云ids的设计方案

最新推荐文章于 2024-02-05 08:09:31 发布
最新推荐文章于 2024-02-05 08:09:31 发布
阅读量583 收藏
点赞数
分类专栏: 虚拟化
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/laing92/article/details/106844555
版权

概述

为了搭建云IDS平台,需要选型合适的虚拟化方案,以及对相应部署做一定的优化。基本设计架构为,在以Centos操作系统安装的宿主机中再部署IDS虚拟机(基于Centos操作系统)。

本设计文档所述的设计方案,基于以下环境:

  1. Intel x86架构的cpu,支持intel VT和VT-d
  2. BIOS中enable VT和VT-d
  3. BIOS中建议开启Intel Hyper-Threading Tech
  4. 使用kvm虚拟化
  5. 宿主机和IDS虚拟机为Centos7.2操作系统
  6. 宿主机操作系统内核使用Linux内核3.18.24

设计方案

本次选择的技术和方案如下:

  1. 使用libvirt和virsh管理套件管理虚拟机
  2. 使用virtio半虚拟化方案提升性能
  3. 使用网卡透传方式提升流量接入性能
  4. 通过把虚拟机中指定的vcpu绑定到指定的物理cpu核上,提升cpu性能

内核模块配置

宿主机环境是Linux内核3.18.24,为了支持后续部署的IDS虚拟机所需的一些功能,需要修改内核中的配置选项,并重新编译内核。
主要内核的配置选项如下:

  1. 需要开启的VIRTIO相关模块

CONFIG_VIRTIO_BLK=m
CONFIG_SCSI_VIRTIO=m
CONFIG_VIRTIO_NET=m
CONFIG_VIRTIO=m
CONFIG_VIRTIO_PCI=m
CONFIG_VIRTIO_BALLOON=m

  1. 需要开启Intel_IOMMU

CONFIG_INTEL_IOMMU=y

  1. 开启vfio模块

CONFIG_VFIO_IOMMU_TYPE1=m
CONFIG_VFIO=m
CONFIG_VFIO_PCI=m
CONFIG_VFIO_PCI_VGA=y
CONFIG_KVM_VFIO=y

  1. 压缩内核

为了减小内核的大小,开启内核中对模块进行压缩的操作。
CONFIG_MODULE_COMPRESS=y
# CONFIG_MODULE_COMPRESS_GZIP is not set
CONFIG_MODULE_COMPRESS_XZ=y

以下就是对内核的编译和安装了。

虚拟化技术选型

透传网卡

为了让部署在宿主机中的IDS虚拟机可以更好的接入数据流量,需要把宿主机中一定数量的网卡透传给IDS虚拟机。

PCI网卡透传的条件
  1. 确认在BIOS中打开了硬件辅助虚拟化功能支持

在BIOS中查看VT(VT-X)及VT-d,设置为enable

  1. 确认内核集成vfio、DMAR、IOMMU模块


IOMMU模块会把设备的I/O地址重映射为内存物理地址,运行在CPU上的操作系统以互斥的方式管理MMU与IOMMU。

设置指定网卡透传给IDS
  1. IOMMU_group分组

IOMMU模块会把所有网卡分成不同的IOMMU_group管理,每个IOMMU_group下会有一个或者多个网卡设备。查看网卡设备属于哪个IOMMU_group,可以通过网卡的PCI地址,查看如下:

如上可以查看到网卡当前使用的驱动为igb,iommu_group为6。

  1. PCI网卡透传

网卡透传通过编辑创建IDS虚拟机的配置文件的方式,在使用virsh define创建虚拟机时实现。
在设置透传的网卡时,同一个IOMMU_group中的网卡不能有些透传,有些没有透传,透传后的网卡驱动会绑定为vfio-pci驱动如下:

  1. 网卡透传后

根据iommu_group选择需要透传的网卡。比如:如果透传iommu_group号为1和7的网卡,在透传完成后,会在系统的/dev/vfio中生成如下文件:

virtio半虚拟化

为了增加IDS虚拟机的运行性能,使用virtio虚拟化方案,主要使用以下相关功能:

  1. 使用virtio_balloon驱动,实现内存的高效利用
  2. 使用virtio-net,提升网络性能
  3. 使用vhost-net提升网络性能。

结束语

关于虚拟化的技术点有很多,本文只是一个简单的设计思路,以后还需要继续深入学习。

梦之痕bhl
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
网络入侵检测IDS解决方案.docx
10-23
网络入侵检测IDS解决方案.docx
【Microsoft Azure 的1024种玩法】二十九.基于Azure VM快速实现网络入侵检测 (IDS) 及网络安全监视 (NSM)
一只特立独行的兔先森
05-01 3065
数据包捕获是一个重要组件,可以实施网络入侵检测系统 (IDS) 并执行网络安全监视 (NSM)。 我们可以借助开源 IDS 工具来处理数据包捕获,并检查潜在网络入侵和恶意活动的签名。 使用网络观察程序提供的数据包捕获,可以分析网络中是否存在任何有害入侵或漏洞,Suricata 就是这样的一种开源工具,它是一个 IDS 引擎,可使用规则集来监视网络流量,每当出现可疑事件时,它会触发警报。 Suricata 提供多线程引擎,意味着它能够以更高的速度和效率执行网络流量分析,在本文中将会介绍到如何使用Suricat
如何在环境中部署入侵检测和预防系统(IDS/IPS)?
图幻未来的博客
02-05 713
通过引入的先进理念和方法, 能够更好地满足环境下安全需求的变化和提高安全管理的水平. 通过实施基于的威胁情报服务并结合深度包检测技术等创新方法可以实现更高效准确的入侵监测和防范体系构建. 同时还需要注意成本控制和优化规则集的维护等方面的工作从而实现环境下的入侵检测和防御系统的可持续发展.3. **隐私和数据加密要求**: 客户的数据可能涉及到敏感信息和企业机密, 因此, IDS/IPS 应满足相应的法律法规要求和行业最佳实践以确保数据的保密性与完整性.
计算中IDS是什么?
qfyangsheng的博客
08-13 432
计算中IDS是什么?其实指的就是端的统一身份认证系统。端包含很多应用系统,而且租户的家目录还要漫游,登录端时只需一次验证,之后就可以进入任何有权进入的应用系统。 统一身份认证与单点登录是同一个概念。如果没有统一身份认证,那么你进入任何一个应用系统都要求输入账号和密码,这样一方面难以记住众多的账号和密码,另一方面使用端资源很烦琐。 对于端应用系统的访问控制,通常分为三个层面: 认证:解决能否进入的问题。 授权:解决进入后能做什么的问题。 记账:解决做了事情后就要承担相应责..
一次centos7、centos8编译内核后重启老是卡死案例分析
dongzhiyan_hjp
12-31 2534
centos7、centos8编译内核后重启老是卡死
基于的入侵检测系统
09-08
这是一个对于基于系统的心得入侵检测模型
linux kernel —— kernel.ko 移至 kernel.ko.xz
wozaiyizhideng的博客
08-18 3439
1. 编译内核 enable CONFIG_MODULE_COMPRESS CONFIG_MODULE_COMPRESS_GZIP or CONFIG_MODULE_COMPRESS_XZ 2. make modules_install [root@localhost ~]# ls /lib/modules/3.10.0-1062.el7.x86_64/kernel/crypto/ algif_rng.ko.xz cast_common.ko.xz d...
什么是AEAD加密
心梦无痕
01-19 9002
Authenticated Encryption with Associated Data (AEAD) 是一种同时具备保密性,完整性和可认证性的加密形式。 AEAD 产生的原因很简单,单纯的对称加密算法,其解密步骤是无法确认密钥是否正确的。也就是说,加密后的数据可以用任何密钥执行解密运算,得到一组疑似原始数据,而不知道密钥是否是正确的,也不知道解密出来的原始数据是否正确。 因此,需要在单纯的...
AEAD(Authenticated Encryption with Associated Data) 认证加密之 AES-GCM
西京刀客
06-09 3884
结论:AEAD模式是一个密码学的规范和标准。它定义了一种同时提供认证和加密的算法模式,已经被广泛采用于各种主流的安全通讯协议和标准中。
实验9-10 在Windows下搭建入侵检测平台
YkingH的博客
04-28 3229
掌握在Windows中搭建基于snort的入侵检测系统(IDS),熟悉简单的配置方法,能够使用IDS检测并分析网络中的数据流。Snort是一个强大的基于误用检测的轻量级网络入侵检测系统,它具有实时数据流量分析和日志IP网络数据包的能力,能够进行协议分析,对内容进行搜索/匹配。它能够检测各种不同的攻击方式,对攻击进行实时警报。
NSX分布式IDS IPS技术方案介绍.pptx
10-10
NSX分布式IDS IPS技术方案介绍.pptx
NSX分布式IDS IPS技术方案介绍.pdf
10-10
NSX分布式IDS IPS技术方案介绍.pdf
IDS.rar_ids
09-20
this code is intrusion detection and prevention system.
一种基于网络处理器的IDS设计方案.pdf
09-30
一种基于网络处理器的IDS设计方案.pdf
基于matlab实现实现了基于项目的协同过滤代码,MATLAB实现.rar
05-04
基于matlab实现实现了基于项目的协同过滤代码,MATLAB实现.rar
各地区年末城镇登记失业人员及失业率.xls
最新发布
05-05
数据来源:中国劳动统计NJ-2023版
企业固定资产信息管理系统设计与实现.doc
05-04
企业固定资产信息管理系统设计与实现.doc
node-v11.14.0-darwin-x64.tar.xz
05-04
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
写一个关于zabbix靶场的设计方案
04-21
关于Zabbix靶场的设计方案,我可以为您提供一些建议。Zabbix靶场可以采用虚拟化技术,将各种系统和服务虚拟化为一个环境,方便用户进行安全测试和漏洞检测。同时,可以在此环境中添加各种安全防护机制,如IDS/IPS、...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值