云計(jì)算環(huán)境下軟件定義安全導(dǎo)流裝置及其實(shí)現(xiàn)方法制造方法及圖紙

本發(fā)明專利技術(shù)涉及云計(jì)算環(huán)境下軟件安全定義導(dǎo)流裝置，包括：管理平臺(tái)，其提供安全導(dǎo)流策略配置接口，允許管理員配置安全導(dǎo)流策略；管理模塊，其接收安全導(dǎo)流策略文件并根據(jù)安全導(dǎo)流策略文件的內(nèi)容形成導(dǎo)流策略表；流量識(shí)別模塊，其接收和識(shí)別鏡像過來的業(yè)務(wù)流量，并對已識(shí)別的業(yè)務(wù)流量進(jìn)行預(yù)處理；流量處理模塊，其對預(yù)處理后的業(yè)務(wù)流量進(jìn)行二次處理；流量發(fā)送模塊，其將二次處理后的業(yè)務(wù)流量發(fā)送到指定端口，由外部設(shè)備對業(yè)務(wù)流量進(jìn)行接收；數(shù)據(jù)統(tǒng)計(jì)模塊，其對所有業(yè)務(wù)流量進(jìn)行統(tǒng)計(jì)，并向管理模塊進(jìn)行發(fā)送，再由管理模塊將統(tǒng)計(jì)信息發(fā)送給管理平臺(tái)。本發(fā)明專利技術(shù)能按需靈活鏡像業(yè)務(wù)流量，可靠性更強(qiáng)，并可實(shí)現(xiàn)軟件定義安全導(dǎo)流。

【技術(shù)實(shí)現(xiàn)步驟摘要】
【專利摘要】本專利技術(shù)涉及云計(jì)算環(huán)境下軟件安全定義導(dǎo)流裝置，包括：管理平臺(tái)，其提供安全導(dǎo)流策略配置接口，允許管理員配置安全導(dǎo)流策略；管理模塊，其接收安全導(dǎo)流策略文件并根據(jù)安全導(dǎo)流策略文件的內(nèi)容形成導(dǎo)流策略表；流量識(shí)別模塊，其接收和識(shí)別鏡像過來的業(yè)務(wù)流量，并對已識(shí)別的業(yè)務(wù)流量進(jìn)行預(yù)處理；流量處理模塊，其對預(yù)處理后的業(yè)務(wù)流量進(jìn)行二次處理；流量發(fā)送模塊，其將二次處理后的業(yè)務(wù)流量發(fā)送到指定端口，由外部設(shè)備對業(yè)務(wù)流量進(jìn)行接收；數(shù)據(jù)統(tǒng)計(jì)模塊，其對所有業(yè)務(wù)流量進(jìn)行統(tǒng)計(jì)，并向管理模塊進(jìn)行發(fā)送，再由管理模塊將統(tǒng)計(jì)信息發(fā)送給管理平臺(tái)。本專利技術(shù)能按需靈活鏡像業(yè)務(wù)流量，可靠性更強(qiáng)，并可實(shí)現(xiàn)軟件定義安全導(dǎo)流。【專利說明】
本專利技術(shù)屬于信息安全
，設(shè)及云計(jì)算環(huán)境下業(yè)務(wù)流量的鏡像、監(jiān)控、統(tǒng)計(jì)與 分析，具體設(shè)及。
技術(shù)介紹
隨著數(shù)據(jù)中屯、的大規(guī)模建設(shè)，虛擬化技術(shù)的大規(guī)模應(yīng)用，為了最大化發(fā)揮虛擬化 的優(yōu)勢，保證數(shù)據(jù)中屯、的穩(wěn)定、持續(xù)、高效運(yùn)行，云計(jì)算成為當(dāng)前IT支撐系統(tǒng)的首選。 云計(jì)算技術(shù)的核屯、在于虛擬化技術(shù)，虛擬化技術(shù)包括了計(jì)算資源虛擬化、存儲(chǔ)資 源虛擬化、安全資源虛擬化和網(wǎng)絡(luò)資源虛擬化等。在虛擬化技術(shù)中，網(wǎng)絡(luò)資源虛擬化技術(shù)顯 得格外重要，因?yàn)樗沁B接計(jì)算資源虛擬化、存儲(chǔ)資源虛擬化和安全資源虛擬化的紐帶。 網(wǎng)絡(luò)資源虛擬化的兩個(gè)重要概念為OVS和化enFlow。 OVS是openvswitch的簡稱，指開源虛擬交換機(jī)，它是部署在服務(wù)器上的軟件，實(shí)現(xiàn) 云計(jì)算環(huán)境下的數(shù)據(jù)交換功能。OVS具備流量鏡像功能，可W通過mirror命令，將業(yè)務(wù)系統(tǒng) 所連接端口的業(yè)務(wù)流量鏡像一份到一個(gè)特定的端口，連接在該端口的業(yè)務(wù)系統(tǒng)可W收取所 有的鏡像流量。 化enf low是開源協(xié)議，同時(shí)也是OVS的重要組成部分，通過化enf low協(xié)議，可W實(shí) 現(xiàn)數(shù)據(jù)轉(zhuǎn)發(fā)的控制功能，為特定的訪問關(guān)系指定一條需要經(jīng)過的路徑，簡稱引流。 云計(jì)算技術(shù)為業(yè)務(wù)系統(tǒng)資源的靈活分配、按需調(diào)整、快速恢復(fù)提供了有力支持，大 大提升了運(yùn)維效率，節(jié)省了系統(tǒng)部署時(shí)間，降低了工作量。[000引但云計(jì)算技術(shù)同時(shí)也存在一些問題。例如，在傳統(tǒng)業(yè)務(wù)系統(tǒng)中運(yùn)行正常的安全設(shè) 備，當(dāng)網(wǎng)絡(luò)虛擬化采用VXlan技術(shù)實(shí)現(xiàn)虛擬業(yè)務(wù)系統(tǒng)的跨地域遷移時(shí)，存在著無法識(shí)別 VXlan數(shù)據(jù)包頭、無法部署的情況;云計(jì)算環(huán)境下的業(yè)務(wù)系統(tǒng)邊界消失，無法在邊界實(shí)現(xiàn)安 全控制;業(yè)務(wù)系統(tǒng)的流量在OVS內(nèi)部轉(zhuǎn)發(fā)，安全檢測設(shè)備無法發(fā)現(xiàn)OVS內(nèi)部的安全問題。 此外，通過OVS的mirror命令所獲取的數(shù)據(jù)存在數(shù)據(jù)重復(fù)，導(dǎo)致網(wǎng)絡(luò)流量翻倍，影 響網(wǎng)絡(luò)性能;OVS的mirror命令鏡像到的數(shù)據(jù)與網(wǎng)絡(luò)接口關(guān)聯(lián)度高，從同一個(gè)接口獲取的數(shù) 據(jù)可能包含多個(gè)業(yè)務(wù)系統(tǒng)的信息，而某些業(yè)務(wù)系統(tǒng)的信息在進(jìn)行安全分析時(shí)并不需要，鏡 像的靈活性差。
技術(shù)實(shí)現(xiàn)思路
本專利技術(shù)的目的是提供一種，通 過其解決W下問題：1)云計(jì)算環(huán)境中，物理拓?fù)渑c業(yè)務(wù)邏輯拓?fù)溥吔绮灰恢拢瑢?dǎo)致基于安全 監(jiān)控需求的業(yè)務(wù)流量無法獲取的問題;2)傳統(tǒng)安全監(jiān)控在云計(jì)算環(huán)境中無法提供對東西向 業(yè)務(wù)流量的監(jiān)控問題，W及在特定業(yè)務(wù)環(huán)境下，對大業(yè)務(wù)流量中無需通過安全設(shè)備的流量 的細(xì)粒度流量選擇優(yōu)化問題;3)傳統(tǒng)使用物理交換機(jī)鏡像功能所無法實(shí)現(xiàn)的按安全監(jiān)控需 求和安全設(shè)備配置拓?fù)洌瑥亩鄠€(gè)源鏡像到多個(gè)不同目的的按需復(fù)雜流量鏡像處理的問題； 4)傳統(tǒng)安全監(jiān)控方案中，沒有基于安全監(jiān)控需求的統(tǒng)一安全監(jiān)控流量管控框架，實(shí)現(xiàn)對整 個(gè)網(wǎng)絡(luò)中所有流量和所有安全監(jiān)控設(shè)備的鏡像流量規(guī)則的按需軟件定義和管控的問題。 為了實(shí)現(xiàn)上述目的，本專利技術(shù)提供如下技術(shù)方案:一種云計(jì)算環(huán)境下軟件安全定義 導(dǎo)流裝置，其包括： 管理平臺(tái)，該管理平臺(tái)用于提供安全導(dǎo)流策略配置接口，允許管理員通過該配置 接口配置安全導(dǎo)流策略； 管理模塊，該管理模塊用于接收所述管理平臺(tái)通過CWCP協(xié)議下發(fā)的安全導(dǎo)流策略 文件并根據(jù)安全導(dǎo)流策略文件的內(nèi)容形成導(dǎo)流策略表； 流量識(shí)別模塊，該流量識(shí)別模塊用于接收和識(shí)別鏡像過來的業(yè)務(wù)流量，并W所述 導(dǎo)流策略表的導(dǎo)流策略對已識(shí)別的業(yè)務(wù)流量進(jìn)行預(yù)處理； 流量處理模塊，該流量處理模塊用于根據(jù)所述導(dǎo)流策略表對所述流量識(shí)別模塊預(yù) 處理后的業(yè)務(wù)流量進(jìn)行二次處理； 流量發(fā)送模塊，該流量發(fā)送模塊用于將所述流量處理模塊二次處理后的業(yè)務(wù)流量 發(fā)送到指定端口，由連接在該端口的外部設(shè)備對業(yè)務(wù)流量進(jìn)行接收； 數(shù)據(jù)統(tǒng)計(jì)模塊，該數(shù)據(jù)統(tǒng)計(jì)模塊用于對鏡像過來的所有業(yè)務(wù)流量進(jìn)行統(tǒng)計(jì)，并W 主動(dòng)或被動(dòng)的方式向所述管理模塊進(jìn)行發(fā)送，再由所述管理模塊將統(tǒng)計(jì)信息發(fā)送給所述管 理平臺(tái)。 此外，本專利技術(shù)提供一種基于上述云計(jì)算環(huán)境下軟件定義安全導(dǎo)流裝置的安全導(dǎo)流 實(shí)現(xiàn)方法，其包括W下步驟： (1)管理員在所述管理平臺(tái)中通過安全導(dǎo)流策略配置接口配置業(yè)務(wù)流量的安全導(dǎo) 流策略； (2)所述管理平臺(tái)通過CWCP協(xié)議向所述管理模塊下發(fā)安全導(dǎo)流策略文件； (3)所述管理模塊根據(jù)獲得的安全導(dǎo)流策略文件建立導(dǎo)流策略表； (4)在刀片服務(wù)器或PC服務(wù)器上，調(diào)用OVS的mirror命令，實(shí)現(xiàn)將所有業(yè)務(wù)流量鏡 像給所述流量識(shí)別模塊； (5)所述流量識(shí)別模塊接收鏡像過來的所有業(yè)務(wù)流量，并對鏡像過來的所有業(yè)務(wù) 流量進(jìn)行識(shí)別，然后W所述導(dǎo)流策略表的導(dǎo)流策略對已識(shí)別的業(yè)務(wù)流量進(jìn)行預(yù)處理，并將 預(yù)處理后的業(yè)務(wù)流量發(fā)送到所述流量處理模塊； (6)所述流量處理模塊根據(jù)所述導(dǎo)流策略表對發(fā)送過來的業(yè)務(wù)流量進(jìn)行二次處 理，二次處理完畢后將業(yè)務(wù)流量發(fā)送到所述流量發(fā)送模塊； (7)所述流量發(fā)送模塊將接收到的業(yè)務(wù)流量發(fā)送到指定的外部設(shè)備，并與所述數(shù) 據(jù)統(tǒng)計(jì)模塊共享業(yè)務(wù)流量發(fā)送隊(duì)列； (8)所述數(shù)據(jù)統(tǒng)計(jì)模塊對所述業(yè)務(wù)流量發(fā)送隊(duì)列里的數(shù)據(jù)進(jìn)行統(tǒng)計(jì)、歸并和保存； (9)所述數(shù)據(jù)統(tǒng)計(jì)模塊W主動(dòng)或被動(dòng)的方式向所述管理模塊推送統(tǒng)計(jì)信息，并由 所述管理模塊將統(tǒng)計(jì)信息上報(bào)給所述管理平臺(tái)； (10)所述管理平臺(tái)基于所述統(tǒng)計(jì)信息全局監(jiān)控云環(huán)境的網(wǎng)絡(luò)拓?fù)洹I(yè)務(wù)拓?fù)洹I(yè) 務(wù)域之間的訪問關(guān)系、訪問流量和安全措施部署狀態(tài)。 進(jìn)一步地，其中，業(yè)務(wù)流量的識(shí)別通過讀取業(yè)務(wù)流量數(shù)據(jù)包的源MAC、目的MAC、 VLAN_ID信息、源IP、源端口、目的IP、目的端口和協(xié)議來實(shí)現(xiàn)。 更進(jìn)一步地，其中，所述流量處理模塊根據(jù)所述導(dǎo)流策略表中Actions字段所定義 的內(nèi)容，對業(yè)務(wù)流量進(jìn)行二次處理。 再進(jìn)一步地，其中，對業(yè)務(wù)流量進(jìn)行二次處理包括對業(yè)務(wù)流量進(jìn)行修改數(shù)據(jù)包字 段、設(shè)置數(shù)據(jù)包發(fā)送隊(duì)列、設(shè)置數(shù)據(jù)包發(fā)送速度、設(shè)置數(shù)據(jù)包發(fā)送的多個(gè)地址。 本專利技術(shù)的具有如下有益技術(shù) 效果： 1)、將鏡像的業(yè)務(wù)流量數(shù)據(jù)與網(wǎng)絡(luò)平臺(tái)解禪，能按需靈活鏡像業(yè)務(wù)域的業(yè)務(wù)流量。 2)、將業(yè)務(wù)流量的鏡像過程、識(shí)別過程、鏡像策略配置過程W及鏡像的業(yè)務(wù)流量的 操作、轉(zhuǎn)發(fā)、統(tǒng)計(jì)過程解禪，增加更多細(xì)粒度控制手段，從而使可操控性更強(qiáng)。 3)、具有更多的鏡像選擇，可按照IP、端口和協(xié)議對復(fù)雜的業(yè)務(wù)流量進(jìn)行篩選，并 根據(jù)業(yè)務(wù)目標(biāo)設(shè)置多種預(yù)期動(dòng)作，實(shí)現(xiàn)軟件定義安全導(dǎo)流。 4)、能實(shí)時(shí)統(tǒng)計(jì)業(yè)務(wù)流量信息，從而能夠輔助運(yùn)維人員快速發(fā)現(xiàn)業(yè)務(wù)問題、安全問 題，輔助運(yùn)維人員快速定位業(yè)務(wù)故障點(diǎn)。【附圖說明】 圖1是本專利技術(shù)的云計(jì)算環(huán)境下軟件定義安全導(dǎo)流裝置的部署圖。 圖2是本專利技術(shù)的云計(jì)算環(huán)境下軟件定義安全導(dǎo)流裝置的整體架構(gòu)圖。 圖3本文檔來自技高網(wǎng)...

【技術(shù)保護(hù)點(diǎn)】
一種云計(jì)算環(huán)境下軟件安全定義導(dǎo)流裝置，其包括：管理平臺(tái)，該管理平臺(tái)用于提供安全導(dǎo)流策略配置接口，允許管理員通過該配置接口配置安全導(dǎo)流策略；管理模塊，該管理模塊用于接收所述管理平臺(tái)通過CWCP協(xié)議下發(fā)的安全導(dǎo)流策略文件并根據(jù)安全導(dǎo)流策略文件的內(nèi)容形成導(dǎo)流策略表；流量識(shí)別模塊，該流量識(shí)別模塊用于接收和識(shí)別鏡像過來的業(yè)務(wù)流量，并以所述導(dǎo)流策略表的導(dǎo)流策略對已識(shí)別的業(yè)務(wù)流量進(jìn)行預(yù)處理；流量處理模塊，該流量處理模塊用于根據(jù)所述導(dǎo)流策略表對所述流量識(shí)別模塊預(yù)處理后的業(yè)務(wù)流量進(jìn)行二次處理；流量發(fā)送模塊，該流量發(fā)送模塊用于將所述流量處理模塊二次處理后的業(yè)務(wù)流量發(fā)送到指定端口，由連接在該端口的外部設(shè)備對業(yè)務(wù)流量進(jìn)行接收；數(shù)據(jù)統(tǒng)計(jì)模塊，該數(shù)據(jù)統(tǒng)計(jì)模塊用于對鏡像過來的所有業(yè)務(wù)流量進(jìn)行統(tǒng)計(jì)，并以主動(dòng)或被動(dòng)的方式向所述管理模塊進(jìn)行發(fā)送，再由所述管理模塊將統(tǒng)計(jì)信息發(fā)送給所述管理平臺(tái)。

【技術(shù)特征摘要】

【專利技術(shù)屬性】
技術(shù)研發(fā)人員：畢江，周旭輝，王燕清，李程，李伏瓊，翟林，
申請(專利權(quán))人：王燕清，李伏瓊，畢江，周旭輝，李程，翟林，
類型：發(fā)明
國別省市：北京;11