[发明专利]一种基于虚拟网络环境的云安全系统及其部署框架在审
申请号: | 201510523119.1 | 申请日: | 2015-08-24 |
公开(公告)号: | CN105049450A | 公开(公告)日: | 2015-11-11 |
发明(设计)人: | 王智民 | 申请(专利权)人: | 北京汉柏科技有限公司 |
主分类号: | H04L29/06 | 分类号: | H04L29/06 |
代理公司: | 北京中政联科专利代理事务所(普通合伙) 11489 | 代理人: | 柴智敏 |
地址: | 100085 北京市海*** | 国省代码: | 北京;11 |
权利要求书: | 查看更多 | 说明书: | 查看更多 |
摘要: | |||
搜索关键词: | 一种 基于 虚拟 网络 环境 云安 全系统 及其 部署 框架 | ||
技术领域
本发明涉及云安全技术领域,特别涉及一种基于虚拟网络环境的云安全系统及其部署框架。
背景技术
随着信息技术的发展,云的应用越来越广泛,用户对云的需求也在不断增长。虚拟化是实现云的技术手段之一,比如计算虚拟化、网络虚拟化、存储虚拟化、安全虚拟化、终端虚拟化等都是实现云的关键技术。
云服务环境主要由终端、管道和数据中心构成,所以云服务环境的安全隐患也主要包括这三个方面的安全隐患。然而,现有技术在解决云环境下的纷繁复杂的安全隐患时,存在诸多不足。
发明内容
本发明的目的是提供一种基于虚拟网络环境的云安全系统及其部署框架,本发明借鉴SDN架构的理念,采用controller与worker相分离的思路,并通过安全防护层对网络报文进行安全防护,提供了全面的云安全防护解决方案。。
为实现上述目的,本发明的一个方面提供了一种基于虚拟网络环境的云安全系统,采用SDN架构,包括:SDN控制层,用于接收界面管理层下发的配置信息,并根据所述配置信息生成转发规则,将所述转发规则下发到转发层;转发层包括多个虚拟路由器,所述虚拟路由器用于接管和转发源虚拟机的网络报文;虚拟路由器在接收到SDN控制层下发的所述转发规则后,将所述网络报文发给安全防护层进行安全防护,并将安全防护后的所述网络报文转发给所述虚拟路由器;所述虚拟路由器根据所述转发规则,将安全防护后的所述网络报文发给目标虚拟机。
其中,所述安全防护层包括以虚拟机形态或以硬件形态运行的虚拟防火墙、入侵防御系统、Web应用防护系统、分布式拒绝服务和/或负载均衡器。
其中,SDN控制层包括配置节点,其用于将界面管理层发出的所述配置信息转化为内部数据结构,并向所述控制节点发送所述转化为内部数据结构的所述配置信息。。
其中,SDN控制层还包括控制节点,其用于根据配置节点发送的所述配置信息生成转发规则,并将所述转发规则下发到所述转发层。
其中,SDN控制层还包括分析节点,其用于采集云环境中的监测数据,对采集到的所述监测数据进行分析并将分析结果发送给所述界面管理层展示;所述监测数据包括:网络攻击类型、攻击总数、风险级别、虚拟机的网络流量、流量速率、累计流量、物理服务器的CPU利用率和内存使用率。
其中,所述分析节点还用于采集配置节点和控制节点的CPU利用率和内存使用情况,以监控云安全系统本身的运行状况,并将采集到的所述CPU利用率和内存使用情况发送给界面管理层展示。
其中,所述转发层包括多个虚拟路由器,每个所述虚拟路由器包括:用户态模块和内核态模块;用户态模块接收到控制节点发出的所述转发规则后,将所述转发规则转化成内部数据结构,并向内核态模块发送所述转化为内部数据结构的所述转发规则;内核态模块接收到用户态模块发送的所述转发规则后,将所述网络报文发给安全防护层进行安全防护,并根据所述转发规则对安全防护后的所述网络报文进行转发。
其中,所述界面管理层通过虚拟防火墙和/或硬件防火墙的接口,对所述虚拟防火墙和/或硬件防火墙进行监控和管理。
其中,所述转发规则包括:源虚拟机名称、目标虚拟机名称、源虚拟机IP地址、目标虚拟机IP地址、源虚拟机所在服务器的IP地址、目标虚拟机所在服务器的IP地址和转发方式;所述转发方式包括:直接转发、VLAN转发和隧道转发;所述隧道转发包括:VLAN、VXLAN、MPLS转发。
本发明的另一个方面提供了一种基于虚拟网络环境的云安全系统的部署框架,包括多台物理服务器;其中,至少一台物理服务器,用于配置权利要求1-7中任一项所述系统中的SDN控制层,所述SDN控制层在每台所述物理服务器上运行一个实例;每台所述物理服务器上运行一个虚拟路由器,多个所述虚拟路由器组成所述系统中的转发层。
本发明借鉴SDN架构的理念,采用controller与worker相分离的思路,并通过安全防护层对网络报文进行安全防护,提供了全面的云安全防护解决方案。
附图说明
图1是本发明的基于虚拟网络环境的云安全系统的结构示意图;
图2是本发明的SDN控制层的结构示意图;
图3是本发明的转发层的结构示意图;
图4是本发明的基于虚拟网路环境的云安全系统的部署框架的示意图。
具体实施方式
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于北京汉柏科技有限公司,未经北京汉柏科技有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201510523119.1/2.html,转载请声明来源钻瓜专利网。