基于云服务的网络安全功能性接口的研究
发布时间:2021-08-23 22:08
在企业网络系统中,网络功能虚拟化和基于云的安全服务将越来越普遍,以降低系统运行成本,并利用多个供应商开发的各种网络安全功能(NSF)。在这种网络环境下,标准化不同供应商的NSF接口对于简化这些异构NSF的管理至关重要。文中介绍了一种I2NSF体系结构的设计与开发,并提出了将其与SDN集成提高其效率的建议,并实现了SDN集成的I2NSF体系结构及其安全应用。
【文章来源】:信息技术. 2020,44(02)
【文章页数】:5 页
【部分图文】:
I2NSF体系结构
SDN通过控制网络交换机中的包转发规则,使某些包过滤规则得以实施[11-13]。本节介绍如何利用SDN的这一能力来优化I2NSF系统中的安全服务实施过程。图2显示了I2NSF体系结构集成到SDN网络中的系统配置。在这个系统中,将安全策略规则的执行分为SDN交换机和NSF。特别是,SDN交换机强制执行简单的包过滤规则,这些规则可以转换为其包转发规则,而NSF强制执行与NSF相关的安全规则,这些规则需要NSF的安全功能。例如,考虑两种不同类型的安全规则:规则1是一个简单的包过滤规则,它只检查给定包的IP地址和端口号,而规则2是一个耗时的包检查规则,用于确定附加文件是否通过数据包的OW包含恶意软件。规则1可以转换成SDN交换机的包转发规则,由交换机强制执行。相反,规则2不能由交换机强制执行,但可以由具有反恶意软件能力的NSF强制执行。具体来说,数据包流被转发到NSF并由NSF重新组装,以重新构造存储在数据包中的附加文件。然后NSF扫描该文件以检查是否存在恶意软件。如果文件包含恶意软件,NSF会丢弃数据包。这样,如果交换机能够根据交换机控制器编程的包转发规则对接收到的一些包进行决策,就可以避免NSF为一项耗时的任务而采取的包出现不必要的延迟,这些任务可能会被放置在远程云系统中。此外,可以减少NSF中拥塞的可能性,因为所有数据包都不一定通过NSF。4.2 VoIP安全服务
此服务方案假定企业网络管理员希望在工作时间内调整员工访问QQ的权限。以下是管理员请求的高级安全策略规则的一个假设示例:禁止员工从上午9点到下午6点访问QQ。管理员将高级安全策略发送给安全控制器,然后将其转换为防火墙和交换机控制器的低级包过滤规则。对于此转换,安全控制器可以与企业网络访问控制服务器进行互操作,以便检索当前使用网络的每个员工的信息(例如,正在使用的IP地址、公司ID、角色)。根据检索到的信息,安全控制器生成低级包过滤规则,以阻止工作人员在工作时间使用的IP地址访问QQ。此服务方案需要动态更新安全规则。为了实现这一点,安全控制器监视需要更改安全规则的事件,并且可以在发生任何事件时自动更新或生成适当的规则。例如,如果新员工加入企业网络,安全控制器通过企业网络访问控制服务器检测此事件,并生成和安装新规则,以对新员工实施相同的策略。5 案例实证
【参考文献】:
期刊论文
[1]一种基于信号互检测的TDMA系统主站热备份方法[J]. 张方明. 电子技术与软件工程. 2016(13)
[2]移动云计算领域的网络安全解决方案探究[J]. 闫莅. 信息技术. 2016(01)
[3]信息技术与网络空间安全发展趋势[J]. 李凤华. 网络与信息安全学报. 2015(01)
[4]大数据系统和分析技术综述[J]. 程学旗,靳小龙,王元卓,郭嘉丰,张铁赢,李国杰. 软件学报. 2014(09)
[5]大数据流式计算:关键技术及系统实例[J]. 孙大为,张广艳,郑纬民. 软件学报. 2014(04)
[6]一种新的基于上下文传递的临近空间安全切换机制[J]. 徐国愚,陈性元,杜学绘. 计算机科学. 2013(04)
[7]基于信息融合的网络安全态势评估模型[J]. 韦勇,连一峰,冯登国. 计算机研究与发展. 2009(03)
[8]关于信息安全定义的研究[J]. 方滨兴,殷丽华. 信息网络安全. 2008(01)
本文编号:3358683
【文章来源】:信息技术. 2020,44(02)
【文章页数】:5 页
【部分图文】:
I2NSF体系结构
SDN通过控制网络交换机中的包转发规则,使某些包过滤规则得以实施[11-13]。本节介绍如何利用SDN的这一能力来优化I2NSF系统中的安全服务实施过程。图2显示了I2NSF体系结构集成到SDN网络中的系统配置。在这个系统中,将安全策略规则的执行分为SDN交换机和NSF。特别是,SDN交换机强制执行简单的包过滤规则,这些规则可以转换为其包转发规则,而NSF强制执行与NSF相关的安全规则,这些规则需要NSF的安全功能。例如,考虑两种不同类型的安全规则:规则1是一个简单的包过滤规则,它只检查给定包的IP地址和端口号,而规则2是一个耗时的包检查规则,用于确定附加文件是否通过数据包的OW包含恶意软件。规则1可以转换成SDN交换机的包转发规则,由交换机强制执行。相反,规则2不能由交换机强制执行,但可以由具有反恶意软件能力的NSF强制执行。具体来说,数据包流被转发到NSF并由NSF重新组装,以重新构造存储在数据包中的附加文件。然后NSF扫描该文件以检查是否存在恶意软件。如果文件包含恶意软件,NSF会丢弃数据包。这样,如果交换机能够根据交换机控制器编程的包转发规则对接收到的一些包进行决策,就可以避免NSF为一项耗时的任务而采取的包出现不必要的延迟,这些任务可能会被放置在远程云系统中。此外,可以减少NSF中拥塞的可能性,因为所有数据包都不一定通过NSF。4.2 VoIP安全服务
此服务方案假定企业网络管理员希望在工作时间内调整员工访问QQ的权限。以下是管理员请求的高级安全策略规则的一个假设示例:禁止员工从上午9点到下午6点访问QQ。管理员将高级安全策略发送给安全控制器,然后将其转换为防火墙和交换机控制器的低级包过滤规则。对于此转换,安全控制器可以与企业网络访问控制服务器进行互操作,以便检索当前使用网络的每个员工的信息(例如,正在使用的IP地址、公司ID、角色)。根据检索到的信息,安全控制器生成低级包过滤规则,以阻止工作人员在工作时间使用的IP地址访问QQ。此服务方案需要动态更新安全规则。为了实现这一点,安全控制器监视需要更改安全规则的事件,并且可以在发生任何事件时自动更新或生成适当的规则。例如,如果新员工加入企业网络,安全控制器通过企业网络访问控制服务器检测此事件,并生成和安装新规则,以对新员工实施相同的策略。5 案例实证
【参考文献】:
期刊论文
[1]一种基于信号互检测的TDMA系统主站热备份方法[J]. 张方明. 电子技术与软件工程. 2016(13)
[2]移动云计算领域的网络安全解决方案探究[J]. 闫莅. 信息技术. 2016(01)
[3]信息技术与网络空间安全发展趋势[J]. 李凤华. 网络与信息安全学报. 2015(01)
[4]大数据系统和分析技术综述[J]. 程学旗,靳小龙,王元卓,郭嘉丰,张铁赢,李国杰. 软件学报. 2014(09)
[5]大数据流式计算:关键技术及系统实例[J]. 孙大为,张广艳,郑纬民. 软件学报. 2014(04)
[6]一种新的基于上下文传递的临近空间安全切换机制[J]. 徐国愚,陈性元,杜学绘. 计算机科学. 2013(04)
[7]基于信息融合的网络安全态势评估模型[J]. 韦勇,连一峰,冯登国. 计算机研究与发展. 2009(03)
[8]关于信息安全定义的研究[J]. 方滨兴,殷丽华. 信息网络安全. 2008(01)
本文编号:3358683
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/3358683.html
