一种基于软件定义的网络安全流安全平台的制作方法
【技术领域】
[0001]本发明涉及网络安全技术领域,具体的说是一种基于软件定义的网络安全流安全
-ψ-
口 O
【背景技术】
[0002]传统IT架构中的网络,根据业务需求部署上线以后,如果业务需求发生变动,重新修改相应网络设备(路由器、交换机、防火墙)上的配置是一件非常繁琐的事情。在互联网/移动互联网瞬息万变的业务环境下,网络的高稳定与高性能还不足以满足业务需求,灵活性和安全性反而更为关键。软件定义网络(SDN)所做的事是将网络设备上的控制权分离出来,由集中的控制器管理,无须依赖底层网络设备(路由器、交换机、防火墙),屏蔽了来自底层网络设备的差异,而控制权是完全开放的,用户可以自定义任何想实现的网络路由和传输规则策略,从而更加灵活和智能。而目前基于软件定义网络环境下的资源管理和安全防护方面存在一些缺陷,难以满足网络大流量、安全需求多样、安全可信度要求较高环境下的安全防护需求。
【发明内容】
[0003]本发明的目的在于提供一种基于软件定义的网络安全流安全平台,以解决目前基于软件定义网络环境下的资源管理和安全防护方面存在的一些缺陷。
[0004]本发明提供的一种基于软件定义的网络安全流安全平台是通过以下技术方案实现的:
一种基于软件定义的网络安全流安全平台,其特征在于:包括应用层、管理层、数据层;
所述应用层包括网络应用、网络服务、自定义应用接口,所述应用层可直接为应用进程提供服务,其作用是在实现多个系统应用进程相互通信的同时,完成一系列业务处理所需的服务;
所述管理层包括SDN控制器,所述SDN控制器将网络设备上的控制权分离出来并进行集中管理;
所述数据层包括防火墙、Web应用防护系统WAF、入侵检测系统IDS,所述数据层可对访问数据进行检测及控制。
[0005]所述防火墙通过SDN控制器定制的安全策略,将流量牵引至所述防火墙,由防火墙根据规则对访问流量进行控制,阻断非授权访问,并将合法的访问流量回注到应用中去。
[0006]所述入侵检测系统IDS可根据定制的安全策略对虚拟环境下网络流量的导出与检测。
[0007]本发明的有益效果是:
1、基于软件定义网络的安全流平台可以解决SDN环境下的资源管理和安全防护方面的缺陷,满足满足网络大流量、安全需求多样、安全可信程度要求较高环境下的安全防护需求。
[0008]2、基于软件定义网络的安全流平台可融合相关的安全设备,对指定服务或应用实现多种安全功能灵活有序组合,通过安全功能的联动防护,能满足提高面向业务安全的整体防护能力需求。
[0009]3、基于SDN网络架构可以支持动态网络流量的可视化,对流量进行控制和检测,进一步提尚网络安全。
【附图说明】
[0010]图I是本发明的系统构架示意图。
【具体实施方式】
[0011]为使本申请的目的、技术方案和优点更加清楚,以下结合附图及具体实施例,对本申请作进一步地详细说明。
[0012]如图I所示的一种基于软件定义的网络安全流安全平台,其特征在于:包括应用层、管理层、数据层;所述应用层包括网络应用、网络服务、自定义应用接口,所述应用层可直接为应用进程提供服务,其作用是在实现多个系统应用进程相互通信的同时,完成一系列业务处理所需的服务;所述管理层包括SDN控制器,所述SDN控制器将网络设备上的控制权分离出来并进行集中管理;所述数据层包括防火墙、Web应用防护系统WAF、入侵检测系统IDS,所述数据层可对访问数据进行检测及控制。
[0013]进一步地,所述防火墙通过SDN控制器定制的安全策略,将流量牵引至所述防火墙,由防火墙根据规则对访问流量进行控制,阻断非授权访问,并将合法的访问流量回注到应用中去,所述防火墙可以根据检测流量的大小进行处理能力的适配,可由单台高端设备虚拟成多台设备,通过执行各自独立的安全策略,对不同用户的处理需求做并行处理,即“一虚多”的模式,也可以由多台低端设备组成集群模式或负载均衡的调度,即“多虚一”的模式,对大流量的访问控制任务进行集中处理,同时这种访问控制检测不受防火墙部署位置的影响。
[0014]进一步地,所述入侵检测系统IDS可根据定制的安全策略对虚拟环境下网络流量的导出与检测,可以根据安全策略灵活地将网络流量牵引至攻击检测设备。
[0015]以上所述实施例仅表示本发明的实施方式,其描述较为具体和详细,但并不能理解为对本发明范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明保护范围。
【主权项】
1.一种基于软件定义的网络安全流安全平台,其特征在于:包括应用层、管理层、数据层; 所述应用层包括网络应用、网络服务、自定义应用接口,所述应用层可直接为应用进程提供服务,其作用是在实现多个系统应用进程相互通信的同时,完成一系列业务处理所需的服务; 所述管理层包括SDN控制器,所述SDN控制器将网络设备上的控制权分离出来并进行集中管理; 所述数据层包括防火墙、Web应用防护系统WAF、入侵检测系统IDS,所述数据层可对访问数据进行检测及控制。
2.根据权利要求1所述的一种基于软件定义的网络安全流安全平台,其特征在于:所述防火墙通过SDN控制器定制的安全策略,将流量牵引至所述防火墙,由防火墙根据规则对访问流量进行控制,阻断非授权访问,并将合法的访问流量回注到应用中去。
3.根据权利要求1所述的一种基于软件定义的网络安全流安全平台,其特征在于:所述入侵检测系统IDS可根据定制的安全策略对虚拟环境下网络流量的导出与检测。
【专利摘要】本发明涉及了一种基于软件定义的网络安全流安全平台,其特征在于:包括应用层、管理层、数据层;所述应用层包括网络应用、网络服务、自定义应用接口,所述应用层可直接为应用进程提供服务,其作用是在实现多个系统应用进程相互通信的同时,完成一系列业务处理所需的服务;所述管理层包括SDN控制器,所述SDN控制器将网络设备上的控制权分离出来并进行集中管理;所述数据层包括防火墙、Web应用防护系统WAF、入侵检测系统IDS,所述数据层可对访问数据进行检测及控制。本发明的有益效果是:可以解决SDN环境下的资源管理和安全防护方面的缺陷,满足网络大流量、安全需求多样、安全可信程度要求较高环境下的安全防护需求。
【IPC分类】H04L29-08, H04L29-06
【公开号】CN104753951
【申请号】CN201510171335
【发明人】罗春
【申请人】成都双奥阳科技有限公司
【公开日】2015年7月1日
【申请日】2015年4月13日