TWI668973B - 基於軟件定義網路的可排程安全防護系統及其方法 - Google Patents
基於軟件定義網路的可排程安全防護系統及其方法 Download PDFInfo
- Publication number
- TWI668973B TWI668973B TW107110059A TW107110059A TWI668973B TW I668973 B TWI668973 B TW I668973B TW 107110059 A TW107110059 A TW 107110059A TW 107110059 A TW107110059 A TW 107110059A TW I668973 B TWI668973 B TW I668973B
- Authority
- TW
- Taiwan
- Prior art keywords
- security protection
- network security
- protection rule
- network
- rule group
- Prior art date
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本發明提供一種基於軟件定義網路的可排程安全防護系統及其方法。在實施例中,網路安全防護規則建立子系統係建立網路安全防護規則群組。此外,網路安全防護規則群組套用子系統係將網路安全防護規則群組套用至虛擬機器或自該等虛擬機器中移除,藉此有效地完成網路安全的防護機制。
Description
本發明係關於一種可排程安全防護的技術,特別是一種基於軟件定義網路的可排程安全防護系統及其方法。
隨著網路攻擊事件頻傳,資訊安全議題越來越受重視,雲端服務產業亦需要考慮提高自身安全性。無疑地,存取控制安全機制在雲端服務產業裡會隨著資訊安全議題,而變得越來越重要。
然而,在傳統的雲端服務產業中,需要網路管理者及系統管理者針對各種雲端網路設備及應用逐一進行安全機制的設定。此舉,在雲端網路設備及應用日漸增長、複雜的情況下,會需要更多的網路及系統管理人力才能維護雲端服務的通訊安全。
為了能在無需大量網路及系統管理人力介入的情況下,安全地維護雲端服務的運作機制,著實有必要提供一種有效的網路安全防護系統及方法,來解決現階段雲端服務在安全機制上所面臨的難題。
基於先前技術所存在的問題,本發明揭示了基於軟件定義網路的可排程安全防護系統及其方法。
相較於先前技術,本發明之一實施例揭示了使用網路安全防護規則建立子系統來讓使用者建立網路安全防護規則群組,並使用網路安全防護規則群組套用子系統將網路安全防護規則群組套用至對應的虛擬機器或自該等對應的虛擬機器中移除,藉此提供有效的網路安全防護機制。
本發明之一實施例提供了一種基於軟件定義網路的可排程安全防護方法,包含以下步驟:(1)建立一網路安全防護規則群組;(2)選擇是否使用一網路安全防護規則排程模組;以及(3)若選擇使用,則使用該網路安全防護規則排程模組進行該網路安全防護規則群組之套用,反之,則不使用該網路安全防護規則排程模組進行該網路安全防護規則群組之套用。
在另一實施例中,在該步驟(3)中,當不使用該網路安全防護規則排程模組進行該網路安全防護規則群組之套用時,包含以下步驟:(3-11)檢查該網路安全防護規則群組是否符合網路安全防護規則之格式;(3-12)根據該網路安全防護規則群組產生一供裝範本;(3-13)解析該供裝範本,以依據解析結果呼叫一軟體定義網路控制器模組;以及(3-14)使用該軟體定義網路控制器模組將該網路安全防護規則群組套用在對應的虛擬機器中。
在另一實施例中,該步驟(3-11)更包含:檢查到該網
路安全防護規則群組不符合該等網路安全防護規則之格式時,結束該網路安全防護規則群組之套用,並回報錯誤訊息。
在另一實施例中,該步驟(3-12)更包含:根據該網路安全防護規則群組產生相對應的供裝參數,以根據該等相對應的供裝參數組成該供裝範本。
在另一實施例中,該步驟(3-13)係以調用該軟體定義網路控制器模組之API的方式,呼叫該軟體定義網路控制器模組。
在另一實施例中,在該步驟(3),當使用該網路安全防護規則排程模組以進行該網路安全防護規則群組之套用時,包含以下步驟:(3-21)將該網路安全防護規則群組儲存在該網路安全防護規則排程模組中,以由該網路安全防護規則排程模組負責該網路安全防護規則群組之致能或失能;(3-22)檢查該網路安全防護規則群組是否符合網路安全防護規則之格式;(3-23)根據該網路安全防護規則群組產生一供裝範本;(3-24)解析該供裝範本,以依據解析結果呼叫一軟體定義網路控制器模組;以及(3-25)使用該軟體定義網路控制器模組將該網路安全防護規則群組套用在對應的虛擬機器中。
在另一實施例中,該步驟(3-22)更包含:檢查到該網路安全防護規則群組不符合該等網路安全防護規則之格式時,結束該網路安全防護規則群組之套用,並回報錯誤訊息。
在另一實施例中,該步驟(3-23)更包含:根據該網路安全防護規則群組產生相對應的供裝參數,以根據該等相對應的供裝參數組成該供裝範本。
在另一實施例中,該步驟(3-24)係以調用該軟體定義網路控制器模組之API的方式,呼叫該軟體定義網路控制器模組。
在另一實施例中,該網路安全防護規則群組係由基於存取控制清單(Access Control List;ACL)的網路安全防護規則所組成。
本發明之又一實施例提供了一種基於軟件定義網路的可排程安全防護系統,包含:一網路安全防護規則建立子系統,係建立網路安全防護規則群組;以及一網路安全防護規則群組套用子系統,係將該網路安全防護規則群組套用至對應的虛擬機器或自該等對應的虛擬機器中移除。
在又一實施例中,該網路安全防護規則建立子系統包含:一網路安全防護規則管理與呈現模組,係提供一使用者介面,以在該使用者介面中建立該網路安全防護規則群組;一網路協調器模組,係檢查該網路安全防護規則群組是否符合網路安全防護規則之格式,以根據該網路安全防護規則群組產生一供裝範本;一軟體式網路管理模組,係自該網路協調器模組接收該供裝範本以解析該供裝範本;以及一軟體定義網路控制器模組,係根據解析結果以儲存該網路安全防護規則群組。
在又一實施例中,該網路安全防護規則群組套用子系
統包含:一網路安全防護規則排程模組,係決定何時將該網路安全防護規則套用至該等對應的虛擬機器或自該等對應的虛擬機器中移除;一網路協調器模組,係檢查該等對應的虛擬機器之狀態是否正常,及根據該網路安全防護規則群組來產生一供裝範本;一軟體式網路管理模組,係解析該供裝範本,以依據解析結果呼叫一軟體定義網路控制器模組;以及該軟體定義網路控制器模組,係將該網路安全防護規則群組套用至該等對應的虛擬機器或自該等對應的虛擬機器中移除。
應理解,以上描述的標的可實施為電腦控制的設備、電腦程式、計算系統,或作為製品,諸如,電腦可讀取儲存媒體。
為讓本發明之上述特徵和優點能更明顯易懂,下文特舉實施例,並配合所附圖式作詳細說明。在以下描述內容中將部分闡述本發明之額外特徵及優點,且此等特徵及優點將部分自所述描述內容顯而易見,或可藉由對本發明之實踐習得。本發明之特徵及優點借助於在申請專利範圍中特別指出的元件及組合來認識到並達到。應理解,前文一般描述與以下詳細描述兩者均僅為例示性及解釋性的,且不欲約束本發明所主張之範圍。
100‧‧‧軟體定義網路之可排程安全防護系統
200‧‧‧網路安全防護規則建立子系統
201‧‧‧網路安全防護規則管理與呈現模組
202‧‧‧網路協調器模組
203‧‧‧軟體式網路管理模組
204‧‧‧軟體定義網路控制器模組
205‧‧‧網路安全防護規則與網路拓樸資料庫
300‧‧‧網路安全防護規則群組套用子系統
301‧‧‧網路安全防護規則群組套用與管理呈現模組
302‧‧‧網路安全防護規則排程模組
303‧‧‧虛擬機器
S401-S407‧‧‧步驟
S501-S507‧‧‧步驟
S601-S608‧‧‧步驟
S701-S704‧‧‧步驟
第1圖所示係為根據本發明之一實施例的基於軟件定義網路的可排程安全防護系統之示意圖;第2圖所示係為根據本發明之一實施例的網路安全防
護規則建立子系統之示意圖;第3圖所示係為根據本發明之一實施例的網路安全防護規則群組套用子系統之示意圖;第4圖所示係為根據本發明之一實施例的網路安全防護規則群組建立之流程圖;第5圖所示係為根據本發明之一實施例的不使用排程器的網路安全防護規則群組套用之流程圖;第6圖所示係為根據本發明之一實施例的使用排程器的網路安全防護規則群組套用之流程圖;以及第7圖所示係為根據本發明之一實施例之從建立網路安全防護群組到網路安全防護規則群組套用之流程圖。
以下藉由特定的具體實施形態說明本發明之實施方式,熟悉此技術之人士可由本說明書所揭示之內容輕易地了解本發明之其他優點與功效,亦可藉由其他不同的具體實施形態加以施行或應用。
本發明揭示了一種基於軟件定義網路的可排程安全防護系統及其方法。
請參閱第1圖,其為根據本發明之一實施例的基於軟件定義網路的可排程安全防護系統之示意圖。其中,軟體定義網路之可排程安全防護系統100可包含網路安全防護規則建立子系統200及網路安全防護規則群組套用子系統300。
網路安全防護規則建立子系統200可供使用者彈性地
規劃網路安全防護規則(群組),讓使用者將網路應用(application)區分為各種不同的安全防護等級,並根據不同的使用情境來規劃不同的網路安全防護規則群組,以達到網路應用之安全防護效果。藉由這樣的網路安全防護規則群組建立方式,日後使用者有新的網路應用時,即可套用先前建立的網路安全防護規則群組,而無需每次使用一個新的網路應用就得重新配置網路安全防護規則群組。
在一實施例中,網路安全防護規則群組可由如下所示之基於存取控制清單(Access Control List;ACL)的網路安全防護規則所組成:「cookie=0x8000004,duration=43810.398s,table=22,n_packets=0,n_bytes=0,priority=30000,ip,nw_dst=192.168.100.7 actions=drop(destination IP=192.168.100.7封包阻擋)cookie=0x8000004,duration=43810.398s,table=22,n_packets=0,n_bytes=0,priority=30000,in_port=3 actions=drop(inport=3封包阻擋)cookie=0x8000004,duration=43810.398s,table=22,n_packets=0,n_bytes=0,priority=30000,dl_src=fa:16:3e:0e:45:cf actions=drop(source MAC=fa:16:3e:0e:45:cf封包阻擋)」。
須說明者,以上僅是舉例說明,本發明不以此為限。
另一方面,網路安全防護規則群組套用子系統300可將事先建立好的網路安全防護規則群組套用至不同的虛擬
機器(或網路應用),包含但不限於相同/相異VLAN、相同/相異虛擬私人資料中心(VPC)、相同/相異網段的虛擬機器。
藉由網路安全防護規則群組套用子系統300,讓使用者在無需對於每個虛擬機一一進行網路安全防護規則群組的設定,亦可達到網路安全防護之功效,從而在維運網路系統時增添了不少便利性。
再者,亦可透過網路安全防護規則群組套用子系統300將網路安全防護規則群組儲存至排程器(如:網路安全防護規則排程模組)中,並在排程器中設定:在有需要的期間才開啟網路防護,而在沒有需要的期間關閉網路防護。如此一來,亦可提升設定網路安全防護的彈性。
請參閱第2圖,其圖示根據本發明之一實施例的網路安全防護規則建立子系統200。
網路安全防護規則建立子系統200可包含網路安全防護規則管理與呈現模組201、網路協調器(Orchestrator)模組202、軟體式網路管理模組203、軟體定義網路控制器模組204、網路安全防護規則與網路拓樸資料庫205。
網路安全防護規則管理與呈現模組201提供使用者介面(例如:圖形使用者介面;Graphical User Interface),讓使用者可在介面中查詢、管理並建立網路安全防護規則群組,並進一步讓使用者根據不同使用情境來建立不同的網路安全防護規則群組。
網路協調器模組202係為網路安全防護規則格式判斷與流程控制的模組,其可針對網路安全防護規則與網路拓
樸資料庫205進行查詢,並分析使用者所提出的需求(建立網路安全防護規則群組的需求)、判斷使用者需求的格式是否正確、最後再根據使用者需求來生成供裝參數及組成各(網路)元件所需之供裝範本。
網路安全防護規則與網路拓樸資料庫205係為儲存網路安全防護規則群組之資料庫,其可供網路協調器模組202查詢現有的網路安全防護規則群組。
軟體式網路管理模組203負責管理軟體定義網路控制器模組204、監控虛擬網路之狀態、以及解析供裝範本,其亦可根據解析結果將網路安全防護規則群組導入軟體定義網路控制器模組204。
軟體定義網路控制器模組204負責控制所有虛擬機之網路。在一實施例中,軟體定義網路控制器模組204可使用OpenFlow協定來對於網路交換設備進行統一管控,並可根據解析結果來儲存網路安全防護規則群組。
請參閱第3圖,其圖示根據本發明之一實施例的網路安全防護規則群組套用子系統300。
網路安全防護規則群組套用子系統300可包含網路協調器模組202、軟體式網路管理模組203、軟體定義網路控制器模組204、網路安全防護規則與網路拓樸資料庫205、網路安全防護規則群組套用與管理呈現模組301、網路安全防護規則排程模組302、及複數個虛擬機器303。
網路安全防護規則群組套用與管理呈現模組301可提供使用者介面(如:圖形使用者介面),讓使用者可在介面
中查詢現有的網路拓樸來清楚了解虛擬機目前在什麼位置、及該套用何種網路安全防護規則群組。網路安全防護規則與網路拓樸資料庫205可提供使用者查詢套用網路安全防護規則群組所需之所有資訊。
網路安全防護規則排程模組302(即,排程器)負責提供使用者自動化開啟及解除網路安全防護規則群組(即,網路安全防護規則群組的致能(enable)及/或失能(disable)),讓使用者能彈性設定適合各種情境使用的網路安全防護規則群組。
舉例而言,網路安全防護規則群組套用子系統300可在兩種情境下運作。第一種情境係當使用者的需求是不需要排程的網路安全防護,則網路安全防護規則群組套用與管理呈現模組301可與網路協調器模組202進行通訊。爾後,待網路協調器模組202檢查虛擬機器303與虛擬網路之狀態是否正常後,即可產生相對應之供裝範本,並將產生之供裝範本傳送至軟體式網路管理模組203。
第二種情境係當使用者的需求是需要排程的網路安全防護,則需先將網路安全防護規則群組傳送至網路安全防護規則與網路拓樸資料庫205。爾後,待使用者將排程設定好後,再由網路安全防護規則排程模組302啟動或解除網路安全防護規則群組,如此即可達到自動化的效果。
另一方面,網路協調器模組202負責流程控制與網路安全防護規則與網路拓樸資料庫205的查詢,其可檢查虛擬機器303與虛擬網路之狀態是否正常,再根據網路安全
防護規則排程模組302指定之規則來生成各元件所需之供裝範本。
軟體式網路管理模組203負責解析範本,並依據解析結果呼叫軟體定義網路控制器模組204以將網路安全防護規則群組套用至使用者指定之虛擬機器303或自使用者指定之虛擬機器303中移除。
請參閱第4圖,其圖示根據本發明之一實施例的網路安全防護規則群組建立之流程圖。
在步驟S401中,使用者可透過使用者介面來對於網路安全防護規則與網路拓樸資料庫205進行現有網路安全防護規則(群組)的查詢。
在步驟S402中,使用者可透過使用者介面來設定網路安全防護規則,並將網路安全防護規則以群組方式進行儲存以供日後使用。
在步驟S403中,網路協調器模組202可對於網路安全防護規則與網路拓樸資料庫205進行查詢,藉此確認各元件是否運作正常,並檢查使用者所設定之網路安全防護規則群組是否符合網路安全防護規則格式。
如在步驟S403中發生錯誤(如:使用者所設定之網路安全防護規則群組不符合格式),則會進入步驟S406,結束供裝流程,並回報使用者錯誤訊息。
如在步驟S403中並未發生錯誤,則會進入步驟S404,此時會針對使用者欲設定網路安全防護規則群組的需求,產生相對應之供裝範本,以將產生之供裝範本傳送至軟體
式網路管理模組203。
接著,在步驟S405中,軟體式網路管理模組203可針對供裝範本進行解析,以依據解析結果呼叫軟體定義網路控制器模組204(例如:可藉由調用軟體定義網路控制器模組204之API的方式)。
在步驟S407中,軟體定義網路控制器模組204可將使用者所設定之網路安全防護規則群組儲存。
請參閱第5圖,其圖示根據本發明之一實施例的不使用排程器的網路安全防護規則群組套用之流程圖。
在步驟S501中,使用者可透過使用者介面來對網路安全防護規則與網路拓樸資料庫205進行現有網路安全防護規則群組與虛擬網路拓樸的查詢。
在步驟S502中,使用者可選擇要使用的網路安全防護規則群組及欲套用網路安全防護規則群組的虛擬機器303。
在步驟S503中,網路協調器模組202可對於網路安全防護規則與網路拓樸資料庫205進行查詢,藉此確認各元件是否運作正常,並檢查使用者所設定之網路安全防護規則群組是否符合格式。
如在步驟S503中發生錯誤(如:格式錯誤或元件狀態錯誤),則會進入步驟S507,結束供裝流程(網路安全防護規則群組套用流程),並回報使用者錯誤訊息。
在一實施例中,網路協調器模組202可根據調用軟體式網路管理模組203之API的結果來判斷軟體式網路管理
模組203是否正常運作(即,軟體式網路管理模組203的元件狀態是否為錯誤),如在調用的過程中發生逾時(time-out)未回應的情形,可回報「軟體式網路管理模組203發生故障」的錯誤訊息。
另一方面,軟體式網路管理模組203亦可監控軟體定義網路控制器模組204的運作情形,如軟體定義網路控制器模組204發生故障,亦可回報「軟體定義網路控制器模組204發生故障」的錯誤訊息。
如在步驟S503中並未發生錯誤,則會進入步驟S504,此時會根據使用者的需求(即,網路安全防護規則群組的設定),產生相對應的供裝參數,以依據產生的供裝參數來組成供裝範本。
接著,在步驟S505中,軟體式網路管理模組203會對於供裝範本進行解析,以依據解析結果呼叫軟體定義網路控制器模組204(例如:可藉由調用軟體定義網路控制器模組204之API的方式)。
在步驟S506中,軟體定義網路控制器模組204針對相對應的虛擬機器303進行網路安全防護規則群組的設定。
請參閱第6圖,其圖示根據本發明之一實施例的使用排程器的網路安全防護規則群組套用之流程圖。
在步驟S601中,使用者可透過使用者介面來對網路安全防護規則與網路拓樸資料庫205進行現有網路安全防護規則群組與網路拓樸的查詢。
在步驟S602中,使用者可選擇要使用的網路安全防護
規則群組、及欲套用網路安全防護規則群組的虛擬機器303。
在步驟S603中,將網路安全防護規則群組儲存至網路安全防護規則排程模組302,之後網路安全防護規則群組的致能及/或失能即可由網路安全防護規則排程模組302來進行(即,網路安全防護規則排程模組302可決定何時套用/不套用網路安全防護規則群組)。
如此一來,日後使用者想新增、更新或取消排程時,即可使用網路安全防護規則排程模組302來進行排程修改,藉此對於網路安全防護規則群組的設定將更加靈活、方便。
在一實施例中,當網路安全防護規則排程模組302之預定時程開啟(即,網路安全防護規則群組的致能)時,網路安全防護規則排程模組302可自動將使用者需求傳送給網路協調器模組202,並由網路協調器模組202針對網路安全防護規則與網路拓樸資料庫205進行查詢,來確認虛擬機器303與虛擬網路的運作狀況。
在步驟S604中,網路協調器模組202可對於網路安全防護規則與網路拓樸資料庫205進行查詢,藉此確認各元件是否運作正常、並檢查使用者所設定之規則是否符合格式。
如在步驟S604中發生錯誤(如:格式錯誤或元件狀態錯誤),則會進入步驟S608,結束供裝流程(網路安全防護規則群組套用流程),並回報使用者錯誤訊息。
如在步驟S604中並未發生錯誤,則會進入步驟S605,此時會針對使用者的需求(即,網路安全防護規則群組的設定),產生相對應的供裝參數並組成供裝範本。
接著,在步驟S606中,軟體式網路管理模組203會對於供裝範本進行解析,以調用軟體定義網路控制器模組204之API。
在步驟S607中,軟體定義網路控制器模組204針對相對應的虛擬機器303進行網路安全防護規則群組的設定。
請參閱第7圖,其圖示根據本發明之一實施例之從建立網路安全防護群組到網路安全防護規則群組套用之流程圖。
首先,在步驟S701中,使用者可建立單個網路安全防護規則群組,亦可建立多個網路安全防護規則群組以在各種不同的情境下使用。
在步驟S702中,使用者可決定是否要使用排程器(如:網路安全防護規則排程模組302)功能。如果使用者決定不使用排程器功能,則進入步驟S703中,此時會進行如第5圖所示之不使用排程器的網路安全防護規則群組套用之流程。
如果使用者決定使用排程器功能,則進入步驟S704中,此時會進行如第6圖所示之使用排程器的網路安全防護規則群組套用之流程。
上述實施形態僅例示性說明本發明之原理、特點及其功效,並非用以限制本發明之可實施範疇,任何熟習此項
技藝之人士均可在不違背本發明之精神及範疇下,對上述實施形態進行修飾與改變。任何運用本發明所揭示內容而完成之等效改變及修飾,均仍應為申請專利範圍所涵蓋。因此,本發明之權利保護範圍,應如申請專利範圍所列。
Claims (12)
- 一種基於軟件定義網路的可排程安全防護方法,包含以下步驟:(1)建立一網路安全防護規則群組;(2)選擇是否使用一網路安全防護規則排程模組;以及(3)若選擇使用,則使用該網路安全防護規則排程模組進行該網路安全防護規則群組之套用,反之,則不使用該網路安全防護規則排程模組進行該網路安全防護規則群組之套用;其中,在該步驟(3)中,當不使用該網路安全防護規則排程模組進行該網路安全防護規則群組之套用時,包含以下步驟:(3-11)檢查該網路安全防護規則群組是否符合網路安全防護規則之格式;(3-12)根據該網路安全防護規則群組產生一供裝範本;(3-13)解析該供裝範本,以依據解析結果呼叫一軟體定義網路控制器模組;以及(3-14)使用該軟體定義網路控制器模組將該網路安全防護規則群組套用在對應的虛擬機器中。
- 如申請專利範圍第1項所述之方法,其中,該步驟(3-11)更包含:檢查到該網路安全防護規則群 組不符合該等網路安全防護規則之格式時,結束該網路安全防護規則群組之套用,並回報錯誤訊息。
- 如申請專利範圍第1項所述之方法,其中,該步驟(3-12)更包含:根據該網路安全防護規則群組產生相對應的供裝參數,以根據該等相對應的供裝參數組成該供裝範本。
- 如申請專利範圍第1項所述之方法,其中,該步驟(3-13)係以調用該軟體定義網路控制器模組之API的方式,呼叫該軟體定義網路控制器模組。
- 一種基於軟件定義網路的可排程安全防護方法,包含以下步驟:(1)建立一網路安全防護規則群組;(2)選擇是否使用一網路安全防護規則排程模組;以及(3)若選擇使用,則使用該網路安全防護規則排程模組進行該網路安全防護規則群組之套用,反之,則不使用該網路安全防護規則排程模組進行該網路安全防護規則群組之套用;其中,在該步驟(3),當使用該網路安全防護規則排程模組以進行該網路安全防護規則群組之套用時,包含以下步驟:(3-21)將該網路安全防護規則群組儲存在該網路安全防護規則排程模組中,以由該網路安全 防護規則排程模組負責該網路安全防護規則群組之致能或失能;(3-22)檢查該網路安全防護規則群組是否符合網路安全防護規則之格式;(3-23)根據該網路安全防護規則群組產生一供裝範本;(3-24)解析該供裝範本,以依據解析結果呼叫一軟體定義網路控制器模組;以及(3-25)使用該軟體定義網路控制器模組將該網路安全防護規則群組套用在對應的虛擬機器中。
- 如申請專利範圍第5項所述之方法,其中,該步驟(3-22)更包含:檢查到該網路安全防護規則群組不符合該等網路安全防護規則之格式時,結束該網路安全防護規則群組之套用,並回報錯誤訊息。
- 如申請專利範圍第5項所述之方法,其中,該步驟(3-23)更包含:根據該網路安全防護規則群組產生相對應的供裝參數,以根據該等相對應的供裝參數組成該供裝範本。
- 如申請專利範圍第5項所述之方法,其中,該步驟(3-24)係以調用該軟體定義網路控制器模組之API的方式,呼叫該軟體定義網路控制器模組。
- 如申請專利範圍第1項所述之方法,其中,該網 路安全防護規則群組係由基於存取控制清單(Access Control List;ACL)的網路安全防護規則所組成。
- 一種基於軟件定義網路的可排程安全防護系統,包含:一網路安全防護規則建立子系統,係建立網路安全防護規則群組;以及一網路安全防護規則群組套用子系統,係將該網路安全防護規則群組套用至對應的虛擬機器或自該等對應的虛擬機器中移除;其中,該網路安全防護規則建立子系統包含:一網路協調器模組,係檢查該網路安全防護規則群組是否符合網路安全防護規則之格式,以根據該網路安全防護規則群組產生一供裝範本;及一軟體式網路管理模組,係自該網路協調器模組接收該供裝範本以解析該供裝範本。
- 如申請專利範圍第10項所述之系統,其中,該網路安全防護規則建立子系統包含:一網路安全防護規則管理與呈現模組,係提供一使用者介面,以在該使用者介面中建立該網路安全防護規則群組;以及一軟體定義網路控制器模組,係根據解析結果以儲存該網路安全防護規則群組。
- 如申請專利範圍第10項所述之系統,其中,該網路安全防護規則群組套用子系統包含:一網路安全防護規則排程模組,係決定何時將該網路安全防護規則套用至該等對應的虛擬機器或自該等對應的虛擬機器中移除;該網路協調器模組,係檢查該等對應的虛擬機器之狀態是否正常;該軟體式網路管理模組,係依據解析結果呼叫一軟體定義網路控制器模組;以及該軟體定義網路控制器模組,係將該網路安全防護規則群組套用至該等對應的虛擬機器或自該等對應的虛擬機器中移除。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
TW107110059A TWI668973B (zh) | 2018-03-23 | 2018-03-23 | 基於軟件定義網路的可排程安全防護系統及其方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
TW107110059A TWI668973B (zh) | 2018-03-23 | 2018-03-23 | 基於軟件定義網路的可排程安全防護系統及其方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
TWI668973B true TWI668973B (zh) | 2019-08-11 |
TW201941568A TW201941568A (zh) | 2019-10-16 |
Family
ID=68316556
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
TW107110059A TWI668973B (zh) | 2018-03-23 | 2018-03-23 | 基於軟件定義網路的可排程安全防護系統及其方法 |
Country Status (1)
Country | Link |
---|---|
TW (1) | TWI668973B (zh) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104023011A (zh) * | 2014-05-30 | 2014-09-03 | 国云科技股份有限公司 | 一种适用于虚拟机的网络防火墙的实现方法 |
TW201507397A (zh) * | 2013-08-01 | 2015-02-16 | Chunghwa Telecom Co Ltd | 一種透過控制器管控虛擬機網路存取與流向以生成安全性虛擬隔離群組之方法與系統 |
US9015823B2 (en) * | 2011-11-15 | 2015-04-21 | Nicira, Inc. | Firewalls in logical networks |
US20170208097A1 (en) * | 2013-02-07 | 2017-07-20 | Infoblox Inc. | Security device controller |
TWI607337B (zh) * | 2016-11-11 | 2017-12-01 | Chunghwa Telecom Co Ltd | Firewall command rule optimization system and method |
-
2018
- 2018-03-23 TW TW107110059A patent/TWI668973B/zh active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9015823B2 (en) * | 2011-11-15 | 2015-04-21 | Nicira, Inc. | Firewalls in logical networks |
US20170208097A1 (en) * | 2013-02-07 | 2017-07-20 | Infoblox Inc. | Security device controller |
TW201507397A (zh) * | 2013-08-01 | 2015-02-16 | Chunghwa Telecom Co Ltd | 一種透過控制器管控虛擬機網路存取與流向以生成安全性虛擬隔離群組之方法與系統 |
CN104023011A (zh) * | 2014-05-30 | 2014-09-03 | 国云科技股份有限公司 | 一种适用于虚拟机的网络防火墙的实现方法 |
TWI607337B (zh) * | 2016-11-11 | 2017-12-01 | Chunghwa Telecom Co Ltd | Firewall command rule optimization system and method |
Also Published As
Publication number | Publication date |
---|---|
TW201941568A (zh) | 2019-10-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108989091B (zh) | 基于Kubernetes网络的租户网络隔离方法、存储介质、电子设备 | |
EP3314816B1 (en) | Network function virtualization (nfv) hardware trust in data communication systems | |
EP2989750B1 (en) | Network configuration auto-deployment | |
CN105099789B (zh) | 一种网元升级方法及设备 | |
US9294351B2 (en) | Dynamic policy based interface configuration for virtualized environments | |
EP3399705B1 (en) | Controlling packets of virtual machines | |
US10530668B2 (en) | Method and entities for service availability management | |
US8639783B1 (en) | Policy based configuration of interfaces in a virtual machine environment | |
US9203645B2 (en) | Virtual input-output connections for machine virtualization | |
US20200244486A1 (en) | Dynamic customer vlan identifiers in a telecommunications network | |
CN103236945A (zh) | 基于OpenFlow的FlowVisor网络系统 | |
WO2013035342A1 (en) | Network management service system, control apparatus, method, and program | |
TW201824827A (zh) | 基於sdn的報文鏡像方法及網路流量監控管理系統 | |
WO2008030734A2 (en) | Method and system for providing network management based on defining and applying network administrative intents | |
WO2018010555A1 (zh) | 一种北向接口lte业务自动配置方法、北向接口装置及存储介质 | |
WO2023056722A1 (zh) | 一种分布式防火墙定义方法及系统 | |
CN108781207A (zh) | 动态创建访问控制列表的方法和系统 | |
CN104301129A (zh) | 一种软件定义网络中的动态主机配置方法及系统 | |
WO2017162030A1 (zh) | 一种虚拟网络的生成方法和装置 | |
WO2017211161A1 (zh) | 基于软件定义网络的资源管理方法及装置 | |
TWI668973B (zh) | 基於軟件定義網路的可排程安全防護系統及其方法 | |
CN108933760B (zh) | 安全业务控制方法和系统 | |
CN104426792B (zh) | 调度器支持能力的查询、通知方法及装置 | |
US11809923B2 (en) | Governing access to third-party application programming interfaces | |
Li et al. | Towards centralized and semi‐automatic VLAN management |