一种基于虚拟网络环境的云安全系统及其部署框架的制作方法
【技术领域】
[0001]本发明涉及云安全技术领域,特别涉及一种基于虚拟网络环境的云安全系统及其部署框架。
【背景技术】
[0002]随着信息技术的发展,云的应用越来越广泛,用户对云的需求也在不断增长。虚拟化是实现云的技术手段之一,比如计算虚拟化、网络虚拟化、存储虚拟化、安全虚拟化、终端虚拟化等都是实现云的关键技术。
[0003]云服务环境主要由终端、管道和数据中心构成,所以云服务环境的安全隐患也主要包括这三个方面的安全隐患。然而,现有技术在解决云环境下的纷繁复杂的安全隐患时,存在诸多不足。
【发明内容】
[0004]本发明的目的是提供一种基于虚拟网络环境的云安全系统及其部署框架,本发明借鉴SDN架构的理念,采用controller与worker相分离的思路,并通过安全防护层对网络报文进行安全防护,提供了全面的云安全防护解决方案。。
[0005]为实现上述目的,本发明的一个方面提供了一种基于虚拟网络环境的云安全系统,采用SDN架构,包括:SDN控制层,用于接收界面管理层下发的配置信息,并根据所述配置信息生成转发规则,将所述转发规则下发到转发层;转发层包括多个虚拟路由器,所述虚拟路由器用于接管和转发源虚拟机的网络报文;虚拟路由器在接收到SDN控制层下发的所述转发规则后,将所述网络报文发给安全防护层进行安全防护,并将安全防护后的所述网络报文转发给所述虚拟路由器;所述虚拟路由器根据所述转发规则,将安全防护后的所述网络报文发给目标虚拟机。
[0006]其中,所述安全防护层包括以虚拟机形态或以硬件形态运行的虚拟防火墙、入侵防御系统、Web应用防护系统、分布式拒绝服务和/或负载均衡器。
[0007]其中,SDN控制层包括配置节点,其用于将界面管理层发出的所述配置信息转化为内部数据结构,并向所述控制节点发送所述转化为内部数据结构的所述配置信息。。
[0008]其中,SDN控制层还包括控制节点,其用于根据配置节点发送的所述配置信息生成转发规则,并将所述转发规则下发到所述转发层。
[0009]其中,SDN控制层还包括分析节点,其用于采集云环境中的监测数据,对采集到的所述监测数据进行分析并将分析结果发送给所述界面管理层展示;所述监测数据包括:网络攻击类型、攻击总数、风险级别、虚拟机的网络流量、流量速率、累计流量、物理服务器的CPU利用率和内存使用率。
[0010]其中,所述分析节点还用于采集配置节点和控制节点的CPU利用率和内存使用情况,以监控云安全系统本身的运行状况,并将采集到的所述CPU利用率和内存使用情况发送给界面管理层展示。
[0011]其中,所述转发层包括多个虚拟路由器,每个所述虚拟路由器包括:用户态模块和内核态模块;用户态模块接收到控制节点发出的所述转发规则后,将所述转发规则转化成内部数据结构,并向内核态模块发送所述转化为内部数据结构的所述转发规则;内核态模块接收到用户态模块发送的所述转发规则后,将所述网络报文发给安全防护层进行安全防护,并根据所述转发规则对安全防护后的所述网络报文进行转发。
[0012]其中,所述界面管理层通过虚拟防火墙和/或硬件防火墙的接口,对所述虚拟防火墙和/或硬件防火墙进行监控和管理。
[0013]其中,所述转发规则包括:源虚拟机名称、目标虚拟机名称、源虚拟机IP地址、目标虚拟机IP地址、源虚拟机所在服务器的IP地址、目标虚拟机所在服务器的IP地址和转发方式;所述转发方式包括:直接转发、VLAN转发和隧道转发;所述隧道转发包括:VLAN、VXLAN、MPLS 转发。
[0014]本发明的另一个方面提供了一种基于虚拟网络环境的云安全系统的部署框架,包括多台物理服务器;其中,至少一台物理服务器,用于配置权利要求1-7中任一项所述系统中的SDN控制层,所述SDN控制层在每台所述物理服务器上运行一个实例;每台所述物理服务器上运行一个虚拟路由器,多个所述虚拟路由器组成所述系统中的转发层。
[0015]本发明借鉴SDN架构的理念,采用controller与worker相分离的思路,并通过安全防护层对网络报文进行安全防护,提供了全面的云安全防护解决方案。
【附图说明】
[0016]图1是本发明的基于虚拟网络环境的云安全系统的结构示意图;
[0017]图2是本发明的SDN控制层的结构示意图;
[0018]图3是本发明的转发层的结构示意图;
[0019]图4是本发明的基于虚拟网路环境的云安全系统的部署框架的示意图。
【具体实施方式】
[0020]为使本发明的目的、技术方案和优点更加清楚明了,下面结合【具体实施方式】并参照附图,对本发明进一步详细说明。应该理解,这些描述只是示例性的,而并非要限制本发明的范围。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本发明的概念。
[0021]图1是本发明的基于虚拟网络环境的云安全系统的结构示意图。
[0022]如图1所示,在一云数据中心中,本发明的基于虚拟网络环境的云安全系统,采用SDN架构,包括:界面管理层1、SDN控制层2、转发层3和安全防护层4。
[0023]界面管理层I用于对防火墙进行配置以生成配置信息,并向SDN控制层2下发所述配置信息。具体来说,界面管理层I是云安全系统的统一管理界面,用户通过界面管理层I对防火墙进行配置以生成配置信息,并向SDN控制层2下发所述配置信息。
[0024]在本发明中,所述防火墙包括虚拟防火墙和硬件防火墙,所述界面管理层I通过虚拟防火墙和/或硬件防火墙的接口,对所述防火墙进行监控和管理。例如,通过防火墙和/或硬件防火墙的接口,获取防火墙上的监控信息、防火墙的配置策略等等。
[0025]本发明中,所述配置信息包括但不限于地址组对象、访问控制策略(例如允许某些虚拟机能够访问外网)、防病毒策略和防火墙的超时时间等等。
[0026]SDN控制层2用于接收界面管理层I下发的配置信息,并根据所述配置信息生成转发规则,将所述转发规则下发到转发层3。
[0027]具体来说,SDN控制层2接收到界面管理层I下发的所述配置信息后,根据所述配置信息生成转发规则,并将所述转发规则下发到转发层3。默认情况下,同一个虚拟网络内的所有虚拟机之间可以互相通信,不同虚拟网络间的虚拟机之间不允许互相通信。所以在用户创建虚拟网络后,SDN控制层2会生成默认的转发规则,即允许同一个虚拟网络内的所有虚拟机可以通信,阻断不同虚拟网络间虚拟机的通信。
[0028]本发明中,所述转发规则包括但不限于源虚拟机名称、目标虚拟机名称、源虚拟机IP地址、目标虚拟机IP地址、源虚拟机所在服务器的IP地址、目标虚拟机所在服务器的IP地址和转发方式等。所述转发方式包括但不限于直接转发、VLAN转发和隧道转发等。所述隧道转发包括但不限于VLAN、VXLAN、MPLS转发等。
[0029]转发层3包括多个虚拟路由器,所述虚拟路由器用于接管和转发源虚拟机的网络报文;虚拟路由器3在接收到SDN控制层2下发的所述转发规则后,将所述网络报文发给安全防护层4进行安全防护,并将安全防护后的所述网络报文转发给所述虚拟路由器;所述虚拟路由器根据所述转发规则,将安全防护后的所述网络报文发给目标虚拟机。
[0030]具体来说,转发层3主要由多个虚拟路由器组成,所述虚拟路由器接管和转发虚拟机的网络报文。虚拟路由器从SDN控制层2接收到所述转发规则后,将所述网络报文发给所述安全防护层4进行安全防护,并将安全防护后的所述网络报文转发给所述虚拟路由器,所述虚拟路由器按照所述转发规则,将安全防护后的所述网络报文发给所述目标虚拟机,从而实现虚拟机网络报文的转发。
[0031]在本发明中,所述安全防护层4包括但不限于以虚拟机形态或以硬件形态运行的虚拟防火墙、入侵防御系统、Web应用防护系统、分布式拒绝服务和/或负载均衡器等。
[0032]图2是本发明的SDN控制层的结构示意图。
[0033]如图2所示,在一实施方式中,所述SDN控制层2包括配置节点21、控制节点22和分析节点23。
[0034]配置节点21用于将界面管理层I发出的所述配置信息转化为内部数据结构,并向所述控制节点22发送所述转化为内部数据结构的所述配置信息。
[0035]具体来说,配置节点21接收到界面管理层I发送的所述配置信息后,将配置信息转化为内部数据(例如将转发规则封装为xml格式)后,再向控制节点22发送所述转化为内部数据结构的所述转发规则。
[0036]需要说明的是,内部数据结构是计算机编程中的技术术语本发明中,将所述转发规则转化为内部数据结构的目的是便于计算机识别和操作。
[0037]控制节点22接收到所述配置信息后,用于根据所述配置信息生成转发规则,并将所述转发规则下发到转发层3。
[0038]具体来说,控制节点21接收到所述配置信息后,根据所述配置信息生成转发规贝1J,再将所述转发规则下发到转发层3。
[0039]在