1.本技术涉及网络安全
技术领域:
:,特别涉及一种网络靶场安全管控系统和方法。
背景技术:
::2.网络靶场是一种基于虚拟化技术,对真实网络空间中的网络架构、系统设备、业务流程的运行状态及运行环境进行模拟和复现的技术或产品。网络靶场已经成为各国进行网络空间安全研究、学习、测试、验证、演练等必不可少的网络空间安全核心基础设施。世界各国均高度重视网络靶场建设,将其作为安全能力建设支撑的重要手段。3.网络安全是网络靶场平台的基本能力。靶场中的业务场景、基本应用、用户行为、数据采集和分析、辅助工具等诸多内容等均需要通过虚拟化网络来实现连接,而如何保障网络靶场各组成部门高效、有序、安全的连接,是当前的一个技术难点。4.在现有的一种网络靶场的网络隔离方案中,通过对监听到的地址解析协议(addressresolutionprotocol,简称arp)包、组播或广播包进行处理实现网络的隔离和管控,但是,由于arp包在tcp/ip协议中的第二层,只能作为网络安全准入的原始办法,具有明显的缺陷,无法适用于上千台/上万台虚拟机环境,不具备良好的扩展性,也无法实现深层的应用。5.可见,现有技术方案无法满足多资源接入情况下的灵活管控、无法实现多层次的网络安全接入管控、更无法实现高层次的网络安全措施接入管控,即,无法保证大规模资源和复杂网络的接入。技术实现要素:6.本技术提供了一种网络靶场安全管控系统和方法,能够保证大规模资源和复杂网络的接入。7.第一方面,本技术提供了一种网络靶场安全管控系统,所述系统包括网络靶场中的至少一个物理节点设备;所述至少一个物理节点设备中包括第一物理节点设备;所述第一物理节点设备上搭建了属于同一安全域或不同安全域的虚拟机;所述第一物理节点设备上的属于同一安全域内的各个虚拟机、与所述第一物理节点设备上针对该安全域搭建的虚拟网桥进行连接;所述第一物理节点设备上搭建的虚拟交换机,与所述第一物理节点设备上搭建的虚拟网桥和虚拟防火墙进行连接;其中,8.所述第一物理节点设备上搭建的虚拟网桥,用于在同一安全域内进行访问控制;所述第一物理节点设备上搭建的虚拟防火墙,用于在不同安全域内进行访问控制;所述第一物理节点设备上搭建的虚拟交换机,用于在所述第一物理节点设备与其它物理节点设备之间进行通信服务。9.可选的,所述第一物理节点设备上搭建的虚拟网桥,具体用于实现同一安全域内的各个虚拟机之间的内部通讯,以及,实现基于同一安全域内的各个虚拟机ip地址的访问控制。10.可选的,所述至少一个物理节点设备中包括第二物理节点设备;11.所述第二物理节点设备上的虚拟机,用于通过获取所述第一物理节点设备上搭建的虚拟网桥的网桥编码,加入所述第一物理节点设备上的该虚拟网桥对应的安全域。12.可选的,所述系统还包括控制管理节点设备;所述控制管理节点设备,通过物理交换机与物理节点设备进行连接;13.所述控制管理节点设备,用于对物理节点设备上搭建的虚拟交换机、虚拟网桥、以及虚拟防火墙进行信息管理。14.可选的,所述第一物理节点设备上搭建的虚拟交换机,具体用于基于所述控制管理节点设备预先收集的流表内容,实现网络流量转发控制,其中,所述流表内容包括所述网络靶场中的虚拟机和虚拟防火墙各自对应的ip地址、mac地址和vlan编码。15.第二方面,本技术提供了一种网络靶场安全管控方法,所述方法应用于一种网络靶场安全管控系统,所述系统包括网络靶场中的至少一个物理节点设备;所述至少一个物理节点设备中包括第一物理节点设备;所述第一物理节点设备上搭建了属于同一安全域或不同安全域的虚拟机;所述第一物理节点设备上的属于同一安全域内的各个虚拟机、与所述第一物理节点设备上针对该安全域搭建的虚拟网桥进行连接;所述第一物理节点设备上搭建的虚拟交换机,与所述第一物理节点设备上搭建的虚拟网桥和虚拟防火墙进行连接;所述方法包括:16.利用所述第一物理节点设备上搭建的虚拟网桥,在同一安全域内进行访问控制;17.利用所述第一物理节点设备上搭建的虚拟防火墙,在不同安全域内进行访问控制;18.利用所述第一物理节点设备上搭建的虚拟交换机,在所述第一物理节点设备与其它物理节点设备之间进行通信服务。19.可选的,所述利用所述第一物理节点设备上搭建的虚拟网桥,在同一安全域内进行访问控制,包括:20.利用所述第一物理节点设备上搭建的虚拟网桥,实现同一安全域内的各个虚拟机之间的内部通讯,以及,实现基于同一安全域内的各个虚拟机ip地址的访问控制。21.可选的,所述至少一个物理节点设备中包括第二物理节点设备;所述方法还包括:22.利用所述第二物理节点设备上的虚拟机,通过获取所述第一物理节点设备上搭建的虚拟网桥的网桥编码,加入所述第一物理节点设备上的该虚拟网桥对应的安全域。23.可选的,所述系统还包括控制管理节点设备;所述控制管理节点设备,通过物理交换机与物理节点设备进行连接;所述方法还包括:24.利用所述控制管理节点设备,对物理节点设备上搭建的虚拟交换机、虚拟网桥、以及虚拟防火墙进行信息管理。25.可选的,所述利用所述第一物理节点设备上搭建的虚拟交换机,在所述第一物理节点设备与其它物理节点设备之间进行通信服务,包括:26.利用所述第一物理节点设备上搭建的虚拟交换机,基于所述控制管理节点设备预先收集的流表内容,实现网络流量转发控制,其中,所述流表内容包括所述网络靶场中的虚拟机和虚拟防火墙各自对应的ip地址、mac地址和vlan编码。27.在以上本技术提供的技术方案中,网络安全管控系统可以包括多个物理节点设备,其中,物理节点设备上搭建的虚拟网桥,用于在同一安全域内进行访问控制,对安全域的内部访问进行管理;物理节点设备上搭建的虚拟防火墙,用于在不同安全域内进行访问控制,对安全域的外部访问进行管理;物理节点设备上搭建的虚拟交换机,用于在该物理节点设备与其它物理节点设备之间进行通信服务,可实现大规模的网络连接、跨设备上的各种资源的无缝接入等。可见,本技术通过搭建的虚拟网桥、虚拟交换机、虚拟防火墙,构建了具有网络接入层、汇聚层、核心层的安全管控机制,可满足多资源接入情况下的灵活管控、可实现多层次的网络安全接入管控、更可实现高层次的网络安全措施接入管控,从而实现了对网络靶场的多维度的纵深管控,为大规模资源和复杂网络接入提供了便利。附图说明28.图1为本技术示出的一种网络靶场安全管控系统的组成示意图;29.图2为本技术示出的网络安全管控系统的示例性示意图;30.图3为本技术示出的一种电子设备的结构示意图。具体实施方式31.这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本技术相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本技术的一些方面相一致的装置和方法的例子。32.在本技术使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本技术。在本技术和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。33.应当理解,尽管在本技术可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本技术范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。34.本技术实施例提供了一种网络靶场安全管控系统,在该系统中,通过搭建虚拟网桥、虚拟交换机、虚拟防火墙为核心,构建具有网络接入层、汇聚层、核心层的安全管控机制,实现网络准入控制、安全域管理、边界管控,以及,实现分层次的安全管控,解决了网络靶场中的网络安全管控问题。35.其中,关于本技术实施例中的虚拟网桥,其可以是linux虚拟网桥,可用于同一安全域的接入管理,比如靶场的办公区域或业务区域等,从而实现不同业务域的天然隔离;关于本技术实施例中的虚拟交换机,其可以是采用软件定义网络(softwaredefinednetwork,简称sdn)技术的openvswitch虚拟交换机,通过虚拟交换机实现大规模的网络连接,以及跨宿主机上的各种资源的无缝接入,同时可实现基于linux虚拟网桥的流量策略等;关于本技术实施例中的虚拟防火墙,可实现路由控制和访问控制,加载高阶下一代防火墙的攻击防御和审计策略等。36.下面将对本技术实施例提供的网络靶场安全管控系统进行具体介绍。37.参见图1,为本技术实施例提供的一种网络靶场安全管控系统的组成示意图,该系统包括网络靶场中的至少一个物理节点设备;该至少一个物理节点设备中包括第一物理节点设备;第一物理节点设备上搭建了属于同一安全域或不同安全域的虚拟机;第一物理节点设备上的属于同一安全域内的各个虚拟机、与第一物理节点设备上针对该安全域搭建的虚拟网桥进行连接;第一物理节点设备上搭建的虚拟交换机,与第一物理节点设备上搭建的虚拟网桥和虚拟防火墙进行连接。38.具体来讲,在本技术实施例提供的网络安全管控系统中,该系统可以包括一个或多个物理节点设备,这里的每一物理节点设备均可以作为第一物理节点设备,下面将结合图2所示的网络安全管控系统的示例性示意图,对第一物理节点设备进行介绍。39.可以在第一物理节点设备上搭建属于同一安全域或不同安全域的虚拟机。例如,假设图2所示的物理计算节点a为第一物理节点设备,且该物理计算节点a上搭建了虚拟机a1-1和虚拟机a1-2,这两个虚拟机属于同一安全域a。该物理计算节点a上可以仅有一个安全域,比如安全域a;当然,该物理计算节点a上也可以有两个或两个以上的不同安全域,比如安全域a和安全域b。40.需要使第一物理节点设备上的属于同一安全域内的各个虚拟机、与第一物理节点设备上针对该安全域搭建的虚拟网桥进行连接。例如,假设图2所示的物理计算节点a为第一物理节点设备,则可以使虚拟机a1-1的虚拟网卡直接连接到linux虚拟网桥a3-1上,linux虚拟网桥a3-1由物理计算节点a直接分配,并为其设置网桥编码id号,同网络区域的虚拟机a1-2可直接接入该linux虚拟网桥,默认情况下,虚拟机a1-1和虚拟机a1-2同属一个网络安全域,可直接互相通讯。41.需要使第一物理节点设备上搭建的虚拟交换机,与第一物理节点设备上搭建的虚拟网桥和虚拟防火墙进行连接。例如,假设图2所示的物理计算节点a为第一物理节点设备,则linux虚拟网桥a3-1与虚拟交换机a4连接,虚拟防火墙a2通过虚拟网卡与虚拟交换机a4连接,其中,虚拟防火墙a2是基于软件的防火墙,类似于虚拟机a1-1等是基于软件的虚拟机,虚拟防火墙a2的多张网卡直接连接到虚拟交换机a4上,并可配属于不同的vlan编号,功能实现雷同硬件防火墙。42.在本技术实施例中,第一物理节点设备上搭建的虚拟网桥,用于在同一安全域内进行访问控制。即,通过虚拟网桥,实现同一安全区域内的访问控制,也就是东西向的访问控制和隔离;对内部访问进行管理。例如,在图2中,物理计算节点a上的linux虚拟网桥a3-1、以及物理计算节点b上的linux虚拟网桥a3-1,可以用于实现对安全域a内各个虚拟机的访问控制。43.在本技术实施例的一种实现方式中,第一物理节点设备上搭建的虚拟网桥,具体用于实现同一安全域内的各个虚拟机之间的内部通讯,以及,实现基于同一安全域内的各个虚拟机ip地址的访问控制。44.在本实现方式中,如图2所示,linux虚拟网桥a3-1可以实现同安全域a的各个虚拟机的内部通讯,也可通过iptables规则库,实现基于虚拟机ip地址的访问控制,比如,实现虚拟机a1-2可以访问虚拟机a1-1的某个服务,而虚拟机a1-1无法访问虚拟机a1-2。45.在本技术实施例的一种实现方式中,网络安全管控系统中的至少一个物理节点设备中还包括第二物理节点设备;第二物理节点设备上的虚拟机,用于通过获取第一物理节点设备上搭建的虚拟网桥的网桥编码,加入第一物理节点设备上的该虚拟网桥对应的安全域。46.在本实现方式中,假设第一物理节点设备是图2所示的物理计算节点a、第二物理节点设备是图2所示的物理计算节点b,由于虚拟网桥编码id可通过与该虚拟网桥连接的虚拟交换机进行识别和管理,因此,物理计算节点b上的虚拟机b1-1,可通过获取虚拟交换机a4管理的虚拟网桥编码id号(即linux虚拟网桥a3-1的编码id号),加入安全域a。基于此,物理计算节点b的linux虚拟网桥a3-1同样可以继承iptables规则库,整体上实现安全域a内的访问控制。47.在本技术实施例中,第一物理节点设备上搭建的虚拟防火墙,用于在不同安全域内进行访问控制。即,通过虚拟防火墙,实现不同安全区域内的访问控制,也就是南北向的访问控制和隔离;对外部访问进行管理。48.如图2所示,虚拟防火墙a2可实现tcp/ip协议三层的路由转发控制到七层应用层的状态包过滤监测控制,其和虚拟机交换a4进行对接。而且,安全域a和安全域b之间的访问控制,需要经过虚拟交换机a4和虚拟交换机b4,最终通过虚拟防火墙a2实现跨网络的互联,虚拟防火墙a2可实现数据包过滤、网络地址转换、协议状态检查以及虚拟专用网络(virtualprivatenetwork,简称vpn)等功能,并可提供入侵防御、业务识别、用户身份鉴别等高阶功能。49.另外,虚拟防火墙还可以支持基于应用程序接口(applicationprogramminginterface,简称api)的网络安全策略配置。50.在本技术实施例中,第一物理节点设备上搭建的虚拟交换机,用于在第一物理节点设备与其它物理节点设备之间进行通信服务,比如,实现图2中物理计算节点a与物理计算节点b之间的通信服务,保证同一安全域内与不同安全域之间的通讯以及通讯控制服务。也就是说,通过虚拟交换机,实现虚拟化网络的构建以及互联,为安全访问控制做好铺垫。51.进一步地,本技术实施例提供的网络安全管控系统还可以包括控制管理节点设备。该控制管理节点设备,通过物理交换机与物理节点设备进行连接;该控制管理节点设备,用于对物理节点设备上搭建的虚拟交换机、虚拟网桥、以及虚拟防火墙进行信息管理。52.具体来讲,例如图2所示,虚拟交换机a4和虚拟交换机b4通过物理网卡与物理交换机进行连接,物理交换机通过物理网卡与控制管理节点设备进行连接。这样,控制管理节点设备便可以获取到虚拟机a1-1、虚拟机a1-2、虚拟机b1-1、虚拟机b1-2以及虚拟防火墙a2等虚拟设备各自对应的mac地址和ip地址,从而可以将这些信息记录到虚拟交换机的流表中,同时获取linux虚拟网桥a3-1、linux虚拟网桥b3-2的网桥编码id,并相应配置vlan编码,形成整个网络所有设备资源的mac、ip、vlan编码对应表(即各个虚拟机以及虚拟防火墙各自对应的mac、ip、vlan编码),用于实现网络互联。53.基于此,在本技术实施例的一种实现方式中,第一物理节点设备上搭建的虚拟交换机,具体用于基于控制管理节点设备预先收集的流表内容,实现网络流量转发控制,其中,该流表内容包括网络靶场中的虚拟机和虚拟防火墙各自对应的ip地址、mac地址和vlan编码。54.在本实现方式中,例如图2所示,虚拟交换机a4可以通过流表,实现网络互联范围内的匹配字段过滤和控制,比如基于ip地址、mac地址、vlan编号等,实现网络二层/三层的流量转发控制;类似地,虚拟交换机b4也可以实现该功能。另外,虚拟交换机支持openflow协议,可集中式管理和流表统一化。55.在以上本技术实施例提供的网络靶场安全管控系统中,该系统可以包括多个物理节点设备,其中,物理节点设备上搭建的虚拟网桥,用于在同一安全域内进行访问控制,对安全域的内部访问进行管理;物理节点设备上搭建的虚拟防火墙,用于在不同安全域内进行访问控制,对安全域的外部访问进行管理;物理节点设备上搭建的虚拟交换机,用于在该物理节点设备与其它物理节点设备之间进行通信服务,可实现大规模的网络连接、跨设备上的各种资源的无缝接入等。可见,本技术实施例通过搭建的虚拟网桥、虚拟交换机、虚拟防火墙,构建了具有网络接入层、汇聚层、核心层的安全管控机制,可满足多资源接入情况下的灵活管控、可实现多层次的网络安全接入管控、更可实现高层次的网络安全措施接入管控,从而实现了对网络靶场的多维度的纵深管控,为大规模资源和复杂网络接入提供了便利。56.另外,本技术实施例还提供的一种网络靶场安全管控方法,所述方法应用于一种网络靶场安全管控系统,所述系统包括网络靶场中的至少一个物理节点设备;所述至少一个物理节点设备中包括第一物理节点设备;所述第一物理节点设备上搭建了属于同一安全域或不同安全域的虚拟机;所述第一物理节点设备上的属于同一安全域内的各个虚拟机、与所述第一物理节点设备上针对该安全域搭建的虚拟网桥进行连接;所述第一物理节点设备上搭建的虚拟交换机,与所述第一物理节点设备上搭建的虚拟网桥和虚拟防火墙进行连接;所述方法包括:57.利用所述第一物理节点设备上搭建的虚拟网桥,在同一安全域内进行访问控制;58.利用所述第一物理节点设备上搭建的虚拟防火墙,在不同安全域内进行访问控制;59.利用所述第一物理节点设备上搭建的虚拟交换机,在所述第一物理节点设备与其它物理节点设备之间进行通信服务。60.在本技术实施例的一种实现方式中,所述利用所述第一物理节点设备上搭建的虚拟网桥,在同一安全域内进行访问控制,包括:61.利用所述第一物理节点设备上搭建的虚拟网桥,实现同一安全域内的各个虚拟机之间的内部通讯,以及,实现基于同一安全域内的各个虚拟机ip地址的访问控制。62.在本技术实施例的一种实现方式中,所述至少一个物理节点设备中包括第二物理节点设备;所述方法还包括:63.利用所述第二物理节点设备上的虚拟机,通过获取所述第一物理节点设备上搭建的虚拟网桥的网桥编码,加入所述第一物理节点设备上的该虚拟网桥对应的安全域。64.在本技术实施例的一种实现方式中,所述系统还包括控制管理节点设备;所述控制管理节点设备,通过物理交换机与物理节点设备进行连接;所述方法还包括:65.利用所述控制管理节点设备,对物理节点设备上搭建的虚拟交换机、虚拟网桥、以及虚拟防火墙进行信息管理。66.在本技术实施例的一种实现方式中,所述利用所述第一物理节点设备上搭建的虚拟交换机,在所述第一物理节点设备与其它物理节点设备之间进行通信服务,包括:67.利用所述第一物理节点设备上搭建的虚拟交换机,基于所述控制管理节点设备预先收集的流表内容,实现网络流量转发控制,其中,所述流表内容包括所述网络靶场中的虚拟机和虚拟防火墙各自对应的ip地址、mac地址和vlan编码。68.需要说明的是,上述方法中各个设备的实现功能与作用,与上述系统中各个设备的实现功能与作用相同,在此不再赘述。69.本技术实施例还提供了一种电子设备,该电子设备的结构示意图如图3所示,该电子设备3000包括至少一个处理器3001、存储器3002和总线3003,至少一个处理器3001均与存储器3002电连接;存储器3002被配置用于存储有至少一个计算机可执行指令,处理器3001被配置用于执行该至少一个计算机可执行指令,从而执行如本技术中任意一个实施例或任意一种可选实施方式提供的任意一种网络靶场安全管控方法的步骤。70.进一步,处理器3001可以是fpga(field-programmablegatearray,现场可编程门阵列)或者其它具有逻辑处理能力的器件,如mcu(microcontrollerunit,微控制单元)、cpu(centralprocessunit,中央处理器)。71.应用本技术实施例,通过搭建的虚拟网桥、虚拟交换机、虚拟防火墙,构建了具有网络接入层、汇聚层、核心层的安全管控机制,可满足多资源接入情况下的灵活管控、可实现多层次的网络安全接入管控、更可实现高层次的网络安全措施接入管控,从而实现了对网络靶场的多维度的纵深管控,为大规模资源和复杂网络接入提供了便利。72.本技术实施例还提供了另一种计算机可读存储介质,存储有计算机程序,该计算机程序用于被处理器执行时实现本技术中任意一个实施例或任意一种可选实施方式提供的任意一种网络靶场安全管控方法的步骤。73.本技术实施例提供的计算机可读存储介质包括但不限于任何类型的盘(包括软盘、硬盘、光盘、cd-rom、和磁光盘)、rom(read-onlymemory,只读存储器)、ram(randomaccessmemory,随即存储器)、eprom(erasableprogrammableread-onlymemory,可擦写可编程只读存储器)、eeprom(electricallyerasableprogrammableread-onlymemory,电可擦可编程只读存储器)、闪存、磁性卡片或光线卡片。也就是,可读存储介质包括由设备(例如,计算机)以能够读的形式存储或传输信息的任何介质。74.应用本技术实施例,通过搭建的虚拟网桥、虚拟交换机、虚拟防火墙,构建了具有网络接入层、汇聚层、核心层的安全管控机制,可满足多资源接入情况下的灵活管控、可实现多层次的网络安全接入管控、更可实现高层次的网络安全措施接入管控,从而实现了对网络靶场的多维度的纵深管控,为大规模资源和复杂网络接入提供了便利。75.以上所述仅为本技术的较佳实施例而已,并不用以限制本技术,凡在本技术的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本技术保护的范围之内。当前第1页12当前第1页12