技術領域

本發明屬于網絡安全技術領域，提出了一種云環境網絡安全防護系統。

背景技術

在云環境中部署流量檢測和過濾工具所面臨的問題主要有以下兩點。

云平臺安全邊界問題

云計算平臺的邊界防護方案通常根據網絡的物理拓撲情況，手動的在網絡邊界搭建防火墻、入侵檢測系統、WAF、漏洞掃描、抗DDOS、數據庫審計等安全防護設備，用于檢測網絡環境并發現服務器或用戶終端可能遭遇的攻擊。使用SDN技術的云計算平臺中被保護對象的物理邊界處于動態變化之中，這將導致傳統網絡邊界防護設備的部署和管理過程異常復雜，網絡防護對象也異常僵化。

安全策略自動遷移

人工遷移安全策略的配置時間過長，也會出現配置錯誤等情況，會導致虛擬機遷移后無法繼續接受原有安全策略的保護。因此，需要設計安全策略自動遷移機制，使得被檢測虛擬機在遷移后，其對應的安全策略也隨之遷移。

安全設備資源浪費

云環境中，部署在流量流通較大位置的安全設備性能會受到影響，而部署在流量較小位置的安全設備未發揮充分的作用。因此，除了計算、存儲和網絡資源可以通過統一配置管理，還需要安全設備可以進行統一管理。

云環境內部存在的攻擊

現有的安全手段主要是防護來自外部的攻擊，僅依靠主機監控、防病毒等安全手段防護虛擬機自身安全，而主機監控、防病毒的服務端可能無法與遷移后的虛擬機進行通信，同時也缺少檢測當虛擬機向云環境內部的另一臺虛擬機發送惡意流量行為的方法。

現有云環境中的安全防護主要是在每個虛擬機中做安全加固，對網絡的防護不夠周全，由于云環境中網絡的靈活多變性，安全的防護也需要隨著網絡的變化而改變，單純的硬件部署不足以應付網絡變化帶來的威脅，因此需要設計網絡安全防護體系來應對網絡變化所產生的不安全因素。

發明內容

本發明的目的在于提供一種云環境網絡安全防護系統，用于解決上述現有技術的問題。

本發明的一種云環境網絡安全防護系統，其中，包括：基礎設施模塊、控制模塊和應用管理模塊；該基礎設施模塊包括云環境中的安全設備、虛擬機、物理服務器及交換機；該交換機用于根據該應用管理模塊下發給該控制模塊的指令，將流量引入所需的該安全設備、該物理服務器或該虛擬機中；該控制模塊進行協議轉換，以控制控制網絡流量的轉發；應用管理模塊用于對流量進行分析，并引入該安全設備中。

根據本發明的云環境網絡安全防護系統的一實施例，其中，該交換機為支持SDN技術的交換機，該控制模塊使用SDN控制器。

根據本發明的云環境網絡安全防護系統的一實施例，其中，該安全設備包括：防火墻、入侵檢測系統、Web應用防火墻、漏洞掃描、抗分布式拒絕服務以及數據庫審計設備。

根據本發明的云環境網絡安全防護系統的一實施例，其中，應用管理模塊包括：全網流量控制臺、應用服務器流量控制臺、數據庫服務器流量控制臺、終端流量控制臺以及安全策略控制臺；該全網流量控制臺用于對云環境的邊界進行流量控制，將這些流量引入防火墻以及入侵檢測系統設備；該應用服務器流量控制臺用于對應用服務器區的邊界進行流量控制，將這些流量引入Web應用防火墻以及抗分布式拒絕服務設備；該數據庫服務器流量控制臺用于對數據庫區的邊界進行流量控制，將這些流量引入數據庫審計系統設備；該終端流量控制臺用于對虛擬機的防護，當云環境內部虛擬機之間互相通信時，為發現內部存在的攻擊行為，以將這部分流量引入入侵檢測系統以及防火墻安全設備；安全策略控制臺用于對虛擬機遷移后，進行安全策略遷移。

根據本發明的云環境網絡安全防護系統的一實施例，其中，該安全策略控制臺，用于在虛擬機遷移時，先獲取虛擬機的安全策略，在虛擬機遷移過程中，遷出端的安全策略控制臺將虛擬機的安全策略傳輸到遷入端的安全策略控制臺，并在虛擬機遷移后，將安全策略下發至該虛擬機。

根據本發明的云環境網絡安全防護系統的一實施例，其中，該應用管理模塊還包括人機交互接口，用于以提供外部的WEB接口。

綜上，本發明云環境網絡安全防護系統針對現有技術的不足之處，提供云環境邊界動態變化的安全防護能力，以及安全保護資源的動態調配能力，為云環境中的用戶按需提供網絡安全環境。

附圖說明

圖1所示為本發明云環境網絡安全防護系統的結構圖；

圖2所示為應用管理模塊的各流量控制臺的工作流程圖；

圖3所示為應用管理模塊的安全策略控制臺的工作流程圖。

具體實施方式