一種基于軟件定義的網(wǎng)絡(luò)安全流安全平臺(tái)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域�����,具體的說是一種基于軟件定義的網(wǎng)絡(luò)安全流安全
-ψ-
口 O
【背景技術(shù)】
[0002]傳統(tǒng)IT架構(gòu)中的網(wǎng)絡(luò)��,根據(jù)業(yè)務(wù)需求部署上線以后�����,如果業(yè)務(wù)需求發(fā)生變動(dòng)����,重新修改相應(yīng)網(wǎng)絡(luò)設(shè)備(路由器、交換機(jī)�、防火墻)上的配置是一件非常繁瑣的事情。在互聯(lián)網(wǎng)/移動(dòng)互聯(lián)網(wǎng)瞬息萬變的業(yè)務(wù)環(huán)境下�����,網(wǎng)絡(luò)的高穩(wěn)定與高性能還不足以滿足業(yè)務(wù)需求,靈活性和安全性反而更為關(guān)鍵�����。軟件定義網(wǎng)絡(luò)(SDN)所做的事是將網(wǎng)絡(luò)設(shè)備上的控制權(quán)分離出來��,由集中的控制器管理���,無須依賴底層網(wǎng)絡(luò)設(shè)備(路由器����、交換機(jī)�、防火墻),屏蔽了來自底層網(wǎng)絡(luò)設(shè)備的差異�����,而控制權(quán)是完全開放的�,用戶可以自定義任何想實(shí)現(xiàn)的網(wǎng)絡(luò)路由和傳輸規(guī)則策略���,從而更加靈活和智能��。而目前基于軟件定義網(wǎng)絡(luò)環(huán)境下的資源管理和安全防護(hù)方面存在一些缺陷�,難以滿足網(wǎng)絡(luò)大流量、安全需求多樣��、安全可信度要求較高環(huán)境下的安全防護(hù)需求����。
【發(fā)明內(nèi)容】
[0003]本發(fā)明的目的在于提供一種基于軟件定義的網(wǎng)絡(luò)安全流安全平臺(tái),以解決目前基于軟件定義網(wǎng)絡(luò)環(huán)境下的資源管理和安全防護(hù)方面存在的一些缺陷��。
[0004]本發(fā)明提供的一種基于軟件定義的網(wǎng)絡(luò)安全流安全平臺(tái)是通過以下技術(shù)方案實(shí)現(xiàn)的:
一種基于軟件定義的網(wǎng)絡(luò)安全流安全平臺(tái)���,其特征在于:包括應(yīng)用層��、管理層�、數(shù)據(jù)層��;
所述應(yīng)用層包括網(wǎng)絡(luò)應(yīng)用��、網(wǎng)絡(luò)服務(wù)��、自定義應(yīng)用接口����,所述應(yīng)用層可直接為應(yīng)用進(jìn)程提供服務(wù)��,其作用是在實(shí)現(xiàn)多個(gè)系統(tǒng)應(yīng)用進(jìn)程相互通信的同時(shí)��,完成一系列業(yè)務(wù)處理所需的服務(wù)��;
所述管理層包括SDN控制器�,所述SDN控制器將網(wǎng)絡(luò)設(shè)備上的控制權(quán)分離出來并進(jìn)行集中管理�����;
所述數(shù)據(jù)層包括防火墻���、Web應(yīng)用防護(hù)系統(tǒng)WAF�、入侵檢測(cè)系統(tǒng)IDS�,所述數(shù)據(jù)層可對(duì)訪問數(shù)據(jù)進(jìn)行檢測(cè)及控制。
[0005]所述防火墻通過SDN控制器定制的安全策略��,將流量牽引至所述防火墻�����,由防火墻根據(jù)規(guī)則對(duì)訪問流量進(jìn)行控制��,阻斷非授權(quán)訪問���,并將合法的訪問流量回注到應(yīng)用中去���。
[0006]所述入侵檢測(cè)系統(tǒng)IDS可根據(jù)定制的安全策略對(duì)虛擬環(huán)境下網(wǎng)絡(luò)流量的導(dǎo)出與檢測(cè)。
[0007]本發(fā)明的有益效果是:
1�����、基于軟件定義網(wǎng)絡(luò)的安全流平臺(tái)可以解決SDN環(huán)境下的資源管理和安全防護(hù)方面的缺陷���,滿足滿足網(wǎng)絡(luò)大流量�����、安全需求多樣�、安全可信程度要求較高環(huán)境下的安全防護(hù)需求�。
[0008]2、基于軟件定義網(wǎng)絡(luò)的安全流平臺(tái)可融合相關(guān)的安全設(shè)備����,對(duì)指定服務(wù)或應(yīng)用實(shí)現(xiàn)多種安全功能靈活有序組合,通過安全功能的聯(lián)動(dòng)防護(hù)���,能滿足提高面向業(yè)務(wù)安全的整體防護(hù)能力需求��。
[0009]3�����、基于SDN網(wǎng)絡(luò)架構(gòu)可以支持動(dòng)態(tài)網(wǎng)絡(luò)流量的可視化�,對(duì)流量進(jìn)行控制和檢測(cè),進(jìn)一步提尚網(wǎng)絡(luò)安全�。
【附圖說明】
[0010]圖I是本發(fā)明的系統(tǒng)構(gòu)架示意圖。
【具體實(shí)施方式】
[0011]為使本申請(qǐng)的目的�����、技術(shù)方案和優(yōu)點(diǎn)更加清楚���,以下結(jié)合附圖及具體實(shí)施例�����,對(duì)本申請(qǐng)作進(jìn)一步地詳細(xì)說明���。
[0012]如圖I所示的一種基于軟件定義的網(wǎng)絡(luò)安全流安全平臺(tái),其特征在于:包括應(yīng)用層����、管理層、數(shù)據(jù)層���;所述應(yīng)用層包括網(wǎng)絡(luò)應(yīng)用��、網(wǎng)絡(luò)服務(wù)���、自定義應(yīng)用接口,所述應(yīng)用層可直接為應(yīng)用進(jìn)程提供服務(wù)��,其作用是在實(shí)現(xiàn)多個(gè)系統(tǒng)應(yīng)用進(jìn)程相互通信的同時(shí)���,完成一系列業(yè)務(wù)處理所需的服務(wù)�����;所述管理層包括SDN控制器��,所述SDN控制器將網(wǎng)絡(luò)設(shè)備上的控制權(quán)分離出來并進(jìn)行集中管理��;所述數(shù)據(jù)層包括防火墻��、Web應(yīng)用防護(hù)系統(tǒng)WAF�、入侵檢測(cè)系統(tǒng)IDS�,所述數(shù)據(jù)層可對(duì)訪問數(shù)據(jù)進(jìn)行檢測(cè)及控制�����。
[0013]進(jìn)一步地����,所述防火墻通過SDN控制器定制的安全策略����,將流量牽引至所述防火墻,由防火墻根據(jù)規(guī)則對(duì)訪問流量進(jìn)行控制�,阻斷非授權(quán)訪問,并將合法的訪問流量回注到應(yīng)用中去���,所述防火墻可以根據(jù)檢測(cè)流量的大小進(jìn)行處理能力的適配����,可由單臺(tái)高端設(shè)備虛擬成多臺(tái)設(shè)備��,通過執(zhí)行各自獨(dú)立的安全策略��,對(duì)不同用戶的處理需求做并行處理��,即“一虛多”的模式,也可以由多臺(tái)低端設(shè)備組成集群模式或負(fù)載均衡的調(diào)度��,即“多虛一”的模式�,對(duì)大流量的訪問控制任務(wù)進(jìn)行集中處理,同時(shí)這種訪問控制檢測(cè)不受防火墻部署位置的影響����。
[0014]進(jìn)一步地�,所述入侵檢測(cè)系統(tǒng)IDS可根據(jù)定制的安全策略對(duì)虛擬環(huán)境下網(wǎng)絡(luò)流量的導(dǎo)出與檢測(cè),可以根據(jù)安全策略靈活地將網(wǎng)絡(luò)流量牽引至攻擊檢測(cè)設(shè)備��。
[0015]以上所述實(shí)施例僅表示本發(fā)明的實(shí)施方式���,其描述較為具體和詳細(xì)���,但并不能理解為對(duì)本發(fā)明范圍的限制。應(yīng)當(dāng)指出的是�����,對(duì)于本領(lǐng)域的普通技術(shù)人員來說��,在不脫離本發(fā)明構(gòu)思的前提下�����,還可以做出若干變形和改進(jìn),這些都屬于本發(fā)明保護(hù)范圍����。
【主權(quán)項(xiàng)】
1.一種基于軟件定義的網(wǎng)絡(luò)安全流安全平臺(tái),其特征在于:包括應(yīng)用層�、管理層、數(shù)據(jù)層���; 所述應(yīng)用層包括網(wǎng)絡(luò)應(yīng)用�、網(wǎng)絡(luò)服務(wù)����、自定義應(yīng)用接口,所述應(yīng)用層可直接為應(yīng)用進(jìn)程提供服務(wù)�,其作用是在實(shí)現(xiàn)多個(gè)系統(tǒng)應(yīng)用進(jìn)程相互通信的同時(shí),完成一系列業(yè)務(wù)處理所需的服務(wù)����; 所述管理層包括SDN控制器,所述SDN控制器將網(wǎng)絡(luò)設(shè)備上的控制權(quán)分離出來并進(jìn)行集中管理���; 所述數(shù)據(jù)層包括防火墻��、Web應(yīng)用防護(hù)系統(tǒng)WAF��、入侵檢測(cè)系統(tǒng)IDS��,所述數(shù)據(jù)層可對(duì)訪問數(shù)據(jù)進(jìn)行檢測(cè)及控制�。
2.根據(jù)權(quán)利要求1所述的一種基于軟件定義的網(wǎng)絡(luò)安全流安全平臺(tái),其特征在于:所述防火墻通過SDN控制器定制的安全策略�,將流量牽引至所述防火墻,由防火墻根據(jù)規(guī)則對(duì)訪問流量進(jìn)行控制��,阻斷非授權(quán)訪問����,并將合法的訪問流量回注到應(yīng)用中去�。
3.根據(jù)權(quán)利要求1所述的一種基于軟件定義的網(wǎng)絡(luò)安全流安全平臺(tái),其特征在于:所述入侵檢測(cè)系統(tǒng)IDS可根據(jù)定制的安全策略對(duì)虛擬環(huán)境下網(wǎng)絡(luò)流量的導(dǎo)出與檢測(cè)����。
【專利摘要】本發(fā)明涉及了一種基于軟件定義的網(wǎng)絡(luò)安全流安全平臺(tái),其特征在于:包括應(yīng)用層����、管理層、數(shù)據(jù)層�����;所述應(yīng)用層包括網(wǎng)絡(luò)應(yīng)用、網(wǎng)絡(luò)服務(wù)�����、自定義應(yīng)用接口�,所述應(yīng)用層可直接為應(yīng)用進(jìn)程提供服務(wù),其作用是在實(shí)現(xiàn)多個(gè)系統(tǒng)應(yīng)用進(jìn)程相互通信的同時(shí)�,完成一系列業(yè)務(wù)處理所需的服務(wù);所述管理層包括SDN控制器�����,所述SDN控制器將網(wǎng)絡(luò)設(shè)備上的控制權(quán)分離出來并進(jìn)行集中管理��;所述數(shù)據(jù)層包括防火墻�、Web應(yīng)用防護(hù)系統(tǒng)WAF、入侵檢測(cè)系統(tǒng)IDS���,所述數(shù)據(jù)層可對(duì)訪問數(shù)據(jù)進(jìn)行檢測(cè)及控制����。本發(fā)明的有益效果是:可以解決SDN環(huán)境下的資源管理和安全防護(hù)方面的缺陷����,滿足網(wǎng)絡(luò)大流量�、安全需求多樣�、安全可信程度要求較高環(huán)境下的安全防護(hù)需求。
【IPC分類】H04L29-08, H04L29-06
【公開號(hào)】CN104753951
【申請(qǐng)?zhí)枴緾N201510171335
【發(fā)明人】羅春
【申請(qǐng)人】成都雙奧陽科技有限公司
【公開日】2015年7月1日
【申請(qǐng)日】2015年4月13日