CN104753951A - 一种基于软件定义的网络安全流安全平台 - Google Patents
一种基于软件定义的网络安全流安全平台 Download PDFInfo
- Publication number
- CN104753951A CN104753951A CN201510171335.4A CN201510171335A CN104753951A CN 104753951 A CN104753951 A CN 104753951A CN 201510171335 A CN201510171335 A CN 201510171335A CN 104753951 A CN104753951 A CN 104753951A
- Authority
- CN
- China
- Prior art keywords
- network
- application
- security
- layer
- compartment wall
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Alarm Systems (AREA)
Abstract
本发明涉及了一种基于软件定义的网络安全流安全平台,其特征在于:包括应用层、管理层、数据层;所述应用层包括网络应用、网络服务、自定义应用接口,所述应用层可直接为应用进程提供服务,其作用是在实现多个系统应用进程相互通信的同时,完成一系列业务处理所需的服务;所述管理层包括SDN控制器,所述SDN控制器将网络设备上的控制权分离出来并进行集中管理;所述数据层包括防火墙、Web应用防护系统WAF、入侵检测系统IDS,所述数据层可对访问数据进行检测及控制。本发明的有益效果是:可以解决SDN环境下的资源管理和安全防护方面的缺陷,满足网络大流量、安全需求多样、安全可信程度要求较高环境下的安全防护需求。
Description
技术领域
本发明涉及网络安全技术领域,具体的说是一种基于软件定义的网络安全流安全平台。
背景技术
传统IT架构中的网络,根据业务需求部署上线以后,如果业务需求发生变动,重新修改相应网络设备(路由器、交换机、防火墙)上的配置是一件非常繁琐的事情。在互联网/移动互联网瞬息万变的业务环境下,网络的高稳定与高性能还不足以满足业务需求,灵活性和安全性反而更为关键。软件定义网络(SDN)所做的事是将网络设备上的控制权分离出来,由集中的控制器管理,无须依赖底层网络设备(路由器、交换机、防火墙),屏蔽了来自底层网络设备的差异,而控制权是完全开放的,用户可以自定义任何想实现的网络路由和传输规则策略,从而更加灵活和智能。而目前基于软件定义网络环境下的资源管理和安全防护方面存在一些缺陷,难以满足网络大流量、安全需求多样、安全可信度要求较高环境下的安全防护需求。
发明内容
本发明的目的在于提供一种基于软件定义的网络安全流安全平台,以解决目前基于软件定义网络环境下的资源管理和安全防护方面存在的一些缺陷。
本发明提供的一种基于软件定义的网络安全流安全平台是通过以下技术方案实现的:
一种基于软件定义的网络安全流安全平台,其特征在于:包括应用层、管理层、数据层;
所述应用层包括网络应用、网络服务、自定义应用接口,所述应用层可直接为应用进程提供服务,其作用是在实现多个系统应用进程相互通信的同时,完成一系列业务处理所需的服务;
所述管理层包括SDN控制器,所述SDN控制器将网络设备上的控制权分离出来并进行集中管理;
所述数据层包括防火墙、Web应用防护系统WAF、入侵检测系统IDS,所述数据层可对访问数据进行检测及控制。
所述防火墙通过SDN控制器定制的安全策略,将流量牵引至所述防火墙,由防火墙根据规则对访问流量进行控制,阻断非授权访问,并将合法的访问流量回注到应用中去。
所述入侵检测系统IDS可根据定制的安全策略对虚拟环境下网络流量的导出与检测。
本发明的有益效果是:
1、基于软件定义网络的安全流平台可以解决SDN环境下的资源管理和安全防护方面的缺陷,满足满足网络大流量、安全需求多样、安全可信程度要求较高环境下的安全防护需求。
2、基于软件定义网络的安全流平台可融合相关的安全设备,对指定服务或应用实现多种安全功能灵活有序组合,通过安全功能的联动防护,能满足提高面向业务安全的整体防护能力需求。
3、基于SDN 网络架构可以支持动态网络流量的可视化,对流量进行控制和检测,进一步提高网络安全。
附图说明
图1是本发明的系统构架示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,以下结合附图及具体实施例,对本申请作进一步地详细说明。
如图1所示的一种基于软件定义的网络安全流安全平台,其特征在于:包括应用层、管理层、数据层;所述应用层包括网络应用、网络服务、自定义应用接口,所述应用层可直接为应用进程提供服务,其作用是在实现多个系统应用进程相互通信的同时,完成一系列业务处理所需的服务;所述管理层包括SDN控制器,所述SDN控制器将网络设备上的控制权分离出来并进行集中管理;所述数据层包括防火墙、Web应用防护系统WAF、入侵检测系统IDS,所述数据层可对访问数据进行检测及控制。
进一步地,所述防火墙通过SDN控制器定制的安全策略,将流量牵引至所述防火墙,由防火墙根据规则对访问流量进行控制,阻断非授权访问,并将合法的访问流量回注到应用中去,所述防火墙可以根据检测流量的大小进行处理能力的适配,可由单台高端设备虚拟成多台设备,通过执行各自独立的安全策略, 对不同用户的处理需求做并行处理,即“一虚多”的模式,也可以由多台低端设备组成集群模式或负载均衡的调度,即“多虚一”的模式,对大流量的访问控制任务进行集中处理, 同时这种访问控制检测不受防火墙部署位置的影响。
进一步地,所述入侵检测系统IDS可根据定制的安全策略对虚拟环境下网络流量的导出与检测,可以根据安全策略灵活地将网络流量牵引至攻击检测设备。
以上所述实施例仅表示本发明的实施方式,其描述较为具体和详细,但并不能理解为对本发明范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明保护范围。
Claims (3)
1.一种基于软件定义的网络安全流安全平台,其特征在于:包括应用层、管理层、数据层;
所述应用层包括网络应用、网络服务、自定义应用接口,所述应用层可直接为应用进程提供服务,其作用是在实现多个系统应用进程相互通信的同时,完成一系列业务处理所需的服务;
所述管理层包括SDN控制器,所述SDN控制器将网络设备上的控制权分离出来并进行集中管理;
所述数据层包括防火墙、Web应用防护系统WAF、入侵检测系统IDS,所述数据层可对访问数据进行检测及控制。
2.根据权利要求1所述的一种基于软件定义的网络安全流安全平台,其特征在于:所述防火墙通过SDN控制器定制的安全策略,将流量牵引至所述防火墙,由防火墙根据规则对访问流量进行控制,阻断非授权访问,并将合法的访问流量回注到应用中去。
3.根据权利要求1所述的一种基于软件定义的网络安全流安全平台,其特征在于:所述入侵检测系统IDS可根据定制的安全策略对虚拟环境下网络流量的导出与检测。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510171335.4A CN104753951A (zh) | 2015-04-13 | 2015-04-13 | 一种基于软件定义的网络安全流安全平台 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510171335.4A CN104753951A (zh) | 2015-04-13 | 2015-04-13 | 一种基于软件定义的网络安全流安全平台 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104753951A true CN104753951A (zh) | 2015-07-01 |
Family
ID=53593055
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510171335.4A Pending CN104753951A (zh) | 2015-04-13 | 2015-04-13 | 一种基于软件定义的网络安全流安全平台 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104753951A (zh) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105262753A (zh) * | 2015-10-28 | 2016-01-20 | 广州西麦科技股份有限公司 | 一种基于sdn虚拟交换机的安全策略的系统及方法 |
| CN105959275A (zh) * | 2016-04-26 | 2016-09-21 | 北京启明星辰信息安全技术有限公司 | 安全一体机系统 |
| US20170142223A1 (en) * | 2015-11-16 | 2017-05-18 | Electronics And Telecommunications Research Institute | Software-defined networking multi-orchestrator system |
| CN107770174A (zh) * | 2017-10-23 | 2018-03-06 | 上海微波技术研究所(中国电子科技集团公司第五十研究所) | 一种面向sdn网络的入侵防御系统和方法 |
| CN107786495A (zh) * | 2016-08-24 | 2018-03-09 | 北京计算机技术及应用研究所 | 云环境网络安全防护系统 |
| CN108123886A (zh) * | 2016-11-29 | 2018-06-05 | 上海有云信息技术有限公司 | 一种云计算平台的数据转发方法及装置 |
| WO2018188019A1 (en) * | 2017-04-13 | 2018-10-18 | Nokia Technologies Oy | Apparatus, method and computer program product for trust management |
| CN110933043A (zh) * | 2019-11-07 | 2020-03-27 | 广州市品高软件股份有限公司 | 一种基于软件定义网络的虚拟防火墙优化方法及系统 |
| CN113542160A (zh) * | 2021-05-27 | 2021-10-22 | 贵州电网有限责任公司 | 一种基于sdn的云内东西向流量牵引方法与系统 |
| CN113810348A (zh) * | 2020-06-17 | 2021-12-17 | 华为技术有限公司 | 网络安全检测方法、系统、设备及控制器 |
| CN113965341A (zh) * | 2021-08-31 | 2022-01-21 | 天津七所精密机电技术有限公司 | 一种基于软件定义网络的入侵检测系统 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103973676A (zh) * | 2014-04-21 | 2014-08-06 | 蓝盾信息安全技术股份有限公司 | 一种基于sdn的云计算安全保护系统及方法 |
| CN104348819A (zh) * | 2013-08-07 | 2015-02-11 | 上海宽带技术及应用工程研究中心 | 一种软件定义网络中的防火墙系统及其实现方法 |
-
2015
- 2015-04-13 CN CN201510171335.4A patent/CN104753951A/zh active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104348819A (zh) * | 2013-08-07 | 2015-02-11 | 上海宽带技术及应用工程研究中心 | 一种软件定义网络中的防火墙系统及其实现方法 |
| CN103973676A (zh) * | 2014-04-21 | 2014-08-06 | 蓝盾信息安全技术股份有限公司 | 一种基于sdn的云计算安全保护系统及方法 |
Non-Patent Citations (3)
| Title |
|---|
| 戴彬,王航远: "《SDN安全探讨:机遇与威胁并存》", 《计算机应用研究》 * |
| 王帅,金华敏: "《基于SDN的安全分析及关键技术研究》", 《电信科学》 * |
| 马虔: "《软件定义网络环境下的安全流平台研究》", 《信息安全与技术》 * |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105262753A (zh) * | 2015-10-28 | 2016-01-20 | 广州西麦科技股份有限公司 | 一种基于sdn虚拟交换机的安全策略的系统及方法 |
| US20170142223A1 (en) * | 2015-11-16 | 2017-05-18 | Electronics And Telecommunications Research Institute | Software-defined networking multi-orchestrator system |
| CN105959275A (zh) * | 2016-04-26 | 2016-09-21 | 北京启明星辰信息安全技术有限公司 | 安全一体机系统 |
| CN107786495A (zh) * | 2016-08-24 | 2018-03-09 | 北京计算机技术及应用研究所 | 云环境网络安全防护系统 |
| CN108123886A (zh) * | 2016-11-29 | 2018-06-05 | 上海有云信息技术有限公司 | 一种云计算平台的数据转发方法及装置 |
| US11012313B2 (en) | 2017-04-13 | 2021-05-18 | Nokia Technologies Oy | Apparatus, method and computer program product for trust management |
| WO2018188019A1 (en) * | 2017-04-13 | 2018-10-18 | Nokia Technologies Oy | Apparatus, method and computer program product for trust management |
| CN107770174A (zh) * | 2017-10-23 | 2018-03-06 | 上海微波技术研究所(中国电子科技集团公司第五十研究所) | 一种面向sdn网络的入侵防御系统和方法 |
| CN110933043A (zh) * | 2019-11-07 | 2020-03-27 | 广州市品高软件股份有限公司 | 一种基于软件定义网络的虚拟防火墙优化方法及系统 |
| CN110933043B (zh) * | 2019-11-07 | 2020-07-31 | 广州市品高软件股份有限公司 | 一种基于软件定义网络的虚拟防火墙优化方法及系统 |
| CN113810348A (zh) * | 2020-06-17 | 2021-12-17 | 华为技术有限公司 | 网络安全检测方法、系统、设备及控制器 |
| CN113810348B (zh) * | 2020-06-17 | 2023-04-07 | 华为技术有限公司 | 网络安全检测方法、系统、设备及控制器 |
| CN113542160A (zh) * | 2021-05-27 | 2021-10-22 | 贵州电网有限责任公司 | 一种基于sdn的云内东西向流量牵引方法与系统 |
| CN113965341A (zh) * | 2021-08-31 | 2022-01-21 | 天津七所精密机电技术有限公司 | 一种基于软件定义网络的入侵检测系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104753951A (zh) | 一种基于软件定义的网络安全流安全平台 | |
| CN109922021B (zh) | 安全防护系统以及安全防护方法 | |
| CN104813611B (zh) | 针对网络服务的虚拟设备描述表(vdc)集成 | |
| US8868034B2 (en) | Secure wireless device area network of a cellular system | |
| JP7373560B2 (ja) | 相乗的なdnsセキュリティ更新 | |
| CN107153565B (zh) | 配置资源的方法及其网络设备 | |
| Salonikias et al. | Access control issues in utilizing fog computing for transport infrastructure | |
| CN104052540B (zh) | 飞机通信交换系统 | |
| CN104618379A (zh) | 一种面向idc业务场景的安全服务编排方法及网络结构 | |
| CN103561011A (zh) | 一种SDN控制器盲DDoS攻击防护方法及系统 | |
| CN102427429B (zh) | 一种实现交换机内部报文安全防护的方法、系统以及交换机 | |
| CN103269282A (zh) | 网络配置自动部署方法和装置 | |
| CN104468633B (zh) | 一种sdn南向安全代理产品 | |
| Kalinin et al. | Software defined security for vehicular ad hoc networks | |
| CN110798459B (zh) | 一种基于安全功能虚拟化的多安全节点联动防御方法 | |
| CN104506614B (zh) | 一种基于云计算的分布式多活数据中心的设计方法 | |
| CN103401905B (zh) | 基于移动智能终端的电网调度移动应用平台系统 | |
| CN105553948A (zh) | 一种基于虚拟机的弹性防攻击方法 | |
| CN104660554A (zh) | 一种虚拟机通信数据安全的实现方法 | |
| US8997203B2 (en) | Filtering network packets in multiple forwarding information base systems | |
| CN105897766A (zh) | 一种虚拟网络流量安全控制方法及装置 | |
| CN104050038A (zh) | 一种基于策略感知的虚拟机迁移方法 | |
| CN103873469A (zh) | 一种播出控制系统 | |
| CN105959275A (zh) | 安全一体机系统 | |
| EP2696553B1 (en) | Filtering network packets in multiple forwarding information base systems |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20150701 |
|
| RJ01 | Rejection of invention patent application after publication |