一種作用于云計(jì)算數(shù)據(jù)中心安全域的虛擬防火墻組件的設(shè)計(jì)的制作方法
【專(zhuān)利摘要】一種作用于云計(jì)算數(shù)據(jù)中心安全域的虛擬防火墻組件的設(shè)計(jì)����。本發(fā)明涉及Web方向網(wǎng)絡(luò)安全防護(hù)���,尤其涉及云計(jì)算環(huán)境下的網(wǎng)絡(luò)安全技術(shù)�。本發(fā)明的技術(shù)方案為:通過(guò)分布式部署安全網(wǎng)關(guān)運(yùn)行防火墻組件完成對(duì)整體數(shù)據(jù)中心的個(gè)性化���,分布式安全防護(hù)����,新的防火墻體系結(jié)構(gòu)包含如下部分統(tǒng)一安全網(wǎng)關(guān)、網(wǎng)絡(luò)防火墻組件�����、中心管理�。本發(fā)明實(shí)現(xiàn)了基于數(shù)據(jù)包過(guò)濾技術(shù)是防火墻組件,該組件運(yùn)行統(tǒng)一安全網(wǎng)關(guān)中���,使用包過(guò)濾技術(shù)對(duì)網(wǎng)絡(luò)流量進(jìn)行控制�,使用分布式方式部署�,完成對(duì)整體數(shù)據(jù)中心的個(gè)性化安全防護(hù)。
【專(zhuān)利說(shuō)明】一種作用于云計(jì)算數(shù)據(jù)中心安全域的虛擬防火墻組件的設(shè) 計(jì)
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及Web方向網(wǎng)絡(luò)安全防護(hù)�,尤其涉及云計(jì)算環(huán)境下的網(wǎng)絡(luò)安全技術(shù)。
【背景技術(shù)】
[0002] 隨著云計(jì)算的快速發(fā)展����,云計(jì)算平臺(tái)的環(huán)境也日趨復(fù)雜,其中包括了高速的網(wǎng)絡(luò) 設(shè)施��、高性能的計(jì)算設(shè)施�����、大容量的存儲(chǔ)設(shè)施、高可靠性的能量管理���、高效的安全防護(hù)和資 源管理等相關(guān)的基礎(chǔ)設(shè)施,以及在這些基礎(chǔ)設(shè)施上構(gòu)建的虛擬化環(huán)境��,原先使用各種硬件 設(shè)備對(duì)網(wǎng)絡(luò)計(jì)算環(huán)境進(jìn)行防護(hù)的傳統(tǒng)安全防護(hù)模式已經(jīng)不能滿(mǎn)足現(xiàn)今云計(jì)算平臺(tái)下細(xì)顆 粒度安全防護(hù)的要求�����。
[0003] 網(wǎng)絡(luò)安全防護(hù)中防火墻作為一種成熟有效的安全技術(shù)����,是解決網(wǎng)絡(luò)安全問(wèn)題的一 個(gè)行之有效的方法,但是傳統(tǒng)防火墻存在著先天缺陷�����。邊界防火墻依賴(lài)于網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)�����,形 成網(wǎng)絡(luò)流量瓶頸�����,只能提供粗粒度的安全保護(hù),且無(wú)法防御來(lái)自受保護(hù)網(wǎng)絡(luò)的內(nèi)部攻擊���;主 機(jī)防火墻自身的處理能力往往十分有限�,它的安全策略可以由主機(jī)使用者自行設(shè)置�����,這樣 作為一個(gè)云計(jì)算數(shù)據(jù)中心�,無(wú)法對(duì)主機(jī)防火墻進(jìn)行集中、有效的安全配置�����,來(lái)實(shí)現(xiàn)本組織的 網(wǎng)絡(luò)安全保護(hù)���。
[0004] 傳統(tǒng)邊界式防火墻主要存在以下不足之處: 1.網(wǎng)絡(luò)應(yīng)用受到結(jié)構(gòu)性限制 云計(jì)算數(shù)據(jù)中心中部署的大量的虛擬主機(jī)�,虛擬主機(jī)網(wǎng)絡(luò)之間的邊界比較模糊�����,形成 動(dòng)態(tài)的網(wǎng)絡(luò)邊界�����,傳統(tǒng)邊界防火墻針對(duì)傳統(tǒng)的靜態(tài)網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì),傳統(tǒng)邊界防火墻在網(wǎng)絡(luò) 邊界較為模糊的網(wǎng)絡(luò)環(huán)境中應(yīng)用受到了結(jié)構(gòu)性限制����。
[0005] 2.內(nèi)部網(wǎng)絡(luò)安全隱患仍在 傳統(tǒng)的邊界防火墻只對(duì)內(nèi)部網(wǎng)絡(luò)的周邊提供保護(hù)。這些邊界防火墻會(huì)在從外部網(wǎng)絡(luò)進(jìn) 入內(nèi)部網(wǎng)絡(luò)的流量進(jìn)行過(guò)濾和審查��,但是����,他們并不能確保內(nèi)部網(wǎng)絡(luò)的用戶(hù)之間的安全訪(fǎng) 問(wèn)�。
[0006] 3.效率較低和故障率高 由于邊界式防火墻把檢查機(jī)制集中在網(wǎng)絡(luò)邊界處的單點(diǎn)上,產(chǎn)成了網(wǎng)絡(luò)的瓶頸和單點(diǎn) 故障隱患����。所以墻邊界防火墻難以平衡網(wǎng)絡(luò)效率與安全性設(shè)定之間的矛盾,無(wú)法為網(wǎng)絡(luò)中 的每臺(tái)服務(wù)器訂制規(guī)則����,它只能使用一個(gè)折衷的規(guī)則來(lái)近似滿(mǎn)足所有被保護(hù)的服務(wù)器的需 要,因此或者損失效率����,或者損失安全性。
[0007] 分布式防火墻基于傳統(tǒng)防火墻技術(shù),集中管理��、分布防御�����,即集中制定安全策略���、 由分布于網(wǎng)絡(luò)中的各個(gè)防火墻實(shí)施策略����?����?梢蕴峁┘?xì)粒度(的網(wǎng)絡(luò)安全保護(hù)�,已成為防火 墻技術(shù)發(fā)展的一個(gè)重要方向。
【發(fā)明內(nèi)容】
[0008] 針對(duì)傳統(tǒng)邊界防火墻的缺欠�,根據(jù)云計(jì)算數(shù)據(jù)中心的安全防護(hù)需求,結(jié)合虛擬主 機(jī)防護(hù)分布式防護(hù)����、集中控制的思路。我們提出一種作用于云計(jì)算數(shù)據(jù)中心安全域的虛擬 防火墻組件的設(shè)計(jì)�,它要負(fù)責(zé)對(duì)網(wǎng)絡(luò)邊界�����、各子網(wǎng)和網(wǎng)絡(luò)內(nèi)部各網(wǎng)絡(luò)域之間的安全防護(hù)�����,所 以"分布式防火墻"是一個(gè)完整的系統(tǒng)�,而不是單一的產(chǎn)品����。根據(jù)其所需完成的功能�,云計(jì) 算數(shù)據(jù)中心內(nèi),通過(guò)分布式部署安全網(wǎng)關(guān)運(yùn)行防火墻組件完成對(duì)整體數(shù)據(jù)中心的個(gè)性化���, 分布式安全防護(hù)�����,新的防火墻體系結(jié)構(gòu)包含如下部分統(tǒng)一安全網(wǎng)關(guān)��、網(wǎng)絡(luò)防火墻組件��、中心 管理: 進(jìn)一步的��,上述的統(tǒng)一安全網(wǎng)關(guān)統(tǒng)一安全網(wǎng)關(guān)以虛擬主機(jī)的方式通過(guò)網(wǎng)絡(luò)配置成為網(wǎng) 關(guān)��,虛擬主機(jī)的網(wǎng)流量通過(guò)統(tǒng)一安全網(wǎng)關(guān)進(jìn)行清洗����,轉(zhuǎn)發(fā)達(dá)到安全防護(hù)的效果。
[0009] 進(jìn)一步的��,上述的網(wǎng)絡(luò)防火墻組件:虛擬主機(jī)防護(hù)的防火墻組件����,通過(guò)統(tǒng)一的配置 為虛擬主機(jī)提供定制化的安全防護(hù)服務(wù),同時(shí)�����,可以根據(jù)信息安全防護(hù)的相關(guān)法規(guī)將有關(guān) 的安全防護(hù)服務(wù)制作成信息安全防護(hù)策略模板�����,按不同的安全防護(hù)要求直接將防護(hù)策略下 發(fā)到虛擬主機(jī)以監(jiān)控其運(yùn)行狀態(tài)�����。與傳統(tǒng)邊界式防火墻相比����,它多了 一種用于對(duì)內(nèi)部子網(wǎng) 之間的安全防護(hù)層���,這樣整個(gè)網(wǎng)絡(luò)的安全防護(hù)體系就顯得更加全面,更加可靠�。不過(guò)在功能 與傳統(tǒng)的邊界式防火墻類(lèi)似。
[0010] 進(jìn)一步的���,上述的中心管理:這是一個(gè)服務(wù)器軟件��,負(fù)責(zé)總體安全策略的策劃��、管 理��、分發(fā)及日志的匯總�����。這是新的防火墻的管理功能,也是以前傳統(tǒng)邊界防火墻所不具有 的���。這樣防火墻就可進(jìn)行智能管理���,提高了防火墻的安全防護(hù)靈活性�,具備可管理性����。
[0011] 云計(jì)算環(huán)境中,不同租戶(hù)����、不同的主機(jī)對(duì)防火墻的需求也是不同的。在統(tǒng)一安全網(wǎng) 關(guān)中將防火墻功能以組件化的方式進(jìn)行服務(wù)化封裝��,達(dá)到針對(duì)不同租戶(hù)�����、應(yīng)用提供靈活的�����、 可定制的����、安全即服務(wù)的安全防護(hù)效果。
[0012] 為了達(dá)到上述目的��,本發(fā)明提出了一種作用于云計(jì)算數(shù)據(jù)中心安全域的虛擬防火 墻組件的設(shè)計(jì)���,功能組成如下: 1)數(shù)據(jù)包經(jīng)過(guò)網(wǎng)卡便由TCP/IP棧的網(wǎng)絡(luò)過(guò)濾模塊接收和處理�。統(tǒng)一安全網(wǎng)關(guān)從網(wǎng)絡(luò) 過(guò)濾 模塊獲取網(wǎng)絡(luò)數(shù)據(jù)包之后,將數(shù)據(jù)包交給防火墻模塊�。防火墻模塊根據(jù)策略庫(kù)處理網(wǎng) 絡(luò)數(shù)據(jù)包并同時(shí)統(tǒng)計(jì)數(shù)據(jù)包處理的信息,最后將數(shù)據(jù)包交還給統(tǒng)一安全網(wǎng)關(guān)�����,再由其他模 塊來(lái)進(jìn)一步處理數(shù)據(jù)包���。
[0013] 2)數(shù)據(jù)包常規(guī)的傳輸路徑依次為網(wǎng)卡�����、設(shè)備驅(qū)動(dòng)層�、數(shù)據(jù)鏈路層���、IP層�����、傳輸層、 最后到達(dá)應(yīng)用程序��。而包捕獲機(jī)制是在數(shù)據(jù)鏈路層增加一個(gè)旁路處理,對(duì)發(fā)送和接收到的 數(shù)據(jù)包做過(guò)濾/緩沖等相關(guān)處理����,最后直接傳遞到應(yīng)用程序。包捕獲機(jī)制并不影響操作系 統(tǒng)對(duì)數(shù)據(jù)包的網(wǎng)絡(luò)棧處理���。對(duì)用戶(hù)程序而言���,包捕獲機(jī)制提供了一個(gè)統(tǒng)一的接口,使用戶(hù)程 序只需要簡(jiǎn)單的調(diào)用若干函數(shù)就能獲得所期望的數(shù)據(jù)包����。這樣一來(lái),針對(duì)特定操作系統(tǒng)的 捕獲機(jī)制對(duì)用戶(hù)透明���,使用戶(hù)程序有比較好的可移植性���。
[0014] 本發(fā)明實(shí)現(xiàn)了基于數(shù)據(jù)包過(guò)濾技術(shù)是防火墻組件,該組件運(yùn)行統(tǒng)一安全網(wǎng)關(guān)中��, 使用包過(guò)濾技術(shù)對(duì)網(wǎng)絡(luò)流量進(jìn)行控制�����,使用分布式方式部署,完成對(duì)整體數(shù)據(jù)中心的個(gè)性 化安全防護(hù)���。
[0015] 云計(jì)算數(shù)據(jù)中心安全域的虛擬防火墻組件系統(tǒng)�����,它可以在網(wǎng)絡(luò)的任何交界和節(jié)點(diǎn) 處設(shè)置屏障���,從而形成了一個(gè)多層次、多協(xié)議�����,內(nèi)外皆防的全方位安全體系����。主要優(yōu)勢(shì)如 下: 1.增強(qiáng)的系統(tǒng)安全性 增加了針對(duì)主機(jī)的入侵檢測(cè)和防護(hù)功能,加強(qiáng)了對(duì)來(lái)自?xún)?nèi)部攻擊防范���,可以實(shí)施全方 位的安全策略�����。在傳統(tǒng)邊界式防火墻應(yīng)用中�����,內(nèi)部網(wǎng)絡(luò)非常容易受到有目的的攻擊����,一旦已 經(jīng)接入了內(nèi)部網(wǎng)絡(luò)的某臺(tái)計(jì)算機(jī)����,并獲得這臺(tái)計(jì)算機(jī)的控制權(quán),他們便可以利用這臺(tái)機(jī)器 作為入侵其他系統(tǒng)的跳板���。云計(jì)算數(shù)據(jù)中心安全域的虛擬防火墻組件系統(tǒng)的分布式防火墻 將防火墻功能分布到網(wǎng)關(guān)的各個(gè)節(jié)點(diǎn)上����。分布于整個(gè)網(wǎng)絡(luò)內(nèi)的分布式防火墻使用戶(hù)可以方 便地訪(fǎng)問(wèn)信息�,而不會(huì)將網(wǎng)絡(luò)的其他部分暴露在潛在非法入侵者面前。憑借這種安全性能���, 租戶(hù)通過(guò)內(nèi)部網(wǎng)�����、外聯(lián)網(wǎng)�����、虛擬專(zhuān)用網(wǎng)還是遠(yuǎn)程訪(fǎng)問(wèn)所實(shí)現(xiàn)與互聯(lián)互通不再有任何區(qū)別��。分 布式防火墻還可以使避免發(fā)生由于內(nèi)部網(wǎng)絡(luò)某一系統(tǒng)的入侵而導(dǎo)致向整個(gè)內(nèi)部網(wǎng)絡(luò)蔓延 的情況發(fā)生�。
[0016] 2.提1?了系統(tǒng)性能: 消除了結(jié)構(gòu)性瓶頸問(wèn)題,提高了系統(tǒng)性能�。分布式防火墻以組件化的形式部署在統(tǒng)一 安全網(wǎng)關(guān)中,統(tǒng)一安全網(wǎng)關(guān)本質(zhì)上是一臺(tái)虛擬主機(jī)����,該虛擬主機(jī)可以根據(jù)實(shí)際的性能需求 增減配置,對(duì)統(tǒng)一安全網(wǎng)關(guān)本進(jìn)行最佳配置�,保證網(wǎng)絡(luò)流量清洗,處理����,轉(zhuǎn)發(fā)的性能,消除了 邊界防火墻的單點(diǎn)性能瓶頸��,如此便可在保障網(wǎng)絡(luò)安全的前提下大大提高網(wǎng)絡(luò)運(yùn)轉(zhuǎn)效率��。
[0017] 3.系統(tǒng)的擴(kuò)展性: 分布式防火墻隨系統(tǒng)擴(kuò)充提供了安全防護(hù)無(wú)限擴(kuò)充的能力��。因?yàn)榉植际椒阑饓Ψ植荚?整個(gè)云計(jì)算數(shù)據(jù)中心的網(wǎng)絡(luò)或中,所以它具有無(wú)限制的擴(kuò)展能力��。隨著網(wǎng)絡(luò)的增長(zhǎng)�����,可以增 加統(tǒng)一安全網(wǎng)關(guān)數(shù)量�����,增加防火前組件的數(shù)量�,它們的網(wǎng)絡(luò)數(shù)據(jù)包處理負(fù)荷也在網(wǎng)絡(luò)中進(jìn) 一步分布���,因此它們的高性能可以持續(xù)保持住�����。而不會(huì)像邊界式防火墻一樣隨著網(wǎng)絡(luò)規(guī)模 的增大而不堪重負(fù)����。
【專(zhuān)利附圖】
【附圖說(shuō)明】
[0018] 圖1����,虛擬防火墻組件內(nèi)部數(shù)據(jù)處理邏輯圖����。
[0019] 圖2,虛擬防火墻組件網(wǎng)絡(luò)數(shù)據(jù)包獲取與處理流程圖�。
[0020]
【具體實(shí)施方式】 為了使本發(fā)明所要解決的技術(shù)問(wèn)題、技術(shù)方案及有益效果更加清楚�、明白,以下結(jié) 合附圖和實(shí)施例�,對(duì)本發(fā)明進(jìn)行進(jìn)一步詳細(xì)說(shuō)明。應(yīng)當(dāng)理解��,此處所描述的具體實(shí) 施例僅用以解釋本發(fā)明��,并不用于限定本發(fā)明���。
[0021] 一種作用于云計(jì)算數(shù)據(jù)中心安全域的虛擬防火墻組件的設(shè)計(jì)���,它要負(fù)責(zé)對(duì)網(wǎng)絡(luò)邊 界、各子網(wǎng)和網(wǎng)絡(luò)內(nèi)部各網(wǎng)絡(luò)域之間的安全防護(hù)����,所以"分布式防火墻"是一個(gè)完整的系統(tǒng), 而不是單一的產(chǎn)品��。根據(jù)其所需完成的功能��,云計(jì)算數(shù)據(jù)中心內(nèi),通過(guò)分布式部署安全網(wǎng)關(guān) 運(yùn)行防火墻組件完成對(duì)整體數(shù)據(jù)中心的個(gè)性化�,分布式安全防護(hù),新的防火墻體系結(jié)構(gòu)包 含如下部分統(tǒng)一安全網(wǎng)關(guān)���、網(wǎng)絡(luò)防火墻組件���、中心管理: 進(jìn)一步的,上述的統(tǒng)一安全網(wǎng)關(guān)統(tǒng)一安全網(wǎng)關(guān)以虛擬主機(jī)的方式通過(guò)網(wǎng)絡(luò)配置成為網(wǎng) 關(guān)��,虛擬主機(jī)的網(wǎng)流量通過(guò)統(tǒng)一安全網(wǎng)關(guān)進(jìn)行清洗�����,轉(zhuǎn)發(fā)達(dá)到安全防護(hù)的效果�����。
[0022] 進(jìn)一步的��,上述的網(wǎng)絡(luò)防火墻組件:虛擬主機(jī)防護(hù)的防火墻組件�����,通過(guò)統(tǒng)一的配置 為虛擬主機(jī)提供定制化的安全防護(hù)服務(wù)�,同時(shí),可以根據(jù)信息安全防護(hù)的相關(guān)法規(guī)將有關(guān) 的安全防護(hù)服務(wù)制作成信息安全防護(hù)策略模板�,按不同的安全防護(hù)要求直接將防護(hù)策略下 發(fā)到虛擬主機(jī)以監(jiān)控其運(yùn)行狀態(tài)。與傳統(tǒng)邊界式防火墻相比�����,它多了一種用于對(duì)內(nèi)部子網(wǎng) 之間的安全防護(hù)層���,這樣整個(gè)網(wǎng)絡(luò)的安全防護(hù)體系就顯得更加全面����,更加可靠�����。不過(guò)在功能 與傳統(tǒng)的邊界式防火墻類(lèi)似���。
[0023] 進(jìn)一步的���,上述的中心管理:這是一個(gè)服務(wù)器軟件,負(fù)責(zé)總體安全策略的策劃��、管 理��、分發(fā)及日志的匯總。這是新的防火墻的管理功能����,也是以前傳統(tǒng)邊界防火墻所不具有 的。這樣防火墻就可進(jìn)行智能管理�����,提高了防火墻的安全防護(hù)靈活性����,具備可管理性。
【權(quán)利要求】
1. 一種作用于云計(jì)算數(shù)據(jù)中心安全域的虛擬防火墻組件的設(shè)計(jì)�����,其特征在于�����,以虛擬 機(jī)群為單位����,以分布式部署為方式����,提供統(tǒng)一的安全防護(hù)�,包含如下部分統(tǒng)一安全網(wǎng)關(guān)��、網(wǎng) 絡(luò)防火墻組件���、中心管理:上述的統(tǒng)一安全網(wǎng)關(guān)統(tǒng)一安全網(wǎng)關(guān)以虛擬主機(jī)的方式通過(guò)網(wǎng)絡(luò) 配置成為網(wǎng)關(guān)��,虛擬主機(jī)的網(wǎng)流量通過(guò)統(tǒng)一安全網(wǎng)關(guān)進(jìn)行清洗�����,轉(zhuǎn)發(fā)達(dá)到安全防護(hù)的效果���, 進(jìn)一步的,上述的網(wǎng)絡(luò)防火墻組件:即虛擬主機(jī)防護(hù)的防火墻組件�,通過(guò)統(tǒng)一的配置為虛擬 主機(jī)提供定制化的安全防護(hù)服務(wù),同時(shí)���,可以根據(jù)信息安全防護(hù)的相關(guān)法規(guī)將有關(guān)的安全 防護(hù)服務(wù)制作成信息安全防護(hù)策略模板�����,按不同的安全防護(hù)要求直接將防護(hù)策略下發(fā)到虛 擬主機(jī)以監(jiān)控其運(yùn)行狀態(tài)����,上述的中心管理:是一個(gè)服務(wù)器軟件,負(fù)責(zé)總體安全策略的策 劃���、管理�、分發(fā)及日志的匯總����。
【文檔編號(hào)】H04L29/06GK104113522SQ201410056759
【公開(kāi)日】2014年10月22日 申請(qǐng)日期:2014年2月20日 優(yōu)先權(quán)日:2014年2月20日
【發(fā)明者】王茜, 史晨昱, 張磊, 魏巍, 朱志祥 申請(qǐng)人:西安未來(lái)國(guó)際信息股份有限公司, 西安郵電大學(xué)