[发明专利]云环境网络安全防护系统

说明书

技术领域

本发明属于网络安全技术领域，提出了一种云环境网络安全防护系统。

背景技术

在云环境中部署流量检测和过滤工具所面临的问题主要有以下两点。

云平台安全边界问题

云计算平台的边界防护方案通常根据网络的物理拓扑情况，手动的在网络边界搭建防火墙、入侵检测系统、WAF、漏洞扫描、抗DDOS、数据库审计等安全防护设备，用于检测网络环境并发现服务器或用户终端可能遭遇的攻击。使用SDN技术的云计算平台中被保护对象的物理边界处于动态变化之中，这将导致传统网络边界防护设备的部署和管理过程异常复杂，网络防护对象也异常僵化。

安全策略自动迁移

人工迁移安全策略的配置时间过长，也会出现配置错误等情况，会导致虚拟机迁移后无法继续接受原有安全策略的保护。因此，需要设计安全策略自动迁移机制，使得被检测虚拟机在迁移后，其对应的安全策略也随之迁移。

安全设备资源浪费

云环境中，部署在流量流通较大位置的安全设备性能会受到影响，而部署在流量较小位置的安全设备未发挥充分的作用。因此，除了计算、存储和网络资源可以通过统一配置管理，还需要安全设备可以进行统一管理。

云环境内部存在的攻击

现有的安全手段主要是防护来自外部的攻击，仅依靠主机监控、防病毒等安全手段防护虚拟机自身安全，而主机监控、防病毒的服务端可能无法与迁移后的虚拟机进行通信，同时也缺少检测当虚拟机向云环境内部的另一台虚拟机发送恶意流量行为的方法。

现有云环境中的安全防护主要是在每个虚拟机中做安全加固，对网络的防护不够周全，由于云环境中网络的灵活多变性，安全的防护也需要随着网络的变化而改变，单纯的硬件部署不足以应付网络变化带来的威胁，因此需要设计网络安全防护体系来应对网络变化所产生的不安全因素。

发明内容

本发明的目的在于提供一种云环境网络安全防护系统，用于解决上述现有技术的问题。

本发明的一种云环境网络安全防护系统，其中，包括：基础设施模块、控制模块和应用管理模块；该基础设施模块包括云环境中的安全设备、虚拟机、物理服务器及交换机；该交换机用于根据该应用管理模块下发给该控制模块的指令，将流量引入所需的该安全设备、该物理服务器或该虚拟机中；该控制模块进行协议转换，以控制控制网络流量的转发；应用管理模块用于对流量进行分析，并引入该安全设备中。

根据本发明的云环境网络安全防护系统的一实施例，其中，该交换机为支持SDN技术的交换机，该控制模块使用SDN控制器。

根据本发明的云环境网络安全防护系统的一实施例，其中，该安全设备包括：防火墙、入侵检测系统、Web应用防火墙、漏洞扫描、抗分布式拒绝服务以及数据库审计设备。

根据本发明的云环境网络安全防护系统的一实施例，其中，应用管理模块包括：全网流量控制台、应用服务器流量控制台、数据库服务器流量控制台、终端流量控制台以及安全策略控制台；该全网流量控制台用于对云环境的边界进行流量控制，将这些流量引入防火墙以及入侵检测系统设备；该应用服务器流量控制台用于对应用服务器区的边界进行流量控制，将这些流量引入Web应用防火墙以及抗分布式拒绝服务设备；该数据库服务器流量控制台用于对数据库区的边界进行流量控制，将这些流量引入数据库审计系统设备；该终端流量控制台用于对虚拟机的防护，当云环境内部虚拟机之间互相通信时，为发现内部存在的攻击行为，以将这部分流量引入入侵检测系统以及防火墙安全设备；安全策略控制台用于对虚拟机迁移后，进行安全策略迁移。

根据本发明的云环境网络安全防护系统的一实施例，其中，该安全策略控制台，用于在虚拟机迁移时，先获取虚拟机的安全策略，在虚拟机迁移过程中，迁出端的安全策略控制台将虚拟机的安全策略传输到迁入端的安全策略控制台，并在虚拟机迁移后，将安全策略下发至该虚拟机。

根据本发明的云环境网络安全防护系统的一实施例，其中，该应用管理模块还包括人机交互接口，用于以提供外部的WEB接口。

综上，本发明云环境网络安全防护系统针对现有技术的不足之处，提供云环境边界动态变化的安全防护能力，以及安全保护资源的动态调配能力，为云环境中的用户按需提供网络安全环境。

附图说明

图1所示为本发明云环境网络安全防护系统的结构图；

图2所示为应用管理模块的各流量控制台的工作流程图；

图3所示为应用管理模块的安全策略控制台的工作流程图。

具体实施方式