多域数据中心基于流量感知的安全功能按需服务设计与实现
发布时间:2020-12-12 14:41
随着信息时代下数据量的快速增长,多域数据中心协同运作已然成为大型企业用户存储数据的最佳选择,为此,多域数据中心的信息安全也成为企业用户最关注的问题。由于每个数据中心域有单独的安全管理系统,容易形成各个数据孤岛,导致管理复杂,因此需要一种针对多域数据中心的安全部署方案,兼顾南北走向和东西走向流量,统一管理多域数据中心的信息安全问题。同时,针对多域数据中心攻击事件频发问题,传统数据中心的安全防御系统有着感知能力不足、隔离性差、安全服务部署不灵活三点问题,因此亟需一种具有实时感知能力的安全服务架构,并能够及时、灵活地调整安全服务策略且在防御攻击的过程中尽量保证合法流量不受干扰。本文在SFC(Service Function Chaining,服务功能链)的基础上结合流量感知技术,设计一种针对多域数据中心、兼顾南北走向和东西走向流量的安全服务架构。通过在数据中心入口处和出口处部署不同粒度的流量感知组件,感知不同类型的合法流量以及可疑的异常流量。感知分类器对合法流量进行细粒度感知分类,利用与控制器交互的被动策略为不同类型的合法流量提供定制化安全服务路径;威胁感知组件对各种攻击流量进行粗粒度感知,...
【文章来源】:北京交通大学北京市 211工程院校 教育部直属院校
【文章页数】:99 页
【学位级别】:硕士
【部分图文】:
传统数据中心树形拓扑图
境内的资源整合及信息共享,以及跨不同数据中心的网络安全功能的自动部署和??配置,便于制定全局的安全服务策略,为多域数据中心安全防护提供全局视角。??图2-3展示了?SDN/NFV技术下数据中心的拓扑结构,每个数据中心域同样??是由三层交换机互联组成,拓扑中的一个核心交换机作为树根,两个汇聚交换机??11??
心的构建也需要分区规划与分层部署,参考草案[32]我们也根据数据中心内部资??产的安全级别对数据中心的资源进行了划分,分为对外开放Web等级的网络和非??对外开放的Application等级的网络以及Database等级的网络,以便于对不同安全??级别的域部署相应的安全服务域。其中对外开放Web级网络提供外部的接入和访??问,由多个租户共同使用;非对外开放的如信用卡支付、预定票据等应用等级的??网络以及存储用户数据资产的数据等级的网络,一般为租户内部的网络,仅供租??户内部主机或应用之间的互通。被分成多个等级域的数据中心网络,有不同的访??问控制,运行深度包检测、入侵检测系统、防火墙、VPN等不同的应用。除了胖??树结构为不同层面的交换机设备之间实现全连接之外,在实际的数据中心组网中??还需要考虑为多租户提供应用,因此用户之间使用VXLAN?(Virtual?Extensible??LANs,可扩展虚拟局域网)隧道技术实现隔离区分,数据中心之间也使用??VXLAN,在数据中心架构下的IP基础网络上基于SDN技术叠加一层覆盖网络,??为多域数据中心提供隔离性好、弹性强、敏捷度高、易于信息共享的网络服务架??构。??
【参考文献】:
期刊论文
[1]多数据中心基于流量感知的DDoS攻击消除策略[J]. 齐星,李光磊,周华春,陈佳. 计算机工程与应用. 2018(24)
[2]基于Nmap网络扫描的场景仿真实验[J]. 俞海. 绍兴文理学院学报(自然科学). 2017(01)
[3]基于通用规则的SQL注入攻击检测与防御系统的研究[J]. 王苗苗,钱步仁,许莹莹,王雪凤. 电子设计工程. 2017(05)
[4]计算机网络安全及防火墙技术分析[J]. 施然. 通讯世界. 2016(18)
[5]云环境下APT攻击的防御方法综述[J]. 张浩,王丽娜,谈诚,刘维杰. 计算机科学. 2016(03)
[6]SDN与NFV技术在云数据中心的规模应用[J]. 赵辉,丁鸣,程青松,卢凌,孔晨晟. 电信科学. 2016(01)
[7]SDN安全防护技术研究[J]. 陶冶,张尼,张云勇,王肖梅. 电信技术. 2014(06)
[8]基于OpenFlow的SDN技术研究[J]. 左青云,陈鸣,赵广松,邢长友,张国敏,蒋培成. 软件学报. 2013(05)
[9]数据中心安全防护技术分析[J]. 张剑寒,聂元铭. 信息网络安全. 2012(03)
[10]云计算安全研究[J]. 冯登国,张敏,张妍,徐震. 软件学报. 2011(01)
硕士论文
[1]基于异常模式的入侵检测系统研究[D]. 闫心丽.天津大学 2006
本文编号:2912751
【文章来源】:北京交通大学北京市 211工程院校 教育部直属院校
【文章页数】:99 页
【学位级别】:硕士
【部分图文】:
传统数据中心树形拓扑图
境内的资源整合及信息共享,以及跨不同数据中心的网络安全功能的自动部署和??配置,便于制定全局的安全服务策略,为多域数据中心安全防护提供全局视角。??图2-3展示了?SDN/NFV技术下数据中心的拓扑结构,每个数据中心域同样??是由三层交换机互联组成,拓扑中的一个核心交换机作为树根,两个汇聚交换机??11??
心的构建也需要分区规划与分层部署,参考草案[32]我们也根据数据中心内部资??产的安全级别对数据中心的资源进行了划分,分为对外开放Web等级的网络和非??对外开放的Application等级的网络以及Database等级的网络,以便于对不同安全??级别的域部署相应的安全服务域。其中对外开放Web级网络提供外部的接入和访??问,由多个租户共同使用;非对外开放的如信用卡支付、预定票据等应用等级的??网络以及存储用户数据资产的数据等级的网络,一般为租户内部的网络,仅供租??户内部主机或应用之间的互通。被分成多个等级域的数据中心网络,有不同的访??问控制,运行深度包检测、入侵检测系统、防火墙、VPN等不同的应用。除了胖??树结构为不同层面的交换机设备之间实现全连接之外,在实际的数据中心组网中??还需要考虑为多租户提供应用,因此用户之间使用VXLAN?(Virtual?Extensible??LANs,可扩展虚拟局域网)隧道技术实现隔离区分,数据中心之间也使用??VXLAN,在数据中心架构下的IP基础网络上基于SDN技术叠加一层覆盖网络,??为多域数据中心提供隔离性好、弹性强、敏捷度高、易于信息共享的网络服务架??构。??
【参考文献】:
期刊论文
[1]多数据中心基于流量感知的DDoS攻击消除策略[J]. 齐星,李光磊,周华春,陈佳. 计算机工程与应用. 2018(24)
[2]基于Nmap网络扫描的场景仿真实验[J]. 俞海. 绍兴文理学院学报(自然科学). 2017(01)
[3]基于通用规则的SQL注入攻击检测与防御系统的研究[J]. 王苗苗,钱步仁,许莹莹,王雪凤. 电子设计工程. 2017(05)
[4]计算机网络安全及防火墙技术分析[J]. 施然. 通讯世界. 2016(18)
[5]云环境下APT攻击的防御方法综述[J]. 张浩,王丽娜,谈诚,刘维杰. 计算机科学. 2016(03)
[6]SDN与NFV技术在云数据中心的规模应用[J]. 赵辉,丁鸣,程青松,卢凌,孔晨晟. 电信科学. 2016(01)
[7]SDN安全防护技术研究[J]. 陶冶,张尼,张云勇,王肖梅. 电信技术. 2014(06)
[8]基于OpenFlow的SDN技术研究[J]. 左青云,陈鸣,赵广松,邢长友,张国敏,蒋培成. 软件学报. 2013(05)
[9]数据中心安全防护技术分析[J]. 张剑寒,聂元铭. 信息网络安全. 2012(03)
[10]云计算安全研究[J]. 冯登国,张敏,张妍,徐震. 软件学报. 2011(01)
硕士论文
[1]基于异常模式的入侵检测系统研究[D]. 闫心丽.天津大学 2006
本文编号:2912751
本文链接:https://www.wllwen.com/kejilunwen/jisuanjikexuelunwen/2912751.html
