[發明專利]一種擬態交換機安全流量控制裝置及方法有效
| 申請號: | 201910580675.0 | 申請日: | 2019-06-29 |
| 公開(公告)號: | CN110247928B | 公開(公告)日: | 2020-09-15 |
| 發明(設計)人: | 宋帥康;呂青松;郭義偉;徐虹;魏亞祥;邵文超;馮志峰;黨凱劍 | 申請(專利權)人: | 河南信大網御科技有限公司;珠海高凌信息科技股份有限公司 |
| 主分類號: | H04L29/06 | 分類號: | H04L29/06;H04L12/931;H04L12/935;H04L12/937;H04L12/46;H04L12/801;H04L12/833 |
| 代理公司: | 鄭州德勤知識產權代理有限公司 41128 | 代理人: | 黃紅梅 |
| 地址: | 450000 河南省鄭州市金水區*** | 國省代碼: | 河南;41 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 擬態 交換機 安全 流量 控制 裝置 方法 | ||
1.一種擬態交換機安全流量控制裝置,其特征在于,包括:
安全態勢感知模塊,用于維護報文特征數據庫,并制定安全策略;
引流模塊,制定動態引流策略,維護擬態交換機安全流量在擬態交換機物理端口與數據中轉模塊間的數據通路,以及維護數據中轉模塊與異構執行體虛擬端口的數據通路;
數據中轉模塊,根據所述安全態勢感知模塊制定的安全策略對來自擬態交換機物理端口的流量執行報文的解析過程,并將解析后的報文根據所述動態引流策略轉發至異構執行體虛擬端口;或者
根據所述安全態勢感知模塊制定的安全策略對來自異構執行體虛擬端口的流量執行報文的解析過程,并將解析后的報文根據所述動態引流策略轉發至擬態交換機物理端口;
所述報文的解析過程為指紋變換過程,包括以下步驟:
解析報文攜帶的外部指紋或內部指紋,獲得報文源端口或目的端口的配置信息;
按照外部指紋與內部指紋的映射關系將來自擬態交換機物理端口的報文復制N份,進行指紋變換后通過引流規則重定向至異構執行體虛擬接口發出;
按照內部指紋與外部指紋的映射關系將來自異構執行體虛擬端口的報文進行指紋變換后通過引流規則重定向至擬態交換機物理端口發出。
2.根據權利要求1所述的擬態交換機安全流量控制裝置,其特征在于,所述數據中轉模塊設置執行體代理,所述執行體代理包括主執行體和分發代理模塊,所述分發代理模塊將來自擬態交換機物理端口的流量重定向到主執行體并與各異構執行體建立連接;所述主執行體管理配置信息,通過所述分發代理模塊將配置信息分發至各異構執行體。
3.根據權利要求2所述的擬態交換機安全流量控制裝置,其特征在于:所述主執行體是根據安全態勢感知模塊指定的選舉算法,在異構執行體池中選舉的。
4.根據權利要求2所述的擬態交換機安全流量控制裝置,其特征在于:所述分發代理模塊將來自擬態交換機物理端口的流量重定向到主執行體與各異構執行體建立的是SSH連接。
5.一種擬態交換機安全流量控制方法,其特征在于,包括以下步驟:
步驟1:安全態勢感知模塊選定將要被控制的安全流量報文特征并制定安全策略;
步驟2:引流模塊獲取來自擬態交換機物理端口或者異構執行體虛擬端口的安全流量報文特征,根據報文特征制定動態引流策略;
步驟3:數據中轉模塊完成報文的解析后再轉發至擬態交換機物理端口或者異構執行體虛擬端口;
所述報文的解析過程為指紋變換過程,包括以下步驟:
步驟31:解析報文攜帶的外部指紋或內部指紋,獲得報文源端口或目的端口的配置信息;
步驟32:按照外部指紋與內部指紋的映射關系將來自擬態交換機物理端口的報文復制N份,進行指紋變換后通過引流規則重定向至異構執行體虛擬接口發出;
按照內部指紋與外部指紋的映射關系將來自異構執行體虛擬端口的報文進行指紋變換后通過引流規則重定向至擬態交換機物理端口發出。
6.根據權利要求5所述的擬態交換機安全流量控制方法,其特征在于,所述步驟2的具體步驟為:
步驟21,引流模塊獲取來自擬態交換機物理端口的指定報文特征,制定動態引流策略,完成擬態交換機物理端口與數據中轉模塊的引流規則;
步驟22:引流模塊獲取來自異構執行體虛擬端口的指定報文特征,制定動態引流策略,完成異構執行體虛擬端口與數據中轉模塊的引流規則。
7.根據權利要求5所述的擬態交換機安全流量控制方法,其特征在于,所述數據中轉模塊設置執行體代理,所述執行體代理包括主執行體和分發代理模塊,所述分發代理模塊將來自擬態交換機物理端口的流量重定向到主執行體并與各異構執行體建立連接;所述主執行體管理配置信息,通過所述分發代理模塊將配置信息分發至各異構執行體。
8.根據權利要求7所述的擬態交換機安全流量控制方法,其特征在于:所述報文的解析過程為指紋變換過程,包括以下步驟:
步驟31:解析報文攜帶的外部指紋或內部指紋,獲得報文源端口或目的端口的配置信息;
步驟32:按照外部指紋與內部指紋的映射關系將來自擬態交換機物理端口的報文復制N份,進行指紋變換后通過引流規則重定向至異構執行體虛擬接口發出;
按照內部指紋與外部指紋的映射關系將來自異構執行體虛擬端口的報文進行指紋變換后,判斷源異構執行體是否為主執行體,若是,則通過引流規則重定向至擬態交換機物理端口發出;否則,丟棄該報文。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于河南信大網御科技有限公司;珠海高凌信息科技股份有限公司,未經河南信大網御科技有限公司;珠海高凌信息科技股份有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201910580675.0/1.html,轉載請聲明來源鉆瓜專利網。
