CN111953661A - 一种基于sdn的东西向流量安全防护方法及其系统 - Google Patents
一种基于sdn的东西向流量安全防护方法及其系统 Download PDFInfo
- Publication number
- CN111953661A CN111953661A CN202010719415.XA CN202010719415A CN111953661A CN 111953661 A CN111953661 A CN 111953661A CN 202010719415 A CN202010719415 A CN 202010719415A CN 111953661 A CN111953661 A CN 111953661A
- Authority
- CN
- China
- Prior art keywords
- flow
- sdn
- virtual
- cloud
- east
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 29
- 210000001503 joint Anatomy 0.000 claims abstract description 8
- 238000001914 filtration Methods 0.000 claims description 18
- 241000700605 Viruses Species 0.000 claims description 5
- 238000004140 cleaning Methods 0.000 claims description 3
- 230000006870 function Effects 0.000 claims description 3
- 238000002955 isolation Methods 0.000 abstract description 6
- 230000009286 beneficial effect Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000012550 audit Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/20—Traffic policing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/70—Virtual switches
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45595—Network integration; Enabling network access in virtual machine instances
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种基于SDN的东西向流量安全防护方法及系统,其中,基于SDN的东西向流量安全防护系统包括:由上往下布局的SND控制器、虚拟交换机、云内安全设备;所述SDN控制器北向通过restful接口对接上层应用,南向对接底层虚拟设备;所述虚拟交换机下挂接有若干虚拟主机;所述云内安全设备包括防火墙虚拟网元,其以虚拟机的姿态安置于各云主机内部,或通过虚拟交换机桥接云主机。本发明适用于OpenStack+OpenDaylight组合的云数据中心方案,通过SDN控制器控制下的虚拟交换机进行流量牵引防护,解决OpenStack云数据中心东西流量无法防护的盲点;以及通过SDN控制器实现基于openflow协议实现对流的精细化控制,解决基于流安全的隔离防护问题。
Description
技术领域
本发明涉及计算机网络技术领域,尤其涉及一种基于SDN的东西向流量安全防护方法及其系统。
背景技术
早期数据中心的流量,80%为南北向流量,现在已经转变成80%为东西向流量。数据中心网络流量由“南北”为主转变为“东西”为主,主要是随着云计算的到来,越来越丰富的业务对数据中心的流量模型产生了巨大的冲击,如搜索、并行计算等业务,需要大量的服务器组成集群系统,协同完成工作,这导致服务器之间的流量变得非常大。
对此,传统的安全解决方案通常是基于固定物理边界的安全防护,那么对应到云计算数据中心,也就是只解决了南北向流量的安全防护问题;对于东西向流量的安全防护,基本上是无能为力的:一方面是“看不到”,比如同一宿主机内的两台虚拟机之间的流量;另一方面是“不认识”,比如封装了vxlan等隧道包头的数据流量。故现有技术很难做到防护东西向流量,而且无法做到精细化管控。
发明内容
本发明提出一种基于SDN的东西向流量安全防护方法及其系统,以解决OpenStack云数据中心东西流量无法防护的盲点,以及流安全的隔离防护问题。
为了解决上述技术问题,本发明提供一种基于SDN的东西向流量安全防护系统,包括:由上往下布局的SND控制器、虚拟交换机、云内安全设备;
所述SDN控制器北向通过restful接口对接上层应用,南向对接底层虚拟设备;
所述虚拟交换机下挂接有若干虚拟主机;
所述云内安全设备包括防火墙虚拟网元,其以虚拟机的姿态安置于各云主机内部,或通过虚拟交换机桥接云主机。
进一步地,所述SDN控制器为开源OpenDaylight控制器,其南向通过openflow或NETCONF协议对接底层虚拟设备。
进一步地,所述虚拟交换机为openvswitch虚拟交换机。
进一步地,所述防火墙虚拟网元为虚拟网络功能网元VNF。
本发明还提供一种基于SDN的东西向流量安全防护方法,其采用所述基于SDN的东西向流量安全防护系统实施,所述方法包括:
步骤S1,在虚拟交换机中设置SDN控制器连接策略,并根据实施连接策略连接SDN控制器;
步骤S2,通过SDN控制器下发策略流表到虚拟交换机中,所述策略流表包括白名单流表和黑名单流表,所述白名单流表中包含预设的安全流量特征,所述黑名单流表中包含预设的过滤流量特征;
步骤S3,当流量从虚拟机出来上到虚拟交换机时,虚拟交换机首先判断是否在黑名单或者白名单策略配置中,如果在黑名单策略中,则直接丢弃,如果在白名单策略中,则直接转发到对应的虚拟机网卡中;剩余流量则通过流表转发到云内安全设备中进行流量安全防护、过滤。
进一步地,所述的于SDN的东西向流量安全防护方法还包括:设置流量牵引策略步骤,所述设置流量牵引策略步骤具体为:在SDN控制器上指定虚拟机流量先从云内安全设备上经过,再通过虚拟交换机转发。
进一步地,所述的于SDN的东西向流量安全防护方法还包括:过滤攻击报文和病毒步骤,所述过滤攻击报文和病毒步骤具体为:
经云内安全设备过滤之后,如果有攻击报文,则直接在云内安全设备中进行流量清洗之后在送还给虚拟交换机,并上报给SDN控制器所述攻击报文的特征,SDN控制器则通过学习到所述攻击报文的特征,自动触发流表规则,统一下发到所有的虚拟交换机中,进行黑名单过滤。
进一步地,所述SDN控制器的连接策略具体为:
ovs-vsctl set-controller br0 tcp:“IP地址”:“端口号”;当多个SDN控制器时,则末段紧接加入下一个SD控制器的IP地址和端口号。
进一步地,白名单流表的策略具体为:
ovs-ofctl add-flow br0 dl_src=“MAC地址”,tp_dst=“TCP端口号”,actions=normal。
进一步地,黑名单流表的策略具体为:
ovs-ofctl add-flow br0 dl_src=“MAC地址”,actions=drop。
本发明实施例的有益效果在于:适用于OpenStack+OpenDaylight组合的云数据中心方案,通过SDN控制器控制下的虚拟交换机进行流量牵引防护,解决OpenStack云数据中心东西流量无法防护的盲点;以及通过SDN控制器实现基于openflow协议实现对流的精细化控制,解决基于流安全的隔离防护问题。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例一一种基于SDN的东西向流量安全防护系统的拓扑图。
图2为本发明实施例二一种基于SDN的东西向流量安全防护方法的流程示意图。
图3为本发明实施例二的预处理流程示意图。
图4为本发明实施例二的防护流程示意图。
具体实施方式
以下各实施例的说明是参考附图,用以示例本发明可以用以实施的特定实施例。
本发明实施例一提供一种一种基于SDN的东西向流量安全防护系统,包括:
由上往下布局的SND控制器、虚拟交换机和云内安全设备;
所述SDN控制器北向通过restful接口对接上层应用,南向对接底层虚拟设备;
所述虚拟交换机下挂接有若干虚拟主机;
所述云内安全设备包括防火墙虚拟网元,其以虚拟机的姿态安置于各云主机内部,或通过虚拟交换机桥接云主机。
具体地,本实施例中,SDN控制器采用开源OpenDaylight(ODL)控制器,北向通过restful接口对接上层应用,南向通过openflow、NETCONF等协议对接底层虚拟设备,进行统一管理;所述SDN控制器有着全局的网络视图以及相应的流量信息,那么对于云内需要进行检测和防护的流量,可以通过SDN控制器自动化的进行流表项的下发,完成流量的牵引。
虚拟交换机层则采用openstack主流虚拟交换机openvswitch(以下简称ovs),在云平台内部,所有的虚拟机都挂在各自的ovs虚拟交换机上,通过每台主机的ovs虚拟交换机可看到所有虚拟机的流量,这为SDN安全引流提供了天然的优势,ovs可以通过openflow协议的精细流控制进行第一层安全隔离防护。
云内安全设备则采用专用下一代防火墙虚拟网元,具体为虚拟网络功能网元VNF,vNF可以对流量进行全面专业的安全审计防护,vNF以虚拟机的姿态安置在每台云主机内部,也通过ovs进行桥接。可在SDN控制器上指定需要进行防护的虚拟机流量通过openflow协议牵引的方式牵引到vNF上进行防护。
请参照图2所示,本发明实施例二提供一种基于SDN的东西向流量安全防护方法,其采用本发明实施例一所述的基于SDN的东西向流量安全防护系统实施,所述方法包括:
步骤S1,在虚拟交换机中设置SDN控制器连接策略,并根据实施连接策略连接SDN控制器;
步骤S2,通过SDN控制器下发策略流表到虚拟交换机中,所述策略流表包括白名单流表和黑名单流表,所述白名单流表中包含预设的安全流量特征,所述黑名单流表中包含预设的过滤流量特征;
步骤S3,当流量从虚拟机出来上到虚拟交换机时,虚拟交换机首先判断是否在黑名单或者白名单策略配置中,如果在黑名单策略中,则直接丢弃,如果在白名单策略中,则直接转发到对应的虚拟机网卡中;剩余流量则通过流表转发到云内安全设备中进行流量安全防护、过滤。
可以理解的是,本实施例的方法实施时,SDN控制器和ovs虚拟交换机、vNF安全设备网络可达。
步骤S1首先设置SDN控制器连接策略:通过ovs虚拟交换机中设置策略去连接SDN控制器。其连接策略具体为:
ovs-vsctl set-controller br0 tcp:192.168.31.2:6633
其中192.168.31.2为控制器的ip地址,需要能够网络可达才能建立连接,6633为连接的默认端口号,如果有多个控制器则可以在后面接下一个控制器的ip和端口。
接着设置黑白名单策略:首先用户基于五元组、MAC地址等先设置一些默认的安全流量和默认的拒绝流量策略,通过ODL控制器下发指定流表到ovs虚拟交换机中,完成第一层安全隔离防护,具体策略如下:
白名单:由于不是所有的报文都需要进行专业的安全防护,可以让用户设置一些保证安全的流量特征,直接转发,不经过vNF设备,缓解安全设备的压力,也提高了流量转发的性能;策略示例如下:
ovs-ofctl add-flow br0 dl_src=52:54:00:aa:bb:cc,tp_dst=80,actions=normal
该策略是过滤源mac地址为52:54:00:aa:bb:cc,目的tcp端口为80的报文进行正常转发。
黑名单:由于有一些不允许通过的报文,事先就在ovs第一层防护策略中就将其丢弃(drop),以防再进入vNF设备再次杀毒。而一些已经是被vNF证实为攻击报文的,再次进来的时候可再入口的时候就将其drop,减免vNF设备的压力;
策略示例如下:
ovs-ofctl add-flow br0 dl_src=18:24:ab:3c:22:56,actions=drop
该策略是过滤源mac为18:24:ab:3c:22:56的报文,进行丢弃。
当流量从虚拟机出来上到ovs交换机,首先判断是否在黑名单或者白名单策略配置中,如果在黑名单策略中,则直接drop掉,如果在白名单策略中,则直接转发到对应的虚拟机网卡中;剩余流量则通过流表转发到vNF安全设备中进行流量安全防护、过滤。
进一步地,还可以设置流量牵引策略:在SDN控制器上指定虚拟机流量先从vNF安全设备上经过,再通过ovs转发,具体策略流表如下:
ovs-ofctl add-flow br0'in_port=vm_1,priority=3566,actions=output:vNF_1'
最后过滤攻击报文和病毒:经vNF过滤之后,如果有攻击报文,则直接在vNF中进行流量清洗之后在送还给ovs虚拟交换机,并上报给控制器这些攻击报文的特征,控制器则通过学习到该流量特征,自动触发流表规则,统一下发到所有的ovs交换机中,进行黑名单过滤。策略示例如下:
ovs-ofctl add-flow br0'table=0,priority=3566,nw_src=192.168.23.10,nw_dst=192.168.23.19,http,tp_dst=8080,actions=drop'。
通过上述说明可知,本发明实施例的有益效果在于:适用于OpenStack+OpenDaylight组合的云数据中心方案,通过SDN控制器控制下的虚拟交换机进行流量牵引防护,解决OpenStack云数据中心东西流量无法防护的盲点;以及通过SDN控制器实现基于openflow协议实现对流的精细化控制,解决基于流安全的隔离防护问题。
以上所揭露的仅为本发明较佳实施例而已,当然不能以此来限定本发明之权利范围,因此依本发明权利要求所作的等同变化,仍属本发明所涵盖的范围。
Claims (10)
1.一种基于SDN的东西向流量安全防护系统,其特征在于,包括:由上往下布局的SND控制器、虚拟交换机、云内安全设备;
所述SDN控制器北向通过restful接口对接上层应用,南向对接底层虚拟设备;
所述虚拟交换机下挂接有若干虚拟主机;
所述云内安全设备包括防火墙虚拟网元,其以虚拟机的姿态安置于各云主机内部,或通过虚拟交换机桥接云主机。
2.根据权利要求1所述的基于SDN的东西向流量安全防护系统,其特征在于,所述SDN控制器为开源OpenDaylight控制器,其南向通过openflow或NETCONF协议对接底层虚拟设备。
3.根据权利要求1所述的基于SDN的东西向流量安全防护系统,其特征在于,所述虚拟交换机为openvswitch虚拟交换机。
4.根据权利要求1所述的基于SDN的东西向流量安全防护系统,其特征在于,所述防火墙虚拟网元为虚拟网络功能网元VNF。
5.一种基于SDN的东西向流量安全防护方法,其特征在于,其采用权利要求1至4任一项所述的基于SDN的东西向流量安全防护系统实施,所述方法包括:
步骤S1,在虚拟交换机中设置SDN控制器连接策略,并根据实施连接策略连接SDN控制器;
步骤S2,通过SDN控制器下发策略流表到虚拟交换机中,所述策略流表包括白名单流表和黑名单流表,所述白名单流表中包含预设的安全流量特征,所述黑名单流表中包含预设的过滤流量特征;
步骤S3,当流量从虚拟机出来上到虚拟交换机时,虚拟交换机首先判断是否在黑名单或者白名单策略配置中,如果在黑名单策略中,则直接丢弃,如果在白名单策略中,则直接转发到对应的虚拟机网卡中;剩余流量则通过流表转发到云内安全设备中进行流量安全防护、过滤。
6.根据权利要求5所述的基于SDN的东西向流量安全防护方法,其特征在于,还包括:设置流量牵引策略步骤,所述设置流量牵引策略步骤具体为:在SDN控制器上指定虚拟机流量先从云内安全设备上经过,再通过虚拟交换机转发。
7.根据权利要求5所述的基于SDN的东西向流量安全防护方法,其特征在于,还包括:过滤攻击报文和病毒步骤,所述过滤攻击报文和病毒步骤具体为:
经云内安全设备过滤之后,如果有攻击报文,则直接在云内安全设备中进行流量清洗之后在送还给虚拟交换机,并上报给SDN控制器所述攻击报文的特征,SDN控制器则通过学习到所述攻击报文的特征,自动触发流表规则,统一下发到所有的虚拟交换机中,进行黑名单过滤。
8.根据权利要求5所述的基于SDN的东西向流量安全防护方法,其特征在于,所述SDN控制器的连接策略具体为:
ovs-vsctl set-controller br0 tcp:“IP地址”:“端口号”;当多个SDN控制器时,则末段紧接加入下一个SD控制器的IP地址和端口号。
9.根据权利要求5所述的基于SDN的东西向流量安全防护方法,其特征在于,白名单流表的策略具体为:
ovs-ofctl add-flow br0 dl_src=“MAC地址”,tp_dst=“TCP端口号”,actions=normal。
10.根据权利要求5所述的基于SDN的东西向流量安全防护方法,其特征在于,黑名单流表的策略具体为:
ovs-ofctl add-flow br0 dl_src=“MAC地址”,actions=drop。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010719415.XA CN111953661A (zh) | 2020-07-23 | 2020-07-23 | 一种基于sdn的东西向流量安全防护方法及其系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010719415.XA CN111953661A (zh) | 2020-07-23 | 2020-07-23 | 一种基于sdn的东西向流量安全防护方法及其系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111953661A true CN111953661A (zh) | 2020-11-17 |
Family
ID=73340990
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010719415.XA Pending CN111953661A (zh) | 2020-07-23 | 2020-07-23 | 一种基于sdn的东西向流量安全防护方法及其系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111953661A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113132349A (zh) * | 2021-03-12 | 2021-07-16 | 中国科学院信息工程研究所 | 一种免代理云平台虚拟流量入侵检测方法及装置 |
| CN113300952A (zh) * | 2021-04-14 | 2021-08-24 | 启明星辰信息技术集团股份有限公司 | 一种用于云安全资源池的分布式引流系统及其引流方法 |
| CN114257473A (zh) * | 2021-12-10 | 2022-03-29 | 北京天融信网络安全技术有限公司 | 资源池中多个透明桥的实现方法、装置、设备和介质 |
| CN114567481A (zh) * | 2022-02-28 | 2022-05-31 | 天翼安全科技有限公司 | 一种数据传输方法、装置、电子设备及存储介质 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104113522A (zh) * | 2014-02-20 | 2014-10-22 | 西安未来国际信息股份有限公司 | 一种作用于云计算数据中心安全域的虚拟防火墙组件的设计 |
| CN104660554A (zh) * | 2013-11-19 | 2015-05-27 | 北京天地超云科技有限公司 | 一种虚拟机通信数据安全的实现方法 |
| CN104917653A (zh) * | 2015-06-26 | 2015-09-16 | 北京奇虎科技有限公司 | 基于云平台的虚拟化流量监控方法及装置 |
| CN105530259A (zh) * | 2015-12-22 | 2016-04-27 | 华为技术有限公司 | 报文过滤方法及设备 |
| CN105656841A (zh) * | 2014-11-11 | 2016-06-08 | 杭州华三通信技术有限公司 | 一种软件定义网络中实现虚拟防火墙的方法和装置 |
| CN106161522A (zh) * | 2015-04-02 | 2016-11-23 | 华为技术有限公司 | 一种网络设备间的通信方法、网络设备及分布式网络 |
| US20170054685A1 (en) * | 2015-08-18 | 2017-02-23 | Konstantin Malkov | Agentless Security of Virtual Machines Using a Network Interface Controller |
| CN108322467A (zh) * | 2018-02-02 | 2018-07-24 | 云宏信息科技股份有限公司 | 基于ovs的虚拟防火墙配置方法、电子设备及存储介质 |
-
2020
- 2020-07-23 CN CN202010719415.XA patent/CN111953661A/zh active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104660554A (zh) * | 2013-11-19 | 2015-05-27 | 北京天地超云科技有限公司 | 一种虚拟机通信数据安全的实现方法 |
| CN104113522A (zh) * | 2014-02-20 | 2014-10-22 | 西安未来国际信息股份有限公司 | 一种作用于云计算数据中心安全域的虚拟防火墙组件的设计 |
| CN105656841A (zh) * | 2014-11-11 | 2016-06-08 | 杭州华三通信技术有限公司 | 一种软件定义网络中实现虚拟防火墙的方法和装置 |
| CN106161522A (zh) * | 2015-04-02 | 2016-11-23 | 华为技术有限公司 | 一种网络设备间的通信方法、网络设备及分布式网络 |
| CN104917653A (zh) * | 2015-06-26 | 2015-09-16 | 北京奇虎科技有限公司 | 基于云平台的虚拟化流量监控方法及装置 |
| US20170054685A1 (en) * | 2015-08-18 | 2017-02-23 | Konstantin Malkov | Agentless Security of Virtual Machines Using a Network Interface Controller |
| CN105530259A (zh) * | 2015-12-22 | 2016-04-27 | 华为技术有限公司 | 报文过滤方法及设备 |
| CN108322467A (zh) * | 2018-02-02 | 2018-07-24 | 云宏信息科技股份有限公司 | 基于ovs的虚拟防火墙配置方法、电子设备及存储介质 |
Non-Patent Citations (4)
| Title |
|---|
| 江国龙: "《东西向流量牵引方案小结》", 《绿盟技术博客-百度快照》 * |
| 谢正兰等: "《新一代防火墙技术及应用》", 30 April 2018 * |
| 黄颖祺等: "基于软件定义的电力监控系统网络集中管理研究", 《数字技术与应用》 * |
| 齐星等: "多数据中心基于流量感知的DDoS攻击消除策略", 《计算机工程与应用》 * |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113132349A (zh) * | 2021-03-12 | 2021-07-16 | 中国科学院信息工程研究所 | 一种免代理云平台虚拟流量入侵检测方法及装置 |
| CN113300952A (zh) * | 2021-04-14 | 2021-08-24 | 启明星辰信息技术集团股份有限公司 | 一种用于云安全资源池的分布式引流系统及其引流方法 |
| CN114257473A (zh) * | 2021-12-10 | 2022-03-29 | 北京天融信网络安全技术有限公司 | 资源池中多个透明桥的实现方法、装置、设备和介质 |
| CN114567481A (zh) * | 2022-02-28 | 2022-05-31 | 天翼安全科技有限公司 | 一种数据传输方法、装置、电子设备及存储介质 |
| CN114567481B (zh) * | 2022-02-28 | 2024-03-12 | 天翼安全科技有限公司 | 一种数据传输方法、装置、电子设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111953661A (zh) | 一种基于sdn的东西向流量安全防护方法及其系统 | |
| US8458319B2 (en) | System and method for tracking network resources | |
| US10313205B2 (en) | Context-sensitive command whitelisting for centralized troubleshooting tool | |
| JP2023527999A (ja) | 仮想l2ネットワークのループ防止 | |
| EP3654584A1 (en) | Network controller subclusters for distributed compute deployments | |
| US9288555B2 (en) | Data center network architecture | |
| EP2456138B1 (en) | Methods and apparatus for centralized virtual switch fabric control | |
| US10148556B2 (en) | Link aggregation group (LAG) support on a software-defined network (SDN) | |
| EP2774048B1 (en) | Affinity modeling in a data center network | |
| EP2701342A1 (en) | Method and system for implementing elastic network interface and interconnection | |
| US9461938B2 (en) | Large distributed fabric-based switch using virtual switches and virtual controllers | |
| CN103026660A (zh) | 网络策略配置方法、管理设备以及网络管理中心设备 | |
| JP2013545359A (ja) | スイッチング・ネットワークにおけるスイッチングのための方法、マスタ・スイッチ、スイッチング・ネットワーク、プログラム、装置、システム | |
| JP2014502089A (ja) | スイッチング・ネットワークにおいてフロー制御を実施するための方法、マスタ・スイッチ、スイッチング・ネットワーク、プログラム、装置、システム | |
| JP5928197B2 (ja) | ストレージシステム管理プログラム及びストレージシステム管理装置 | |
| CN105991441B (zh) | 对bgp路由选择性下发路由转发表的方法和装置 | |
| CN104092684A (zh) | 一种OpenFlow协议支持VPN的方法及设备 | |
| US9130835B1 (en) | Methods and apparatus for configuration binding in a distributed switch | |
| EP3297245A1 (en) | Method, apparatus and system for collecting access control list | |
| US9571337B1 (en) | Deriving control plane connectivity during provisioning of a distributed control plane of a switch | |
| US10015074B1 (en) | Abstract stack ports to enable platform-independent stacking | |
| CN108429646A (zh) | 一种优化Ipsec VPN的方法及装置 | |
| Moser | Performance Analysis of an SD-WAN Infrastructure Implemented Using Cisco System Technologies | |
| Khatri | Analysis of OpenFlow protocol in local area networks | |
| KR20180085592A (ko) | 프리즘 가상 라우터 오픈스택 오케스트레이션 연동을 위한 가상 라우터 시스템 및 그 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20201117 |
|
| RJ01 | Rejection of invention patent application after publication |