CN109889533B - 云环境下的安全防御方法及系统、计算机可读存储介质 - Google Patents
云环境下的安全防御方法及系统、计算机可读存储介质 Download PDFInfo
- Publication number
- CN109889533B CN109889533B CN201910182073.XA CN201910182073A CN109889533B CN 109889533 B CN109889533 B CN 109889533B CN 201910182073 A CN201910182073 A CN 201910182073A CN 109889533 B CN109889533 B CN 109889533B
- Authority
- CN
- China
- Prior art keywords
- security
- service
- virtual
- network element
- service chain
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种云环境下的安全防御方法及系统、计算机可读存储介质,所述系统包括虚拟安全网元模块和虚拟交互网元模块,虚拟安全网元模块包括一个或多个用于实现安全防御功能的虚拟安全网元;虚拟交互网元模块用于接收云平台的业务流量,并根据业务流量中的网络信息转发至正向安全服务链入口或反向安全服务链入口;接收正向安全服务链出口或反向安全服务链出口的业务流量,并转发至云平台,正向安全服务链和反向安全服务链为两条连接一个或多个虚拟安全网元的安全防御回路,且两者的业务流量传递方向相反。本申请通过根据业务流量中的网络信息将业务流量转发至正向安全服务链入口或反向安全服务链入口,实现了基于流量的有状态的安全防护。
Description
技术领域
本发明涉及计算机安全技术领域,具体涉及一种云环境下的安全防御方法及系统、计算机可读存储介质。
背景技术
随着网络信息时代的不断发展,云计算逐渐成为各类行业和业务的主流部署方式,然而业务上云以后不但会将传统安全问题放大,还会带来新的安全风险。现有主流厂商的做法是以旁挂的方式将虚拟安全网元部署在外部安全资源池中,并在云内引流至外部资源池,实现虚拟化功能。当流量引入安全资源池后,通过构建软件服务链将串行防御产品通过一定的顺序进行编排,形成完整的安全防御功能。
然而,现有的软件服务链仅考虑了流量的单向编排,返回流量通常与发送流量以相同的方式进行编排,这样的方式与实体情况不符,无法在虚拟安全网元中形成有状态的安全防护,也就无法实现完整的安全防护。
发明内容
本发明实施例提供了一种云环境下的安全防御方法及系统、计算机可读存储介质,能够基于流量实现有状态的安全防护。
为了达到本发明目的,本发明实施例的技术方案是这样实现的:
本发明实施例提供了一种云环境下的安全防御系统,包括虚拟安全网元模块和虚拟交互网元模块,其中:
所述虚拟安全网元模块包括一个或多个用于实现安全防御功能的虚拟安全网元;
所述虚拟交互网元模块,用于接收云平台的业务流量,并根据所述业务流量中的网络信息转发至正向安全服务链入口或反向安全服务链入口;接收正向安全服务链出口或反向安全服务链出口的业务流量,并转发至云平台,所述正向安全服务链和反向安全服务链为两条连接一个或多个所述虚拟安全网元的安全防御回路,且两者的业务流量传递方向相反。
在一实施例中,所述虚拟交互网元模块还用于:检测所述接收的业务流量是否携带虚拟局域网VLAN信息,如果携带VLAN信息,在所述接收云平台的业务流量之后且所述根据所述业务流量中的网络信息转发至正向安全服务链入口或反向安全服务链入口之前,对所述业务流量中的VLAN信息进行解封装,并在所述接收正向安全服务链出口或反向安全服务链出口的业务流量之后且所述转发至云平台之前,将所述VLAN信息封装回所述业务流量中。
在一实施例中,所述网络信息包括以下至少之一:源网际协议IP地址、目的IP地址、源端口号、目的端口号、协议类型。
在一实施例中,每个所述虚拟安全网元包括至少三个虚拟网口:第一业务口、第二业务口、第一管理口,其中,第一业务口和第二业务口用于业务流量的进出,第一管理口用于对所述虚拟安全网元进行管理。
在一实施例中,所述虚拟交互网元模块包括至少四个虚拟网口:业务口、串行发包口、串行收包口和第二管理口,其中,业务口用于接收云平台中的业务流量并转发至串行发包口、接收所述串行收包口发送的业务流量并转发至云平台中,串行发包口用于接收业务口发送的业务流量并转发至所述正向安全服务链入口或反向安全服务链入口,串行收包口用于接收所述正向安全服务链出口或反向安全服务链出口的业务流量并转发至所述业务口,第二管理口用于对所述虚拟交互网元模块进行管理。
在一实施例中,所述虚拟安全网元包括以下至少之一:防火墙、入侵防御系统IPS、入侵检测系统IDS、虚拟专用网络VPN、堡垒机。
在一实施例中,所述安全防御系统还包括管理模块和网络模块,其中:
所述管理模块,用于按租户和/或按业务创建所述虚拟安全网元模块、所述虚拟交互网元模块;
所述网络模块,用于按所述网络信息创建所述正向安全服务链和/或所述反向安全服务链。
本发明实施例还提供了一种云环境下的安全防御方法,包括:
虚拟交互网元模块接收云平台的业务流量,并根据所述业务流量中的网络信息转发至正向安全服务链入口或反向安全服务链入口,所述正向安全服务链和反向安全服务链为两条连接一个或多个用于实现安全防御功能的虚拟安全网元的安全防御回路,且两者的业务流量传递方向相反;
虚拟交互网元模块接收正向安全服务链出口或反向安全服务链出口的业务流量,并转发至云平台。
本发明实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现如上所述的云环境下的安全防御方法的步骤。
本发明实施例还提供了一种云环境下的安全防御系统,包括处理器及存储器,所述处理器用于执行所述存储器中存储的程序,以实现如上所述的云环境下的安全防御方法的步骤。
本发明实施例的技术方案,具有如下有益效果:
本发明实施例提供的云环境下的安全防御方法及系统、计算机可读存储介质,通过根据所述业务流量中的网络信息将业务流量转发至正向安全服务链入口或反向安全服务链入口,使得正向流量和反向流量经过业务流量传递方向相反的两个服务链,实现了虚拟化情况与非虚拟化情况一致的流量流经效果,从而实现了基于流量的有状态的、完整且全面的安全防护。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1为本发明实施例的一种云环境下的安全防御系统的结构示意图;
图2为本发明实施例的一种虚拟交互网元模块的结构示意图;
图3为本发明实施例的另一种云环境下的安全防御系统的结构示意图;
图4为本发明实施例的一种云环境下的安全防御方法的流程示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下文中将结合附图对本发明的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
如图1所示,根据本发明实施例的一种云环境下的安全防御系统,包括虚拟安全网元模块101和虚拟交互网元模块102,其中:
所述虚拟安全网元模块101包括一个或多个用于实现安全防御功能的虚拟安全网元;
所述虚拟交互网元模块102,用于接收云平台的业务流量,并根据所述业务流量中的网络信息转发至正向安全服务链入口或反向安全服务链入口;接收正向安全服务链出口或反向安全服务链出口的业务流量,并转发至云平台,所述正向安全服务链和反向安全服务链为两条连接一个或多个所述虚拟安全网元的安全防御回路,且两者的业务流量传递方向相反。
在使用本申请的云环境下的安全防御系统时,首先需要根据租户需求配置虚拟安全网元模块101、虚拟交互网元模块102、双向安全服务链(即正向安全服务链和反向安全服务链)。所述安全防御系统将云平台中的业务流量按租户和/或按业务通过策略路由方式引至资源池内该租户的虚拟交互网元模块102,虚拟交互网元模块102转发业务流量至正向安全服务链入口或反向安全服务链入口;正向安全服务链或反向安全服务链分别将入口的业务流量按照正向或反向顺序逐级引至各个虚拟安全网元。正向安全服务链出口或反向安全服务链出口的业务流量,通过所述虚拟交互网元模块102转发至云平台。
在本发明的一实施例中,根据租户需求配置双向安全服务链,包括:
根据租户需求确定双向安全服务链中的虚拟安全网元及其连接顺序,租户需求包括源节点网络信息、目的节点网络信息、虚拟安全网元以及虚拟安全网元的顺序。双向安全服务链包括正向安全服务链和反向安全服务链,其构建方法包括:
以源节点和目的节点的网络信息为源信息和目的信息匹配网络流量,并正向配置虚拟安全网元顺序构建正向安全服务链;
以目的节点和源节点的网络信息为源信息和目的信息匹配网络流量,并反向配置虚拟安全网元顺序构建反向安全服务链。
在该实施例的一示例中,所述网络信息可以包括以下至少之一:源网际协议(Internet Protocol,IP)地址、目的IP地址、源端口号、目的端口号、协议类型。
在该实施例的一示例中,所述双向安全服务链可以在虚拟安全网元所连接的虚拟交换机中配置流表项,流表项的内容为将上一虚拟安全网元中业务出口的数据包根据5元组(源IP地址、源端口号、目的IP地址、目的端口号、协议类型)匹配识别流量,将匹配识别出的流量定向引至下一虚拟安全网元的业务入口。其中第一个虚拟安全网元的入口流量为从虚拟交互网元模块102的串行发包口发出的流量进行匹配识别并引流。
在该实施例的一示例中,正向安全服务链上的虚拟安全网元的第一业务口为业务入口,第二业务口为业务出口;反向安全服务链上的虚拟安全网元的第二业务口为业务入口,第一业务口为业务出口。
在本发明的一实施例中,每个所述虚拟安全网元包括至少三个虚拟网口:第一业务口、第二业务口和第一管理口,其中,第一业务口和第二业务口用于业务流量的进出(正向安全服务链上的虚拟安全网元的第一业务口为业务入口,第二业务口为业务出口;反向安全服务链上的虚拟安全网元的第二业务口为业务入口,第一业务口为业务出口),第一管理口用于对所述虚拟安全网元进行管理。
在本发明的一实施例中,所述虚拟安全网元包括但不限于:防火墙(Firewall,FW)、入侵防御系统(Intrusion Prevention System,IPS)、入侵检测系统(IntrusionDetection System,IDS)、虚拟专用网络(Virtual Private Network,VPN)、堡垒机。
在本实施例的一示例中,所述防火墙包括但不限于基础防火墙、Web应用防护系统(Web Application Firewall,WAF)、数据库防火墙等。
在本发明的一实施例中,所述虚拟交互网元模块102包括至少四个虚拟网口:业务口、串行发包口、串行收包口和第二管理口,其中,业务口用于接收云平台的业务流量并转发至串行发包口、接收所述串行收包口发送的业务流量并转发至云平台,串行发包口用于接收业务口发送的业务流量并转发至所述正向安全服务链入口或所述反向安全服务链入口,串行收包口用于接收所述正向安全服务链出口或所述反向安全服务链出口的业务流量并转发至所述业务口,第二管理口用于对所述虚拟交互网元模块102进行管理。
如图2所示,所述虚拟交互网元模块102配置对外可达的IP,将业务口接收的租户流量转发至串行发包口,将串行收包口接收的数据流量修改目的媒体访问控制(MediaAccess Control Address,MAC)地址为策略引流对端MAC地址并转发至业务口输出,形成业务流量链路。
以租户配置从192.168.100.3到192.168.200.4的流量为例,租户要求该流量顺序经过IDS、FW和WAF。如图3所示,首先配置正向安全服务链301,为资源池底层虚拟交换机(以开放虚拟交换标准OpenvSwitch为例),配置正向安全服务链流表项,流表项内容如下:
a)inport=1,nw_src=192.168.100.3/32,nw_dst=192.168.200.4/32,actions=output:3
b)inport=4,nw_src=192.168.100.3/32,nw_dst=192.168.200.4/32,actions=output:5
c)inport=6,nw_src=192.168.100.3/32,nw_dst=192.168.200.4/32,actions=output:7
d)inport=8,nw_src=192.168.100.3/32,nw_dst=192.168.200.4/32,actions=output:2
其中,虚拟交互网元模块102具有串行发包口1和串行收包口2,IDS网元具有3、4业务口,FW网元具有5、6业务口,WAF网元具有7、8业务口,各虚拟安全网元端口数小者为第一业务口,大者为第二业务口。在上述流表中,a)流表将串行发包口的流量进行识别与分流,隔离出从地址192.168.100.3到192.168.200.4的流量,将其引入IDS的第一业务口,而流表项b)、c)则首先分流并将各级虚拟安全网元的第二业务口与下一级的第一业务口相连接,流表项d)则将虚拟安全网元中最后一级WAF的第二业务口8与虚拟交互网元模块102的串行收包口2相连接,在上述4个流表项的作用下实现正向安全服务链。用户要求的192.168.100.3到192.168.200.4的流量会顺序经过IDS、FW和WAF设备,实现流量清洗与安全防御。然而,仅通过正向安全服务链或者将返回流量也经过正向安全服务链,无法在安全网元中形成完整的通信会话,从而实现更深度的基于状态和会话的安全检测与防御功能,因此本申请提供了反向安全服务链以解决上述问题。
反向安全服务链302同样通过配置资源池中虚拟交换机实现,在以上述实例为例,配置如下流表项:
e)inport=1,nw_src=192.168.200.4/32,nw_dst=192.168.100.3/32,actions=output:8
f)inport=7,nw_src=192.168.200.4/32,nw_dst=192.168.100.3/32,actions=output:6
g)inport=5,nw_src=192.168.200.4/32,nw_dst=192.168.100.3/32,actions=output:4
h)inport=3,nw_src=192.168.200.4/32,nw_dst=192.168.100.3/32,actions=output:2
流表项e)匹配192.168.200.4到192.168.100.3的返回流量并将其转发至正向最后一级网元WAF的第二业务口,流表项f)、g)则反向逐级将各虚拟安全网元的第一业务口与下一级虚拟安全网元的第二业务口相连,实现各级虚拟安全网元反向并且第二业务口为业务入口,第一业务口为业务出口,流表项h)则将反向最后一级(即正向第一级)的IDS网元的第一业务口与虚拟交互网元模块102的串行收包口2相连接,从而实现反向流量的防御业务通路,从而实现完整的防御路径。
在本发明的一实施例中,所述虚拟交互网元模块102还用于:
检测所述接收的业务流量是否携带虚拟局域网(Virtual Local Area Network,VLAN)信息,如果携带VLAN信息,在所述接收云平台的业务流量之后且所述根据所述业务流量中的网络信息转发至正向安全服务链入口或反向安全服务链入口之前,对所述业务流量中的VLAN信息进行解封装,并在所述接收正向安全服务链出口或反向安全服务链出口的业务流量之后且所述转发至云平台之前,将所述VLAN信息封装回所述业务流量中。
在该实施例中,在特定的云平台引流环境中,租户流量携带VLAN信息,为配合资源池内部网络环境或虚拟安全网元检测需求,需要将流量解封装后再进入资源池中,而在返回流量时将VLAN信息再封装回数据包。业务口将接收的租户流量解VLAN标签,并将其转发至串行发包口发出,而将串行收包口接收的返回流量通封装VLAN标签,设置策略路由转发,并将其转发回业务口,以此完成VLAN的解封装和封装。针对引流流量包含VLAN标签的环境中,通过对引流的双向流量进行双向的VLAN解封装和封装,实现了资源池内部网络的有效性以及虚拟安全网元的检测准确性,同时保障了云中流量引流和返回对于云平台本身的通信不会产生影响。
通常云平台引流携带的VLAN地址与流量发出端相关,以192.168.100.3到192.168.200.4的流量为例,源地址192.168.100.3的正向流量携带VLAN标签为100,源地址为192.168.200.4的反向流量携带VLAN标签为200,虚拟交互网元模块102的业务口为3口,串行发包口为1口,串行收包口为2口,策略路由引流对端MAC地址为00:16:3e:00:00:00,则对虚拟交互网元模块102内部虚拟交换机配置如下流表项:
i)inport=3,nw_src=192.168.100.3,nw_dst=192.168.200.4,vlan_vid=100,actions:pop_vlan,output:1
j)inport=2,nw_src=192.168.100.3,nw_dst=192.168.200.4,actions:push_vlan=0x8100,set_field=eth_vlan_vid->100,set_field=eth_src->00:16:3e:00:00:00,output:3
k)inport=3,nw_src=192.168.200.4,nw_dst=192.168.100.3,vlan_vid=200,actions:pop_vlan,output:1
l)inport=2,nw_src=192.168.200.4,nw_dst=192.168.100.3,actions:push_vlan=0x8100,set_field=eth_vlan_vid->200,set_field=eth_src->00:16:3e:00:00:00,output:3
在上述流表项作用下,192.168.100.3到192.168.200.4的流量在进入业务口会首先剥离VLAN标签100,再转发入串行发包口。而其返回流量进入串行收包口后,会首先添加VLAN标签,并修改目的MAC地址为策略路由引流对端MAC地址,再转发至业务口,以实现策略路由返回流量。而针对192.168.200.4到192.168.100.3的流量则在进入时剥离VLAN标签200,返回时则添加策略路由信息和添加VLAN标签200,从而整体实现对双向流量的VLAN解封装和封装,保证网络正常通信的同时,实现防御的有效性。
在本发明的一实施例中,所述安全防御系统还包括管理模块和网络模块,其中:
所述管理模块,用于按租户和/或按业务创建所述虚拟安全网元模块101、所述虚拟交互网元模块102;
所述网络模块,用于按所述网络信息创建所述正向安全服务链和/或所述反向安全服务链。
在该实施例中,所述安全防御系统将云平台中的业务流量按租户和/或按业务通过策略路由方式引至资源池内该租户的虚拟交互网元模块102,虚拟交互网元模块102根据所述业务流量中的网络信息转发该租户的业务流量至正向安全服务链入口或反向安全服务链入口。
在该实施例的一示例中,所述管理模块配置策略路由引流,两端地址分别为云平台的对接IP地址和虚拟交互网元模块102的业务口IP地址;
虚拟交互网元模块102配置流表策略将业务口的入口流量转发至串行发包口,将串行收包口的流量修改目的MAC地址为云平台的对接IP地址对应的MAC地址并转发至业务口的出口。
在本发明的另一实施例中,所述管理模块,还用于管理资源池内各其它模块,包括但不限于通信交互、命令下发与解析、日志记录等。
在本发明的一实施例中,所述安全防御系统还包括网络模块,其中,所述网络模块用于组织和构建资源池内部网络互通,包括但不限于多机交互、网络隔离、创建和管理双向安全服务链、配置VLAN解封装和封装、策略路由等。所述网络模块可根据租户需求创建和管理双向安全服务链,以构建双向的服务链实现更准确和全面的防御。所述网络模块可选择配置VLAN解封装和封装,以适配多种云环境。
如图4所示,本发明实施例还提供了一种云环境下的安全防御方法,包括如下步骤:
步骤401:虚拟交互网元模块接收云平台的业务流量,并根据所述业务流量中的网络信息转发至正向安全服务链入口或反向安全服务链入口,所述正向安全服务链和反向安全服务链为两条连接一个或多个用于实现安全防御功能的虚拟安全网元的安全防御回路,且两者的业务流量传递方向相反;
在本发明的一实施例中,在所述步骤401之前,所述方法还包括:
根据租户需求配置虚拟交互网元模块、虚拟安全网元、正向安全服务链以及反向安全服务链。
在本发明的一实施例中,每个虚拟安全网元包括至少三个虚拟网口:第一业务口、第二业务口、第一管理口。第一业务口和第二业务口用于业务流量的进出(正向安全服务链上的虚拟安全网元的第一业务口为业务入口,第二业务口为业务出口;反向安全服务链上的虚拟安全网元的第二业务口为业务入口,第一业务口为业务出口),第一管理口用于管理设备。
可选地,虚拟安全网元包括但不限于防火墙、WAF、IPS、数据库防火墙、IDS、VPN、堡垒机等。
在本发明的一实施例中,虚拟交互网元模块配置至少4个网口:业务口、串行发包口、串行收包口和第二管理口。其中,业务口用于接收策略路由引流流量,串行发包口用于将流量发送至串行服务链,串行收包口用于接收串行服务链返回包,第二管理口则用于实现虚拟交互网元模块管理。
可选地,如图2所示,虚拟交互网元模块将业务口收到的数据包转发至串行发包口,并将串行收包口接收到的数据包按策略路由协议转发至业务口。
在本发明的一实施例中,所述租户需求包括源节点网络信息、目的节点网络信息、虚拟安全网元以及虚拟安全网元顺序。
在本发明的一实施例中,双向安全服务链的构造方式如下:
以源节点和目的节点的网络信息为源信息和目的信息匹配网络流量,并正向配置虚拟安全网元顺序构建正向安全服务链;
以目的节点和源节点的网络信息为源信息和目的信息匹配网络流量,并反向配置虚拟安全网元顺序构建反向安全服务链。
可选地,双向安全服务链可以在虚拟安全网元所连接的虚拟交换机中配置流表项,流表项的内容为将上一虚拟安全网元中业务出口的数据包根据5元组(源IP地址、源端口号、目的IP地址、目的端口号、协议类型)匹配识别流量,将匹配识别出的流量定向引至下一虚拟安全网元的业务入口。第一个虚拟安全网元的入口流量为从虚拟交互网元模块的串行发包口发出的流量进行匹配识别并引流。
可选地,正向安全服务链上的虚拟安全网元的第一业务口为业务入口,第二业务口为业务出口;反向安全服务链上的虚拟安全网元的第二业务口为业务入口,第一业务口为业务出口。
以租户配置从192.168.100.3到192.168.200.4的流量为例,租户要求该流量顺序经过IDS、FW和WAF。如图3所示,首先配置正向安全服务链301,为资源池底层虚拟交换机(以OpenvSwitch为例),配置正向安全服务链流表项,流表项内容如下:
a)inport=1,nw_src=192.168.100.3/32,nw_dst=192.168.200.4/32,actions=output:3
b)inport=4,nw_src=192.168.100.3/32,nw_dst=192.168.200.4/32,actions=output:5
c)inport=6,nw_src=192.168.100.3/32,nw_dst=192.168.200.4/32,actions=output:7
d)inport=8,nw_src=192.168.100.3/32,nw_dst=192.168.200.4/32,actions=output:2
其中,虚拟交互网元模块具有串行发包口1和串行收包口2,IDS网元具有3、4业务口,FW网元具有5、6业务口,WAF具有7、8业务口,各虚拟安全网元端口数小者为第一业务口,大者为第二业务口。在上述流表中,a)流表将串行发包口的流量进行识别与分流,隔离出从地址192.168.100.3到192.168.200.4的流量,将其引入IDS的第一业务口,而流表项b)、c)则首先分流并将各级虚拟安全网元的第二业务口与下一级的第一业务口相连接,流表项d)则将虚拟安全网元中最后一级WAF的第二业务口8与虚拟交互网元模块的串行收包口2相连接,在上述4个流表项的作用下实现正向安全服务链。用户要求的192.168.100.3到192.168.200.4的流量会顺序经过IDS、FW和WAF设备,实现流量清洗与安全防御。然而,仅通过正向安全服务链或者将返回流量也经过正向安全服务链,无法在安全网元中形成完整的通信会话,从而实现更深度的基于状态和会话的安全检测与防御功能,因此本申请提供了反向安全服务链以解决上述问题。
反向安全服务链302同样通过配置资源池中虚拟交换机实现,在以上述实例为例,配置如下流表项:
e)inport=1,nw_src=192.168.200.4/32,nw_dst=192.168.100.3/32,actions=output:8
f)inport=7,nw_src=192.168.200.4/32,nw_dst=192.168.100.3/32,actions=output:6
g)inport=5,nw_src=192.168.200.4/32,nw_dst=192.168.100.3/32,actions=output:4
h)inport=3,nw_src=192.168.200.4/32,nw_dst=192.168.100.3/32,actions=output:2
流表项e)匹配192.168.200.4到192.168.100.3的返回流量并将其转发至正向最后一级网元WAF的第二业务口,流表项f)、g)则反向逐级将各虚拟安全网元的第一业务口与下一级虚拟安全网元的第二业务口相连,实现各级虚拟安全网元反向并且第二业务口为业务入口,第一业务口为业务出口,流表项h)则将反向最后一级(即正向第一级)的IDS网元的第一业务口与虚拟交互网元模块的串行收包口2相连接,从而实现反向流量的防御业务通路,从而实现完整的防御路径。
在本发明的一实施例中,在所述步骤401之前,所述方法还包括:配置虚拟交互网元模块内租户流量VLAN解封装流表项。
在特定的云平台引流环境中,租户流量携带VLAN信息,为配合资源池内部网络环境或虚拟安全网元检测需求,需要将流量解封装后再进入资源池中,而在返回流量时将VLAN信息再封装回数据包。业务口将接收的租户流量解VLAN标签,并将其转发至串行发包口发出,而将串行收包口接收的返回流量通封装VLAN标签,设置策略路由转发,并将其转发回业务口,以此完成VLAN的解封装和封装。
通常云平台引流携带的VLAN地址与流量发出端相关,以192.168.100.3到192.168.200.4的流量为例,源地址192.168.100.3的正向流量携带VLAN标签为100,源地址为192.168.200.4的反向流量携带VLAN标签为200,虚拟交互网元模块业务口为3口,串行发包口为1口,串行收包口为2口,策略路由引流对端MAC地址为00:16:3e:00:00:00,则对虚拟交互网元模块内部虚拟交换机配置如下流表项:
i)inport=3,nw_src=192.168.100.3,nw_dst=192.168.200.4,vlan_vid=100,actions:pop_vlan,output:1
j)inport=2,nw_src=192.168.100.3,nw_dst=192.168.200.4,actions:push_vlan=0x8100,set_field=eth_vlan_vid->100,set_field=eth_src->00:16:3e:00:00:00,output:3
k)inport=3,nw_src=192.168.200.4,nw_dst=192.168.100.3,vlan_vid=200,actions:pop_vlan,output:1
l)inport=2,nw_src=192.168.200.4,nw_dst=192.168.100.3,actions:push_vlan=0x8100,set_field=eth_vlan_vid->200,set_field=eth_src->00:16:3e:00:00:00,output:3
在上述流表项作用下,192.168.100.3到192.168.200.4的流量在进入业务口会首先剥离VLAN标签100,再转发入串行发包口。而其返回流量进入串行收包口后,会首先添加VLAN标签,并修改目的MAC地址为策略路由引流对端MAC地址,再转发至业务口,以实现策略路由返回流量。而针对192.168.200.4到192.168.100.3的流量则在进入时剥离VLAN标签200,返回时则添加策略路由信息和添加VLAN标签200,从而整体实现对双向流量的VLAN解封装和封装,保证网络正常通信的同时,实现防御的有效性。
步骤402:虚拟交互网元模块接收正向安全服务链出口或反向安全服务链出口的业务流量,并转发至云平台。
本申请可以将云平台中的租户业务数据按租户通过策略路由方式引至资源池内该租户的虚拟交互网元模块,虚拟交互网元模块转发该租户流量至正向安全服务链或反向安全服务链的流量入口。
在配置策略路由引流时,虚拟交互网元模块与云平台对接,安全资源池提供接收流量IP,在本实施例中,为每个租户配置一个虚拟交互网元模块,虚拟交互网元模块对外提供一个业务口IP地址,使用该业务口IP地址区分租户并接收策略路由引流数据。同时,在虚拟交互网元模块中配置云平台对接IP,实现将资源池内防护返回流量返回至云平台中。
本发明实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现如以上任一项所述的云环境下的安全防御方法的步骤。
本发明实施例还提供了一种云环境下的安全防御系统,包括处理器及存储器,所述处理器用于执行所述存储器中存储的程序,以实现如以上所一项所述的云环境下的安全防御方法的步骤。
本发明实施例公开的云环境下的安全防御方法及系统、计算机可读存储介质,将云平台中的租户流量通过策略路由的方式引入安全资源池中虚拟交互网元模块,虚拟交互网元模块将业务流量转发至双向安全服务链中,双向安全服务链定义流量的正向和反向所需经过虚拟安全网元的顺序,以此实现与非虚拟化情况一致的流量流经效果,通过这样的方式可以实现基于流量的有状态防护,实现完整且全面的防护能力。
具体地,双向安全服务链首先配置正向安全服务链,实现源节点到目的节点的按需防护,然后配置反向安全服务链,实现目的节点到源节点的反向按需防护,即按流量发送所经过虚拟安全网元的反序返回流量,以此实现流量的往返的路径统一与正确性,以此实现虚拟安全网元基于流量的有状态防护。同时以租户为单位设定虚拟交互网元模块,租户内多个流量共用租户虚拟交互网元模块,在其后配置不同的双向安全服务链,可以降低租户在资源池中的资源消耗,提高资源利用率。从而基于上述方法和系统,整体实现高利用率、准确、全面的云内租户流量安全防护。
本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成,所述程序可以存储于计算机可读存储介质中,如只读存储器、磁盘或光盘等。可选地,上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现,相应地,上述实施例中的各模块/单元可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。本发明不限制于任何特定形式的硬件和软件的结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种云环境下的安全防御系统,其特征在于,包括虚拟安全网元模块和虚拟交互网元模块,其中:
所述虚拟安全网元模块包括多个用于实现安全防御功能的虚拟安全网元;
所述虚拟交互网元模块,用于接收云平台的业务流量,并根据所述业务流量中的网络信息转发至正向安全服务链入口或反向安全服务链入口;接收正向安全服务链出口或反向安全服务链出口的业务流量,并转发至云平台,所述正向安全服务链和反向安全服务链为两条连接一个或多个所述虚拟安全网元的安全防御回路,且两者的业务流量传递方向相反;
其中,按照设置的虚拟安全网元及其连接顺序,正向配置虚拟安全网元顺序构建正向安全服务链,反向配置虚拟安全网元顺序构建反向安全服务链;
所述正向安全服务链或反向安全服务链分别将入口的业务流量按照正向或反向顺序逐级引至各个虚拟安全网元;
所述虚拟交互网元模块,还用于向正向安全服务链的第一级虚拟安全网元发送业务流量,在所述正向安全服务链将得到的业务流量按照正向安全服务链的顺序逐级引至各个虚拟安全网元后,所述虚拟交互网元 模块从正向安全服务链的最后一级虚拟安全网元接收返回流量,并将返回的流量转发至正向安全服务链的最后一级虚拟安全网元,在按照反向安全服务链的顺序逐级引至各个虚拟安全网元后,并从正向安全服务链的第一级虚拟安全网元接收返回流量。
2.根据权利要求1所述的安全防御系统,其特征在于,所述虚拟交互网元模块还用于:检测所述接收的业务流量是否携带虚拟局域网VLAN信息,如果携带VLAN信息,在所述接收云平台的业务流量之后且所述根据所述业务流量中的网络信息转发至正向安全服务链入口或反向安全服务链入口之前,对所述业务流量中的VLAN信息进行解封装,并在所述接收正向安全服务链出口或反向安全服务链出口的业务流量之后且所述转发至云平台之前,将所述VLAN信息封装回所述业务流量中。
3.根据权利要求1所述的安全防御系统,其特征在于,所述网络信息包括以下至少之一:源网际协议IP地址、目的IP地址、源端口号、目的端口号、协议类型。
4.根据权利要求1所述的安全防御系统,其特征在于,每个所述虚拟安全网元包括至少三个虚拟网口:第一业务口、第二业务口、第一管理口,其中,第一业务口和第二业务口用于业务流量的进出,第一管理口用于对所述虚拟安全网元进行管理。
5.根据权利要求4所述的安全防御系统,其特征在于,所述虚拟交互网元模块包括至少四个虚拟网口:业务口、串行发包口、串行收包口和第二管理口,其中,业务口用于接收云平台中的业务流量并转发至串行发包口、接收所述串行收包口发送的业务流量并转发至云平台中,串行发包口用于接收业务口发送的业务流量并转发至所述正向安全服务链入口或反向安全服务链入口,串行收包口用于接收所述正向安全服务链出口或反向安全服务链出口的业务流量并转发至所述业务口,第二管理口用于对所述虚拟交互网元模块进行管理。
6.根据权利要求1所述的安全防御系统,其特征在于,所述虚拟安全网元包括以下至少之一:防火墙、入侵防御系统IPS、入侵检测系统IDS、虚拟专用网络VPN、堡垒机。
7.根据权利要求1至6任一所述的安全防御系统,其特征在于,还包括管理模块和网络模块,其中:
所述管理模块,用于按租户和/或按业务创建所述虚拟安全网元模块、所述虚拟交互网元模块;
所述网络模块,用于按所述网络信息创建所述正向安全服务链和/或所述反向安全服务链。
8.一种云环境下的安全防御方法,其特征在于,包括:
虚拟交互网元模块接收云平台的业务流量,并根据所述业务流量中的网络信息转发至正向安全服务链入口或反向安全服务链入口,所述正向安全服务链和反向安全服务链为两条连接多个用于实现安全防御功能的虚拟安全网元的安全防御回路,且两者的业务流量传递方向相反;
虚拟交互网元模块接收正向安全服务链出口或反向安全服务链出口的业务流量,并转发至云平台;
其中,按照设置的虚拟安全网元及其连接顺序,正向配置虚拟安全网元顺序构建正向安全服务链,反向配置虚拟安全网元顺序构建反向安全服务链;
所述正向安全服务链或反向安全服务链分别将入口的业务流量按照正向或反向顺序逐级引至各个虚拟安全网元,
所述虚拟交互网元模块向正向安全服务链的第一级虚拟安全网元发送业务流量,在所述正向安全服务链将得到的业务流量按照正向安全服务链的顺序逐级引至各个虚拟安全网元后,所述虚拟交互网元 模块从正向安全服务链的最后一级虚拟安全网元接收返回流量,并将返回的流量转发至正向安全服务链的最后一级虚拟安全网元,在按照反向安全服务链的顺序逐级引至各个虚拟安全网元后,并从正向安全服务链的第一级虚拟安全网元接收返回流量。
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现如权利要求8所述的云环境下的安全防御方法的步骤。
10.一种云环境下的安全防御系统,其特征在于,包括处理器及存储器,所述处理器用于执行所述存储器中存储的程序,以实现如权利要求8所述的云环境下的安全防御方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910182073.XA CN109889533B (zh) | 2019-03-11 | 2019-03-11 | 云环境下的安全防御方法及系统、计算机可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910182073.XA CN109889533B (zh) | 2019-03-11 | 2019-03-11 | 云环境下的安全防御方法及系统、计算机可读存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109889533A CN109889533A (zh) | 2019-06-14 |
CN109889533B true CN109889533B (zh) | 2021-07-20 |
Family
ID=66931805
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910182073.XA Active CN109889533B (zh) | 2019-03-11 | 2019-03-11 | 云环境下的安全防御方法及系统、计算机可读存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109889533B (zh) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114760246B (zh) * | 2022-03-29 | 2024-05-03 | 浪潮云信息技术股份公司 | 一种服务引流方法、装置及介质 |
CN116248570B (zh) * | 2022-12-16 | 2024-05-14 | 中国联合网络通信集团有限公司 | 服务链配置方法、装置及存储介质 |
CN116155838B (zh) * | 2023-04-24 | 2023-07-21 | 远江盛邦(北京)网络安全科技股份有限公司 | 流量透传方法、装置和电子设备 |
CN118101999B (zh) * | 2024-04-29 | 2024-06-21 | 天津北方盛世科技有限公司 | 一种短视频流量数据分析方法 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103560927A (zh) * | 2013-10-22 | 2014-02-05 | 中国联合网络通信集团有限公司 | Cgn设备测试反向流的生成方法及测试设备 |
CN106789542A (zh) * | 2017-03-03 | 2017-05-31 | 清华大学 | 一种云数据中心安全服务链的实现方法 |
CN106953788A (zh) * | 2017-02-16 | 2017-07-14 | 北京西普阳光教育科技股份有限公司 | 一种虚拟网络控制器及控制方法 |
CN109245930A (zh) * | 2018-09-17 | 2019-01-18 | 武汉思普崚技术有限公司 | 一种云安全网元、云计算管理平台及系统 |
-
2019
- 2019-03-11 CN CN201910182073.XA patent/CN109889533B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103560927A (zh) * | 2013-10-22 | 2014-02-05 | 中国联合网络通信集团有限公司 | Cgn设备测试反向流的生成方法及测试设备 |
CN106953788A (zh) * | 2017-02-16 | 2017-07-14 | 北京西普阳光教育科技股份有限公司 | 一种虚拟网络控制器及控制方法 |
CN106789542A (zh) * | 2017-03-03 | 2017-05-31 | 清华大学 | 一种云数据中心安全服务链的实现方法 |
CN109245930A (zh) * | 2018-09-17 | 2019-01-18 | 武汉思普崚技术有限公司 | 一种云安全网元、云计算管理平台及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN109889533A (zh) | 2019-06-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109889533B (zh) | 云环境下的安全防御方法及系统、计算机可读存储介质 | |
CN111049796B (zh) | 一种基于Open vSwitch实现Overlay多租户CNI容器网络的方法 | |
CN105207873B (zh) | 一种报文处理方法和装置 | |
CN102347900B (zh) | 整合虚拟和物理网络交换设备到异构交换域的方法和系统 | |
CN108173694B (zh) | 一种数据中心的安全资源池接入方法及系统 | |
US9178828B2 (en) | Architecture for agentless service insertion | |
CN106789542B (zh) | 一种云数据中心安全服务链的实现方法 | |
CN103546451B (zh) | 用于管理覆盖网络中的流量的系统和方法 | |
CN105227463B (zh) | 一种分布式设备中业务板间的通信方法 | |
CN105765946B (zh) | 支持数据网络中的服务链接的方法和系统 | |
CN103460666B (zh) | 网络系统和vlan标签数据获取方法 | |
US20160373363A1 (en) | Cloud-Based Network Tool Optimizers For Server Cloud Networks | |
WO2017173952A1 (zh) | 一种实现虚拟机统一管理及互通的方法、装置和系统 | |
CN108475206A (zh) | 在网络功能虚拟化架构中实现精细的粒度服务链 | |
CN107872392A (zh) | 在网络中分配服务功能链数据和服务功能实例数据 | |
CN107920023A (zh) | 一种安全资源池的实现方法及系统 | |
CN107959654A (zh) | 一种数据传输方法、装置及混合云系统 | |
CN108199958B (zh) | 一种通用的安全资源池服务链实现方法及系统 | |
CN108702326A (zh) | 检测软件定义网络(sdn)中的控制平面循环的机制 | |
CN104685500A (zh) | 向虚拟覆盖网络流量提供服务 | |
CN110022262B (zh) | 一种基于sdn网络实现平面分离的方法、系统和装置 | |
US10616097B2 (en) | Local switching for flexible cross-connect VLAN-aware based service | |
JPWO2015125801A1 (ja) | ネットワーク制御方法、ネットワークシステムと装置及びプログラム | |
CN109981355A (zh) | 用于云环境的安全防御方法及系统、计算机可读存储介质 | |
US10432515B1 (en) | Reducing number of Ethernet segment MPLS labels for all-active multi-homing |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |