CN109660544A - 网络安全审查方法及装置 - Google Patents
网络安全审查方法及装置 Download PDFInfo
- Publication number
- CN109660544A CN109660544A CN201811608726.8A CN201811608726A CN109660544A CN 109660544 A CN109660544 A CN 109660544A CN 201811608726 A CN201811608726 A CN 201811608726A CN 109660544 A CN109660544 A CN 109660544A
- Authority
- CN
- China
- Prior art keywords
- network
- network data
- network security
- calculating equipment
- examination
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0245—Filtering by information in the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
Abstract
本发明提供一种网络安全审查方法及装置,涉及网络安全技术领域。该网络安全审查方法包括:接收针对计算设备的第一网络数据;根据网络安全审查配置文件,确定与计算设备对应的虚拟资源和审查类型;根据审查类型,通过虚拟资源,对第一网络数据进行网络安全审查。本发明解决了网络安全审查可扩展性及可配置性差的问题,以及可以适应目前的网络安全审查的需求。
Description
技术领域
本发明涉及网络安全技术领域,具体而言,涉及一种网络安全审查方法及装置。
背景技术
为了保障计算设备的安全运行,一般在计算设备接入互联网时,都需要对计算设备与互联网之间交互的网络数据进行网络安全审查,从而检测得到访问网络过程中可能存在风险的网络数据,以便于对该网络数据进行处理,比如审计、监控和取证,从而提高计算设备的安全性。
现有技术中,可以通过专用的网络安全审查设备进行安全审查。但是,专用的网络安全审查设备种类较多、开发周期长、运营成本高,且网络安全审查可扩展性及可配置性差,难以适应目前的网络安全审查的需求。
发明内容
本发明的目的在于,针对上述现有技术中的不足,提供一种网络安全审查方法及装置,以解决网络安全审查可扩展性及可配置性差,难以适应目前的网络安全审查的需求的问题。
为实现上述目的,本发明实施例采用的技术方案如下:
第一方面,本发明实施例提供了一种网络安全审查方法,包括:
接收针对计算设备的第一网络数据;
根据网络安全审查配置文件,确定与计算设备对应的虚拟资源和审查类型;
根据审查类型,通过虚拟资源,对第一网络数据进行网络安全审查。
优选地,所述虚拟资源包括:计算资源、存储资源、网络资源。
优选地,接收针对计算设备的第一网络数据,包括:
通过与计算设备连接的交换机,接收针对计算设备的第一网络数据,第一网络数据由交换机在接收到第一网络数据时复制并转发得到。
优选地,接收针对计算设备的第一网络数据,包括:
通过与计算设备连接的交换机,接收针对计算设备的第一网络数据,第一网络数据由交换机在接收到第一网络数据时转发得到;
根据审查类型,通过虚拟资源,对第一网络数据进行网络安全审查,包括:
对第一网络数据进行过滤,得到第二网络数据;
通过交换机将第二网络数据发送给计算设备。
优选地,在根据审查类型,通过虚拟资源,对第一网络数据进行网络安全审查之后,该方法还包括:
将审查结果发送给管理终端。
第二方面,本发明实施例还提供了一种网络安全审查装置,包括:
接收模块,用于接收针对计算设备的第一网络数据;
确定模块,用于根据网络安全审查配置文件,确定与计算设备对应的虚拟资源和审查类型;
审查模块,用于根据审查类型,通过虚拟资源,对第一网络数据进行网络安全审查。
优选地,所述虚拟资源包括:计算资源、存储资源、网络资源。
优选地,接收模块具体用于:通过与计算设备连接的交换机,接收针对计算设备的第一网络数据,第一网络数据由交换机在接收到第一网络数据时复制并转发得到。
优选地,接收模块还用于:通过与计算设备连接的交换机,接收针对计算设备的第一网络数据,第一网络数据由交换机在接收到第一网络数据时转发得到;
审查模块具体用于:对第一网络数据进行审查,得到第二网络数据;
通过交换机将第二网络数据发送给计算设备。
优选地,该装置还包括:
发送模块,用于将审查结果发送给管理终端。
本发明的有益效果是:在将针对计算设备的第一网络数据发送至计算设备前,若需要对第一网络数据进行网络安全审查,首先接收针对计算设备的第一网络数据,其次根据网络安全审查配置文件,确定与该计算设备需求对应的虚拟资源和审查类型,最后根据审查类型,通过虚拟资源,对第一网络数据进行网络安全审查。通过虚拟资源将网络安全审查的功能进行集中,根据计算设备的需求调取相应的虚拟资源和审查类型,以实现对第一网络数据的审查,减少由于使用不同类型的专用网络安全审查设备造成的运营成本高现象的发生。而且虚拟资源和审查类型可以根据计算设备进行配置、更新和扩展,增大了网络安全审查的范围和效率。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它相关的附图。
图1为本发明提供的一种网络数据处理系统的示意图;
图2为本发明提供的一种网络安全服务平台的虚拟资源的硬件构成图;
图3为本发明提供的一种计算节点的硬件构成图;
图4为本发明提供的一种控制节点的硬件构成图;
图5为本发明实施例提供的一种网络安全审查方法流程示意图;
图6为本发明实施例提供的另一种网络安全审查方法流程示意图;
图7为本发明实施例提供的又一种网络安全审查方法流程示意图;
图8为本发明实施例提供的一种网络安全审查装置的功能模块示意图;
图9为本发明实施例提供的另一种网络安全审查装置的功能模块示意图;
图10为本发明实施例提供的又一种网络安全审查装置的功能模块示意图。
图标:101-第一路由器;102-核心交换机;103-第二路由器;104-计算设备;105-网络安全审查虚拟装置;1051-SDN交换机;1052-控制节点;10521-第一基础硬件;10522-第一Host os;10523-第一Hypervisor KVM;10524-第一Openstack Cloud OS;10525-Controller;10526-第一Network;1053-计算节点;10531-第二基础硬件;10532-第二Hostos;10533-第二Hypervisor KVM;10534-第二Openstack Cloud OS;10535-VM;10536-第二Network;1054-网络节点;1055-存储节点;1056-镜像节点。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。
图1为本发明提供的一种网络数据处理系统的示意图,如图1所示,该系统可以包括外部网络、第一路由器101、核心交换机102、第二路由器103、计算设备104和网络安全审查虚拟装置105,其中,外部网络、第一路由器101、核心交换机102、第二路由器103、计算设备104顺次连接,网络安全审查虚拟装置105与核心交换机102连接。
计算设备104能够通过第二路由器103、核心交换机102和第一路由器101,与外部网络进行通信,获取得到针对该计算设备104的网络数据,但由于网络数据来自外部网络,可能包含病毒性数据或者垃圾数据。病毒性数据可能入侵计算设备104,进而入侵局域网,对该计算设备104造成损伤。垃圾数据可能会堵塞计算设备104的网络通路,影响计算设备104的网络运行速率。因此,可以设置网络安全审查虚拟装置105,该网络安全审查虚拟装置105与核心交换机102连接,从而对针对该计算设备104的网络数据进行网络安全审查,以减少由于网络数据造成的计算设备104网络通路堵塞或故障的现象发生。
其中,外部网络可以包括互联网,计算设备104可以通过第二路由器103、核心交换机102和第一路由器101,与外部网络进行通信,包括获取针对该计算设备104的网络数据。
路由器,又称网关设备,用于连接多个逻辑上分开的网络。
需要说明的是,在实际应用中,该网络数据处理系统也可以不设置第一路由器101,也即是,通过核心交换机102直接与外部网络进行通信。
还需要说明的是,在实际应用中,该网络数据处理系统也可以不设置第二路由器103。
交换机是一种用于电(光)信号转发的网络设备。
核心交换机102在接收到针对计算设备104的网络数据时,可以对该网络数据进行复制,并将复制得到的数据发送给网络安全审查虚拟装置105,将原始的网络数据发送给计算设备104。当然,核心交换机102在接收到针对计算设备104的网络数据时,也可以直接将该网络数据转发给网络安全审查虚拟装置105,并接收网络安全审查虚拟装置105审查之后的网络数据,将审查之后的网络数据发送给计算设备104。
计算设备104可以包括电脑、手机等设备。
网络安全审查虚拟装置105为对网络数据进行网络安全审查的装置。该网络安全审查虚拟装置105可以与网络平台虚拟化技术的架构相结合,实现基础资源和上层应用的统一管理,避免了以前各网络安全审查设备分属各厂家系统的独立管理模式,进一步实现了用户可以根据计算设备104对网络安全审查虚拟装置105的配置管理等操作。
其中,网络安全审查虚拟装置105可以被部署在服务器或服务器集群。具体的,如图2所示,该网络安全审查虚拟装置105可以包括SDN(Software Defined Network,软件定义网络)交换机1051、控制节点1052、计算节点1053、网络节点1054、存储节点1055和镜像节点1056,SDN交换机1051依次与控制节点1052、计算节点1053、网络节点1054、存储节点1055和镜像节点1056连接。
SDN交换机1051为一种基于SDN的交换机。其中,SDN是一种Emulex网络(一种数据中心内的服务器、网络和存储设备的企业级连接方式)架构,是网络虚拟化的一种实现方式,其核心技术OpenFlow(一种网上通信协议)通过将网络设备控制面与数据面分离开来,从而实现了网络流量的灵活控制,使网络作为管道变得更加智能。
控制节点1052可以通过云平台的实现以及网络功能虚拟化的架构,实现基础资源和上层应用的统一管理,避免了以前各网络安全审查设备分属各厂家系统的独立管理模式,从而可以提供自动化部署服务。
其中,网络功能虚拟化技术可以实现网络功能的虚拟化,通过网络功能虚拟化、可配置化的方式实现网络功能的按需部署。可以利用虚拟化技术,将网络节点1054阶层的功能,分割成几个功能区块,分别以软件方式实作,不再局限于硬件架构。
如图3所示,控制节点1052可以基于Openstack(一种旨在为公共及私有云的建设与管理提供软件的开源项目)原有组件进行扩展,以实现网络安全审查的虚拟化。该控制节点1052可以包括第一基础硬件10521、第一Host os(一种用来安装虚拟机器软件的作业系统)10522和第一Hypervisor KVM(一种运行在基础物理服务器和操作系统之间的中间软件层,另外第一Hypervisor KVM10523上层还包括第一Openstack Cloud OS(一种云操作系统)10524、Controller(管理者)10525和第一Network(网络层)10526。
计算节点1053可以为包括多个资源节点形成的共享云平台,基于OpenStack构建,底层基于KVM虚拟化技术实现基础资源的虚拟化,计算节点1053易于扩展。
计算节点1053可以对网络数据进行处理,以实现审查的目的。
如图4所示,计算节点1053可以基于Openstack(一种旨在为公共及私有云的建设与管理提供软件的开源项目)原有组件进行扩展,以实现网络安全审查的虚拟化。该计算节点1053可以包括第二基础硬件10531、第二Host os10532和第二Hypervisor KVM10533,另外第二Hypervisor KVM10533上层还包括第二Openstack Cloud OS10534、VM(虚拟机)10535和第二Network(网络层)10536。
需要说明的是,计算节点1053之间可以通过内部虚拟路由相互连接,实现两个计算节点1053之间的网络数据通信。
网络节点1054负责各个节点之间的虚拟路由及虚拟网络的生成及维护。
存储节点1055负责网络数据存储管理。
镜像节点1056负责制作镜像文件,对镜像做快照、备份、镜像模板等管理,计算节点1053可以调用镜像文件,生成允许的虚拟机。其中,一个计算节点1053可以生成多个虚拟机。
需要说明的是,在实际应用中,网络安全审查虚拟装置105也可以串接在计算设备104与外部网络之间的任意位置。
还需要说明的是,网络数据处理系统还可以包括管理终端,管理终端可以通过配置端口与SDN交换机1051连接。
通过配置端口可以对网络安全审查虚拟装置105进行配置,以设置适合计算设备104所需的网络安全审查服务。
管理终端可以包括手机或电脑等设备。管理终端可以与控制节点1052连接,完成网络安全审查的配置管理工作。在配置管理过程中,用户通过管理终端,登陆网络安全审查虚拟装置105的管理界面选择计算设备104所需的网络安全审查服务,网络安全审查虚拟装置105可以根据选择的网络安全审查服务对网络数据进行网络安全审查。
需要说明的是,连接可以包括通信连接,进一步地,通信连接可以包括无线通信连接,比如,可以包括蓝牙连接、4G(Fourth Generation,第四代移动通信技术)连接、4G+连接或5G(Fifth Generation,第五代移动通信技术)连接等。通信连接还可以包括有线通信连接,比如,管理终端可以和网络安全审查虚拟装置105通过光缆实现通信连接。
图5为本发明实施例提供的一种网络安全审查方法流程示意图,如图5所示,该方法包括:
步骤501,接收针对计算设备104的第一网络数据。
由于第一网络数据获取自外部网络,可能包括病毒性数据或者垃圾数据。病毒性数据可能入侵计算设备104,进而入侵局域网,对该计算设备104造成损伤。垃圾数据可能会堵塞计算设备104的网络通路,影响计算设备104的网络运行速率。所以,对于针对计算设备104的第一网络数据,需要对该第一网络数据进行网络安全审查。
第一网络数据可以包括从外部网络发送到计算设备104上的网络数据。
由前述可知,网络安全审查虚拟装置105可以与交换机连接,因此,可以通过该交换机获取第一网络数据。
步骤502,根据网络安全审查配置文件,确定与计算设备104对应的虚拟资源和审查类型。
由于不同的计算设备104需要不同的网络安全审查服务,从而对应不同的网络安全审查配置文件,所以,为了便于后续针对各计算设备104进行网络安全审查,避免对专用的网络安全审查设备依赖,而且解决网络安全审查设备开发周期长以及运营成本高的问题,提高网络安全审查可扩展性及可配置性,可以根据计算设备104的网络安全审查配置文件,确定该计算设备104实现网络安全审查服务所对应的虚拟资源和审查类型。
网络安全审查配置文件为说明网络安全审查服务相关信息的文件。该网络安全审查配置文件可以包括与计算设备104对应的虚拟资源和审查类型。
虚拟资源可以包括虚拟的计算机节点。
审查类型可以包括审计、数据过滤、防火墙非法访问审计和应用防护等。
可以对网络安全审查配置文件进行解析,得到成网络安全审查资源配置参数表,该网络安全审查资源配置参数表可以包括计算设备104的数据存储位置、实现计算设备104所需网络安全审查服务的虚拟资源和实现计算设备104所需网络安全审查服务的审查类型等。
其中,网络安全审查资源配置参数表可以用于调度分配实现上述计算设备104所需网络安全审查服务的虚拟资源。
需要说明的是,网络安全审查配置文件可以通过事先确定得到。比如,用户可以通过管理终端登陆管理界面,提交计算设备104所需的网络安全审查服务类型为数据防泄露和内容审计、以及计算设备编号,网络安全审查虚拟装置105接收提交的网络安全审查服务类型和计算设备编号,生成网络安全审查配置文件。
步骤503,根据审查类型,通过虚拟资源,对第一网络数据进行网络安全审查。
由于已经确定了与计算设备104对应的虚拟资源和审查类型,因此,为了确保计算设备104的安全性,可以根据该虚拟资源和该审查类型,可以对第一网络数据进行网络安全审查。
以下通过具体的示例说明对第一网络数据进行安全审查的具体过程:当审查类型为审计时,可以对第一网络数据具体内容进行审查,检验是否包括敏感性数据等;当审查类型为数据过滤时,可以对第一网络数据进行过滤得到第二网络数据,进而将第二网络数据发送给计算设备104;当审查类型为防火墙时,可以对第一网络数据进行检查,若第一网络数据包括不安全数据,则拦截第一网络数据;当审查类型为非法访问审计时,可以对第一网络数据进行检查,若第一网络数据包括非法数据,则拦截第一网络数据;当审查类型为应用防护时,可以对第一网络数据进行防护,减少不安全数据发送给计算设备104的可能性。
需要说明的是,在实际应用中,还可以包括其它的审查类型。
还需要说明的是,若计算设备104所需的网络安全审查服务包括多种审查类型,而且需要在多个虚拟资源上完成时,多种类型的审查可以在不同的虚拟资源上进行。
另外,为了节省虚拟资源,进一步提高网络安全审查的效率,当同一计算设备104所需的网络安全审查服务为相似类型的网络安全审查服务,比如分别为内容审计和日志审计时,虚拟资源均可以选择审计计算资源,在审计计算资源中,分别完成内容审计和日志审计。
本发明实施例中,在将针对计算设备104的第一网络数据发送至计算设备104前,若需要对第一网络数据进行网络安全审查,首先接收针对计算设备104的第一网络数据,其次根据网络安全审查配置文件,确定与该计算设备104需求对应的虚拟资源和审查类型,最后根据虚拟资源,通过审查类型,对第一网络数据进行网络安全审查。通过虚拟资源将网络安全审查的功能进行集中,根据计算设备104的需求调取相应的虚拟资源和审查类型,以实现对第一网络数据的审查,减少由于使用不同类型的网络安全审查设备造成的运营成本高现象的发生。而且虚拟资源和审查类型可以根据计算设备104进行配置、更新和扩展,增大了网络安全审查的范围和效率。
优选地,虚拟资源可以包括计算资源、存储资源、网络资源等。
其中,计算资源可以完成网络安全审查的操作。
存储资源可以存储完成网络安全审查的数据资源等。
网络资源可以进行网络安全审查的数据通信。
具体的,虚拟资源可以根据计算设备104进行配置、更新和扩展。当接入的计算设备104改变时,用户可以通过管理终端对虚拟资源进行配置,以适应新接入的计算设备104;当计算设备104增多,现有的虚拟资源不足以支持计算设备104的网络安全审查时,用户可以通过管理终端对虚拟资源进行扩展;当计算设备104所需的网络安全审查服务改变时,用户可以通过管理终端对虚拟资源进行更新。
需要说明的是,虚拟资源的配置、更新和扩展可以包括计算资源、存储资源、网络资源的配置、更新和扩展。
另外,当计算设备104数量较大时,可以采用虚拟资源集群,以实现对计算设备104的网络安全审查。
其中,计算资源可以包括计算节点1053,计算节点1053可以包括数据防泄漏计算节点、内容审计计算节点、防火墙计算节点、日志计算节点、应用防护系统计算节点和非法访问审计计算节点等,通过上述不同类型的计算节点1053可以实现数据防泄漏、内容审计、防火墙、日志审计、应用防护系统和非法访问审计等审查类型。
图6为本发明实施例提供的另一种网络安全审查方法流程示意图,如图6所示,该方法包括:
步骤601,通过与计算设备104连接的交换机,接收针对计算设备104的第一网络数据,第一网络数据由交换机在接收到第一网络数据时复制并转发得到。
由于可以将第一网络数据进行复制,得到两份相同的数据,一份进行网络安全审查,另一份继续发生给计算设备104,所以可以由交换机接受第一网络数据,再将第一网络数据进行复制和转发。减少了由于对第一网络数据进行网络安全审查造成的第一网络数据丢失、损坏,进而导致计算设备104不能正常接收到第一网络数据现象的发生。另外,也减少了由于网络安全审查过程出现错误,导致的第一网络数据缺失现象的发生。
其中,交换机可以将接收到的第一网络数据进行复制,复制得到的第一网络数据可以用于进行网络安全审查,原始的第一网络数据可以继续发送给计算设备104。
需要说明的是,在实际应用中,为了增加接收第一网络数据的速率,并且减少由于网络数据过多,导致的网络数据传输错误现象的发生,交换机可以通过多个第一路由器101接收第一网络数据。
步骤602,根据网络安全审查配置文件,确定与计算设备104对应的虚拟资源和审查类型。
需要说明的是,根据网络安全审查配置文件,确定与计算设备104对应的虚拟资源和审查类型的方式,可以参见前述中的相关描述,此处不再一一赘述。
步骤603,根据审查类型,通过虚拟资源,对第一网络数据进行网络安全审查。
具体的确定与计算设备104对应的虚拟资源和审查类型的方法可以参见前述中的相关描述,此处不再一一赘述。
步骤604,将审查结果发送给管理终端。
由于上述步骤已经得到了网络安全审查结果,为了使用户更加方便获取网络安全审查结果,可以将审查结果发送给管理终端,用户可以通过管理终端查看审查结果。
其中,审查结果可以包括数据是否泄露、内容是否合法、日志是否合法、数据过滤结果、访问是否合法和应用防护是否合理等。
审查结果可以发送给管理终端,以告知用户,网络安全审查的结果是否合格。若合格,在预设时间段内,可以继续使用上述虚拟资源和审查类型对计算设备104进行网络安全审查;若不合格,则可以更换审查类型,进一步重新配置虚拟资源。
其中,审查结果是否合格,可以根据用户对网络安全审查结果的精确性,通过数据过滤效果、日志合法性判断等来检验。
预设时间段可以为五天、十天或者十五天等,具体的预设时间段可以根据实际情况来确定。
本实施例中,在将针对计算设备104的第一网络数据发送至计算设备104前,若需要对第一网络数据进行网络安全审查,首先接收针对计算设备104的第一网络数据,其次根据网络安全审查配置文件,确定与该计算设备104需求对应的虚拟资源和审查类型,最后根据虚拟资源,通过审查类型,对第一网络数据进行网络安全审查。通过虚拟资源将网络安全审查的功能进行集中,根据计算设备104的需求调取相应的虚拟资源和审查类型,以实现对第一网络数据的审查,减少由于使用不同类型的网络安全审查设备造成的运营成本高现象的发生。而且虚拟资源和审查类型可以根据计算设备104进行配置、更新和扩展,增大了网络安全审查的范围和效率。
另外,通过与计算设备104连接的交换机,接收针对计算设备104的第一网络数据,其中,第一网络数据由交换机在接收到第一网络数据时复制并转发得到,在对第一网络数据进行安全审查的同时,第一网络数据可以照常发送给计算设备104,保证了计算设备104的正常运行,减少了由于网络安全审查过程的失误造成计算设备104接收不到第一网络数据现象的发生,进一步提升了网络安全审查的效率。
图7为本发明实施例提供的又一种网络安全审查方法流程示意图,如图7所示,该方法包括:
步骤701,通过与计算设备104连接的交换机,接收针对计算设备104的第一网络数据,第一网络数据由交换机在接收到第一网络数据时转发得到。
由于网络安全审查包括数据过滤,所以可以将第一网络数据转发,再进行处理,进一步将处理过后的网络数据发送给计算设备104,以达到数据过滤的效果。
交换机在接收到第一网络数据后,将第一网络数据直接转发。在将第一网络数据发送给计算设备104的过程中,经过交换机和网络安全审查,才可以到达计算设备104。
需要说明的是,该方法可以用于需要对第一网络数据进行过滤的网络安全审查服务中。
步骤702,根据网络安全审查配置文件,确定与计算设备104对应的虚拟资源和审查类型。
具体的确定与计算设备104对应的虚拟资源和审查类型的方法可以参见前述中的相关描述,此处不再一一赘述。
步骤703,对第一网络数据进行过滤,得到第二网络数据。
由于第一网络数据可能包含病毒性数据或者垃圾数据。所以,可以通过对第一网络数据进行过滤,得到净化后的第二网络数据,增加网络数据的洁净度,减少了网络通路发生堵塞现象发生的可能性,而且减少了由于第一网络数据包括病毒性数据造成的局域网损伤现象发生的可能性,达到了对发送给计算设备104的第一网络数据进行网络安全审查的效果。
步骤704,通过交换机将第二网络数据发送给计算设备104。
由于本实施例中,相当于在交换机上连接了一个网络安全审查虚拟装置105,所以交换机可以将第一网络数据发送给网络安全审查虚拟装置105,网络安全审查虚拟装置105对第一网络数据进行过滤,得到第二网络数据,再将第二网络数据发送给交换机,交换机将第二网络数据发送给计算设备104。
需要说明的是,交换机可以通过第二路由器103将第二网络数据发送给计算设备104。
步骤705,将审查结果发送给管理终端。
具体的将审查结果发送给管理终端的方法可以参见前述中的相关描述,此处不再一一赘述。
本实施例中,在将针对计算设备104的第一网络数据发送至计算设备104前,若需要对第一网络数据进行网络安全审查,首先接收针对计算设备104的第一网络数据,其次根据网络安全审查配置文件,确定与该计算设备104需求对应的虚拟资源和审查类型,最后根据虚拟资源,通过审查类型,对第一网络数据进行网络安全审查。通过虚拟资源将网络安全审查的功能进行集中,根据计算设备104的需求调取相应的虚拟资源和审查类型,以实现对第一网络数据的审查,减少由于使用不同类型的网络安全审查设备造成的运营成本高现象的发生。而且虚拟资源和审查类型可以根据计算设备104进行配置、更新和扩展,增大了网络安全审查的范围和效率。
另外,在将第一网络数据发送给计算设备104之前,对其进行数据过滤,增强了第一网络数据的安全性,减少了由于第一网络数据包括病毒性数据造成的局域网损伤现象发生的可能性。
图8为本发明实施例提供的一种网络安全审查装置的功能模块示意图,如图8所示,该装置具体包括:接收模块801、确定模块802和审查模块803。其中,
接收模块801,用于接收针对计算设备104的第一网络数据。
确定模块802,用于根据网络安全审查配置文件,确定与计算设备104对应的虚拟资源和审查类型。
审查模块803,用于根据虚拟资源,通过审查类型,对第一网络数据进行网络安全审查。
优选地,虚拟资源可以包括计算资源、存储资源、网络资源等。
优选地,接收模块801具体用于:通过与计算设备104连接的交换机,接收针对计算设备104的第一网络数据,第一网络数据由交换机在接收到第一网络数据时复制并转发得到。
优选地,接收模块801还用于:通过与计算设备104连接的交换机,接收针对计算设备104的第一网络数据,第一网络数据由交换机在接收到第一网络数据时转发得到;
审查模块803具体用于:对第一网络数据进行审查,得到第二网络数据;
通过交换机将第二网络数据发送给计算设备104。
上述装置用于执行前述实施例提供的方法,其实现原理和技术效果类似,在此不再赘述。
图9为本发明实施例提供的另一种网络安全审查装置的功能模块示意图,如图9所示,该装置具体包括:接收模块801、确定模块802、审查模块803和发送模块804。其中,
接收模块801,用于接收针对计算设备104的第一网络数据。
确定模块802,用于根据网络安全审查配置文件,确定与计算设备104对应的虚拟资源和审查类型。
审查模块803,用于根据虚拟资源,通过审查类型,对第一网络数据进行网络安全审查;
发送模块804,用于将审查结果发送给管理终端。
上述装置用于执行前述实施例提供的方法,其实现原理和技术效果类似,在此不再赘述。
以上这些模块可以是被配置成实施以上方法的一个或多个集成电路,例如:一个或多个特定集成电路(Application Specific Integrated Circuit,简称ASIC),或,一个或多个微处理器(digital singnal processor,简称DSP),或,一个或者多个现场可编程门阵列(Field Programmable Gate Array,简称FPGA)等。再如,当以上某个模块通过处理元件调度程序代码的形式实现时,该处理元件可以是通用处理器,例如中央处理器(CentralProcessing Unit,简称CPU)或其它可以调用程序代码的处理器。再如,这些模块可以集成在一起,以片上系统(system-on-a-chip,简称SOC)的形式实现。
图10为本发明实施例提供的又一种网络安全审查装置的功能模块示意图,该装置可以集成于终端设备或者终端设备的芯片,该终端可以是具备图像处理功能的计算设备104。
该装置包括:存储器1001、处理器1002。
存储器1001用于存储程序,处理器1002调用存储器1001存储的程序,以执行上述方法实施例。具体实现方式和技术效果类似,这里不再赘述。
优选地,本发明还提供一种程序产品,例如计算机可读存储介质,包括程序,该程序在被处理器执行时用于执行上述方法实施例。
在本发明所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
上述以软件功能单元的形式实现的集成的单元,可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机或服务器等)或处理器(英文:processor)执行本发明各个实施例所述方法的部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(英文:Read-Only Memory,简称:ROM)、随机存取存储器(英文:Random Access Memory,简称:RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
Claims (10)
1.一种网络安全审查方法,其特征在于,包括:
接收针对计算设备的第一网络数据;
根据网络安全审查配置文件,确定与所述计算设备对应的虚拟资源和审查类型;
根据所述审查类型,通过所述虚拟资源,对所述第一网络数据进行网络安全审查。
2.如权利要求1所述的网络安全审查方法,其特征在于,所述虚拟资源包括:计算资源、存储资源、网络资源。
3.如权利要求1所述的网络安全审查方法,其特征在于,所述接收针对计算设备的第一网络数据,包括:
通过与所述计算设备连接的交换机,接收针对所述计算设备的第一网络数据,所述第一网络数据由所述交换机在接收到所述第一网络数据时复制并转发得到。
4.如权利要求1所述的网络安全审查方法,其特征在于,所述接收针对计算设备的第一网络数据,包括:
通过与所述计算设备连接的交换机,接收针对计算设备的第一网络数据,所述第一网络数据由所述交换机在接收到所述第一网络数据时转发得到;
所述根据所述审查类型,通过所述虚拟资源,对所述第一网络数据进行网络安全审查,包括:
对所述第一网络数据进行过滤,得到第二网络数据;
通过所述交换机将所述第二网络数据发送给所述计算设备。
5.如权利要求1-4任一项所述的网络安全审查方法,其特征在于,在所述根据所述审查类型,通过所述虚拟资源,对所述第一网络数据进行网络安全审查之后,所述方法还包括:
将审查结果发送给管理终端。
6.一种网络安全审查装置,其特征在于,包括:
接收模块,用于接收针对计算设备的第一网络数据;
确定模块,用于根据网络安全审查配置文件,确定与所述计算设备对应的虚拟资源和审查类型;
审查模块,用于根据所述审查类型,通过所述虚拟资源,对所述第一网络数据进行网络安全审查。
7.如权利要求6所述的网络安全审查装置,其特征在于,所述虚拟资源包括:计算资源、存储资源、网络资源。
8.如权利要求6所述的网络安全审查装置,其特征在于,所述接收模块具体用于:通过与所述计算设备连接的交换机,接收针对所述计算设备的第一网络数据,所述第一网络数据由所述交换机在接收到所述第一网络数据时复制并转发得到。
9.如权利要求6所述的网络安全审查装置,其特征在于,所述接收模块还用于:通过与所述计算设备连接的交换机,接收针对计算设备的第一网络数据,所述第一网络数据由所述交换机在接收到所述第一网络数据时转发得到;
审查模块具体用于:对所述第一网络数据进行审查,得到第二网络数据;
通过所述交换机将所述第二网络数据发送给所述计算设备。
10.如权利要求6-9任一项所述的网络安全审查装置,其特征在于,所述装置还包括:
发送模块,用于将审查结果发送给管理终端。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811608726.8A CN109660544A (zh) | 2018-12-26 | 2018-12-26 | 网络安全审查方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811608726.8A CN109660544A (zh) | 2018-12-26 | 2018-12-26 | 网络安全审查方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109660544A true CN109660544A (zh) | 2019-04-19 |
Family
ID=66117746
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811608726.8A Pending CN109660544A (zh) | 2018-12-26 | 2018-12-26 | 网络安全审查方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109660544A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112562767A (zh) * | 2020-12-29 | 2021-03-26 | 国家数字交换系统工程技术研究中心 | 一种晶上软件定义互连网络装置与方法 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102739771A (zh) * | 2012-04-18 | 2012-10-17 | 上海和辰信息技术有限公司 | 一种支持服务融合的云应用集成管理平台和方法 |
| EP2974154A1 (en) * | 2013-03-11 | 2016-01-20 | Amazon Technologies Inc. | Managing configuration updates |
| CN106534223A (zh) * | 2017-01-22 | 2017-03-22 | 上海新炬网络信息技术有限公司 | 基于密钥算法和日志审计的Openstack访问控制方法 |
| CN106685974A (zh) * | 2016-12-31 | 2017-05-17 | 北京神州绿盟信息安全科技股份有限公司 | 一种安全防护服务建立、提供方法及装置 |
| CN108200207A (zh) * | 2018-02-11 | 2018-06-22 | 中国联合网络通信集团有限公司 | 云计算系统安全服务的方法和系统、安全云管理平台 |
| CN108809963A (zh) * | 2018-05-24 | 2018-11-13 | 中国科学院计算机网络信息中心 | 安全资源共享方法、装置及存储介质 |
-
2018
- 2018-12-26 CN CN201811608726.8A patent/CN109660544A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102739771A (zh) * | 2012-04-18 | 2012-10-17 | 上海和辰信息技术有限公司 | 一种支持服务融合的云应用集成管理平台和方法 |
| EP2974154A1 (en) * | 2013-03-11 | 2016-01-20 | Amazon Technologies Inc. | Managing configuration updates |
| CN106685974A (zh) * | 2016-12-31 | 2017-05-17 | 北京神州绿盟信息安全科技股份有限公司 | 一种安全防护服务建立、提供方法及装置 |
| CN106534223A (zh) * | 2017-01-22 | 2017-03-22 | 上海新炬网络信息技术有限公司 | 基于密钥算法和日志审计的Openstack访问控制方法 |
| CN108200207A (zh) * | 2018-02-11 | 2018-06-22 | 中国联合网络通信集团有限公司 | 云计算系统安全服务的方法和系统、安全云管理平台 |
| CN108809963A (zh) * | 2018-05-24 | 2018-11-13 | 中国科学院计算机网络信息中心 | 安全资源共享方法、装置及存储介质 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112562767A (zh) * | 2020-12-29 | 2021-03-26 | 国家数字交换系统工程技术研究中心 | 一种晶上软件定义互连网络装置与方法 |
| CN112562767B (zh) * | 2020-12-29 | 2021-09-28 | 国家数字交换系统工程技术研究中心 | 一种晶上软件定义互连网络装置与方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10397280B2 (en) | Technologies for scalable security architecture of virtualized networks | |
| CN103973676B (zh) | 一种基于sdn的云计算安全保护系统及方法 | |
| CN107637018A (zh) | 用于安全监视虚拟网络功能的安全个性化的技术 | |
| CN103378980B (zh) | 一种层网络告警与业务相关性分析方法和装置 | |
| CN103560943B (zh) | 支持海量数据实时处理的网络分析系统和方法 | |
| CN106375384A (zh) | 一种虚拟网络环境中镜像网络流量的管理系统和控制方法 | |
| CN109587105A (zh) | 基于策略的网络服务指纹识别 | |
| CN103685608B (zh) | 一种自动配置安全虚拟机ip地址的方法及装置 | |
| CN109451065A (zh) | 一种软负载均衡分流自动化系统及其运行方法 | |
| CN106100999A (zh) | 一种虚拟化网络环境中镜像网络流量控制协议 | |
| CN109274603B (zh) | 异构协议数据之间基于软件定义的互连方法和装置 | |
| WO2017008578A1 (zh) | 网络功能虚拟化架构中数据检查的方法和装置 | |
| CN109995639B (zh) | 一种数据传输方法、装置、交换机及存储介质 | |
| CN108965239A (zh) | 加速网络安全监控 | |
| CN107431666A (zh) | 用于在数据中心网络环境中实现低时延的技术 | |
| CN104899063B (zh) | 一种服务器管理系统及启动方法 | |
| CN106803796A (zh) | 基于云平台的多租户网络拓扑重构方法 | |
| Callegati et al. | Performance of multi-tenant virtual networks in openstack-based cloud infrastructures | |
| CN106161603B (zh) | 一种组网的方法、设备及架构 | |
| CN109660544A (zh) | 网络安全审查方法及装置 | |
| CN103346950B (zh) | 一种机架式无线控制器用户业务板间负载均摊方法及装置 | |
| CN101895444A (zh) | Atca刀片服务器双机系统、连接方法及测试方法 | |
| Liu et al. | To achieve a security service chain by integration of NFV and SDN | |
| CN108650337A (zh) | 一种服务器探测方法、系统及存储介质 | |
| CN109039823A (zh) | 一种网络系统防火墙检测方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190419 |