[发明专利]一种内网横向微隔离的边缘计算网关架构及其微隔离方法

说明书

本发明提供一种内网横向微隔离的边缘计算网关架构及其微隔离方法。边缘计算网关架构具体为：硬件部分包括集成了的网络交换单元和处理器单元的边缘计算网关芯片；软件部分部署于处理器单元，包括运行有边缘计算网关系统的系统层以及部署于边缘计算网关系统内核的网卡驱动模块、网络层和内网通信报文识别模块，网络层用于对边缘计算网关芯片的多个网口进行配置以使内网横向通信数据包流经边缘计算网关系统内核，内网通信报文识别模块用于对内网横向通信数据包进行识别，以实现内网横向攻击的检测及防护。根据本发明能够解决现有的边缘计算网关架构因现有的专业网络安全产品不适于在物联网边缘计算层广泛部署而不具备内网微隔离安全防护能力的问题。

技术领域

本发明属于边缘计算网关安全防护领域，更具体地，涉及一种内网横向微隔离的边缘计算网关架构及其微隔离方法。

背景技术

边缘计算网关是具有边缘计算能力的物联网网关，用于将云端功能扩展到本地的边缘设备，使边缘设备能够快速自主地响应本地事件，提供低延时、低成本、隐私安全、本地自治的本地计算服务。由于边缘计算网关通常部署于户外、交通、工厂和矿地等环境恶劣的应用场景，现有的边缘计算网关普遍使用对应用场景适应能力强的集成网络功能和计算功能的专用型集成芯片来做主芯片。

现有的边缘计算网关方案通常以业务和功能为主，较少考虑网络安全防护问题，基本不具备针对内网横向攻击的微隔离安全防护能力，其原因在于：现有能够提供内网微隔离安全防护服务的产品主要包括高性能防火墙、IPS系统、IDS系统和UTM系统等专业网络安全产品。

其中，高性能防火墙、IDS系统和UTM系统均需要部署在网络拓扑的中心层的网络出入口，通常为1U到4U大小尺寸的设备，设备方案重且价格高昂，无法普及至边缘层。

而对于IPS系统这类旁路式深度流量检测设备，一方面，其虽然可以识别到内网攻击并报警，但无法直接进行阻断，难以及时进行有效防护。另一方面，市面上的这类设备实现内网微隔离防护的方式是基于其一个网口对应一个网卡处理芯片的硬件架构基础，在网络流经设备的入口处即做了物理隔离，使内网横向流量必须流经以CPU为主算力的Linux系统中，内网通信协议的识别和检测自然可以在Linux系统中进行。然而，上述硬件架构难以在物联网边缘计算层广泛实现，这是由于该硬件架构大量使用独立网卡芯片，相对于集成网络交换功能的专业通信集成芯片而言，独立网卡芯片的功耗高且成本高，不适合在物联网边缘计算层大量部署。

发明内容

本发明的目的在于解决现有的边缘计算网关架构因现有的专业网络安全产品不适于在物联网边缘计算层广泛部署而不具备内网微隔离安全防护能力的问题。

为了实现上述目的，本发明提供一种内网横向微隔离的边缘计算网关架构及其微隔离方法。

根据本发明的第一方面，提供一种内网横向微隔离的边缘计算网关架构，该边缘计算网关架构包括硬件部分和软件部分；

所述硬件部分包括边缘计算网关芯片，所述边缘计算网关芯片包括集成设置的网络交换单元和处理器单元，所述网络交换单元具有多个网口；

所述软件部分运行于所述处理器单元之上，包括：

系统层，运行有基于Linux的边缘计算网关系统；

网卡驱动模块，部署于所述边缘计算网关系统的内核，用于驱动所述边缘计算网关芯片；

网络层，部署于所述边缘计算网关系统的内核，用于将所述多个网口之中的至少一个网口配置为WAN口，将其余的网口分别配置为独立的VLAN口，并挂载到同一个网桥中；

内网通信报文识别模块，部署于所述边缘计算网关系统的内核，用于判断经每个VLAN口流入的内网通信报文是否合法，若是，放行该内网通信报文，若否，基于预先配置的内网横向攻击防护策略对该内网通信报文进行处理，并上报处理结果，所述处理结果包括丢弃、阻断和放行；