在企業(yè)網(wǎng)絡(luò)系統(tǒng)中,網(wǎng)絡(luò)功能虛擬化和基于云的安全服務(wù)將越來越普遍,以降低系統(tǒng)運(yùn)行成本,并利用多個(gè)供應(yīng)商開發(fā)的各種網(wǎng)絡(luò)安全功能（NSF）。在這種網(wǎng)絡(luò)環(huán)境下,標(biāo)準(zhǔn)化不同供應(yīng)商的NSF接口對于簡化這些異構(gòu)NSF的管理至關(guān)重要。文中介紹了一種I2NSF體系結(jié)構(gòu)的設(shè)計(jì)與開發(fā),并提出了將其與SDN集成提高其效率的建議,并實(shí)現(xiàn)了SDN集成的I2NSF體系結(jié)構(gòu)及其安全應(yīng)用。 

【文章來源】：信息技術(shù). 2020,44(02)

【文章頁數(shù)】：5 頁

【部分圖文】：

I2NSF體系結(jié)構(gòu)

SDN通過控制網(wǎng)絡(luò)交換機(jī)中的包轉(zhuǎn)發(fā)規(guī)則，使某些包過濾規(guī)則得以實(shí)施[11-13]。本節(jié)介紹如何利用SDN的這一能力來優(yōu)化I2NSF系統(tǒng)中的安全服務(wù)實(shí)施過程。圖2顯示了I2NSF體系結(jié)構(gòu)集成到SDN網(wǎng)絡(luò)中的系統(tǒng)配置。在這個(gè)系統(tǒng)中，將安全策略規(guī)則的執(zhí)行分為SDN交換機(jī)和NSF。特別是，SDN交換機(jī)強(qiáng)制執(zhí)行簡單的包過濾規(guī)則，這些規(guī)則可以轉(zhuǎn)換為其包轉(zhuǎn)發(fā)規(guī)則，而NSF強(qiáng)制執(zhí)行與NSF相關(guān)的安全規(guī)則，這些規(guī)則需要NSF的安全功能。例如，考慮兩種不同類型的安全規(guī)則：規(guī)則1是一個(gè)簡單的包過濾規(guī)則，它只檢查給定包的IP地址和端口號，而規(guī)則2是一個(gè)耗時(shí)的包檢查規(guī)則，用于確定附加文件是否通過數(shù)據(jù)包的OW包含惡意軟件。規(guī)則1可以轉(zhuǎn)換成SDN交換機(jī)的包轉(zhuǎn)發(fā)規(guī)則，由交換機(jī)強(qiáng)制執(zhí)行。相反，規(guī)則2不能由交換機(jī)強(qiáng)制執(zhí)行，但可以由具有反惡意軟件能力的NSF強(qiáng)制執(zhí)行。具體來說，數(shù)據(jù)包流被轉(zhuǎn)發(fā)到NSF并由NSF重新組裝，以重新構(gòu)造存儲在數(shù)據(jù)包中的附加文件。然后NSF掃描該文件以檢查是否存在惡意軟件。如果文件包含惡意軟件，NSF會丟棄數(shù)據(jù)包。這樣，如果交換機(jī)能夠根據(jù)交換機(jī)控制器編程的包轉(zhuǎn)發(fā)規(guī)則對接收到的一些包進(jìn)行決策，就可以避免NSF為一項(xiàng)耗時(shí)的任務(wù)而采取的包出現(xiàn)不必要的延遲，這些任務(wù)可能會被放置在遠(yuǎn)程云系統(tǒng)中。此外，可以減少NSF中擁塞的可能性，因?yàn)樗袛?shù)據(jù)包都不一定通過NSF。4.2 VoIP安全服務(wù)

此服務(wù)方案假定企業(yè)網(wǎng)絡(luò)管理員希望在工作時(shí)間內(nèi)調(diào)整員工訪問QQ的權(quán)限。以下是管理員請求的高級安全策略規(guī)則的一個(gè)假設(shè)示例：禁止員工從上午9點(diǎn)到下午6點(diǎn)訪問QQ。管理員將高級安全策略發(fā)送給安全控制器，然后將其轉(zhuǎn)換為防火墻和交換機(jī)控制器的低級包過濾規(guī)則。對于此轉(zhuǎn)換，安全控制器可以與企業(yè)網(wǎng)絡(luò)訪問控制服務(wù)器進(jìn)行互操作，以便檢索當(dāng)前使用網(wǎng)絡(luò)的每個(gè)員工的信息（例如，正在使用的IP地址、公司ID、角色）。根據(jù)檢索到的信息，安全控制器生成低級包過濾規(guī)則，以阻止工作人員在工作時(shí)間使用的IP地址訪問QQ。此服務(wù)方案需要?jiǎng)討B(tài)更新安全規(guī)則。為了實(shí)現(xiàn)這一點(diǎn)，安全控制器監(jiān)視需要更改安全規(guī)則的事件，并且可以在發(fā)生任何事件時(shí)自動更新或生成適當(dāng)?shù)囊?guī)則。例如，如果新員工加入企業(yè)網(wǎng)絡(luò)，安全控制器通過企業(yè)網(wǎng)絡(luò)訪問控制服務(wù)器檢測此事件，并生成和安裝新規(guī)則，以對新員工實(shí)施相同的策略。5 案例實(shí)證

【參考文獻(xiàn)】：
期刊論文
[1]一種基于信號互檢測的TDMA系統(tǒng)主站熱備份方法[J]. 張方明.  電子技術(shù)與軟件工程. 2016(13)
[2]移動云計(jì)算領(lǐng)域的網(wǎng)絡(luò)安全解決方案探究[J]. 閆蒞.  信息技術(shù). 2016(01)
[3]信息技術(shù)與網(wǎng)絡(luò)空間安全發(fā)展趨勢[J]. 李鳳華.  網(wǎng)絡(luò)與信息安全學(xué)報(bào). 2015(01)
[4]大數(shù)據(jù)系統(tǒng)和分析技術(shù)綜述[J]. 程學(xué)旗,靳小龍,王元卓,郭嘉豐,張鐵贏,李國杰.  軟件學(xué)報(bào). 2014(09)
[5]大數(shù)據(jù)流式計(jì)算:關(guān)鍵技術(shù)及系統(tǒng)實(shí)例[J]. 孫大為,張廣艷,鄭緯民.  軟件學(xué)報(bào). 2014(04)
[6]一種新的基于上下文傳遞的臨近空間安全切換機(jī)制[J]. 徐國愚,陳性元,杜學(xué)繪.  計(jì)算機(jī)科學(xué). 2013(04)
[7]基于信息融合的網(wǎng)絡(luò)安全態(tài)勢評估模型[J]. 韋勇,連一峰,馮登國.  計(jì)算機(jī)研究與發(fā)展. 2009(03)
[8]關(guān)于信息安全定義的研究[J]. 方濱興,殷麗華.  信息網(wǎng)絡(luò)安全. 2008(01)



本文編號：3358683