【技术实现步骤摘要】
本专利技术涉及信息安全
,尤其涉及虚拟化网络环境中对镜像网络流量的管理和基于镜像网络流量的网络安全监控方案。
技术介绍
在虚拟化网络环境中,用户的业务系统被部署在虚拟机上,为了保障这些系统的安全以及符合相关的安全合规性,仍然需要像在传统物理网络环境中一样对这些虚拟机进行网络安全监控。但是传统的硬件物理安全产品无法准确捕获所需要监控的业务虚拟机的网络流量。软件定义网络(SoftwareDefinedNetworks,SDN)是近年来提出的一种利用解耦网络硬件的控制层、转发层和数据层来实现对网络流量高灵活性转发控制的新的网络控制架构。Openflow是最具有代表性的SDN的具体实现技术之一。而整个SDN的方案也由支持Openflow的虚拟或物理交换机和Openflow的控制器组成。在执行转发时,控制器通过策略下发,将流表下发到相应支持Openflow协议的虚拟或物理交换机中,OpenFlow交换机将依照这个流表对所有进入其中的流量进行处理。如果流表中没有关于某特定流的条目与之对应,数据包信息则会被发往控制器,由控制器做出处理。控制器决定如何处理之后,就在OpenFlow交换机中通过相应的操作措施来对流进行处理。任何进入交换机的数据包都需要与数据头12个元组中的某一特定值进行匹配。根据对Openflow规范标准版本支持的不同,以及各个SDN交换机厂商实现的不同,流表所支持的配置项会有细节上的差别。虚拟导流技术是一种通过特殊的安全虚拟机捕获同一台物理机中其他业务虚拟机流量,并将其导出给带外的硬件安全设备的虚拟化环境中的镜像流量捕获的解决方案。安全虚拟机通过 ...
【技术保护点】
一种镜像网络流量的管理系统,其特征在于,包括镜像流量中心控制节点,其用于进行全局管控;镜像流量管理节点,其用于实现数据包捕获和按流表动作转发;镜像流量分发节点,其用于实现数据包的按安全业务复制和分发;在所述镜像流量中心控制节点中包括镜像流量策略可视化配置模块、镜像流量管理节点管理模块、流量策略管理模块、流量负载统计监控模块、网络拓扑监控模块、流量策略决策模块、流量策略通信模块;在所述镜像流量管理节点和所述镜像流量分发节点中包括镜像流量策略控制代理模块、本地流表管理模块、流表执行模块、流量复制模块、流量统计模块、流量过滤模块、流量封装模块、虚拟机系统内零拷贝数据包收发模块、虚拟化系统流量镜像模块。
【技术特征摘要】
1.一种镜像网络流量的管理系统,其特征在于,包括镜像流量中心控制节点,其用于进行全局管控;镜像流量管理节点,其用于实现数据包捕获和按流表动作转发;镜像流量分发节点,其用于实现数据包的按安全业务复制和分发;在所述镜像流量中心控制节点中包括镜像流量策略可视化配置模块、镜像流量管理节点管理模块、流量策略管理模块、流量负载统计监控模块、网络拓扑监控模块、流量策略决策模块、流量策略通信模块;在所述镜像流量管理节点和所述镜像流量分发节点中包括镜像流量策略控制代理模块、本地流表管理模块、流表执行模块、流量复制模块、流量统计模块、流量过滤模块、流量封装模块、虚拟机系统内零拷贝数据包收发模块、虚拟化系统流量镜像模块。2.根据权利要求1所述的镜像网络流量的管理系统,其中,所述镜像流量管理节点管理模块,用于管理整个系统中所有的镜像流量管理节点和镜像流量分发节点,提供包括节点的注册、监控、部署、销毁操作,所述镜像流量策略管理模块,用于提供对用户所设定流量策略的查看、检索、新增、修改、复制和删除的功能,主要对接数据库的操作,所述流量负载统计监控模块,用于监控每个镜像流量管理节点所转发出去的流量,若发现某节点所在环境流量达到阈值,则下发流量策略停止流量的转发,以保证业务系统的资源使用,所述网络拓扑监控模块,用于监控业务网络中业务虚拟机和旁路安全设备的拓扑变化情况,当发现业务虚拟机的拓扑发生变化时,通知下发流量策略,更新相关的镜像流量管理节点中的流表项,当发现旁路安全设备的拓扑发生变化时,下发流量策略,更新相关的镜像流量管理节点和镜像流分发节点中的流表项,所述流量策略决策模块,用于在收到镜像流量管理节点或镜像流量分发节点所发出的流量策略请求后,根据已经配置的流量策略信息生成流量转发策略;在生成流量策略时会综合考虑流量统计的负载情况、源端和目的端的去重、需要过滤的IP或协议的白名单、是否需要进行流量分发多重因素,所述流量策略通信模块,用于接收镜像流量管理节点的流量策略请求,并将生成的流量策略下发到镜像流量管理节点,所述镜像流量策略控制代理模块,用于向流量中心控制节点发送流量策略请求,并接受流量中心控制节点下发的流量策略,所述本地流表管理模块,用于将接收流量策略存储到流转发表中,并执行流表项老化更新,所述流表执行模块,用于根据所接收到的数据包查找到相应的流表项,并根据流表项指定的行为调用具体的执行模块,或在无法找到相应的流表项时向流量策略控制代理模块提交流量策略请求,所述流量复制模块,用于执行对数据包的复制,提供对流表执行模块的调用接口,所述流量统计模块,用于执行对所捕获和所转发的数据包的流量统计,并定期向镜像网络流量中心控制节点进行上报,所述流量过滤模块,用于...
【专利技术属性】
技术研发人员:不公告发明人,
申请(专利权)人:北京瑞和云图科技有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。