CN106161399B - 一种安全服务交付方法及系统 - Google Patents
一种安全服务交付方法及系统 Download PDFInfo
- Publication number
- CN106161399B CN106161399B CN201510191310.0A CN201510191310A CN106161399B CN 106161399 B CN106161399 B CN 106161399B CN 201510191310 A CN201510191310 A CN 201510191310A CN 106161399 B CN106161399 B CN 106161399B
- Authority
- CN
- China
- Prior art keywords
- service
- equipment
- safety equipment
- security
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
- H04L63/0218—Distributed architectures, e.g. distributed firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0464—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload using hop-by-hop encryption, i.e. wherein an intermediate entity decrypts the information and re-encrypts it before forwarding it
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Telephonic Communication Services (AREA)
Abstract
本申请提供一种安全服务交付方法及系统,其中方法包括:接收对目标流量提供安全服务的服务请求,所述服务请求携带安全服务信息;根据所述安全服务信息,确定为所述目标流量提供安全服务的安全设备,并分别确定所述安全设备中的各安全设备的第一服务配置信息及下一跳信息;将所述各安全设备的第一服务配置信息及下一跳信息分别配置到对应的安全设备,以使得所述各安全设备根据自身配置的第一服务配置信息为所述目标流量提供安全服务,根据自身配置的下一跳信息转发所述目标流量。本申请实现了安全服务的自动化部署。
Description
技术领域
本申请涉及网络技术,特别涉及一种安全服务交付方法及系统。
背景技术
随着云计算技术的发展,用户可以使用云中的网络安全资源处理自己的业务流量,不同的租户共享云计算的基础设施(例如,服务器、网关等设备);同时,由于不同租户的业务应用对于安全防护有不同的需求,导致租户在选择定义云安全服务时也存在个性化差异,例如,有的租户应用需要使用防火墙,有的租户应用需要使用负载均衡等,此时需要一套科学的流程和方法来定义这种安全即服务的自动化交付模型。
发明内容
本申请提供一种安全服务交付方法及系统,以实现安全服务的自动化部署。
具体地,本申请是通过如下技术方案实现的:
第一方面,提供一种安全服务交付系统,包括:安全云服务模块,安全控制中心模块和设备配置模块;
所述安全云服务模块,用于接收对目标流量提供安全服务的服务请求,所述服务请求携带安全服务信息,并将所述安全服务信息发送至所述安全控制中心模块;
所述安全控制中心模块,用于根据所述安全服务信息确定为所述目标流量提供安全服务的安全设备,并分别确定所述安全设备中的各安全设备的第一服务配置信息及下一跳信息,将所述各安全设备的第一服务配置信息及下一跳信息发送至所述设备配置模块;
所述设备配置模块,用于将所述各安全设备的第一服务配置信息及下一跳信息分别配置到对应的安全设备,以使所述各安全设备根据自身配置的第一服务配置信息为所述目标流量提供安全服务,根据自身配置的下一跳信息转发所述目标流量。
第二方面,提供一种安全服务交付方法,包括:
接收对目标流量提供安全服务的服务请求,所述服务请求携带安全服务信息;
根据所述安全服务信息,确定为所述目标流量提供安全服务的安全设备,并分别确定所述安全设备中的各安全设备的第一服务配置信息及下一跳信息;
将所述各安全设备的第一服务配置信息及下一跳信息分别配置到对应的安全设备,以使得所述各安全设备根据自身配置的第一服务配置信息为所述目标流量提供安全服务,根据自身配置的下一跳信息转发所述目标流量。
本申请实施例的安全服务交付方法及系统,通过由安全控制中心模块根据安全云服务模块接收的安全服务信息生成安全设备的配置信息,并通过设备配置模块将该配置信息下发到安全设备,使得定制安全服务的用户只需要在安全云服务模块定义自己所需的服务即可,该安全服务交付系统就能够实现用户定制的安全服务的交付,从而实现了安全服务的自动化部署。
附图说明
图1是一个例子中安全服务交付系统的架构图;
图2是一个例子中安全云服务模块的显示界面示意图;
图3是另一个例子中安全服务交付系统的架构图;
图4是一个例子中安全服务交付方法的流程图。
具体实施方式
本申请实施例提供了一种安全服务交付系统,该系统将“安全”作为一种服务提供给用户,是一种安全即服务(security-as-a-service,SaaS)的提供系统,用户在通过该系统为自己的业务应用流量定制安全服务时,只需要定义安全服务的服务类型、服务的带宽资源保障以及个性化的安全防护策略等安全服务信息,而不必关心提供该安全服务的设备部署。
图1示例了该安全服务交付系统的架构图,如图1所示,该系统可以包括:安全云服务模块11、安全控制中心模块12和设备配置模块13。而为本实施例的安全服务交付系统提供底层物理支撑的是安全设备14,图1所示的安全设备14可以包括多种类型和多个数量的设备,这些设备能够提供安全功能,例如,网关、转发器、智能终端等,比如,可以在网关上进行安全配置使其具有安全功能。本实施例所述的安全设备可以是物理设备,也可以是虚拟设备(例如,虚拟机);各个设备也可以分散部署在不同的位置。如图1所示,这些设备的配置可以由设备配置模块13统一管理,配置过程后续实施例将描述;可以将设备配置模块13及安全设备14统称为“安全资源池”。
其中,安全云服务模块11,用于接收对目标流量提供安全服务的服务请求,该服务请求包括:安全服务信息,并将该安全服务信息传输至安全控制中心模块12;
例如,安全云服务模块11相当于安全服务交付系统的门户,用户可以在该门户上定制自己所需要的安全服务的类型、策略等信息。参见图2的示例,例如,用户可以在终端设备(比如,电脑)上输入一个预定的站点地址www.cloudsecurity.com,进入到安全云服务模块11。图2仅是示例了该安全云服务模块可以显示的一部分内容,具体实施中的界面显示方式和内容可以自定义设定。例如,以三种类型的安全服务为例,界面中可以显示防火墙模块FW(Fire Wall)、负载均衡模块LB(Load Balancing)、以及入侵防御IPS(IntrusionPrevention System),供用户选择。例如,云计算的租户在申请公有云服务时,如果需要增加安全服务,则可以通过该安全云服务模块11对目标流量定制所需的云安全服务的安全服务信息。
在一个例子中,安全服务作为一种增值服务,用户可以灵活选择目标流量的范围,例如,用户可以对自己的全部业务流量都定制该安全服务;或者,用户也可以针对自己的某部分业务流量申请云安全服务。
在另一个例子中,用户所定制的安全服务的安全服务信息,例如可以包括:安全服务的类型。比如,用户可以通过图2所示的站点界面,选择FW服务,或者选择“FW和LB”服务,或者选择“IPS”服务,等,用户可以自由选择需要的安全服务的类型。又例如,对于某一类型的安全服务,用户还可以进一步细化该安全服务的服务策略。仍以防火墙服务为例,假设用户选择了FW服务,参见图2,当用户点击该服务模块时,界面中可以进一步显示该模块对应的内容,比如,该安全服务交付系统可以为FW服务提供三种可供用户选择的选项,包括:1G(吞吐量)/10万(并发量)/30条(策略数量);2G/50万/60条;10G吞吐/100万并发会话/100条安全策略。例如,用户选择了第三项即10G/100万/100条,则界面将进一步显示出供用户自定义策略的部分,该部分可以用于对上述“第三项策略”进行自定义,比如,用户可以设定防火墙对地址段(IP1-IP2)的报文拒绝通过,另一个地址段(IP3-IP4)的报文允许通过。此外,该FW模块还可以显示一些服务的资费信息,比如10G/100万/100条的服务如何收费。
在又一个例子中,用户所定制的安全服务的安全服务信息,可以包括:至少两个安全服务类型、各安全服务类型对应的服务策略以及该至少两个安全服务类型对应的服务顺序。例如,用户可以申请“FW和LB”服务,或者“FW、LB和IPS”服务,以用户同时申请上述三种安全服务为例,除了上面描述中提到的各安全服务的具体内容之外,用户还可以指定对目标流量执行各安全服务类型的服务顺序,比如先对目标流量进行FW,再执行LB,最后执行IPS;或者,先对目标流量执行LB,再执行FW,然后执行IPS。即用户可以自定义目标流量享受各个安全服务的顺序。
具体实施中,安全云服务模块11接收的安全服务的安全服务信息,不局限于上述提及到的内容,可以根据实际提供的安全服务的类型灵活设定。在安全云服务模块11接收服务信息之后,可以将该服务信息传输至安全控制中心模块12,例如,可以通过Restful消息传输服务信息。
安全控制中心模块12,用于根据安全服务信息,确定为目标流量提供安全服务的安全设备,并分别确定为目标流量提供安全服务的各安全设备的第一服务配置信息及下一跳信息;安全控制中心模块12还将确定的为目标流量提供安全服务的各安全设备的第一服务配置信息及下一跳信息发送至设备配置模块13。
安全控制中心模块12相当于本实施例的安全服务交付系统的核心管理模块,其可以为用户在安全云服务模块11定制的安全服务,分配安全设备,确定各分配的安全设备的第一服务配置信息,并设计对应的流量转发路径。
需要说明的是,由于业务流量都会经过组网中的汇聚设备或核心设备,因此可在目标流量到达汇聚设备或核心设备时,将目标流量引流至安全设备。相应的,安全控制中心模块12还需要确定汇聚设备或核心设备的下一跳信息,该下一跳信息用于指示目标流量的下一跳为第一个需要经过的安全设备。另外,在目标流量经过最后一个安全设备后,可以返回汇聚设备或核心设备,也可以返回目标流量原有路径上的下一跳设备,因此安全控制中心模块12确定目标流量经过的最后一个安全设备的下一跳信息用于指示目标流量的下一跳为汇聚设备或核心设备或目标流量原有路径上的下一跳设备。
例如,用户要求10G吞吐/100万并发会话/100条安全策略的FW服务,100M/10万并发的IPS服务,1G吞吐/50个VIP虚服务的LB服务,未指定服务顺序,那么安全控制中心模块12在接收到对应于上述要求的安全服务信息后,查看哪些安全设备具有提供该用户要求的服务的能力。
假设安全控制中心模块12确定设备A可提供100M/10万并发的IPS服务,设备B可提供10G吞吐/100万并发会话/100条安全策略的FW服务,设备C提供1G吞吐/50个VIP虚服务的LB服务,则确定目标流量要流经的设备包括:设备A、设备B和设备C。由于用户未指定服务顺序,因此安全控制中心模块12可以任意确定服务顺序,或根据预设的规则确定服务顺序。假定安全设备只是目标流量的流量路径中的其中一部分设备,比如目标流量的整体的流量路径为“设备F——设备D——设备C——设备A——设备B——设备G——设备W”,在这个路径中,设备A、设备B和设备C为安全资源池中的安全设备,其他设备为非安全设备,其中,设备D为汇聚设备或核心设备。为了将目标流量引导至设备C,安全控制中心模块12可以确定路径上位于设备C的前一个设备(即设备D)的下一跳信息用于指示目标流量的下一跳为设备C;设备C的下一跳信息指示目标流量的下一跳为设备A;设备C的第一服务配置信息包括:LB相关的配置信息;设备A的下一跳信息用于指示目标流量的下一跳为设备B;设备A的第一服务配置信息包括:IPS相关的配置信息;设备B的下一跳信息用于指示目标流量的下一跳为设备G或设备D;设备A的第一服务配置信息包括:IPS相关的配置信息。即在下一跳信息和第一服务配置信息配置到各安全设备上之后,就可以引导用户的目标流量依次流经安全资源池中的各个安全设备,享受到安全设备提供的安全服务。各个安全设备例如可以通过隧道技术将目标流量引导至下一跳设备。
在另一例子中,安全控制中心模块12在确定目标流量的流量路径时,还可以结合考虑安全云服务模块11接收到的多种安全服务的提供顺序,设定符合该提供顺序限定的流量路径。比如,当安全云服务模块11接收到的安全服务信息包括:至少两个安全服务类型、各安全服务类型对应的服务策略以及至少两个安全服务类型对应的服务顺序时,安全控制中心模块12可以按照如下方式进行:首先可以根据至少两个安全服务类型、各安全服务类型对应的服务策略确定为目标流量提供安全服务的安全设备以及各安全设备的第一服务配置信息,比如确定在设备A提供IPS,在设备B提供FW,在设备C提供LB;接着,根据服务顺序以及上述确定的各安全设备的第一服务配置信息确定各安全设备的下一跳信息,假设用户指定的服务顺序是“FW——IPS——LB”,并结合上述确定的“在设备A提供IPS,在设备B提供FW,在设备C提供LB”,则可以确定流量路径为“目标流量先经过设备B,再经过设备A,最后流经设备C”,即设备B的下一跳信息用于指示目标流量的下一跳是设备A,设备A的下一跳信息用于指示目标流量的下一跳是设备C。此外,用于引导目标流量至安全设备的汇聚设备或核心设备的下一跳信息及路径上最后一个安全设备(即设备A)的下一跳信息的确定过程,可以参见上面例子。
此外,由于安全云服务模块11接收到的安全服务信息,可能是文本字符串或XML格式的信息,比如图2中界面示例的信息样式,这些信息不能直接配置到安全设备上,安全设备通常会具有自己的服务配置标准接口。因此,安全控制中心模块12还用于根据安全服务信息进行格式转换,转换成用于配置安全设备提供安全服务的第一服务配置信息。例如,假设安全控制中心模块12接收到的服务信息中包括:FW服务要配置的其中一条策略,IP1-IP2的报文拒绝,则可以将该信息转换成安全设备适用的标准配置格式,例如Set Rule=f(IP1,IP2,deny),这里仅是举例,具体的格式转换根据不同设备的规范执行。
安全控制中心模块12可以将确定的各个安全设备的第一服务配置信息和下一跳信息,通过Netconf消息的格式,传输至设备配置模块13。安全控制中心模块12可以将确定的汇聚设备或核心设备的下一跳信息,通过Netconf消息的格式,传输至设备配置模块13。
设备配置模块13用于将各安全设备的第一服务配置信息和下一跳信息分别配置到对应的安全设备上,以使得安全设备根据第一服务配置信息为目标流量提供安全服务,并根据下一跳信息进行目标流量引导。例如,设备配置模块13可以通过XML消息的格式下发到设备。
设备配置模块13还用于核心设备的下一跳信息配置到核心设备,以使核心设备根据核心设备的下一跳信息将目标流量发送至确定的安全设备;或者,将汇聚设备的下一跳信息配置到汇聚设备,以使汇聚设备根据汇聚设备的下一跳信息将目标流量发送至确定的安全设备。
在一个例子中,本实施例的安全服务交付系统还可以包括:安全云中心模块;参见图3的示例,系统还包括安全云中心模块15。安全设备在对目标流量提供安全服务时,可能会获得一部分未知流量,例如,安全设备通常是按照一些预定的规则来对报文进行处理,比如匹配某规则的报文允许通过,该规则即上述的以第一服务配置信息的方式下发到设备上,当安全设备找不到与报文匹配的规则时,该报文就属于未知流量,安全设备可以将该未知流量上送到安全云中心模块15,进行安全分析。
安全云中心模块15,可以对未知流量进行安全分析,例如可以依据安全云中心模块从云中的各个设备获取到的大数据(安全分析相关的数据,从中发现潜在的安全风险),分析该流量是否安全。如果该流量的分析结果具有漏洞利用风险,则可以根据分析结果更新特征库,该特征库中例如包括IPS服务所依据的特征(匹配特定特征的报文进行对应的处理),以使得提供IPS的安全设备根据该更新的特征库为目标流量提供安全服务。例如,安全云中心模块15可以将特征库的更新特征下发至安全设备,或者安全设备去安全云中心模块15获取。
在另一个例子中,安全云中心模块15对安全设备上报的未知流量分析后,可能会发现该流量存在高危安全风险,可能会导致严重的安全问题,如图4所示,则安全云中心模块15可以提取高风险流量的关键信息如IP地址来源等并生成安全策略(例如,该高风险流量的源IP段的报文不允许通过),并将该安全策略传输至安全控制中心模块12,由安全控制中心模块12将其下发到安全设备。
安全云中心模块15生成的安全策略,是经过大数据分析之后发现的安全风险,这些安全风险转化的安全策略,这些策略可以与安全云服务模块11接收的用户自定义的策略一起保护目标流量。此外,由于这是安全云中心模块15生成的全局风险策略,因此可以配置到所有的安全设备上(当然,各个安全设备也可以选择是否接收,如果安全设备选择不接受,那么安全云中心模块14可以不用下发到该设备),配置的方式同第一服务配置信息,这里可以是将安全策略转换成第二服务配置信息,再由设备配置模块13下发到安全设备。用户也可以选择不接受上述的安全云中心模块15生成的安全策略,比如可以通过安全云服务模块11指示,则安全控制中心模块12就不会将安全云中心模块15生成的安全策略转换成第二服务配置信息发送到设备配置模块13。
本实施例的安全服务交付系统,实现了“安全”服务由申请到配置的自动化流程,只要用户在门户的安全云服务模块定制了自己所需的安全服务,该系统就可以自动根据服务信息配置到安全设备上,从而引导用户指定的要求提供安全服务的目标流量流经安全资源池中的各个安全设备。这种方式提高了安全服务的交付效率,相对于运维人员根据服务信息分别配置各个安全设备,大大减少了运维人员的工作量。此外,本实施例的安全服务交付系统的架构具有较好的开放性,例如,不同厂商的安全设备只要符合标准协议就可以纳入安全资源池,该系统也可以灵活增加多种类型的安全服务,并展示给用户供用户选择。
图4示例了本申请实施例的安全服务交付系统执行的服务提供方法,如图4所示,可以包括:
401、接收对于目标流量提供安全服务的服务请求,所述服务请求携带安全服务信息;
402、根据所述安全服务信息,确定为所述目标流量提供安全服务的安全设备,并分别确定所述安全设备中的各安全设备的第一服务配置信息及下一跳信息;
403、将所述各安全设备的第一服务配置信息及下一跳信息分别配置到对应的安全设备,以使得所述各安全设备根据自身配置的第一服务配置信息为所述目标流量提供安全服务,根据自身配置的下一跳信息转发所述目标流量。
该方法的详细流程可以参见上述的实施例,通过该服务提供方法可以实现安全服务的自动交付。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (10)
1.一种安全服务交付系统,其特征在于,包括:安全云服务模块,安全控制中心模块和设备配置模块;
所述安全云服务模块,用于接收对目标流量提供安全服务的服务请求,所述服务请求携带安全服务信息,并将所述安全服务信息发送至所述安全控制中心模块;
所述安全控制中心模块,用于根据所述安全服务信息确定为所述目标流量提供安全服务的安全设备,并分别确定所述安全设备中的各安全设备的第一服务配置信息及下一跳信息,将所述各安全设备的第一服务配置信息及下一跳信息发送至所述设备配置模块;
所述设备配置模块,用于将所述各安全设备的第一服务配置信息及下一跳信息分别配置到对应的安全设备,以使所述各安全设备根据自身配置的第一服务配置信息为所述目标流量提供安全服务,根据自身配置的下一跳信息转发所述目标流量。
2.根据权利要求1所述的系统,其特征在于,所述安全服务信息包括:至少两个安全服务类型、各安全服务类型对应的服务策略及所述至少两个安全服务类型对应的服务顺序;
所述安全控制中心模块根据所述安全服务信息确定为所述目标流量提供安全服务的安全设备,并分别确定所述安全设备中的各安全设备的第一服务配置信息及下一跳信息,包括:
所述安全控制中心模块根据至少两个安全服务类型、各安全服务类型对应的服务策略确定为所述目标流量提供安全服务的安全设备,并分别确定所述安全设备中的各安全设备的第一服务配置信息,根据所述服务顺序和所述各安全设备的第一服务配置信息确定所述各安全设备的下一跳信息。
3.根据权利要求1所述的系统,其特征在于,所述安全控制中心模块还用于确定所述目标流量流经的核心设备或汇聚设备的下一跳信息,将所述核心设备或汇聚设备的下一跳信息发送至所述设备配置模块;
所述设备配置模块还用于将所述核心设备的下一跳信息配置到所述核心设备,以使所述核心设备根据所述核心设备的下一跳信息将所述目标流量发送至确定的安全设备;或者,所述设备配置模块还用于将所述汇聚设备的下一跳信息配置到所述汇聚设备,以使所述汇聚设备根据所述汇聚设备的下一跳信息将所述目标流量发送至确定的安全设备。
4.根据权利要求1-3任一所述的系统,其特征在于,所述系统还包括:安全云中心模块;
所述安全云中心模块,用于接收安全设备发送的在为目标流量提供安全服务时获得的未知流量,对所述未知流量进行分析,并根据分析结果更新特征库,以使得安全设备获取更新的特征库并利用更新的特征库为所述目标流量提供安全服务。
5.根据权利要求1-3任一所述的系统,其特征在于,所述系统还包括:安全云中心模块;
所述安全云中心模块,用于接收安全设备发送的在为目标流量提供安全服务时获得的未知流量,对所述未知流量进行分析得到安全策略;
所述安全控制中心模块,还用于接收所述安全云中心模块发送的所述安全策略,并根据所述安全策略确定第二服务配置信息,将所述第二服务配置信息发送至所述设备配置模块;
所述设备配置模块,还用于将所述第二服务配置信息配置到安全设备,以使安全设备根据所述第二服务配置信息提供安全服务。
6.一种安全服务交付方法,其特征在于,包括:
接收对目标流量提供安全服务的服务请求,所述服务请求携带安全服务信息;
根据所述安全服务信息,确定为所述目标流量提供安全服务的安全设备,并分别确定所述安全设备中的各安全设备的第一服务配置信息及下一跳信息;
将所述各安全设备的第一服务配置信息及下一跳信息分别配置到对应的安全设备,以使得所述各安全设备根据自身配置的第一服务配置信息为所述目标流量提供安全服务,根据自身配置的下一跳信息转发所述目标流量。
7.根据权利要求6所述的方法,其特征在于,所述安全服务信息包括:至少两个安全服务类型、各安全服务类型对应的服务策略及所述至少两个安全服务类型对应的服务顺序;
所述根据所述安全服务信息,确定为所述目标流量提供安全服务的安全设备,并分别确定所述安全设备中的各安全设备的第一服务配置信息及下一跳信息,包括:
根据至少两个安全服务类型、各安全服务类型对应的服务策略确定为所述目标流量提供安全服务的安全设备,并分别确定所述安全设备中的各安全设备的第一服务配置信息;
根据所述服务顺序和所述各安全设备的第一服务配置信息确定所述各安全设备的下一跳信息。
8.根据权利要求6所述的方法,其特征在于,还包括:
确定所述目标流量流经的核心设备或汇聚设备的下一跳信息;
将所述核心设备的下一跳信息配置到所述核心设备,以使所述核心设备根据所述核心设备的下一跳信息将所述目标流量发送至确定的安全设备;或者,将所述汇聚设备的下一跳信息配置到所述汇聚设备,以使所述汇聚设备根据所述汇聚设备的下一跳信息将所述目标流量发送至确定的安全设备。
9.根据权利要求6-8任一所述的方法,其特征在于,在将所述各安全设备的第一服务配置信息及下一跳信息分别配置到对应的安全设备之后,还包括:
接收安全设备发送的在为目标流量提供安全服务时获得的未知流量;
对所述未知流量进行分析,并根据分析结果更新特征库,以使得安全设备获取更新的特征库并利用更新的特征库为所述目标流量提供安全服务。
10.根据权利要求6-8任一所述的方法,其特征在于,在将所述各安全设备的第一服务配置信息及下一跳信息分别配置到对应的安全设备之后,还包括:
接收安全设备发送的在为目标流量提供安全服务时获得的未知流量,对所述未知流量进行分析得到安全策略;
根据所述安全策略确定第二服务配置信息,将所述第二服务配置信息配置到安全设备,以使安全设备根据所述第二服务配置信息提供安全服务。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510191310.0A CN106161399B (zh) | 2015-04-21 | 2015-04-21 | 一种安全服务交付方法及系统 |
| PCT/CN2016/079702 WO2016169472A1 (en) | 2015-04-21 | 2016-04-20 | Providing security service |
| US15/543,724 US20180007001A1 (en) | 2015-04-21 | 2016-04-20 | Providing security service |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510191310.0A CN106161399B (zh) | 2015-04-21 | 2015-04-21 | 一种安全服务交付方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106161399A CN106161399A (zh) | 2016-11-23 |
| CN106161399B true CN106161399B (zh) | 2019-06-07 |
Family
ID=57142827
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510191310.0A Active CN106161399B (zh) | 2015-04-21 | 2015-04-21 | 一种安全服务交付方法及系统 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20180007001A1 (zh) |
| CN (1) | CN106161399B (zh) |
| WO (1) | WO2016169472A1 (zh) |
Families Citing this family (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106685974A (zh) * | 2016-12-31 | 2017-05-17 | 北京神州绿盟信息安全科技股份有限公司 | 一种安全防护服务建立、提供方法及装置 |
| CN108667776B (zh) * | 2017-03-31 | 2022-02-22 | 中兴通讯股份有限公司 | 一种网络业务诊断方法 |
| CN107277039B (zh) * | 2017-07-18 | 2020-01-14 | 河北省科学院应用数学研究所 | 一种网络攻击数据分析及智能处理方法 |
| US10841238B2 (en) * | 2017-12-20 | 2020-11-17 | At&T Intellectual Property I, L.P. | Prioritized network based on service and user device |
| CN108063824A (zh) * | 2017-12-22 | 2018-05-22 | 云南天成科技有限公司 | 一种云服务系统及构建方法 |
| CN108984294B (zh) * | 2018-05-25 | 2022-03-29 | 中国科学院计算机网络信息中心 | 资源调度方法、装置及存储介质 |
| CN110545196A (zh) * | 2018-05-28 | 2019-12-06 | 华为技术有限公司 | 一种数据传输方法及相关网络设备 |
| CN109547437B (zh) * | 2018-11-23 | 2021-05-25 | 奇安信科技集团股份有限公司 | 一种安全资源池的引流处理方法及装置 |
| CN109802965B (zh) * | 2019-01-24 | 2022-09-20 | 新华三信息安全技术有限公司 | 一种自定义ips特征文件导入方法及装置 |
| CN110138760B (zh) * | 2019-05-08 | 2021-10-01 | 绿盟科技集团股份有限公司 | 一种安全服务的设置方法及装置 |
| CN111026525B (zh) * | 2019-10-30 | 2024-02-13 | 安天科技集团股份有限公司 | 云平台虚拟导流技术的调度方法及装置 |
| US11824645B2 (en) * | 2020-06-05 | 2023-11-21 | Mcafee, Llc | Agentless security services |
| CN115296921A (zh) * | 2022-08-19 | 2022-11-04 | 南方电网数字电网研究院有限公司 | 一种云安全资源池、物联网安全防护系统 |
| CN116418699A (zh) * | 2023-06-12 | 2023-07-11 | 北京天融信网络安全技术有限公司 | 云服务商网络安全能力评估系统、方法、设备及介质 |
| CN116760648B (zh) * | 2023-08-22 | 2023-11-17 | 上海金电网安科技有限公司 | 安全服务方法、装置、电子设备及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102546735A (zh) * | 2011-01-04 | 2012-07-04 | 中兴通讯股份有限公司 | 一种云计算系统、方法及云 |
| CN103607426A (zh) * | 2013-10-25 | 2014-02-26 | 中兴通讯股份有限公司 | 安全服务订制方法和装置 |
| CN104350467A (zh) * | 2012-06-12 | 2015-02-11 | 瑞典爱立信有限公司 | 用于使用sdn的云安全性的弹性实行层 |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100428689C (zh) * | 2005-11-07 | 2008-10-22 | 华为技术有限公司 | 一种网络安全控制方法及系统 |
| US9152789B2 (en) * | 2008-05-28 | 2015-10-06 | Zscaler, Inc. | Systems and methods for dynamic cloud-based malware behavior analysis |
| US10411975B2 (en) * | 2013-03-15 | 2019-09-10 | Csc Agility Platform, Inc. | System and method for a cloud computing abstraction with multi-tier deployment policy |
| US8468220B2 (en) * | 2009-04-21 | 2013-06-18 | Techguard Security Llc | Methods of structuring data, pre-compiled exception list engines, and network appliances |
| US8839390B2 (en) * | 2011-03-08 | 2014-09-16 | Microsoft Corporation | Grouping personal accounts to tailor a web service |
| CN102158498B (zh) * | 2011-05-26 | 2013-09-18 | 东南大学 | 一种支持服务定制与扩展的网络节点结构实现方法 |
| US9742693B2 (en) * | 2012-02-27 | 2017-08-22 | Brocade Communications Systems, Inc. | Dynamic service insertion in a fabric switch |
| JP2016171503A (ja) * | 2015-03-13 | 2016-09-23 | 富士通株式会社 | 管理装置および接続処理方法 |
| WO2016164736A1 (en) * | 2015-04-09 | 2016-10-13 | Level 3 Communications, Llc | Network service infrastructure management system and method of operation |
-
2015
- 2015-04-21 CN CN201510191310.0A patent/CN106161399B/zh active Active
-
2016
- 2016-04-20 WO PCT/CN2016/079702 patent/WO2016169472A1/en active Application Filing
- 2016-04-20 US US15/543,724 patent/US20180007001A1/en not_active Abandoned
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102546735A (zh) * | 2011-01-04 | 2012-07-04 | 中兴通讯股份有限公司 | 一种云计算系统、方法及云 |
| CN104350467A (zh) * | 2012-06-12 | 2015-02-11 | 瑞典爱立信有限公司 | 用于使用sdn的云安全性的弹性实行层 |
| CN103607426A (zh) * | 2013-10-25 | 2014-02-26 | 中兴通讯股份有限公司 | 安全服务订制方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20180007001A1 (en) | 2018-01-04 |
| WO2016169472A1 (en) | 2016-10-27 |
| CN106161399A (zh) | 2016-11-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106161399B (zh) | 一种安全服务交付方法及系统 | |
| US11005722B2 (en) | End-to-end network service designer tool | |
| EP3292708B1 (en) | Admission of an individual session in a network | |
| CN106464736B (zh) | 用于基于云的服务交换的实时配置和管理的互连平台 | |
| CN105024865B (zh) | 云联合即服务 | |
| US20170295265A1 (en) | Communication protocol and system for network communications | |
| CN103297475B (zh) | Mock服务系统及Mock服务的处理方法 | |
| CN109995713A (zh) | 一种微服务框架中的服务处理方法及相关设备 | |
| CN109565500A (zh) | 按需安全性架构 | |
| CN105721420B (zh) | 访问权限控制方法和反向代理服务器 | |
| CN108809857A (zh) | 一种基于sdn的流量监控与业务服务质量保障策略的方法 | |
| EP3062479B1 (en) | Security service customizing method and apparatus | |
| CN109194502A (zh) | 多租户容器云计算系统的管理方法 | |
| US20170237623A1 (en) | Methods and apparatus for unified integration and processing of a variety of information sensors and systems | |
| KR102181741B1 (ko) | 드론을 관제하는 서버, 방법 및 컴퓨터 프로그램 | |
| CN103106368A (zh) | 一种面向等级保护的漏洞扫描方法 | |
| KR20140003043A (ko) | 디바이스 소셜리티 구성 시스템 및 방법 | |
| Thanh et al. | Embedding security and privacy into the development and operation of cloud applications and services | |
| RU2017121641A (ru) | Система и способы обеспечения безопасных соединений при передаче данных в авиационной среде | |
| CN110089078A (zh) | 提供经由动态覆盖网络的业务转发器的方法和设备 | |
| US20240259261A1 (en) | Architecture of a multi-cloud control plane -network adaptor | |
| CN111277422A (zh) | 微服务的处理方法、装置、系统和计算机可读存储介质 | |
| Celesti et al. | Federated networking services in multiple openstack clouds | |
| CN106127573B (zh) | 一种轻型化运营系统及方法 | |
| WO2023150531A1 (en) | Cloud-link adaptor of a multi-cloud infrastructure |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant after: Xinhua three Technology Co., Ltd. Address before: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant before: Huasan Communication Technology Co., Ltd. |
|
| CB02 | Change of applicant information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |