于上述云计算环境下软件定义安全导流装置的安全导流 实现方法,其包括W下步骤: (1)管理员在所述管理平台中通过安全导流策略配置接口配置业务流量的安全导 流策略; (2)所述管理平台通过CWCP协议向所述管理模块下发安全导流策略文件; (3)所述管理模块根据获得的安全导流策略文件建立导流策略表; (4)在刀片服务器或PC服务器上,调用OVS的mirror命令,实现将所有业务流量镜 像给所述流量识别模块; (5)所述流量识别模块接收镜像过来的所有业务流量,并对镜像过来的所有业务 流量进行识别,然后W所述导流策略表的导流策略对已识别的业务流量进行预处理,并将 预处理后的业务流量发送到所述流量处理模块; (6)所述流量处理模块根据所述导流策略表对发送过来的业务流量进行二次处 理,二次处理完毕后将业务流量发送到所述流量发送模块; (7)所述流量发送模块将接收到的业务流量发送到指定的外部设备,并与所述数 据统计模块共享业务流量发送队列; (8)所述数据统计模块对所述业务流量发送队列里的数据进行统计、归并和保存; (9)所述数据统计模块W主动或被动的方式向所述管理模块推送统计信息,并由 所述管理模块将统计信息上报给所述管理平台; (10)所述管理平台基于所述统计信息全局监控云环境的网络拓扑、业务拓扑、业 务域之间的访问关系、访问流量和安全措施部署状态。 进一步地,其中,业务流量的识别通过读取业务流量数据包的源MAC、目的MAC、 VLAN_ID信息、源IP、源端口、目的IP、目的端口和协议来实现。 更进一步地,其中,所述流量处理模块根据所述导流策略表中Actions字段所定义 的内容,对业务流量进行二次处理。 再进一步地,其中,对业务流量进行二次处理包括对业务流量进行修改数据包字 段、设置数据包发送队列、设置数据包发送速度、设置数据包发送的多个地址。 本专利技术的具有如下有益技术 效果: 1)、将镜像的业务流量数据与网络平台解禪,能按需灵活镜像业务域的业务流量。 2)、将业务流量的镜像过程、识别过程、镜像策略配置过程W及镜像的业务流量的 操作、转发、统计过程解禪,增加更多细粒度控制手段,从而使可操控性更强。 3)、具有更多的镜像选择,可按照IP、端口和协议对复杂的业务流量进行筛选,并 根据业务目标设置多种预期动作,实现软件定义安全导流。 4)、能实时统计业务流量信息,从而能够辅助运维人员快速发现业务问题、安全问 题,辅助运维人员快速定位业务故障点。【附图说明】 图1是本专利技术的云计算环境下软件定义安全导流装置的部署图。 图2是本专利技术的云计算环境下软件定义安全导流装置的整体架构图。 图3本文档来自技高网...
【技术保护点】
一种云计算环境下软件安全定义导流装置,其包括:管理平台,该管理平台用于提供安全导流策略配置接口,允许管理员通过该配置接口配置安全导流策略;管理模块,该管理模块用于接收所述管理平台通过CWCP协议下发的安全导流策略文件并根据安全导流策略文件的内容形成导流策略表;流量识别模块,该流量识别模块用于接收和识别镜像过来的业务流量,并以所述导流策略表的导流策略对已识别的业务流量进行预处理;流量处理模块,该流量处理模块用于根据所述导流策略表对所述流量识别模块预处理后的业务流量进行二次处理;流量发送模块,该流量发送模块用于将所述流量处理模块二次处理后的业务流量发送到指定端口,由连接在该端口的外部设备对业务流量进行接收;数据统计模块,该数据统计模块用于对镜像过来的所有业务流量进行统计,并以主动或被动的方式向所述管理模块进行发送,再由所述管理模块将统计信息发送给所述管理平台。
【技术特征摘要】
【专利技术属性】
技术研发人员:毕江,周旭辉,王燕清,李程,李伏琼,翟林,
申请(专利权)人:王燕清,李伏琼,毕江,周旭辉,李程,翟林,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。