CN109067645B - 一种与nfv虚拟安全网关相连的网元设备 - Google Patents

一种与nfv虚拟安全网关相连的网元设备 Download PDF

Info

Publication number
CN109067645B
CN109067645B CN201811085108.XA CN201811085108A CN109067645B CN 109067645 B CN109067645 B CN 109067645B CN 201811085108 A CN201811085108 A CN 201811085108A CN 109067645 B CN109067645 B CN 109067645B
Authority
CN
China
Prior art keywords
network element
network
user
data packet
module
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201811085108.XA
Other languages
English (en)
Other versions
CN109067645A (zh
Inventor
段彬
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Wuhan Sipuling Technology Co Ltd
Original Assignee
Wuhan Sipuling Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Wuhan Sipuling Technology Co Ltd filed Critical Wuhan Sipuling Technology Co Ltd
Priority to CN201811085108.XA priority Critical patent/CN109067645B/zh
Publication of CN109067645A publication Critical patent/CN109067645A/zh
Application granted granted Critical
Publication of CN109067645B publication Critical patent/CN109067645B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0893Assignment of logical groups to network elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/12Avoiding congestion; Recovering from congestion
    • H04L47/125Avoiding congestion; Recovering from congestion by balancing the load, e.g. traffic engineering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2475Traffic characterised by specific attributes, e.g. priority or QoS for supporting traffic characterised by the type of applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1001Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
    • H04L67/1004Server selection for load balancing
    • H04L67/1008Server selection for load balancing based on parameters of servers, e.g. available memory or workload

Abstract

本发明公开了一种NFV虚拟安全网关与网元设备,NFV虚拟安全网关在通用硬件平台上的一个虚拟机上实现,通过物理网卡接收数据,能够根据多个虚拟机的负载空闲情况、以及深度识别和管道流控的任务量,自动部署网关功能,实现更加灵活的安全防控。

Description

一种与NFV虚拟安全网关相连的网元设备
技术领域
本申请涉及网络信息安全技术领域,尤其涉及一种NFV虚拟安全网关与网元设备。
背景技术
网络通信领域内常见的安全网关多为实体网关,部署起来需要投入很大的成本,并且不能灵活适应各种场景。云服务器和虚拟技术的兴起,给安全网关提供了虚拟化的技术手段。然而现有的虚拟化安全网关功能较为单一,也不能实现自主部署,用户使用起来仍然不够灵活。
发明内容
本发明的目的在于提供一种NFV虚拟安全网关与网元设备,网关能够根据多个虚拟机的负载空闲情况、以及深度识别和管道流控的任务量,自动部署网关功能,实现更加灵活的安全防控。
第一方面,本申请提供一种NFV虚拟安全网关,所述网关包括:
通用硬件平台;
物理网卡,与所述通用硬件平台的处理器连接;
其中,所述通用硬件平台上运行至少一个虚拟机,在所述虚拟机上实现虚拟安全网关,所述虚拟安全网关包括:
接收模块,用于从物理网卡接收外部网元设备发送的数据包,传递给深度识别模块和管道流控模块;
分配模块,用于判断至少一个虚拟机的负载是否空闲,根据深度识别模块和管道流控模块反馈的任务量、以及至少一个虚拟机负载的空闲情况,自动部署网关功能;
深度识别模块,用于解析接收的数据包,判断与数据包对应的行为动作或应用程序,并将预估的任务量反馈给分配模块;
管道流控模块,用于解析接收的数据包,判断业务或用户是否为核心业务或用户,并将预估的任务量反馈给分配模块;
控制模块,用于根据所述深度识别模块和管道流控模块的判断结果,对用户流量进行控制。
结合第一方面,在第一方面第一种可能的实现方式中,所述深度识别模块具体包括:
从数据包中提取出携带的用户标识、应用标识或关键字段中的一个或多个,根据用户标识确定用户身份,根据应用标识确定应用程序,基于应用程序行为动作与关键字段的对应关系,确定与数据包对应的行为动作。
结合第一方面,在第一方面第二种可能的实现方式中,所述管道流控模块具体包括:
从数据包中提取出携带的网络信息,建立模型,将模型与业务或用户的标识关联,判断业务或用户是否为核心业务或用户。
第二方面,本申请提供一种与第一方面所述的NFV虚拟安全网关相连的网元设备,所述网元设备包括:
接收模块,用于所述网关的指令,以及接收邻近网元传递过来的数据包;
处理模块,用于根据获取的本地及邻近网元的负载和网络状态,自动部署和扩展网元的安全服务资源;
控制模块,用于根据所述网关的指令,对用户的流量进行控制。
结合第二方面,在第二方面第一种可能的实现方式中,所述自动部署和扩展网元的安全服务资源,包括:根据本地及邻近网元的负载和网络状态,将安全检测部署在邻近网元中负载最轻或网络状态最好的网元上。
结合第二方面,在第二方面第二种可能的实现方式中,当将安全检测部署在邻近其他网元上时,本地网元获取所述邻近其他网元的流量控制结果,与本地网元的部署结果一并上传到网络安全平台。
本发明提供一种NFV虚拟安全网关与网元设备,NFV虚拟安全网关在通用硬件平台上的一个虚拟机上实现,通过物理网卡接收数据,能够根据多个虚拟机的负载空闲情况、以及深度识别和管道流控的任务量,自动部署网关功能,实现更加灵活的安全防控。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明NFV虚拟安全网关的一个实施例的框架图;
图2为本发明NFV虚拟安全网关内部的框架图;
图3为本发明NFV虚拟安全网关与网元设备组成系统的一个实施例的框架图。
具体实施方式
下面结合附图对本发明的优选实施例进行详细阐述,以使本发明的优点和特征能更易于被本领域技术人员理解,从而对本发明的保护范围做出更为清楚明确的界定。
图1-2为本发明提供的NFV虚拟安全网关及其内部的一个实施例的框架图,所述网关包括:
通用硬件平台101;
物理网卡102,与所述通用硬件平台的处理器连接;
其中,所述通用硬件平台上运行至少一个虚拟机103,在所述虚拟机上实现虚拟安全网关104,所述虚拟安全网关包括:
接收模块201,用于从物理网卡接收外部网元设备发送的数据包,传递给深度识别模块和管道流控模块;
分配模块202,用于判断至少一个虚拟机的负载是否空闲,根据深度识别模块和管道流控模块反馈的任务量、以及至少一个虚拟机负载的空闲情况,自动部署网关功能;
深度识别模块203,用于解析接收的数据包,判断与数据包对应的行为动作或应用程序,并将预估的任务量反馈给分配模块;
管道流控模块204,用于解析接收的数据包,判断业务或用户是否为核心业务或用户,并将预估的任务量反馈给分配模块;
控制模块205,用于根据所述深度识别模块和管道流控模块的判断结果,对用户流量进行控制。
在一些优选实施例中,所述深度识别模块具体包括:
从数据包中提取出携带的用户标识、应用标识或关键字段中的一个或多个,根据用户标识确定用户身份,根据应用标识确定应用程序,基于应用程序行为动作与关键字段的对应关系,确定与数据包对应的行为动作。
在一些优选实施例中,所述管道流控模块具体包括:
从数据包中提取出携带的网络信息,建立模型,将模型与业务或用户的标识关联,判断业务或用户是否为核心业务或用户。
所述判断业务或用户是否为核心业务或用户,包括:将特定业务或用户的当前流量与模型进行匹配,根据匹配的结果,判断所述特定业务或用户是否在模型的基准范围内;
如果判断为是,则认定所述特定业务或用户为核心的业务或用户;
如果判断为否,则认定所述特定业务或用户为普通的业务或用户。
本发明提供的网元设备,所述网元设备包括:
接收模块,用于所述网关的指令,以及接收邻近网元传递过来的数据包;
处理模块,用于根据获取的本地及邻近网元的负载和网络状态,自动部署和扩展网元的安全服务资源;
控制模块,用于根据所述网关的指令,对用户的流量进行控制。
在一些优选实施例中,所述自动部署和扩展网元的安全服务资源,包括:根据本地及邻近网元的负载和网络状态,将安全检测部署在邻近网元中负载最轻或网络状态最好的网元上。
在一些优选实施例中,当将安全检测部署在邻近其他网元上时,本地网元获取所述邻近其他网元的流量控制结果,与本地网元的部署结果一并上传到网络安全平台。
图3为本发明提供的NFV虚拟安全网关与网元设备组成系统的一个实施例的框架图,所述系统包括:如第一方面所述的NFV虚拟安全网关,以及如第二方面所述的网元设备。
具体实现中,本发明还提供一种计算机存储介质,其中,该计算机存储介质可以存储有程序,该程序执行时可包括本发明提供的用户访问合规性分析的方法的各实施例中的部分或全部步骤。所述的存储介质可以为磁碟、光盘、只读存储记忆体(简称:ROM)或随机存储记忆体(简称:RAM)等。
本领域的技术人员可以清楚地了解到本发明实施例中的技术可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明实施例中的技术方案本质上或者对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等) 执行本发明各个实施例或者实施例的某些部分所述的方法。
本说明书各个实施例之间相同相似的部分互相参见即可。尤其,对于实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例中的说明即可。
以上所述的本发明实施方式并不构成对本发明保护范围的限定。

Claims (5)

1.一种与NFV虚拟安全网关相连的网元设备,所述网元设备包括:
接收模块,用于接收所述网关的指令,以及接收邻近网元传递过来的数据包;
处理模块,用于根据获取的本地及邻近网元的负载和网络状态,自动部署和扩展网元的安全服务资源;
控制模块,用于根据所述网关的指令,对用户的流量进行控制;
所述NFV虚拟安全网关包括:
通用硬件平台;
物理网卡,与所述通用硬件平台的处理器连接;
其中,所述通用硬件平台上运行至少一个虚拟机,在所述虚拟机上实现虚拟安全网关,所述虚拟安全网关包括:
接收模块,用于从物理网卡接收外部网元设备发送的数据包,传递给深度识别模块和管道流控模块;
分配模块,用于判断至少一个虚拟机的负载是否空闲,根据深度识别模块和管道流控模块反馈的任务量、以及至少一个虚拟机负载的空闲情况,自动部署网关功能;
深度识别模块,用于解析接收的数据包,判断与数据包对应的行为动作或应用程序,并将预估的任务量反馈给分配模块;
管道流控模块,用于解析接收的数据包,判断业务或用户是否为核心业务或用户,并将预估的任务量反馈给分配模块;
控制模块,用于根据所述深度识别模块和管道流控模块的判断结果,对用户流量进行控制。
2.根据权利要求1所述的网元设备,所述自动部署和扩展网元的安全服务资源,包括:根据本地及邻近网元的负载和网络状态,将安全检测部署在邻近网元中负载最轻或网络状态最好的网元上。
3.根据权利要求2所述的网元设备,当将安全检测部署在邻近其他网元上时,本地网元获取所述邻近其他网元的流量控制结果,与本地网元的部署结果一并上传到网络安全平台。
4.根据权利要求1所述的网元设备,所述虚拟安全网关的深度识别模块具体包括:
从数据包中提取出携带的用户标识、应用标识或关键字段中的一个或多个,根据用户标识确定用户身份,根据应用标识确定应用程序,基于应用程序行为动作与关键字段的对应关系,确定与数据包对应的行为动作。
5.根据权利要求1所述的网元设备,所述虚拟安全网关的管道流控模块具体包括:
从数据包中提取出携带的网络信息,建立模型,将模型与业务或用户的标识关联,判断业务或用户是否为核心业务或用户。
CN201811085108.XA 2018-09-17 2018-09-17 一种与nfv虚拟安全网关相连的网元设备 Active CN109067645B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811085108.XA CN109067645B (zh) 2018-09-17 2018-09-17 一种与nfv虚拟安全网关相连的网元设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811085108.XA CN109067645B (zh) 2018-09-17 2018-09-17 一种与nfv虚拟安全网关相连的网元设备

Publications (2)

Publication Number Publication Date
CN109067645A CN109067645A (zh) 2018-12-21
CN109067645B true CN109067645B (zh) 2020-12-01

Family

ID=64762794

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811085108.XA Active CN109067645B (zh) 2018-09-17 2018-09-17 一种与nfv虚拟安全网关相连的网元设备

Country Status (1)

Country Link
CN (1) CN109067645B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2023278774A1 (en) * 2021-06-30 2023-01-05 Commscope Technologies Llc System and method of networking security for virtualized base station

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110190998B (zh) * 2019-06-03 2022-06-24 武汉思普崚技术有限公司 一种网络态势可视化的方法和系统
CN110138804A (zh) * 2019-06-03 2019-08-16 武汉思普崚技术有限公司 一种网络安全认证的方法和系统

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101969413A (zh) * 2010-08-10 2011-02-09 东莞环亚高科电子有限公司 一种家庭网关
CN106559406B (zh) * 2015-09-30 2019-09-17 东软集团股份有限公司 物理网络安全设备及其控制方法和装置
EP3301860A1 (en) * 2016-09-28 2018-04-04 Thomson Licensing Method for interconnecting virtual gateways and corresponding virtual gateway

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2023278774A1 (en) * 2021-06-30 2023-01-05 Commscope Technologies Llc System and method of networking security for virtualized base station

Also Published As

Publication number Publication date
CN109067645A (zh) 2018-12-21

Similar Documents

Publication Publication Date Title
CN109120679B (zh) 任务分配方法及装置
CN109067645B (zh) 一种与nfv虚拟安全网关相连的网元设备
CN107431651B (zh) 一种网络服务的生命周期管理方法及设备
US9596251B2 (en) Method and system for providing security aware applications
US20150304343A1 (en) Method and system for providing self-monitoring, self-reporting, and self-repairing virtual assets in a cloud computing environment
CN109711169A (zh) 系统文件的防护方法及装置、系统、存储介质、电子装置
EP3169018B1 (en) Method and device for establishing performance measurement task and processing performance measurement result
CN105049268A (zh) 分布式计算资源分配系统和任务处理方法
US10284561B2 (en) Method and server for providing image captcha
CN104009885B (zh) 一种云环境下基于隐蔽通道的虚拟机同驻检测方法
CN106407002B (zh) 数据处理任务执行方法和装置
CN106845215B (zh) 基于虚拟化环境下的安全防护方法及装置
CN108509158B (zh) 保单打印方法、装置、存储介质和计算机设备
CA2927669A1 (en) Method and system for validating a virtual asset
CN111782383A (zh) 任务分配方法、服务器、电子终端及计算机可读存储介质
CN106034040B (zh) 扫描节点的控制方法、装置及系统
CN109582549A (zh) 一种设备类型的识别方法及装置
CN110162959A (zh) 基于设备指纹的数据处理方法及装置
CN111212079B (zh) 一种基于业务的微隔离流量牵引方法及系统
CN109246002B (zh) 一种深度安全网关与网元设备
CN104348660A (zh) 防火墙设备中检测引擎的升级方法及装置
CN111193631B (zh) 信息处理方法、系统和计算机可读存储介质
CN110782014A (zh) 一种神经网络增量学习方法及装置
CN106844004B (zh) 基于虚拟化环境下的安全防护方法及系统
CN112631577B (zh) 一种模型的调度方法、模型调度器以及模型安全测试平台

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CP02 Change in the address of a patent holder

Address after: 430070 room 01, 3rd floor, building 11, phase I, Guanggu power energy saving and environmental protection technology business incubator (accelerator), No. 308, Guanggu Avenue, Donghu New Technology Development Zone, Wuhan City, Hubei Province

Patentee after: WUHAN SIPULING TECHNOLOGY Co.,Ltd.

Address before: 430070 No.01, 2 / F, A4 East, financial port backstage service center phase I, 77 Guanggu Avenue, Donghu New Technology Development Zone, Wuhan City, Hubei Province

Patentee before: WUHAN SIPULING TECHNOLOGY Co.,Ltd.

CP02 Change in the address of a patent holder