本发明专利技术公开一种软件定义的网络安全设备,涉及网络安全领域,其结构包括:CPU和FPGA,CPU、FPGA形成网络安全设备的异构架构;还包括一远程集中管理平台,远程集中管理平台根据网络拓扑和安全需求,通过网络安全设备的远程管理网络接口下发指令至CPU,CPU解析指令后依据指令对FPGA进行动态配置,将网络安全设备编排为指令定义的网络安全设备。本发明专利技术基于CPU+FPGA异构架构,利用FPGA的动态可重构特性,实现网络安全设备在数据中心环境中,利用软件定义的方式进行网络安全设备的编排化,能够高效的管理网络安全设备,满足了越来越复杂的网络和安全场景的要求。本发明专利技术还提出了一种软件定义的网络安全设方法。
【技术实现步骤摘要】
一种软件定义的网络安全设备和方法
本专利技术涉及网络安全领域,具体的说是一种软件定义的网络安全设备和方法。
技术介绍
近年来,随着信息技术以及移动互联网的发展,人们通过互联网交友、购物、学习和工作,催生了众多移动互联网和互联网应用。大量移动互联网的应用,背后需要强大的云计算系统和企业IT基础设施支撑。在一个大规模数据中心中,通常会部署上万甚至超过十万台服务器。对于这样的大规模数据中心,为了保护其数据中心计算、存储等资源,会采用大量多种多样的安全产品和服务,比如防火墙、负载均衡、IDS、IPS等。面对越来越复杂的网络和安全场景,数据中心、服务器运维人员往往不能只借助一种手段解决问题,而是需要多个网络安全设备或服务协调,来完成一系列的安全功能。因此,如何有效的管理网络安全设备或服务,就涉及到编排(Orchestration)要完成的事项,将网络安全设备或服务进行编排化,达到对网络安全设备的高效管理。
技术实现思路
本专利技术针对目前技术发展的需求和不足之处,提供一种软件定义的网络安全设备和方法。本专利技术所述一种软件定义的网络安全设备,解决上述技术问题采用的技术方案如下:所述软件定义的网络安全设备,其结构主要包括:CPU和FPGA,其中CPU、FPGA形成所述网络安全设备的异构架构,所述CPU与FPGA互联,FPGA具有动态可重构性;还包括一远程集中管理平台,所述远程集中管理平台根据网络拓扑和安全需求,通过网络安全设备的远程管理网络接口下发指令至网络安全设备;网络安全设备的CPU依据指令对FPGA进行动态配置,将网络安全设备编排为指令定义的网络安全设备。具体的,所述CPU、FPGA各自配置内存、固态硬盘,同时所述FPGA配置Flash和若干网络接口。具体的,所述FPGA内部分为固定配置和应用配置两个逻辑部分,其中,所述固定配置存放在FPGA配置Flash中,包括接口、输入/输出缓冲器、内存控制器、控制逻辑、DMA;所述应用配置为动态可重构的,存放在系统硬盘中,包括交换逻辑、入侵防御逻辑、防火墙、入侵检测逻辑、报文解析逻辑。具体的,系统上电后,所述网络安全设备的FPGA通过配置Flash的固化代码配置,使FPGA通过PCIEx8接口与CPU互联,作为CPU的从设备;由远程集中管理平台通过网络安全设备的远程管理网络接口下发指令至CPU,CPU解析指令;CPU根据指令应用读取其固态硬盘中FPGA的应用配置文件,对FPGA进行动态配置。具体的,所述网络安全设备的FPGA动态配置为应用配置1,网络报文进入网络安全设备后,经过查找交换逻辑查找MAC流表,依据流表确认转发,同时送至入侵防御逻辑,等效形成应用配置1对应的网络拓扑架构;所述网络安全设备的FPGA动态配置为应用配置2,网络报文进入网络安全设备后,经过防火墙/入侵检测逻辑,然后经过交换逻辑进行转发,等效形成应用配置2对应的网络拓扑架构。本专利技术还提出了一种软件定义的网络安全方法,网络安全设备在数据中心环境中,通过远程集中管理平台,依据网络拓扑和安全需求,利用软件定义的方式进行网络安全设备的编排化;其实现步骤包括:步骤一,系统上电后,网络安全设备中组成其异构架构的CPU、FPGA互联;步骤二,远程集中管理平台根据网络拓扑和安全需求对网络安全设备下发指令;具体的,远程集中管理平台通过网络安全设备的远程管理网络接口下发指令至网络安全设备;步骤三,网络安全设备的CPU依据指令对FPGA进行动态配置,将网络安全设备编排为指令定义的网络安全设备。具体的,所述CPU、FPGA各自配置内存、固态硬盘,同时所述FPGA配置Flash和若干网络接口。具体的,所述FPGA内部分为固定配置和应用配置两个逻辑部分,其中,所述固定配置存放在FPGA配置Flash中,包括接口、输入/输出缓冲器、内存控制器、控制逻辑、DMA;所述应用配置为动态可重构的,存放在系统硬盘中,包括交换逻辑、入侵防御逻辑、防火墙、入侵检测逻辑、报文解析逻辑。具体的,所述网络安全方法的具体实现过程如下:系统上电后,所述网络安全设备的FPGA通过配置Flash的固化代码配置,将FPGA通过PCIEx8接口与CPU互联,作为CPU的从设备;远程集中管理平台通过网络安全设备的远程管理网络接口下发指令至CPU,CPU解析指令;网络安全设备的CPU根据指令应用读取其固态硬盘中FPGA的应用配置文件,对FPGA进行动态配置。具体的,所述网络安全设备的FPGA动态配置为应用配置1,网络报文进入网络安全设备后,经过查找交换逻辑查找MAC流表,依据流表确认转发,同时送至入侵防御逻辑,等效形成应用配置1对应的网络拓扑架构;所述网络安全设备的FPGA动态配置为应用配置2,网络报文进入网络安全设备后,经过防火墙/入侵检测逻辑,然后经过交换逻辑进行转发,等效形成应用配置2对应的网络拓扑架构。本专利技术所述一种软件定义的网络安全设备和方法,与现有技术相比具有的有益效果是:本专利技术基于CPU+FPGA异构架构,利用FPGA的动态可重构特性,通过远程集中管理平台根据网络拓扑和安全需求对网络安全设备下发指令,设备CPU依据指令对FPGA进行动态配置,将设备编排为指令定义的网络安全设备;实现网络安全设备在数据中心环境中,利用软件定义的方式进行网络安全设备的编排化,能够高效的管理网络安全设备,满足了越来越复杂的网络和安全场景的要求。附图说明为了更清楚的说明本专利技术实施例或现有技术中的
技术实现思路
,下面对本专利技术实施例或现有技术中所需要的附图做简单介绍。显而易见的,下面所描述附图仅仅是本专利技术的一部分实施例,对于本领域技术人员来说,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图,但均在本专利技术的保护范围之内。附图1为所述软件定义的网络安全设备的示意框图;附图2为所述软件定义的网络安全设备的配置示意图;附图3为FPGA的应用配置与网络拓扑的对照示意图。具体实施方式为使本专利技术的技术方案、解决的技术问题和技术效果更加清楚明白,以下结合具体实施例,对本专利技术的技术方案进行清查、完整的描述,显然,所描述的实施例仅仅是本专利技术的一部分实施例,而不是全部的实施例。基于本专利技术的实施例,本领域技术人员在没有做出创造性劳动的前提下获得的所有实施例,都在本专利技术的保护范围之内。实施例1:本实施例提出一种软件定义的网络安全设备,其结构主要包括:CPU、FPGA,其中CPU和FPGA形成所述网络安全设备的异构架构,CPU与FPGA互联,FPGA具有动态可重构性;还包括一远程集中管理平台,所述远程集中管理平台根据网络拓扑和安全需求,通过网络安全设备的远程管理网络接口下发指令至网络安全设备;网络安全设备的CPU依据指令对FPGA进行动态配置,将网络安全设备编排为指令定义的网络安全设备。本实施例还提出了一种软件定义的网络安全方法,其技术方案可以与实施例1所述软件定义的网络安全设备相互参照,其主要实现步骤如下:步骤一,系统上电后,网络安全设备中组成其异构架构的CPU、FPGA互联;步骤二,远程集中管理平台根据网络拓扑和安全需求对网络安全设备下发指令;具体的,远程集中管理平台通过网络安全设备的远程管理网络接口下发指令至网络安全设备;步骤三,网络安全设备的CPU依据指令对FPGA进行动态配置,将网络安全设备本文档来自技高网...
【技术保护点】
1.一种软件定义的网络安全设备,其特征在于, 其结构主要包括:CPU和FPGA,其中CPU、FPGA形成所述网络安全设备的异构架构,所述CPU与FPGA互联,FPGA具有动态可重构性;还包括一远程集中管理平台,所述远程集中管理平台根据网络拓扑和安全需求,通过网络安全设备的远程管理网络接口下发指令至网络安全设备;网络安全设备的CPU依据指令对FPGA进行动态配置,将网络安全设备编排为指令定义的网络安全设备。
【技术特征摘要】
1.一种软件定义的网络安全设备,其特征在于,其结构主要包括:CPU和FPGA,其中CPU、FPGA形成所述网络安全设备的异构架构,所述CPU与FPGA互联,FPGA具有动态可重构性;还包括一远程集中管理平台,所述远程集中管理平台根据网络拓扑和安全需求,通过网络安全设备的远程管理网络接口下发指令至网络安全设备;网络安全设备的CPU依据指令对FPGA进行动态配置,将网络安全设备编排为指令定义的网络安全设备。2.根据权利要求1所述一种软件定义的网络安全设备,其特征在于,所述CPU、FPGA各自配置内存、固态硬盘,同时所述FPGA配置Flash和若干网络接口。3.根据权利要求2所述一种软件定义的网络安全设备,其特征在于,所述FPGA内部分为固定配置和应用配置两个逻辑部分,其中,所述固定配置存放在FPGA配置Flash中,包括接口、输入/输出缓冲器、内存控制器、控制逻辑、DMA;所述应用配置为动态可重构的,存放在系统硬盘中,包括交换逻辑、入侵防御逻辑、防火墙、入侵检测逻辑、报文解析逻辑。4.根据权利要求3所述一种软件定义的网络安全设备,其特征在于,系统上电后,所述网络安全设备的FPGA通过配置Flash的固化代码配置,使FPGA通过PCIEx8接口与CPU互联,作为CPU的从设备;由远程集中管理平台通过网络安全设备的远程管理网络接口下发指令至CPU,CPU解析指令;CPU根据指令应用读取其固态硬盘中FPGA的应用配置文件,对FPGA进行动态配置。5.根据权利要求4所述一种软件定义的网络安全设备,其特征在于,所述网络安全设备的FPGA动态配置为应用配置1,网络报文进入网络安全设备后,经过查找交换逻辑查找MAC流表,依据流表确认转发,同时送至入侵防御逻辑,等效形成应用配置1对应的网络拓扑架构;所述网络安全设备的FPGA动态配置为应用配置2,网络报文进入网络安全设备后,经过防火墙/入侵检测逻辑,然后经过交换逻辑进行转发,等效形成应用配置2对应的网络拓扑架构。6.一种软件定义的网络安全方法,其特征在于,网络安全设备在数据中心环境中,通...
【专利技术属性】
技术研发人员:姜凯,李朋,于治楼,王子彤,段成德,
申请(专利权)人:济南浪潮高新科技投资发展有限公司,
类型:发明
国别省市:山东,37
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。