一種基于軟件定義的網(wǎng)絡(luò)安全流安全平臺的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域��,具體的說是一種基于軟件定義的網(wǎng)絡(luò)安全流安全
-ψ-
口 O
【背景技術(shù)】
[0002]傳統(tǒng)IT架構(gòu)中的網(wǎng)絡(luò)�����,根據(jù)業(yè)務(wù)需求部署上線以后�,如果業(yè)務(wù)需求發(fā)生變動�,重新修改相應(yīng)網(wǎng)絡(luò)設(shè)備(路由器、交換機��、防火墻)上的配置是一件非常繁瑣的事情���。在互聯(lián)網(wǎng)/移動互聯(lián)網(wǎng)瞬息萬變的業(yè)務(wù)環(huán)境下����,網(wǎng)絡(luò)的高穩(wěn)定與高性能還不足以滿足業(yè)務(wù)需求����,靈活性和安全性反而更為關(guān)鍵���。軟件定義網(wǎng)絡(luò)(SDN)所做的事是將網(wǎng)絡(luò)設(shè)備上的控制權(quán)分離出來�����,由集中的控制器管理�,無須依賴底層網(wǎng)絡(luò)設(shè)備(路由器、交換機�����、防火墻)�,屏蔽了來自底層網(wǎng)絡(luò)設(shè)備的差異,而控制權(quán)是完全開放的��,用戶可以自定義任何想實現(xiàn)的網(wǎng)絡(luò)路由和傳輸規(guī)則策略����,從而更加靈活和智能。而目前基于軟件定義網(wǎng)絡(luò)環(huán)境下的資源管理和安全防護方面存在一些缺陷���,難以滿足網(wǎng)絡(luò)大流量��、安全需求多樣��、安全可信度要求較高環(huán)境下的安全防護需求��。
【發(fā)明內(nèi)容】
[0003]本發(fā)明的目的在于提供一種基于軟件定義的網(wǎng)絡(luò)安全流安全平臺����,以解決目前基于軟件定義網(wǎng)絡(luò)環(huán)境下的資源管理和安全防護方面存在的一些缺陷。
[0004]本發(fā)明提供的一種基于軟件定義的網(wǎng)絡(luò)安全流安全平臺是通過以下技術(shù)方案實現(xiàn)的:
一種基于軟件定義的網(wǎng)絡(luò)安全流安全平臺�,其特征在于:包括應(yīng)用層、管理層��、數(shù)據(jù)層����;
所述應(yīng)用層包括網(wǎng)絡(luò)應(yīng)用、網(wǎng)絡(luò)服務(wù)����、自定義應(yīng)用接口,所述應(yīng)用層可直接為應(yīng)用進程提供服務(wù)�����,其作用是在實現(xiàn)多個系統(tǒng)應(yīng)用進程相互通信的同時�����,完成一系列業(yè)務(wù)處理所需的服務(wù);
所述管理層包括SDN控制器�,所述SDN控制器將網(wǎng)絡(luò)設(shè)備上的控制權(quán)分離出來并進行集中管理;
所述數(shù)據(jù)層包括防火墻�、Web應(yīng)用防護系統(tǒng)WAF、入侵檢測系統(tǒng)IDS���,所述數(shù)據(jù)層可對訪問數(shù)據(jù)進行檢測及控制。
[0005]所述防火墻通過SDN控制器定制的安全策略�,將流量牽引至所述防火墻,由防火墻根據(jù)規(guī)則對訪問流量進行控制�����,阻斷非授權(quán)訪問��,并將合法的訪問流量回注到應(yīng)用中去��。
[0006]所述入侵檢測系統(tǒng)IDS可根據(jù)定制的安全策略對虛擬環(huán)境下網(wǎng)絡(luò)流量的導(dǎo)出與檢測����。
[0007]本發(fā)明的有益效果是:
1、基于軟件定義網(wǎng)絡(luò)的安全流平臺可以解決SDN環(huán)境下的資源管理和安全防護方面的缺陷��,滿足滿足網(wǎng)絡(luò)大流量��、安全需求多樣、安全可信程度要求較高環(huán)境下的安全防護需求��。
[0008]2��、基于軟件定義網(wǎng)絡(luò)的安全流平臺可融合相關(guān)的安全設(shè)備��,對指定服務(wù)或應(yīng)用實現(xiàn)多種安全功能靈活有序組合�,通過安全功能的聯(lián)動防護,能滿足提高面向業(yè)務(wù)安全的整體防護能力需求�����。
[0009]3�、基于SDN網(wǎng)絡(luò)架構(gòu)可以支持動態(tài)網(wǎng)絡(luò)流量的可視化,對流量進行控制和檢測����,進一步提尚網(wǎng)絡(luò)安全。
【附圖說明】
[0010]圖I是本發(fā)明的系統(tǒng)構(gòu)架示意圖��。
【具體實施方式】
[0011]為使本申請的目的�、技術(shù)方案和優(yōu)點更加清楚,以下結(jié)合附圖及具體實施例�,對本申請作進一步地詳細說明。
[0012]如圖I所示的一種基于軟件定義的網(wǎng)絡(luò)安全流安全平臺,其特征在于:包括應(yīng)用層����、管理層、數(shù)據(jù)層����;所述應(yīng)用層包括網(wǎng)絡(luò)應(yīng)用、網(wǎng)絡(luò)服務(wù)���、自定義應(yīng)用接口�,所述應(yīng)用層可直接為應(yīng)用進程提供服務(wù)�����,其作用是在實現(xiàn)多個系統(tǒng)應(yīng)用進程相互通信的同時���,完成一系列業(yè)務(wù)處理所需的服務(wù);所述管理層包括SDN控制器����,所述SDN控制器將網(wǎng)絡(luò)設(shè)備上的控制權(quán)分離出來并進行集中管理;所述數(shù)據(jù)層包括防火墻�、Web應(yīng)用防護系統(tǒng)WAF、入侵檢測系統(tǒng)IDS���,所述數(shù)據(jù)層可對訪問數(shù)據(jù)進行檢測及控制����。
[0013]進一步地,所述防火墻通過SDN控制器定制的安全策略��,將流量牽引至所述防火墻�����,由防火墻根據(jù)規(guī)則對訪問流量進行控制����,阻斷非授權(quán)訪問,并將合法的訪問流量回注到應(yīng)用中去�����,所述防火墻可以根據(jù)檢測流量的大小進行處理能力的適配���,可由單臺高端設(shè)備虛擬成多臺設(shè)備�,通過執(zhí)行各自獨立的安全策略���,對不同用戶的處理需求做并行處理��,即“一虛多”的模式��,也可以由多臺低端設(shè)備組成集群模式或負載均衡的調(diào)度����,即“多虛一”的模式,對大流量的訪問控制任務(wù)進行集中處理�,同時這種訪問控制檢測不受防火墻部署位置的影響。
[0014]進一步地��,所述入侵檢測系統(tǒng)IDS可根據(jù)定制的安全策略對虛擬環(huán)境下網(wǎng)絡(luò)流量的導(dǎo)出與檢測�,可以根據(jù)安全策略靈活地將網(wǎng)絡(luò)流量牽引至攻擊檢測設(shè)備。
[0015]以上所述實施例僅表示本發(fā)明的實施方式��,其描述較為具體和詳細����,但并不能理解為對本發(fā)明范圍的限制�����。應(yīng)當(dāng)指出的是���,對于本領(lǐng)域的普通技術(shù)人員來說����,在不脫離本發(fā)明構(gòu)思的前提下,還可以做出若干變形和改進����,這些都屬于本發(fā)明保護范圍。
【主權(quán)項】
1.一種基于軟件定義的網(wǎng)絡(luò)安全流安全平臺��,其特征在于:包括應(yīng)用層���、管理層����、數(shù)據(jù)層����; 所述應(yīng)用層包括網(wǎng)絡(luò)應(yīng)用、網(wǎng)絡(luò)服務(wù)����、自定義應(yīng)用接口,所述應(yīng)用層可直接為應(yīng)用進程提供服務(wù)���,其作用是在實現(xiàn)多個系統(tǒng)應(yīng)用進程相互通信的同時�����,完成一系列業(yè)務(wù)處理所需的服務(wù)����; 所述管理層包括SDN控制器,所述SDN控制器將網(wǎng)絡(luò)設(shè)備上的控制權(quán)分離出來并進行集中管理����; 所述數(shù)據(jù)層包括防火墻、Web應(yīng)用防護系統(tǒng)WAF�����、入侵檢測系統(tǒng)IDS�,所述數(shù)據(jù)層可對訪問數(shù)據(jù)進行檢測及控制。
2.根據(jù)權(quán)利要求1所述的一種基于軟件定義的網(wǎng)絡(luò)安全流安全平臺��,其特征在于:所述防火墻通過SDN控制器定制的安全策略��,將流量牽引至所述防火墻��,由防火墻根據(jù)規(guī)則對訪問流量進行控制����,阻斷非授權(quán)訪問,并將合法的訪問流量回注到應(yīng)用中去�����。
3.根據(jù)權(quán)利要求1所述的一種基于軟件定義的網(wǎng)絡(luò)安全流安全平臺���,其特征在于:所述入侵檢測系統(tǒng)IDS可根據(jù)定制的安全策略對虛擬環(huán)境下網(wǎng)絡(luò)流量的導(dǎo)出與檢測���。
【專利摘要】本發(fā)明涉及了一種基于軟件定義的網(wǎng)絡(luò)安全流安全平臺,其特征在于:包括應(yīng)用層���、管理層����、數(shù)據(jù)層��;所述應(yīng)用層包括網(wǎng)絡(luò)應(yīng)用�����、網(wǎng)絡(luò)服務(wù)��、自定義應(yīng)用接口,所述應(yīng)用層可直接為應(yīng)用進程提供服務(wù)��,其作用是在實現(xiàn)多個系統(tǒng)應(yīng)用進程相互通信的同時����,完成一系列業(yè)務(wù)處理所需的服務(wù);所述管理層包括SDN控制器�����,所述SDN控制器將網(wǎng)絡(luò)設(shè)備上的控制權(quán)分離出來并進行集中管理�;所述數(shù)據(jù)層包括防火墻、Web應(yīng)用防護系統(tǒng)WAF����、入侵檢測系統(tǒng)IDS,所述數(shù)據(jù)層可對訪問數(shù)據(jù)進行檢測及控制��。本發(fā)明的有益效果是:可以解決SDN環(huán)境下的資源管理和安全防護方面的缺陷����,滿足網(wǎng)絡(luò)大流量、安全需求多樣���、安全可信程度要求較高環(huán)境下的安全防護需求����。
【IPC分類】H04L29-08, H04L29-06
【公開號】CN104753951
【申請?zhí)枴緾N201510171335
【發(fā)明人】羅春
【申請人】成都雙奧陽科技有限公司
【公開日】2015年7月1日
【申請日】2015年4月13日