CN109067645B - 一种与nfv虚拟安全网关相连的网元设备 - Google Patents
一种与nfv虚拟安全网关相连的网元设备 Download PDFInfo
- Publication number
- CN109067645B CN109067645B CN201811085108.XA CN201811085108A CN109067645B CN 109067645 B CN109067645 B CN 109067645B CN 201811085108 A CN201811085108 A CN 201811085108A CN 109067645 B CN109067645 B CN 109067645B
- Authority
- CN
- China
- Prior art keywords
- network element
- network
- user
- data packet
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0893—Assignment of logical groups to network elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/12—Avoiding congestion; Recovering from congestion
- H04L47/125—Avoiding congestion; Recovering from congestion by balancing the load, e.g. traffic engineering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2475—Traffic characterised by specific attributes, e.g. priority or QoS for supporting traffic characterised by the type of applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1001—Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
- H04L67/1004—Server selection for load balancing
- H04L67/1008—Server selection for load balancing based on parameters of servers, e.g. available memory or workload
Abstract
本发明公开了一种NFV虚拟安全网关与网元设备,NFV虚拟安全网关在通用硬件平台上的一个虚拟机上实现,通过物理网卡接收数据,能够根据多个虚拟机的负载空闲情况、以及深度识别和管道流控的任务量,自动部署网关功能,实现更加灵活的安全防控。
Description
技术领域
本申请涉及网络信息安全技术领域,尤其涉及一种NFV虚拟安全网关与网元设备。
背景技术
网络通信领域内常见的安全网关多为实体网关,部署起来需要投入很大的成本,并且不能灵活适应各种场景。云服务器和虚拟技术的兴起,给安全网关提供了虚拟化的技术手段。然而现有的虚拟化安全网关功能较为单一,也不能实现自主部署,用户使用起来仍然不够灵活。
发明内容
本发明的目的在于提供一种NFV虚拟安全网关与网元设备,网关能够根据多个虚拟机的负载空闲情况、以及深度识别和管道流控的任务量,自动部署网关功能,实现更加灵活的安全防控。
第一方面,本申请提供一种NFV虚拟安全网关,所述网关包括:
通用硬件平台;
物理网卡,与所述通用硬件平台的处理器连接;
其中,所述通用硬件平台上运行至少一个虚拟机,在所述虚拟机上实现虚拟安全网关,所述虚拟安全网关包括:
接收模块,用于从物理网卡接收外部网元设备发送的数据包,传递给深度识别模块和管道流控模块;
分配模块,用于判断至少一个虚拟机的负载是否空闲,根据深度识别模块和管道流控模块反馈的任务量、以及至少一个虚拟机负载的空闲情况,自动部署网关功能;
深度识别模块,用于解析接收的数据包,判断与数据包对应的行为动作或应用程序,并将预估的任务量反馈给分配模块;
管道流控模块,用于解析接收的数据包,判断业务或用户是否为核心业务或用户,并将预估的任务量反馈给分配模块;
控制模块,用于根据所述深度识别模块和管道流控模块的判断结果,对用户流量进行控制。
结合第一方面,在第一方面第一种可能的实现方式中,所述深度识别模块具体包括:
从数据包中提取出携带的用户标识、应用标识或关键字段中的一个或多个,根据用户标识确定用户身份,根据应用标识确定应用程序,基于应用程序行为动作与关键字段的对应关系,确定与数据包对应的行为动作。
结合第一方面,在第一方面第二种可能的实现方式中,所述管道流控模块具体包括:
从数据包中提取出携带的网络信息,建立模型,将模型与业务或用户的标识关联,判断业务或用户是否为核心业务或用户。
第二方面,本申请提供一种与第一方面所述的NFV虚拟安全网关相连的网元设备,所述网元设备包括:
接收模块,用于所述网关的指令,以及接收邻近网元传递过来的数据包;
处理模块,用于根据获取的本地及邻近网元的负载和网络状态,自动部署和扩展网元的安全服务资源;
控制模块,用于根据所述网关的指令,对用户的流量进行控制。
结合第二方面,在第二方面第一种可能的实现方式中,所述自动部署和扩展网元的安全服务资源,包括:根据本地及邻近网元的负载和网络状态,将安全检测部署在邻近网元中负载最轻或网络状态最好的网元上。
结合第二方面,在第二方面第二种可能的实现方式中,当将安全检测部署在邻近其他网元上时,本地网元获取所述邻近其他网元的流量控制结果,与本地网元的部署结果一并上传到网络安全平台。
本发明提供一种NFV虚拟安全网关与网元设备,NFV虚拟安全网关在通用硬件平台上的一个虚拟机上实现,通过物理网卡接收数据,能够根据多个虚拟机的负载空闲情况、以及深度识别和管道流控的任务量,自动部署网关功能,实现更加灵活的安全防控。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明NFV虚拟安全网关的一个实施例的框架图;
图2为本发明NFV虚拟安全网关内部的框架图;
图3为本发明NFV虚拟安全网关与网元设备组成系统的一个实施例的框架图。
具体实施方式
下面结合附图对本发明的优选实施例进行详细阐述,以使本发明的优点和特征能更易于被本领域技术人员理解,从而对本发明的保护范围做出更为清楚明确的界定。
图1-2为本发明提供的NFV虚拟安全网关及其内部的一个实施例的框架图,所述网关包括:
通用硬件平台101;
物理网卡102,与所述通用硬件平台的处理器连接;
其中,所述通用硬件平台上运行至少一个虚拟机103,在所述虚拟机上实现虚拟安全网关104,所述虚拟安全网关包括:
接收模块201,用于从物理网卡接收外部网元设备发送的数据包,传递给深度识别模块和管道流控模块;
分配模块202,用于判断至少一个虚拟机的负载是否空闲,根据深度识别模块和管道流控模块反馈的任务量、以及至少一个虚拟机负载的空闲情况,自动部署网关功能;
深度识别模块203,用于解析接收的数据包,判断与数据包对应的行为动作或应用程序,并将预估的任务量反馈给分配模块;
管道流控模块204,用于解析接收的数据包,判断业务或用户是否为核心业务或用户,并将预估的任务量反馈给分配模块;
控制模块205,用于根据所述深度识别模块和管道流控模块的判断结果,对用户流量进行控制。
在一些优选实施例中,所述深度识别模块具体包括:
从数据包中提取出携带的用户标识、应用标识或关键字段中的一个或多个,根据用户标识确定用户身份,根据应用标识确定应用程序,基于应用程序行为动作与关键字段的对应关系,确定与数据包对应的行为动作。
在一些优选实施例中,所述管道流控模块具体包括:
从数据包中提取出携带的网络信息,建立模型,将模型与业务或用户的标识关联,判断业务或用户是否为核心业务或用户。
所述判断业务或用户是否为核心业务或用户,包括:将特定业务或用户的当前流量与模型进行匹配,根据匹配的结果,判断所述特定业务或用户是否在模型的基准范围内;
如果判断为是,则认定所述特定业务或用户为核心的业务或用户;
如果判断为否,则认定所述特定业务或用户为普通的业务或用户。
本发明提供的网元设备,所述网元设备包括:
接收模块,用于所述网关的指令,以及接收邻近网元传递过来的数据包;
处理模块,用于根据获取的本地及邻近网元的负载和网络状态,自动部署和扩展网元的安全服务资源;
控制模块,用于根据所述网关的指令,对用户的流量进行控制。
在一些优选实施例中,所述自动部署和扩展网元的安全服务资源,包括:根据本地及邻近网元的负载和网络状态,将安全检测部署在邻近网元中负载最轻或网络状态最好的网元上。
在一些优选实施例中,当将安全检测部署在邻近其他网元上时,本地网元获取所述邻近其他网元的流量控制结果,与本地网元的部署结果一并上传到网络安全平台。
图3为本发明提供的NFV虚拟安全网关与网元设备组成系统的一个实施例的框架图,所述系统包括:如第一方面所述的NFV虚拟安全网关,以及如第二方面所述的网元设备。
具体实现中,本发明还提供一种计算机存储介质,其中,该计算机存储介质可以存储有程序,该程序执行时可包括本发明提供的用户访问合规性分析的方法的各实施例中的部分或全部步骤。所述的存储介质可以为磁碟、光盘、只读存储记忆体(简称:ROM)或随机存储记忆体(简称:RAM)等。
本领域的技术人员可以清楚地了解到本发明实施例中的技术可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明实施例中的技术方案本质上或者对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等) 执行本发明各个实施例或者实施例的某些部分所述的方法。
本说明书各个实施例之间相同相似的部分互相参见即可。尤其,对于实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例中的说明即可。
以上所述的本发明实施方式并不构成对本发明保护范围的限定。
Claims (5)
1.一种与NFV虚拟安全网关相连的网元设备,所述网元设备包括:
接收模块,用于接收所述网关的指令,以及接收邻近网元传递过来的数据包;
处理模块,用于根据获取的本地及邻近网元的负载和网络状态,自动部署和扩展网元的安全服务资源;
控制模块,用于根据所述网关的指令,对用户的流量进行控制;
所述NFV虚拟安全网关包括:
通用硬件平台;
物理网卡,与所述通用硬件平台的处理器连接;
其中,所述通用硬件平台上运行至少一个虚拟机,在所述虚拟机上实现虚拟安全网关,所述虚拟安全网关包括:
接收模块,用于从物理网卡接收外部网元设备发送的数据包,传递给深度识别模块和管道流控模块;
分配模块,用于判断至少一个虚拟机的负载是否空闲,根据深度识别模块和管道流控模块反馈的任务量、以及至少一个虚拟机负载的空闲情况,自动部署网关功能;
深度识别模块,用于解析接收的数据包,判断与数据包对应的行为动作或应用程序,并将预估的任务量反馈给分配模块;
管道流控模块,用于解析接收的数据包,判断业务或用户是否为核心业务或用户,并将预估的任务量反馈给分配模块;
控制模块,用于根据所述深度识别模块和管道流控模块的判断结果,对用户流量进行控制。
2.根据权利要求1所述的网元设备,所述自动部署和扩展网元的安全服务资源,包括:根据本地及邻近网元的负载和网络状态,将安全检测部署在邻近网元中负载最轻或网络状态最好的网元上。
3.根据权利要求2所述的网元设备,当将安全检测部署在邻近其他网元上时,本地网元获取所述邻近其他网元的流量控制结果,与本地网元的部署结果一并上传到网络安全平台。
4.根据权利要求1所述的网元设备,所述虚拟安全网关的深度识别模块具体包括:
从数据包中提取出携带的用户标识、应用标识或关键字段中的一个或多个,根据用户标识确定用户身份,根据应用标识确定应用程序,基于应用程序行为动作与关键字段的对应关系,确定与数据包对应的行为动作。
5.根据权利要求1所述的网元设备,所述虚拟安全网关的管道流控模块具体包括:
从数据包中提取出携带的网络信息,建立模型,将模型与业务或用户的标识关联,判断业务或用户是否为核心业务或用户。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811085108.XA CN109067645B (zh) | 2018-09-17 | 2018-09-17 | 一种与nfv虚拟安全网关相连的网元设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811085108.XA CN109067645B (zh) | 2018-09-17 | 2018-09-17 | 一种与nfv虚拟安全网关相连的网元设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109067645A CN109067645A (zh) | 2018-12-21 |
CN109067645B true CN109067645B (zh) | 2020-12-01 |
Family
ID=64762794
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811085108.XA Active CN109067645B (zh) | 2018-09-17 | 2018-09-17 | 一种与nfv虚拟安全网关相连的网元设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109067645B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2023278774A1 (en) * | 2021-06-30 | 2023-01-05 | Commscope Technologies Llc | System and method of networking security for virtualized base station |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110190998B (zh) * | 2019-06-03 | 2022-06-24 | 武汉思普崚技术有限公司 | 一种网络态势可视化的方法和系统 |
CN110138804A (zh) * | 2019-06-03 | 2019-08-16 | 武汉思普崚技术有限公司 | 一种网络安全认证的方法和系统 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101969413A (zh) * | 2010-08-10 | 2011-02-09 | 东莞环亚高科电子有限公司 | 一种家庭网关 |
CN106559406B (zh) * | 2015-09-30 | 2019-09-17 | 东软集团股份有限公司 | 物理网络安全设备及其控制方法和装置 |
EP3301860A1 (en) * | 2016-09-28 | 2018-04-04 | Thomson Licensing | Method for interconnecting virtual gateways and corresponding virtual gateway |
-
2018
- 2018-09-17 CN CN201811085108.XA patent/CN109067645B/zh active Active
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2023278774A1 (en) * | 2021-06-30 | 2023-01-05 | Commscope Technologies Llc | System and method of networking security for virtualized base station |
Also Published As
Publication number | Publication date |
---|---|
CN109067645A (zh) | 2018-12-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109120679B (zh) | 任务分配方法及装置 | |
CN109067645B (zh) | 一种与nfv虚拟安全网关相连的网元设备 | |
CN107431651B (zh) | 一种网络服务的生命周期管理方法及设备 | |
US9596251B2 (en) | Method and system for providing security aware applications | |
US20150304343A1 (en) | Method and system for providing self-monitoring, self-reporting, and self-repairing virtual assets in a cloud computing environment | |
CN109711169A (zh) | 系统文件的防护方法及装置、系统、存储介质、电子装置 | |
EP3169018B1 (en) | Method and device for establishing performance measurement task and processing performance measurement result | |
CN105049268A (zh) | 分布式计算资源分配系统和任务处理方法 | |
US10284561B2 (en) | Method and server for providing image captcha | |
CN104009885B (zh) | 一种云环境下基于隐蔽通道的虚拟机同驻检测方法 | |
CN106407002B (zh) | 数据处理任务执行方法和装置 | |
CN106845215B (zh) | 基于虚拟化环境下的安全防护方法及装置 | |
CN108509158B (zh) | 保单打印方法、装置、存储介质和计算机设备 | |
CA2927669A1 (en) | Method and system for validating a virtual asset | |
CN111782383A (zh) | 任务分配方法、服务器、电子终端及计算机可读存储介质 | |
CN106034040B (zh) | 扫描节点的控制方法、装置及系统 | |
CN109582549A (zh) | 一种设备类型的识别方法及装置 | |
CN110162959A (zh) | 基于设备指纹的数据处理方法及装置 | |
CN111212079B (zh) | 一种基于业务的微隔离流量牵引方法及系统 | |
CN109246002B (zh) | 一种深度安全网关与网元设备 | |
CN104348660A (zh) | 防火墙设备中检测引擎的升级方法及装置 | |
CN111193631B (zh) | 信息处理方法、系统和计算机可读存储介质 | |
CN110782014A (zh) | 一种神经网络增量学习方法及装置 | |
CN106844004B (zh) | 基于虚拟化环境下的安全防护方法及系统 | |
CN112631577B (zh) | 一种模型的调度方法、模型调度器以及模型安全测试平台 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CP02 | Change in the address of a patent holder |
Address after: 430070 room 01, 3rd floor, building 11, phase I, Guanggu power energy saving and environmental protection technology business incubator (accelerator), No. 308, Guanggu Avenue, Donghu New Technology Development Zone, Wuhan City, Hubei Province Patentee after: WUHAN SIPULING TECHNOLOGY Co.,Ltd. Address before: 430070 No.01, 2 / F, A4 East, financial port backstage service center phase I, 77 Guanggu Avenue, Donghu New Technology Development Zone, Wuhan City, Hubei Province Patentee before: WUHAN SIPULING TECHNOLOGY Co.,Ltd. |
|
CP02 | Change in the address of a patent holder |