(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111357063.9 (22)申请日 2021.11.16 (71)申请人 北京宏达隆和科技有限公司 地址 100007 北京市东城区安定门东大街 28号1号楼B单 元608号 (72)发明人 袁建国　陈诚　 (74)专利代理 机构 长沙智德知识产权代理事务 所(普通合伙) 43207 代理人 段芳萼 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种基于网络端口安全的微隔离系统 (57)摘要 本发明属于网络安全 领域， 具体公开了一种 基于网络端口安全的微隔离系统， 包括微隔离系 统和微隔离插件， 所述微隔离插件安装在宿主机 或物理主机上， 其具有定时检查任务， 由微隔离 系统下发指令到安装在宿主机或物理主机上的 微隔离插件， 微隔离插件通过控制软件防火墙来 控制宿主机 上的某个端口， 只对指定的IP地址开 放， 监控当前宿主机及宿主机内虚拟机的外部IP 地址， 进而实现微隔离效果。 安装微隔离插件， 增 加定时任务， 监控当前宿主机及宿主机内虚拟机 的外部IP地址的方式去解决虚拟机IP地址飘移 的问题， 利用微隔离系统对该违规访问端口行为 进行实时隔离阻断， 有效避免网络服务中面临的 攻击风险扩散， 从而达到按威胁区域进行隔离的 目的。 权利要求书1页 说明书4页 附图3页 CN 114070622 A 2022.02.18 CN 114070622 A 1.一种基于网络端口安全的微隔离系统， 其特征在于， 包括微隔离系统和微隔离插件， 所述微隔离插件安装在宿主机或物理主机上， 其具有定时检查任务， 由微隔离系统下发指 令到安装在宿主机或物理主机上的微隔离插件， 微隔离插件通过控制软件防火墙来控制宿 主机上的某个端口， 只对指定的IP地址开放， 监控当前宿主机及宿主机内虚拟机的外部IP 地址， 进而实现微隔离效果； 具体微隔离实施流 程如下： S1、 通过微隔离系统， 下发隔离指令 到宿主机的微隔离插 件中； S2、 微隔离插 件收到指令， 执 行隔离， 并返回结果； 具体通过如下步骤实现： S21、 在每台宿主机上安装好 微隔离插 件， 由微隔离系统广播指令 到所有微隔离插 件； S22、 微隔离插件， 对比指令中的服务端IP地址与 服务器本机及内部虚拟机的外部IP地 址是否一 致， 从而判断是否应该在本 机防火墙执 行隔离指令； S23、 确定需要执 行后， 执行隔离指令； S24、 返回操作结果给微隔离系统； S25、 微隔离插 件定时， 检查 IP地址变化； S26、 若检查的IP地址有变化则通知微隔离系统； S27、 微隔离系统根据IP变化重新下发隔离指令 S28、 微隔离插 件执行指令进行隔离； S29、 返回执 行结果。 2.根据权利要求1所述的一种基于网络端口安全的微隔离系统， 其特征在于步骤： S24 中， 不管有无 执行隔离指令， 均返回操作结果给微隔离系统。 3.根据权利要求1所述的一种基于网络端口安全的微隔离系统， 其特征在于： 当微隔离 插件在微隔离系统启动时， 通过TCP长连接， 登陆注册到微隔离系统， 并定时发送带状态的 心跳信息， 从而实现监控所有微隔离插 件在线情况的效果。 4.根据权利要求3所述的一种基于网络端口安全的微隔离系统， 其特征在于： 在长连接 的整个通信过程中， 所有数据包都是使用不对称加密的， 防止窃听。 5.根据权利要求1所述的一种基于网络端口安全的微隔离系统， 其特征在于： 所述微隔 离插件使用GO语言实现， 适应安装在不同的操作系统中。 6.根据权利要求1所述的一种基于网络端口安全的微隔离系统， 其特征在于： 所述微隔 离系统的操作界面为一个SAAS服务， 即web界面， 从而实现一次部署， 多终端机马上可用的 效果。权　利　要　求　书 1/1 页 2 CN 114070622 A 2一种基于网 络端口安全的微隔 离系统 技术领域 [0001]本发明涉及网络安全领域， 具体为 一种基于网络端口安全的微隔离系统。 背景技术 [0002]随着云计算、 虚拟化技术的快速发展， 越来越多企业将数据与业务迁移到横跨物 理机、 公有云、 私有云、 混合云等多种数据中心环境， 在云环境下网络边界变得模糊， 当攻击 者有机会拿到内网一个跳板机， 结果发现内网网络基本是畅通无阻的， 传统防火墙、 WAF、 IPS等端点安全和网络安全手段在云环境下显得捉襟见肘。 [0003]面向网络 的微隔离控制， 通过对网络内部流量进行全面精细的可视化分析， 监控 网络端口活动， 依据细粒度的安全访问策略， 帮助用户快速便捷地 实现不同业务环境隔离、 不同域间网络隔离以及端到端隔离， 解决东西向流量的安全访问及管理问题。 现有的微隔 离技术主要是分为硬件及软件 插件式两种微隔离系统。 [0004]传统的采用硬件防火墙的方式进行网络安全隔离， 主 要存在以下问题： 1、 当前网络中品质好的硬件防火墙价格一 直比较高， 导 致采购和维护成本增 加。 [0005]2、 由于网络 本身原因， 网络节点复杂， 针对硬件防火墙的部署也具 备较高的难度。 [0006]3、 由于厂家或型号并不一致， 硬件防火墙改变策略时， 隔离的逻辑思路 （例如： 一 些是默认隔离， 一些 是默认开 放） 及指令和操作方式并不相同。 [0007]4、 升级困难， 如以前是100M网卡现在是10G的网卡， 网络设备会不断升级换代， 如 果使用硬件防火墙， 相关 设备也需要批量升级， 导 致网络升级成本大幅上升 。 [0008]5、 历史原因导致硬件防火墙功能不统一。 例如， 一些防火墙只能做到主机粒度的 隔离， 一些则可以做到端口粒度的隔离 。 （微隔离的要求是端口级别的隔离） 6、 操作困难， 培训成本高， 操作人员需要学习， 大量不同厂家的专业知识， 才能把 不同的软硬件防火墙操作起 来。 [0009]7、 虚拟机IP飘移问题， 由于把虚所机从A宿主机上， 迁移到B宿主机上， 而A,B宿主 机并不在同一防火墙 硬件中， 从而导 致防火墙隔离失效。 [0010]后期进一步发展了插件式软件防火墙隔离， 虽然插件式软件防火墙改进了硬件防 火墙不灵活的部题， 但上述问题仍然存在。 发明内容 [0011]本发明的目的在于提供一种基于网络端口安全的微隔离系统， 以解决上述背景技 术中提出的问题。 [0012]为实现上述目的， 本发明提供如下技术方案： 一种基于网络端口安全的微隔离系 统， 包括微隔离系统和微隔离插件， 所述微隔离插件安装在宿主机或物理主机上， 其具有定 时检查任务， 由微隔离系统下发指令到安装在宿主机或物理主机上 的微隔离插件， 微隔离 插件通过控制软件防火墙来控制宿主机上的某个端口， 只对指定的IP地址开放， 监控当前 宿主机及 宿主机内虚拟机的外 部IP地址， 进 而实现微隔离效果； 具体微隔离实施流 程如下：说　明　书 1/4 页 3 CN 114070622 A 3