CN114422196B - 一种网络靶场安全管控系统和方法 - Google Patents
一种网络靶场安全管控系统和方法 Download PDFInfo
- Publication number
- CN114422196B CN114422196B CN202111603182.8A CN202111603182A CN114422196B CN 114422196 B CN114422196 B CN 114422196B CN 202111603182 A CN202111603182 A CN 202111603182A CN 114422196 B CN114422196 B CN 114422196B
- Authority
- CN
- China
- Prior art keywords
- virtual
- physical node
- node device
- network
- bridge
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4604—LAN interconnection over a backbone network, e.g. Internet, Frame Relay
- H04L12/462—LAN interconnection over a bridge based backbone
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/10—Packet switching elements characterised by the switching fabric construction
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Abstract
本申请提供了一种网络靶场安全管控系统,该系统包括多个物理节点设备,物理节点设备上搭建的虚拟网桥,用于在同一安全域内进行访问控制;物理节点设备上搭建的虚拟防火墙,用于在不同安全域内进行访问控制;物理节点设备上搭建的虚拟交换机,用于在该物理节点设备与其它物理节点设备之间进行通信服务。本申请通过搭建的虚拟网桥、虚拟交换机、虚拟防火墙,构建了具有网络接入层、汇聚层、核心层的安全管控机制,实现了对网络靶场的多维度的纵深管控,为大规模资源和复杂网络接入提供了便利。本申请还提供了一种网络靶场安全管控方法。
Description
技术领域
本申请涉及网络安全技术领域,特别涉及一种网络靶场安全管控系统和方法。
背景技术
网络靶场是一种基于虚拟化技术,对真实网络空间中的网络架构、系统设备、业务流程的运行状态及运行环境进行模拟和复现的技术或产品。网络靶场已经成为各国进行网络空间安全研究、学习、测试、验证、演练等必不可少的网络空间安全核心基础设施。世界各国均高度重视网络靶场建设,将其作为安全能力建设支撑的重要手段。
网络安全是网络靶场平台的基本能力。靶场中的业务场景、基本应用、用户行为、数据采集和分析、辅助工具等诸多内容等均需要通过虚拟化网络来实现连接,而如何保障网络靶场各组成部门高效、有序、安全的连接,是当前的一个技术难点。
在现有的一种网络靶场的网络隔离方案中,通过对监听到的地址解析协议(Address Resolution Protocol,简称ARP)包、组播或广播包进行处理实现网络的隔离和管控,但是,由于ARP包在TCP/IP协议中的第二层,只能作为网络安全准入的原始办法,具有明显的缺陷,无法适用于上千台/上万台虚拟机环境,不具备良好的扩展性,也无法实现深层的应用。
可见,现有技术方案无法满足多资源接入情况下的灵活管控、无法实现多层次的网络安全接入管控、更无法实现高层次的网络安全措施接入管控,即,无法保证大规模资源和复杂网络的接入。
发明内容
本申请提供了一种网络靶场安全管控系统和方法,能够保证大规模资源和复杂网络的接入。
第一方面,本申请提供了一种网络靶场安全管控系统,所述系统包括网络靶场中的至少一个物理节点设备;所述至少一个物理节点设备中包括第一物理节点设备;所述第一物理节点设备上搭建了属于同一安全域或不同安全域的虚拟机;所述第一物理节点设备上的属于同一安全域内的各个虚拟机、与所述第一物理节点设备上针对该安全域搭建的虚拟网桥进行连接;所述第一物理节点设备上搭建的虚拟交换机,与所述第一物理节点设备上搭建的虚拟网桥和虚拟防火墙进行连接;其中,
所述第一物理节点设备上搭建的虚拟网桥,用于在同一安全域内进行访问控制;所述第一物理节点设备上搭建的虚拟防火墙,用于在不同安全域内进行访问控制;所述第一物理节点设备上搭建的虚拟交换机,用于在所述第一物理节点设备与其它物理节点设备之间进行通信服务。
可选的,所述第一物理节点设备上搭建的虚拟网桥,具体用于实现同一安全域内的各个虚拟机之间的内部通讯,以及,实现基于同一安全域内的各个虚拟机IP地址的访问控制。
可选的,所述至少一个物理节点设备中包括第二物理节点设备;
所述第二物理节点设备上的虚拟机,用于通过获取所述第一物理节点设备上搭建的虚拟网桥的网桥编码,加入所述第一物理节点设备上的该虚拟网桥对应的安全域。
可选的,所述系统还包括控制管理节点设备;所述控制管理节点设备,通过物理交换机与物理节点设备进行连接;
所述控制管理节点设备,用于对物理节点设备上搭建的虚拟交换机、虚拟网桥、以及虚拟防火墙进行信息管理。
可选的,所述第一物理节点设备上搭建的虚拟交换机,具体用于基于所述控制管理节点设备预先收集的流表内容,实现网络流量转发控制,其中,所述流表内容包括所述网络靶场中的虚拟机和虚拟防火墙各自对应的IP地址、MAC地址和VLAN编码。
第二方面,本申请提供了一种网络靶场安全管控方法,所述方法应用于一种网络靶场安全管控系统,所述系统包括网络靶场中的至少一个物理节点设备;所述至少一个物理节点设备中包括第一物理节点设备;所述第一物理节点设备上搭建了属于同一安全域或不同安全域的虚拟机;所述第一物理节点设备上的属于同一安全域内的各个虚拟机、与所述第一物理节点设备上针对该安全域搭建的虚拟网桥进行连接;所述第一物理节点设备上搭建的虚拟交换机,与所述第一物理节点设备上搭建的虚拟网桥和虚拟防火墙进行连接;所述方法包括:
利用所述第一物理节点设备上搭建的虚拟网桥,在同一安全域内进行访问控制;
利用所述第一物理节点设备上搭建的虚拟防火墙,在不同安全域内进行访问控制;
利用所述第一物理节点设备上搭建的虚拟交换机,在所述第一物理节点设备与其它物理节点设备之间进行通信服务。
可选的,所述利用所述第一物理节点设备上搭建的虚拟网桥,在同一安全域内进行访问控制,包括:
利用所述第一物理节点设备上搭建的虚拟网桥,实现同一安全域内的各个虚拟机之间的内部通讯,以及,实现基于同一安全域内的各个虚拟机IP地址的访问控制。
可选的,所述至少一个物理节点设备中包括第二物理节点设备;所述方法还包括:
利用所述第二物理节点设备上的虚拟机,通过获取所述第一物理节点设备上搭建的虚拟网桥的网桥编码,加入所述第一物理节点设备上的该虚拟网桥对应的安全域。
可选的,所述系统还包括控制管理节点设备;所述控制管理节点设备,通过物理交换机与物理节点设备进行连接;所述方法还包括:
利用所述控制管理节点设备,对物理节点设备上搭建的虚拟交换机、虚拟网桥、以及虚拟防火墙进行信息管理。
可选的,所述利用所述第一物理节点设备上搭建的虚拟交换机,在所述第一物理节点设备与其它物理节点设备之间进行通信服务,包括:
利用所述第一物理节点设备上搭建的虚拟交换机,基于所述控制管理节点设备预先收集的流表内容,实现网络流量转发控制,其中,所述流表内容包括所述网络靶场中的虚拟机和虚拟防火墙各自对应的IP地址、MAC地址和VLAN编码。
在以上本申请提供的技术方案中,网络安全管控系统可以包括多个物理节点设备,其中,物理节点设备上搭建的虚拟网桥,用于在同一安全域内进行访问控制,对安全域的内部访问进行管理;物理节点设备上搭建的虚拟防火墙,用于在不同安全域内进行访问控制,对安全域的外部访问进行管理;物理节点设备上搭建的虚拟交换机,用于在该物理节点设备与其它物理节点设备之间进行通信服务,可实现大规模的网络连接、跨设备上的各种资源的无缝接入等。可见,本申请通过搭建的虚拟网桥、虚拟交换机、虚拟防火墙,构建了具有网络接入层、汇聚层、核心层的安全管控机制,可满足多资源接入情况下的灵活管控、可实现多层次的网络安全接入管控、更可实现高层次的网络安全措施接入管控,从而实现了对网络靶场的多维度的纵深管控,为大规模资源和复杂网络接入提供了便利。
附图说明
图1为本申请示出的一种网络靶场安全管控系统的组成示意图;
图2为本申请示出的网络安全管控系统的示例性示意图;
图3为本申请示出的一种电子设备的结构示意图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
本申请实施例提供了一种网络靶场安全管控系统,在该系统中,通过搭建虚拟网桥、虚拟交换机、虚拟防火墙为核心,构建具有网络接入层、汇聚层、核心层的安全管控机制,实现网络准入控制、安全域管理、边界管控,以及,实现分层次的安全管控,解决了网络靶场中的网络安全管控问题。
其中,关于本申请实施例中的虚拟网桥,其可以是Linux虚拟网桥,可用于同一安全域的接入管理,比如靶场的办公区域或业务区域等,从而实现不同业务域的天然隔离;关于本申请实施例中的虚拟交换机,其可以是采用软件定义网络(Software DefinedNetwork,简称SDN)技术的open vswitch虚拟交换机,通过虚拟交换机实现大规模的网络连接,以及跨宿主机上的各种资源的无缝接入,同时可实现基于Linux虚拟网桥的流量策略等;关于本申请实施例中的虚拟防火墙,可实现路由控制和访问控制,加载高阶下一代防火墙的攻击防御和审计策略等。
下面将对本申请实施例提供的网络靶场安全管控系统进行具体介绍。
参见图1,为本申请实施例提供的一种网络靶场安全管控系统的组成示意图,该系统包括网络靶场中的至少一个物理节点设备;该至少一个物理节点设备中包括第一物理节点设备;第一物理节点设备上搭建了属于同一安全域或不同安全域的虚拟机;第一物理节点设备上的属于同一安全域内的各个虚拟机、与第一物理节点设备上针对该安全域搭建的虚拟网桥进行连接;第一物理节点设备上搭建的虚拟交换机,与第一物理节点设备上搭建的虚拟网桥和虚拟防火墙进行连接。
具体来讲,在本申请实施例提供的网络安全管控系统中,该系统可以包括一个或多个物理节点设备,这里的每一物理节点设备均可以作为第一物理节点设备,下面将结合图2所示的网络安全管控系统的示例性示意图,对第一物理节点设备进行介绍。
可以在第一物理节点设备上搭建属于同一安全域或不同安全域的虚拟机。例如,假设图2所示的物理计算节点A为第一物理节点设备,且该物理计算节点A上搭建了虚拟机A1-1和虚拟机A1-2,这两个虚拟机属于同一安全域A。该物理计算节点A上可以仅有一个安全域,比如安全域A;当然,该物理计算节点A上也可以有两个或两个以上的不同安全域,比如安全域A和安全域B。
需要使第一物理节点设备上的属于同一安全域内的各个虚拟机、与第一物理节点设备上针对该安全域搭建的虚拟网桥进行连接。例如,假设图2所示的物理计算节点A为第一物理节点设备,则可以使虚拟机A1-1的虚拟网卡直接连接到Linux虚拟网桥A3-1上,Linux虚拟网桥A3-1由物理计算节点A直接分配,并为其设置网桥编码ID号,同网络区域的虚拟机A1-2可直接接入该Linux虚拟网桥,默认情况下,虚拟机A1-1和虚拟机A1-2同属一个网络安全域,可直接互相通讯。
需要使第一物理节点设备上搭建的虚拟交换机,与第一物理节点设备上搭建的虚拟网桥和虚拟防火墙进行连接。例如,假设图2所示的物理计算节点A为第一物理节点设备,则Linux虚拟网桥A3-1与虚拟交换机A4连接,虚拟防火墙A2通过虚拟网卡与虚拟交换机A4连接,其中,虚拟防火墙A2是基于软件的防火墙,类似于虚拟机A1-1等是基于软件的虚拟机,虚拟防火墙A2的多张网卡直接连接到虚拟交换机A4上,并可配属于不同的VLAN编号,功能实现雷同硬件防火墙。
在本申请实施例中,第一物理节点设备上搭建的虚拟网桥,用于在同一安全域内进行访问控制。即,通过虚拟网桥,实现同一安全区域内的访问控制,也就是东西向的访问控制和隔离;对内部访问进行管理。例如,在图2中,物理计算节点A上的Linux虚拟网桥A3-1、以及物理计算节点B上的Linux虚拟网桥A3-1,可以用于实现对安全域A内各个虚拟机的访问控制。
在本申请实施例的一种实现方式中,第一物理节点设备上搭建的虚拟网桥,具体用于实现同一安全域内的各个虚拟机之间的内部通讯,以及,实现基于同一安全域内的各个虚拟机IP地址的访问控制。
在本实现方式中,如图2所示,Linux虚拟网桥A3-1可以实现同安全域A的各个虚拟机的内部通讯,也可通过iptables规则库,实现基于虚拟机IP地址的访问控制,比如,实现虚拟机A1-2可以访问虚拟机A1-1的某个服务,而虚拟机A1-1无法访问虚拟机A1-2。
在本申请实施例的一种实现方式中,网络安全管控系统中的至少一个物理节点设备中还包括第二物理节点设备;第二物理节点设备上的虚拟机,用于通过获取第一物理节点设备上搭建的虚拟网桥的网桥编码,加入第一物理节点设备上的该虚拟网桥对应的安全域。
在本实现方式中,假设第一物理节点设备是图2所示的物理计算节点A、第二物理节点设备是图2所示的物理计算节点B,由于虚拟网桥编码ID可通过与该虚拟网桥连接的虚拟交换机进行识别和管理,因此,物理计算节点B上的虚拟机B1-1,可通过获取虚拟交换机A4管理的虚拟网桥编码ID号(即Linux虚拟网桥A3-1的编码ID号),加入安全域A。基于此,物理计算节点B的linux虚拟网桥A3-1同样可以继承iptables规则库,整体上实现安全域A内的访问控制。
在本申请实施例中,第一物理节点设备上搭建的虚拟防火墙,用于在不同安全域内进行访问控制。即,通过虚拟防火墙,实现不同安全区域内的访问控制,也就是南北向的访问控制和隔离;对外部访问进行管理。
如图2所示,虚拟防火墙A2可实现TCP/IP协议三层的路由转发控制到七层应用层的状态包过滤监测控制,其和虚拟机交换A4进行对接。而且,安全域A和安全域B之间的访问控制,需要经过虚拟交换机A4和虚拟交换机B4,最终通过虚拟防火墙A2实现跨网络的互联,虚拟防火墙A2可实现数据包过滤、网络地址转换、协议状态检查以及虚拟专用网络(Virtual Private Network,简称VPN)等功能,并可提供入侵防御、业务识别、用户身份鉴别等高阶功能。
另外,虚拟防火墙还可以支持基于应用程序接口(Application ProgrammingInterface,简称API)的网络安全策略配置。
在本申请实施例中,第一物理节点设备上搭建的虚拟交换机,用于在第一物理节点设备与其它物理节点设备之间进行通信服务,比如,实现图2中物理计算节点A与物理计算节点B之间的通信服务,保证同一安全域内与不同安全域之间的通讯以及通讯控制服务。也就是说,通过虚拟交换机,实现虚拟化网络的构建以及互联,为安全访问控制做好铺垫。
进一步地,本申请实施例提供的网络安全管控系统还可以包括控制管理节点设备。该控制管理节点设备,通过物理交换机与物理节点设备进行连接;该控制管理节点设备,用于对物理节点设备上搭建的虚拟交换机、虚拟网桥、以及虚拟防火墙进行信息管理。
具体来讲,例如图2所示,虚拟交换机A4和虚拟交换机B4通过物理网卡与物理交换机进行连接,物理交换机通过物理网卡与控制管理节点设备进行连接。这样,控制管理节点设备便可以获取到虚拟机A1-1、虚拟机A1-2、虚拟机B1-1、虚拟机B1-2以及虚拟防火墙A2等虚拟设备各自对应的MAC地址和IP地址,从而可以将这些信息记录到虚拟交换机的流表中,同时获取Linux虚拟网桥A3-1、Linux虚拟网桥B3-2的网桥编码ID,并相应配置VLAN编码,形成整个网络所有设备资源的MAC、IP、VLAN编码对应表(即各个虚拟机以及虚拟防火墙各自对应的MAC、IP、VLAN编码),用于实现网络互联。
基于此,在本申请实施例的一种实现方式中,第一物理节点设备上搭建的虚拟交换机,具体用于基于控制管理节点设备预先收集的流表内容,实现网络流量转发控制,其中,该流表内容包括网络靶场中的虚拟机和虚拟防火墙各自对应的IP地址、MAC地址和VLAN编码。
在本实现方式中,例如图2所示,虚拟交换机A4可以通过流表,实现网络互联范围内的匹配字段过滤和控制,比如基于IP地址、MAC地址、VLAN编号等,实现网络二层/三层的流量转发控制;类似地,虚拟交换机B4也可以实现该功能。另外,虚拟交换机支持openflow协议,可集中式管理和流表统一化。
在以上本申请实施例提供的网络靶场安全管控系统中,该系统可以包括多个物理节点设备,其中,物理节点设备上搭建的虚拟网桥,用于在同一安全域内进行访问控制,对安全域的内部访问进行管理;物理节点设备上搭建的虚拟防火墙,用于在不同安全域内进行访问控制,对安全域的外部访问进行管理;物理节点设备上搭建的虚拟交换机,用于在该物理节点设备与其它物理节点设备之间进行通信服务,可实现大规模的网络连接、跨设备上的各种资源的无缝接入等。可见,本申请实施例通过搭建的虚拟网桥、虚拟交换机、虚拟防火墙,构建了具有网络接入层、汇聚层、核心层的安全管控机制,可满足多资源接入情况下的灵活管控、可实现多层次的网络安全接入管控、更可实现高层次的网络安全措施接入管控,从而实现了对网络靶场的多维度的纵深管控,为大规模资源和复杂网络接入提供了便利。
另外,本申请实施例还提供的一种网络靶场安全管控方法,所述方法应用于一种网络靶场安全管控系统,所述系统包括网络靶场中的至少一个物理节点设备;所述至少一个物理节点设备中包括第一物理节点设备;所述第一物理节点设备上搭建了属于同一安全域或不同安全域的虚拟机;所述第一物理节点设备上的属于同一安全域内的各个虚拟机、与所述第一物理节点设备上针对该安全域搭建的虚拟网桥进行连接;所述第一物理节点设备上搭建的虚拟交换机,与所述第一物理节点设备上搭建的虚拟网桥和虚拟防火墙进行连接;所述方法包括:
利用所述第一物理节点设备上搭建的虚拟网桥,在同一安全域内进行访问控制;
利用所述第一物理节点设备上搭建的虚拟防火墙,在不同安全域内进行访问控制;
利用所述第一物理节点设备上搭建的虚拟交换机,在所述第一物理节点设备与其它物理节点设备之间进行通信服务。
在本申请实施例的一种实现方式中,所述利用所述第一物理节点设备上搭建的虚拟网桥,在同一安全域内进行访问控制,包括:
利用所述第一物理节点设备上搭建的虚拟网桥,实现同一安全域内的各个虚拟机之间的内部通讯,以及,实现基于同一安全域内的各个虚拟机IP地址的访问控制。
在本申请实施例的一种实现方式中,所述至少一个物理节点设备中包括第二物理节点设备;所述方法还包括:
利用所述第二物理节点设备上的虚拟机,通过获取所述第一物理节点设备上搭建的虚拟网桥的网桥编码,加入所述第一物理节点设备上的该虚拟网桥对应的安全域。
在本申请实施例的一种实现方式中,所述系统还包括控制管理节点设备;所述控制管理节点设备,通过物理交换机与物理节点设备进行连接;所述方法还包括:
利用所述控制管理节点设备,对物理节点设备上搭建的虚拟交换机、虚拟网桥、以及虚拟防火墙进行信息管理。
在本申请实施例的一种实现方式中,所述利用所述第一物理节点设备上搭建的虚拟交换机,在所述第一物理节点设备与其它物理节点设备之间进行通信服务,包括:
利用所述第一物理节点设备上搭建的虚拟交换机,基于所述控制管理节点设备预先收集的流表内容,实现网络流量转发控制,其中,所述流表内容包括所述网络靶场中的虚拟机和虚拟防火墙各自对应的IP地址、MAC地址和VLAN编码。
需要说明的是,上述方法中各个设备的实现功能与作用,与上述系统中各个设备的实现功能与作用相同,在此不再赘述。
本申请实施例还提供了一种电子设备,该电子设备的结构示意图如图3所示,该电子设备3000包括至少一个处理器3001、存储器3002和总线3003,至少一个处理器3001均与存储器3002电连接;存储器3002被配置用于存储有至少一个计算机可执行指令,处理器3001被配置用于执行该至少一个计算机可执行指令,从而执行如本申请中任意一个实施例或任意一种可选实施方式提供的任意一种网络靶场安全管控方法的步骤。
进一步,处理器3001可以是FPGA(Field-Programmable Gate Array,现场可编程门阵列)或者其它具有逻辑处理能力的器件,如MCU(Microcontroller Unit,微控制单元)、CPU(Central Process Unit,中央处理器)。
应用本申请实施例,通过搭建的虚拟网桥、虚拟交换机、虚拟防火墙,构建了具有网络接入层、汇聚层、核心层的安全管控机制,可满足多资源接入情况下的灵活管控、可实现多层次的网络安全接入管控、更可实现高层次的网络安全措施接入管控,从而实现了对网络靶场的多维度的纵深管控,为大规模资源和复杂网络接入提供了便利。
本申请实施例还提供了另一种计算机可读存储介质,存储有计算机程序,该计算机程序用于被处理器执行时实现本申请中任意一个实施例或任意一种可选实施方式提供的任意一种网络靶场安全管控方法的步骤。
本申请实施例提供的计算机可读存储介质包括但不限于任何类型的盘(包括软盘、硬盘、光盘、CD-ROM、和磁光盘)、ROM(Read-Only Memory,只读存储器)、RAM(RandomAccess Memory,随即存储器)、EPROM(Erasable Programmable Read-Only Memory,可擦写可编程只读存储器)、EEPROM(Electrically Erasable Programmable Read-Only Memory,电可擦可编程只读存储器)、闪存、磁性卡片或光线卡片。也就是,可读存储介质包括由设备(例如,计算机)以能够读的形式存储或传输信息的任何介质。
应用本申请实施例,通过搭建的虚拟网桥、虚拟交换机、虚拟防火墙,构建了具有网络接入层、汇聚层、核心层的安全管控机制,可满足多资源接入情况下的灵活管控、可实现多层次的网络安全接入管控、更可实现高层次的网络安全措施接入管控,从而实现了对网络靶场的多维度的纵深管控,为大规模资源和复杂网络接入提供了便利。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (10)
1.一种网络靶场安全管控系统,其特征在于,所述系统包括网络靶场中的至少一个物理节点设备;所述至少一个物理节点设备中包括第一物理节点设备;所述第一物理节点设备上搭建了属于同一安全域或不同安全域的虚拟机;所述第一物理节点设备上的属于同一安全域内的各个虚拟机、与所述第一物理节点设备上针对该安全域搭建的虚拟网桥进行连接;所述第一物理节点设备上搭建的虚拟交换机,与所述第一物理节点设备上搭建的虚拟网桥和虚拟防火墙进行连接;其中,
所述第一物理节点设备上搭建的虚拟网桥,用于在同一安全域内进行访问控制;所述第一物理节点设备上搭建的虚拟防火墙,用于在不同安全域内进行访问控制;所述第一物理节点设备上搭建的虚拟交换机,用于在所述第一物理节点设备与其它物理节点设备之间进行通信服务;
其中:
所述虚拟网桥,其是Linux虚拟网桥,用于同一安全域的接入管理,实现不同业务域的天然隔离;
所述虚拟交换机,其是采用软件定义网络技术的open vswitch虚拟交换机,通过虚拟交换机实现大规模的网络连接,以及跨宿主机上的各种资源的无缝接入,同时实现基于Linux虚拟网桥的流量策略;
所述虚拟防火墙,实现路由控制和访问控制,加载高阶下一代防火墙的攻击防御和审计策略。
2.根据权利要求1所述的系统,其特征在于,所述第一物理节点设备上搭建的虚拟网桥,具体用于实现同一安全域内的各个虚拟机之间的内部通讯,以及,实现基于同一安全域内的各个虚拟机IP地址的访问控制。
3.根据权利要求1所述的系统,其特征在于,所述至少一个物理节点设备中包括第二物理节点设备;
所述第二物理节点设备上的虚拟机,用于通过获取所述第一物理节点设备上搭建的虚拟网桥的网桥编码,加入所述第一物理节点设备上的该虚拟网桥对应的安全域。
4.根据权利要求1-3任一项所述的系统,其特征在于,所述系统还包括控制管理节点设备;所述控制管理节点设备,通过物理交换机与物理节点设备进行连接;
所述控制管理节点设备,用于对物理节点设备上搭建的虚拟交换机、虚拟网桥、以及虚拟防火墙进行信息管理。
5.根据权利要求4所述的系统,其特征在于,所述第一物理节点设备上搭建的虚拟交换机,具体用于基于所述控制管理节点设备预先收集的流表内容,实现网络流量转发控制,其中,所述流表内容包括所述网络靶场中的虚拟机和虚拟防火墙各自对应的IP地址、MAC地址和VLAN编码。
6.一种网络靶场安全管控方法,其特征在于,所述方法应用于一种网络靶场安全管控系统,所述系统包括网络靶场中的至少一个物理节点设备;所述至少一个物理节点设备中包括第一物理节点设备;所述第一物理节点设备上搭建了属于同一安全域或不同安全域的虚拟机;所述第一物理节点设备上的属于同一安全域内的各个虚拟机、与所述第一物理节点设备上针对该安全域搭建的虚拟网桥进行连接;所述第一物理节点设备上搭建的虚拟交换机,与所述第一物理节点设备上搭建的虚拟网桥和虚拟防火墙进行连接;所述方法包括:
利用所述第一物理节点设备上搭建的虚拟网桥,在同一安全域内进行访问控制;
利用所述第一物理节点设备上搭建的虚拟防火墙,在不同安全域内进行访问控制;
利用所述第一物理节点设备上搭建的虚拟交换机,在所述第一物理节点设备与其它物理节点设备之间进行通信服务;
其中:
所述虚拟网桥,其是Linux虚拟网桥,用于同一安全域的接入管理,实现不同业务域的天然隔离;
所述虚拟交换机,其是采用软件定义网络技术的open vswitch虚拟交换机,通过虚拟交换机实现大规模的网络连接,以及跨宿主机上的各种资源的无缝接入,同时实现基于Linux虚拟网桥的流量策略;
所述虚拟防火墙,实现路由控制和访问控制,加载高阶下一代防火墙的攻击防御和审计策略。
7.根据权利要求6所述的方法,其特征在于,所述利用所述第一物理节点设备上搭建的虚拟网桥,在同一安全域内进行访问控制,包括:
利用所述第一物理节点设备上搭建的虚拟网桥,实现同一安全域内的各个虚拟机之间的内部通讯,以及,实现基于同一安全域内的各个虚拟机IP地址的访问控制。
8.根据权利要求6所述的方法,其特征在于,所述至少一个物理节点设备中包括第二物理节点设备;所述方法还包括:
利用所述第二物理节点设备上的虚拟机,通过获取所述第一物理节点设备上搭建的虚拟网桥的网桥编码,加入所述第一物理节点设备上的该虚拟网桥对应的安全域。
9.根据权利要求6-8任一项所述的方法,其特征在于,所述系统还包括控制管理节点设备;所述控制管理节点设备,通过物理交换机与物理节点设备进行连接;所述方法还包括:
利用所述控制管理节点设备,对物理节点设备上搭建的虚拟交换机、虚拟网桥、以及虚拟防火墙进行信息管理。
10.根据权利要求9所述的方法,其特征在于,所述利用所述第一物理节点设备上搭建的虚拟交换机,在所述第一物理节点设备与其它物理节点设备之间进行通信服务,包括:
利用所述第一物理节点设备上搭建的虚拟交换机,基于所述控制管理节点设备预先收集的流表内容,实现网络流量转发控制,其中,所述流表内容包括所述网络靶场中的虚拟机和虚拟防火墙各自对应的IP地址、MAC地址和VLAN编码。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111603182.8A CN114422196B (zh) | 2021-12-24 | 2021-12-24 | 一种网络靶场安全管控系统和方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111603182.8A CN114422196B (zh) | 2021-12-24 | 2021-12-24 | 一种网络靶场安全管控系统和方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114422196A CN114422196A (zh) | 2022-04-29 |
CN114422196B true CN114422196B (zh) | 2022-12-02 |
Family
ID=81269069
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111603182.8A Active CN114422196B (zh) | 2021-12-24 | 2021-12-24 | 一种网络靶场安全管控系统和方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114422196B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116192495B (zh) * | 2023-02-15 | 2023-11-10 | 国核自仪系统工程有限公司 | 电力监控系统蜜场的设计方法、系统、设备和介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110290045A (zh) * | 2019-07-16 | 2019-09-27 | 北京计算机技术及应用研究所 | 一种云架构下网络靶场软硬结合模型构建方法 |
CN111651241A (zh) * | 2020-08-04 | 2020-09-11 | 北京赛宁网安科技有限公司 | 一种网络靶场的流量采集系统与方法 |
CN112367239A (zh) * | 2021-01-11 | 2021-02-12 | 南京赛宁信息技术有限公司 | 网络靶场快速互联系统与方法 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7921197B2 (en) * | 2008-11-19 | 2011-04-05 | Vmware, Inc. | Dynamic configuration of virtual machines |
KR20150000160A (ko) * | 2013-06-24 | 2015-01-02 | 한국전자통신연구원 | 분산 가상 스위치를 이용한 네트워크 구현 방법, 이를 수행하는 네트워크 장치 및 분산 가상 스위치 기반 네트워크 시스템 |
-
2021
- 2021-12-24 CN CN202111603182.8A patent/CN114422196B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110290045A (zh) * | 2019-07-16 | 2019-09-27 | 北京计算机技术及应用研究所 | 一种云架构下网络靶场软硬结合模型构建方法 |
CN111651241A (zh) * | 2020-08-04 | 2020-09-11 | 北京赛宁网安科技有限公司 | 一种网络靶场的流量采集系统与方法 |
CN112367239A (zh) * | 2021-01-11 | 2021-02-12 | 南京赛宁信息技术有限公司 | 网络靶场快速互联系统与方法 |
Non-Patent Citations (2)
Title |
---|
一种基于OpenvSwitch的虚拟机安全防护方案;姜停停等;《北京电子科技学院学报》;20151215(第04期);38-43 * |
基于虚拟机的信息系统结构安全研究;彭淑芬;《微型机与应用》;20150210(第03期);11-14 * |
Also Published As
Publication number | Publication date |
---|---|
CN114422196A (zh) | 2022-04-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103930882B (zh) | 具有中间盒的网络架构 | |
JP6648308B2 (ja) | パケット伝送 | |
CN107925589B (zh) | 处理进入逻辑覆盖网络的远程设备数据消息的方法和介质 | |
CN103718527B (zh) | 一种通信安全处理方法、装置及系统 | |
US20190173780A1 (en) | Failover of centralized routers in public cloud logical networks | |
US9270704B2 (en) | Modeling network devices for behavior analysis | |
EP3080707B1 (en) | Identity and access management-based access control in virtual networks | |
US8989188B2 (en) | Preventing leaks among private virtual local area network ports due to configuration changes in a headless mode | |
US8370834B2 (en) | Routing across a virtual network | |
US9363207B2 (en) | Private virtual local area network isolation | |
US20130315242A1 (en) | Network Communication Method and Device | |
US11888815B2 (en) | Scalable and on-demand multi-tenant and multi region secure network | |
DE112013004828T5 (de) | Bereitstellen von Diensten für virtuellen Overlay-Netzwerkverkehr | |
WO2016130108A1 (en) | Network policy conflict detection and resolution | |
CN107426152B (zh) | 云平台虚实互联环境下多任务安全隔离系统及方法 | |
CN114422196B (zh) | 一种网络靶场安全管控系统和方法 | |
CN112272145A (zh) | 一种报文处理方法、装置、设备及机器可读存储介质 | |
CN108521403A (zh) | 一种对Docker容器平台上多租户网络进行隔离的方法 | |
Bondan et al. | Management requirements for clickos-based network function virtualization | |
Odi et al. | The proposed roles of VLAN and inter-VLAN routing in effective distribution of network services in Ebonyi State University | |
Kang et al. | Defense technique against spoofing attacks using reliable ARP table in cloud computing environment | |
CN112187638A (zh) | 网络访问方法、装置、设备及计算机可读存储介质 | |
CN110191043B (zh) | 城市级网络靶场的vlan划分方法和系统 | |
CN106878075A (zh) | 一种报文处理方法和装置 | |
CN104618469B (zh) | 一种基于代理网络架构的局域网访问控制方法及管理机 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CP01 | Change in the name or title of a patent holder | ||
CP01 | Change in the name or title of a patent holder |
Address after: 100094 103, building 6, yard 9, FengHao East Road, Haidian District, Beijing Patentee after: Yongxin Zhicheng Technology Group Co.,Ltd. Address before: 100094 103, building 6, yard 9, FengHao East Road, Haidian District, Beijing Patentee before: BEIJING YONGXIN ZHICHENG TECHNOLOGY CO.,LTD. |