论文部分内容阅读
近年来,随着云计算技术的逐步普及,云安全问题逐渐被学术界以及产业界的人们所关注。由于云计算改变了传统的信息基础架构,因此传统的安全设备和方法难以完美地应用其上,云基础设施平台具有的多租户特点以及不同租户需要细粒度的保护的需求对网络通信安全提出了新的要求。同时,虚拟化技术在云基础设施平台中的应用也带来了很多的安全隐患和安全需求。现有的云安全管理工具所采用的实现方式在全局策略转换方面较为复杂,而且很难根据用户需求自定义开发。 基于以上背景,本文设计并实现了一个统一控制管理云基础设施平台虚拟资源的,具有可扩展和可动态部署的网络防火墙。本文主要通过三个部分阐述了此防火墙的相关技术基础,详细设计和具体实现方式: 第一部分,本文通过对虚拟化技术的实现原理,传统的防火墙的工作原理,以及对软件定义网络概念的分析和研究,探寻出一种利用软件定义的方式将防火墙工具应用到虚拟化云平台的方法,并对实现此方法提供了一种可行的方案。 第二部分,主要讨论基于软件定义网络技术的云基础设施平台防火墙的详细设计。首先,本文利用软件定义网络的思想将云基础设施平台网络通信的控制和数据转发解耦,划分为控制层和执行层,提出了一个分布式的防火墙整体架构。设计的防火墙包括三个组成部分,控制中心模块承担了云基础设施平台虚拟资源管理以及防火墙策略管理的具体功能,安全代理模块运行在物理主机之上承担了采集虚拟资源信息的功能,防火墙应用控制模块负责执行防火墙安全策略,对云基础设施平台内网络数据流量控制的工作,同时本文还对网络控制器的高可用性进行了设计,以解决单点故障的问题。本文又在Linux操作系统中设计了一套防火墙管理控制命令,方便用户以命令行的方式管理和操作防火墙工具。 第三部分,主要详细阐述了云基础设施平台防火墙的各模块的具体实现方法:以服务的形式实现防火墙安全服务在控制中心内的加载;以插件的形式实现安全代理模块对虚拟资源信息的采集;通过在控制中心中保存的网络控制器的信息实现主备控制器的内容同步,以手动脚本的方式实现主备控制器的切换;并通过REST API安全接口实现各模块之间的消息传递和命令发送;通过实现一个状态连接表记录云基础设施平台内的网络连接,使防火墙安全应用实现了对平台内网络流量的控制和管理,本文还对此防火墙工具的功能和性能进行了分析,并对安全性进行了讨论。最后,对此防火墙工具存在的一些不足之处进行了阐述,并对未来的研究方向进行了展望。 本文的贡献不仅在于将软件定义网络的概念融入到了云环境的虚拟化保护中,设计并实现了统一管理云基础设施平台网络的虚拟防火墙,而且,本文设计的防火墙整体架构具有良好的可扩展性和动态部署性,在该架构下用户还可以自定义其他安全服务和安全应用,为云平台提供可编程的、扁平化管理的安全能力,提供可动态调度和自适应的安全服务,并提供良好规范的应用接口。