CN114070622A - 一种基于网络端口安全的微隔离系统 - Google Patents

一种基于网络端口安全的微隔离系统 Download PDF

Info

Publication number
CN114070622A
CN114070622A CN202111357063.9A CN202111357063A CN114070622A CN 114070622 A CN114070622 A CN 114070622A CN 202111357063 A CN202111357063 A CN 202111357063A CN 114070622 A CN114070622 A CN 114070622A
Authority
CN
China
Prior art keywords
micro
isolation
plug
isolation system
instruction
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202111357063.9A
Other languages
English (en)
Other versions
CN114070622B (zh
Inventor
袁建国
陈诚
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Hongda Longhe Technology Co ltd
Original Assignee
Beijing Hongda Longhe Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Hongda Longhe Technology Co ltd filed Critical Beijing Hongda Longhe Technology Co ltd
Priority to CN202111357063.9A priority Critical patent/CN114070622B/zh
Publication of CN114070622A publication Critical patent/CN114070622A/zh
Application granted granted Critical
Publication of CN114070622B publication Critical patent/CN114070622B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明属于网络安全领域,具体公开了一种基于网络端口安全的微隔离系统,包括微隔离系统和微隔离插件,所述微隔离插件安装在宿主机或物理主机上,其具有定时检查任务,由微隔离系统下发指令到安装在宿主机或物理主机上的微隔离插件,微隔离插件通过控制软件防火墙来控制宿主机上的某个端口,只对指定的IP地址开放,监控当前宿主机及宿主机内虚拟机的外部IP地址,进而实现微隔离效果。安装微隔离插件,增加定时任务,监控当前宿主机及宿主机内虚拟机的外部IP地址的方式去解决虚拟机IP地址飘移的问题,利用微隔离系统对该违规访问端口行为进行实时隔离阻断,有效避免网络服务中面临的攻击风险扩散,从而达到按威胁区域进行隔离的目的。

Description

一种基于网络端口安全的微隔离系统
技术领域
本发明涉及网络安全领域,具体为一种基于网络端口安全的微隔离系统。
背景技术
随着云计算、虚拟化技术的快速发展,越来越多企业将数据与业务迁移到横跨物理机、公有云、私有云、混合云等多种数据中心环境,在云环境下网络边界变得模糊,当攻击者有机会拿到内网一个跳板机,结果发现内网网络基本是畅通无阻的,传统防火墙、WAF、IPS等端点安全和网络安全手段在云环境下显得捉襟见肘。
面向网络的微隔离控制,通过对网络内部流量进行全面精细的可视化分析,监控网络端口活动,依据细粒度的安全访问策略,帮助用户快速便捷地实现不同业务环境隔离、不同域间网络隔离以及端到端隔离,解决东西向流量的安全访问及管理问题。现有的微隔离技术主要是分为硬件及软件插件式两种微隔离系统。
传统的采用硬件防火墙的方式进行网络安全隔离,主要存在以下问题:
1、当前网络中品质好的硬件防火墙价格一直比较高,导致采购和维护成本增加。
2、由于网络本身原因,网络节点复杂,针对硬件防火墙的部署也具备较高的难度。
3、由于厂家或型号并不一致,硬件防火墙改变策略时,隔离的逻辑思路(例如:一些是默认隔离,一些是默认开放)及指令和操作方式并不相同。
4、升级困难,如以前是100M网卡现在是10G的网卡,网络设备会不断升级换代,如果使用硬件防火墙,相关设备也需要批量升级,导致网络升级成本大幅上升。
5、历史原因导致硬件防火墙功能不统一。例如,一些防火墙只能做到主机粒度的隔离,一些则可以做到端口粒度的隔离。(微隔离的要求是端口级别的隔离)
6、操作困难,培训成本高,操作人员需要学习,大量不同厂家的专业知识,才能把不同的软硬件防火墙操作起来。
7、虚拟机IP飘移问题,由于把虚所机从A宿主机上,迁移到B宿主机上,而A,B宿主机并不在同一防火墙硬件中,从而导致防火墙隔离失效。
后期进一步发展了插件式软件防火墙隔离,虽然插件式软件防火墙改进了硬件防火墙不灵活的部题,但上述问题仍然存在。
发明内容
本发明的目的在于提供一种基于网络端口安全的微隔离系统,以解决上述背景技术中提出的问题。
为实现上述目的,本发明提供如下技术方案:一种基于网络端口安全的微隔离系统,包括微隔离系统和微隔离插件,所述微隔离插件安装在宿主机或物理主机上,其具有定时检查任务,由微隔离系统下发指令到安装在宿主机或物理主机上的微隔离插件,微隔离插件通过控制软件防火墙来控制宿主机上的某个端口,只对指定的IP地址开放,监控当前宿主机及宿主机内虚拟机的外部IP地址,进而实现微隔离效果;具体微隔离实施流程如下:
S1、通过微隔离系统,下发隔离指令到宿主机的微隔离插件中;
S2、微隔离插件收到指令,执行隔离,并返回结果;具体通过如下步骤实现:
S21、在每台宿主机上安装好微隔离插件,由微隔离系统广播指令到所有微隔离插件;
S22、微隔离插件,对比指令中的服务端IP地址与服务器本机及内部虚拟机的外部IP地址是否一致,从而判断是否应该在本机防火墙执行隔离指令;
S23、确定需要执行后,执行隔离指令;
S24、返回操作结果给微隔离系统;
S25、微隔离插件定时,检查IP地址变化;
S26、若检查的IP地址有变化则通知微隔离系统;
S27、微隔离系统根据IP变化重新下发隔离指令
S28、微隔离插件执行指令进行隔离;
S29、返回执行结果。
进一步的,S24中,不管有无执行隔离指令,均返回操作结果给微隔离系统。
进一步的,当微隔离插件在微隔离系统启动时,通过TCP长连接,登陆注册到微隔离系统,并定时发送带状态的心跳信息,从而实现监控所有微隔离插件在线情况的效果。
进一步的,在长连接的整个通信过程中,所有数据包都是使用不对称加密的,防止窃听。
进一步的,所述微隔离插件使用GO语言实现,适应安装在不同的操作系统中。
进一步的,所述微隔离系统的操作界面为一个SAAS服务,即web界面,从而实现一次部署,多终端机马上可用的效果。
与现有技术相比,本发明的有益效果是:
1、本发明采用安装微隔离插件,控制宿主机防火墙的方式实现微隔离,并通过改进传统软件插件式微隔离,增加定时任务,监控当前宿主机及宿主机内虚拟机的外部IP地址的方式去解决虚拟机IP地址飘移的问题,通过监控网络端口活动,主动识别用户违规、非法操作行为,利用微隔离系统对该违规访问端口行为进行实时隔离阻断,实现对网络内部安全保护,有效避免网络服务中面临的攻击风险扩散,从而达到按威胁区域进行隔离的目的。
2、针对硬件或插件式软件防火墙的固定、不灵活问题,本发明的微隔离系是依据网络端口数据交互的业务逻辑关系,微隔离会控制宿主机防火墙的方式实现,从而将其管辖端口进行控制,只对指定的IP区域进行控制,当遇到风险时,在辐射面分析的基础上,分别对不同威胁层级、不同资产值、不同网络位置的主机下发差异化隔离策略,进行内部访问隔离,有效解决东西向流量安全管理的问题。
附图说明
图1为本发明的微隔离实施流程图;
图2为本发明的系统具体结构示意图;
图3为本发明的实施例的具体示意图一;
图4为本发明的实施例的具体示意图二。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参阅图1-2,本发明提供一种技术方案:一种基于网络端口安全的微隔离系统,包括微隔离系统和微隔离插件,所述微隔离插件安装在宿主机或物理主机上,其具有定时检查任务,由微隔离系统下发指令到安装在宿主机或物理主机上的微隔离插件,微隔离插件通过控制软件防火墙来控制宿主机上的某个端口,只对指定的IP地址开放,监控当前宿主机及宿主机内虚拟机的外部IP地址,进而实现微隔离效果。
实施例:具体微隔离实施流程如下:
S1、通过微隔离系统,下发隔离指令到宿主机的微隔离插件中(如图3所示);
S2、微隔离插件收到指令,执行隔离,并返回结果(如图4所示);具体通过如下步骤实现:
S21、在每台宿主机上安装好微隔离插件,由微隔离系统广播指令到所有微隔离插件;
S22、微隔离插件,对比指令中的服务端IP地址与服务器本机及内部虚拟机的外部IP地址是否一致,从而判断是否应该在本机防火墙执行隔离指令;
S23、确定需要执行后,执行隔离指令;
S24、返回操作结果给微隔离系统,且不管有无执行隔离指令,均返回操作结果给微隔离系统;
S25、微隔离插件定时,检查IP地址变化;
S26、若检查的IP地址有变化则通知微隔离系统;
S27、微隔离系统根据IP变化重新下发隔离指令
S28、微隔离插件执行指令进行隔离;
S29、返回执行结果。
上述流程中S21-S24步骤为原插件隔离流程,S25-S29步骤是为解决虚拟机IP飘移问题而采取的操作流程。
通过增加定时检查任务,检查当前插件宿主机及宿主机内部虚拟机外部IP(调用kubernetes,openstack, vmwar,xen,virtualbox 的API接口),解决微隔离中虚拟机IP飘移问题。
进一步的,当微隔离插件在微隔离系统启动时,通过TCP长连接,登陆注册到微隔离系统,并定时发送带状态的心跳信息,从而实现监控所有微隔离插件在线情况的效果。
进一步的,在长连接的整个通信过程中,所有数据包都是使用不对称加密的,防止窃听。
进一步的,所述微隔离插件使用GO语言实现,适应安装在不同的操作系统中。
进一步的,所述微隔离系统的操作界面为一个SAAS服务,即web界面,从而实现一次部署,多终端机马上可用的效果。
与现有软硬件防火墙隔离技术相比,本发明建设面向业务的策略管理模型,提供一种独特的应用及虚拟机定义方法,并建立一套可见的、可适应的、接近自然语言的策略模型。可以根据网络内部的变化而自动调整安全策略,结合微隔离技术,能够实现自适应的端到端的精细化访问控制。
通过微隔离插件,解决虚拟机IP飘移问题,在不影向业务操作的同时,使得横向攻击受灾面积最小化,并定期检查,服务器IP地址变化,根椐已有的主机服务隔离策略,使当前虚拟机迁移或镜像复制后,受到的影响最小化,解决了服务器对外服务端口管理分散,横向攻击受灾面积过大等问题。
尽管已经示出和描述了本发明的实施例,对于本领域的普通技术人员而言,可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由所附权利要求及其等同物限定。

Claims (6)

1.一种基于网络端口安全的微隔离系统,其特征在于,包括微隔离系统和微隔离插件,所述微隔离插件安装在宿主机或物理主机上,其具有定时检查任务,由微隔离系统下发指令到安装在宿主机或物理主机上的微隔离插件,微隔离插件通过控制软件防火墙来控制宿主机上的某个端口,只对指定的IP地址开放,监控当前宿主机及宿主机内虚拟机的外部IP地址,进而实现微隔离效果;具体微隔离实施流程如下:
S1、通过微隔离系统,下发隔离指令到宿主机的微隔离插件中;
S2、微隔离插件收到指令,执行隔离,并返回结果;具体通过如下步骤实现:
S21、在每台宿主机上安装好微隔离插件,由微隔离系统广播指令到所有微隔离插件;
S22、微隔离插件,对比指令中的服务端IP地址与服务器本机及内部虚拟机的外部IP地址是否一致,从而判断是否应该在本机防火墙执行隔离指令;
S23、确定需要执行后,执行隔离指令;
S24、返回操作结果给微隔离系统;
S25、微隔离插件定时,检查IP地址变化;
S26、若检查的IP地址有变化则通知微隔离系统;
S27、微隔离系统根据IP变化重新下发隔离指令
S28、微隔离插件执行指令进行隔离;
S29、返回执行结果。
2.根据权利要求1所述的一种基于网络端口安全的微隔离系统,其特征在于步骤:S24中,不管有无执行隔离指令,均返回操作结果给微隔离系统。
3.根据权利要求1所述的一种基于网络端口安全的微隔离系统,其特征在于:当微隔离插件在微隔离系统启动时,通过TCP长连接,登陆注册到微隔离系统,并定时发送带状态的心跳信息,从而实现监控所有微隔离插件在线情况的效果。
4.根据权利要求3所述的一种基于网络端口安全的微隔离系统,其特征在于:在长连接的整个通信过程中,所有数据包都是使用不对称加密的,防止窃听。
5.根据权利要求1所述的一种基于网络端口安全的微隔离系统,其特征在于:所述微隔离插件使用GO语言实现,适应安装在不同的操作系统中。
6.根据权利要求1所述的一种基于网络端口安全的微隔离系统,其特征在于:所述微隔离系统的操作界面为一个SAAS服务,即web界面,从而实现一次部署,多终端机马上可用的效果。
CN202111357063.9A 2021-11-16 2021-11-16 一种基于网络端口安全的微隔离系统 Active CN114070622B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111357063.9A CN114070622B (zh) 2021-11-16 2021-11-16 一种基于网络端口安全的微隔离系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111357063.9A CN114070622B (zh) 2021-11-16 2021-11-16 一种基于网络端口安全的微隔离系统

Publications (2)

Publication Number Publication Date
CN114070622A true CN114070622A (zh) 2022-02-18
CN114070622B CN114070622B (zh) 2024-02-09

Family

ID=80273027

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111357063.9A Active CN114070622B (zh) 2021-11-16 2021-11-16 一种基于网络端口安全的微隔离系统

Country Status (1)

Country Link
CN (1) CN114070622B (zh)

Citations (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100281181A1 (en) * 2003-09-26 2010-11-04 Surgient, Inc. Network abstraction and isolation layer for masquerading machine identity of a computer
JP2011199749A (ja) * 2010-03-23 2011-10-06 Nec Corp 検疫ネットワークシステム、検疫管理サーバ、仮想端末へのリモートアクセス中継方法およびそのプログラム
WO2012044277A1 (en) * 2010-09-27 2012-04-05 Lantronix, Inc. Various methods and apparatuses for accessing networked devices without accessible addresses via virtual ip addresses
JP2012222383A (ja) * 2011-04-04 2012-11-12 Nec Corp 検疫ネットワークシステム及び検疫方法
WO2015176445A1 (zh) * 2014-05-21 2015-11-26 成都达信通通讯设备有限公司 移动终端预设联网地址防火墙隔离应用系统
US20160285826A1 (en) * 2015-03-27 2016-09-29 International Business Machines Corporation Creating network isolation between virtual machines
CN109150860A (zh) * 2018-08-02 2019-01-04 郑州云海信息技术有限公司 一种在OpenStack环境下实现网络微隔离的方法与系统
JP2019033475A (ja) * 2017-08-04 2019-02-28 中華電信股▲分▼有限公司 多様なエンドツーエンド隔離をサポートする仮想プライベートネットワークサービス実装システム
US20190121963A1 (en) * 2017-10-23 2019-04-25 L3 Technologies, Inc. Browser application implementing sandbox based internet isolation
CN110086824A (zh) * 2019-05-08 2019-08-02 苏州浪潮智能科技有限公司 一种虚拟机防火墙策略的自适应配置方法、装置及设备
CN110378103A (zh) * 2019-07-22 2019-10-25 电子科技大学 一种基于OpenFlow协议的微隔离防护方法及系统
CN111277593A (zh) * 2020-01-20 2020-06-12 广东金赋科技股份有限公司 一种基于内外网隔离的多线并行监控的方法
CN112637135A (zh) * 2020-12-04 2021-04-09 同盾控股有限公司 基于macvlan的主机网络隔离的方法、装置及系统

Patent Citations (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100281181A1 (en) * 2003-09-26 2010-11-04 Surgient, Inc. Network abstraction and isolation layer for masquerading machine identity of a computer
JP2011199749A (ja) * 2010-03-23 2011-10-06 Nec Corp 検疫ネットワークシステム、検疫管理サーバ、仮想端末へのリモートアクセス中継方法およびそのプログラム
WO2012044277A1 (en) * 2010-09-27 2012-04-05 Lantronix, Inc. Various methods and apparatuses for accessing networked devices without accessible addresses via virtual ip addresses
JP2012222383A (ja) * 2011-04-04 2012-11-12 Nec Corp 検疫ネットワークシステム及び検疫方法
WO2015176445A1 (zh) * 2014-05-21 2015-11-26 成都达信通通讯设备有限公司 移动终端预设联网地址防火墙隔离应用系统
US20160285826A1 (en) * 2015-03-27 2016-09-29 International Business Machines Corporation Creating network isolation between virtual machines
JP2019033475A (ja) * 2017-08-04 2019-02-28 中華電信股▲分▼有限公司 多様なエンドツーエンド隔離をサポートする仮想プライベートネットワークサービス実装システム
US20190121963A1 (en) * 2017-10-23 2019-04-25 L3 Technologies, Inc. Browser application implementing sandbox based internet isolation
CN109150860A (zh) * 2018-08-02 2019-01-04 郑州云海信息技术有限公司 一种在OpenStack环境下实现网络微隔离的方法与系统
CN110086824A (zh) * 2019-05-08 2019-08-02 苏州浪潮智能科技有限公司 一种虚拟机防火墙策略的自适应配置方法、装置及设备
CN110378103A (zh) * 2019-07-22 2019-10-25 电子科技大学 一种基于OpenFlow协议的微隔离防护方法及系统
CN111277593A (zh) * 2020-01-20 2020-06-12 广东金赋科技股份有限公司 一种基于内外网隔离的多线并行监控的方法
CN112637135A (zh) * 2020-12-04 2021-04-09 同盾控股有限公司 基于macvlan的主机网络隔离的方法、装置及系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
张征;: "基于云平台的虚拟机安全隔离和防护", 信息与电脑(理论版), no. 23 *

Also Published As

Publication number Publication date
CN114070622B (zh) 2024-02-09

Similar Documents

Publication Publication Date Title
CN110378103B (zh) 一种基于OpenFlow协议的微隔离防护方法及系统
CN109150831B (zh) 一种内生安全的云任务执行装置及方法
US11265291B2 (en) Malicious packet filtering by a hypervisor
US9503475B2 (en) Self-adaptive and proactive virtual machine images adjustment to environmental security risks in a cloud environment
US9594881B2 (en) System and method for passive threat detection using virtual memory inspection
US20070266433A1 (en) System and Method for Securing Information in a Virtual Computing Environment
US20170005983A1 (en) Computer security architecture and related computing method
US20150304344A1 (en) System and method for controlling virtual network including security function
CN109861972B (zh) 一种工业信息控制一体化平台的安全架构系统
US20140047439A1 (en) System and methods for management virtualization
Wu et al. Automated adaptive intrusion containment in systems of interacting services
US20230071264A1 (en) Security automation system
CN112738125A (zh) 一种网络安全协同防御系统
US11240205B1 (en) Implementing rules in firewalls
EP3662631A1 (en) System, method, and computer program providing security in network function virtualization (nfv) based communication networks and software defined networks (sdns)
CN104660610A (zh) 一种基于云计算环境下的智能安全防护系统及其防护方法
US9088480B2 (en) Techniques for auditing and controlling network services
CN116668381A (zh) 一种虚拟分布式网络接口控制器
CN106685974A (zh) 一种安全防护服务建立、提供方法及装置
US20220159036A1 (en) Malicious packet filtering in a virtualization system
US20240045757A1 (en) Software application development tool for automation of maturity advancement
US11595414B2 (en) Threat mitigation in a virtualized workload environment using segregated shadow workloads
CN111859383B (zh) 软件自动分割方法、系统、存储介质、计算机设备、终端
CN114070622A (zh) 一种基于网络端口安全的微隔离系统
US20230289204A1 (en) Zero Trust Endpoint Device

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant