一種基于虛擬網(wǎng)絡(luò)環(huán)境的云安全系統(tǒng)及其部署框架的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及云安全技術(shù)領(lǐng)域�����,特別涉及一種基于虛擬網(wǎng)絡(luò)環(huán)境的云安全系統(tǒng)及其部署框架����。
【背景技術(shù)】
[0002]隨著信息技術(shù)的發(fā)展����,云的應(yīng)用越來越廣泛��,用戶對云的需求也在不斷增長�����。虛擬化是實(shí)現(xiàn)云的技術(shù)手段之一�,比如計(jì)算虛擬化�、網(wǎng)絡(luò)虛擬化��、存儲虛擬化����、安全虛擬化�����、終端虛擬化等都是實(shí)現(xiàn)云的關(guān)鍵技術(shù)��。
[0003]云服務(wù)環(huán)境主要由終端、管道和數(shù)據(jù)中心構(gòu)成��,所以云服務(wù)環(huán)境的安全隱患也主要包括這三個(gè)方面的安全隱患。然而���,現(xiàn)有技術(shù)在解決云環(huán)境下的紛繁復(fù)雜的安全隱患時(shí),存在諸多不足���。
【發(fā)明內(nèi)容】
[0004]本發(fā)明的目的是提供一種基于虛擬網(wǎng)絡(luò)環(huán)境的云安全系統(tǒng)及其部署框架���,本發(fā)明借鑒SDN架構(gòu)的理念����,采用controller與worker相分離的思路�,并通過安全防護(hù)層對網(wǎng)絡(luò)報(bào)文進(jìn)行安全防護(hù)��,提供了全面的云安全防護(hù)解決方案�����。���。
[0005]為實(shí)現(xiàn)上述目的�,本發(fā)明的一個(gè)方面提供了一種基于虛擬網(wǎng)絡(luò)環(huán)境的云安全系統(tǒng)��,采用SDN架構(gòu)���,包括:SDN控制層���,用于接收界面管理層下發(fā)的配置信息��,并根據(jù)所述配置信息生成轉(zhuǎn)發(fā)規(guī)則����,將所述轉(zhuǎn)發(fā)規(guī)則下發(fā)到轉(zhuǎn)發(fā)層����;轉(zhuǎn)發(fā)層包括多個(gè)虛擬路由器�,所述虛擬路由器用于接管和轉(zhuǎn)發(fā)源虛擬機(jī)的網(wǎng)絡(luò)報(bào)文��;虛擬路由器在接收到SDN控制層下發(fā)的所述轉(zhuǎn)發(fā)規(guī)則后�,將所述網(wǎng)絡(luò)報(bào)文發(fā)給安全防護(hù)層進(jìn)行安全防護(hù)���,并將安全防護(hù)后的所述網(wǎng)絡(luò)報(bào)文轉(zhuǎn)發(fā)給所述虛擬路由器���;所述虛擬路由器根據(jù)所述轉(zhuǎn)發(fā)規(guī)則,將安全防護(hù)后的所述網(wǎng)絡(luò)報(bào)文發(fā)給目標(biāo)虛擬機(jī)�����。
[0006]其中����,所述安全防護(hù)層包括以虛擬機(jī)形態(tài)或以硬件形態(tài)運(yùn)行的虛擬防火墻、入侵防御系統(tǒng)�����、Web應(yīng)用防護(hù)系統(tǒng)、分布式拒絕服務(wù)和/或負(fù)載均衡器�。
[0007]其中���,SDN控制層包括配置節(jié)點(diǎn)�,其用于將界面管理層發(fā)出的所述配置信息轉(zhuǎn)化為內(nèi)部數(shù)據(jù)結(jié)構(gòu)�,并向所述控制節(jié)點(diǎn)發(fā)送所述轉(zhuǎn)化為內(nèi)部數(shù)據(jù)結(jié)構(gòu)的所述配置信息�����。���。
[0008]其中,SDN控制層還包括控制節(jié)點(diǎn)�����,其用于根據(jù)配置節(jié)點(diǎn)發(fā)送的所述配置信息生成轉(zhuǎn)發(fā)規(guī)則,并將所述轉(zhuǎn)發(fā)規(guī)則下發(fā)到所述轉(zhuǎn)發(fā)層�。
[0009]其中����,SDN控制層還包括分析節(jié)點(diǎn)�����,其用于采集云環(huán)境中的監(jiān)測數(shù)據(jù)�����,對采集到的所述監(jiān)測數(shù)據(jù)進(jìn)行分析并將分析結(jié)果發(fā)送給所述界面管理層展示����;所述監(jiān)測數(shù)據(jù)包括:網(wǎng)絡(luò)攻擊類型�、攻擊總數(shù)�����、風(fēng)險(xiǎn)級別���、虛擬機(jī)的網(wǎng)絡(luò)流量�、流量速率��、累計(jì)流量����、物理服務(wù)器的CPU利用率和內(nèi)存使用率�。
[0010]其中�,所述分析節(jié)點(diǎn)還用于采集配置節(jié)點(diǎn)和控制節(jié)點(diǎn)的CPU利用率和內(nèi)存使用情況�����,以監(jiān)控云安全系統(tǒng)本身的運(yùn)行狀況�����,并將采集到的所述CPU利用率和內(nèi)存使用情況發(fā)送給界面管理層展示��。
[0011]其中���,所述轉(zhuǎn)發(fā)層包括多個(gè)虛擬路由器�,每個(gè)所述虛擬路由器包括:用戶態(tài)模塊和內(nèi)核態(tài)模塊�����;用戶態(tài)模塊接收到控制節(jié)點(diǎn)發(fā)出的所述轉(zhuǎn)發(fā)規(guī)則后,將所述轉(zhuǎn)發(fā)規(guī)則轉(zhuǎn)化成內(nèi)部數(shù)據(jù)結(jié)構(gòu)��,并向內(nèi)核態(tài)模塊發(fā)送所述轉(zhuǎn)化為內(nèi)部數(shù)據(jù)結(jié)構(gòu)的所述轉(zhuǎn)發(fā)規(guī)則��;內(nèi)核態(tài)模塊接收到用戶態(tài)模塊發(fā)送的所述轉(zhuǎn)發(fā)規(guī)則后��,將所述網(wǎng)絡(luò)報(bào)文發(fā)給安全防護(hù)層進(jìn)行安全防護(hù)����,并根據(jù)所述轉(zhuǎn)發(fā)規(guī)則對安全防護(hù)后的所述網(wǎng)絡(luò)報(bào)文進(jìn)行轉(zhuǎn)發(fā)����。
[0012]其中����,所述界面管理層通過虛擬防火墻和/或硬件防火墻的接口,對所述虛擬防火墻和/或硬件防火墻進(jìn)行監(jiān)控和管理�。
[0013]其中�����,所述轉(zhuǎn)發(fā)規(guī)則包括:源虛擬機(jī)名稱、目標(biāo)虛擬機(jī)名稱、源虛擬機(jī)IP地址、目標(biāo)虛擬機(jī)IP地址����、源虛擬機(jī)所在服務(wù)器的IP地址、目標(biāo)虛擬機(jī)所在服務(wù)器的IP地址和轉(zhuǎn)發(fā)方式�;所述轉(zhuǎn)發(fā)方式包括:直接轉(zhuǎn)發(fā)����、VLAN轉(zhuǎn)發(fā)和隧道轉(zhuǎn)發(fā)����;所述隧道轉(zhuǎn)發(fā)包括:VLAN����、VXLAN���、MPLS 轉(zhuǎn)發(fā)。
[0014]本發(fā)明的另一個(gè)方面提供了一種基于虛擬網(wǎng)絡(luò)環(huán)境的云安全系統(tǒng)的部署框架��,包括多臺物理服務(wù)器;其中�,至少一臺物理服務(wù)器,用于配置權(quán)利要求1-7中任一項(xiàng)所述系統(tǒng)中的SDN控制層����,所述SDN控制層在每臺所述物理服務(wù)器上運(yùn)行一個(gè)實(shí)例���;每臺所述物理服務(wù)器上運(yùn)行一個(gè)虛擬路由器����,多個(gè)所述虛擬路由器組成所述系統(tǒng)中的轉(zhuǎn)發(fā)層。
[0015]本發(fā)明借鑒SDN架構(gòu)的理念�����,采用controller與worker相分離的思路��,并通過安全防護(hù)層對網(wǎng)絡(luò)報(bào)文進(jìn)行安全防護(hù),提供了全面的云安全防護(hù)解決方案���。
【附圖說明】
[0016]圖1是本發(fā)明的基于虛擬網(wǎng)絡(luò)環(huán)境的云安全系統(tǒng)的結(jié)構(gòu)示意圖�;
[0017]圖2是本發(fā)明的SDN控制層的結(jié)構(gòu)示意圖;
[0018]圖3是本發(fā)明的轉(zhuǎn)發(fā)層的結(jié)構(gòu)示意圖����;
[0019]圖4是本發(fā)明的基于虛擬網(wǎng)路環(huán)境的云安全系統(tǒng)的部署框架的示意圖�。
【具體實(shí)施方式】
[0020]為使本發(fā)明的目的��、技術(shù)方案和優(yōu)點(diǎn)更加清楚明了,下面結(jié)合【具體實(shí)施方式】并參照附圖��,對本發(fā)明進(jìn)一步詳細(xì)說明。應(yīng)該理解�,這些描述只是示例性的��,而并非要限制本發(fā)明的范圍����。此外��,在以下說明中���,省略了對公知結(jié)構(gòu)和技術(shù)的描述���,以避免不必要地混淆本發(fā)明的概念�����。
[0021]圖1是本發(fā)明的基于虛擬網(wǎng)絡(luò)環(huán)境的云安全系統(tǒng)的結(jié)構(gòu)示意圖。
[0022]如圖1所示�����,在一云數(shù)據(jù)中心中��,本發(fā)明的基于虛擬網(wǎng)絡(luò)環(huán)境的云安全系統(tǒng)����,采用SDN架構(gòu)�,包括:界面管理層1�����、SDN控制層2�、轉(zhuǎn)發(fā)層3和安全防護(hù)層4。
[0023]界面管理層I用于對防火墻進(jìn)行配置以生成配置信息��,并向SDN控制層2下發(fā)所述配置信息�����。具體來說�,界面管理層I是云安全系統(tǒng)的統(tǒng)一管理界面���,用戶通過界面管理層I對防火墻進(jìn)行配置以生成配置信息��,并向SDN控制層2下發(fā)所述配置信息。
[0024]在本發(fā)明中�����,所述防火墻包括虛擬防火墻和硬件防火墻���,所述界面管理層I通過虛擬防火墻和/或硬件防火墻的接口�,對所述防火墻進(jìn)行監(jiān)控和管理�����。例如�,通過防火墻和/或硬件防火墻的接口�����,獲取防火墻上的監(jiān)控信息����、防火墻的配置策略等等���。
[0025]本發(fā)明中,所述配置信息包括但不限于地址組對象���、訪問控制策略(例如允許某些虛擬機(jī)能夠訪問外網(wǎng))、防病毒策略和防火墻的超時(shí)時(shí)間等等����。
[0026]SDN控制層2用于接收界面管理層I下發(fā)的配置信息,并根據(jù)所述配置信息生成轉(zhuǎn)發(fā)規(guī)則,將所述轉(zhuǎn)發(fā)規(guī)則下發(fā)到轉(zhuǎn)發(fā)層3���。
[0027]具體來說�����,SDN控制層2接收到界面管理層I下發(fā)的所述配置信息后�����,根據(jù)所述配置信息生成轉(zhuǎn)發(fā)規(guī)則,并將所述轉(zhuǎn)發(fā)規(guī)則下發(fā)到轉(zhuǎn)發(fā)層3��。默認(rèn)情況下�,同一個(gè)虛擬網(wǎng)絡(luò)內(nèi)的所有虛擬機(jī)之間可以互相通信,不同虛擬網(wǎng)絡(luò)間的虛擬機(jī)之間不允許互相通信��。所以在用戶創(chuàng)建虛擬網(wǎng)絡(luò)后�,SDN控制層2會生成默認(rèn)的轉(zhuǎn)發(fā)規(guī)則�,即允許同一個(gè)虛擬網(wǎng)絡(luò)內(nèi)的所有虛擬機(jī)可以通信���,阻斷不同虛擬網(wǎng)絡(luò)間虛擬機(jī)的通信。
[0028]本發(fā)明中�,所述轉(zhuǎn)發(fā)規(guī)則包括但不限于源虛擬機(jī)名稱、目標(biāo)虛擬機(jī)名稱���、源虛擬機(jī)IP地址����、目標(biāo)虛擬機(jī)IP地址����、源虛擬機(jī)所在服務(wù)器的IP地址��、目標(biāo)虛擬機(jī)所在服務(wù)器的IP地址和轉(zhuǎn)發(fā)方式等。所述轉(zhuǎn)發(fā)方式包括但不限于直接轉(zhuǎn)發(fā)�、VLAN轉(zhuǎn)發(fā)和隧道轉(zhuǎn)發(fā)等���。所述隧道轉(zhuǎn)發(fā)包括但不限于VLAN、VXLAN��、MPLS轉(zhuǎn)發(fā)等����。
[0029]轉(zhuǎn)發(fā)層3包括多個(gè)虛擬路由器,所述虛擬路由器用于接管和轉(zhuǎn)發(fā)源虛擬機(jī)的網(wǎng)絡(luò)報(bào)文���;虛擬路由器3在接收到SDN控制層2下發(fā)的所述轉(zhuǎn)發(fā)規(guī)則后��,將所述網(wǎng)絡(luò)報(bào)文發(fā)給安全防護(hù)層4進(jìn)行安全防護(hù)���,并將安全防護(hù)后的所述網(wǎng)絡(luò)報(bào)文轉(zhuǎn)發(fā)給所述虛擬路由器;所述虛擬路由器根據(jù)所述轉(zhuǎn)發(fā)規(guī)則��,將安全防護(hù)后的所述網(wǎng)絡(luò)報(bào)文發(fā)給目標(biāo)虛擬機(jī)。
[0030]具體來說�,轉(zhuǎn)發(fā)層3主要由多個(gè)虛擬路由器組成�����,所述虛擬路由器接管和轉(zhuǎn)發(fā)虛擬機(jī)的網(wǎng)絡(luò)報(bào)文�。虛擬路由器從SDN控制層2接收到所述轉(zhuǎn)發(fā)規(guī)則后���,將所述網(wǎng)絡(luò)報(bào)文發(fā)給所述安全防護(hù)層4進(jìn)行安全防護(hù),并將安全防護(hù)后的所述網(wǎng)絡(luò)報(bào)文轉(zhuǎn)發(fā)給所述虛擬路由器��,所述虛擬路由器按照所述轉(zhuǎn)發(fā)規(guī)則�,將安全防護(hù)后的所述網(wǎng)絡(luò)報(bào)文發(fā)給所述目標(biāo)虛擬機(jī)�����,從而實(shí)現(xiàn)虛擬機(jī)網(wǎng)絡(luò)報(bào)文的轉(zhuǎn)發(fā)��。
[0031]在本發(fā)明中��,所述安全防護(hù)層4包括但不限于以虛擬機(jī)形態(tài)或以硬件形態(tài)運(yùn)行的虛擬防火墻��、入侵防御系統(tǒng)��、Web應(yīng)用防護(hù)系統(tǒng)�����、分布式拒絕服務(wù)和/或負(fù)載均衡器等��。
[0032]圖2是本發(fā)明的SDN控制層的結(jié)構(gòu)示意圖。
[0033]如圖2所示��,在一實(shí)施方式中�����,所述SDN控制層2包括配置節(jié)點(diǎn)21���、控制節(jié)點(diǎn)22和分析節(jié)點(diǎn)23。
[0034]配置節(jié)點(diǎn)21用于將界面管理層I發(fā)出的所述配置信息轉(zhuǎn)化為內(nèi)部數(shù)據(jù)結(jié)構(gòu)����,并向所述控制節(jié)點(diǎn)22發(fā)送所述轉(zhuǎn)化為內(nèi)部數(shù)據(jù)結(jié)構(gòu)的所述配置信息�����。
[0035]具體來說�����,配置節(jié)點(diǎn)21接收到界面管理層I發(fā)送的所述配置信息后�,將配置信息轉(zhuǎn)化為內(nèi)部數(shù)據(jù)(例如將轉(zhuǎn)發(fā)規(guī)則封裝為xml格式)后�����,再向控制節(jié)點(diǎn)22發(fā)送所述轉(zhuǎn)化為內(nèi)部數(shù)據(jù)結(jié)構(gòu)的所述轉(zhuǎn)發(fā)規(guī)則�����。
[0036]需要說明的是��,內(nèi)部數(shù)據(jù)結(jié)構(gòu)是計(jì)算機(jī)編程中的技術(shù)術(shù)語本發(fā)明中�����,將所述轉(zhuǎn)發(fā)規(guī)則轉(zhuǎn)化為內(nèi)部數(shù)據(jù)結(jié)構(gòu)的目的是便于計(jì)算機(jī)識別和操作�����。
[0037]控制節(jié)點(diǎn)22接收到所述配置信息后,用于根據(jù)所述配置信息生成轉(zhuǎn)發(fā)規(guī)則���,并將所述轉(zhuǎn)發(fā)規(guī)則下發(fā)到轉(zhuǎn)發(fā)層3��。
[0038]具體來說�����,控制節(jié)點(diǎn)21接收到所述配置信息后����,根據(jù)所述配置信息生成轉(zhuǎn)發(fā)規(guī)貝1J����,再將所述轉(zhuǎn)發(fā)規(guī)則下發(fā)到轉(zhuǎn)發(fā)層3。
[0039]在