CN106878343A - 一种云计算环境下提供网络安全即服务的系统 - Google Patents
一种云计算环境下提供网络安全即服务的系统 Download PDFInfo
- Publication number
- CN106878343A CN106878343A CN201710252955.XA CN201710252955A CN106878343A CN 106878343 A CN106878343 A CN 106878343A CN 201710252955 A CN201710252955 A CN 201710252955A CN 106878343 A CN106878343 A CN 106878343A
- Authority
- CN
- China
- Prior art keywords
- detection container
- targeted security
- transport layer
- safety
- security detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/40—Support for services or applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Multimedia (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例提供一种云计算环境下提供网络安全即服务的系统,包括云计算管理平台、与虚拟网络中的虚拟节点对应的安全应用、虚拟安全交换机以及目标安全检测容器;虚拟安全交换机对与虚拟节点对应的目标虚拟网络流量中的多个隧道包进行处理,得到一个传输层包,将传输层包发送至各目标安全检测容器进行安全检测,在传输层包安全检测成功后,对传输层包进行处理并发送,以为虚拟网络提供安全服务,提高虚拟网络的安全性;并且,通过将多个隧道包合并成一个传输层包传输至目标安全检测容器进行安全检测的方式,提升了传输速度、降低了目标安全检测容器上数据包的数量,提升了目标安全检测容器的数据包处理性能,降低了整个系统的能耗。
Description
技术领域
本发明涉及网络安全技术领域,特别是涉及一种云计算环境下提供网络安全即服务的系统。
背景技术
虚拟网络是一种包含至少部分是虚拟网络链接的计算机网络。虚拟网络链接是在两个计算设备间不包含物理连接,而是通过网络虚拟化来实现。
在云计算环境下,针对虚拟网络而言,云计算环境并未为虚拟网络提供安全服务功能,因此,通常导致虚拟网络容易遭受攻击,进而造成各种安全问题。
有鉴于此,提供一种云计算环境下提供网络安全即服务的系统,以为虚拟网络提供安全服务,提高虚拟网络的安全性,是亟待解决的问题。
发明内容
有鉴于此,本发明实施例提供一种云计算环境下提供网络安全即服务的系统,以为虚拟网络提供安全服务,提高虚拟网络的安全性。
为了实现上述目的,本发明实施例提供的技术方案如下:
一种云计算环境下提供网络安全即服务的系统,应用于虚拟网络,所述系统包括:
云计算管理平台,用于发布基于所述云计算管理平台的安全检测容器镜像,以及,提供用于注册安全检测容器的应用商店,所述安全检测容器为响应安全检测容器生成操作基于所述安全检测容器镜像生成的;
与虚拟网络中的虚拟节点对应的安全应用,用于响应用户在所述云计算管理平台输入的创建规则创建与所述虚拟节点对应的虚拟安全交换机和至少一个目标安全检测容器,以及,生成并下发流表规则至所述虚拟安全交换机;所述目标安全检测容器为已注册于所述应用商店中的安全检测容器;
所述虚拟安全交换机,用于当与所述虚拟节点对应的虚拟网络流量流经所述虚拟安全交换机时,将目标虚拟网络流量中的满足预设的合包规则的多个隧道包进行处理得到一个传输层包,并按照所述流表规则将所述传输层包发送至所述至少一个目标安全检测容器中的每个目标安全检测容器;所述流表规则指示向所述至少一个目标安全检测容器发送所述传输层包的顺序;
所述目标安全检测容器,用于对接收到的传输层包进行安全检测,当安全检测成功时,向所述虚拟安全交换机返回表示安全检测成功的检测结果信息;
所述虚拟安全交换机用于按照所述流表规则将所述传输层包发送至所述至少一个目标安全检测容器中的每个目标安全检测容器,包括:所述虚拟交换机用于在接收到检测结果后,根据所述流表规则确定是否存在与返回所述检测结果的目标安全检测容器对应的下一目标安全检测容器;若存在,将所述传输层包发送至所述下一目标安全检测容器;
所述虚拟安全交换机,还用于若根据所述流表规则确定不存在与返回所述检测结果的目标安全检测容器对应的下一目标安全检测容器,对所述传输层包进行处理,并将处理后的传输层包发出。
优选的,所述满足预设的合包规则的多个隧道包,包括:
所述多个隧道包中的隧道包的总个数达到预设的第一合包阈值;
或者,
所述多个隧道包中的隧道包的总大小达到预设的第二合包阈值;
或者,
当前系统时间满足预设的合包周期。
优选的,所述虚拟安全交换机将目标虚拟网络流量中的满足预设的合包规则的多个隧道包进行处理得到一个传输层包,包括:
所述虚拟安全交换机获取所述目标虚拟网络流量中满足预设的合包规则的多个隧道包中的每个隧道包的数据内容;
将所获取到的数据内容作为目标数据内容,存储至与所述虚拟节点对应的物理服务器的共享内存中,并确定所述目标数据内容的存储地址,以及所述目标数据内容的数据量;
根据所述存储地址以及数据量生成传输层包,所述传输层包的数据内容指示所述存储地址和数据量。
优选的,所述目标安全检测容器对接收到的传输层包进行安全检测,包括:
所述目标安全检测容器获取接收到的传输层包的数据内容指示的所述存储地址中存储的所述目标数据内容;
利用所述传输层包的数据内容指示的所述数据量,对所获取的目标数据内容进行安全检测;
如果对所获取的目标数据内容安全检测成功,确定对所述传输层包安全检测成功;
如果对所获取的目标数据内容安全检测失败,确定对所述传输层安全检测失败。
优选的,所述安全应用响应用户在所述云计算管理平台输入的创建规则创建与所述虚拟节点对应的至少一个目标安全检测容器,包括:
响应用户在所述云计算管理平台输入的创建规则,将所述创建规则指示的每个位于所述应用商店中的安全检测容器,确定一个目标安全检测容器。
优选的,所述安全检测容器的生成过程包括:
在满足预设的安全检测容器镜像获取条件的前提下,获取所述云计算管理平台发布的安全检测容器镜像;
在所述安全检测容器镜像的基础上安装预设的核心引擎并设置预设的管理规则,生成安全检测容器。
优选的,所述安全应用,还用于:
响应接收到的用户通过所述云计算管理平台对目标安全检测容器的操作请求,按照与所述操作请求指示的操作方式对所述目标安全检测容器进行处理,其中,所述操作方式包括删除操作方式、创建操作方式和/或修改操作方式。
优选的,所述安全应用还用于:
接收所述目标安全检测容器发送的扩展请求,所述扩展请求是所述目标安全检测容器在检测到所述目标安全检测容器中的资源使用数超出预设的与所述目标安全检测容器对应的资源使用数阈值的情况下发送的;
响应所述扩展请求,动态扩展与所述目标安全检测容器对应的资源使用数阈值。
优选的,各个所述安全检测容器具有统一的接口。
本申请实施例提供一种云计算环境下提供网络安全即服务的系统,包括云计算管理平台、与虚拟网络中的虚拟节点对应的安全应用、虚拟安全交换机以及目标安全检测容器;虚拟安全交换机对与虚拟节点对应的目标虚拟网络流量中的多个隧道包进行处理,得到一个传输层包,将传输层包发送至各目标安全检测容器进行安全检测,在传输层包安全检测成功后,对传输层包进行处理并发送,以为虚拟网络提供安全服务,提高虚拟网络的安全性;并且,通过将多个隧道包合并成一个传输层包传输至目标安全检测容器进行安全检测的方式,提升了传输速度、降低了目标安全检测容器上数据包的数量,提升了目标安全检测容器的数据包处理性能,降低了整个系统的能耗。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种云计算环境下提供网络安全即服务的系统的结构示意图;
图2为本申请实施例提供的一种虚拟安全交换机将目标虚拟网络流量中的满足预设的合包规则的多个隧道包进行处理得到一个传输层包的方法流程图;
图3为本申请实施例提供的一种目标安全检测容器对接收到的传输层包进行安全检测的方法流程图;
图4为本申请实施例提供的一种安全检测容器生成方法流程图。
具体实施方式
为了使本技术领域的人员更好地理解本发明中的技术方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
实施例:
图1为本申请实施例提供的一种云计算环境下提供网络安全即服务的系统的结构示意图。
如图1的云计算环境下提供网络安全即服务的系统应用于虚拟网络,该系统包括:云计算管理平台11、与虚拟网络中的一个虚拟节点对应的安全应用12、虚拟安全交换机13、以及至少一个目标安全检测容器14。
可选的,因附图限制,在图1中仅展示的虚拟网络中的三个虚拟节点,以及分别与每个虚拟节点对应的安全应用、虚拟安全交换机以及目标安全检测容器。本领域技术人员应该了解的是,本申请实施例提供的如图1所示的系统中并不限定于三个虚拟节点,以及并不限定与一虚拟安全交换机对应的目标安全检测容器的个数。
可选的,云计算管理平台,用于发布基于所述云计算管理平台的安全检测容器镜像,以及,提供用于注册安全检测容器的应用商店,所述安全检测容器为响应安全检测容器生成操作基于所述安全检测容器镜像生成的。
云计算管理平台发布基于所述云计算管理平台的安全检测容器镜像,所述安全检测容器镜像中包括通用的api接口。并且,云计算管理平台发布应用商店,提供给第三方使用,第三方(如安全公司)可基于所述安全检测镜像制作各种安全检测容器,并将制作的安全检测容器注册到云计算管理平台的应用商店中。
可选的,安全检测容器镜像中包含统一的安全检测开发平台,封装好了一些通用功能,比如容器的ha,日志管理,进程管理,数据包的收发api等,第三方只需基于安全检测容器镜像将自己的核心检测引擎放到里面,然后制作自己的安全检测容器并注册到云计算管理平台的应用商店中,已注册到应用商店的安全检测容器即可被用户按需使用。从而使得不用再关心云计算管理平台中复杂的虚拟网络拓扑,也不用关心如何部署安装,大大降低第三方和云计算管理平台的集成难度,也给用户更多的选择。
可选的,制作安全检测容器,并注册到云计算管理平台的应用商店的步骤包括:2.1下载云计算管理平台发布的安全检测容器镜像;2.2安装自己的核心引擎和管理模块;2.3制作成安全检测容器;2.4将制作成的安全检测容器注册到云计算管理平台的应用商店中。
安全检测容器主要包含以下模块:
1)、接口管理模块,管理安全检测容器的两个虚拟接口,分别用于流量输入和流量输出;
2)、安全规则模块,管理用户配置策略模块下发的策略;
3)、安全引擎模块,对数据应用安全规则进行安全检查;
4)、日志管理模块,配置管理各种日志;
5)、存储管理接口,用于存储容器的数据;
6)、ha管理模块
可选的,与虚拟网络中的虚拟节点对应的安全应用,用于响应用户在所述云计算管理平台输入的创建规则创建与所述虚拟节点对应的虚拟安全交换机和至少一个目标安全检测容器,以及,生成并下发流表规则至所述虚拟安全交换机;所述目标安全检测容器为已注册于所述应用商店中的安全检测容器。
可选的,所述安全应用响应用户在云计算管理平台上的操作,生成与虚拟节点对应的流表规则,并将生成的流表规则下发至与所述虚拟节点对应的虚拟安全交换机。
在本申请实施例中,优选的,所述安全应用响应用户在所述云计算管理平台输入的创建规则创建与所述虚拟节点对应的至少一个目标安全检测容器,包括:响应用户在所述云计算管理平台输入的创建规则,将所述创建规则指示的每个位于所述应用商店中的安全检测容器,确定一个目标安全检测容器。
需要注意的是:如图1所示的分别与每个虚拟节点对应的至少一个目标安全检测容器中的每个目标安全检测容器均是应用商店提供的安全检测容器。即,用户在云计算管理平台输入的创建规则指示的安全检测容器(此安全检测容器是位于应用商店中的安全检测容器),并将创建规则指示的每个安全检测容器确定为一个目标安全检测容器。
可选的,所述虚拟安全交换机,用于当与所述虚拟节点对应的虚拟网络流量流经所述虚拟安全交换机时,将目标虚拟网络流量中的满足预设的合包规则的多个隧道包进行处理得到一个传输层包,并按照所述流表规则将所述传输层包发送至所述至少一个目标安全检测容器中的每个目标安全检测容器;所述流表规则指示向所述至少一个目标安全检测容器发送所述传输层包的顺序。
在本申请实施例中,优选的,当与虚拟节点对应的虚拟网络流量流经与所述虚拟节点对应的虚拟安全交换机时,所述虚拟安全交换机用于确定所述虚拟网络流量中的目标虚拟网络流量(即,从虚拟网络流量中确定需要进行安全检测的虚拟网络流量,作为目标虚拟网络流量,目标虚拟网络流量对应有多个隧道包);将目标虚拟网络流量中的满足预设的合包规则的多个隧道包进行处理得到一个传输层包;并按照所述流表规则将所述传输层包分别发送至与所述虚拟节点对应的至少一个目标安全检测容器中的每个目标安全检测容器中。相应的,此处的流表规则指示向与所述虚拟节点对应的至少一个目标安全检测容器发送所述传输层包的顺序。
相应的,所述目标安全检测容器,用于对接收到的传输层包进行安全检测,当安全检测成功时,向所述虚拟安全交换机返回表示安全检测成功的检测结果信息;当安全检测失败时,对所述传输层包进行拦截,以保证安全检测失败的传输层包不被虚拟安全交换机发出。
可选的,所述虚拟安全交换机用于按照所述流表规则将所述传输层包发送至所述至少一个目标安全检测容器中的每个目标安全检测容器,包括:所述虚拟交换机用于在接收到检测结果后,根据所述流表规则确定是否存在与返回所述检测结果的目标安全检测容器对应的下一目标安全检测容器;若存在,将所述传输层包发送至所述下一目标安全检测容器;进一步的,若不存在,所述虚拟安全交换机用于对所述传输层包进行处理,并将处理后的传输层包发出。
例如,与虚拟节点对应的至少一个目标安全检测容器为3个,目标安全检测容器1、目标安全检测容器2以及目标安全检测容器3。所述流表规则指示向所述至少一个目标安全检测容器发送所述传输层包的顺序依次为:目标安全检测容器2、目标安全检测容器3、目标安全检测容器1。
与所述虚拟节点对应的虚拟安全交换机在得到传输层包后,根据流表规则,首先将传输层包发送至目标安全检测容器2;在接收到目标安全检测容器2返回的指示安全检测成功的检测结果信息后,确定存在与目标安全检测容器2对应的下一目标安全检测容器(目标安全检测容器3),将所述传输层包发送至目标安全检测容器3;在接收到目标安全检测容器3返回的指示安全检测成功的检测结果信息后,确定存在与目标安全检测容器3对应的下一目标安全检测容器(目标安全检测容器1),将所述传输层包发送至目标安全检测容器1;当接收到目标安全检测容器1返回的指示安全检测成功的检测结果信息后,确定不存在与目标安全检测容器1对应的下一目标安全检测容器,对所述传输层包进行处理,并将处理后的传输层包发出。
可选的,所述满足预设的合包规则的多个隧道包,包括:所述多个隧道包中的隧道包的总个数达到预设的第一合包阈值;或者,所述多个隧道包中的隧道包的总大小达到预设的第二合包阈值;或者,当前系统时间满足预设的合包周期。
可选的,预设有第一合包阈值,所述第一合包阈值指示目标数量,当所述多个隧道包中的隧道包的总个数达到所述目标数量,确定所述多个隧道包满足预设的合包规则。
可选的,预设有第二合包阈值,所述第二合包阈值指示目标数据量,当所述多个隧道包的总大小达到所述目标数据量,确定所述多个隧道包满足预设的合包规则。
可选的,预设有合包周期,当当前系统时间达到合包周期指示的合包时间时,确定所述多个隧道包满足预设的合包规则。
如图2所示为本申请实施例提供的一种虚拟安全交换机将目标虚拟网络流量中的满足预设的合包规则的多个隧道包进行处理得到一个传输层包的方法流程图。
如图2所示,该方法包括:
S201、所述虚拟安全交换机获取所述目标虚拟网络流量中满足预设的合包规则的多个隧道包中的每个隧道包的数据内容;
S202、将所获取到的数据内容作为目标数据内容,存储至与所述虚拟节点对应的物理服务器的共享内存中,并确定所述目标数据内容的存储地址,以及所述目标数据内容的数据量;
可选的,将步骤S201中所获取到的所有的数据内容作为目标数据内容,并将所述目标数据内容存储至与所述虚拟节点对应的物理服务器的共享内存中,并确定所述目标数据内容的存储地址,以及所述目标数据内容的数据量。
S203、根据所述存储地址以及数据量生成传输层包,所述传输层包的数据内容指示所述存储地址和数据量。
可选的,将所述存储地址和数据量作为传输层包的数据内容,生成传输层包。
图3为本申请实施例提供的一种目标安全检测容器对接收到的传输层包进行安全检测的方法流程图。
如图3所示,该方法包括:
S301、所述目标安全检测容器获取接收到的传输层包的数据内容指示的所述存储地址中存储的所述目标数据内容;
可选的,所述目标安全检测容器获取接收到的传输层包的数据内容指示的所述存储地址,并根据所述存储地址从所述共享内存中获取与所述存储地址对应的所述目标数据内容。
S302、利用所述传输层包的数据内容指示的所述数据量,对所获取的目标数据内容进行安全检测;如果对所获取的目标数据内容安全检测成功,执行步骤S303;如果对所获取的目标数据内容安全检测失败,执行步骤S304;
可选的,利用所述传输层包的数据内容指示的所述数据量,对所获取的目标数据内容进行安全检测,包括:确定所获取的目标数据内容的数据量是否与所述传输层包的数据内容指示的所述数据量相同;如果相同,则确定对所获取的目标数据内容安全检测成果;如果不相同,则确定对所获取的目标数据内容安全检测失败。
以上仅仅是本申请实施例提供的对所获取的目标数据内容进行安全检测的优选方式,发明人可根据自己的需求任意设置对目标数据内容进行安全检测的方式(比如,检测目标数据内容中是否携带非安全内容,当携带时,确定对所获取的目标数据内容安全检测成果;当未携带时,确定对所获取的目标数据内容安全检测失败等方式),在此不做限定。
S303、确定对所述传输层包安全检测成功;
S304、确定对所述传输层安全检测失败。
图4为本申请实施例提供的一种安全检测容器生成方法流程图。
如图4所示,该方法包括:
S401、在满足预设的安全检测容器镜像获取条件的前提下,获取所述云计算管理平台发布的安全检测容器镜像;
可选的,云计算管理平台发布的安全检测容器镜像,在用户通过所述云计算管理平台购买所述安全检测容器镜像成功后,确定满足预设的安全检测容器镜像获取条件,此时,自动获取所述云计算管理平台发布的安全检测容器镜像。
以上仅仅是本申请实施例提供的确定满足预设的安全检测容器镜像获取条件的优选方式,发明人可根据自己的需求任意设置确定满足预设的安全检测容器镜像获取条件的具体内容,在此不做限定。
S402、在所述安全检测容器镜像的基础上安装预设的核心引擎并设置预设的管理规则,生成安全检测容器。
可选的,利用所述基础安全检测容器和预设的核心引擎以及管理规则,可生成安全检测容器。
以上仅仅是本申请实施例提供的生成安全检测容器的优选方式,发明人可根据自己的需求任意设置生成安全检测容器的具体方式,在此不做限定。
进一步的,所述安全应用,还用于:响应接收到的用户通过所述云计算管理平台对目标安全检测容器的操作请求,按照与所述操作请求指示的操作方式对所述目标安全检测容器进行处理,其中,所述操作方式包括删除操作方式、创建操作方式和/或修改操作方式。
可选的,安全应用可响应接收到的用户通过云计算管理平台对所述虚拟节点对应的至少一个目标安全检测容器的操作请求,按照所述操作请求指示的操作方式对所述至少一个目标安全检测容器进行处理,其中,所述操作方式包括删除操作方式、创建操作方式和/或修改操作方式。
若与虚拟节点对应的至少一个目标安全检测容器分别为目标安全检测容器1、目标安全检测容器2时,与所虚拟节点对应的安全应用可响应接收到的用户通过云计算管理平台对与所述虚拟节点对应的至少一个目标安全检测容器的操作请求,按照所述操作请求指示的操作方式对所述至少一个目标安全检测容器进行处理。例如,将与所述虚拟节点对应的目标安全检测容器2和/或目标安全检测容器1删除,创建与虚拟节点对应的目标安全检测容器3,修改与所述虚拟节点对应的目标安全检测容器1和/或目标安全检测容器2。
以上仅仅是本申请实施例为了便于理解提供的优选方式,发明人可根据自己的需求人员设置操作请求指示的操作方式的具体内容,在此不做限定。
所述安全应用还用于:接收所述目标安全检测容器发送的扩展请求,所述扩展请求是所述目标安全检测容器在检测到所述目标安全检测容器中的资源使用数超出预设的与所述目标安全检测容器对应的资源使用数阈值的情况下发送的;响应所述扩展请求,动态扩展与所述目标安全检测容器对应的资源使用数阈值。
可选的,当所述目标安全检测容器在检测到所述目标安全检测容器自身中的资源使用数超出预设的与所述目标安全检测容器对应的资源使用数阈值时,发送扩展请求;安全应用在接收到所述目标安全检测容器发送的扩展请求后,响应所述扩展请求,动态扩展与所述目标安全检测容器对应的资源使用数阈值。
可选的,在虚拟节点上增加安全应用(也可称为安全检测agent),所述安全应用主要包括租户虚拟网络管理模块/用户配置策略模块/流表管理模块/安全检测容器管理模块。
其中,用户配置策略模块:
提供接口供云计算管理平台调用,管理用户配置的安全策略,供安全流表管理模块使用;其中包含用户可以选择的安全检测容器列表和安全引擎和规则列表;
租户虚拟网络管理模块:
收集租户的虚拟网络/虚拟交换机端口/虚拟路由器/安全检测系统端口的相关信息,供安全流表管理模块使用;
当用户配置虚拟网络作安全检测时,由云计算管理平台和虚拟节点上的安全应用通信,安全应用根据用户配置创建/删除/修改与虚拟节点对应的目标安全检测容器,并应用用户选择的安全检测引擎和规则。
安全流表管理模块:
根据用户的配置信息和收集到的租户的虚拟网络信息,下发/删除流表规则给虚拟安全交换机,以便所述虚拟安全交换机将用户想检测的流量导给与虚拟节点相应的目标安全检测容器进行检测。
云计算管理平台处理流程
云计算管理平台给用户提供界面,用户可以选择需要进行安全检测的虚拟机/port/ip/mac/协议/虚拟网络等;
用户可以选择目标安全检测容器的使用规格,并且可以配置各种策略,规定目标安全检测容器的最小最大资源使用数,当数据量大时,自动扩展所述资源使用数;
目标安全容器有预设的资源使用数范围(资源使用数阈值),创建时使用最小的资源数,当目标安全检测容器的内部检测系统检查目标安全检测容器有处理不过来的请求时,通知安全应用动态的扩展当前目标安全检测容器的资源使用数。
根据用户的输入配置各种引擎和规则,针对各种协议做不同的策略检查;
配置报警和响应,比如记录报警日志/发送邮件/短信/下发规则阻断入侵的连接;
安全应用根据用户的配置策略,创建对应的安全检测容器,并启用对应的安全检测引擎和规则;安全应用收集相关的虚拟网络信息,并根据收到的虚拟网络信息下发流表规则给虚拟安全交换机来控制需要进行安全检测的流量流经安全检测容器;
安全检测容器对流经的流量进行安全检测,如果发现恶意攻击则阻断,否则放行。
本申请实施例提供一种云计算环境下提供网络安全即服务的系统,包括云计算管理平台、与虚拟网络中的虚拟节点对应的安全应用、虚拟安全交换机以及目标安全检测容器;虚拟安全交换机对与虚拟节点对应的目标虚拟网络流量中的多个隧道包进行处理,得到一个传输层包,将传输层包发送至各目标安全检测容器进行安全检测,在传输层包安全检测成功后,对传输层包进行处理并发送,以为虚拟网络提供安全服务,提高虚拟网络的安全性;并且,通过将多个隧道包合并成一个传输层包传输至目标安全检测容器进行安全检测的方式,提升了传输速度、降低了目标安全检测容器上数据包的数量,提升了目标安全检测容器的数据包处理性能,降低了整个系统的能耗。
本发明中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
以上仅是本发明的优选实施方式,使本领域技术人员能够理解或实现本发明。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (9)
1.一种云计算环境下提供网络安全即服务的系统,其特征在于,应用于虚拟网络,所述系统包括:
云计算管理平台,用于发布基于所述云计算管理平台的安全检测容器镜像,以及,提供用于注册安全检测容器的应用商店,所述安全检测容器为响应安全检测容器生成操作基于所述安全检测容器镜像生成的;
与虚拟网络中的虚拟节点对应的安全应用,用于响应用户在所述云计算管理平台输入的创建规则创建与所述虚拟节点对应的虚拟安全交换机和至少一个目标安全检测容器,以及,生成并下发流表规则至所述虚拟安全交换机;所述目标安全检测容器为已注册于所述应用商店中的安全检测容器;
所述虚拟安全交换机,用于当与所述虚拟节点对应的虚拟网络流量流经所述虚拟安全交换机时,将目标虚拟网络流量中的满足预设的合包规则的多个隧道包进行处理得到一个传输层包,并按照所述流表规则将所述传输层包发送至所述至少一个目标安全检测容器中的每个目标安全检测容器;所述流表规则指示向所述至少一个目标安全检测容器发送所述传输层包的顺序;
所述目标安全检测容器,用于对接收到的传输层包进行安全检测,当安全检测成功时,向所述虚拟安全交换机返回表示安全检测成功的检测结果信息;
所述虚拟安全交换机用于按照所述流表规则将所述传输层包发送至所述至少一个目标安全检测容器中的每个目标安全检测容器,包括:所述虚拟交换机用于在接收到检测结果后,根据所述流表规则确定是否存在与返回所述检测结果的目标安全检测容器对应的下一目标安全检测容器;若存在,将所述传输层包发送至所述下一目标安全检测容器;
所述虚拟安全交换机,还用于若根据所述流表规则确定不存在与返回所述检测结果的目标安全检测容器对应的下一目标安全检测容器,对所述传输层包进行处理,并将处理后的传输层包发出。
2.根据权利要求1所述的系统,其特征在于,所述满足预设的合包规则的多个隧道包,包括:
所述多个隧道包中的隧道包的总个数达到预设的第一合包阈值;
或者,
所述多个隧道包中的隧道包的总大小达到预设的第二合包阈值;
或者,
当前系统时间满足预设的合包周期。
3.根据权利要求2所述的系统,其特征在于,所述虚拟安全交换机将目标虚拟网络流量中的满足预设的合包规则的多个隧道包进行处理得到一个传输层包,包括:
所述虚拟安全交换机获取所述目标虚拟网络流量中满足预设的合包规则的多个隧道包中的每个隧道包的数据内容;
将所获取到的数据内容作为目标数据内容,存储至与所述虚拟节点对应的物理服务器的共享内存中,并确定所述目标数据内容的存储地址,以及所述目标数据内容的数据量;
根据所述存储地址以及数据量生成传输层包,所述传输层包的数据内容指示所述存储地址和数据量。
4.根据权利要求3所述的系统,其特征在于,所述目标安全检测容器对接收到的传输层包进行安全检测,包括:
所述目标安全检测容器获取接收到的传输层包的数据内容指示的所述存储地址中存储的所述目标数据内容;
利用所述传输层包的数据内容指示的所述数据量,对所获取的目标数据内容进行安全检测;
如果对所获取的目标数据内容安全检测成功,确定对所述传输层包安全检测成功;
如果对所获取的目标数据内容安全检测失败,确定对所述传输层安全检测失败。
5.根据权利要求4所述的系统,其特征在于,所述安全应用响应用户在所述云计算管理平台输入的创建规则创建与所述虚拟节点对应的至少一个目标安全检测容器,包括:
响应用户在所述云计算管理平台输入的创建规则,将所述创建规则指示的每个位于所述应用商店中的安全检测容器,确定一个目标安全检测容器。
6.根据权利要求5所述的系统,其特征在于,所述安全检测容器的生成过程包括:
在满足预设的安全检测容器镜像获取条件的前提下,获取所述云计算管理平台发布的安全检测容器镜像;
在所述安全检测容器镜像的基础上安装预设的核心引擎并设置预设的管理规则,生成安全检测容器。
7.根据权利要求6所述的系统,其特征在于,所述安全应用,还用于:
响应接收到的用户通过所述云计算管理平台对目标安全检测容器的操作请求,按照与所述操作请求指示的操作方式对所述目标安全检测容器进行处理,其中,所述操作方式包括删除操作方式、创建操作方式和/或修改操作方式。
8.根据权利要求7所述的系统,其特征在于,所述安全应用还用于:
接收所述目标安全检测容器发送的扩展请求,所述扩展请求是所述目标安全检测容器在检测到所述目标安全检测容器中的资源使用数超出预设的与所述目标安全检测容器对应的资源使用数阈值的情况下发送的;
响应所述扩展请求,动态扩展与所述目标安全检测容器对应的资源使用数阈值。
9.根据权利要求1-8任意一项所述的系统,其特征在于,各个所述安全检测容器具有统一的接口。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710252955.XA CN106878343B (zh) | 2017-04-18 | 2017-04-18 | 一种云计算环境下提供网络安全即服务的系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710252955.XA CN106878343B (zh) | 2017-04-18 | 2017-04-18 | 一种云计算环境下提供网络安全即服务的系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106878343A true CN106878343A (zh) | 2017-06-20 |
CN106878343B CN106878343B (zh) | 2019-09-20 |
Family
ID=59162625
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710252955.XA Active CN106878343B (zh) | 2017-04-18 | 2017-04-18 | 一种云计算环境下提供网络安全即服务的系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106878343B (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107404410A (zh) * | 2017-09-08 | 2017-11-28 | 北京百悟科技有限公司 | 一种云环境下构建虚拟网络功能平台的方法及装置 |
CN108881246A (zh) * | 2018-06-27 | 2018-11-23 | 中国联合网络通信集团有限公司 | 一种容器安全防护的方法及装置 |
CN109714400A (zh) * | 2018-12-12 | 2019-05-03 | 华南理工大学 | 一种面向容器集群的能耗优化资源调度系统及其方法 |
CN109828824A (zh) * | 2018-12-29 | 2019-05-31 | 东软集团股份有限公司 | 镜像的安全性检测方法、装置、存储介质和电子设备 |
CN113301587A (zh) * | 2020-04-15 | 2021-08-24 | 阿里巴巴集团控股有限公司 | 节点管控方法、网络系统、设备及存储介质 |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11882155B1 (en) | 2021-06-09 | 2024-01-23 | State Farm Mutual Automobile Insurance Company | Systems and methods for cybersecurity analysis and control of cloud-based systems |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101873318A (zh) * | 2010-06-08 | 2010-10-27 | 国网电力科学研究院 | 针对应用基础支撑平台上应用系统的应用与数据保全方法 |
CN105069353A (zh) * | 2015-08-11 | 2015-11-18 | 武汉大学 | 一种基于Docker的可信容器安全加固方法 |
CN105978904A (zh) * | 2016-06-30 | 2016-09-28 | 联想(北京)有限公司 | 一种入侵检测方法及电子设备 |
-
2017
- 2017-04-18 CN CN201710252955.XA patent/CN106878343B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101873318A (zh) * | 2010-06-08 | 2010-10-27 | 国网电力科学研究院 | 针对应用基础支撑平台上应用系统的应用与数据保全方法 |
CN105069353A (zh) * | 2015-08-11 | 2015-11-18 | 武汉大学 | 一种基于Docker的可信容器安全加固方法 |
CN105978904A (zh) * | 2016-06-30 | 2016-09-28 | 联想(北京)有限公司 | 一种入侵检测方法及电子设备 |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107404410A (zh) * | 2017-09-08 | 2017-11-28 | 北京百悟科技有限公司 | 一种云环境下构建虚拟网络功能平台的方法及装置 |
CN108881246A (zh) * | 2018-06-27 | 2018-11-23 | 中国联合网络通信集团有限公司 | 一种容器安全防护的方法及装置 |
CN109714400A (zh) * | 2018-12-12 | 2019-05-03 | 华南理工大学 | 一种面向容器集群的能耗优化资源调度系统及其方法 |
CN109828824A (zh) * | 2018-12-29 | 2019-05-31 | 东软集团股份有限公司 | 镜像的安全性检测方法、装置、存储介质和电子设备 |
CN113301587A (zh) * | 2020-04-15 | 2021-08-24 | 阿里巴巴集团控股有限公司 | 节点管控方法、网络系统、设备及存储介质 |
CN113301587B (zh) * | 2020-04-15 | 2022-06-03 | 阿里巴巴集团控股有限公司 | 节点管控方法、网络系统、设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN106878343B (zh) | 2019-09-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106878343A (zh) | 一种云计算环境下提供网络安全即服务的系统 | |
RU2732184C1 (ru) | Способ, устройство, коммутатор, аппарат для передачи пакетов и носитель информации | |
CN106686070A (zh) | 一种数据库数据迁移方法、装置、终端及系统 | |
CN102223365B (zh) | 基于ssl vpn网关集群的用户接入方法及其装置 | |
CN103095675B (zh) | Arp欺骗攻击检测系统及方法 | |
CN106254256B (zh) | 基于三层vxlan网关的数据报文转发方法和设备 | |
CN103718527B (zh) | 一种通信安全处理方法、装置及系统 | |
CN103873505B (zh) | 向云存储服务器离线上传的方法、系统与装置 | |
CN104967609A (zh) | 内网开发服务器访问方法、装置及系统 | |
CN103441932B (zh) | 一种主机路由表项生成方法及设备 | |
CN102893559A (zh) | 互连虚拟网络的成员 | |
CN107819891A (zh) | 数据处理方法、装置、计算机设备和存储介质 | |
US20090119745A1 (en) | System and method for preventing private information from leaking out through access context analysis in personal mobile terminal | |
WO2015192563A1 (zh) | 一种实现负载均衡的方法、装置及负载均衡服务系统 | |
CN105765947B (zh) | 硬件资源管理方法、硬件资源位置查询方法及相关装置 | |
CN105656765B (zh) | 一种基于深度内容解析的smtp协议数据防外泄方法及系统 | |
CN108777640A (zh) | 一种服务器探测方法、装置、系统及存储介质 | |
CN116055254A (zh) | 一种安全可信网关系统、控制方法、介质、设备及终端 | |
CN106201769A (zh) | 服务器系统、非临时计算机可读存储介质以及用以增强服务器系统中的存储器容错率的方法 | |
CN106713057A (zh) | 用于进行隧道检测的方法、装置及系统 | |
CN105939356B (zh) | 一种虚拟防火墙划分方法和装置 | |
CN106161396A (zh) | 一种实现虚拟机网络访问控制的方法及装置 | |
CN115589383A (zh) | 基于eBPF的虚拟机数据传输方法、装置、设备及存储介质 | |
CN108156092A (zh) | 报文传输控制方法和装置 | |
CN109413001A (zh) | 对云计算系统内的交互数据进行安全保护的方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 1238425 Country of ref document: HK |
|
GR01 | Patent grant | ||
GR01 | Patent grant |