CN105262753A - 一种基于sdn虚拟交换机的安全策略的系统及方法 - Google Patents

一种基于sdn虚拟交换机的安全策略的系统及方法 Download PDF

Info

Publication number
CN105262753A
CN105262753A CN201510715914.0A CN201510715914A CN105262753A CN 105262753 A CN105262753 A CN 105262753A CN 201510715914 A CN201510715914 A CN 201510715914A CN 105262753 A CN105262753 A CN 105262753A
Authority
CN
China
Prior art keywords
virtual switch
virtual
security strategy
sdn
sdn controller
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201510715914.0A
Other languages
English (en)
Inventor
熊常春
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guangzhou Vcmy Technology Co Ltd
Original Assignee
Guangzhou Vcmy Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guangzhou Vcmy Technology Co Ltd filed Critical Guangzhou Vcmy Technology Co Ltd
Priority to CN201510715914.0A priority Critical patent/CN105262753A/zh
Publication of CN105262753A publication Critical patent/CN105262753A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于SDN虚拟交换机的安全策略的系统及方法,包括多个虚拟机和设置在其上的虚拟网卡,虚拟网卡均与虚拟交换机连接,虚拟交换机分别与物理网卡和SDN控制器连接。其实现方法为:S1、将虚拟机接入虚拟交换机;S2、SDN控制器与虚拟交换机通过Openflow协议连接成功;S3、在SDN控制器配置需要的安全策略;S4、SDN控制器通过Openflow协议下发安全策略到虚拟交换机,并自动设置Openflow表项;S5、当收到虚机发来的报文后检查表项,并判断安全策略是否符合;S6、当符合安全策略时,转发报文,否则丢弃报文。本发明提供不同级别的安全保护及防御,有效的提供了虚拟化网络中的安全。

Description

一种基于SDN虚拟交换机的安全策略的系统及方法
技术领域
本发明涉及网络安全技术领域,尤其涉及一种基于SDN虚拟交换机的安全策略的系统及方法。
背景技术
软件定义网络(SoftwareDefinedNetwork,SDN),是一种新型网络创新架构,是网络虚拟化的一种实现方式,其核心技术OpenFlow通过将网络设备控制面与数据面分离开来,从而实现了网络流量的灵活控制,使网络作为管道变得更加智能。
SDN将控制与转发分离,通过控制器对整网实现集中控制,实现转发硬件通用化,控制智能集中化,极大的提高了网络的创新和灵活。但在现有SDN技术中,虚拟交换机只能作简单的报文转发和VLAN隔离,没有报文深度解析功能,缺少安全策略保护,安全性差。
发明内容
有鉴于现有技术的上述缺陷,本发明所要解决的技术问题是提供一种基于SDN虚拟交换机的安全策略的系统及方法,本发明在SDN控制器定义安全策略,可与单台VM的IP地址或一组VM的IP地址组绑定,控制器通过Openflow协议将安全策略下发到虚拟交换机,虚拟交换机接收策略并设置安全策略对应的Openflow表项,当VM报文到达时,虚拟交换机会根据安全策略的Openflow表项来作相应的动作,有效的提供了虚拟化网络中的安全。
为实现上述目的,本发明提供了一种基于SDN虚拟交换机的安全策略的系统,其特征在于:包括多个虚拟机和设置在每个虚拟机上的虚拟网卡,所述虚拟网卡均与虚拟交换机相连接,所述虚拟交换机分别与物理网卡和SDN控制器连接。
一种基于SDN虚拟交换机的安全策略的方法,其特征在于,包括以下步骤:
S1、将虚拟机接入虚拟交换机;
S2、SDN控制器与虚拟交换机通过Openflow协议连接成功;
S3、在SDN控制器配置需要的安全策略;
S4、SDN控制器通过Openflow协议下发安全策略到虚拟交换机,虚拟交换机根据安全策略自动设置Openflow表项;
S5、当收到虚机发来的报文时,虚拟交换机会检查表项,并判断安全策略是否符合;
S6、当符合安全策略时,转发报文,否则丢弃报文。
上述的一种基于SDN虚拟交换机的安全策略的方法,其特征在于,所述步骤S3在SDN控制器配置需要的安全策略可以基于单个虚拟机,也可以基于虚机组。
本发明的有益效果是:
1、本发明在SDN控制器定义安全策略,可与单台VM的IP地址或一组VM的IP地址组绑定,控制器通过Openflow协议将安全策略下发到虚拟交换机,虚拟交换机接收策略并设置安全策略对应的Openflow表项,当VM报文到达时,虚拟交换机会根据安全策略的Openflow表项来作相应的动作,有效的提供了虚拟化网络中的安全;
2、本发明可以基于单个虚机或虚机组提供不同级别的安全保护及防御,进一步提高了虚拟化网络的安全。
以下将结合附图对本发明的构思、具体结构及产生的技术效果作进一步说明,以充分地了解本发明的目的、特征和效果。
附图说明
图1是本发明的结构示意图;
图2是本发明的工作流程图。
具体实施方式
如图1所示,一种基于SDN虚拟交换机的安全策略的系统,其特征在于:包括多个虚拟机1和设置在每个虚拟机1上的虚拟网卡2,所述虚拟网卡2均与虚拟交换机3相连接,所述虚拟交换机3分别与物理网卡4和SDN控制器5连接。
如图2所示,一种基于SDN虚拟交换机的安全策略的方法,其特征在于,包括以下步骤:
S1、将虚拟机接入虚拟交换机;
S2、SDN控制器与虚拟交换机通过Openflow协议连接成功;
S3、在SDN控制器配置需要的安全策略;
S4、SDN控制器通过Openflow协议下发安全策略到虚拟交换机,虚拟交换机根据安全策略自动设置Openflow表项;
S5、当收到虚机发来的报文时,虚拟交换机会检查表项,并判断安全策略是否符合;
S6、当符合安全策略时,转发报文,否则丢弃报文。
本实施例中,所述步骤S3在SDN控制器配置需要的安全策略可以基于单个虚拟机,也可以基于虚机组。
综上所述,本发明的基于SDN虚拟交换机的安全策略系统可以有效保护虚拟机的安全,并且可以基于单个虚机或虚机组提供不同级别的安全保护及防御,有效的提供虚拟化网络中的安全。
以上详细描述了本发明的较佳具体实施例。应当理解,本领域的普通技术人员无需创造性劳动就可以根据本发明的构思做出诸多修改和变化。因此,凡本技术领域中技术人员依本发明的构思在现有技术的基础上通过逻辑分析、推理或者有限的实验可以得到的技术方案,皆应在由权利要求书所确定的保护范围内。

Claims (3)

1.一种基于SDN虚拟交换机的安全策略的系统,其特征在于:包括多个虚拟机(1)和设置在每个虚拟机(1)上的虚拟网卡(2),所述虚拟网卡(2)均与虚拟交换机(3)相连接,所述虚拟交换机(3)分别与物理网卡(4)和SDN控制器(5)连接。
2.一种基于SDN虚拟交换机的安全策略的方法,其特征在于,包括以下步骤:
S1、将虚拟机接入虚拟交换机;
S2、SDN控制器与虚拟交换机通过Openflow协议连接成功;
S3、在SDN控制器配置需要的安全策略;
S4、SDN控制器通过Openflow协议下发安全策略到虚拟交换机,虚拟交换机根据安全策略自动设置Openflow表项;
S5、当收到虚机发来的报文时,虚拟交换机会检查表项,并判断安全策略是否符合;
S6、当符合安全策略时,转发报文,否则丢弃报文。
3.如权利要求2所述的一种基于SDN虚拟交换机的安全策略的方法,其特征在于,所述步骤S3在SDN控制器配置需要的安全策略可以基于单个虚拟机,也可以基于虚机组。
CN201510715914.0A 2015-10-28 2015-10-28 一种基于sdn虚拟交换机的安全策略的系统及方法 Pending CN105262753A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510715914.0A CN105262753A (zh) 2015-10-28 2015-10-28 一种基于sdn虚拟交换机的安全策略的系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510715914.0A CN105262753A (zh) 2015-10-28 2015-10-28 一种基于sdn虚拟交换机的安全策略的系统及方法

Publications (1)

Publication Number Publication Date
CN105262753A true CN105262753A (zh) 2016-01-20

Family

ID=55102258

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510715914.0A Pending CN105262753A (zh) 2015-10-28 2015-10-28 一种基于sdn虚拟交换机的安全策略的系统及方法

Country Status (1)

Country Link
CN (1) CN105262753A (zh)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106909439A (zh) * 2017-02-27 2017-06-30 郑州云海信息技术有限公司 一种虚拟机的迁移控制方法及装置
CN107579988A (zh) * 2017-09-25 2018-01-12 新华三技术有限公司 配置安全策略的方法和装置
CN107682333A (zh) * 2017-09-30 2018-02-09 北京奇虎科技有限公司 基于云计算环境的虚拟化安全防御系统及方法
US11252195B2 (en) * 2016-06-09 2022-02-15 Caci, Inc.-Federal Methods and systems for establishment of VPN security policy by SDN application
CN114567481A (zh) * 2022-02-28 2022-05-31 天翼安全科技有限公司 一种数据传输方法、装置、电子设备及存储介质
US11606394B2 (en) 2016-06-09 2023-03-14 CACI, Inc.—Federal Methods and systems for controlling traffic to VPN servers

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104243205A (zh) * 2014-09-03 2014-12-24 杭州华三通信技术有限公司 一种虚拟交换机故障时的报文处理方法和设备
CN104394080A (zh) * 2014-11-28 2015-03-04 杭州华三通信技术有限公司 实现安全组功能的方法及装置
CN104580168A (zh) * 2014-12-22 2015-04-29 华为技术有限公司 一种攻击数据包的处理方法、装置及系统
CN104753951A (zh) * 2015-04-13 2015-07-01 成都双奥阳科技有限公司 一种基于软件定义的网络安全流安全平台

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104243205A (zh) * 2014-09-03 2014-12-24 杭州华三通信技术有限公司 一种虚拟交换机故障时的报文处理方法和设备
CN104394080A (zh) * 2014-11-28 2015-03-04 杭州华三通信技术有限公司 实现安全组功能的方法及装置
CN104580168A (zh) * 2014-12-22 2015-04-29 华为技术有限公司 一种攻击数据包的处理方法、装置及系统
CN104753951A (zh) * 2015-04-13 2015-07-01 成都双奥阳科技有限公司 一种基于软件定义的网络安全流安全平台

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11252195B2 (en) * 2016-06-09 2022-02-15 Caci, Inc.-Federal Methods and systems for establishment of VPN security policy by SDN application
US11606394B2 (en) 2016-06-09 2023-03-14 CACI, Inc.—Federal Methods and systems for controlling traffic to VPN servers
US11683346B2 (en) 2016-06-09 2023-06-20 CACI, Inc.—Federal Methods and systems for establishment of VPN security policy by SDN application
US11700281B2 (en) 2016-06-09 2023-07-11 CACI, Inc.—Federal Methods and systems for enhancing cyber security in networks
CN106909439A (zh) * 2017-02-27 2017-06-30 郑州云海信息技术有限公司 一种虚拟机的迁移控制方法及装置
CN107579988A (zh) * 2017-09-25 2018-01-12 新华三技术有限公司 配置安全策略的方法和装置
CN107579988B (zh) * 2017-09-25 2020-01-07 新华三技术有限公司 配置安全策略的方法和装置
CN107682333A (zh) * 2017-09-30 2018-02-09 北京奇虎科技有限公司 基于云计算环境的虚拟化安全防御系统及方法
CN114567481A (zh) * 2022-02-28 2022-05-31 天翼安全科技有限公司 一种数据传输方法、装置、电子设备及存储介质
CN114567481B (zh) * 2022-02-28 2024-03-12 天翼安全科技有限公司 一种数据传输方法、装置、电子设备及存储介质

Similar Documents

Publication Publication Date Title
CN105262753A (zh) 一种基于sdn虚拟交换机的安全策略的系统及方法
US10452422B2 (en) Method and apparatus for deploying virtual machine instance, and device
EP3668011B1 (en) Method, apparatus, computer program product and system for implementing software-defined network sdn
CN105745883B (zh) 转发表同步的方法、网络设备和系统
CN105284080B (zh) 数据中心的虚拟网络管理方法及数据中心系统
CN105100026A (zh) 一种报文安全转发方法及装置
CN103718527B (zh) 一种通信安全处理方法、装置及系统
CN105099898B (zh) 一种pppoe报文转发方法以及bras服务器
CN104104570A (zh) Irf系统中的聚合处理方法及装置
CN105511954A (zh) 一种报文处理方法及装置
KR20170009927A (ko) 흐름 엔트리 구성 방법, 장치, 및 시스템
EP3099032A1 (en) A load balancing method, device, system and computer storage medium
CN105429946A (zh) 一种基于sdn虚拟交换机的防伪造ip的系统及方法
CN103401797A (zh) 一种报文处理方法和设备
CN104243608B (zh) 一种通信方法、云管理服务器及虚拟交换机
CN102158421A (zh) 创建三层接口的方法及单元
CN102291455A (zh) 分布式集群处理系统及其报文处理方法
CN106131235A (zh) 一种ip地址配置方法
CN103067359A (zh) 一种基于连接复用的提高服务器并发处理能力的系统及方法
CN103200117B (zh) 一种负载均衡方法和装置
CN106576260A (zh) Nfv系统中的策略协调方法和装置
CN103532863A (zh) 一种实现软件堆叠的方法和装置
CN104811403A (zh) 基于开放流的组表处理方法、装置及组表配置单元
CN105207856A (zh) 一种基于sdn虚拟交换机的负载均衡的系统及方法
CN107332814A (zh) 一种请求消息传输方法及装置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20160120

WD01 Invention patent application deemed withdrawn after publication