(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202111603182.8 (22)申请日 2021.12.24 (65)同一申请的已公布的文献号 申请公布号 CN 114422196 A (43)申请公布日 2022.04.29 (73)专利权人 北京永信至诚科技股份有限公司 地址 100094 北京市海淀区丰豪东路9号院 6号楼103 (72)发明人 蔡晶晶　陈俊　张凯　程磊　 (74)专利代理 机构 北京天方智力知识产权代理 事务所(普通 合伙) 11719 专利代理师 路远 (51)Int.Cl. H04L 9/40(2022.01) H04L 12/46(2006.01)H04L 49/10(2022.01) (56)对比文件 CN 111651241 A,2020.09.1 1 CN 110290045 A,2019.09.27 CN 112367239 A,2021.02.12 US 2014379 928 A1,2014.12.25 US 2010125 667 A1,2010.0 5.20 姜停停等.一种基 于OpenvSw itch的虚拟机 安全防护方案. 《北京电子科技学院学报》 .2015, (第04期),38-43. 彭淑芬.基 于虚拟机的信息系统结构安全研 究. 《微型机与应用》 .2015,(第0 3期),11-14. 审查员 谢琳 (54)发明名称 一种网络靶场安全管控系统和方法 (57)摘要 本申请提供了一种网络靶场安全管控系统， 该系统包括多个物理节点设备， 物理节点设备上 搭建的虚拟网桥， 用于在同一安全域内进行访问 控制； 物理节点设备上搭建的虚拟防火墙， 用于 在不同安全域内进行访问控制； 物理节点设备上 搭建的虚拟交换机， 用于在该物理节 点设备与其 它物理节 点设备之间进行通信服务。 本申请通过 搭建的虚拟网桥、 虚拟交换机、 虚拟防火墙， 构建 了具有网络接入层、 汇聚层、 核心层的安全管控 机制， 实现了对网络靶场的多维度的纵深管控， 为大规模资源和复杂网络接入提供了便利。 本申 请还提供了一种网络靶场安全管控方法。 权利要求书2页 说明书7页 附图2页 CN 114422196 B 2022.12.02 CN 114422196 B 1.一种网络靶场安全管控系统， 其特征在于， 所述系统包括网络靶场中的至少一个物 理节点设备； 所述至少一个物理节点设备中包括第一物理节点设备； 所述第一物理节点设 备上搭建了属于同一安全域或不同安全域的虚拟机； 所述第一物理节点设备上的属于同一 安全域内的各个虚拟机、 与所述第一物理节点设备上针对该安全域搭建的虚拟网桥进 行连 接； 所述第一物理节点设备上搭建的虚拟交换机， 与所述第一物理节点设备上搭建的虚拟 网桥和虚拟防火墙进行 连接； 其中， 所述第一物理节点设备上搭建的虚拟网桥， 用于在同一安全域内进行访 问控制； 所述 第一物理节点设备上搭建的虚拟防火墙， 用于在不同安全域内进行访问控制； 所述第一物 理节点设备上搭建的虚拟交换机， 用于在所述第一物理节点设备与其它物理节点设备之间 进行通信服 务； 其中： 所述虚拟网桥， 其是Linux虚拟网桥， 用于 同一安全域的接入管理， 实现不同业务域的 天然隔离； 所述虚拟交换机， 其是采用软件定义网络技术的open  vswitch虚拟交换机， 通过虚拟 交换机实现大规模的网络连接， 以及跨宿主机上的各种资源的无缝接入， 同时实现基于 Linux虚拟网桥的流 量策略； 所述虚拟防火墙， 实现路由控制和访 问控制， 加载高阶下一代防火墙的攻击防御和审 计策略。 2.根据权利要求1所述的系统， 其特征在于， 所述第一物理节点设备上搭建的虚拟网 桥， 具体用于实现同一安全域内的各个虚拟机之间的内部通讯， 以及， 实现基于同一安全域 内的各个虚拟机IP地址的访问控制。 3.根据权利要求1所述的系统， 其特征在于， 所述至少一个物理节点设备中包括第 二物 理节点设备； 所述第二物理节点设备上的虚拟机， 用于通过获取所述第 一物理节点设备上搭建的虚 拟网桥的网桥编码， 加入所述第一物理节点设备 上的该虚拟网桥对应的安全域。 4.根据权利要求1 ‑3任一项所述的系统， 其特征在于， 所述系统还包括控制管理节点设 备； 所述控制管理节点设备， 通过物理 交换机与物理节点设备进行 连接； 所述控制管理节点设备， 用于对物理节点设备上搭建的虚拟交换机、 虚拟网桥、 以及虚 拟防火墙进行信息管理。 5.根据权利要求4所述的系统， 其特征在于， 所述第 一物理节点设备上搭建的虚拟交换 机， 具体用于基于所述控制管 理节点设备预先收集的流表内容， 实现 网络流量转发控制， 其 中， 所述流表内容包括所述网络靶场中的虚拟 机和虚拟防火墙各自对应的IP地址、 MAC地址 和VLAN编码。 6.一种网络靶场安全管控方法， 其特征在于， 所述方法应用于一种网络靶场安全管控 系统， 所述系统包括网络靶场中的至少一个物理节点设备； 所述至少一个物理节点设备中 包括第一物理节点设备； 所述第一物理节点设备上搭建了属于同一安全域或不同安全域的 虚拟机； 所述第一物理节点设备上 的属于同一安全域内的各个虚拟机、 与所述第一物理节 点设备上针对该安全域搭建的虚拟网桥进 行连接； 所述第一物理节点设备上搭建的虚拟交 换机， 与所述第一物理节点设备 上搭建的虚拟网桥和虚拟防火墙进行 连接； 所述方法包括：权　利　要　求　书 1/2 页 2 CN 114422196 B 2利用所述第一物理节点设备 上搭建的虚拟网桥， 在同一 安全域内进行访问控制； 利用所述第一物理节点设备 上搭建的虚拟防火墙， 在不同安全域内进行访问控制； 利用所述第 一物理节点设备上搭建的虚拟交换机， 在所述第 一物理节点设备与其它物 理节点设备之间进行通信服 务； 其中： 所述虚拟网桥， 其是Linux虚拟网桥， 用于 同一安全域的接入管理， 实现不同业务域的 天然隔离； 所述虚拟交换机， 其是采用软件定义网络技术的open  vswitch虚拟交换机， 通过虚拟 交换机实现大规模的网络连接， 以及跨宿主机上的各种资源的无缝接入， 同时实现基于 Linux虚拟网桥的流 量策略； 所述虚拟防火墙， 实现路由控制和访 问控制， 加载高阶下一代防火墙的攻击防御和审 计策略。 7.根据权利要求6所述的方法， 其特征在于， 所述利用所述第 一物理节点设备上搭建的 虚拟网桥， 在同一 安全域内进行访问控制， 包括： 利用所述第 一物理节点设备上搭建的虚拟网桥， 实现同一安全域内的各个虚拟机之间 的内部通讯， 以及， 实现基于同一 安全域内的各个虚拟机IP地址的访问控制。 8.根据权利要求6所述的方法， 其特征在于， 所述至少一个物理节点设备中包括第 二物 理节点设备； 所述方法还 包括： 利用所述第 二物理节点设备上的虚拟机， 通过获取所述第 一物理节点设备上搭建的虚 拟网桥的网桥编码， 加入所述第一物理节点设备 上的该虚拟网桥对应的安全域。 9.根据权利要求6 ‑8任一项所述的方法， 其特征在于， 所述系统还包括控制管理节点设 备； 所述控制管理节点设备， 通过物理 交换机与物理节点设备进行 连接； 所述方法还 包括： 利用所述控制管理节点设备， 对物理节点设备上搭建的虚拟交换机、 虚拟网桥、 以及虚 拟防火墙进行信息管理。 10.根据权利要求9所述的方法， 其特征在于， 所述利用所述第一物理节点设备上搭建 的虚拟交换机， 在所述第一物理节点设备与其它物理节点设备之间进行通信服 务， 包括： 利用所述第 一物理节点设备上搭建的虚拟交换机， 基于所述控制管理节点设备预先收 集的流表内容， 实现 网络流量转发控制， 其中， 所述流表内容包括所述网络靶场中的虚拟机 和虚拟防火墙各自对应的IP地址、 MAC地址和VLAN编码。权　利　要　求　书 2/2 页 3 CN 114422196 B 3