[发明专利]一种基于网络功能虚拟化的推演多域网络安全策略的系统和方法

说明书

针对目前在网络安全设备采用严格的“白名单”安全策略的多域网络中，一旦出现网络故障或结构改变，将出现通信死锁、修复困难的问题，提出一种基于网络功能虚拟化(NFV)的推演多域网络安全策略(Deducing Secure Policy for Multi‑domain Networks based on NFV,DSPMN‑NFV)技术。DSPMN‑NFV先在等价的虚拟化多域网络系统中推演出防火墙/访问控制列表(ACL)集合的安全策略，然后通过虚拟化系统中域内策略实施器配置该安全策略集合，实际验证其是否有效，从而为该多域网络提供一种动态、实时配置防火墙/ACL安全策略的解决方案。

技术领域

本发明属于网络通信和网络安全领域，具体地说是在实施严格安全策略的多域网络中提出了一种基于网络功能虚拟化技术动态实时地推演并验证防火墙/访问控制列表(Access Control List,ACL)安全策略的技术，以解决当网络出现故障或结构变化时出现的通信死锁、修复困难的问题。

背景技术

随着网络的规模增大，网络结构就会越来越复杂。同时，随着网络成为人类社会的基础设施，网络面临的安全威胁正在增加，这些都导致网络中设置安全设备越来越多，其上配置的安全规则也越来越复杂。由于配置每台安全设备的过程非常复杂且极易出错，特别是大型网络通常划分为多个自治域(AS)，每个AS可能由一个电信运营商拥有并管理。一个AS既是一个采用相同路由协议的区域，也是一个设置相同网络安全规则的区域。因此，在多域网络环境下，网络安全设备的配置是一个极为复杂、耗时的过程，需要多个网络安全管理员协作才能完成。

当网络安全要求很高时，多域网络的每个出入口都要设置防火墙，大部分路由器也都设置ACL，其中防火墙和具有ACL的防火墙称为安全对象。并且，网络安全设备采用严格的“白名单”安全策略，即不在“白名单”上的“IP地址+端口号列表”的应用分组无法穿越一系列网络安全设备进行通信。我们将采取前述网络安全措施的网络称为“安全白网络”。这里网络用户与关键网络应用称为应用对象，控制“安全白网络”的网络安全策略包括：安全对象允许或拒绝应用对象的分组通过，其中涉及的分组参数包括：用户的IP地址、运输层协议TCP/UDP及其端口号。

设想若某“安全白网络”中的某设备(如路由器、链路或防火墙)出现了故障，或者网络结构进行了调整变动，此时用户之间端到端的路由就可能进行相应调整，分组经过的路由器(防火墙)序列就会变化。如果某台或某些防火墙/路由器的安全策略与变动之前的有所不同，就会切断多域用户之间的端到端路径。更糟糕的是，由于多域“安全白网络”的网络管理者因网络安全和网络管理权限的限制，无法感知或探测各AS域出现的故障情况以及相应的路由变换情况，因而也就无法为多域网络的防火墙/ACL集合规划出新的网络安全策略。

综上所述，多域“安全白网络”存在如下网络安全策略设置问题：

第一，当网络运行正常时，为各种重要网络应用/用户设计的用于防火墙/ACL设备的安全策略能够正常工作，而一旦网络设备故障或结构调整时，将可能引发相关应用和用户的通信中断，会对网络应用带来难以估量的严重影响。

第二，一旦网络中断时，人类管理者只能使用初级工具与技术来确定、排除问题，设法为新“网络应用/用户”组合涉及的“防火墙/ACL集合”设置新安全策略集合，而这个过程是非常缓慢、低效的。显然，“安全白网络”存在的这种因网络结构的改变而出现的通信死锁、修复困难的问题，是承担关键任务多域网络必须要解决的问题。

本专利给出了一种解决多域“安全白网络”设置网络安全策略问题的技术方案。

发明内容

[发明目的]：