發(fā)布時間：2021-08-23 22:08

　　在企業(yè)網(wǎng)絡(luò)系統(tǒng)中,網(wǎng)絡(luò)功能虛擬化和基于云的安全服務(wù)將越來越普遍,以降低系統(tǒng)運行成本,并利用多個供應(yīng)商開發(fā)的各種網(wǎng)絡(luò)安全功能（NSF）。在這種網(wǎng)絡(luò)環(huán)境下,標準化不同供應(yīng)商的NSF接口對于簡化這些異構(gòu)NSF的管理至關(guān)重要。文中介紹了一種I2NSF體系結(jié)構(gòu)的設(shè)計與開發(fā),并提出了將其與SDN集成提高其效率的建議,并實現(xiàn)了SDN集成的I2NSF體系結(jié)構(gòu)及其安全應(yīng)用。 

【文章來源】：信息技術(shù). 2020,44(02)

【文章頁數(shù)】：5 頁

【部分圖文】：

I2NSF體系結(jié)構(gòu)

SDN通過控制網(wǎng)絡(luò)交換機中的包轉(zhuǎn)發(fā)規(guī)則，使某些包過濾規(guī)則得以實施[11-13]。本節(jié)介紹如何利用SDN的這一能力來優(yōu)化I2NSF系統(tǒng)中的安全服務(wù)實施過程。圖2顯示了I2NSF體系結(jié)構(gòu)集成到SDN網(wǎng)絡(luò)中的系統(tǒng)配置。在這個系統(tǒng)中，將安全策略規(guī)則的執(zhí)行分為SDN交換機和NSF。特別是，SDN交換機強制執(zhí)行簡單的包過濾規(guī)則，這些規(guī)則可以轉(zhuǎn)換為其包轉(zhuǎn)發(fā)規(guī)則，而NSF強制執(zhí)行與NSF相關(guān)的安全規(guī)則，這些規(guī)則需要NSF的安全功能。例如，考慮兩種不同類型的安全規(guī)則：規(guī)則1是一個簡單的包過濾規(guī)則，它只檢查給定包的IP地址和端口號，而規(guī)則2是一個耗時的包檢查規(guī)則，用于確定附加文件是否通過數(shù)據(jù)包的OW包含惡意軟件。規(guī)則1可以轉(zhuǎn)換成SDN交換機的包轉(zhuǎn)發(fā)規(guī)則，由交換機強制執(zhí)行。相反，規(guī)則2不能由交換機強制執(zhí)行，但可以由具有反惡意軟件能力的NSF強制執(zhí)行。具體來說，數(shù)據(jù)包流被轉(zhuǎn)發(fā)到NSF并由NSF重新組裝，以重新構(gòu)造存儲在數(shù)據(jù)包中的附加文件。然后NSF掃描該文件以檢查是否存在惡意軟件。如果文件包含惡意軟件，NSF會丟棄數(shù)據(jù)包。這樣，如果交換機能夠根據(jù)交換機控制器編程的包轉(zhuǎn)發(fā)規(guī)則對接收到的一些包進行決策，就可以避免NSF為一項耗時的任務(wù)而采取的包出現(xiàn)不必要的延遲，這些任務(wù)可能會被放置在遠程云系統(tǒng)中。此外，可以減少NSF中擁塞的可能性，因為所有數(shù)據(jù)包都不一定通過NSF。4.2 VoIP安全服務(wù)

此服務(wù)方案假定企業(yè)網(wǎng)絡(luò)管理員希望在工作時間內(nèi)調(diào)整員工訪問QQ的權(quán)限。以下是管理員請求的高級安全策略規(guī)則的一個假設(shè)示例：禁止員工從上午9點到下午6點訪問QQ。管理員將高級安全策略發(fā)送給安全控制器，然后將其轉(zhuǎn)換為防火墻和交換機控制器的低級包過濾規(guī)則。對于此轉(zhuǎn)換，安全控制器可以與企業(yè)網(wǎng)絡(luò)訪問控制服務(wù)器進行互操作，以便檢索當前使用網(wǎng)絡(luò)的每個員工的信息（例如，正在使用的IP地址、公司ID、角色）。根據(jù)檢索到的信息，安全控制器生成低級包過濾規(guī)則，以阻止工作人員在工作時間使用的IP地址訪問QQ。此服務(wù)方案需要動態(tài)更新安全規(guī)則。為了實現(xiàn)這一點，安全控制器監(jiān)視需要更改安全規(guī)則的事件，并且可以在發(fā)生任何事件時自動更新或生成適當?shù)囊?guī)則。例如，如果新員工加入企業(yè)網(wǎng)絡(luò)，安全控制器通過企業(yè)網(wǎng)絡(luò)訪問控制服務(wù)器檢測此事件，并生成和安裝新規(guī)則，以對新員工實施相同的策略。5 案例實證

【參考文獻】：
期刊論文
[1]一種基于信號互檢測的TDMA系統(tǒng)主站熱備份方法[J]. 張方明.  電子技術(shù)與軟件工程. 2016(13)
[2]移動云計算領(lǐng)域的網(wǎng)絡(luò)安全解決方案探究[J]. 閆蒞.  信息技術(shù). 2016(01)
[3]信息技術(shù)與網(wǎng)絡(luò)空間安全發(fā)展趨勢[J]. 李鳳華.  網(wǎng)絡(luò)與信息安全學報. 2015(01)
[4]大數(shù)據(jù)系統(tǒng)和分析技術(shù)綜述[J]. 程學旗,靳小龍,王元卓,郭嘉豐,張鐵贏,李國杰.  軟件學報. 2014(09)
[5]大數(shù)據(jù)流式計算:關(guān)鍵技術(shù)及系統(tǒng)實例[J]. 孫大為,張廣艷,鄭緯民.  軟件學報. 2014(04)
[6]一種新的基于上下文傳遞的臨近空間安全切換機制[J]. 徐國愚,陳性元,杜學繪.  計算機科學. 2013(04)
[7]基于信息融合的網(wǎng)絡(luò)安全態(tài)勢評估模型[J]. 韋勇,連一峰,馮登國.  計算機研究與發(fā)展. 2009(03)
[8]關(guān)于信息安全定義的研究[J]. 方濱興,殷麗華.  信息網(wǎng)絡(luò)安全. 2008(01)



本文編號：3358683