本發(fā)明提供了一種基于SDN技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)邊界訪問控制的方法，該方法包括：基于五元組對(duì)SDN控制器設(shè)置批量靜態(tài)策略對(duì)流經(jīng)邊界網(wǎng)絡(luò)域的網(wǎng)絡(luò)包進(jìn)行控制；或，對(duì)SDN交換機(jī)設(shè)置策略，將流經(jīng)邊界的特定網(wǎng)絡(luò)流鏡像或串流到SDN控制器中，SDN控制器對(duì)流經(jīng)邊界網(wǎng)絡(luò)域的網(wǎng)絡(luò)包進(jìn)行控制。還包括一種基于SDN技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)邊界訪問控制的系統(tǒng)。本發(fā)明能夠?qū)缇W(wǎng)絡(luò)邊界的訪問進(jìn)行靈活、精細(xì)化控制，同時(shí)本發(fā)明能夠方便的對(duì)接身份系統(tǒng)、策略系統(tǒng)等其他安全模塊，實(shí)現(xiàn)對(duì)跨網(wǎng)絡(luò)邊界訪問行為的動(dòng)態(tài)管理，對(duì)異常訪問行為能做出實(shí)時(shí)的響應(yīng)。實(shí)現(xiàn)訪問事前、事中和事后的控制和審計(jì)。

技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，具體地說是一種基于SDN技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)邊界訪問控制的方法及系統(tǒng)。

背景技術(shù)

近年來隨著移動(dòng)辦公、大數(shù)據(jù)、私有云等技術(shù)的興起和蓬勃發(fā)展，企事業(yè)單位內(nèi)部網(wǎng)絡(luò)面臨著越來越復(fù)雜的安全問題。如何在便利單位內(nèi)信息資源合理利用的前提下又能有效防范來自內(nèi)部網(wǎng)絡(luò)的攻擊、保護(hù)單位內(nèi)的敏感數(shù)據(jù)不被非法訪問成為各單位管理者格外重視的問題。

傳統(tǒng)的網(wǎng)絡(luò)邊界訪問控制系統(tǒng)一般由采用網(wǎng)絡(luò)防火墻技術(shù)或者API訪問代理技術(shù)來實(shí)現(xiàn)。而這兩種技術(shù)都有各自的缺陷。網(wǎng)絡(luò)防火墻技術(shù)不能防范內(nèi)部惡意用戶、不通過防火墻的連接、病毒等。API訪問代理技術(shù)僅能對(duì)應(yīng)用層協(xié)議的訪問進(jìn)行管控?zé)o法有效的管控更低層協(xié)議棧的網(wǎng)絡(luò)數(shù)據(jù)訪問。

發(fā)明內(nèi)容

本發(fā)明的目的在于提供一種基于SDN技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)邊界訪問控制的方法及系統(tǒng)，用于解決現(xiàn)有技術(shù)上述存在的問題。

本發(fā)明解決其技術(shù)問題所采取的技術(shù)方案是：

本發(fā)明第一方面提供了一種基于SDN技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)邊界訪問控制的方法，該方法包括：

基于五元組對(duì)SDN控制器設(shè)置批量靜態(tài)策略對(duì)流經(jīng)邊界網(wǎng)絡(luò)域的網(wǎng)絡(luò)包進(jìn)行控制；或，

對(duì)SDN交換機(jī)設(shè)置策略，將流經(jīng)邊界的特定網(wǎng)絡(luò)流鏡像或串流到SDN控制器中，SDN控制器對(duì)流經(jīng)邊界網(wǎng)絡(luò)域的網(wǎng)絡(luò)包進(jìn)行控制。

結(jié)合第一方面，在第一方面第一種可能的實(shí)現(xiàn)方式中，所述的基于五元組對(duì)SDN控制器設(shè)置批量靜態(tài)策略具體包括：

通過Openflow協(xié)議控制SDN交換機(jī)，對(duì)流經(jīng)SDN交換機(jī)的每個(gè)IP包進(jìn)行檢查；

根據(jù)源IP，源端口，目的IP，目的端口和傳輸層協(xié)議特征對(duì)IP包進(jìn)行處理。

結(jié)合第一方面，在第一方面第二種可能的實(shí)現(xiàn)方式中，對(duì)IP包進(jìn)行處理包括：

對(duì)IP包丟棄、指定IP包流向的目的交換機(jī)接口、對(duì)IP包計(jì)數(shù)統(tǒng)計(jì)、把IP包鏡像到SDN控制器、把IP包轉(zhuǎn)發(fā)到SDN控制器。

結(jié)合第一方面，在第一方面第三種可能的實(shí)現(xiàn)方式中，當(dāng)將流經(jīng)邊界的特定網(wǎng)絡(luò)流鏡像到SDN控制器時(shí)，SDN控制器通過DPI功能還原應(yīng)用層協(xié)議數(shù)據(jù)，還原出流經(jīng)邊界的特定網(wǎng)絡(luò)流的原始內(nèi)容，對(duì)流經(jīng)邊界的特定網(wǎng)絡(luò)流的數(shù)據(jù)交換進(jìn)行審計(jì)，根據(jù)審計(jì)內(nèi)容，下發(fā)至指定的網(wǎng)絡(luò)策略，對(duì)該特定網(wǎng)絡(luò)流進(jìn)行控制；

當(dāng)將流經(jīng)邊界的特定網(wǎng)絡(luò)流串流到SDN控制器時(shí)，SDN控制器通過DPI功能還原應(yīng)用層協(xié)議數(shù)據(jù)，根據(jù)預(yù)設(shè)的指定特征對(duì)應(yīng)用層協(xié)議數(shù)據(jù)進(jìn)行匹配，實(shí)現(xiàn)對(duì)邊界網(wǎng)絡(luò)包的實(shí)時(shí)控制。

結(jié)合第一方面，在第一方面第四種可能的實(shí)現(xiàn)方式中，所述根據(jù)預(yù)設(shè)的指定特征對(duì)應(yīng)用層協(xié)議數(shù)據(jù)進(jìn)行匹配還可以替換為利用人工智能分析模塊通過對(duì)接外部的身份系統(tǒng)、策略系統(tǒng)對(duì)流程的數(shù)據(jù)包內(nèi)容在多個(gè)維度進(jìn)行智能判斷。

結(jié)合第一方面，在第一方面第五種可能的實(shí)現(xiàn)方式中，所述的多個(gè)維度包括但不限于網(wǎng)絡(luò)層特征、用戶層特征。