【技術(shù)實(shí)現(xiàn)步驟摘要】
本專利技術(shù)涉及信息安全
,尤其涉及虛擬化網(wǎng)絡(luò)環(huán)境中對(duì)鏡像網(wǎng)絡(luò)流量的控制方案和控制協(xié)議。
技術(shù)介紹
在虛擬化網(wǎng)絡(luò)環(huán)境中,虛擬網(wǎng)絡(luò)邊界是由虛擬機(jī)和隔離邊界的隔離方案如VLAN或VXLAN構(gòu)成,而物理網(wǎng)絡(luò)邊界仍然是傳統(tǒng)的基于物理網(wǎng)絡(luò)交換機(jī)和網(wǎng)絡(luò)鏈路組成。這就使得一個(gè)由虛擬機(jī)組成的網(wǎng)絡(luò)的虛擬網(wǎng)絡(luò)邊界和物理網(wǎng)絡(luò)邊界不一致。傳統(tǒng)物理安全設(shè)備從物理網(wǎng)絡(luò)邊界(物理交換機(jī)的上行端口)鏡像網(wǎng)絡(luò)流量時(shí),就無法獲得一個(gè)完整的虛擬網(wǎng)絡(luò)邊界所對(duì)應(yīng)的網(wǎng)絡(luò)流量。虛擬機(jī)間可以通過虛擬交換機(jī)直接通信,而不把流量轉(zhuǎn)發(fā)到物理網(wǎng)絡(luò)鏈路上,這部分流量也無法被物理安全設(shè)備直接監(jiān)控到。為了解決在虛擬網(wǎng)絡(luò)環(huán)境中的網(wǎng)絡(luò)流量監(jiān)控的盲區(qū)問題,現(xiàn)在常用的技術(shù)手段是通過配置虛擬交換機(jī)或利用安裝在虛擬化環(huán)境中的虛擬機(jī)把需要監(jiān)控的網(wǎng)絡(luò)流量從虛擬化環(huán)境中導(dǎo)出到物理鏈路上來。其中通過配置虛擬機(jī)交換機(jī)的流量導(dǎo)出方案可以解決虛擬間通信流量不出到物理鏈路上而無法被捕獲的問題,但是仍然存在由于虛擬網(wǎng)絡(luò)邊界和物理網(wǎng)絡(luò)邊界不一致而導(dǎo)致的無法捕獲一個(gè)完整的虛擬網(wǎng)絡(luò)邊界的流量的問題。通過虛擬機(jī)將虛擬交換機(jī)上的流量捕獲再導(dǎo)出來將是一種更加合理且被越來越多安全廠商所接受的方案。軟件定義網(wǎng)絡(luò)(Software Defined Networks,SDN)是近年來提出的一種利用解耦網(wǎng)絡(luò)硬件的控制層、轉(zhuǎn)發(fā)層和數(shù)據(jù)層來實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)流量高靈活性轉(zhuǎn)發(fā)控制的新的網(wǎng)絡(luò)控制架構(gòu)。為了支持軟件定義的靈活性,無法由單一的物理交換機(jī)來完成對(duì)某個(gè)網(wǎng)絡(luò)流的轉(zhuǎn)發(fā)控制,因?yàn)閱我晃锢斫粨Q機(jī)缺少足夠的網(wǎng)絡(luò)全局拓?fù)湫畔⒌闹С郑虼嗽谲浖x網(wǎng)絡(luò)的環(huán)境中,需要將控制權(quán)限進(jìn)行集中...
【技術(shù)保護(hù)點(diǎn)】
一種虛擬化網(wǎng)絡(luò)環(huán)境中基于軟件定義的鏡像網(wǎng)絡(luò)流量控制協(xié)議,其特征在于,該協(xié)議能夠適應(yīng)功能上解耦合且分布式部署的鏡像流量采集、鏡像流量分發(fā)和鏡像流量控制的系統(tǒng)結(jié)構(gòu),鏡像流量采集器節(jié)點(diǎn)/虛擬機(jī)被部署在用戶的業(yè)務(wù)網(wǎng)絡(luò)環(huán)境中,其主要功能是捕獲虛擬化環(huán)境中的鏡像流量,在根據(jù)協(xié)議所指定的目的進(jìn)行轉(zhuǎn)發(fā);鏡像流量分發(fā)器部署在非業(yè)務(wù)網(wǎng)絡(luò)環(huán)境中,即不需要考慮網(wǎng)絡(luò)負(fù)載對(duì)用戶業(yè)務(wù)網(wǎng)絡(luò)環(huán)境正常網(wǎng)絡(luò)通信的影響,其功能是根據(jù)協(xié)議所指定的多目的的流量分析設(shè)備進(jìn)行流量復(fù)制和分發(fā);鏡像流量中心控制器對(duì)整個(gè)鏡像網(wǎng)絡(luò)流量的轉(zhuǎn)發(fā)邏輯進(jìn)行統(tǒng)一的控制,提供軟件定義的接口。
【技術(shù)特征摘要】
1.一種虛擬化網(wǎng)絡(luò)環(huán)境中基于軟件定義的鏡像網(wǎng)絡(luò)流量控制協(xié)議,其特征在于,該協(xié)議能夠適應(yīng)功能上解耦合且分布式部署的鏡像流量采集、鏡像流量分發(fā)和鏡像流量控制的系統(tǒng)結(jié)構(gòu),鏡像流量采集器節(jié)點(diǎn)/虛擬機(jī)被部署在用戶的業(yè)務(wù)網(wǎng)絡(luò)環(huán)境中,其主要功能是捕獲虛擬化環(huán)境中的鏡像流量,在根據(jù)協(xié)議所指定的目的進(jìn)行轉(zhuǎn)發(fā);鏡像流量分發(fā)器部署在非業(yè)務(wù)網(wǎng)絡(luò)環(huán)境中,即不需要考慮網(wǎng)絡(luò)負(fù)載對(duì)用戶業(yè)務(wù)網(wǎng)絡(luò)環(huán)境正常網(wǎng)絡(luò)通信的影響,其功能是根據(jù)協(xié)議所指定的多目的的流量分析設(shè)備進(jìn)行流量復(fù)制和分發(fā);鏡像流量中心控制器對(duì)整個(gè)鏡像網(wǎng)絡(luò)流量的轉(zhuǎn)發(fā)邏輯進(jìn)行統(tǒng)一的控制,提供軟件定義的接口。2.根據(jù)權(quán)利要求1所述的鏡像網(wǎng)絡(luò)流量控制協(xié)議,其整體工作流程為:1)在鏡像流量采集器節(jié)點(diǎn)捕獲到數(shù)據(jù)包后,會(huì)在本地的導(dǎo)流流表中查找數(shù)據(jù)包所代表的流所對(duì)應(yīng)的流表項(xiàng),若找不到對(duì)應(yīng)匹配項(xiàng),則表明該流所對(duì)應(yīng)的導(dǎo)流規(guī)則還未從鏡像流量中心控制器下發(fā),則需要向控制中心請(qǐng)求該規(guī)則;2)鏡像流量采集器節(jié)點(diǎn)向鏡像流量中心控制器節(jié)點(diǎn)發(fā)送導(dǎo)流流表項(xiàng)請(qǐng)求協(xié)議,請(qǐng)求對(duì)應(yīng)的導(dǎo)流流表項(xiàng);3)在鏡像流量采集器節(jié)點(diǎn)發(fā)出導(dǎo)流流表項(xiàng)請(qǐng)求后,尚未接收到鏡像流量中心控制器節(jié)點(diǎn)下發(fā)的流表項(xiàng)之前,先按照默認(rèn)導(dǎo)流規(guī)則進(jìn)行導(dǎo)流,默認(rèn)規(guī)則為將該流的前n個(gè)數(shù)據(jù)包導(dǎo)出給鏡像流量控制中心;4)鏡像流量中心控制器節(jié)點(diǎn)接收到導(dǎo)流流表項(xiàng)請(qǐng)求報(bào)文后,基于報(bào)文內(nèi)容對(duì)本地?cái)?shù)據(jù)庫進(jìn)行檢索,查找預(yù)先配置和定義的該流對(duì)對(duì)應(yīng)的導(dǎo)流規(guī)則,并基于查找結(jié)果生成對(duì)應(yīng)的流表項(xiàng)規(guī)則;5)若無法找到對(duì)應(yīng)的導(dǎo)流規(guī)則,則由鏡像流量中心控制器向發(fā)送請(qǐng)求的鏡像流量采集器發(fā)送協(xié)議分析請(qǐng)求;6)收到協(xié)議分析請(qǐng)求的鏡像流量采集器將該流的完整數(shù)據(jù)包上報(bào)至鏡像流量中心控制器;7)鏡像流量中心控制器分析獲得的上報(bào)數(shù)據(jù)包的內(nèi)容,分析應(yīng)用層協(xié)議,并基于系統(tǒng)的配置生成對(duì)應(yīng)的導(dǎo)流的規(guī)則;8)若該流所對(duì)應(yīng)的流分析設(shè)備是單一設(shè)備時(shí),鏡像流量中心控制器節(jié)點(diǎn)直接向請(qǐng)求該規(guī)則的鏡像流量采集器節(jié)點(diǎn)下發(fā)導(dǎo)流規(guī)則;9)鏡像流量采集器節(jié)點(diǎn)在接收到下發(fā)來的導(dǎo)流規(guī)則后,更新本地的流表,并按照新的導(dǎo)流規(guī)則將流量導(dǎo)出到對(duì)應(yīng)的流分析設(shè)備;10)若該流所對(duì)應(yīng)的流分析設(shè)備超過一個(gè)設(shè)備時(shí),鏡像流量中心控制器節(jié)點(diǎn)選擇一個(gè)合適的鏡像流量分發(fā)器節(jié)點(diǎn),作為導(dǎo)流目的,并向請(qǐng)求該規(guī)則的鏡像流量采集器節(jié)點(diǎn)下發(fā)以該鏡像流量分發(fā)器節(jié)點(diǎn)為目的的導(dǎo)流規(guī)則;11)鏡像流量采集器節(jié)點(diǎn)在接收到下發(fā)來的導(dǎo)流規(guī)則后,更新本地的流表,并按照新的導(dǎo)流規(guī)則將流量導(dǎo)出到對(duì)應(yīng)的鏡像流量分發(fā)器節(jié)點(diǎn);12)鏡像流量中心控制器節(jié)點(diǎn)基于流分析設(shè)備的目的和對(duì)所需要的鏡像流量的要求,向被選作導(dǎo)流目的的鏡像流量分發(fā)器節(jié)點(diǎn)下發(fā)流分發(fā)規(guī)則;13)鏡像流量分發(fā)器節(jié)點(diǎn)在接收到流分發(fā)規(guī)則后,更新本地流表,并在接收到從鏡像流量采集器節(jié)點(diǎn)導(dǎo)出來的流量后,基于流分發(fā)規(guī)則表進(jìn)行流量的分發(fā)。3.根據(jù)權(quán)利要求2所述的鏡像網(wǎng)絡(luò)流量控制協(xié)議的整體工作流程,所述導(dǎo)流規(guī)則表被存儲(chǔ)在鏡像流量采集器節(jié)點(diǎn)的內(nèi)存中,每個(gè)數(shù)據(jù)包在處理時(shí)都需要基于數(shù)據(jù)包的源MAC、目的MAC、源IP、目的IP、端口號(hào)和VLAN ID來檢索該數(shù)據(jù)包所對(duì)應(yīng)的網(wǎng)絡(luò)流在該表中的對(duì)應(yīng)的表項(xiàng),以基于表項(xiàng)對(duì)數(shù)據(jù)包進(jìn)行處理,其中:動(dòng)作ID指定需要執(zhí)行的動(dòng)作,目前支持丟棄和導(dǎo)流兩種動(dòng)作;封裝IP、封裝VLAN是在導(dǎo)流時(shí)根據(jù)用戶網(wǎng)絡(luò)環(huán)境提供的將數(shù)據(jù)包導(dǎo)出時(shí)需要構(gòu)造的數(shù)據(jù)封裝格式;目的MAC地址的指定是可選項(xiàng),在沒有SDN網(wǎng)絡(luò)支持的環(huán)境下,且需要直接將流量轉(zhuǎn)發(fā)到安全設(shè)備而不是流量分發(fā)節(jié)點(diǎn)時(shí)需要指定,統(tǒng)計(jì)標(biāo)志指定該流的流量和數(shù)據(jù)包個(gè)數(shù)是否需要進(jìn)行統(tǒng)計(jì)和上報(bào)給管理中心,失效時(shí)間是該流表項(xiàng)的失效時(shí)間,系統(tǒng)中將啟用一個(gè)對(duì)應(yīng)的計(jì)時(shí)器,每次該流表項(xiàng)被匹配后,對(duì)應(yīng)的計(jì)時(shí)器將被重置為該流表項(xiàng)中的失效時(shí)間,若超過失效時(shí)間的周期內(nèi)都沒有屬于該流表項(xiàng)的數(shù)據(jù)包得到匹配,則將刪除該流表項(xiàng)。4.根據(jù)權(quán)利要求2所述的鏡像網(wǎng)絡(luò)流量控制協(xié)議的整體工作流程,所述導(dǎo)流流表項(xiàng)請(qǐng)求報(bào)屬于應(yīng)用層協(xié)議,其中:協(xié)議標(biāo)志給出該協(xié)議的識(shí)別信息;設(shè)備ID給出鏡像流量采集器節(jié)點(diǎn)的識(shí)別信息;任務(wù)ID給出該報(bào)文所要執(zhí)行的任務(wù),在當(dāng)...
【專利技術(shù)屬性】
技術(shù)研發(fā)人員:不公告發(fā)明人,
申請(qǐng)(專利權(quán))人:北京瑞和云圖科技有限公司,
類型:發(fā)明
國別省市:北京;11
還沒有人留言評(píng)論。發(fā)表了對(duì)其他瀏覽者有用的留言會(huì)獲得科技券。