隨著信息時(shí)代下數(shù)據(jù)量的快速增長,多域數(shù)據(jù)中心協(xié)同運(yùn)作已然成為大型企業(yè)用戶存儲數(shù)據(jù)的最佳選擇,為此,多域數(shù)據(jù)中心的信息安全也成為企業(yè)用戶最關(guān)注的問題。由于每個(gè)數(shù)據(jù)中心域有單獨(dú)的安全管理系統(tǒng),容易形成各個(gè)數(shù)據(jù)孤島,導(dǎo)致管理復(fù)雜,因此需要一種針對多域數(shù)據(jù)中心的安全部署方案,兼顧南北走向和東西走向流量,統(tǒng)一管理多域數(shù)據(jù)中心的信息安全問題。同時(shí),針對多域數(shù)據(jù)中心攻擊事件頻發(fā)問題,傳統(tǒng)數(shù)據(jù)中心的安全防御系統(tǒng)有著感知能力不足、隔離性差、安全服務(wù)部署不靈活三點(diǎn)問題,因此亟需一種具有實(shí)時(shí)感知能力的安全服務(wù)架構(gòu),并能夠及時(shí)、靈活地調(diào)整安全服務(wù)策略且在防御攻擊的過程中盡量保證合法流量不受干擾。本文在SFC(Service Function Chaining,服務(wù)功能鏈)的基礎(chǔ)上結(jié)合流量感知技術(shù),設(shè)計(jì)一種針對多域數(shù)據(jù)中心、兼顧南北走向和東西走向流量的安全服務(wù)架構(gòu)。通過在數(shù)據(jù)中心入口處和出口處部署不同粒度的流量感知組件,感知不同類型的合法流量以及可疑的異常流量。感知分類器對合法流量進(jìn)行細(xì)粒度感知分類,利用與控制器交互的被動策略為不同類型的合法流量提供定制化安全服務(wù)路徑;威脅感知組件對各種攻擊流量進(jìn)行粗粒度感知,... 

【文章來源】：北京交通大學(xué)北京市 211工程院校 教育部直屬院校

【文章頁數(shù)】：99 頁

【學(xué)位級別】：碩士

【部分圖文】：

傳統(tǒng)數(shù)據(jù)中心樹形拓?fù)鋱D

境內(nèi)的資源整合及信息共享，以及跨不同數(shù)據(jù)中心的網(wǎng)絡(luò)安全功能的自動部署和??配置，便于制定全局的安全服務(wù)策略，為多域數(shù)據(jù)中心安全防護(hù)提供全局視角。??圖２－３展示了?ＳＤＮ／ＮＦＶ技術(shù)下數(shù)據(jù)中心的拓?fù)浣Y(jié)構(gòu)，每個(gè)數(shù)據(jù)中心域同樣??是由三層交換機(jī)互聯(lián)組成，拓?fù)渲械囊粋�(gè)核心交換機(jī)作為樹根，兩個(gè)匯聚交換機(jī)??１１??

心的構(gòu)建也需要分區(qū)規(guī)劃與分層部署，參考草案［３２］我們也根據(jù)數(shù)據(jù)中心內(nèi)部資??產(chǎn)的安全級別對數(shù)據(jù)中心的資源進(jìn)行了劃分，分為對外開放Ｗｅｂ等級的網(wǎng)絡(luò)和非??對外開放的Ａｐｐｌｉｃａｔｉｏｎ等級的網(wǎng)絡(luò)以及Ｄａｔａｂａｓｅ等級的網(wǎng)絡(luò)，以便于對不同安全??級別的域部署相應(yīng)的安全服務(wù)域。其中對外開放Ｗｅｂ級網(wǎng)絡(luò)提供外部的接入和訪??問，由多個(gè)租戶共同使用；非對外開放的如信用卡支付、預(yù)定票據(jù)等應(yīng)用等級的??網(wǎng)絡(luò)以及存儲用戶數(shù)據(jù)資產(chǎn)的數(shù)據(jù)等級的網(wǎng)絡(luò)，一般為租戶內(nèi)部的網(wǎng)絡(luò)，僅供租??戶內(nèi)部主機(jī)或應(yīng)用之間的互通。被分成多個(gè)等級域的數(shù)據(jù)中心網(wǎng)絡(luò)，有不同的訪??問控制，運(yùn)行深度包檢測、入侵檢測系統(tǒng)、防火墻、ＶＰＮ等不同的應(yīng)用。除了胖??樹結(jié)構(gòu)為不同層面的交換機(jī)設(shè)備之間實(shí)現(xiàn)全連接之外，在實(shí)際的數(shù)據(jù)中心組網(wǎng)中??還需要考慮為多租戶提供應(yīng)用，因此用戶之間使用ＶＸＬＡＮ?（Ｖｉｒｔｕａｌ?Ｅｘｔｅｎｓｉｂｌｅ??ＬＡＮｓ，可擴(kuò)展虛擬局域網(wǎng)）隧道技術(shù)實(shí)現(xiàn)隔離區(qū)分，數(shù)據(jù)中心之間也使用??ＶＸＬＡＮ，在數(shù)據(jù)中心架構(gòu)下的ＩＰ基礎(chǔ)網(wǎng)絡(luò)上基于ＳＤＮ技術(shù)疊加一層覆蓋網(wǎng)絡(luò)，??為多域數(shù)據(jù)中心提供隔離性好、彈性強(qiáng)、敏捷度高、易于信息共享的網(wǎng)絡(luò)服務(wù)架??構(gòu)。??

【參考文獻(xiàn)】：
期刊論文
[1]多數(shù)據(jù)中心基于流量感知的DDoS攻擊消除策略[J]. 齊星,李光磊,周華春,陳佳.  計(jì)算機(jī)工程與應(yīng)用. 2018(24)
[2]基于Nmap網(wǎng)絡(luò)掃描的場景仿真實(shí)驗(yàn)[J]. 俞海.  紹興文理學(xué)院學(xué)報(bào)(自然科學(xué)). 2017(01)
[3]基于通用規(guī)則的SQL注入攻擊檢測與防御系統(tǒng)的研究[J]. 王苗苗,錢步仁,許瑩瑩,王雪鳳.  電子設(shè)計(jì)工程. 2017(05)
[4]計(jì)算機(jī)網(wǎng)絡(luò)安全及防火墻技術(shù)分析[J]. 施然.  通訊世界. 2016(18)
[5]云環(huán)境下APT攻擊的防御方法綜述[J]. 張浩,王麗娜,談?wù)\,劉維杰.  計(jì)算機(jī)科學(xué). 2016(03)
[6]SDN與NFV技術(shù)在云數(shù)據(jù)中心的規(guī)模應(yīng)用[J]. 趙輝,丁鳴,程青松,盧凌,孔晨晟.  電信科學(xué). 2016(01)
[7]SDN安全防護(hù)技術(shù)研究[J]. 陶冶,張尼,張?jiān)朴?王肖梅.  電信技術(shù). 2014(06)
[8]基于OpenFlow的SDN技術(shù)研究[J]. 左青云,陳鳴,趙廣松,邢長友,張國敏,蔣培成.  軟件學(xué)報(bào). 2013(05)
[9]數(shù)據(jù)中心安全防護(hù)技術(shù)分析[J]. 張劍寒,聶元銘.  信息網(wǎng)絡(luò)安全. 2012(03)
[10]云計(jì)算安全研究[J]. 馮登國,張敏,張妍,徐震.  軟件學(xué)報(bào). 2011(01)

碩士論文
[1]基于異常模式的入侵檢測系統(tǒng)研究[D]. 閆心麗.天津大學(xué) 2006



本文編號：2912751