安全检测服务动态接入虚拟网络的方法.docVIP

安全检测服务动态接入虚拟网络的方法 　　摘 要：随着计算机网络的迅速发展，网络安全问题日益突出，而传统的安全检测工具无法在接入云计算虚拟网络的环境下为用户进行安全检测。研究了安全检测服务动态接入虚拟网络的方法，该方法可实现在原有虚拟网络环境下系统检测工具的虚拟化，并可并行地为多个不同区域的租户进行安全检测服务，从而降低资源消耗，有效提升安全检测效率。 　　关键词：网络安全；安全检测服务；动态接入；虚拟网络 　　DOIDOI：10.11907/rjdk.162152 　　中图分类号：TP393 　　文献标识码：A文章编号：1672-7800（2016）012-0141-03 　　0 引言 　　随着计算机技术的普及，作为现代计算机网络重要组成部分的虚拟网络（VPN）技术也得到了不断发展。同时，网络安全问题和隐患逐渐出现。为避免不必要的损失，计算机网络的安全保障问题显得相当重要。基于传统的安全检测工具无法在接入云计算虚拟网络环境下为用户进行安全检测的问题，本文对安全检测服务动态接入虚拟网络的方法进行研究。首先，搭建安全检测服务资源池，利用安全检测服务多进程化和网络功能虚拟化（NFV）技术实现安全检测服务器并行多个服务进程；其次，借助软件定义网络（SDN）技术使安全检测服务器动态接入虚拟网络，实现了安全检测服务动态、按需接入用户网络并提供安全服务。该方法可以有效提升安全检测效率，同时实现为多用户并行地提供安全服务。 　　1 安全系统设计 　　1.1 总体布局 　　云计算网络环境的最大特点是虚拟多域，要实现在动态网络环境下并行地为多个隔离网络域的用户提供安全检测服务，可以从两方面入手：①搭建动态任务进程，对不同的虚拟网络资源进行监测，如虚拟端口、虚拟交换机与虚拟链路等；②通过附加通信策略的方式，保障虚拟网络检测服务和目标区域的网络连通及不同隔离区域的网络隔离[1]。因此，利用SDN动态编程，借助资源管理控制器动态调度虚拟网络资源，搭建满足用户要求可连接目标子网的虚拟路径，并建立安全检查任务，从而实现基于SDN的安全检测服务动态接入虚拟网络。基于虚拟网络资源，借助SDN扩展控制器创建安全检测任务以及目标子网通信策略，同时传递到对应的策略加载点，使检测任务正确接入目标子网。系统架构如图1所示。 　　云计算虚拟网络安全检测系统由控制单元、安全服务代理、任务运行空间、虚拟网络接入组件4部分构成，采用单安全服务引擎、多进程任务的服务方式在多域网络环境下进行安全服务，各部分的具体功能为：①控制单元：包括SDN控制器和资源管理控制器，可管理、调度安全任务，建立并管理虚拟网络资源以及传递策略；②安全服务代理：合理调配任务运行空间及虚拟网络接入组件；③任务运行空间：即安全检测任务资源池，具备独立网络资源（包含路由信息、地址解析协议等）、安全检测任务和网络运行环境，可以并行支持多个用户的虚拟机服务；④虚拟网络接入组件：主要任务是确保安全检测任务顺利接入目标虚拟机网络，并保障不同区域的网络隔离。 　　1.2 任务进程 　　用户发出请求，控制单元收到请求后，调配资源管理控制器和SDN控制器；资源管理控制器借助OVSDB和自定义协议（SDP）向安全服务代理传递创建安全检测资源和虚拟网络资源的需求；安全服务代理接收到任务需求后，搭建不同的虚拟网络组件，实现目标网络或主机的安全服务[2]。SDN控制器借助OpenFlow和SDP协议向任务运行空间和虚拟交换机传递通信策略。 　　1.3 过程初始化 　　当系统接收到用户的检测请求后，会发起一系列安全检测服务初始化，完成检测任务到目标虚拟网络的连通。初始化进程主要包括创建并配置虚拟网络资源、安全检测资源，并进行通信策略的传递。为满足不同用户重复IP虚拟机的检测需求，需进行目标IP地址虚拟化，即将目标虚拟机IP地址映射为虚拟IP地址，通过控制虚拟系统IP地址来确保任务IP地址不重复，借助虚拟IP地址资源池执行检测任务[3]。初始化进程分为6步：①服务代理接收并解析安全检测命令，得到相关目标虚拟网络和虚拟机信息；②在任务运行空间进行任务比对，若相关空间不存在，则需创建该任务空间；③搭建虚拟端口和虚拟链路，虚拟链路连接任务运行空间和软件交换机；④SDN控制器将通信策略传递给软件交换机；⑤任务代理在虚拟IP资源池分配虚拟端口的IP资源，搭建目标虚拟网络接口；⑥在任务运行空间建立检测任务，对虚拟机IP进行地址虚拟化，从虚拟IP资源池获得目标IP，借助本地路由连接到相应的虚拟网络接口。 　　2 安全检测服务 　　2.1 通信策略 　　为了保障安全检测任务与目标子网的联通及不同区域检测任务的隔离，该系统定义了ARP缓存策略、路由策略和软件交换机转发策略（流表）等安全任务接入和隔离策略。通过策