一种基于sdn虚拟交换机的安全策略的系统及方法
【技术领域】
[0001]本发明涉及网络安全技术领域,尤其涉及一种基于SDN虚拟交换机的安全策略的系统及方法。
【背景技术】
[0002]软件定义网络(Software Defined Network, SDN),是一种新型网络创新架构,是网络虚拟化的一种实现方式,其核心技术OpenFlow通过将网络设备控制面与数据面分离开来,从而实现了网络流量的灵活控制,使网络作为管道变得更加智能。
[0003]SDN将控制与转发分离,通过控制器对整网实现集中控制,实现转发硬件通用化,控制智能集中化,极大的提高了网络的创新和灵活。但在现有SDN技术中,虚拟交换机只能作简单的报文转发和VLAN隔离,没有报文深度解析功能,缺少安全策略保护,安全性差。
【发明内容】
[0004]有鉴于现有技术的上述缺陷,本发明所要解决的技术问题是提供一种基于SDN虚拟交换机的安全策略的系统及方法,本发明在SDN控制器定义安全策略,可与单台VM的IP地址或一组VM的IP地址组绑定,控制器通过Openflow协议将安全策略下发到虚拟交换机,虚拟交换机接收策略并设置安全策略对应的Openf low表项,当VM报文到达时,虚拟交换机会根据安全策略的Openflow表项来作相应的动作,有效的提供了虚拟化网络中的安全。
[0005]为实现上述目的,本发明提供了一种基于SDN虚拟交换机的安全策略的系统,其特征在于:包括多个虚拟机和设置在每个虚拟机上的虚拟网卡,所述虚拟网卡均与虚拟交换机相连接,所述虚拟交换机分别与物理网卡和SDN控制器连接。
[0006]—种基于SDN虚拟交换机的安全策略的方法,其特征在于,包括以下步骤:
[0007]S1、将虚拟机接入虚拟交换机;
[0008]S2、SDN控制器与虚拟交换机通过Openflow协议连接成功;
[0009]S3、在SDN控制器配置需要的安全策略;
[0010]S4、SDN控制器通过Openflow协议下发安全策略到虚拟交换机,虚拟交换机根据安全策略自动设置Openflow表项;
[0011]S5、当收到虚机发来的报文时,虚拟交换机会检查表项,并判断安全策略是否符合;
[0012]S6、当符合安全策略时,转发报文,否则丢弃报文。
[0013]上述的一种基于SDN虚拟交换机的安全策略的方法,其特征在于,所述步骤S3在SDN控制器配置需要的安全策略可以基于单个虚拟机,也可以基于虚机组。
[0014]本发明的有益效果是:
[0015]1、本发明在SDN控制器定义安全策略,可与单台VM的IP地址或一组VM的IP地址组绑定,控制器通过Openflow协议将安全策略下发到虚拟交换机,虚拟交换机接收策略并设置安全策略对应的Openflow表项,当VM报文到达时,虚拟交换机会根据安全策略的Openflow表项来作相应的动作,有效的提供了虚拟化网络中的安全;
[0016]2、本发明可以基于单个虚机或虚机组提供不同级别的安全保护及防御,进一步提高了虚拟化网络的安全。
[0017]以下将结合附图对本发明的构思、具体结构及产生的技术效果作进一步说明,以充分地了解本发明的目的、特征和效果。
【附图说明】
[0018]图1是本发明的结构示意图;
[0019]图2是本发明的工作流程图。
【具体实施方式】
[0020]如图1所示,一种基于SDN虚拟交换机的安全策略的系统,其特征在于:包括多个虚拟机1和设置在每个虚拟机1上的虚拟网卡2,所述虚拟网卡2均与虚拟交换机3相连接,所述虚拟交换机3分别与物理网卡4和SDN控制器5连接。
[0021]如图2所示,一种基于SDN虚拟交换机的安全策略的方法,其特征在于,包括以下步骤:
[0022]S1、将虚拟机接入虚拟交换机;
[0023]S2、SDN控制器与虚拟交换机通过Openflow协议连接成功;
[0024]S3、在SDN控制器配置需要的安全策略;
[0025]S4、SDN控制器通过Openflow协议下发安全策略到虚拟交换机,虚拟交换机根据安全策略自动设置Openflow表项;
[0026]S5、当收到虚机发来的报文时,虚拟交换机会检查表项,并判断安全策略是否符合;
[0027]S6、当符合安全策略时,转发报文,否则丢弃报文。
[0028]本实施例中,所述步骤S3在SDN控制器配置需要的安全策略可以基于单个虚拟机,也可以基于虚机组。
[0029]综上所述,本发明的基于SDN虚拟交换机的安全策略系统可以有效保护虚拟机的安全,并且可以基于单个虚机或虚机组提供不同级别的安全保护及防御,有效的提供虚拟化网络中的安全。
[0030]以上详细描述了本发明的较佳具体实施例。应当理解,本领域的普通技术人员无需创造性劳动就可以根据本发明的构思做出诸多修改和变化。因此,凡本技术领域中技术人员依本发明的构思在现有技术的基础上通过逻辑分析、推理或者有限的实验可以得到的技术方案,皆应在由权利要求书所确定的保护范围内。
【主权项】
1.一种基于SDN虚拟交换机的安全策略的系统,其特征在于:包括多个虚拟机(1)和设置在每个虚拟机(1)上的虚拟网卡(2),所述虚拟网卡(2)均与虚拟交换机(3)相连接,所述虚拟交换机(3)分别与物理网卡(4)和SDN控制器(5)连接。2.—种基于SDN虚拟交换机的安全策略的方法,其特征在于,包括以下步骤: 51、将虚拟机接入虚拟交换机; 52、SDN控制器与虚拟交换机通过Openflow协议连接成功; 53、在SDN控制器配置需要的安全策略; 54、SDN控制器通过Openflow协议下发安全策略到虚拟交换机,虚拟交换机根据安全策略自动设置Openflow表项; 55、当收到虚机发来的报文时,虚拟交换机会检查表项,并判断安全策略是否符合; 56、当符合安全策略时,转发报文,否则丢弃报文。3.如权利要求2所述的一种基于SDN虚拟交换机的安全策略的方法,其特征在于,所述步骤S3在SDN控制器配置需要的安全策略可以基于单个虚拟机,也可以基于虚机组。
【专利摘要】本发明公开了一种基于SDN虚拟交换机的安全策略的系统及方法,包括多个虚拟机和设置在其上的虚拟网卡,虚拟网卡均与虚拟交换机连接,虚拟交换机分别与物理网卡和SDN控制器连接。其实现方法为:S1、将虚拟机接入虚拟交换机;S2、SDN控制器与虚拟交换机通过Openflow协议连接成功;S3、在SDN控制器配置需要的安全策略;S4、SDN控制器通过Openflow协议下发安全策略到虚拟交换机,并自动设置Openflow表项;S5、当收到虚机发来的报文后检查表项,并判断安全策略是否符合;S6、当符合安全策略时,转发报文,否则丢弃报文。本发明提供不同级别的安全保护及防御,有效的提供了虚拟化网络中的安全。
【IPC分类】H04L29/06
【公开号】CN105262753
【申请号】CN201510715914
【发明人】熊常春
【申请人】广州西麦科技股份有限公司
【公开日】2016年1月20日
【申请日】2015年10月28日