一种在OpenStack环境下实现网络微隔离的方法与系统与流程
本发明涉及云计算安全技术领域,特别是一种在openstack环境下实现网络微隔离的方法与系统。
背景技术:
网络攻击行为中,来自网络内部和合作伙伴的攻击正在持续上升,而传统的网络边界防火墙无法防御网络内部之间的攻击。常见的例子如利用内部权限管理漏洞,黑客绕过外部边界防火墙,获取内部主机权限,畅通无阻的在内部进行攻击。一旦黑客获取了某个内部主机的权限,则整个内部网络将面临以下威胁:
1、内部探索:内部网络探索、扫描宿主机、虚拟机、应用系统上可利用的漏洞;
2、欺骗提权:利用网络欺骗、恶意软件等手段,提取关键应用系统使用权限;
3、恶意软件传播:传播病毒、木马、蠕虫等恶意程序;
4、ddos攻击源:被黑客利用,变成肉鸡,对网络内部、外部发起ddos攻击;
5、窃取数据:将用户关键数据,伪装成普通应用协议向外传输。
所以需要对同一网络内部的主机相互访问进行控制,这时就需要用到网络微隔离技术。
技术实现要素:
本发明的目的是提供一种在openstack环境下实现网络微隔离的方法与系统,旨在解决现有技术中网络内部主机之间无法有效阻隔网络攻击的问题,实现openstack环境中虚拟机对虚拟机之间东西流量的访问控制,有效对云计算环境中的网络进行安全防护。
为达到上述技术目的,本发明提供了一种在openstack环境下实现网络微隔离的方法,包括以下步骤:
s1、在openstack环境中的每个计算节点上安装代理,由管理端统一管理;
s2、管理端下发入侵检测特征库以及访问控制策略;
s3、代理端处理网络数据包,实施网络隔离,并记录日志发送至管理端;
s4、管理端将上传的日志展示给管理员。
优选地,所述步骤s2具体操作如下:
s201、代理端同步snort所需要的特征库;
s202、将服务器访问控制策略下发到代理端;
s203、将租户/虚拟机名转换成对应的网络接口/ip地址。
优选地,所述步骤s3具体操作如下:
s301、代理端注册netfilter的hook函数用来拦截数据包;
s302、根据管理端下发的服务器访问控制策略进行五元组的访问控制;
s303、通过netfilter的nfqueue传递到应用层的snort;
s304、snort根据管理端下发的入侵检测特征库进行入侵防御检测。
优选地,所述步骤s4具体操作为:
管理端将上传日志中的网络接口/ip地址转换成租户/虚拟机名,并展示给管理员。
本发明还提供了一种在openstack环境下实现网络微隔离的系统,所述系统包括:
代理部署模块,用于在openstack环境中的每个计算节点上安装代理,由管理端统一管理;
策略下发模块,用于管理端下发入侵检测特征库以及访问控制策略;
网络数据处理模块,用于代理端处理网络数据包,实施网络隔离,并记录日志发送至管理端;
日志处理模块,用于管理端将上传的日志展示给管理员。
优选地,所述策略下发模块包括:
特征库同步单元,用于代理端同步snort所需要的特征库;
策略同步单元,用于将服务器访问控制策略下发到代理端;
策略转换单元,用于将租户/虚拟机名转换成对应的网络接口/ip地址。
优选地,所述网络数据处理模块包括:
数据包拦截单元,用于代理端注册netfilter的hook函数用来拦截数据包;
访问控制单元,用于根据管理端下发的服务器访问控制策略进行五元组的访问控制;
数据传递单元,用于通过netfilter的nfqueue传递到应用层的snort;
入侵检测单元,用于snort根据管理端下发的入侵检测特征库进行入侵防御检测。
优选地,所述日志处理模块包括:
日志转换单元,用于管理端将上传日志中的网络接口/ip地址转换成租户/虚拟机名,并展示给管理员。
发明内容中提供的效果仅仅是实施例的效果,而不是发明所有的全部效果,上述技术方案中的一个技术方案具有如下优点或有益效果:
与现有技术相比,本发明通过在openstack环境中的每个计算节点上安装代理,并由管理端统一管理,实现统一管理、分布式部署的架构。将计算节点上的流量先进行五元组的访问控制,然后再进行入侵检测,从而达到网络2-7层的访问控制。本发明解决了现有技术中网络内部主机之间无法有效阻隔网络攻击的问题,实现openstack环境中虚拟机对虚拟机之间东西流量的访问控制,并且利用开源的snort对流量进行更深层次的入侵检测,可以有效对云计算环境中的网络进行安全防护。
附图说明
图1为本发明实施例中所提供的一种在openstack环境下实现网络微隔离的方法流程图;
图2为本发明实施例中所提供的一种在openstack环境下实现网络微隔离的系统结构框图。
具体实施方式
为了能清楚说明本方案的技术特点,下面通过具体实施方式,并结合其附图,对本发明进行详细阐述。下文的公开提供了许多不同的实施例或例子用来实现本发明的不同结构。为了简化本发明的公开,下文中对特定例子的部件和设置进行描述。此外,本发明可以在不同例子中重复参考数字和/或字母。这种重复是为了简化和清楚的目的,其本身不指示所讨论各种实施例和/或设置之间的关系。应当注意,在附图中所图示的部件不一定按比例绘制。本发明省略了对公知组件和处理技术及工艺的描述以避免不必要地限制本发明。
下面结合附图对本发明实施例所提供的一种在openstack环境下实现网络微隔离的方法与系统进行详细说明。
如图1所示,本发明实施例公开了一种在openstack环境下实现网络微隔离的方法,包括以下步骤:
s1、在openstack环境中的每个计算节点上安装代理,由管理端统一管理;
s2、管理端下发入侵检测特征库以及访问控制策略;
s3、代理端处理网络数据包,实施网络隔离,并记录日志发送至管理端;
s4、管理端将上传的日志展示给管理员。
本发明实施例通过在每个openstack的计算节点上安装代理,所有代理统一由管理端管理,形成一个集中管理、分布式部署的架构。
所述代理包括防火墙模块和入侵检测模块,防火墙模块工作在内核,对数据包进行五元组过滤,入侵检测模块工作在应用层,通过了防火墙模块的数据包将进入入侵检测模块检测是否包含恶意攻击。
所述管理端将管理所有代理,当新建、删除虚拟机或者发生虚拟机迁移时进行策略同步,同时为了流量的可视化,将与openstack进行深度结合,将源、目的ip地址转换成租户/虚拟机名,这样在策略配置和日志分析时将更加直观。
首先,管理端下发入侵检测特征库以及访问控制策略。
管理端下发入侵检测特征库,在代理端同步snort所需要的特征库。此外将管理员配置的服务器访问控制策略下发到代理端,在服务器访问控制策略中,将租户/虚拟机名转换成对应的网络接口/ip地址,与openstack环境深度结合,使得流量可视化。当创建、删除虚拟机或者发生虚拟机迁移时,动态同步访问控制策略。
然后,代理端处理网络数据包,实施网络隔离,并记录日志发送至管理端。
代理端注册netfilter的hook函数用来拦截数据包,根据管理端下发的服务器访问控制策略进行五元组的访问控制,对于拒绝访问的网络数据包,丢弃并记录日志。通过服务器访问控制策略检测的网络数据包通过netfilter的nfqueue传递到应用层的snort,snort根据管理端下发的入侵检测特征库进行入侵防御检测,对于入侵检测通过的网络数据包,将反馈给内核层并继续处理数据包,入侵检测拒绝的网络数据包,将丢弃数据包并记录日志。
代理端将记录的日志上传至管理端。
最后,管理端将上传的日志展示给管理员。
管理端接收到代理端发送的日志,将日志中的网络接口/ip地址转换成租户/虚拟机名,并展示给管理员。
本发明实施例通过在openstack环境中的每个计算节点上安装代理,并由管理端统一管理,实现统一管理、分布式部署的架构。将计算节点上的流量先进行五元组的访问控制,然后再进行入侵检测,从而达到网络2-7层的访问控制。本发明解决了现有技术中网络内部主机之间无法有效阻隔网络攻击的问题,实现openstack环境中虚拟机对虚拟机之间东西流量的访问控制,并且利用开源的snort对流量进行更深层次的入侵检测,可以有效对云计算环境中的网络进行安全防护。
如图2所示,本发明实施例还公开了一种在openstack环境下实现网络微隔离的系统,所述系统包括:
代理部署模块,用于在openstack环境中的每个计算节点上安装代理,由管理端统一管理;
策略下发模块,用于管理端下发入侵检测特征库以及访问控制策略;
网络数据处理模块,用于代理端处理网络数据包,实施网络隔离,并记录日志发送至管理端;
日志处理模块,用于管理端将上传的日志展示给管理员。
所述策略下发模块包括:
特征库同步单元,用于代理端同步snort所需要的特征库;
策略同步单元,用于将服务器访问控制策略下发到代理端;
策略转换单元,用于将租户/虚拟机名转换成对应的网络接口/ip地址。
所述网络数据处理模块包括:
数据包拦截单元,用于代理端注册netfilter的hook函数用来拦截数据包;
访问控制单元,用于根据管理端下发的服务器访问控制策略进行五元组的访问控制;
数据传递单元,用于通过netfilter的nfqueue传递到应用层的snort;
入侵检测单元,用于snort根据管理端下发的入侵检测特征库进行入侵防御检测。
所述日志处理模块包括:
日志转换单元,用于管理端将上传日志中的网络接口/ip地址转换成租户/虚拟机名,并展示给管理员。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
- 还没有人留言评论。精彩留言会获得点赞!