安全一體機系統(tǒng)的制作方法
【專利摘要】本發(fā)明公開一種安全一體機系統(tǒng)��,包括:安全一體機硬件平臺��,用于對所述安全一體機系統(tǒng)的整個系統(tǒng)架構提供計算���、存儲和網(wǎng)絡支持;至少兩個安全產品虛擬機�����,以及安全一體機系統(tǒng)模塊�;所述安全產品虛擬機,用于運行在所述安全一體機系統(tǒng)模塊的環(huán)境中����,提供完整的安全產品功能;所述安全一體機系統(tǒng)模塊�����,用于提供所述安全一體機系統(tǒng)的硬件控制����,所述安全產品虛擬機運行的環(huán)境,以及對所述安全一體機系統(tǒng)的整體控制�����。本發(fā)明提供的技術方案���,能夠實現(xiàn)綜合成本明顯降低��,從而更加有利于推廣和應用����。
【專利說明】
安全一體機系統(tǒng)
技術領域
[0001]本發(fā)明涉及信息安全技術領域,尤其涉及一種安全一體機系統(tǒng)�����。
【背景技術】
[0002]硬件安全設備�����,例如防火墻���、IPS(Intrus1n Prevent1n System����,入侵防御系統(tǒng))����、IDS(Intrus1n Detect1n Systems,入侵檢測系統(tǒng))等�����,通常是網(wǎng)絡安全廠商通過向硬件服務器廠商定制硬件���,然后將自己開發(fā)的操作系統(tǒng)和安全軟件嵌入在定制硬件中�����。硬件安全設備具有高性能����、高可靠性和高安全性等特性�,并且由于其具有獨立的硬件和軟件系統(tǒng),部署起來十分方便���,是保障網(wǎng)絡安全的重要屏障�。
[0003]而隨著網(wǎng)絡云計算技術的迅速發(fā)展����,對數(shù)據(jù)中心的安全要求也越來越高,從安全需求來看���,數(shù)據(jù)中心要求部署的安全產品種類更加多樣�����,安全防護可以更加靈活�,用戶可以根據(jù)自己的安全需求選購購買個性化的安全服務。比如有的用戶只需要防火墻��,有的用戶需要不同檔次的防火墻�����,有的用戶只需要IDS�,有的用戶需要安全審計產品,有的用戶對安全有很高的要求����,希望同時部署多種類型的安全產品,例如防火墻+IDS+審計產品等���。
[0004]但是��,目前的硬件安全設備��,單一設備只能具備單一種類的安全功能����,軟硬件成本高����,因此,可以理解的是,為每個用戶單獨部署一臺或多臺硬件安全設備從價格�、時間和運維三方面考慮,綜合成本高昂��,不利于推廣應用����。
【發(fā)明內容】
[0005]有鑒于此,本發(fā)明提供了一種安全一體機系統(tǒng)��,能夠實現(xiàn)綜合成本明顯降低���,從而更加有利于推廣和應用。
[0006]為實現(xiàn)上述目的��,本發(fā)明提供如下技術方案:
[0007]一種安全一體機系統(tǒng)�����,包括:
[0008]安全一體機硬件平臺�,用于對所述安全一體機系統(tǒng)的整個系統(tǒng)架構提供計算、存儲和網(wǎng)絡支持���;
[0009]至少兩個安全產品虛擬機���,以及安全一體機系統(tǒng)模塊;所述至少兩個包括同一所述安全產品虛擬機種類不同檔次的至少兩個����,或者不同所述安全產品虛擬機種類的至少兩種���,或者既存在同一所述安全產品虛擬機種類不同檔次的至少兩個�����,也存在不同所述安全產品虛擬機種類的至少兩種��;
[0010]所述安全產品虛擬機�����,用于運行在所述安全一體機系統(tǒng)模塊的環(huán)境中�,提供完整的安全產品功能�����;
[0011 ]所述安全一體機系統(tǒng)模塊�,用于提供所述安全一體機系統(tǒng)的硬件控制,所述安全產品虛擬機運行的環(huán)境���,以及對所述安全一體機系統(tǒng)的整體控制���。
[0012]優(yōu)選的�,所述安全一體機硬件平臺包括:
[0013]計算模塊��、存儲模塊和網(wǎng)絡模塊�����。
[0014]優(yōu)選的���,所述安全產品虛擬機包括:
[0015]防火墻虛擬機、UTM虛擬機�、VPN虛擬機、IDS虛擬機�、IPS虛擬機、WAF虛擬機或者審計虛擬機�。
[0016]優(yōu)選的,所述安全一體機系統(tǒng)模塊包括:
[0017]虛擬安全池控制單元���、系統(tǒng)控制單元�、SDN控制單元�、虛擬交換機和智能控制單元��;
[0018]所述虛擬安全池控制單元����,用于控制和調整所述安全產品虛擬機的資源����;
[0019]所述系統(tǒng)控制單元,用于對硬件資源進行控制和調整����,對所述安全一體機系統(tǒng)進行系統(tǒng)控制和調整;
[0020]所述SDN控制單元��,用于調整所述安全一體機系統(tǒng)的網(wǎng)絡流量��;
[0021]所述虛擬交換機����,用于利用虛擬化技術通過軟件方式形成的交換機組件,提供所述安全產品虛擬機之間和所述安全產品虛擬機與物理網(wǎng)絡之間的流量可見性和流量控制�����;
[0022]所述智能控制單元��,用于與所述虛擬安全池控制單元、所述系統(tǒng)控制單元和所述SDN控制單元傳遞信息�����,并通過預先設定的規(guī)則和所述信息�,對所述虛擬安全池控制單元、所述系統(tǒng)控制單元和/或所述SDN控制單元進行智能控制�����。
[0023]優(yōu)選的��,所述虛擬安全池控制單元包括:
[0024]安全產品虛擬機控制子單元�����,用于控制所述安全產品虛擬機的創(chuàng)建�、刪除和修改���;
[0025]資源控制子單元����,用于控制所述安全一體機硬件平臺的CPU�����、內存、硬盤�、輸入/輸出設備的分配與回收;
[0026]安全產品虛擬機資源庫���,用于提供多個所述安全產品虛擬機的映像�;
[0027]配置控制子單元���,用于對所述安全產品虛擬機的名稱����、IP地址����、路由、策略的配置與控制��;
[0028]授權控制子單元����,用于對所述安全產品虛擬機的授權。
[0029]優(yōu)選的����,所述安全產品虛擬機包括:
[0030]基于虛擬化技術模擬的具有完整的安全產品功能的安全產品系統(tǒng)��;
[0031]配置控制代理模塊�����,用于接收所述配置控制子單元下發(fā)的策略配置���;
[0032]以及授權控制代理模塊,用于接收所述授權控制子單元下發(fā)的許可授權�����。
[0033]優(yōu)選的����,所述SDN控制單元包括:
[0034]SDN控制子單元,用于向所述虛擬交換機下流表���,以使所述虛擬交換機將網(wǎng)絡流量轉發(fā)給指定的所述安全產品虛擬機�;
[0035]流量控制組件子單元����,用于對所述安全一體機收到的網(wǎng)絡流量進行策略控制。
[0036]優(yōu)選的�,所述虛擬交換機支持openflow協(xié)議。
[0037]優(yōu)選的����,所述虛擬交換機接受所述SDN控制子單元的控制。
[0038]經由上述的技術方案可知����,與現(xiàn)有技術相比,本發(fā)明提供了一種安全一體機系統(tǒng)����。本發(fā)明提供的安全一體機系統(tǒng),包括:安全一體機硬件平臺����,用于對所述安全一體機系統(tǒng)的整個系統(tǒng)架構提供計算、存儲和網(wǎng)絡支持;至少兩個安全產品虛擬機���,以及安全一體機系統(tǒng)模塊;所述安全產品虛擬機�,用于運行在所述安全一體機系統(tǒng)模塊的環(huán)境中����,提供完整的安全產品功能;所述安全一體機系統(tǒng)模塊�����,用于提供所述安全一體機系統(tǒng)的硬件控制�,所述安全產品虛擬機運行的環(huán)境��,以及對所述安全一體機系統(tǒng)的整體控制���。由于至少兩個所述安全產品虛擬機包括同一所述安全產品虛擬機種類不同檔次的至少兩個����,或者不同所述安全產品虛擬機種類的至少兩種����,或者既存在同一所述安全產品虛擬機種類不同檔次的至少兩個,也存在不同所述安全產品虛擬機種類的至少兩種�。即至少兩個所述安全產品虛擬機能夠設置在所述安全一體機硬件平臺上。也就是說�,應用本發(fā)明提供的技術方案,一臺硬件安全設備能夠具備同一種類至少兩個不同檔次的安全功能����,或者至少兩個種類的安全功能���,或者前面兩種情況同時具備���,因此�����,應用本發(fā)明提供的技術方案����,多個用戶共用同一臺硬件安全設備���,不必每個用戶部署一臺�����,也能夠滿足用戶對安全產品的需求����,即使一些用戶對安全有很高的要求����,同時部署多種類型的安全產品于一臺設備上,便能滿足這些用戶的需求?�?梢岳斫獾氖?��,由于部署設備的數(shù)量降低���,價格、時間和運維方面的成本都會有所降低��,能夠實現(xiàn)綜合成本明顯降低����,從而更加有利于推廣和應用。
【附圖說明】
[0039]為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術中的技術方案���,下面將對實施例或現(xiàn)有技術描述中所需要使用的附圖作簡單地介紹����,顯而易見地��,下面描述中的附圖僅僅是本發(fā)明的實施例�,對于本領域普通技術人員來講,在不付出創(chuàng)造性勞動的前提下�,還可以根據(jù)提供的附圖獲得其他的附圖�����。
[0040]圖1為本發(fā)明實施例提供的一種安全一體機系統(tǒng)的結構圖���;
[0041 ]圖2為本發(fā)明實施例提供的一種安全一體機硬件平臺的結構圖�����;
[0042]圖3為本發(fā)明實施例提供的一種安全一體機系統(tǒng)模塊的結構圖�。
【具體實施方式】
[0043]下面將結合本發(fā)明實施例中的附圖,對本發(fā)明實施例中的技術方案進行清楚�、完整地描述,顯然�,所描述的實施例僅僅是本發(fā)明一部分實施例,而不是全部的實施例����。基于本發(fā)明中的實施例�,本領域普通技術人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例,都屬于本發(fā)明保護的范圍�����。
[0044]為使本發(fā)明的上述目的、特征和優(yōu)點能夠更加明顯易懂�����,下面結合附圖和【具體實施方式】對現(xiàn)有技術和本發(fā)明作進一步詳細的說明�����。
[0045]實施例
[0046]請參閱圖1����,圖1為本發(fā)明實施例提供的一種安全一體機系統(tǒng)的結構圖。如圖1所示��,本發(fā)明實施例提供的安全一體機系統(tǒng)�����,包括:
[0047]安全一體機硬件平臺101��,用于對所述安全一體機系統(tǒng)的整個系統(tǒng)架構提供計算�����、存儲和網(wǎng)絡支持����;
[0048]至少兩個安全產品虛擬機102�����,以及安全一體機系統(tǒng)模塊103;
[0049]具體的���,所述至少兩個包括:同一所述安全產品虛擬機種類不同檔次的至少兩個(A類型);或者不同所述安全產品虛擬機種類的至少兩種(B類型)�;或者既存在同一所述安全產品虛擬機種類不同檔次的至少兩個���,也存在不同所述安全產品虛擬機種類的至少兩種(C類型)��。當然�����,可以理解的是���,所述至少兩個也可以包括同一所述安全產品虛擬機種類相同檔次的至少兩個(D類型)。需要說明的是��,所述至少兩個包括上述提到的各種單獨的類型���,或者各種單獨類型的任意組合��。
[0050]具體的����,所述安全產品虛擬機102,用于運行在所述安全一體機系統(tǒng)模塊的環(huán)境中�,提供完整的安全產品功能。
[0051]具體的���,所述安全一體機系統(tǒng)模塊103��,用于提供所述安全一體機系統(tǒng)的硬件控制�,所述安全產品虛擬機運行的環(huán)境���,以及對所述安全一體機系統(tǒng)的整體控制�。
[0052]本發(fā)明提供的安全一體機系統(tǒng)�,包括:安全一體機硬件平臺,用于對所述安全一體機系統(tǒng)的整個系統(tǒng)架構提供計算�、存儲和網(wǎng)絡支持;至少兩個安全產品虛擬機,以及安全一體機系統(tǒng)模塊;所述安全產品虛擬機��,用于運行在所述安全一體機系統(tǒng)模塊的環(huán)境中�,提供完整的安全產品功能;所述安全一體機系統(tǒng)模塊��,用于提供所述安全一體機系統(tǒng)的硬件控制��,所述安全產品虛擬機運行的環(huán)境�,以及對所述安全一體機系統(tǒng)的整體控制��。由于至少兩個所述安全產品虛擬機包括同一所述安全產品虛擬機種類不同檔次的至少兩個��,或者不同所述安全產品虛擬機種類的至少兩種�,或者既存在同一所述安全產品虛擬機種類不同檔次的至少兩個,也存在不同所述安全產品虛擬機種類的至少兩種��。即至少兩個所述安全產品虛擬機能夠設置在所述安全一體機硬件平臺上����。也就是說����,應用本發(fā)明提供的技術方案,一臺硬件安全設備能夠具備同一種類至少兩個不同檔次的安全功能��,或者至少兩個種類的安全功能�,或者前面兩種情況同時具備,因此����,應用本發(fā)明提供的技術方案�����,多個用戶共用同一臺硬件安全設備��,不必每個用戶部署一臺��,也能夠滿足用戶對安全產品的需求����,即使一些用戶對安全有很高的要求��,同時部署多種類型的安全產品于一臺設備上���,便能滿足這些用戶的需求����?����?梢岳斫獾氖牵捎诓渴鹪O備的數(shù)量降低����,價格、時間和運維方面的成本都會有所降低�,能夠實現(xiàn)綜合成本明顯降低,從而更加有利于推廣和應用�。
[0053]另外,目前的硬件安全設備�,單一設備只能具備單一種類的安全功能,擴展能力差�,無法滿足用戶個性化的安全需求,而應用本發(fā)明提供的技術方案��,這一問題能夠很好的得到解決�����。
[0054]另外��,目前的硬件安全設備��,單一設備只能具備單一種類的安全功能(因只能安裝一種安全產品)��,會導致高性能的安全設備存在著安全能力遠遠超過實際用戶需求����,“產能過剩”的問題��,應用本發(fā)明提供的技術方案���,可以在同一設備上設置多個安全產品虛擬機��,從而更加充分地利用設備資源����,能夠解決目前技術中高性能的安全設備“產能過?���!钡膯栴}。
[0055]具體的���,請參閱圖2�,圖2為本發(fā)明實施例提供的一種安全一體機硬件平臺的結構圖���。如圖2所示��,該安全一體機硬件平臺包括:
[0056]計算模塊201�、存儲模塊202和網(wǎng)絡模塊203。
[0057]具體的���,所述安全產品虛擬機102是通過虛擬化技術模擬的具有完整硬件系統(tǒng)功能和軟件功能的��、運行在一個完全隔離環(huán)境中的完整安全產品系統(tǒng)�,所述安全產品虛擬機102運行在安全一體機系統(tǒng)模塊103的環(huán)境中�����,提供完整的安全產品功能�����?���?蛇x的,所述安全產品虛擬機102包括:
[0058]防火墻虛擬機�����、UTM(Unified Threat Management��,安全網(wǎng)關)虛擬機����、VPN(Virtual Private Network,虛擬專用網(wǎng)絡)虛擬機���、IDS(Intrus1n Detect1n Systems��,入侵檢測系統(tǒng))虛擬機���、IPS (Intrus1n Prevent1n Sy stem,入侵防御系統(tǒng))虛擬機��、WAF(Web Applicat1n Firewall���,網(wǎng)站應用級入侵防御系統(tǒng))虛擬機或者審計虛擬機����。
[0059]可選的��,請參閱圖3�����,圖3為本發(fā)明實施例提供的一種安全一體機系統(tǒng)模塊的結構圖�。如圖3所示�����,該安全一體機系統(tǒng)模塊包括:
[0060]虛擬安全池控制單元301�����、系統(tǒng)控制單元302���、SDN(Software Defined Network,軟件定義網(wǎng)絡)控制單元303�����、虛擬交換機304和智能控制單元305;
[0061]所述虛擬安全池控制單元301���,用于控制和調整所述安全產品虛擬機的資源����;
[0062]所述系統(tǒng)控制單元302�����,用于對硬件資源進行控制和調整�,對所述安全一體機系統(tǒng)進行系統(tǒng)控制和調整����;
[0063]具體的����,對硬件資源進行控制和調整�,包括對CPU、內存����、硬盤、網(wǎng)卡���、USB等硬件的驅動與調整;對一體機進行系統(tǒng)控制和調整�����,包括:系統(tǒng)升級��、補丁管理�、啟動設置��、系統(tǒng)時間和配置管理����。
[0064]所述SDN控制單元303�����,用于調整所述安全一體機系統(tǒng)的網(wǎng)絡流量�����;
[0065]可選的���,所述SDN控制單元包括:
[0066]SDN控制子單元,用于向所述虛擬交換機下流表�����,以使所述虛擬交換機將網(wǎng)絡流量轉發(fā)給指定的所述安全產品虛擬機�����;
[0067]具體的�,所述SDN控制子單元是基于Openflow協(xié)議管理所述虛擬交換機的模塊。
[0068]流量控制組件子單元����,用于對所述安全一體機收到的網(wǎng)絡流量進行策略控制���;
[0069]具體的,所述策略包括:匹配條件和動作����。所述匹配條件包括:五元組、MAC和VLAN;所述動作包括:轉發(fā)���、復制、負載均衡和阻斷�。所述流量控制組件子單元、所述SDN控制子單元和所述虛擬交換機配合使用��,能夠達到網(wǎng)絡流量流經安全產品虛擬機完成安全功能的目的��。
[0070]所述虛擬交換機304��,用于利用虛擬化技術通過軟件方式形成的交換機組件����,提供所述安全產品虛擬機之間和所述安全產品虛擬機與物理網(wǎng)絡之間的流量可見性和流量控制;
[0071 ]具體的,所述虛擬交換機支持openf low協(xié)議�。
[0072]可選的,所述虛擬交換機接受所述軟件定義網(wǎng)絡SDN控制子單元的控制。
[0073]所述智能控制單元305���,用于與所述虛擬安全池控制單元���、所述系統(tǒng)控制單元和所述軟件定義網(wǎng)絡SDN控制單元傳遞信息,并通過預先設定的規(guī)則和所述信息��,對所述虛擬安全池控制單元����、所述系統(tǒng)控制單元和/或所述軟件定義網(wǎng)絡SDN控制單元進行智能控制。
[0074]例如���,智能控制單元不斷通過虛擬安全池控制單元監(jiān)控多個虛擬IDS的健康狀態(tài)���,當發(fā)現(xiàn)某個虛擬IDS出現(xiàn)死機故障時,馬上通過SDN控制單元修改流量策略�����,將流量發(fā)送給一個備份的虛擬IDS����,同時通過系統(tǒng)控制單元,將修改的策略進行備份。智能控制單元面向的場景很多�,此處不再贅述,本發(fā)明主要闡述和保護的是系統(tǒng)架構����。
[0075]需要說明的是,圖3中示出了兩個交換機���,其中一個處理管理網(wǎng)絡的流量�����,另外一個處理業(yè)務網(wǎng)絡的流量,根據(jù)流量的用途進行邏輯上的隔離更清楚更安全���。當然只用一個交換機也是可以的���,但配置時會復雜一些,邏輯劃分不夠清晰�����?�?梢岳斫獾氖牵灰幻撾x本發(fā)明的發(fā)明思路����,基于本發(fā)明技術方案的啟示所做的形式上的改變,均不脫離本發(fā)明的保護范圍�。
[0076]可選的,所述虛擬安全池控制單元包括:
[0077]安全產品虛擬機控制子單元����,用于控制所述安全產品虛擬機的創(chuàng)建、刪除和修改��;
[0078]具體的��,所述安全產品虛擬機的創(chuàng)建可以指定CPU��、內存�����、存儲����、網(wǎng)絡等資源。
[0079]資源控制子單元��,用于控制所述安全一體機硬件平臺的CPU、內存���、硬盤���、輸入/輸出設備的分配與回收;
[0080]安全產品虛擬機資源庫��,用于提供多個所述安全產品虛擬機的映像���;
[0081]具體的���,通過在所述安全產品虛擬機資源庫下載的所述安全產品虛擬機的映像,能夠用于創(chuàng)建安全產品虛擬機實例�。
[0082]配置控制子單元,用于對所述安全產品虛擬機的名稱�、IP地址�、路由、策略的配置與控制��;
[0083]授權控制子單元���,用于對所述安全產品虛擬機的授權��;
[0084]具體的���,對所述安全產品虛擬機的授權包括:
[0085]功能授權�����、時間授權和安全產品虛擬機數(shù)量的授權�����。
[0086]可選的�����,所述安全產品虛擬機102包括:
[0087]基于虛擬化技術模擬的具有完整的安全產品功能的安全產品系統(tǒng)�;
[0088]配置控制代理模塊�,用于接收所述虛擬安全池控制單元中的配置控制子單元下發(fā)的策略配置;
[0089]以及授權控制代理模塊���,用于接收所述虛擬安全池控制單元中的所述授權控制子單元下發(fā)的許可授權����。
[0090]經由上述的技術方案可知���,與現(xiàn)有技術相比��,本發(fā)明提供了一種安全一體機系統(tǒng)����。本發(fā)明提供的安全一體機系統(tǒng),包括:安全一體機硬件平臺��,用于對所述安全一體機系統(tǒng)的整個系統(tǒng)架構提供計算���、存儲和網(wǎng)絡支持;至少兩個安全產品虛擬機����,以及安全一體機系統(tǒng)模塊;所述安全產品虛擬機��,用于運行在所述安全一體機系統(tǒng)模塊的環(huán)境中����,提供完整的安全產品功能;所述安全一體機系統(tǒng)模塊,用于提供所述安全一體機系統(tǒng)的硬件控制����,所述安全產品虛擬機運行的環(huán)境���,以及對所述安全一體機系統(tǒng)的整體控制���。由于至少兩個所述安全產品虛擬機包括同一所述安全產品虛擬機種類不同檔次的至少兩個����,或者不同所述安全產品虛擬機種類的至少兩種��,或者既存在同一所述安全產品虛擬機種類不同檔次的至少兩個��,也存在不同所述安全產品虛擬機種類的至少兩種���。即至少兩個所述安全產品虛擬機能夠設置在所述安全一體機硬件平臺上��。也就是說����,應用本發(fā)明提供的技術方案���,一臺硬件安全設備能夠具備同一種類至少兩個不同檔次的安全功能�,或者至少兩個種類的安全功能�����,或者前面兩種情況同時具備,因此���,應用本發(fā)明提供的技術方案���,多個用戶共用同一臺硬件安全設備,不必每個用戶部署一臺��,也能夠滿足用戶對安全產品的需求��,即使一些用戶對安全有很高的要求�,同時部署多種類型的安全產品于一臺設備上,便能滿足這些用戶的需求��??梢岳斫獾氖牵捎诓渴鹪O備的數(shù)量降低���,價格��、時間和運維方面的成本都會有所降低����,能夠實現(xiàn)綜合成本明顯降低,從而更加有利于推廣和應用��。
[0091]另外����,目前的硬件安全設備�,單一設備只能具備單一種類的安全功能,擴展能力差�,無法滿足用戶個性化的安全需求,而應用本發(fā)明提供的技術方案�,這一問題能夠很好的得到解決。
[0092]另外��,目前的硬件安全設備���,單一設備只能具備單一種類的安全功能(因只能安裝一種安全產品)����,會導致高性能的安全設備存在著安全能力遠遠超過實際用戶需求����,“產能過剩”的問題��,應用本發(fā)明提供的技術方案,可以在同一設備上設置多個安全產品虛擬機�,從而更加充分地利用設備資源,能夠解決目前技術中高性能的安全設備“產能過?�!钡膯栴}�。
[0093]最后,還需要說明的是�����,在本文中��,諸如第一和第二等之類的關系術語僅僅用來將一個實體或者操作與另一個實體或操作區(qū)分開來���,而不一定要求或者暗示這些實體或操作之間存在任何這種實際的關系或者順序�����。而且����,術語“包括”��、“包含”或者其任何其他變體意在涵蓋非排他性的包含��,從而使得包括一系列要素的過程、方法��、物品或者設備不僅包括那些要素����,而且還包括沒有明確列出的其他要素����,或者是還包括為這種過程、方法�、物品或者設備所固有的要素。在沒有更多限制的情況下���,由語句“包括一個……”限定的要素�����,并不排除在包括所述要素的過程�、方法����、物品或者設備中還存在另外的相同要素。
[0094]本說明書中各個實施例采用遞進的方式描述����,每個實施例重點說明的都是與其他實施例的不同之處���,各個實施例之間相同相似部分互相參見即可。
[0095]結合本文中所公開的實施例描述的方法或算法的步驟可以直接用硬件��、處理器執(zhí)行的軟件模塊����,或者二者的結合來實施。軟件模塊可以置于隨機存儲器(RAM)��、內存�、只讀存儲器(R0M)、電可編程R0M����、電可擦除可編程R0M、寄存器或技術領域內所公知的任意其它形式的存儲介質中�。
[0096]對所公開的實施例的上述說明,使本領域專業(yè)技術人員能夠實現(xiàn)或使用本發(fā)明�����。對這些實施例的多種修改對本領域的專業(yè)技術人員來說將是顯而易見的����,本文中所定義的一般原理可以在不脫離本發(fā)明的精神或范圍的情況下�,在其它實施例中實現(xiàn)����。因此,本發(fā)明將不會被限制于本文所示的這些實施例����,而是要符合與本文所公開的原理和新穎特點相一致的最寬的范圍�����。
【主權項】
1.一種安全一體機系統(tǒng)����,其特征在于,包括: 安全一體機硬件平臺��,用于對所述安全一體機系統(tǒng)的整個系統(tǒng)架構提供計算���、存儲和網(wǎng)絡支持���; 至少兩個安全產品虛擬機�����,以及安全一體機系統(tǒng)模塊;所述至少兩個包括同一所述安全產品虛擬機種類不同檔次的至少兩個����,或者不同所述安全產品虛擬機種類的至少兩種����,或者既存在同一所述安全產品虛擬機種類不同檔次的至少兩個,也存在不同所述安全產品虛擬機種類的至少兩種���; 所述安全產品虛擬機�,用于運行在所述安全一體機系統(tǒng)模塊的環(huán)境中�����,提供完整的安全產品功能���; 所述安全一體機系統(tǒng)模塊�����,用于提供所述安全一體機系統(tǒng)的硬件控制�,所述安全產品虛擬機運行的環(huán)境,以及對所述安全一體機系統(tǒng)的整體控制���。2.根據(jù)權利要求1所述的安全一體機系統(tǒng)�,其特征在于�����,所述安全一體機硬件平臺包括: 計算模塊�����、存儲模塊和網(wǎng)絡模塊���。3.根據(jù)權利要求1所述的安全一體機系統(tǒng),其特征在于��,所述安全產品虛擬機包括: 防火墻虛擬機��、安全網(wǎng)關UTM虛擬機�����、虛擬專用網(wǎng)絡VPN虛擬機�、入侵檢測系統(tǒng)IDS虛擬機����、入侵防御系統(tǒng)IPS虛擬機��、網(wǎng)站應用級入侵防御系統(tǒng)WAF虛擬機或者審計虛擬機�。4.根據(jù)權利要求1所述的安全一體機系統(tǒng),其特征在于�,所述安全一體機系統(tǒng)模塊包括: 虛擬安全池控制單元、系統(tǒng)控制單元���、軟件定義網(wǎng)絡SDN控制單元����、虛擬交換機和智能控制單元����; 所述虛擬安全池控制單元,用于控制和調整所述安全產品虛擬機的資源����; 所述系統(tǒng)控制單元,用于對硬件資源進行控制和調整�,對所述安全一體機系統(tǒng)進行系統(tǒng)控制和調整; 所述軟件定義網(wǎng)絡SDN控制單元�����,用于調整所述安全一體機系統(tǒng)的網(wǎng)絡流量; 所述虛擬交換機�����,用于利用虛擬化技術通過軟件方式形成的交換機組件�����,提供所述安全產品虛擬機之間和所述安全產品虛擬機與物理網(wǎng)絡之間的流量可見性和流量控制��; 所述智能控制單元�����,用于與所述虛擬安全池控制單元�、所述系統(tǒng)控制單元和所述軟件定義網(wǎng)絡SDN控制單元傳遞信息�,并通過預先設定的規(guī)則和所述信息,對所述虛擬安全池控制單元����、所述系統(tǒng)控制單元和/或所述軟件定義網(wǎng)絡SDN控制單元進行智能控制。5.根據(jù)權利要求4所述的安全一體機系統(tǒng)��,其特征在于,所述虛擬安全池控制單元包括: 安全產品虛擬機控制子單元��,用于控制所述安全產品虛擬機的創(chuàng)建��、刪除和修改���; 資源控制子單元�����,用于控制所述安全一體機硬件平臺的CPU�、內存����、硬盤、輸入/輸出設備的分配與回收��; 安全產品虛擬機資源庫�,用于提供多個所述安全產品虛擬機的映像; 配置控制子單元��,用于對所述安全產品虛擬機的名稱�����、IP地址、路由��、策略的配置與控制; 授權控制子單元����,用于對所述安全產品虛擬機的授權。6.根據(jù)權利要求5所述的安全一體機系統(tǒng)����,其特征在于,所述安全產品虛擬機包括: 基于虛擬化技術模擬的具有完整的安全產品功能的安全產品系統(tǒng)����; 配置控制代理模塊,用于接收所述配置控制子單元下發(fā)的策略配置�����; 以及授權控制代理模塊���,用于接收所述授權控制子單元下發(fā)的許可授權�。7.根據(jù)權利要求4所述的安全一體機系統(tǒng)��,其特征在于��,所述軟件定義網(wǎng)絡SDN控制單元包括: 軟件定義網(wǎng)絡SDN控制子單元���,用于向所述虛擬交換機下流表��,以使所述虛擬交換機將網(wǎng)絡流量轉發(fā)給指定的所述安全產品虛擬機��; 流量控制組件子單元���,用于對所述安全一體機收到的網(wǎng)絡流量進行策略控制。8.根據(jù)權利要求4所述的安全一體機系統(tǒng)���,其特征在于���,所述虛擬交換機支持openflow協(xié)議。9.根據(jù)權利要求7或8所述的安全一體機系統(tǒng)�,其特征在于,所述虛擬交換機接受所述軟件定義網(wǎng)絡SDN控制子單元的控制�����。
【文檔編號】H04L29/06GK105959275SQ201610266520
【公開日】2016年9月21日
【申請日】2016年4月26日
【發(fā)明人】楊聰毅, 文光軼, 楊松松, 張志博
【申請人】北京啟明星辰信息安全技術有限公司, 啟明星辰信息技術集團股份有限公司