CN112769717A - 一种单服务器网口支持多个审计类安全服务的实现方法 - Google Patents

一种单服务器网口支持多个审计类安全服务的实现方法 Download PDF

Info

Publication number
CN112769717A
CN112769717A CN202110065962.5A CN202110065962A CN112769717A CN 112769717 A CN112769717 A CN 112769717A CN 202110065962 A CN202110065962 A CN 202110065962A CN 112769717 A CN112769717 A CN 112769717A
Authority
CN
China
Prior art keywords
port
network port
flow
service
audit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202110065962.5A
Other languages
English (en)
Inventor
杜永锋
吴雷
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Datacloudsec Information Technology Co ltd
Original Assignee
Beijing Datacloudsec Information Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Datacloudsec Information Technology Co ltd filed Critical Beijing Datacloudsec Information Technology Co ltd
Priority to CN202110065962.5A priority Critical patent/CN112769717A/zh
Publication of CN112769717A publication Critical patent/CN112769717A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/20Support for services
    • H04L49/208Port mirroring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/30Peripheral units, e.g. input or output ports
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic

Abstract

本发明公开了一种单服务器网口支持多个审计类安全服务的实现方法,应用于审计类安全产品技术领域,具体包括以下步骤:S1、在物理服务器上创建使用openvswitch网络的审计类虚拟设备,选择所述物理服务器上的第一物理网口作为业务网口,把所述业务网口关联到openvswitch网络;S2、在物理交换机上选择第二物理网口作为流量观察口,在所述流量观察口上做端口镜像,将所述流量观察口与所述业务网口物理连接,所述流量观察口将流量镜像到所述业务网口;S3、创建SDN控制器,所述SDN控制器接管openvswitch网络,并下发网络控制策略,控制进入到业务网口的流量,使进入到业务网口的流量进入到对应的审计类虚拟设备。通过此方法可以简化网络部署,节省设备资源,提高整体审计安全性能。

Description

一种单服务器网口支持多个审计类安全服务的实现方法
技术领域
本发明涉及审计类安全产品技术领域,更具体的说是涉及一种单服务器网口支持多个审计类安全服务的实现方法。
背景技术
随着云计算及云安全的发展,云客户对云安全的要求越来越高,不仅要求安全厂商满足安全功能的需求,更多的要求解决当前多租户下,安全设备分散、安全服务搭配不灵活、网络配置复杂等问题,比如用户需要数据库审计、全流量深度检测与威胁分析系统两种审计类产品,现有方案1:两个硬件产品,各自提供审计服务,在交换机侧要去有两个镜像口,或者要求在每个用户侧安装agent。现有方案2:两种设备都以虚拟化形式提供,但要求使用两个物理网口,或要求交换机侧,或用户侧配置复杂的路由。不能很好的解决审计的流量过大时,需要分担流量到更多的虚拟设备,并且现有方案均不能很好的解决交换机上单镜像流量虚拟审计设备与物理审计设备共存的问题。
发明内容
有鉴于此,本发明提供了一种单服务器网口支持多个审计类安全服务的实现方法,本发明采用SDN技术,可以灵活的编排镜像流量。
为了实现上述目的,本发明提供如下技术方案:一种单服务器网口支持多个审计类安全服务的实现方法,具体包括以下步骤:
S1、在物理服务器上创建使用openvswitch网络的审计类虚拟设备,选择所述物理服务器上的第一物理网口作为业务网口,把所述业务网口关联到openvswitch网络;
S2、在物理交换机上选择第二物理网口作为流量观察口,在所述流量观察口上做端口镜像,将所述流量观察口与所述业务网口物理连接,所述流量观察口将流量镜像到所述业务网口;
S3、创建SDN控制器,所述SDN控制器接管openvswitch网络,并下发网络控制策略,控制进入到所述业务网口的流量,使进入到所述业务网口的流量进入到对应的审计类虚拟设备。
进一步地,所述网络控制策略为:A、用户业务编排具有第一优先级,根据用户业务编排,筛选所述业务网口的镜像流量进入相对应的审计类虚拟设备;B、业务单独分配具有第二优先级,根据业务单独分配,筛选所述业务网口的镜像流量进入指定的审计类虚拟设备。
进一步地,所述SDN控制器控制进入到所述业务网口的流量,使进入到所述业务网口的流量进入到对应的审计类物理设备。
经由上述的技术方案可知,本发明公开提供了一种单服务器网口支持多个审计类安全服务的实现方法,与现有技术相比,具有下述优点:
1、单服务器单物理网卡支持多个审计类安全设备节省资源、简化网络部署。
2、不同的用户可以灵活选择使用不同审计类安全设备。
3、多个审计类设备可以分担镜像网络压力,提高整体审计安全性能。
4、该方案可以扩展适配纯硬件形态的审计类安全设备及虚拟、硬件审计类安全设备共存的场景。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1附图为本发明的部署结构示意图;
图2附图为本发明的流程图;
图3附图为网络控制策略流程图;
图4附图为适配硬件审计设备时的部署结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例公开了一种单服务器网口支持多个审计类安全服务的实现方法,以图2为例,具体包括以下步骤:
S1、在物理服务器上创建使用openvswitch网络的审计类虚拟设备(在本实施例中,为数据库审计系统、全流量检测与威胁分析系统),选择物理服务器上的第一物理网口作为业务网口,把业务网口关联到openvswitch网络;
S2、在物理交换机上选择第二物理网口作为流量观察口,在流量观察口上做端口镜像,将流量观察口与业务网口物理连接,流量观察口将流量镜像到业务网口;
S3、创建SDN控制器,SDN控制器接管openvswitch网络,并下发网络控制策略,控制进入到业务网口的流量,使进入到业务网口的流量进入到对应的审计类虚拟设备。
进一步地,在本实施例中,业务网口为物理服务器的eth1。
进一步地,在本实施例中,网络控制策略为:A、用户业务编排具有第一优先级,根据用户业务编排,筛选业务网口的镜像流量进入相对应的审计类虚拟设备;B、业务单独分配具有第二优先级,根据业务单独分配,筛选业务网口的镜像流量进入指定的审计类虚拟设备。
进一步地,在本实施中,以两个应用场景对本发明方案中的网络控制策略进行详细阐述:
场景1:对于用户来说,数据库审计只需要处理数据库操作相关业务流量,全流量检测与威胁分析系统需要处理所有的用户业务流量。
场景2:对于全流量审计来说,用户分了多个业务,期望每个业务对应单独的全流量检测与威胁分析系统,便于维护及安全分析。
针对场景1、场景2的网络控制策略如图3所示:
a:不需要用户业务编排时,下发策略:指定由eth1进来的流量,下一步同时进入数据库审计、全流量检测与威胁分析系统。(传统方案需要镜像两份分别送到两个审计安全设备);
b:需要对用户业务类别编排时,下发策略:策略优先级10,从eth1进来凡是源、目的端口号为3306(3306为数据库端口号,此处根据需要,按端口/ip/ip段/vlan等条件或条件组合去下发策略)的报文下一步进入数据库审计、全流量检测与威胁分析系统;
c:不需要按业务单独分配全流量检测与威胁分析系统,下发策略:策略优先级9,从eth1进来所有流量,下一步进入全流量检测与威胁分析系统(可以是1个也可以是多个,不匹配业务的情况下,多个没有意义);
d:需要按业务单独分配全流量检测与威胁分析系统,下发策略:策略优先级9,源、目的ip段1(比如:192.168.20.0/24)的报文进入全流量检测与威胁分析系统1,源、目的ip段2:192.168.30.0/24)的报文进入全流量检测与威胁分析系统2。
进一步地,在本具体实施例中,如图4所示:适配硬件审计设备时,需要将服务器的eth2、eth3关联到openvswitch网络,通过SDN控制器下发相应的策略到openvswitch网络。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims (3)

1.一种单服务器网口支持多个审计类安全服务的实现方法,其特征在于:所述方法具体包括以下步骤:
S1、在物理服务器上创建使用openvswitch网络的审计类虚拟设备,选择所述物理服务器上的第一物理网口作为业务网口,把所述业务网口关联到openvswitch网络;
S2、在物理交换机上选择第二物理网口作为流量观察口,在所述流量观察口上做端口镜像,将所述流量观察口与所述业务网口物理连接,所述流量观察口将流量镜像到所述业务网口;
S3、创建SDN控制器,所述SDN控制器接管openvswitch网络,并下发网络控制策略,控制进入到所述业务网口的流量,使进入到所述业务网口的流量进入到对应的审计类虚拟设备。
2.根据权利要求1所述的一种单服务器网口支持多个审计类安全服务的实现方法,其特征在于:所述网络控制策略为:A、用户业务编排具有第一优先级,根据用户业务编排,筛选所述业务网口的镜像流量进入相对应的审计类虚拟设备;B、业务单独分配具有第二优先级,根据业务单独分配,筛选所述业务网口的镜像流量进入指定的审计类虚拟设备。
3.根据权利要求1所述的一种单服务器网口支持多个审计类安全服务的实现方法,其特征在于:所述SDN控制器控制进入到所述业务网口的流量,使进入到所述业务网口的流量进入到对应的审计类物理设备。
CN202110065962.5A 2021-01-18 2021-01-18 一种单服务器网口支持多个审计类安全服务的实现方法 Pending CN112769717A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110065962.5A CN112769717A (zh) 2021-01-18 2021-01-18 一种单服务器网口支持多个审计类安全服务的实现方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110065962.5A CN112769717A (zh) 2021-01-18 2021-01-18 一种单服务器网口支持多个审计类安全服务的实现方法

Publications (1)

Publication Number Publication Date
CN112769717A true CN112769717A (zh) 2021-05-07

Family

ID=75702960

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110065962.5A Pending CN112769717A (zh) 2021-01-18 2021-01-18 一种单服务器网口支持多个审计类安全服务的实现方法

Country Status (1)

Country Link
CN (1) CN112769717A (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103973481A (zh) * 2014-04-21 2014-08-06 蓝盾信息安全技术股份有限公司 一种基于sdn的云计算数据中心的审计系统及方法
US20160294731A1 (en) * 2015-04-01 2016-10-06 Brocade Communications Systems, Inc. Techniques For Facilitating Port Mirroring In Virtual Networks
CN108234315A (zh) * 2016-12-21 2018-06-29 青岛祥智电子技术有限公司 一种虚拟化网络环境中镜像网络流量控制协议
CN209086928U (zh) * 2018-10-26 2019-07-09 上海纽盾科技股份有限公司 一种数据库审计的部署结构

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103973481A (zh) * 2014-04-21 2014-08-06 蓝盾信息安全技术股份有限公司 一种基于sdn的云计算数据中心的审计系统及方法
US20160294731A1 (en) * 2015-04-01 2016-10-06 Brocade Communications Systems, Inc. Techniques For Facilitating Port Mirroring In Virtual Networks
CN108234315A (zh) * 2016-12-21 2018-06-29 青岛祥智电子技术有限公司 一种虚拟化网络环境中镜像网络流量控制协议
CN209086928U (zh) * 2018-10-26 2019-07-09 上海纽盾科技股份有限公司 一种数据库审计的部署结构

Similar Documents

Publication Publication Date Title
CN106375384B (zh) 一种虚拟网络环境中镜像网络流量的管理系统和控制方法
EP3681110B1 (en) A region interconnect control using vrf tables across heterogeneous networks
CN106130850B (zh) 专线用户智能化接入方法
CN102845035B (zh) 在虚拟环境中识别目的地的方法
EP2847969B1 (en) Method and apparatus for supporting access control lists in a multi-tenant environment
EP3300298B1 (en) Method and apparatus for switching vnf
CN107153565B (zh) 配置资源的方法及其网络设备
CN112130957B (zh) 一种容器突破虚拟化隔离使用智能网卡的方法与系统
CN107135134A (zh) 基于虚拟交换机和sdn技术的私用网络接入方法和系统
US20170006082A1 (en) Software Defined Networking (SDN) Orchestration by Abstraction
US20030009444A1 (en) Secured shared storage architecture
US9806966B2 (en) Network management layer—configuration management
CN105939267B (zh) 带外管理方法及装置
CN106909197A (zh) 一种虚拟化主机时间管理方法及虚拟化主机系统
CN112769717A (zh) 一种单服务器网口支持多个审计类安全服务的实现方法
WO2017017971A1 (ja) データセンタ連携システム、および、その方法
EP3891932B1 (en) Method for an improved and simplified operation and architecture of a central office point of delivery within a broadband access network of a telecommunications network, telecommunications network, and system, program and computer program product
KR101861654B1 (ko) 서비스 기능 체인을 운용하는 방법, 장치 및 컴퓨터 프로그램
CN111147516B (zh) 基于sdn的安全设备动态互联与智能选路决策系统及方法
CN1297106C (zh) 对以太网交换机的用户端口之间进行隔离的方法
CN115065720B (zh) 一种自动适配多个外部注册中心到服务网格Istio的方法和装置
CN106559322A (zh) 一种基于多龙芯并行处理架构的安全防护网关
CN113132260B (zh) 一种多业务虚拟网络系统及多业务分离并行通信的方法
CN115134255B (zh) 一种交换机自动组网的方法、系统、设备及存储介质
KR102066555B1 (ko) 소프트웨어 정의 네트워크를 이용하여 트래픽을 추적하는 방법, 장치 및 컴퓨터 프로그램

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20210507