本发明涉及网络管理和网络安全技术领域,更具体地,涉及一种基于云计算管理平台openstack的网络安全功能服务链系统。
背景技术
随着互联网、大数据的发展,使用物理设备来实现服务的成本越来越高,因此越来越多的企业单位采用云服务来降低成本和提高业务灵活性。然而,云计算资源、存储资源、网络资源全面虚拟化后,传统的网络安全设备作用被削弱,网络安全边界被瓦解,物理机内多个虚拟机之间交互的安全防护缺失,云环境下的业务安全形势变得更加复杂,迫切需要创新性的整体解决方案。
技术实现要素:
本发明为克服上述现有技术所述的至少一种缺陷,提供一种基于云计算管理平台openstack的网络安全功能服务链系统,系统实时性强,可以灵活部署,不受地域限制,用户可以按照业务安全等级自定义网络安全功能服务链。
为解决上述技术问题,本发明采用的技术方案是:一种基于云计算管理平台openstack的网络安全功能服务链系统,由输入模块、系统初始化模块、虚拟网络安全设备创建模块、安全功能服务链调度模块、输出模块依次通信连接组成;
系统初始化模块:利用云计算管理平台openstack,将物理的计算资源、存储资源和网络资源虚拟化,形成共享资源池,创建云计算环境,并利用networking-sfc实现对云环境网络的编排;
虚拟网络安全设备创建模块:在云计算环境中创建虚拟机实例,并将虚拟机实例并配置成虚拟网络安全设备;
安全功能服务链调度模块:让网络流量按照顺序通过虚拟网络安全设备,形成安全功能服务链;
输入模块和输出模块:为用户提供输入界面,对系统进行初始化设置,创建安全功能服务链以及修改vnffgd文件对安全功能服务链进行修改和更新;网络流量经过安全功能服务链后,虚拟网络安全设备输出安全日志,用户根据安全日志调整安全功能服务链。
本系统依据用户对业务不同的安全等级要求,调用虚拟网络安全设备组成安全功能服务链,对网络流量进行安全判别,然后根据安全功能服务链中的各个虚拟网络安全功能设备的输出安全日志,用户对安全功能服务链进行调整。本发明的系统解决云环境下流量走向复杂和无明确安全边界的问题,满足不同业务对不同安全等级和处理流程的需求,具有统实时性强,可以灵活部署,不受地域限制,可自定义网络安全功能服务链等优点,可以应用于各种资源虚拟化的云环境网络中。本系统将网络安全功能虚拟化后,使用功能服务链(sfc)调度和编排,使其可以部署到云计算环境网络各处,解决云环境下流量走向复杂和无明确安全边界问题,保障云业务的安全。云平台用于把计算资源、存储资源和网络资源虚拟化,networking-sfc实现云计算环境网络的可编排,虚似扩展局域网(vxlan)用于提供跨越三层网络和云边界的二层连接,实现虚拟机与位置无关特性,满足租户跨域构建虚拟业务网络和与其它租户网络安全隔离的需求,网络功能虚拟化(nfv)用于把各种基本网络安全功能软件化和虚拟化,使得网络安全功能可以部署到云计算环境网络各处,解决云环境下流量走向复杂和无明确安全边界的问题,sfc用于调用和编排nfv实现的各种虚拟安全功能,满足不同业务对不同安全等级和处理流程的需求,应对新安全形势的变化。所以本发明的突出优点是系统实时性强,可以灵活部署,不受地域限制,用户可以按照业务安全等级自定义网络安全功能服务链。
进一步的,所述的虚拟网络安全设备创建模块利用openstack共享资源池创建虚拟机实例,然后通过ssh的方式登录到虚拟机实例,并将虚拟机实例配置成虚拟网络安全功能设备。
进一步的,所述的利用tacker调用networking-sfc的接口实现对网络流量的编排,将独立的虚拟安全功能设备编排成安全功能服务链,安全功能服务链具有默认模式和自定义模式两种模式。
进一步的,所述的安全功能服务链具有默认模式和自定义模式两种模式,在默认模式下,安全功能服务链已经配置,用户直接使用;在自定义模式下,用户根据业务安全等级需要,修改安全功能服务链配置文件,实现自定义安全功能服务链。
与现有技术相比,有益效果是:
1、可以部署到云计算环境网络各处,解决云环境下流量走向复杂和无明确安全边界问题,保障云业务的安全;
2、实现虚拟机与位置无关特性,满足租户跨域构建虚拟业务网络和与其它租户网络安全隔离的需求,网络功能虚拟化(nfv)用于把各种基本网络安全功能软件化和虚拟化,使得网络安全功能可以部署到云计算环境网络各处,解决云环境下流量走向复杂和无明确安全边界的问题,sfc用于调用和编排nfv实现的各种虚拟安全功能,满足不同业务对不同安全等级和处理流程的需求,应对新安全形势的变化。所以本发明的突出优点是系统实时性强,可以灵活部署,不受地域限制,用户可以按照业务安全等级自定义网络安全功能服务链;
3、本发明的系统解决云环境下流量走向复杂和无明确安全边界的问题,满足不同业务对不同安全等级和处理流程的需求,具有统实时性强,可以灵活部署,不受地域限制,可自定义网络安全功能服务链等优点,可以应用于各种资源虚拟化的云环境网络中。
附图说明
图1是本发明整体模块框架示意图;
图2是本系统的工作流程示意图。
具体实施方式
附图仅用于示例性说明,不能理解为对本专利的限制;为了更好说明本实施例,附图某些部件会有省略、放大或缩小,并不代表实际产品的尺寸;对于本领域技术人员来说,附图中某些公知结构及其说明可能省略是可以理解的。附图中描述位置关系仅用于示例性说明,不能理解为对本专利的限制。
如图1所示,一种基于云计算管理平台openstack的网络安全功能服务链系统,由输入模块、系统初始化模块、虚拟网络安全设备创建模块、安全功能服务链调度模块、输出模块依次通信连接组成;
系统初始化模块:
本模块的作用是初始化系统环境,搭建云计算管理平台openstack,将物理的计算资源、存储资源和网络资源虚拟化,形成共享资源池。本系统需要三个服务器,其中一个服务器作为openstack的控制节点,剩余的服务器都作为openstack的计算节点。将openstack的控制节点和计算节点的配置步骤,编写成配置脚本,用户只需要在openstack控制节点和计算节点的操作系统终端运行脚本,就可以实现一键部署。在控制节点运行脚本后,脚本配置openstack的控制节点的步骤如下:(1)、安装openstack控制节点所需的基本环境包括主机网络配置、网络时间协议(ntp)配置、openstack安装包、sql数据库、消息队列rabbitmq以及缓存memcache。(2)、安装openstack的keystone组件,keystone组件为openstack其他服务提供身份验证、服务规则和服务令牌管理。(3)、安装openstack的glance组件,glance组件提供在openstack上创建虚拟机的镜像。(4)、安装openstack的nova组件,nova组件管理、创建和销毁在openstack上创建的虚拟机。(5)安装openstack的neutron组件,neutron组件提供云计算的网络虚拟化技术并为openstack的其他服务提供网络服务,并配置vxlan隧道用作跨越三层网络和云边界的二层连接,实现虚拟机与物理设备位置无关特性。(6)安装openstack的dashboard组件,dashboard组件提供可视化操作界面。(7)安装openstack的heat组件,heat组件提供一种通过模板定义的协同部署方式,实现云基础设施软件运行环境(计算、存储和网络资源)的自动化部署。(8)安装openstack的tacker组件,tacker组件用作nvf管理器,管理nvf的生命周期。(9)安装networking-sfc组件,networking-sfc组件实现云环境网络的可编排,支持安全功能服务链的实现。在计算节点运行脚本后,脚本配置openstack的计算节点的步骤如下:(1)、安装openstack计算节点所需的基本环境包括主机网络配置、网络时间协议(ntp)配置、openstack安装包。(2)、安装openstack的nova组件,nova组件管理、创建和销毁在openstack上创建的虚拟机。(3)、安装openstack的neutron组件,neutron组件提供云计算的网络虚拟化技术并为openstack的其他服务提供网络服务。(4)、安装networking-sfc组件,networking-sfc组件实现云环境网络的可编排,支持安全功能服务链的实现。
虚拟网络安全功能设备创建模块:
本模块的作用是在openstack平台创建虚拟机实例,并将虚拟机实例配置成虚拟网络安全功能设备。将在openstack上创建虚拟机的步骤编写成脚本,用户在openstack的控制节点运行脚本,完成虚拟机的创建。在openstack的控制节点运行脚本后,脚本创建虚拟机的步骤如下:(1)运行tackervim-register命令,创建一个虚拟基础设施管理(vim)。(2)运行tackervnfd-create命令创建虚拟网络功能描述(vnfd),vnfd的配置文件里面定义了虚拟机的操作系、虚拟cpu个数、内存大小、硬盘大小,以及网卡个数,用户可以修改这些配件。(3)运行tackervnf-create命令创建虚拟网络功能(vnf)虚拟机。
脚本创建vnf设备后,用户通过ssh命令登录到vnf虚拟机,将vnf虚拟机配置成虚拟网络安全设备,如虚拟防火墙设备、虚拟入侵检测设备等。
安全功能服务链调度模块:
本模块的作用是让网络流量按照一定的顺序通过虚拟网络安全功能设备创建模块创建的vnf设备,从而实现安全功能服务链的调度。虚拟网络安全设备创建后,用户利用tacker调用networking-sfc的接口实现对网络流量的编排,从而实现安全功能服务链。首先用户对安全功能服务链的vnf转发描述(vnffgd)文件进行配置,vnffgd定义了一条链路中所有vnfs的流量转发图,包括分类器、流量转发路径和流量匹配规则,分类器定义了网络流量转发的起点和终点,流量转发路径定义了流量流过虚拟安全设备的顺序,流量匹配规则只支持访问控制列表,然后运行tackervnffg-create命令创建安全功能服务链。安全功能服务链创建后,网络流量在进入安全功能服务链之前先经过分类器,分类器将要经过安全功能服务链的数据包进行封装并打上网络服务头(nsh),nsh是sfc的数据面传输协议,其头部包含三部分信息:nsh头部的基本信息、服务路径信息以及为流量途径的网络设备和服务设备提供所需的元数据信息,虚拟交换机openvswitch根据nsh头中的服务路径信息对流量进行转发。安全功能服务链调度有两种模式:默认模式和自定义模式。在默认模式下,安全功能服务链已经配置好,用户可以直接使用。在自定义模式下,用户在输入模块对vnffgd配置文件中的分类器配置和流量转发路径配置进行修改,然后创建新的安全功能服务链,实现自定义安全功能服务链。
输入模块和输出模块
本模块的作用是给用户提供输入和输出界面。用户通过输入模块对系统进行初始化设置,创建安全功能服务链以及修改vnffgd文件对安全功能服务链进行修改和更新。流量流经安全功能服务链后,虚拟安全设备输出安全日志,用户根据安全日志对安全功能服务链进行调更新。
本系统的工作流程如图2所示:
用户输入信息,系统判断信息是否默认模式,若是则进入默认模式,默认安全功能服务链已经配置好,直径通过输出模块输出供用户使用;若不是默认模式,则用户根据业务安全等级需要,修改安全功能服务链配置文件,实现自定义安全功能服务链,输出使用。
显然,本发明的上述实施例仅仅是为清楚地说明本发明所作的举例,而并非是对本发明的实施方式的限定。对于所属领域的普通技术人员来说,在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明权利要求的保护范围之内。