KR102160187B1 - 에스디엔의 방화벽 전개 장치, 에스디엔의 방화벽 전개 방법, 및 이 장치 또는 방법이 적용되는 네트워크 - Google Patents

에스디엔의 방화벽 전개 장치, 에스디엔의 방화벽 전개 방법, 및 이 장치 또는 방법이 적용되는 네트워크 Download PDF

Info

Publication number
KR102160187B1
KR102160187B1 KR1020180143393A KR20180143393A KR102160187B1 KR 102160187 B1 KR102160187 B1 KR 102160187B1 KR 1020180143393 A KR1020180143393 A KR 1020180143393A KR 20180143393 A KR20180143393 A KR 20180143393A KR 102160187 B1 KR102160187 B1 KR 102160187B1
Authority
KR
South Korea
Prior art keywords
firewall
host
switch
sdn
public key
Prior art date
Application number
KR1020180143393A
Other languages
English (en)
Other versions
KR20200058816A (ko
Inventor
임혁
김성환
나랑토야 자르갈사이흥
윤승현
Original Assignee
광주과학기술원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 광주과학기술원 filed Critical 광주과학기술원
Priority to KR1020180143393A priority Critical patent/KR102160187B1/ko
Priority to US16/689,003 priority patent/US11336622B2/en
Publication of KR20200058816A publication Critical patent/KR20200058816A/ko
Application granted granted Critical
Publication of KR102160187B1 publication Critical patent/KR102160187B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • H04L41/0806Configuration setting for initial configuration or provisioning, e.g. plug-and-play
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0895Configuration of virtualised networks or elements, e.g. virtualised network function or OpenFlow elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/40Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using virtualisation of network functions or resources, e.g. SDN or NFV entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/028Capturing of monitoring data by filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0876Network utilisation, e.g. volume of load or congestion level
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/20Arrangements for monitoring or testing data switching networks the monitoring system or the monitored elements being virtualised, abstracted or software-defined entities, e.g. SDN or NFV
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/25Routing or path finding in a switch fabric
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • H04L41/0823Configuration setting characterised by the purposes of a change of settings, e.g. optimising configuration for enhancing reliability
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/38Flow based routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/64Routing or path finding of packets in data switching networks using an overlay routing layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • H04L63/0218Distributed architectures, e.g. distributed firewalls

Abstract

본 발명에 따른 에스디엔의 방화벽 전개 장치에는, 공개키를 분배하는 공개키 분배부; 네트워크의 자원을 모니터링하는 자원 모니터; 상기 공개키에 의해서 암호화된 적어도 하나의 호스트의 방화벽 규칙을 수신하는 호스트 모니터; 상기 호스트 모니터에서 수신된 정보를 비밀키로 해독하는 해독부; 해독된 정보를 병합하여 병합된 방화벽 규칙을 제공하는 병합부; 및 상기 병합된 방화벽 규칙을 스위치로 전개하는 방화벽 전개부가 포함된다. 본 발명에 따르면 에스디엔에 포함되는 호스트의 방화벽 규칙에 대응하여 새로이 병합된 적정 용량의 방화벽을 스위치로 전송하여 네트워크의 데이터 용량을 줄일 수 있다.

Description

에스디엔의 방화벽 전개 장치, 에스디엔의 방화벽 전개 방법, 및 이 장치 또는 방법이 적용되는 네트워크{Apparatus and method deploying firewall on SDN, and network using the same}
본 발명은 소프트웨어 정의 네트워크(SDN: Software-Defined Network, 이하 에스디엔이라고 한다) 상에서 에스디엔의 방화벽 전개 장치, 에스디엔의 방화벽 전개 방법, 및 이 장치 또는 방법이 적용되는 네트워크에 관한 것이다.
일반적인으로 방화벽(firewall)은 네트워크의 고정된 위치 또는 호스트 내부에서 패킷 필터링을 수행하여 호스트가 외부침입을 받지 않도록 하는 장치이다. 여기서 패킷의 필터링 동작은 방화벽 마다의 고유한 방화벽 규칙에 따라서 패킷을 허용하거나 폐기하는 등의 동작으로 수행된다.
한편, 네크워크의 대형화/복잡화, 클라우드 환경의 도입, 네트워크 장치의 수명제한, 및 동적인 네트워크 트래픽의 특징화의 환경에 따라서 네트워크의 제어기능과 물리적 네트워크가 분리되는 에스디엔 환경이 구축되고 있다. 상기 에스디엔에서는 방화벽과 유사하게 각 스위치의 플로우 규칙을 정의하는 프로우 테이블을 가지고 있다. 상기 플로우 규칙은 상기 방화벽 규칙과 유사하게 프로토콜, IP주소, MAC주소 등의 정보를 가지고 있다.
상기 에스디엔 환경에서도 호스트에 방화벽 기능을 제공하여야 한다.
이를 위한 종래기술로는 에스디엔 기반 방화벽 기술이 있다. 상기 에스디엔 기반 방화벽 기술은 에스디엔 제어기가 중앙에서 패킷을 검사하고 해당 패킷에 해당하는 플로우 규칙을 스위치에 배치하여 기존에 방화벽 기능을 수행하도록 하는 것이다.
다른 기술로서 에스디엔/엔에프브이(SDN/NFV(Network Function Virtualization)) 기반 방화벽 기술이 있다. 상기 에스디엔/엔에프브이 기반 방화벽 기술은 기존의 방화벽 기능을 브이엔에프(VNF(virtual network function)로 만들고, 에스디엔 기술을 활용하여 트래픽이 가상 방화벽을 거치도록 하는 기술이다. 본 기술이 적용된 제품으로는 FlowGuard 및 AuthFlow가 소개된 바가 있다.
상기 에스디엔 기반 방화벽 기술과 상기 에스디엔/엔에프브이 기반 방화벽 기술을 병합하여 구현되는 방화벽 기술도 소개된 바가 있다. 일 예로, 인용문헌 1을 참조할 수 있다. 인용문헌의 기술은 Nicira networks사의 NSX Data center에 적용된 바가 있다.
상기 에스디엔을 위한 방화벽의 종래기술은 별도의 관리서버를 두거나, 각 가상머신마다 방화벽을 두는 등, 비효율적인 문제가 있다.
C. Lorenz, D. Hock, J. Scherer, R. Durner, W. Kellerer, S. Gebert, N. Gray, T. Zinner, and P. Tran-Gia, "An sdn/nfv-enabled enterprise network architecture offering fine-grained security policy enforcement." IEEE Commun. Mag., vol. 55, no. 3, pp. 217-223, 2017.
본 발명은 상기 배경하에서 제안되는 것으로서, 네트워크의 자원 낭비를 최소로 하는 에스디엔의 방화벽 전개 장치, 에스디엔의 방화벽 전개 방법, 및 이 장치 또는 방법이 적용되는 네트워크를 제안한다.
본 발명에 따른 에스디엔의 방화벽 전개 장치에는, 공개키를 분배하는 공개키 분배부; 네트워크의 자원을 모니터링하는 자원 모니터; 상기 공개키에 의해서 암호화된 적어도 하나의 호스트의 방화벽 규칙을 수신하는 호스트 모니터; 상기 호스트 모니터에서 수신된 정보를 비밀키로 해독하는 해독부; 해독된 정보를 병합하여 병합된 방화벽 규칙을 제공하는 병합부; 및 상기 병합된 방화벽 규칙을 스위치로 전개하는 방화벽 전개부가 포함된다.
본 발명에 따르면 에스디엔에 포함되는 호스트의 방화벽 규칙에 대응하여 새로이 병합된 적정 용량의 방화벽을 스위치로 전송하여 네트워크의 데이터 용량을 줄일 수 있다. 이때 스위치는 에스디의 전체 스위치가 아니라 최적의 효과를 발휘하는 일부의 선택된 스위치로서 네트워크 감시 성능뿐만 아니라, 불필요한 에너지 및 데이터 흐름을 발생시키지 않을 수 있다.
상기 공개키는 제어 평면을 통하여 스위치로 전달되고, 그 스위치는 상기 호스트와 직접 연결되고, 상기 공개키가 전달된 호스트는, 데이터 평면을 통하여 상기 호스트 모니터로 자기의 방화벽 규칙을 전송할 수 있다. 이에 따르면 에스디엔 상의 호스트의 방화벽 정보를 안전하게 수집하여 가공할 수 있다.
상기 호스트 모니터로 주기적으로 상기 호스트의 방화벽 규칙을 수신하도록 하여, 에스디엔 환경의 변화가 발생하였을 때 바로 신속하고 정확하게 대응할 수 있다.
상기 병합된 방화벽 규칙은, 상기 스위치의 플로우 규칙과 한몸을 이루거나 같게 제공됨으로서, 에스디엔에서의 스위치의 자체 기능을 방화벽 기능으로 활용할 수 있다.
다른 측면에 따른 본 발명의 에스디엔의 방화벽 전개 방법에는, 적어도 두 개의 호스트의 방화벽 규칙을 수집하는 것; 상기 방화벽 규칙을 병합하는 것; 및 선택된 스위치로만 상기 병합된 방화벽 규칙을 송신하는 것이 포함되고, 상기 병합된 방화벽 규칙이 전송되는 스위치는, 네트워크에서 줄어드는 전체 데이터 트래픽을 최대로 하는 스위치들로 선정될 수 있다. 본 발명에 따르면, 에스디엔에서 무용한 데이터 흐름을 최소화할 수 있고, 방화벽을 최적의 상태로 운용할 수 있다.
여기서, 상기 병합된 방화벽 규칙의 전체 수는 상기 스위치의 용량을 넘어서지 않도록 제한함으로서, 방화벽의 안정적인 운용이 보장되도록 할 수 있다.
어느 하나의 호스트를 위한 상기 병합된 방화벽 규칙은 하나의 스위치에만 놓이도록 함으로써, 에스디엔의 무용한 자원낭비를 막을 수 있다.
한편, 상기 호스트의 방화벽 규칙을 수집하는 것은 암호화하여 수행되어, 악의적인 침입자를 배제시킬 수 있다.
여기서, 암호화 과정은, 네트워크의 제어 평면을 이용하여 공개키를 분배되는 것; 공개키를 받은 스위치가 자신과 직접 연결되는 호스트로 공개키를 부여하는 것; 및 상기 공개키로 호스트의 방화벽 규칙을 암호화하여 데이터 평면을 통하여 전달됨으로써, 에스디엔 환경에 적합하게 악의적인 사용자의 충분히 배제시킬 수 있다.
본 발명에 따르면, 별도의 추가적인 하드웨어 장비가 없어도 하드웨어, 소프트웨어, 가상머신, 및 컨테이너 등으로 구현되는 방화벽들이 가지고 있는 정보를 안전하게 활용할 수 있는 장점이 있다.
본 발명에 따르면 선택된 스위치에 병합한 방화벽 규칙을 에스디엔의 플로우 규칙으로서 배치함으로써 시스템을 효율적으로 사용할 수 있다.
본 발명에 따르면 차후에 방화벽이 네트워크에 추가되어도 별도의 수정 없이 시스템을 사용할 수 있어서 확장성이 우수한 장점이 있다.
본 발명에 따르면 외부 네트워크에서 들어온 트래픽이 중간이 걸러질 수 있으므로 전체 네트워크 트래픽이 줄어드는 장점이 있다.
본 발명에 따르면 호스트 혹은 네트워크 방화벽 장비에서 방화벽 규칙을 처리함으로써 발생하는 CPU 사용률을 줄일 수 있는 장점이 있다.
본 발명에 따르면 클라우드 환경의 유지보수 비용을 줄일 수 있다.
도 1은 실시예에 따른 에스디엔의 방화벽 전개 장치를 설명하는 도면.
도 2는 실시예에 따른 에스디엔의 방화벽 전개 방법을 설명하는 도면.
도 3은 상기 병합된 방화벽 규칙이 전개될 스위치를 선택하는 것을 설명하기 위한 참조도.
도 4는 스위치의 용량에 따라서 평균 전체 데이터 트래픽의 그래프.
도 5는 방화벽 규칙의 수에 따라서 스위치의 평균자원활용의 그래프.
도 6은 실시예의 적용전과 후의 평균 데이터 트래픽을 보이는 그래프.
도 7은 실시예의 적용전과 후의 호스트의 평균 CPU 자원이용율을 보이는 그래프.
이하에서는 도면을 참조하여 본 발명의 구체적인 실시예를 상세하게 설명한다. 다만, 본 발명의 사상은 이하의 실시예에 제한되지 아니하고, 본 발명의 사상을 이해하는 당업자는 동일한 사상의 범위 내에 포함되는 다른 실시예를 구성요소의 부가, 변경, 삭제, 및 추가 등에 의해서 용이하게 제안할 수 있을 것이나 이 또한 본 발명 사상의 범위 내에 포함된다고 할 것이다.
도 1은 실시예에 따른 에스디엔의 방화벽 전개 장치를 설명하는 도면이다.
도 1에는 에스디엔의 방화벽 전개 장치(10)와 자원(20)을 포함하는 에스디엔 환경으로서 네트워크가 도시된다. 본 네트워크에는 실시예에 따른 에스디엔의 방화벽 전개 장치 및 방법이 적용되어 있다. 상기 에스디엔의 방화벽 전개 장치는 에스디엔 환경의 네트워크를 컨트롤하는 전체 장치의 일부로 적용될 수도 있다.
상기 자원(20)에는, 다수의 스위치(31)가 포함되는 스위칭 영역(30)과 다수의 호스트(41)가 포함되는 호스트 영역(40)이 포함된다. 상기 자원(20)의 방화벽은 상기 에스디엔의 방화벽 전개 장치에 의해서 관리된다. 여기서 상기 스위치는 오픈프롤우 프롤토콜이 적용되는 스위치(OF-enabled switch)일 수 있다.
상기 에스디엔의 방화벽 전개 장치(10)에는, 공개키를 자원(20) 측으로 송부하는 공개키 분배부(11), 자원의 정보를 모니터링하는 자원 모니터(12), 공개키를 이용하여 암호화된 상기 호스트(41)의 방화벽 규칙을 수신하는 호스트 모니터(13), 상기 호스트 모니터(13)에서 수신된 정보을 해독하는 해독부(14), 및 해독된 정보를 상기 스위치(31)의 용량에 맞도록 스위치의 플로우 규칙으로 병합하는 병합부(15), 및 상기 플로우 규칙을 설치할 스위치를 결정하여 방화벽을 전개하는 방화벽 전개부(16)가 포함된다.
상기 에스디엔의 방화벽 전개 장치의 작용을 상세하게 설명한다.
악의적인 사용자가 호스트의 정보를 알아내면 호스트의 방화벽은 무너질 수 있기 때문에, 상기 공개키 분배부는 각 호스트(41)의 방화벽 정보를 모으기 위하여 각 스위치(31)로 공개키 분배 메시지를 제어 평면(control plane)을 통하여 송신한다.
이때, 각 상기 스위치(31)는 각 상기 호스트(41)에 데이터 평면(data plane)으로 직접 연결되어 있을 수 있다. 상기 스위치(31)는 제어 평면으로 안전하게 명령을 수신하고 자기가 데이터 평면으로 직접 연결되는 호스트(41)에 안전하게 바로 공개키를 전달할 수 있다.
상기 공개키를 전달받은 각 호스트(41)는, 자기의 방화벽 규칙을 상기 공개키를 이용하여 암호화하고 상기 호스트 모니터(13)로 보낸다. 이때 암호화된 정보는 상기 데이터 평면을 통하여 송신될 수 있다. 상기 호스트 모니터(13)는 각 호스트(41)들에게 정기적으로 암호화된 방화벽 규칙 송신을 지시할 수 있다. 주기적으로 수행됨으로써, 호스트의 상태변화에 민감하고 신속하게 대응할 수 있다.
상기 암호화된 방화벽 규칙은 상기 해독부(14)에서 개인키에 의해서 해독될 수 있다.
한편, 상기 스위치(31)는 용량이 제한되기 때문에 방화벽 규칙의 개수를 줄이는 것이 중요하다. 이를 위하여 상기 병합부(15)에서는 방화벽 규칙의 의미를 손상시키지 않으면서 전체 방화벽 규칙의 수를 줄여서 병합된 방화벽 규칙을 제작한다. 상기 이를 위하여 TCAM Razor Bit Weaving 기술이 적용될 수 있다. 이 기술은 [A. X. Liu, C. R. Meiners, and E. Torng, "Tcam razor: A systematic approach towards minimizing packet classifiers in tcams,”IEEE/ACM TON, vol. 18, no. 2, pp. 490-500, 2010.]와 [C. R. Meiners, A. X. Liu, and E. Torng, “Bit weaving: A nonprefix approach to compressing packet classifiers in tcams,”IEEE/ACM TON, vol. 20, no. 2, pp. 488-500, 2012.]이 적용되는 것으로서, 본 기술의 내용은 필요한 범위에서 본 발명의 설명에도 포함되는 것으로 한다.
상기 병합된 방화벽 규칙은, 방화벽 전개부(16)에 의해서 상기 스위치(31)로 분배될 수 있다. 이때, 과도하게 분배된 방화벽은 네트워크의 전체 데이터 용량을 불필요하게 늘리는 문제점이 있으므로, 상기 방화벽 전개부(16)는 상기 병합된 방화벽 규칙이 전개될 스위치를 선택한다. 상기 스위치의 선택에 필요한 정보를 얻기 위하여 자원 모니터(12)는 미리 스위치의 자원사용 및 네트워크의 전체 데이터 트래픽 정보를 전달받을 수 있다. 상기 자원 모니터(12)의 정보는 공개키 분배부(11)에도 전달되어 공개키의 분배에 참조될 수 있다.
어느 스위치(31)에 상기 병합된 방화벽 규칙이 전개되는 지에 대해서는 추후에 상세하게 설명한다.
상기 병합된 방화벽 규칙은 에스디엔의 스위치에 사용되는 플로우 규칙에 해당하므로 에스디엔에서 방화벽의 운용이 더욱 안정되는 장점이 있다. 상기 스위치의 플로우 규칙과 방화벽 규칙이 일체화하거나 및 동일한 경우에는 시스템의 효율이 더욱 개선되는 장점을 얻을 수 있다.
도 2는 에스디엔의 방화벽 전개 방법을 설명하는 도면이다. 도면에서의 번호는 방화벽의 전개방법의 각 순서를 나타낸다.
먼저, 에스디엔 방화벽 전개 장치(SDN controller의 일부에 해당함)가 네트워크의 제어 평면을 이용하여 공개키를 분배한다. 상기 제어평면은 악의적인 사용자가 접속하기 어려우므로 안정성이 높아질 수 있다. 공개키를 받은 스위치(31)는 자신과 직접 연결되는(directly connected) 호스트(41)로 공개키를 부여한다.
이후에 각 호스트(41)에서 암호화된 호스트의 방화벽 규칙은 상기 데이터 평면을 통하여 에스디엔 방화벽 전개 장치로 전달된다.
상기 에스디엔 방화벽 전개 장치는 개인키를 이용하여 암호화된 정보를 해독한 다음 방화벽 규칙을 병합하고, 선택된 스위치로 병합된 방화벽 규칙을 송신할 수 있다. 이때 병합시에는 상기 스위치에 맞도록 방화벽 규칙을 가공하고, 최선의 스위치를 선별하여 병합된 방화벽 규칙을 전개한다.
도 3은 상기 병합된 방화벽 규칙이 전개될 스위치를 선택하는 것을 설명하기 위한 참조도로서, 이하에서는 도 3을 참조하여 병합된 방화벽 규칙이 전개되는 과정을 설명한다.
먼저, n는 호스트이고, m은 스위치이고, 스위치의 세트는 S이고, r은 플로우의 데이터율(data rate of flow)이고, P는 미리 결정될 수 있는 호스트의 패스정보이고, H는 홉수(number of hops)이고, x는 호스트에 상기 병합된 방화벽 규칙이 전개되었는지를 나타내는 인덱스를 의미로서 x는 0 또는 1으로 제공될 수 있다. 한편, i는 호스트의 일련번호이고, j는 스위치의 일련번호를 나타낸다.
예를 들어, 도면에서 전체 데이터 트래픽은 세 개의 패스정보가 병합되는 4r1+3r2+4r3로 주어질 것이다.
상기 병합된 방화벽 규칙이 전개될 스위치를 결정하는데 있어서는, 각 스위치의 병화벽 규칙의 용량이 제한되고, 어느 하나의 호스트의 방화벽 규칙은 어느 하나의 스위치에는 설치되는 것을 바탕으로 한다. 또한, 상기 병합된 방화벽 규칙이 전개가 이용됨으로써, 네트워크에서 축소되는 전체 데이터 트래픽을 최고로 하는 방법을 수행할 수 있다.
이하에서 더 상세하게 설명한다. 먼저, x에 의존하여 어느 호스트에 데이터 트래픽의 감소량은 수학식 1로 정의할 수 있다.
Figure 112018115550594-pat00001
수학식 1을 설명한다. 먼저, i번째 호스트를 위하여 j번째 스위치에 상기 병합된 방화벽 규칙이 전개되면 x는 1이 된다. 이때, j번째 스위치에서 i번째 호스트까지의 홉수를, i번째 호스트의 플로우 데이터율(r)과 곱한 것으로서, 이는 어느 호스트에 대한 데이터 트래픽 감소량이 될 것이다.
상기 수학식 1의 결과값은 네트워크 상의 모든 호스트와 스위치에 대하여 합해질 수 있고, 이를 수학식 2로 나타낼 수 있다.
Figure 112018115550594-pat00002
수학식 2를 설명하면, hji*ri는 i번째 호스트를 위한 상기 병합된 방화벽 규칙이 j번째 스위치에 놓여져서, i번째 호스트로의 플로우가 j번째 스위치에서 멈춰져서(drop), 이에 따라서 예상되는 절감된 데이터 트래픽을 나타낸다. 모든 호스트에 대하여 위의 연산이 수행될 수 있다.
발명자는 상기 g(X)를 최대로 하여, 줄어든 데이터 트래픽을 최대로 하였다. 이 문제를 푸는 제한요건으로서, 두 가지 조건을 고려하였다.
첫째 제한은, 상기 병합된 방화벽 규칙의 전체 수는 스위치의 용량을 넘어서지 않도록 하였다. 둘째 제한은, 어느 하나의 호스트를 위한 상기 병합된 방화벽 규칙은 하나의 스위치에만 놓이도록 하였다.
이와 같은 제한에서 상기 g(X)를 최대로 하기 위해서는 다양한 방법이 있지만, 그리디 알고리즘을 본 발명자는 적용하였다. 그 방법은 수학식 3으로 표시하였다.
Figure 112018115550594-pat00003
상기 수학식 3의 알고리즘에서, c는 어느 스위치에 놓일 수 있는 최대 병합된 방화벽 규칙의 수이고, ω는 어느 호스트를 위하여 필요한 방화벽 규칙의 수를 나타낸다.
설명되는 실시예에 의해서 호스트를 800개 스위치는 1600개로 하여 실험을 수행하였다. 그 결과는 도 4 및 도 5에 나타낸다.
도 4는 스위치의 용량에 따라서 평균 전체 데이터 트래픽을 나타내는 그래프이고 도 5는 방화벽 규칙의 수에 따라서 스위치의 평균자원활용을 나타낸다.
도 4를 참조하면, 실시예의 경우에 데이터 트래픽이 줄어드는 것을 확인할 수 있었고, 도 5를 참조하면, 패킷이 네트워크에 무용하게 돌지 않으므로 스위치의 자원을 충분히 활용할 수 있는 것을 볼 수 있었다.
한편, 클라우드 환경에서는 CPU와 같은 컴퓨팅 자원 및 네트워크 자원 사용량에 따라 비용이 결정되는데, 실시예는 네트워크에 흐르는 트래픽의 양과 호스트들의 CPU 사용량을 줄임으로써 클라우드 환경 유지보수 비용을 절감시킬 수 있다.
도 6과 도 7은 임의의 클라우드 환경에서 실시예가 적용되기 전과 후를 비교하여 설명하는 도면으로서, 도 6은 실시예의 적용이 시작되고(merge started), 전개가 끝난 다음에(deployment completed) 평균 데이터 트래픽을 나타내고 도 7은 실시예의 적용이 시작되고(merge started), 전개가 끝난 다음에(deployment completed) 호스트의 평균 CPU 자원이용율을 나타낸다.
도 6 및 도 7을 참조하면, 상당한 수준의 트래픽 감소가 일어나고 컴퓨팅 자원을 활용하는 것을 확인할 수 있었다.
본 발명은 각 가상머신에 분산되어 있는 방화벽 정보를 병합하여 네트워크의 스위치들에 배치함으로써, 데이터센터의 자원 사용을 줄일 수 있을 것이 기대되고, 예를 들어, Nicira Networks의 NSX Data Center에 적용될 수 있다.
본 발명은 새로 구성하는 네트워크 망(SDN)이나 기업의 데이터 센터 망이나 클라우드 서비스를 제공하려는 기업 망이나 대학 네트워크 망에 적용될 수 있다.
본 발명은 기존 네트워크에 SDN 호환 라우터 등을 주요 길목에 설치하여 방화벽 배치 가능하기 때문에 그 적용이 손쉬운 장점이 있고, 방화벽 위치와 관계 없이 트래픽 검사하여 네트워크 안정성 확보할 수 있다.
본 발명은 네트워크의 변동이 발생하더라도 용이하게 대응할 수 있으므로 그 사용성이 크게 기대된다.
10 : 에스디엔의 방화벽 전개 장치
20 : 자원
30 : 스위칭 영역
31 : 스위치
40 : 호스트 영역
41 : 호스트

Claims (12)

  1. 공개키를 분배하는 공개키 분배부;
    네트워크의 자원을 모니터링하는 자원 모니터;
    상기 공개키에 의해서 암호화된 적어도 하나의 호스트의 방화벽 규칙을 수신하는 호스트 모니터;
    상기 호스트 모니터에서 수신된 정보를 비밀키로 해독하는 해독부;
    해독된 정보를 병합하여 병합된 방화벽 규칙을 제공하는 병합부; 및
    네트워크에서의 전체 데이터 트래픽 감소량 g(X)을 최대로 하는 스위치를 선택하고, 상기 병합된 방화벽 규칙을 상기 선택된 스위치로 전개하는 방화벽 전개부
    를 포함하고,
    상기 병합된 방화벽 규칙의 전체 수는 상기 스위치의 용량을 넘어서지 않고,
    어느 하나의 호스트를 위한 상기 병합된 방화벽 규칙은 하나의 스위치에만 놓이는, 에스디엔의 방화벽 전개 장치.
  2. 제 1 항에 있어서,
    상기 공개키는 제어 평면을 통하여 스위치로 전달되고, 그 스위치는 상기 호스트와 직접 연결되고,
    상기 공개키가 전달된 호스트는, 데이터 평면을 통하여 상기 호스트 모니터로 자기의 방화벽 규칙을 전송하는 에스디엔의 방화벽 전개 장치.
  3. 제 1 항에 있어서,
    상기 호스트 모니터로 주기적으로 상기 호스트의 방화벽 규칙을 수신하는 에스디엔의 방화벽 전개 장치.
  4. 제 1 항에 있어서,
    상기 병합된 방화벽 규칙은, 상기 스위치의 플로우 규칙과 한몸을 이루거나 같은 에스디엔의 방화벽 전개 장치.
  5. 적어도 두 개의 호스트의 방화벽 규칙을 수집하는 단계;
    상기 방화벽 규칙을 병합하는 단계;
    네트워크에서의 전체 데이터 트래픽 감소량 g(X)을 최대로 하는 스위치를 선택하는 단계; 및
    상기 선택된 스위치로만 상기 병합된 방화벽 규칙을 송신하는 단계
    를 포함하고,
    상기 병합된 방화벽 규칙의 전체 수는 상기 스위치의 용량을 넘어서지 않고,
    어느 하나의 호스트를 위한 상기 병합된 방화벽 규칙은 하나의 스위치에만 놓이는, 에스디엔의 방화벽 전개 방법.
  6. 삭제
  7. 삭제
  8. 제 5 항에 있어서,
    상기 호스트의 방화벽 규칙을 수집하는 단계는 암호화하여 수행되는 에스디엔의 방화벽 전개 방법.
  9. 제 8 항에 있어서,
    상기 암호화 과정은
    네트워크의 제어 평면을 이용하여 공개키를 분배되는 단계;
    공개키를 받은 스위치가 자신과 직접 연결되는 호스트로 공개키를 부여하는 단계; 및
    상기 공개키로 호스트의 방화벽 규칙을 암호화하여 데이터 평면을 통하여 전달되는 단계
    를 포함하는 에스디엔의 방화벽 전개 방법.
  10. 삭제
  11. 제 1 항에 있어서,
    상기 전체 데이터 트래픽 감소량 g(X)은
    Figure 112020033228093-pat00011

    이고, i는 호스트의 일련 번호이고, j는 스위치의 일련 번호이고, x는 호스트에 상기 병합된 방화벽 규칙이 전개되었는지를 나타내는 인덱스이고, h는 홉 수(number of hops)이고, r은 플로우 데이터율(data rate of flow)인, 에스디엔의 방화벽 전개 장치.
  12. 제 5 항에 있어서,
    상기 전체 데이터 트래픽 감소량 g(X)은
    Figure 112020033228093-pat00012

    이고, i는 호스트의 일련 번호이고, j는 스위치의 일련 번호이고, x는 호스트에 상기 병합된 방화벽 규칙이 전개되었는지를 나타내는 인덱스이고, h는 홉 수(number of hops)이고, r은 플로우 데이터율(data rate of flow)인, 에스디엔의 방화벽 전개 방법.
KR1020180143393A 2018-11-20 2018-11-20 에스디엔의 방화벽 전개 장치, 에스디엔의 방화벽 전개 방법, 및 이 장치 또는 방법이 적용되는 네트워크 KR102160187B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020180143393A KR102160187B1 (ko) 2018-11-20 2018-11-20 에스디엔의 방화벽 전개 장치, 에스디엔의 방화벽 전개 방법, 및 이 장치 또는 방법이 적용되는 네트워크
US16/689,003 US11336622B2 (en) 2018-11-20 2019-11-19 Apparatus and method for deploying firewall on SDN and network using the same

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180143393A KR102160187B1 (ko) 2018-11-20 2018-11-20 에스디엔의 방화벽 전개 장치, 에스디엔의 방화벽 전개 방법, 및 이 장치 또는 방법이 적용되는 네트워크

Publications (2)

Publication Number Publication Date
KR20200058816A KR20200058816A (ko) 2020-05-28
KR102160187B1 true KR102160187B1 (ko) 2020-09-25

Family

ID=70726989

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180143393A KR102160187B1 (ko) 2018-11-20 2018-11-20 에스디엔의 방화벽 전개 장치, 에스디엔의 방화벽 전개 방법, 및 이 장치 또는 방법이 적용되는 네트워크

Country Status (2)

Country Link
US (1) US11336622B2 (ko)
KR (1) KR102160187B1 (ko)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110380972B (zh) * 2019-07-19 2021-08-31 重庆邮电大学 一种基于用户流传输成本优化的sdn联合路由选择及规则缓存方法
US11064018B1 (en) * 2020-01-15 2021-07-13 Vmware, Inc. Incorporating software defined networking resource utilization in workload placement
US11190406B1 (en) 2020-09-14 2021-11-30 Microsoft Technology Licensing, Llc Injecting network endpoints into a SDN
CN114422160B (zh) * 2020-10-28 2024-01-30 中移(苏州)软件技术有限公司 一种虚拟防火墙的设置方法、装置、电子设备和存储介质
CN112351034B (zh) * 2020-11-06 2023-07-25 科大讯飞股份有限公司 防火墙设置方法、装置、设备及存储介质
CN112769829B (zh) * 2021-01-11 2022-10-04 科大讯飞股份有限公司 云物理机的部署方法、相关设备及可读存储介质

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20170142010A1 (en) * 2014-03-20 2017-05-18 Hewlett Packard Enterprise Development Lp Network operation rule

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7185365B2 (en) * 2002-03-27 2007-02-27 Intel Corporation Security enabled network access control
WO2013074855A1 (en) 2011-11-15 2013-05-23 Nicira, Inc. Control plane interface for logical middlebox services
US9674147B2 (en) 2014-05-06 2017-06-06 At&T Intellectual Property I, L.P. Methods and apparatus to provide a distributed firewall in a network
EP3162017B1 (en) * 2014-06-30 2021-11-24 Alcatel Lucent Security in software defined network
CN105577714B (zh) 2014-10-13 2019-12-13 中兴通讯股份有限公司 基于软件定义网络实现内容分发网络的方法及系统
US10341298B1 (en) * 2016-03-29 2019-07-02 Amazon Technologies, Inc. Security rules for application firewalls
US10341371B2 (en) * 2016-08-31 2019-07-02 Nicira, Inc. Identifying and handling threats to data compute nodes in public cloud

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20170142010A1 (en) * 2014-03-20 2017-05-18 Hewlett Packard Enterprise Development Lp Network operation rule

Also Published As

Publication number Publication date
KR20200058816A (ko) 2020-05-28
US20200162430A1 (en) 2020-05-21
US11336622B2 (en) 2022-05-17

Similar Documents

Publication Publication Date Title
KR102160187B1 (ko) 에스디엔의 방화벽 전개 장치, 에스디엔의 방화벽 전개 방법, 및 이 장치 또는 방법이 적용되는 네트워크
CN110996318B (zh) 一种变电站智能巡检机器人安全通信接入系统
CN109565500B (zh) 按需安全性架构
US9860154B2 (en) Streaming method and system for processing network metadata
AU2015317790B2 (en) Methods and systems for business intent driven policy based network traffic characterization, monitoring and control
CN106209739B (zh) 云存储方法及系统
US20150363219A1 (en) Optimization to create a highly scalable virtual netork service/application using commodity hardware
JP5090408B2 (ja) ネットワーク通信において送信データの宛先を動的に制御する方法及び機器
KR100358518B1 (ko) 임베디드 하드웨어와 범용 컴퓨터가 결합된 방화벽 시스템
US20080267177A1 (en) Method and system for virtualization of packet encryption offload and onload
JP2018519688A (ja) クラウド内の複数境界ファイアウォール
US8175271B2 (en) Method and system for security protocol partitioning and virtualization
CN105530266B (zh) 一种许可证书管理方法、装置及系统
JP2016508353A (ja) ネットワークメタデータを処理する改良されたストリーミング方法およびシステム
Holtz et al. Building scalable distributed intrusion detection systems based on the mapreduce framework
CN106209401A (zh) 一种传输方法及装置
CN111818081B (zh) 虚拟加密机管理方法、装置、计算机设备和存储介质
Liang et al. Collaborative intrusion detection as a service in cloud computing environment
JP5372057B2 (ja) 通信システム及び通信方法
KR101686995B1 (ko) 소프트웨어 정의 네트워크와 네트워크 기능 가상화를 이용하는 IPSec VPN 장치, IPSec VPN 시스템 및 IPSec VPN 방법
CN115694914A (zh) 一种面向物联网的密码服务部署系统及方法
US11689447B2 (en) Enhanced dynamic encryption packet segmentation
Mohan et al. Securing SDN enabled IoT scenario infrastructure of fog networks from attacks
KR101417927B1 (ko) IPSec VPN에서 로드 분산을 통해 암호화 통신을 수행하기 위한 방법 및 장치
CN113286177B (zh) 基于区块链的分布式视频处理系统

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant