CN114070622B - 一种基于网络端口安全的微隔离系统 - Google Patents
一种基于网络端口安全的微隔离系统 Download PDFInfo
- Publication number
- CN114070622B CN114070622B CN202111357063.9A CN202111357063A CN114070622B CN 114070622 B CN114070622 B CN 114070622B CN 202111357063 A CN202111357063 A CN 202111357063A CN 114070622 B CN114070622 B CN 114070622B
- Authority
- CN
- China
- Prior art keywords
- micro
- isolation
- plug
- instruction
- isolation system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000002955 isolation Methods 0.000 title claims abstract description 156
- 230000000694 effects Effects 0.000 claims abstract description 12
- 238000012544 monitoring process Methods 0.000 claims abstract description 6
- 230000008859 change Effects 0.000 claims description 8
- 238000000034 method Methods 0.000 claims description 7
- 101001072091 Homo sapiens ProSAAS Proteins 0.000 claims description 3
- 102100036366 ProSAAS Human genes 0.000 claims description 3
- 230000006854 communication Effects 0.000 claims description 3
- 230000006399 behavior Effects 0.000 abstract description 3
- 230000000903 blocking effect Effects 0.000 abstract description 2
- 238000009792 diffusion process Methods 0.000 abstract description 2
- 238000005516 engineering process Methods 0.000 description 5
- 230000008569 process Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 2
- 230000004075 alteration Effects 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000013508 migration Methods 0.000 description 1
- 230000005012 migration Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000005855 radiation Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000005211 surface analysis Methods 0.000 description 1
- 238000012549 training Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明属于网络安全领域,具体公开了一种基于网络端口安全的微隔离系统,包括微隔离系统和微隔离插件,所述微隔离插件安装在宿主机或物理主机上,其具有定时检查任务,由微隔离系统下发指令到安装在宿主机或物理主机上的微隔离插件,微隔离插件通过控制软件防火墙来控制宿主机上的某个端口,只对指定的IP地址开放,监控当前宿主机及宿主机内虚拟机的外部IP地址,进而实现微隔离效果。安装微隔离插件,增加定时任务,监控当前宿主机及宿主机内虚拟机的外部IP地址的方式去解决虚拟机IP地址飘移的问题,利用微隔离系统对该违规访问端口行为进行实时隔离阻断,有效避免网络服务中面临的攻击风险扩散,从而达到按威胁区域进行隔离的目的。
Description
技术领域
本发明涉及网络安全领域,具体为一种基于网络端口安全的微隔离系统。
背景技术
随着云计算、虚拟化技术的快速发展,越来越多企业将数据与业务迁移到横跨物理机、公有云、私有云、混合云等多种数据中心环境,在云环境下网络边界变得模糊,当攻击者有机会拿到内网一个跳板机,结果发现内网网络基本是畅通无阻的,传统防火墙、WAF、IPS等端点安全和网络安全手段在云环境下显得捉襟见肘。
面向网络的微隔离控制,通过对网络内部流量进行全面精细的可视化分析,监控网络端口活动,依据细粒度的安全访问策略,帮助用户快速便捷地实现不同业务环境隔离、不同域间网络隔离以及端到端隔离,解决东西向流量的安全访问及管理问题。现有的微隔离技术主要是分为硬件及软件插件式两种微隔离系统。
传统的采用硬件防火墙的方式进行网络安全隔离,主要存在以下问题:
1、当前网络中品质好的硬件防火墙价格一直比较高,导致采购和维护成本增加。
2、由于网络本身原因,网络节点复杂,针对硬件防火墙的部署也具备较高的难度。
3、由于厂家或型号并不一致,硬件防火墙改变策略时,隔离的逻辑思路(例如:一些是默认隔离,一些是默认开放)及指令和操作方式并不相同。
4、升级困难,如以前是100M网卡现在是10G的网卡,网络设备会不断升级换代,如果使用硬件防火墙,相关设备也需要批量升级,导致网络升级成本大幅上升。
5、历史原因导致硬件防火墙功能不统一。例如,一些防火墙只能做到主机粒度的隔离,一些则可以做到端口粒度的隔离。(微隔离的要求是端口级别的隔离)
6、操作困难,培训成本高,操作人员需要学习,大量不同厂家的专业知识,才能把不同的软硬件防火墙操作起来。
7、虚拟机IP飘移问题,由于把虚所机从A宿主机上,迁移到B宿主机上,而A,B宿主机并不在同一防火墙硬件中,从而导致防火墙隔离失效。
后期进一步发展了插件式软件防火墙隔离,虽然插件式软件防火墙改进了硬件防火墙不灵活的部题,但上述问题仍然存在。
发明内容
本发明的目的在于提供一种基于网络端口安全的微隔离系统,以解决上述背景技术中提出的问题。
为实现上述目的,本发明提供如下技术方案:一种基于网络端口安全的微隔离系统,包括微隔离系统和微隔离插件,所述微隔离插件安装在宿主机或物理主机上,其具有定时检查任务,由微隔离系统下发指令到安装在宿主机或物理主机上的微隔离插件,微隔离插件通过控制软件防火墙来控制宿主机上的某个端口,只对指定的IP地址开放,监控当前宿主机及宿主机内虚拟机的外部IP地址,进而实现微隔离效果;具体微隔离实施流程如下:
S1、通过微隔离系统,下发隔离指令到宿主机的微隔离插件中;
S2、微隔离插件收到指令,执行隔离,并返回结果;具体通过如下步骤实现:
S21、在每台宿主机上安装好微隔离插件,由微隔离系统广播指令到所有微隔离插件;
S22、微隔离插件,对比指令中的服务端IP地址与服务器本机及内部虚拟机的外部IP地址是否一致,从而判断是否应该在本机防火墙执行隔离指令;
S23、确定需要执行后,执行隔离指令;
S24、返回操作结果给微隔离系统;
S25、微隔离插件定时,检查IP地址变化;
S26、若检查的IP地址有变化则通知微隔离系统;
S27、微隔离系统根据IP变化重新下发隔离指令
S28、微隔离插件执行指令进行隔离;
S29、返回执行结果。
进一步的,S24中,不管有无执行隔离指令,均返回操作结果给微隔离系统。
进一步的,当微隔离插件在微隔离系统启动时,通过TCP长连接,登陆注册到微隔离系统,并定时发送带状态的心跳信息,从而实现监控所有微隔离插件在线情况的效果。
进一步的,在长连接的整个通信过程中,所有数据包都是使用不对称加密的,防止窃听。
进一步的,所述微隔离插件使用GO语言实现,适应安装在不同的操作系统中。
进一步的,所述微隔离系统的操作界面为一个SAAS服务,即web界面,从而实现一次部署,多终端机马上可用的效果。
与现有技术相比,本发明的有益效果是:
1、本发明采用安装微隔离插件,控制宿主机防火墙的方式实现微隔离,并通过改进传统软件插件式微隔离,增加定时任务,监控当前宿主机及宿主机内虚拟机的外部IP地址的方式去解决虚拟机IP地址飘移的问题,通过监控网络端口活动,主动识别用户违规、非法操作行为,利用微隔离系统对该违规访问端口行为进行实时隔离阻断,实现对网络内部安全保护,有效避免网络服务中面临的攻击风险扩散,从而达到按威胁区域进行隔离的目的。
2、针对硬件或插件式软件防火墙的固定、不灵活问题,本发明的微隔离系是依据网络端口数据交互的业务逻辑关系,微隔离会控制宿主机防火墙的方式实现,从而将其管辖端口进行控制,只对指定的IP区域进行控制,当遇到风险时,在辐射面分析的基础上,分别对不同威胁层级、不同资产值、不同网络位置的主机下发差异化隔离策略,进行内部访问隔离,有效解决东西向流量安全管理的问题。
附图说明
图1为本发明的微隔离实施流程图;
图2为本发明的系统具体结构示意图;
图3为本发明的实施例的具体示意图一;
图4为本发明的实施例的具体示意图二。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参阅图1-2,本发明提供一种技术方案:一种基于网络端口安全的微隔离系统,包括微隔离系统和微隔离插件,所述微隔离插件安装在宿主机或物理主机上,其具有定时检查任务,由微隔离系统下发指令到安装在宿主机或物理主机上的微隔离插件,微隔离插件通过控制软件防火墙来控制宿主机上的某个端口,只对指定的IP地址开放,监控当前宿主机及宿主机内虚拟机的外部IP地址,进而实现微隔离效果。
实施例:具体微隔离实施流程如下:
S1、通过微隔离系统,下发隔离指令到宿主机的微隔离插件中(如图3所示);
S2、微隔离插件收到指令,执行隔离,并返回结果(如图4所示);具体通过如下步骤实现:
S21、在每台宿主机上安装好微隔离插件,由微隔离系统广播指令到所有微隔离插件;
S22、微隔离插件,对比指令中的服务端IP地址与服务器本机及内部虚拟机的外部IP地址是否一致,从而判断是否应该在本机防火墙执行隔离指令;
S23、确定需要执行后,执行隔离指令;
S24、返回操作结果给微隔离系统,且不管有无执行隔离指令,均返回操作结果给微隔离系统;
S25、微隔离插件定时,检查IP地址变化;
S26、若检查的IP地址有变化则通知微隔离系统;
S27、微隔离系统根据IP变化重新下发隔离指令
S28、微隔离插件执行指令进行隔离;
S29、返回执行结果。
上述流程中S21-S24步骤为原插件隔离流程,S25-S29步骤是为解决虚拟机IP飘移问题而采取的操作流程。
通过增加定时检查任务,检查当前插件宿主机及宿主机内部虚拟机外部IP(调用kubernetes,openstack, vmwar,xen,virtualbox 的API接口),解决微隔离中虚拟机IP飘移问题。
进一步的,当微隔离插件在微隔离系统启动时,通过TCP长连接,登陆注册到微隔离系统,并定时发送带状态的心跳信息,从而实现监控所有微隔离插件在线情况的效果。
进一步的,在长连接的整个通信过程中,所有数据包都是使用不对称加密的,防止窃听。
进一步的,所述微隔离插件使用GO语言实现,适应安装在不同的操作系统中。
进一步的,所述微隔离系统的操作界面为一个SAAS服务,即web界面,从而实现一次部署,多终端机马上可用的效果。
与现有软硬件防火墙隔离技术相比,本发明建设面向业务的策略管理模型,提供一种独特的应用及虚拟机定义方法,并建立一套可见的、可适应的、接近自然语言的策略模型。可以根据网络内部的变化而自动调整安全策略,结合微隔离技术,能够实现自适应的端到端的精细化访问控制。
通过微隔离插件,解决虚拟机IP飘移问题,在不影向业务操作的同时,使得横向攻击受灾面积最小化,并定期检查,服务器IP地址变化,根椐已有的主机服务隔离策略,使当前虚拟机迁移或镜像复制后,受到的影响最小化,解决了服务器对外服务端口管理分散,横向攻击受灾面积过大等问题。
尽管已经示出和描述了本发明的实施例,对于本领域的普通技术人员而言,可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由所附权利要求及其等同物限定。
Claims (6)
1.一种基于网络端口安全的微隔离系统,其特征在于,包括微隔离系统和微隔离插件,所述微隔离插件安装在宿主机或物理主机上,其具有定时检查任务,由微隔离系统下发指令到安装在宿主机或物理主机上的微隔离插件,微隔离插件通过控制软件防火墙来控制宿主机上的某个端口,只对指定的IP地址开放,监控当前宿主机及宿主机内虚拟机的外部IP地址,进而实现微隔离效果;具体微隔离实施流程如下:
S1、通过微隔离系统,下发隔离指令到宿主机的微隔离插件中;
S2、微隔离插件收到指令,执行隔离,并返回结果;具体通过如下步骤实现:
S21、在每台宿主机上安装好微隔离插件,由微隔离系统广播指令到所有微隔离插件;
S22、微隔离插件,对比指令中的服务端IP地址与服务器本机及内部虚拟机的外部IP地址是否一致,从而判断是否应该在本机防火墙执行隔离指令;
S23、确定需要执行后,执行隔离指令;
S24、返回操作结果给微隔离系统;
S25、微隔离插件定时,检查IP地址变化;
S26、若检查的IP地址有变化则通知微隔离系统;
S27、微隔离系统根据IP变化重新下发隔离指令;
S28、微隔离插件执行指令进行隔离;
S29、返回执行结果。
2.根据权利要求1所述的一种基于网络端口安全的微隔离系统,其特征在于步骤:S24中,不管有无执行隔离指令,均返回操作结果给微隔离系统。
3.根据权利要求1所述的一种基于网络端口安全的微隔离系统,其特征在于:当微隔离插件在微隔离系统启动时,通过TCP长连接,登陆注册到微隔离系统,并定时发送带状态的心跳信息,从而实现监控所有微隔离插件在线情况的效果。
4.根据权利要求3所述的一种基于网络端口安全的微隔离系统,其特征在于:在长连接的整个通信过程中,所有数据包都是使用不对称加密的,防止窃听。
5.根据权利要求1所述的一种基于网络端口安全的微隔离系统,其特征在于:所述微隔离插件使用GO语言实现,适应安装在不同的操作系统中。
6.根据权利要求1所述的一种基于网络端口安全的微隔离系统,其特征在于:所述微隔离系统的操作界面为一个SAAS服务,即web界面,从而实现一次部署,多终端机马上可用的效果。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111357063.9A CN114070622B (zh) | 2021-11-16 | 2021-11-16 | 一种基于网络端口安全的微隔离系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111357063.9A CN114070622B (zh) | 2021-11-16 | 2021-11-16 | 一种基于网络端口安全的微隔离系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114070622A CN114070622A (zh) | 2022-02-18 |
| CN114070622B true CN114070622B (zh) | 2024-02-09 |
Family
ID=80273027
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111357063.9A Active CN114070622B (zh) | 2021-11-16 | 2021-11-16 | 一种基于网络端口安全的微隔离系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114070622B (zh) |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2011199749A (ja) * | 2010-03-23 | 2011-10-06 | Nec Corp | 検疫ネットワークシステム、検疫管理サーバ、仮想端末へのリモートアクセス中継方法およびそのプログラム |
| WO2012044277A1 (en) * | 2010-09-27 | 2012-04-05 | Lantronix, Inc. | Various methods and apparatuses for accessing networked devices without accessible addresses via virtual ip addresses |
| JP2012222383A (ja) * | 2011-04-04 | 2012-11-12 | Nec Corp | 検疫ネットワークシステム及び検疫方法 |
| WO2015176445A1 (zh) * | 2014-05-21 | 2015-11-26 | 成都达信通通讯设备有限公司 | 移动终端预设联网地址防火墙隔离应用系统 |
| CN109150860A (zh) * | 2018-08-02 | 2019-01-04 | 郑州云海信息技术有限公司 | 一种在OpenStack环境下实现网络微隔离的方法与系统 |
| JP2019033475A (ja) * | 2017-08-04 | 2019-02-28 | 中華電信股▲分▼有限公司 | 多様なエンドツーエンド隔離をサポートする仮想プライベートネットワークサービス実装システム |
| CN110086824A (zh) * | 2019-05-08 | 2019-08-02 | 苏州浪潮智能科技有限公司 | 一种虚拟机防火墙策略的自适应配置方法、装置及设备 |
| CN110378103A (zh) * | 2019-07-22 | 2019-10-25 | 电子科技大学 | 一种基于OpenFlow协议的微隔离防护方法及系统 |
| CN111277593A (zh) * | 2020-01-20 | 2020-06-12 | 广东金赋科技股份有限公司 | 一种基于内外网隔离的多线并行监控的方法 |
| CN112637135A (zh) * | 2020-12-04 | 2021-04-09 | 同盾控股有限公司 | 基于macvlan的主机网络隔离的方法、装置及系统 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7769004B2 (en) * | 2003-09-26 | 2010-08-03 | Surgient, Inc. | Network abstraction and isolation layer for masquerading machine identity of a computer |
| US9756015B2 (en) * | 2015-03-27 | 2017-09-05 | International Business Machines Corporation | Creating network isolation between virtual machines |
| US11550898B2 (en) * | 2017-10-23 | 2023-01-10 | L3 Technologies, Inc. | Browser application implementing sandbox based internet isolation |
-
2021
- 2021-11-16 CN CN202111357063.9A patent/CN114070622B/zh active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2011199749A (ja) * | 2010-03-23 | 2011-10-06 | Nec Corp | 検疫ネットワークシステム、検疫管理サーバ、仮想端末へのリモートアクセス中継方法およびそのプログラム |
| WO2012044277A1 (en) * | 2010-09-27 | 2012-04-05 | Lantronix, Inc. | Various methods and apparatuses for accessing networked devices without accessible addresses via virtual ip addresses |
| JP2012222383A (ja) * | 2011-04-04 | 2012-11-12 | Nec Corp | 検疫ネットワークシステム及び検疫方法 |
| WO2015176445A1 (zh) * | 2014-05-21 | 2015-11-26 | 成都达信通通讯设备有限公司 | 移动终端预设联网地址防火墙隔离应用系统 |
| JP2019033475A (ja) * | 2017-08-04 | 2019-02-28 | 中華電信股▲分▼有限公司 | 多様なエンドツーエンド隔離をサポートする仮想プライベートネットワークサービス実装システム |
| CN109150860A (zh) * | 2018-08-02 | 2019-01-04 | 郑州云海信息技术有限公司 | 一种在OpenStack环境下实现网络微隔离的方法与系统 |
| CN110086824A (zh) * | 2019-05-08 | 2019-08-02 | 苏州浪潮智能科技有限公司 | 一种虚拟机防火墙策略的自适应配置方法、装置及设备 |
| CN110378103A (zh) * | 2019-07-22 | 2019-10-25 | 电子科技大学 | 一种基于OpenFlow协议的微隔离防护方法及系统 |
| CN111277593A (zh) * | 2020-01-20 | 2020-06-12 | 广东金赋科技股份有限公司 | 一种基于内外网隔离的多线并行监控的方法 |
| CN112637135A (zh) * | 2020-12-04 | 2021-04-09 | 同盾控股有限公司 | 基于macvlan的主机网络隔离的方法、装置及系统 |
Non-Patent Citations (1)
| Title |
|---|
| 基于云平台的虚拟机安全隔离和防护;张征;;信息与电脑(理论版)(23);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114070622A (zh) | 2022-02-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20190132345A1 (en) | Apparatus for network function virtualization using software defined networking and operation method thereof | |
| US20070266433A1 (en) | System and Method for Securing Information in a Virtual Computing Environment | |
| WO2012172509A2 (en) | Systems and methods that perform application request throttling in a distributed computing environment | |
| CN113783871B (zh) | 一种采用零信任架构的微隔离防护系统及其防护方法 | |
| CN113890767B (zh) | 网络接入方法、装置、设备及存储介质 | |
| CN114374526B (zh) | 一种面向云主机全流量网络访问防护的方法及装置 | |
| CN112738125A (zh) | 一种网络安全协同防御系统 | |
| EP3035636B1 (en) | Computer defenses and counterattacks | |
| CN113114632A (zh) | 一种可插配式智能财务审核平台 | |
| US9088480B2 (en) | Techniques for auditing and controlling network services | |
| CN114070622B (zh) | 一种基于网络端口安全的微隔离系统 | |
| CN113206761B (zh) | 一种应用连接检测方法、装置、电子设备及存储介质 | |
| JP5307238B2 (ja) | 通信ネットワークのための侵入防止方法およびシステム | |
| CN113141356A (zh) | 云计算平台下微隔离装置及方法 | |
| Killer et al. | Threat management dashboard for a blockchain collaborative defense | |
| CN116319341A (zh) | 一种云化共享工控网络安全靶场系统 | |
| KR20220070875A (ko) | Sdn/nfv 기반의 스마트홈 네트워크 시스템 | |
| KR20160115132A (ko) | 클라우드 시스템의 보안 서비스 제공방법 및 그 클라우드 시스템 | |
| CN111131173B (zh) | 一种内网主动提供服务的方法 | |
| Kiuchi et al. | Security technologies, usage and guidelines in SCADA system networks | |
| CN115622808B (zh) | 安全隔离的方法、电子设备、计算机可读介质 | |
| US10742480B2 (en) | Network management as a service (MaaS) using reverse session-origination (RSO) tunnel | |
| Udayakumar | Design Essentials of AVS | |
| Coughlin et al. | EDSGuard: Enforcing network security requirements for energy delivery systems | |
| US11743142B1 (en) | Segmentation using infrastructure policy feedback |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |