针对目前在网络安全设备采用严格的“白名单”安全策略的多域网络中,一旦出现网络故障或结构改变,将出现通信死锁、修复困难的问题,提出一种基于网络功能虚拟化(NFV)的推演多域网络安全策略(Deducing Secure Policy for Multi‑domain Networks based on NFV,DSPMN‑NFV)技术。DSPMN‑NFV先在等价的虚拟化多域网络系统中推演出防火墙/访问控制列表(ACL)集合的安全策略,然后通过虚拟化系统中域内策略实施器配置该安全策略集合,实际验证其是否有效,从而为该多域网络提供一种动态、实时配置防火墙/ACL安全策略的解决方案。
【技术实现步骤摘要】
一种基于网络功能虚拟化的推演多域网络安全策略的系统和方法
本专利技术属于网络通信和网络安全领域,具体地说是在实施严格安全策略的多域网络中提出了一种基于网络功能虚拟化技术动态实时地推演并验证防火墙/访问控制列表(AccessControlList,ACL)安全策略的技术,以解决当网络出现故障或结构变化时出现的通信死锁、修复困难的问题。
技术介绍
随着网络的规模增大,网络结构就会越来越复杂。同时,随着网络成为人类社会的基础设施,网络面临的安全威胁正在增加,这些都导致网络中设置安全设备越来越多,其上配置的安全规则也越来越复杂。由于配置每台安全设备的过程非常复杂且极易出错,特别是大型网络通常划分为多个自治域(AS),每个AS可能由一个电信运营商拥有并管理。一个AS既是一个采用相同路由协议的区域,也是一个设置相同网络安全规则的区域。因此,在多域网络环境下,网络安全设备的配置是一个极为复杂、耗时的过程,需要多个网络安全管理员协作才能完成。当网络安全要求很高时,多域网络的每个出入口都要设置防火墙,大部分路由器也都设置ACL,其中防火墙和具有ACL的防火墙称为安全对象。并且,网络安全设备采用严格的“白名单”安全策略,即不在“白名单”上的“IP地址+端口号列表”的应用分组无法穿越一系列网络安全设备进行通信。我们将采取前述网络安全措施的网络称为“安全白网络”。这里网络用户与关键网络应用称为应用对象,控制“安全白网络”的网络安全策略包括:安全对象允许或拒绝应用对象的分组通过,其中涉及的分组参数包括:用户的IP地址、运输层协议TCP/UDP及其端口号。设想若某“安全白网络”中的某设备(如路由器、链路或防火墙)出现了故障,或者网络结构进行了调整变动,此时用户之间端到端的路由就可能进行相应调整,分组经过的路由器(防火墙)序列就会变化。如果某台或某些防火墙/路由器的安全策略与变动之前的有所不同,就会切断多域用户之间的端到端路径。更糟糕的是,由于多域“安全白网络”的网络管理者因网络安全和网络管理权限的限制,无法感知或探测各AS域出现的故障情况以及相应的路由变换情况,因而也就无法为多域网络的防火墙/ACL集合规划出新的网络安全策略。综上所述,多域“安全白网络”存在如下网络安全策略设置问题:第一,当网络运行正常时,为各种重要网络应用/用户设计的用于防火墙/ACL设备的安全策略能够正常工作,而一旦网络设备故障或结构调整时,将可能引发相关应用和用户的通信中断,会对网络应用带来难以估量的严重影响。第二,一旦网络中断时,人类管理者只能使用初级工具与技术来确定、排除问题,设法为新“网络应用/用户”组合涉及的“防火墙/ACL集合”设置新安全策略集合,而这个过程是非常缓慢、低效的。显然,“安全白网络”存在的这种因网络结构的改变而出现的通信死锁、修复困难的问题,是承担关键任务多域网络必须要解决的问题。本专利给出了一种解决多域“安全白网络”设置网络安全策略问题的技术方案。
技术实现思路
[专利技术目的]:针对目前在多域“安全白网络”中,一旦出现网络故障或结构改变,将出现通信死锁、修复困难的问题,提出一种基于网络功能虚拟化(NFV)的推演多域网络安全策略(DeducingSecurePolicyforMulti-domainNetworksbasedonNFV,DSPMN-NFV)技术。DSPMN-NFV先在虚拟化多域“安全白网络”系统中推演出防火墙/访问控制列表(ACL)集合的安全策略,然后通过虚拟化系统中域内策略实施器配置该安全策略集合,实际验证其是否有效,从而为“安全白网络”提供一种动态、实时配置防火墙/ACL安全策略的解决方案。[技术方案]:本专利技术的技术方案是:1、一种支持DSPMN-NFV的系统,其特征在于它包括:A.该系统具有一个与现实世界中的多域“安全白网络”(简称物理网络)完全相同的基于NFV的虚拟网络(简称虚拟网络),这两个网络具有相同的网络结构、网络协议、网络安全设备和网络安全策略,并且两者保留着各自的配置参数。因此,虚拟网络能够产生与物理网络一样的行为,如网络故障或网络结构变化等。B.虚拟网络具有一个安全策略管理系统,该管理系统能够基于物理网络故障或网络结构变化等信息,控制虚拟网络产生相同的变化,即产生相同的网络故障或网络结构变化的虚拟网络。图1显示了该支持DSPMN-NFV的系统组成。C.安全策略管理系统具有如图2所示的架构,其中包括用于存放多域网络中所有安全对象和应用对象配置信息的目录服务器,用于提供策略编程的策略编辑器,用于决策推理以获得优化安全策略的策略决策管理器,在每个自治域中对域内防火墙、具有ACL功能的路由器实施安全策略的域策略实施器,和防火墙和具有ACL的路由器等安全设备。2、一种基于DSPMN-NFV的推演安全策略方法,其特征在于它包括:A.策略管理系统推演安全策略的工作流程是:(1)当物理网络出现设备故障或调整网络结构时,相关外部应用信息传递给目录管理器;(2)目录管理器搜索并计算相关信息,将其交付给策略决策管理器,由该管理器对虚拟网络进行设置,使虚拟网络产生与物理网络相同的现象;(3)策略决策管理器将所有安全设备设置为“允许来自所有IP地址的所有端口号的分组通过”;(4)策略决策管理器根据应用对象的通信需求,发起端到端网络测量以获取通信路径集合及其安全对象的信息;(5)策略决策管理器根据各种应用的安全需求,计算安全对象应设置的安全参数集FWPara;(6)策略决策管理器根据多域信息,将FWPara拆分为各域的安全参数子集SubFWPara。B.策略管理系统推演安全策略的算法如算法1所示。3、一种基于DSPMN-NFV的验证安全策略方法,其特征在于它包括:A.策略管理系统验证安全策略的工作流程是:(1)策略决策管理器与域策略实施器进行通信,该管理器将各域的安全参数子集SubFWPara分发给各个域的域策略实施器;(2)各个域策略实施器按照SubFWPara对本域安全对象设置安全参数;(3)策略决策管理器在虚拟网络中根据所有应用涉及的流进行测试,如果所有测试通过则安全策略验证成功,否则验证不成功;(4)策略管理系统将验证成功的安全策略集合交付给管理员,可供物理网络按此安全策略集合。B.策略管理系统验证安全策略的算法如算法2所示。[有益效果]:本专利技术的意义在于提出来一种基于网络功能虚拟化的推演多域网络安全策略(DSPMN-NFV)技术,以解决在安全措施严格的多自治域网络中一旦出现网络故障或网络结构变化将通信中断并难以有效设置防火墙/ACL安全策略的问题,从而为“安全白网络”提供一种动态、实时配置防火墙/ACL安全策略的解决方案。[附图说明]:图1支持DSPMN-NFV的系统组成图2安全策略管理系统架构图3支持DSPMN-NFV的原型系统...
【技术保护点】
1.一种支持DSPMN-NFV的系统,其特征在于它包括:/nA.该系统具有一个与现实世界中的多域“安全白网络”(简称物理网络)完全相同的基于NFV的虚拟网络(简称虚拟网络),这两个网络具有相同的网络结构、网络协议、网络安全设备和网络安全策略,并且两者保留着各自的配置参数。因此,虚拟网络能够产生与物理网络一样的行为,如网络故障或网络结构变化等。/nB.虚拟网络具有一个安全策略管理系统,该管理系统能够基于物理网络故障或网络结构变化等信息,控制虚拟网络产生相同的变化,即产生相同的网络故障或网络结构变化的虚拟网络。图1显示了该支持DSPMN-NFV的系统组成。/nC.安全策略管理系统具有如图2所示的架构,其中包括用于存放多域网络中所有安全对象和应用对象配置信息的目录服务器,用于提供策略编程的策略编辑器,用于决策推理以获得优化安全策略的策略决策管理器,在每个自治域中对域内防火墙、具有ACL功能的路由器实施安全策略的域策略实施器,和防火墙和具有ACL的路由器等安全设备。/n
【技术特征摘要】
1.一种支持DSPMN-NFV的系统,其特征在于它包括:
A.该系统具有一个与现实世界中的多域“安全白网络”(简称物理网络)完全相同的基于NFV的虚拟网络(简称虚拟网络),这两个网络具有相同的网络结构、网络协议、网络安全设备和网络安全策略,并且两者保留着各自的配置参数。因此,虚拟网络能够产生与物理网络一样的行为,如网络故障或网络结构变化等。
B.虚拟网络具有一个安全策略管理系统,该管理系统能够基于物理网络故障或网络结构变化等信息,控制虚拟网络产生相同的变化,即产生相同的网络故障或网络结构变化的虚拟网络。图1显示了该支持DSPMN-NFV的系统组成。
C.安全策略管理系统具有如图2所示的架构,其中包括用于存放多域网络中所有安全对象和应用对象配置信息的目录服务器,用于提供策略编程的策略编辑器,用于决策推理以获得优化安全策略的策略决策管理器,在每个自治域中对域内防火墙、具有ACL功能的路由器实施安全策略的域策略实施器,和防火墙和具有ACL的路由器等安全设备。
2.一种基于DSPMN-NFV的推演安全策略方法,其特征在于它包括:
A.策略管理系统推演安全策略的工作流程是:
(1)当物理网络出现设备故障或调整网络结构时,相关外部应用信息传递给目录管理器;
(2)目录管理器搜索并计算相关信息,将其交付给策略决策管理器,由该...
【专利技术属性】
技术研发人员:陈鸣,邓理,
申请(专利权)人:南京华鹞信息科技有限公司,
类型:发明
国别省市:江苏;32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。