CN107196952A - 基于Opensatck实现个人虚拟应用防火墙方法 - Google Patents

基于Opensatck实现个人虚拟应用防火墙方法 Download PDF

Info

Publication number
CN107196952A
CN107196952A CN201710440096.7A CN201710440096A CN107196952A CN 107196952 A CN107196952 A CN 107196952A CN 201710440096 A CN201710440096 A CN 201710440096A CN 107196952 A CN107196952 A CN 107196952A
Authority
CN
China
Prior art keywords
rule
group
increase
neutron
application
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201710440096.7A
Other languages
English (en)
Inventor
戚建淮
李波
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenzhen Y&D Electronics Information Co Ltd
Original Assignee
Shenzhen Y&D Electronics Information Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shenzhen Y&D Electronics Information Co Ltd filed Critical Shenzhen Y&D Electronics Information Co Ltd
Priority to CN201710440096.7A priority Critical patent/CN107196952A/zh
Publication of CN107196952A publication Critical patent/CN107196952A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/08Protocols specially adapted for terminal emulation, e.g. Telnet

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于Opensatck实现个人虚拟应用防火墙方法,其操作步骤如下:协议分析引擎选择,对Neutron安全组规则进行扩展,对Neutron应用安全组模型的设计,增加个人应用防火增规则的模型和表,扩展Neturon客户端部分、增加个人应用防火增规则组管理接口的定义,扩展Neturon服务器部分、增加个人应用防火增规则组的存储、下发,增加ovs‑agent对安全组规则的查询响应,扩展代理端,通过iptables+ndpi+tc实现个人应用防火墙的生效;本发明的有益效果是:Openstack实现了安全组,相当于物理网络中PC端的个人状态防火墙,通过扩展安全组,实现针对应用的精细化控制,利于网络边界的安全。

Description

基于Opensatck实现个人虚拟应用防火墙方法
技术领域
本发明涉及一种桌面虚拟化中网络安全防护方法,尤其是一种针对虚拟桌面云办公环境进行防护的应用防火墙方法。
背景技术
Openstack提供了基础的云平台,在Openstack基础上实现桌面虚拟化的业务是一种快捷的实现方案。桌面虚拟化包括了网络虚拟化、计算虚拟化、存储虚拟化。在网络虚拟化后,网络边界模糊化,传统的边界防火墙不能部署,不利于网络边界的安全。
发明内容
本发明要解决的问题是提供一种为虚拟桌面用户提供精细的网络安全防护方法。Openstack实现了安全组,相当于物理网络中PC端的个人状态防火墙。通过扩展安全组,实现针对应用的精细化控制。
为解决上述技术问题,本发明的技术方案为:
本发明提供一种为虚拟桌面用户提供精细的网络安全防护方法。通过扩展安全组,实现针对应用控制,完成应用防火墙的基本功能:
1.应用层协议的过滤,
2.应用层协议的QOS,
3.与用户关联的过滤规则。
不同于个人防火墙需要依赖操作系统,有可能被卸载、破坏掉。虚拟的应用防火墙技术部署在计算节点的虚拟网络服务中,对终端用户透明,不被终端用户感知,它的分析控制能力到了应用层。
一种基于Opensatck实现个人虚拟应用防火墙方法,其操作步骤如下:
1.协议分析引擎选择;
2.对Neutron安全组规则进行扩展;
3.对Neutron应用安全组模型的设计;
4.增加个人应用防火增规则的模型和表;
5.扩展Neturon客户端部分、增加个人应用防火增规则组管理接口的定义;
6.扩展Neturon服务器部分、增加个人应用防火增规则组的存储、下发;
7.增加ovs-agent对安全组规则的查询响应;
8.扩展代理端,通过iptables+ndpi+tc实现个人应用防火墙的生效。
本发明的有益效果是:Openstack实现了安全组,相当于物理网络中PC端的个人状态防火墙。通过扩展安全组,实现针对应用的精细化控制,利于网络边界的安全。
附图说明
下面结合附图对本发明的具体实施方式作进一步详细的说明。
图1示出了本发明的流程示意图。
具体实施方式
为了使本发明解决的技术问题、采用的技术方案、取得的技术效果易于理解,下面结合具体的附图,对本发明的具体实施方式做进一步说明。
如图1所示,一种基于Opensatck实现个人虚拟应用防火墙方法,其操作步骤如下:
1.协议分析引擎选择;
选用nDPI完成应用识别引擎,nDPI是保持高度欢迎的OpenDPI,在GPL证书下发布,它的目标是增加新的协议,扩展原有的库,可检测应用层的协议,它可检测非标准端口,如非80端口的http协议;或者检测标准端口,如80端口上的skype协议。支持186种应用协议的识别。
2.对Neutron的安全组规则进行扩展;
对Neturon的安全组规则进行扩展,以支持应用安全组规则的设置OpenStack需要 在qbr桥上使用iptables过滤进出虚机的数据包Neutron安全组使用 OVSHybridIptablesFirewallDriver完成安全组在Iptables上的配置。Neutron L2 Agent 承担使用iptables维护链和规则的任务。为虚机的每块网卡的tap设备建立i(进)、o(出)和 s(防IP欺骗)链和规则。
在进出虚机的网络包数据链的头部增加应用防火墙规则,这些规则必须在标准的安全组规则之前,否则不能生效。
3.对Neutron的应用安全组模型的设计;
在neutron现有的安全组基础上实现应用防火墙的扩展,保留现有的安全组规则,现有的规则可以设置方向,IP,端口,协议。扩展的安全组规则可以设置:应用协议,IP,动作;动作包括:允许,拒绝,QOS,默认是允许。
4.增加个人应用防火墙规则的数据模型与表;
个人应用防火墙规则模型包括:IP、应用协议、方向、动作。
5.扩展Neturon客户端部分、增加个人应用防火增规则组管理接口的定义;
在neutron客户端中定义应用防火墙规则资源的增加、删除、修改、查询、获取的接口。
6.扩展Neturon服务器部分、增加个人应用防火增规则组的存储、下发;
在安全组的实现插件中增加对个人应用防火墙规则资源的增加、删除、修改、查询、获取操作接口的实现。接口的实现包含对数据库中记录的修改、将配置下发到虚拟桌面所在的计算节点上的二层代理。
7.增加ovs-agent对安全组规则的查询响应;
增加neutron服务器响应ovs-agent查询规则的处理,修改安全组服务器RPC实现类,增加响应ovs-agent查询规则的处理,返回的规则集包括标准的安全组规则集与扩展的个人应用防火墙规则集。
8.扩展代理端,通过iptables+ndpi+tc实现个人应用防火墙的生效。
代理端部署iptables的ndpi扩展模块,代理端将安全组规则应用到iptables时, 个人应用防火墙规则在标准安全组规则之前。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。

Claims (4)

1.一种基于Opensatck实现个人虚拟应用防火墙方法,其特征在于:包括如下步骤:
1).协议分析引擎选择;
2).对Neutron安全组规则进行扩展;
3).对Neutron应用安全组模型的设计;
4).增加个人应用防火增规则的模型和表;
5).扩展Neturon客户端部分、增加个人应用防火增规则组管理接口的定义;
6).扩展Neturon服务器部分、增加个人应用防火增规则组的存储、下发;
7).增加ovs-agent对安全组规则的查询响应;
8).扩展代理端,通过iptables+ndpi+tc实现个人应用防火墙的生效。
2.根据权利要求1所述的基于Opensatck实现个人虚拟应用防火墙方法,其特征在于:所述协议分析引擎选择,选用nDPI完成应用识别引擎。
3.根据权利要求1所述的基于Opensatck实现个人虚拟应用防火墙方法,其特征在于:所述对Neutron的安全组规则进行扩展,需要在qbr桥上使用。
4.根据权利要求1所述的基于Opensatck实现个人虚拟应用防火墙方法,其特征在于:所述对Neutron的应用安全组模型的设计,是在neutron现有的安全组基础上实现应用防火墙的扩展,保留现有的安全组规则。
CN201710440096.7A 2017-06-12 2017-06-12 基于Opensatck实现个人虚拟应用防火墙方法 Pending CN107196952A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710440096.7A CN107196952A (zh) 2017-06-12 2017-06-12 基于Opensatck实现个人虚拟应用防火墙方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710440096.7A CN107196952A (zh) 2017-06-12 2017-06-12 基于Opensatck实现个人虚拟应用防火墙方法

Publications (1)

Publication Number Publication Date
CN107196952A true CN107196952A (zh) 2017-09-22

Family

ID=59877441

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710440096.7A Pending CN107196952A (zh) 2017-06-12 2017-06-12 基于Opensatck实现个人虚拟应用防火墙方法

Country Status (1)

Country Link
CN (1) CN107196952A (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110430211A (zh) * 2019-08-14 2019-11-08 南京信同诚信息技术有限公司 一种虚拟化云桌面系统及操作方法
CN112491789A (zh) * 2020-10-20 2021-03-12 苏州浪潮智能科技有限公司 一种基于OpenStack框架的虚拟防火墙构建方法及存储介质
CN112910877A (zh) * 2021-01-27 2021-06-04 浪潮云信息技术股份公司 基于openstack实现安全组黑名单的方法及系统
CN114500105A (zh) * 2022-04-01 2022-05-13 北京指掌易科技有限公司 一种网络包的拦截方法、装置、设备及存储介质

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101958903A (zh) * 2010-10-09 2011-01-26 南京博同科技有限公司 一种基于soc及并行虚拟防火墙的高性能防火墙实现方法
CN105577628A (zh) * 2014-11-11 2016-05-11 中兴通讯股份有限公司 实现虚拟防火墙的方法及装置

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101958903A (zh) * 2010-10-09 2011-01-26 南京博同科技有限公司 一种基于soc及并行虚拟防火墙的高性能防火墙实现方法
CN105577628A (zh) * 2014-11-11 2016-05-11 中兴通讯股份有限公司 实现虚拟防火墙的方法及装置

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
吴业亮: "吴业亮", 《CSDN》 *
陈敏,李勇: "《软件定义5G网络-面向智能服务5G移动网络关键技术探索》", 31 December 2016 *

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110430211A (zh) * 2019-08-14 2019-11-08 南京信同诚信息技术有限公司 一种虚拟化云桌面系统及操作方法
CN110430211B (zh) * 2019-08-14 2022-02-15 南京信同诚信息技术有限公司 一种虚拟化云桌面系统及操作方法
CN112491789A (zh) * 2020-10-20 2021-03-12 苏州浪潮智能科技有限公司 一种基于OpenStack框架的虚拟防火墙构建方法及存储介质
WO2022083207A1 (zh) * 2020-10-20 2022-04-28 苏州浪潮智能科技有限公司 一种基于OpenStack框架的虚拟防火墙构建方法
CN112491789B (zh) * 2020-10-20 2022-12-27 苏州浪潮智能科技有限公司 一种基于OpenStack框架的虚拟防火墙构建方法及存储介质
CN112910877A (zh) * 2021-01-27 2021-06-04 浪潮云信息技术股份公司 基于openstack实现安全组黑名单的方法及系统
CN112910877B (zh) * 2021-01-27 2022-04-08 浪潮云信息技术股份公司 一种基于openstack实现安全组黑名单的方法及系统
CN114500105A (zh) * 2022-04-01 2022-05-13 北京指掌易科技有限公司 一种网络包的拦截方法、装置、设备及存储介质

Similar Documents

Publication Publication Date Title
CN107196952A (zh) 基于Opensatck实现个人虚拟应用防火墙方法
CN103684922B (zh) 基于sdn网络的出口信息保密检查检测平台系统及检测方法
CN104618379B (zh) 一种面向idc业务场景的安全服务编排方法及网络结构
CN108712329A (zh) 一种基于Elasticsearch的服务网关及日志记录检索装置
US8726385B2 (en) Distributed system and method for tracking and blocking malicious internet hosts
CN104426837B (zh) Ftp的应用层报文过滤方法及装置
CN110213212A (zh) 一种设备的分类方法和装置
CN104506507A (zh) 一种sdn网络的蜜网安全防护系统及方法
CN104065731A (zh) 一种ftp文件传输系统及传输方法
US20150020188A1 (en) Network Host Provided Security System for Local Networks
CN110933111B (zh) 一种基于DPI的DDoS攻击识别方法及装置
CN104270334A (zh) 一种ssh网络安全访问协议监测方法
CN108234523A (zh) 一种应用于电视台的多层次内外网数据交互系统
CN109525606A (zh) 一种基于企业数据采集的物联网安全接入终端
CN106302518A (zh) 一种软硬件结合的网络防火墙
CN104009972A (zh) 网络安全接入的认证系统及其认证方法
EP1952604B1 (en) Method, apparatus and computer program for access control
CN100388722C (zh) 移动通信系统中的内容和安全代理
CN106909828A (zh) 基于云桌面usb设备过滤方法
Verma et al. A service governance and isolation based approach to mitigate internal collateral damages in cloud caused by DDoS attack
CN104717316B (zh) 一种跨nat环境下客户端接入方法和系统
CN106302520A (zh) 一种远控类木马清除方法及装置
Vedhapriyavadhana et al. Simulation and performance analysis of security issue using floodlight controller in software defined network
Cisco LAN2LAN Personal Office for ISDN
CN105049474B (zh) 一种新的个人私密信息分享的系统及方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WD01 Invention patent application deemed withdrawn after publication
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20170922