CN106411932A - 一种服务链策略实现方法及服务链策略实现系统 - Google Patents
一种服务链策略实现方法及服务链策略实现系统 Download PDFInfo
- Publication number
- CN106411932A CN106411932A CN201610998563.3A CN201610998563A CN106411932A CN 106411932 A CN106411932 A CN 106411932A CN 201610998563 A CN201610998563 A CN 201610998563A CN 106411932 A CN106411932 A CN 106411932A
- Authority
- CN
- China
- Prior art keywords
- security strategy
- strategy
- priority
- carried out
- new security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种服务链策略实现方法及服务链策略实现系统,首先根据安全应用下发的新安全策略、新安全策略对应的主体和客体、以及新安全策略对应的安全设备生成服务链指令,以使与该新安全策略对应的客体的流量经过安全设备处理后到达目的地址;再根据服务链指令进行策略一致性检测并下发对应的流条目到目的交换机。该服务链策略实现方法可以使服务链的调整在短时间内自动化完成,并将流量依次经过一个或多个安全设备,整个过程快速灵活,并且当服务链变更时,不需要重新进行网络设备的配置。
Description
技术领域
本发明涉及网络技术领域,尤指一种服务链策略实现方法及服务链策略实现系统。
背景技术
在安全域内部,或在安全域边界上,往往需要部署多种安全机制,如对于Web服务器而言,需要一次经过抗DDoS清洗、访问控制和Web应用防护;而对于内网数据库,则需要经过访问控制、入侵检测和数据库审计等机制,所以需要从物理网络到虚拟网络,从网关侧到服务器侧,依次部署若干安全的业务节点,这称为服务链。
传统网络的服务链和网络拓扑紧密耦合、部署复杂。如在服务链变更时,需要改动网络拓扑,重新进行网络设备的配置,非常复杂耗时。
发明内容
本发明实施例提供一种服务链策略实现方法及服务链策略实现系统,用以实现使服务链的调整在短时间内自动化完成,并且当服务链变更时,不需要重新进行网络设备的配置。
本发明实施例提供的一种服务链策略实现方法,包括:
根据安全应用下发的新安全策略、所述新安全策略对应的主体和客体、以及所述新安全策略对应的安全设备生成服务链指令,以使与所述新安全策略对应的客体的流量经过所述安全设备处理后到达目的地址;
根据所述服务链指令进行策略一致性检测并下发对应的流条目到目的交换机。
较佳地,在本发明实施例提供的上述实现方法中,根据所述服务链指令,进行策略一致性检测并下发对应的流条目到目的交换机,具体为:
确定是否存在数据模式与所述新安全策略的数据模式相关的已实施安全策略;
如果不存在,则直接按照所述服务链指令下发对应的流条目到目的交换机,并将所述新安全策略存为已实施安全策略;
如果存在,则根据数据模式与所述新安全策略的数据模式相关的所述已实施安全策略中,优先级高于所述新安全策略的已实施安全策略确定所述新安全策略的流来源;根据数据模式与所述新安全策略的数据模式相关的所述已实施安全策略中,优先级低于所述新安全策略的已实施安全策略确定所述新安全策略的流去向。
较佳地,在本发明实施例提供的上述实现方法中,根据数据模式与所述新安全策略的数据模式相关的所述已实施安全策略中,优先级高于所述新安全策略的已实施安全策略确定所述新安全策略的流来源,具体为:
将优先级高于所述新安全策略的、且优先级低于或等于高截止安全策略的已实施安全策略组成高优先级策略组;其中所述高截止安全策略为优先级高于所述新安全策略的、且数据模式为包含或等于所述新安全策略的已实施安全策略;
确定所述高优先级策略组中,是否存在高截止安全策略;
如果存在,则去除所述高优先级策略组中,数据模式为被所述新安全策略的数据模式包含的已实施安全策略;
根据最终所述高优先级策略组中已实施安全策略的优先级由高到低的顺序,下发由最终所述高优先级策略组中的已实施安全策略至所述新安全策略的流牵引指令。
较佳地,在本发明实施例提供的上述实现方法中,当所述高优先级策略组中不存在高截止安全策略时,还包括:
下发一条由第一安全设备至所述新安全策略的流牵引指令,并将所述新安全策略存为已实施安全策略;其中所述第一安全设备为优先级高于所述新安全策略对应的安全设备的优先级的安全设备;
则去除所述高优先级策略组中,数据模式为被所述新安全策略的数据模式包含的已实施安全策略;
根据最终所述高优先级策略组中已实施安全策略的优先级由高到低的顺序,下发由最终所述高优先级策略组中的已实施安全策略至所述新安全策略的流牵引指令。
较佳地,在本发明实施例提供的上述实现方法中,当数据模式与所述新安全策略的数据模式相关的所述已实施安全策略中,不存在优先级高于所述新安全策略的已实施安全策略时;
下发一条由第一安全设备至所述新安全策略的流牵引指令,并将所述新安全策略存为已实施安全策略;其中所述第一安全设备为优先级高于所述新安全策略对应的安全设备的优先级的安全设备。
较佳地,在本发明实施例提供的上述实现方法中,根据数据模式与所述新安全策略的数据模式相关的所述已实施安全策略中,优先级低于所述新安全策略的已实施安全策略确定所述新安全策略的流去向,具体为:
将优先级低于所述新安全策略的、且优先级高于或等于低截止安全策略的已实施安全策略组成低优先级策略组;其中所述低截止安全策略为优先级低于所述新安全策略的、且数据模式为包含或等于所述新安全策略的已实施安全策略;
根据所述低优先级策略组中已实施安全策略的优先级由高到低的顺序,下发由所述新安全策略至所述低优先级策略组中的已实施安全策略的流牵引指令,并将所述低优先级策略组中的已实施安全策略存为数据模式为与所述新安全策略的数据模式相关的策略。
较佳地,在本发明实施例提供的上述实现方法中,当所述低优先级策略组中不存在低截止安全策略时,或者当数据模式与所述新安全策略的数据模式相关的所述已实施安全策略中,不存在优先级低于所述新安全策略的已实施安全策略时:
下发一条由所述新安全策略至第二安全设备的流牵引指令,并将所述新安全策略存为已实施安全策略;其中所述第二安全设备为优先级低于所述新安全策略对应的安全设备的优先级的安全设备。
相应地,本发明实施例还提供了一种服务链策略实现系统,包括:
策略解析模块,用于根据安全应用下发的新安全策略、所述新安全策略对应的主体和客体、以及所述新安全策略对应的安全设备生成服务链指令,以使与所述新安全策略对应的客体的流量经过所述安全设备处理后到达目的地址;
流下发模块,用于根据所述服务链指令进行策略一致性检测并下发对应的流条目到目的交换机。
较佳地,在本发明实施例提供的上述实现系统中,还包括:知识库和设备管理库;
所述知识库用于存储新安全策略与其主体和客体的对应关系;
所述设备管理库用于新安全策略与安全设备的对应关系;
策略解析模块具体用于根据安全应用下发的新安全策略,通过查找所述知识库和所述设备管理库生成服务链指令。
较佳地,在本发明实施例提供的上述实现系统中,所述流下发模块具体用于:
确定是否存在数据模式与所述新安全策略的数据模式相关的已实施安全策略;
如果不存在,则直接按照所述服务链指令下发对应的流条目到目的交换机,并将所述新安全策略存为已实施安全策略;
如果存在,则根据数据模式与所述新安全策略的数据模式相关的所述已实施安全策略中,优先级高于所述新安全策略的已实施安全策略确定所述新安全策略的流来源;根据数据模式与所述新安全策略的数据模式相关的所述已实施安全策略中,优先级低于所述新安全策略的已实施安全策略确定所述新安全策略的流去向。
较佳地,在本发明实施例提供的上述实现系统中,所述流下发模块根据数据模式与所述新安全策略的数据模式相关的所述已实施安全策略中,优先级高于所述新安全策略的已实施安全策略确定所述新安全策略的流来源,具体为:
将优先级高于所述新安全策略的、且优先级低于或等于高截止安全策略的已实施安全策略组成高优先级策略组;其中所述高截止安全策略为优先级高于所述新安全策略的、且数据模式为包含或等于所述新安全策略的已实施安全策略;
确定所述高优先级策略组中,是否存在高截止安全策略;
如果存在,则去除所述高优先级策略组中,数据模式为被所述新安全策略的数据模式包含的已实施安全策略;
根据最终所述高优先级策略组中已实施安全策略的优先级由高到低的顺序,下发由最终所述高优先级策略组中的已实施安全策略至所述新安全策略的流牵引指令。
较佳地,在本发明实施例提供的上述实现系统中,所述流下发模块还用于,当所述高优先级策略组中不存在高截止安全策略时:
下发一条由第一安全设备至所述新安全策略的流牵引指令,并将所述新安全策略存为已实施安全策略;其中所述第一安全设备为优先级高于所述新安全策略对应的安全设备的优先级的安全设备;
则去除所述高优先级策略组中,数据模式为被所述新安全策略的数据模式包含的已实施安全策略;
根据最终所述高优先级策略组中已实施安全策略的优先级由高到低的顺序,下发由最终所述高优先级策略组中的已实施安全策略至所述新安全策略的流牵引指令。
较佳地,在本发明实施例提供的上述实现系统中,所述流下发模块还用于,当数据模式与所述新安全策略的数据模式相关的所述已实施安全策略中,不存在优先级高于所述新安全策略的已实施安全策略时;
下发一条由第一安全设备至所述新安全策略的流牵引指令,并将所述新安全策略存为已实施安全策略;其中所述第一安全设备为优先级高于所述新安全策略对应的安全设备的优先级的安全设备。
较佳地,在本发明实施例提供的上述实现系统中,所述流下发模块根据数据模式与所述新安全策略的数据模式相关的所述已实施安全策略中,优先级低于所述新安全策略的已实施安全策略确定所述新安全策略的流去向,具体为:
将优先级低于所述新安全策略的、且优先级高于或等于低截止安全策略的已实施安全策略组成低优先级策略组;其中所述低截止安全策略为优先级低于所述新安全策略的、且数据模式为包含或等于所述新安全策略的已实施安全策略;
根据所述低优先级策略组中已实施安全策略的优先级由高到低的顺序,下发由所述新安全策略至所述低优先级策略组中的已实施安全策略的流牵引指令,并将所述低优先级策略组中的已实施安全策略存为数据模式为与所述新安全策略的数据模式相关的策略。
较佳地,在本发明实施例提供的上述实现系统中,所述流下发模块还用于,当所述低优先级策略组中不存在低截止安全策略时,或者当数据模式与所述新安全策略的数据模式相关的所述已实施安全策略中,不存在优先级低于所述新安全策略的已实施安全策略时:
下发一条由所述新安全策略至第二安全设备的流牵引指令,并将所述新安全策略存为已实施安全策略;其中所述第二安全设备为优先级低于所述新安全策略对应的安全设备的优先级的安全设备。
本发明有益效果如下:
本发明实施例提供的上述服务链策略实现方法及服务链策略实现系统,首先根据安全应用下发的新安全策略、新安全策略对应的主体和客体、以及新安全策略对应的安全设备生成服务链指令,以使与该新安全策略对应的客体的流量经过安全设备处理后到达目的地址;再根据服务链指令进行策略一致性检测并下发对应的流条目到目的交换机。该服务链策略实现方法可以使服务链的调整在短时间内自动化完成,并将流量依次经过一个或多个安全设备,整个过程快速灵活,并且当服务链变更时,不需要重新进行网络设备的配置。
附图说明
图1为本发明实施例提供的服务链策略实现方法的流程图之一;
图2为本发明实施例提供的服务链策略实现方法的流程图之二;
图3为本发明实施例提供的服务链策略实现系统的结构示意图。
具体实施方式
下面结合附图,对本发明实施例提供的一种服务链策略实现方法及服务链策略实现系统的具体实施方式进行详细地说明。
本发明实施例提供的一种服务链策略实现方法,如图1所示,包括:
S101、根据安全应用下发的新安全策略、新安全策略对应的主体和客体、以及新安全策略对应的安全设备生成服务链指令,以使与该新安全策略对应的客体的流量经过安全设备处理后到达目的地址;
S102、根据服务链指令进行策略一致性检测并下发对应的流条目到目的交换机。
本发明实施例提供的上述服务链策略实现方法,首先根据安全应用下发的新安全策略、新安全策略对应的主体和客体、以及新安全策略对应的安全设备生成服务链指令,以使与该新安全策略对应的客体的流量经过安全设备处理后到达目的地址;再根据服务链指令进行策略一致性检测并下发对应的流条目到目的交换机。该服务链策略实现方法可以使服务链的调整在短时间内自动化完成,并将流量依次经过一个或多个安全设备,整个过程快速灵活,并且当服务链变更时,不需要重新进行网络设备的配置。
较佳地,在本发明实施例提供的上述实现方法中,根据服务链指令,进行策略一致性检测并下发对应的流条目到目的交换机,具体为:
确定是否存在数据模式与新安全策略的数据模式相关的已实施安全策略;
如果不存在,则直接按照服务链指令下发对应的流条目到目的交换机,并将新安全策略存为已实施安全策略;
如果存在,则根据数据模式与新安全策略的数据模式相关的已实施安全策略中,优先级高于新安全策略的已实施安全策略确定新安全策略的流来源;根据数据模式与新安全策略的数据模式相关的已实施安全策略中,优先级低于新安全策略的已实施安全策略确定新安全策略的流去向。
较佳地,在本发明实施例提供的上述实现方法中,根据数据模式与新安全策略的数据模式相关的已实施安全策略中,优先级高于新安全策略的已实施安全策略确定新安全策略的流来源,具体为:
将优先级高于新安全策略的、且优先级低于或等于高截止安全策略的已实施安全策略组成高优先级策略组;其中高截止安全策略为优先级高于新安全策略的、且数据模式为包含或等于新安全策略的已实施安全策略;
确定高优先级策略组中,是否存在高截止安全策略;
如果存在,则去除高优先级策略组中,数据模式为被新安全策略的数据模式包含的已实施安全策略;
根据最终高优先级策略组中已实施安全策略的优先级由高到低的顺序,下发由最终高优先级策略组中的已实施安全策略至新安全策略的流牵引指令。
较佳地,在本发明实施例提供的上述实现方法中,当高优先级策略组中不存在高截止安全策略时,还包括:
下发一条由第一安全设备至新安全策略的流牵引指令,并将新安全策略存为已实施安全策略;其中第一安全设备为优先级高于新安全策略对应的安全设备的优先级的安全设备;
则去除高优先级策略组中,数据模式为被新安全策略的数据模式包含的已实施安全策略;
根据最终高优先级策略组中已实施安全策略的优先级由高到低的顺序,下发由最终高优先级策略组中的已实施安全策略至新安全策略的流牵引指令。
较佳地,在本发明实施例提供的上述实现方法中,当数据模式与新安全策略的数据模式相关的已实施安全策略中,不存在优先级高于新安全策略的已实施安全策略时;
下发一条由第一安全设备至新安全策略的流牵引指令,并将新安全策略存为已实施安全策略;其中第一安全设备为优先级高于新安全策略对应的安全设备的优先级的安全设备。
较佳地,在本发明实施例提供的上述实现方法中,根据数据模式与新安全策略的数据模式相关的已实施安全策略中,优先级低于新安全策略的已实施安全策略确定新安全策略的流去向,具体为:
将优先级低于新安全策略的、且优先级高于或等于低截止安全策略的已实施安全策略组成低优先级策略组;其中低截止安全策略为优先级低于新安全策略的、且数据模式为包含或等于新安全策略的已实施安全策略;
根据低优先级策略组中已实施安全策略的优先级由高到低的顺序,下发由新安全策略至低优先级策略组中的已实施安全策略的流牵引指令,并将低优先级策略组中的已实施安全策略存为数据模式为与新安全策略的数据模式相关的策略。
较佳地,在本发明实施例提供的上述实现方法中,当低优先级策略组中不存在低截止安全策略时,或者当数据模式与新安全策略的数据模式相关的已实施安全策略中,不存在优先级低于新安全策略的已实施安全策略时:
下发一条由新安全策略至第二安全设备的流牵引指令,并将新安全策略存为已实施安全策略;其中第二安全设备为优先级低于新安全策略对应的安全设备的优先级的安全设备。
需要说明的时,在本发明实施例提供的上述实现方法中,安全策略的优先级是预先确定的,安全设备的优先级同样是预先确定的,并且数据模式相关的安全策略具有不同的优先级。
下面通过一个具体实施例说明本发明实施例提供的上述实现方法。
本发明实施例的服务链策略实现,如图2所示,可以包括如下步骤:
S201、根据安全应用下发的新安全策略、新安全策略对应的主体和客体、以及新安全策略对应的安全设备生成服务链指令;以使与新安全策略对应的客体的流量经过安全设备处理后到达目的地址;
S202、确定是否存在数据模式与新安全策略的数据模式相关的已实施安全策略;
如果不存在,则执行步骤S203,如果存在,则执行步骤204;
S203、直接按照服务链指令下发对应的流条目到目的交换机,并将新安全策略存为已实施安全策略;
S204、确定相关的已实施安全策略中否存在优先级高于新安全策略的已实施安全策略;
如果存在,则执行步骤S205,如果不存在,则执行步骤S209;
S205、将优先级高于新安全策略的、且优先级低于或等于高截止安全策略的已实施安全策略组成高优先级策略组;其中高截止安全策略为优先级高于新安全策略的、且数据模式为包含或等于新安全策略的已实施安全策略;
S206、确定高优先级策略组中是否存在高截止安全策略;
如果存在,则执行步骤S207,如果不存在,则执行步骤S209;
S207、去除高优先级策略组中,数据模式为被新安全策略的数据模式包含的已实施安全策略;
S208、根据最终高优先级策略组中已实施安全策略的优先级由高到低的顺序,下发由最终高优先级策略组中的已实施安全策略至新安全策略的流牵引指令;
S209、下发一条由第一安全设备至新安全策略的流牵引指令,并将新安全策略存为已实施安全策略;其中第一安全设备为优先级高于新安全策略对应的安全设备的优先级的安全设备;
S210、确定相关的已实施安全策略中否存在优先级低于新安全策略的已实施安全策略;
如果存在,则执行步骤S211,如果不存在,则执行步骤S214;
S211、将优先级低于新安全策略的、且优先级高于或等于低截止安全策略的已实施安全策略组成低优先级策略组;其中低截止安全策略为优先级低于新安全策略的、且数据模式为包含或等于新安全策略的已实施安全策略;
S212、根据低优先级策略组中已实施安全策略的优先级由高到低的顺序,下发由新安全策略至低优先级策略组中的已实施安全策略的流牵引指令,并将低优先级策略组中的已实施安全策略存为数据模式为与新安全策略的数据模式相关的策略;
S213、确定低优先级策略组中是否存在低截止安全策略;
如果不存在,则执行步骤S214;
S214、下发一条由新安全策略至第二安全设备的流牵引指令,并将新安全策略存为已实施安全策略;其中第二安全设备为优先级低于新安全策略对应的安全设备的优先级的安全设备。
基于同一发明构思,本发明实现例提供了一种服务链策略实现系统,如图3所示,包括:
策略解析模块01,用于根据安全应用下发的新安全策略、新安全策略对应的主体和客体、以及新安全策略对应的安全设备生成服务链指令,以使与新安全策略对应的客体的流量经过安全设备处理后到达目的地址;
流下发模块02,用于根据服务链指令进行策略一致性检测并下发对应的流条目到目的交换机。
较佳地,在本发明实施例提供的上述实现系统中,还包括:知识库和设备管理库;
知识库用于存储新安全策略与其主体和客体的对应关系;
设备管理库用于新安全策略与安全设备的对应关系;
策略解析模块具体用于根据安全应用下发的新安全策略,通过查找知识库和设备管理库生成服务链指令。
在本发明实施例提供的上述实现系统中,例如策略解析模块收到的安全应用下发的新安全策略为:“针对租户A启用入侵检测和Web防护”,从知识库能够查找到“所有租户A的虚拟机{VMA}”从设备管理库能够查找到“安全策略中要求找到具有“入侵检测”和“Web防护”的资源,则从资源池中找到若干IDS设备和WAF设备。则生成的服务链指令为“在某处启动IDS和WAF虚拟实例”和“将所有到{VMA}的流量重定向到IDS,再到WAF,最后到最终目的地”。
较佳地,在本发明实施例提供的上述实现系统中,流下发模块具体用于:
确定是否存在数据模式与新安全策略的数据模式相关的已实施安全策略;
如果不存在,则直接按照服务链指令下发对应的流条目到目的交换机,并将新安全策略存为已实施安全策略;
如果存在,则根据数据模式与新安全策略的数据模式相关的已实施安全策略中,优先级高于新安全策略的已实施安全策略确定新安全策略的流来源;根据数据模式与新安全策略的数据模式相关的已实施安全策略中,优先级低于新安全策略的已实施安全策略确定新安全策略的流去向。
较佳地,在本发明实施例提供的上述实现系统中,流下发模块根据数据模式与新安全策略的数据模式相关的已实施安全策略中,优先级高于新安全策略的已实施安全策略确定新安全策略的流来源,具体为:
将优先级高于新安全策略的、且优先级低于或等于高截止安全策略的已实施安全策略组成高优先级策略组;其中高截止安全策略为优先级高于新安全策略的、且数据模式为包含或等于新安全策略的已实施安全策略;
确定高优先级策略组中,是否存在高截止安全策略;
如果存在,则去除高优先级策略组中,数据模式为被新安全策略的数据模式包含的已实施安全策略;
根据最终高优先级策略组中已实施安全策略的优先级由高到低的顺序,下发由最终高优先级策略组中的已实施安全策略至新安全策略的流牵引指令。
较佳地,在本发明实施例提供的上述实现系统中,流下发模块还用于,当高优先级策略组中不存在高截止安全策略时:
下发一条由第一安全设备至新安全策略的流牵引指令,并将新安全策略存为已实施安全策略;其中第一安全设备为优先级高于新安全策略对应的安全设备的优先级的安全设备;
则去除高优先级策略组中,数据模式为被新安全策略的数据模式包含的已实施安全策略;
根据最终高优先级策略组中已实施安全策略的优先级由高到低的顺序,下发由最终高优先级策略组中的已实施安全策略至新安全策略的流牵引指令。
较佳地,在本发明实施例提供的上述实现系统中,流下发模块还用于,当数据模式与新安全策略的数据模式相关的已实施安全策略中,不存在优先级高于新安全策略的已实施安全策略时;
下发一条由第一安全设备至新安全策略的流牵引指令,并将新安全策略存为已实施安全策略;其中第一安全设备为优先级高于新安全策略对应的安全设备的优先级的安全设备。
较佳地,在本发明实施例提供的上述实现系统中,流下发模块根据数据模式与新安全策略的数据模式相关的已实施安全策略中,优先级低于新安全策略的已实施安全策略确定新安全策略的流去向,具体为:
将优先级低于新安全策略的、且优先级高于或等于低截止安全策略的已实施安全策略组成低优先级策略组;其中低截止安全策略为优先级低于新安全策略的、且数据模式为包含或等于新安全策略的已实施安全策略;
根据低优先级策略组中已实施安全策略的优先级由高到低的顺序,下发由新安全策略至低优先级策略组中的已实施安全策略的流牵引指令,并将低优先级策略组中的已实施安全策略存为数据模式为与新安全策略的数据模式相关的策略。
较佳地,在本发明实施例提供的上述实现系统中,流下发模块还用于,当低优先级策略组中不存在低截止安全策略时,或者当数据模式与新安全策略的数据模式相关的已实施安全策略中,不存在优先级低于新安全策略的已实施安全策略时:
下发一条由新安全策略至第二安全设备的流牵引指令,并将新安全策略存为已实施安全策略;其中第二安全设备为优先级低于新安全策略对应的安全设备的优先级的安全设备。
在具体实施时,在本发明实施例提供的上述实现系统中,流下发模块设置在网络控制器内部,在此不作限定。
发明实施例提供的上述实现系统,例如接收到一个新安全策略,要对VM进行流量清洗操作,如果已有一已实施安全策略是牵引此VM流量经过某安全设备,那么根据优先级的高低在当前安全设备前或后插入一个ADS设备即可,对应着产生相应的流拆除和建立指令,下发给SDN控制器。再以包含关系为例,如果发现此VM所属User的所有流量已经被某安全设备处理,但优先级较低,那么应该优先让此VM的流量经过ADS设备,再让ADS设备处理后的流量进入为此User分配的安全设备,而不是直接返回网络。
本发明实施例提供的上述服务链策略实现方法及服务链策略实现系统,首先根据安全应用下发的新安全策略、新安全策略对应的主体和客体、以及新安全策略对应的安全设备生成服务链指令,以使与该新安全策略对应的客体的流量经过安全设备处理后到达目的地址;再根据服务链指令进行策略一致性检测并下发对应的流条目到目的交换机。该服务链策略实现方法可以使服务链的调整在短时间内自动化完成,并将流量依次经过一个或多个安全设备,整个过程快速灵活,并且当服务链变更时,不需要重新进行网络设备的配置。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (15)
1.一种服务链策略实现方法,其特征在于,包括:
根据安全应用下发的新安全策略、所述新安全策略对应的主体和客体、以及所述新安全策略对应的安全设备生成服务链指令,以使与所述新安全策略对应的客体的流量经过所述安全设备处理后到达目的地址;
根据所述服务链指令进行策略一致性检测并下发对应的流条目到目的交换机。
2.如权利要求1所述的实现方法,其特征在于,根据所述服务链指令,进行策略一致性检测并下发对应的流条目到目的交换机,具体为:
确定是否存在数据模式与所述新安全策略的数据模式相关的已实施安全策略;
如果不存在,则直接按照所述服务链指令下发对应的流条目到目的交换机,并将所述新安全策略存为已实施安全策略;
如果存在,则根据数据模式与所述新安全策略的数据模式相关的所述已实施安全策略中,优先级高于所述新安全策略的已实施安全策略确定所述新安全策略的流来源;根据数据模式与所述新安全策略的数据模式相关的所述已实施安全策略中,优先级低于所述新安全策略的已实施安全策略确定所述新安全策略的流去向。
3.如权利要求2所述的实现方法,其特征在于,根据数据模式与所述新安全策略的数据模式相关的所述已实施安全策略中,优先级高于所述新安全策略的已实施安全策略确定所述新安全策略的流来源,具体为:
将优先级高于所述新安全策略的、且优先级低于或等于高截止安全策略的已实施安全策略组成高优先级策略组;其中所述高截止安全策略为优先级高于所述新安全策略的、且数据模式为包含或等于所述新安全策略的已实施安全策略;
确定所述高优先级策略组中,是否存在高截止安全策略;
如果存在,则去除所述高优先级策略组中,数据模式为被所述新安全策略的数据模式包含的已实施安全策略;
根据最终所述高优先级策略组中已实施安全策略的优先级由高到低的顺序,下发由最终所述高优先级策略组中的已实施安全策略至所述新安全策略的流牵引指令。
4.如权利要求3所述的实现方法,其特征在于,当所述高优先级策略组中不存在高截止安全策略时,还包括:
下发一条由第一安全设备至所述新安全策略的流牵引指令,并将所述新安全策略存为已实施安全策略;其中所述第一安全设备为优先级高于所述新安全策略对应的安全设备的优先级的安全设备;
则去除所述高优先级策略组中,数据模式为被所述新安全策略的数据模式包含的已实施安全策略;
根据最终所述高优先级策略组中已实施安全策略的优先级由高到低的顺序,下发由最终所述高优先级策略组中的已实施安全策略至所述新安全策略的流牵引指令。
5.如权利要求3所述的实现方法,其特征在于,当数据模式与所述新安全策略的数据模式相关的所述已实施安全策略中,不存在优先级高于所述新安全策略的已实施安全策略时;
下发一条由第一安全设备至所述新安全策略的流牵引指令,并将所述新安全策略存为已实施安全策略;其中所述第一安全设备为优先级高于所述新安全策略对应的安全设备的优先级的安全设备。
6.如权利要求2所述的实现方法,其特征在于,根据数据模式与所述新安全策略的数据模式相关的所述已实施安全策略中,优先级低于所述新安全策略的已实施安全策略确定所述新安全策略的流去向,具体为:
将优先级低于所述新安全策略的、且优先级高于或等于低截止安全策略的已实施安全策略组成低优先级策略组;其中所述低截止安全策略为优先级低于所述新安全策略的、且数据模式为包含或等于所述新安全策略的已实施安全策略;
根据所述低优先级策略组中已实施安全策略的优先级由高到低的顺序,下发由所述新安全策略至所述低优先级策略组中的已实施安全策略的流牵引指令,并将所述低优先级策略组中的已实施安全策略存为数据模式为与所述新安全策略的数据模式相关的策略。
7.如权利要求6所述的实现方法,其特征在于,当所述低优先级策略组中不存在低截止安全策略时,或者当数据模式与所述新安全策略的数据模式相关的所述已实施安全策略中,不存在优先级低于所述新安全策略的已实施安全策略时:
下发一条由所述新安全策略至第二安全设备的流牵引指令,并将所述新安全策略存为已实施安全策略;其中所述第二安全设备为优先级低于所述新安全策略对应的安全设备的优先级的安全设备。
8.一种服务链策略实现系统,其特征在于,包括:
策略解析模块,用于根据安全应用下发的新安全策略、所述新安全策略对应的主体和客体、以及所述新安全策略对应的安全设备生成服务链指令,以使与所述新安全策略对应的客体的流量经过所述安全设备处理后到达目的地址;
流下发模块,用于根据所述服务链指令进行策略一致性检测并下发对应的流条目到目的交换机。
9.如权利要求8所述的实现系统,其特征在于,还包括:知识库和设备管理库;
所述知识库用于存储新安全策略与其主体和客体的对应关系;
所述设备管理库用于新安全策略与安全设备的对应关系;
策略解析模块具体用于根据安全应用下发的新安全策略,通过查找所述知识库和所述设备管理库生成服务链指令。
10.如权利要求8或9所述的实现系统,其特征在于,所述流下发模块具体用于:
确定是否存在数据模式与所述新安全策略的数据模式相关的已实施安全策略;
如果不存在,则直接按照所述服务链指令下发对应的流条目到目的交换机,并将所述新安全策略存为已实施安全策略;
如果存在,则根据数据模式与所述新安全策略的数据模式相关的所述已实施安全策略中,优先级高于所述新安全策略的已实施安全策略确定所述新安全策略的流来源;根据数据模式与所述新安全策略的数据模式相关的所述已实施安全策略中,优先级低于所述新安全策略的已实施安全策略确定所述新安全策略的流去向。
11.如权利要求10所述的实现系统,其特征在于,所述流下发模块根据数据模式与所述新安全策略的数据模式相关的所述已实施安全策略中,优先级高于所述新安全策略的已实施安全策略确定所述新安全策略的流来源,具体为:
将优先级高于所述新安全策略的、且优先级低于或等于高截止安全策略的已实施安全策略组成高优先级策略组;其中所述高截止安全策略为优先级高于所述新安全策略的、且数据模式为包含或等于所述新安全策略的已实施安全策略;
确定所述高优先级策略组中,是否存在高截止安全策略;
如果存在,则去除所述高优先级策略组中,数据模式为被所述新安全策略的数据模式包含的已实施安全策略;
根据最终所述高优先级策略组中已实施安全策略的优先级由高到低的顺序,下发由最终所述高优先级策略组中的已实施安全策略至所述新安全策略的流牵引指令。
12.如权利要求11所述的实现系统,其特征在于,所述流下发模块还用于,当所述高优先级策略组中不存在高截止安全策略时:
下发一条由第一安全设备至所述新安全策略的流牵引指令,并将所述新安全策略存为已实施安全策略;其中所述第一安全设备为优先级高于所述新安全策略对应的安全设备的优先级的安全设备;
则去除所述高优先级策略组中,数据模式为被所述新安全策略的数据模式包含的已实施安全策略;
根据最终所述高优先级策略组中已实施安全策略的优先级由高到低的顺序,下发由最终所述高优先级策略组中的已实施安全策略至所述新安全策略的流牵引指令。
13.如权利要求11所述的实现系统,其特征在于,所述流下发模块还用于,当数据模式与所述新安全策略的数据模式相关的所述已实施安全策略中,不存在优先级高于所述新安全策略的已实施安全策略时;
下发一条由第一安全设备至所述新安全策略的流牵引指令,并将所述新安全策略存为已实施安全策略;其中所述第一安全设备为优先级高于所述新安全策略对应的安全设备的优先级的安全设备。
14.如权利要求8或9所述的实现系统,其特征在于,所述流下发模块根据数据模式与所述新安全策略的数据模式相关的所述已实施安全策略中,优先级低于所述新安全策略的已实施安全策略确定所述新安全策略的流去向,具体为:
将优先级低于所述新安全策略的、且优先级高于或等于低截止安全策略的已实施安全策略组成低优先级策略组;其中所述低截止安全策略为优先级低于所述新安全策略的、且数据模式为包含或等于所述新安全策略的已实施安全策略;
根据所述低优先级策略组中已实施安全策略的优先级由高到低的顺序,下发由所述新安全策略至所述低优先级策略组中的已实施安全策略的流牵引指令,并将所述低优先级策略组中的已实施安全策略存为数据模式为与所述新安全策略的数据模式相关的策略。
15.如权利要求14所述的实现系统,其特征在于,所述流下发模块还用于,当所述低优先级策略组中不存在低截止安全策略时,或者当数据模式与所述新安全策略的数据模式相关的所述已实施安全策略中,不存在优先级低于所述新安全策略的已实施安全策略时:
下发一条由所述新安全策略至第二安全设备的流牵引指令,并将所述新安全策略存为已实施安全策略;其中所述第二安全设备为优先级低于所述新安全策略对应的安全设备的优先级的安全设备。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610998563.3A CN106411932B (zh) | 2016-11-11 | 2016-11-11 | 一种服务链策略实现方法及服务链策略实现系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610998563.3A CN106411932B (zh) | 2016-11-11 | 2016-11-11 | 一种服务链策略实现方法及服务链策略实现系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106411932A true CN106411932A (zh) | 2017-02-15 |
| CN106411932B CN106411932B (zh) | 2019-11-29 |
Family
ID=59230039
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610998563.3A Active CN106411932B (zh) | 2016-11-11 | 2016-11-11 | 一种服务链策略实现方法及服务链策略实现系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106411932B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109510834A (zh) * | 2018-12-07 | 2019-03-22 | 北京神州绿盟信息安全科技股份有限公司 | 一种安全策略下发方法及装置 |
| CN112751806A (zh) * | 2019-10-31 | 2021-05-04 | 中国电信股份有限公司 | 用于安全策略配置的编排方法、系统、装置及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103607379A (zh) * | 2013-11-04 | 2014-02-26 | 中兴通讯股份有限公司 | 一种软件定义网络安全实施方法、系统及控制器 |
| WO2016023363A1 (zh) * | 2014-08-14 | 2016-02-18 | 中兴通讯股份有限公司 | 业务链处理方法、装置、业务分类器及pcrf |
| CN105376174A (zh) * | 2014-08-25 | 2016-03-02 | 阿尔卡特朗讯 | 执行lte/epc中基于服务链的策略的方法与设备 |
| WO2016115878A1 (zh) * | 2015-01-19 | 2016-07-28 | 中兴通讯股份有限公司 | 一种处理用户数据包的方法、设备、系统及存储介质 |
| CN105897766A (zh) * | 2016-06-16 | 2016-08-24 | 中电长城网际系统应用有限公司 | 一种虚拟网络流量安全控制方法及装置 |
-
2016
- 2016-11-11 CN CN201610998563.3A patent/CN106411932B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103607379A (zh) * | 2013-11-04 | 2014-02-26 | 中兴通讯股份有限公司 | 一种软件定义网络安全实施方法、系统及控制器 |
| WO2016023363A1 (zh) * | 2014-08-14 | 2016-02-18 | 中兴通讯股份有限公司 | 业务链处理方法、装置、业务分类器及pcrf |
| CN105376174A (zh) * | 2014-08-25 | 2016-03-02 | 阿尔卡特朗讯 | 执行lte/epc中基于服务链的策略的方法与设备 |
| WO2016115878A1 (zh) * | 2015-01-19 | 2016-07-28 | 中兴通讯股份有限公司 | 一种处理用户数据包的方法、设备、系统及存储介质 |
| CN105897766A (zh) * | 2016-06-16 | 2016-08-24 | 中电长城网际系统应用有限公司 | 一种虚拟网络流量安全控制方法及装置 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109510834A (zh) * | 2018-12-07 | 2019-03-22 | 北京神州绿盟信息安全科技股份有限公司 | 一种安全策略下发方法及装置 |
| CN109510834B (zh) * | 2018-12-07 | 2021-06-11 | 绿盟科技集团股份有限公司 | 一种安全策略下发方法及装置 |
| CN112751806A (zh) * | 2019-10-31 | 2021-05-04 | 中国电信股份有限公司 | 用于安全策略配置的编排方法、系统、装置及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106411932B (zh) | 2019-11-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109922021B (zh) | 安全防护系统以及安全防护方法 | |
| CN104618379B (zh) | 一种面向idc业务场景的安全服务编排方法及网络结构 | |
| CN104253770B (zh) | 实现分布式虚拟交换机系统的方法及设备 | |
| CN106790091A (zh) | 一种云安全防护系统以及流量清洗方法 | |
| CN103685250A (zh) | 一种基于sdn的虚拟机安全策略迁移的系统及方法 | |
| CN103561011A (zh) | 一种SDN控制器盲DDoS攻击防护方法及系统 | |
| CN108040055A (zh) | 一种防火墙组合策略及云服务安全防护 | |
| CN104660505B (zh) | 控制路由信息生成的方法、路由信息生成的方法及其装置 | |
| CN108718298A (zh) | 一种恶意外连流量检测方法及装置 | |
| CN105357330A (zh) | 一种防止网络设备的ip地址冲突的系统及方法 | |
| CN106411932A (zh) | 一种服务链策略实现方法及服务链策略实现系统 | |
| CN108777640A (zh) | 一种服务器探测方法、装置、系统及存储介质 | |
| CN111224990B (zh) | 一种分布式微隔离网络的流量牵引方法及系统 | |
| CN105429946A (zh) | 一种基于sdn虚拟交换机的防伪造ip的系统及方法 | |
| CN110224977A (zh) | 一种协同防御策略冲突消解方法及系统 | |
| CN107094143A (zh) | 一种策略冗余的检测方法及装置 | |
| CN107786495A (zh) | 云环境网络安全防护系统 | |
| CN106302076A (zh) | 建立vxlan隧道的方法、系统及sdn控制器 | |
| WO2018201581A1 (zh) | 一种软件定义网络的DDoS攻击模拟和攻击检测方法及装置 | |
| CN105591805B (zh) | 一种修改服务链配置的方法和装置 | |
| CN104050038B (zh) | 一种基于策略感知的虚拟机迁移方法 | |
| CN112437037A (zh) | 基于sketch的DDoS洪泛攻击检测方法及装置 | |
| CN111510435B (zh) | 一种网络安全策略迁移方法及装置 | |
| CN108124022A (zh) | 一种网络地址转换管理方法及装置 | |
| JP5951274B2 (ja) | 重複macアドレスを特定するネットワーク監視システムおよび監視方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |