CN107920023A - 一种安全资源池的实现方法及系统 - Google Patents
一种安全资源池的实现方法及系统 Download PDFInfo
- Publication number
- CN107920023A CN107920023A CN201711487215.0A CN201711487215A CN107920023A CN 107920023 A CN107920023 A CN 107920023A CN 201711487215 A CN201711487215 A CN 201711487215A CN 107920023 A CN107920023 A CN 107920023A
- Authority
- CN
- China
- Prior art keywords
- flow bag
- target
- target flow
- virtual switch
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/38—Flow based routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供了一种安全资源池的实现方法及系统,用于提高了安全资源池对网络变更的适应性及配置的灵活性。本发明实施例中的安全资源池中设置有独立的网络对接设备及第一虚拟交换机,网络对接设备实现了与用户侧网络独立对接功能,第一虚拟交换机独立实现了安全服务链引流功能,实现了网络对接与安全资源池服务链的引流策略功能的解耦,提高了安全资源池对网络变更的适应性,其次,安全服务链中的引流策略可以由至少两个匹配域字段进行的多维度配置,提高了安全资源池配置的灵活性。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种安全资源池的实现方法及系统。
背景技术
安全资源池为物理或虚拟安全功能组件的集合,安全功能组件的功能可以包括防火墙、VPN、负载均衡、广域网加速、上网行为控制、堡垒机以及入侵检测/防御等。随着安全资源池的概念被越来越多的用户所认可,安全资源池的部署案例也逐渐增多起来,安全资源池部署过程中,安全资源池的引流是关键。
而目前主要的安全资源池的引流方法(如附图1所示)是通过策略路由进行引流,其中,针对南北向流量,是在客户核心路由器处将流量通过策略路由引到安全资源池进行检测、清洗以及加密或解密。安全资源池内一般是通过一层虚拟/物理路由或两层虚拟/物理路由进行再次引流操作,如果是两层虚拟/物理路由(如附图2所示),第一次路由根据数据包租户ID(IP网段、VLAN ID等),将流量引导至不同租户的安全资源池路由网关(不同的第二层路由),由这个网关通过策略路由实现安全服务链,即让流量按顺序依次经过不同安全功能组件。如果只有一层虚拟/物理路由(如附图3所示),则直接根据租户ID,实现安全服务链。
现有方案中的这种安全资源池的引流方法,主要有以下的弊端:在安全资源池侧,因为网络对接功能及安全资源池服务链的引流策略功能都是通过安全资源池路由网关来实现的,故该安全资源池引流方法的网络对接部分和安全服务链引流紧密耦合,当用户的网络场景改变,需要改变网络对接部分时,安全服务链也要根据网络对接部分的改变重新部署,才能满足新场景下的引流需求,对网络变更的适应性较差,其次,策略路由往往是目的地址路由或源地址在一个维度上配置引流策略,网关引流的策略不灵活。
发明内容
本发明实施例提供了一种安全资源池的实现方法及系统,用于提高了安全资源池对网络变更的适应性及配置的灵活性。
本发明实施例第一方面提供了一种安全资源池的实现方法,其特征在于,包括:
网络对接设备接收用户侧的目标流量包;
所述网络对接设备将所述目标流量包的五元组与自身存储的转发表进行匹配,以确定所述目标流量包对应的交换机目标转发端口,所述转发表指示五元组与交换机转发端口的对应关系;
所述网络对接设备将所述目标流量包转发给与所述目标转发端口连接的第一虚拟交换机;
所述第一虚拟交换机解析所述目标流量包中的匹配域字段,所述目标流量包包括至少两个匹配域字段;
所述第一虚拟交换机根据所述匹配域字段与本地存储的流表进行匹配,以确定所述目标流量包对应的安全服务链,所述流表指示预置类型的匹配域字段与安全服务链的对应关系,所述安全服务链指示对应的流量包按照预定的顺序经过安全资源池中预置数量的安全功能组件;
所述第一虚拟交换机根据安全服务链对所述目标流量包进行安全引流,以完成对所述目标流量包的清洗。
结合第一方面,在第一方面的第一种可能的实施方式中,所述匹配域字段包括但不限于:交换机入端口、源MAC地址、目的MAC地址、以太网类型、以太网标签、虚拟局域网VLAN优先级、源IP、目的IP、IP协议字段、IP服务类型、TCP/UDP源端口号、TCP/UDP目的端口号。
结合第一方面的第一种可能的实施方式,在第一方面的第二种可能的实施方式中,所述网络对接设备包括:
第二虚拟交换机以及虚拟路由器,其中,
所述第二虚拟交换机用于接收所述目标流量包并根据对应的目的MAC地址将所述目标流量包转发给所述虚拟路由器;
所述虚拟路由器根据自身存储的所述转发表确定所述目标流量包对应的交换机目标转发端口。
结合第一方面的第一种可能的实施方式,在第一方面的第三种可能的实施方式中,所述网络对接设备包括第三虚拟交换机,当接受到所述目标流量包之后,用于将所述目标流量包镜像到与所述第一虚拟交换机相连的所述目标转发端口。
结合第一方面的第二种或第三种可能的实施方式,在第一方面的第四种可能的实施方式中,所述第一虚拟交换机根据安全服务链对所述目标流量包进行安全引流,包括:
所述第一虚拟交换机将安全服务链对应的服务链路径ID、服务链路径上各安全功能组件的编号及服务链元数据封装到所述目标流量包头部形成NSH标签;
所述第一虚拟交换机根据所述NSH标签中服务链路径ID及所述目标流量包当前所处的节点位置将所述目标流量包引流到下一节点。
结合第一方面的第四种可能的实施方式,在第一方面的第五种可能的实施方式中,当所述安全资源池中的目标安全功能组件不能识别所述NSH标签时,所述第一虚拟交换机通过代理proxy功能处理所述NSH标签,所述proxy功能包括:在安全服务链经过所述目标安全功能组件之前去除所述NSH标签,当安全服务链从所述目标安全功能组件回到所述第一虚拟交换机时,为安全服务链重新加上所述NSH标签。
结合第一方面的第五种可能的实施方式,在第一方面的第六种可能的实施方式中,所述匹配域字段还包括租户ID,当多个租户使用相同IP地址时,所述第一虚拟交换机根据与本地存储的流表进行匹配,以确定使用相同IP地址的租户流量包的安全服务链。
结合第一方面的第六种可能的实施方式,在第一方面的第七种可能的实施方式中,当所述安全资源池中的安全功能组件位于不同的物理主机中,OVS交换机通过overlay隧道进行流量包的传输,所述overlay隧道用于隔离所述安全资源池中不同租户的流量包。
本发明实施例第二方面提供了一种安全资源池系统,其特征在于,包括:
网络对接设备、第一虚拟交换机及至少一个安全功能组件,其中,
所述网络对接设备用于接收用户侧的目标流量包,并将所述目标流量包的五元组与自身存储的转发表进行匹配,以确定所述目标流量包对应的交换机目标转发端口,所述转发表指示五元组与交换机转发端口的对应关系;
所述网络对接设备还用于将所述目标流量包转发给与所述目标转发端口连接的第一虚拟交换机;
所述第一虚拟交换机包括流分类模块及转发模块;
所述流分类模块用于解析所述目标流量包中的匹配域字段,并根据所述匹配域字段与本地存储的流表进行匹配,以确定所述目标流量包对应的安全服务链,所述目标流量包包括至少两个匹配域字段,所述流表指示预置类型的匹配域字段与安全服务链的对应关系,所述安全服务链指示对应的流量包按照预定的顺序经过安全资源池中预置数量的安全功能组件;
所述转发模块用于根据安全服务链对所述目标流量包进行安全引流,以完成对所述目标流量包的清洗。
结合第二方面,在第二方面的第一种可能的实施方式中,所述匹配域字段包括但不限于:交换机入端口、源MAC地址、目的MAC地址、以太网类型、以太网标签、虚拟局域网VLAN优先级、源IP、目的IP、IP协议字段、IP服务类型、TCP/UDP源端口号、TCP/UDP目的端口号。
结合第二方面的第一种可能的实施方式,在第二方面的第二种可能的实施方式中,所述网络对接设备包括:
第二虚拟交换机以及虚拟路由器,其中,
所述第二虚拟交换机用于接收所述目标流量包并根据对应的目的MAC地址将所述目标流量包转发给所述虚拟路由器;
所述虚拟路由器根据自身存储的所述转发表确定所述目标流量包对应的交换机目标转发端口。
结合第二方面的第一种可能的实施方式,在第二方面的第三种可能的实施方式中,所述网络对接设备包括:
第三虚拟交换机,当接受到所述目标流量包之后,用于将所述目标流量包镜像到与所述第一虚拟交换机相连的所述目标转发端口。
结合第二方面的第二种或第三种可能的实施方式,在第二方面的第四种可能的实施方式中,所述流分类模块包括解析单元及标签单元,所述解析单元用于解析所述目标流量包中的匹配域字段,并根据所述匹配域字段与本地存储的流表进行匹配,以确定所述目标流量包对应的安全服务链;
所述标签单元,用于将安全服务链对应的服务链路径ID、服务链路径上各安全功能组件的编号及服务链元数据封装到所述目标流量包头部形成NSH标签;
所述转发模块用于根据所述NSH标签中服务链路径ID及所述目标流量包当前所处的节点位置将所述目标流量包引流到下一节点,以实现所述目标流量包进行安全引流。
结合第二方面的第四种可能的实施方式,在第二方面的第五种可能的实施方式中,所述第一虚拟交换机还包括proxy模块,当所述安全资源池中的目标安全功能组件不能识别所述NSH标签时,所述proxy模块通过代理功能处理所述NSH标签,所述代理功能包括:在安全服务链经过所述目标安全功能组件之前去除所述NSH标签,当安全服务链从所述目标安全功能组件回到所述第一虚拟交换机时,为安全服务链重新加上所述NSH标签。
结合第二方面的第五种可能的实施方式,在第二方面的第六种可能的实施方式中,所述匹配域字段还包括租户ID,所述当多个租户使用相同IP地址时,所述解析单元根据与本地存储的流表进行匹配,以确定使用相同IP地址的租户流量包的安全服务链。
结合第二方面的第六种可能的实施方式,第二方面的的第七种可能的实施方式中,当所述安全资源池中的安全功能组件位于不同的物理主机中,OVS交换机通过overlay隧道进行流量包的传输,所述overlay隧道用于隔离所述安全资源池中不同租户的流量包。
从以上技术方案可以看出,本发明实施例具有以下优点:
本发明实施例中的安全资源池中设置有独立的网络对接设备及第一虚拟交换机,网络对接设备实现了与用户侧网络独立对接功能,第一虚拟交换机独立实现了安全服务链引流功能,实现了网络对接与安全资源池服务链的引流策略功能的解耦,提高了安全资源池对网络变更的适应性,其次,安全服务链中的引流策略可以由至少两个匹配域字段进行的多维度配置,提高了安全资源池配置的灵活性。
附图说明
图1为现有技术中安全资源池的引流方法网络部署示意图;
图2为现有技术中安全资源池中通过两层虚拟/物理路由实现引流的网络部署示意图;
图3为现有技术中安全资源池中通过一层虚拟/物理路由实现引流的网络部署示意图;
图4为本发明实施例中一种安全资源池的实现方法的一个实施例示意图;
图5为本发明实施例中以路由模式部署安全资源池的系统架构示意图;
图6为本发明实施例中以网关模式部署安全资源池的系统架构示意图;
图7为本发明实施例中以透明模式部署安全资源池的系统架构示意图;
图8为本发明实施例中一种安全资源池系统的一个具体运用实例中第一虚拟交换机功能模块化示意图;
图9为本发明实施例中一种安全资源池系统的一个实施例示意图;
图10为本发明实施例中一种安全资源池系统的另一个实施例示意图;
图11为本发明实施例中一种安全资源池系统的另一个实施例示意图。
具体实施方式
本发明实施例提供了一种安全资源池的实现方法及系统,用于提高了安全资源池对网络变更的适应性及配置的灵活性。
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
本发明实施例中涉及到了软件定义网络,为了便于理解,下面将对软件定义网络(Software Defined Network,SDN)进行简单介绍,SDN是把传统封闭的网络变成一个开放式的环境,就像电脑一样可以实现编程,创建易于管理的网络虚拟化层,将网络控制从物理基础设施中解耦,让第三方开发网络应用程序来控制网络的运行。OpenFlow技术是实现SDN的一种方式,它能够让用户自己定义流量,并决定流量在网络中的传输路径。基于OpenFlow技术组成的SDN网络包括SDN控制器、SDN交换机。其SDN交换机是核心组件,由OpenFlow协议、安全通道和流表三部分组成。SDN控制器配置SDN交换机的能力报告交换机的流规则,下发到SDN交换机的流表中。在本申请中第一虚拟交换机支持SDN网络的虚拟交换机,例如,OVS(Open VSwitch)交换机、VPP(Vector Packet Processing)交换机等,第一虚拟交换机为例进行说明,第一虚拟交换机为一种开源稳定的软件交换机,支持SDN网络和传统网络也支持传统网络。
为了便于理解,下面对本发明实施例中的具体流程进行描述,请参阅图4,本发明实施例中一种安全资源池的实现方法的一个实施例可包括:
100、网络对接设备接收用户侧的目标流量包,并根据目标流量包的五元组确定目标流量包对应的交换机目标转发端口;
在网络对接设备接收用户侧的目标流量包之后,网络对接设备可以将目标流量包的五元组与自身存储的转发表进行匹配,以确定目标流量包对应的交换机目标转发端口,该转发表指示五元组与交换机转发端口的对应关系。
具体的,对于需要通过安全资源池进行清洗的流量包,可以预先在网络对接设备中配置五元组与交换机转发端口的对应关系作为转发表,网络对接设备可以根据该转发表识别出需要清洗的流量包以及转发该流量包的目标转发端口。
可选的,作为一种可能的实施方式,网络对接设备包括:
第二虚拟交换机以及虚拟路由器,其中,
第二虚拟交换机用于接收目标流量包并根据对应的目的MAC地址将目标流量包转发给虚拟路由器;虚拟路由器根据自身存储的转发表确定目标流量包对应的交换机目标转发端口。
具体的,第二虚拟交换机的功能包括:MAC地址学习,二层转发,二层引流,VLAN包头的封装/解封装。MAC地址学习指通过数据包的源MAC地址和交换机端口的对应关系,建立二层转发表。二层转发指根据目的MAC,查询二层转发表,讲数据包从正确的交换机端口转发出去。VLAN包头的封装/解封装是指:在数据包交给虚拟路由或OVS/VPP之前,剥离VLAN包头;在数据包经过安全服务链,再次来到虚拟交换机时,给数据包加上VLAN包头。
虚拟路由器的功能包括:ARP应答及代答,代发ARP包,运行路由协议,三层转发,引流,NAT。ARP应答指回复对自身MAC的ARP请求,ARP代答是指代替安全组件回复对安全组件MAC的ARP请求。代发ARP包是指在网关模式下,数据包经过安全服务链的检测和过滤后,来到虚拟路由器,需要有下一跳的MAC地址,数据包才能转发出去,此时虚拟路由器缓存数据包,构造ARP请求询问下一跳的MAC地址,并将ARP请求发送出去,等收到ARP回复,再修改原数据包的目的MAC和源MAC地址,将数据包转发出去。运行路由协议是指运行静态/动态路由协议,与其它路由器交换路由信息,形成自身的路由转发表。三层转发是指根据路由表进行数据包转发。引流是指指依据五元组等匹配域将流量进行引到虚拟路由器或安全服务链的OVS/VPP。NAT包括SNAT和DNAT功能。
可选的,作为一种可能的实施方式,网络对接设备包括第三虚拟交换机,当接受到目标流量包之后,用于将目标流量包镜像到与第一虚拟交换机相连的目标转发端口。
具体的,在安全资源池以透明模式接入时,对于用户侧来的数据包,第三虚拟交换机进行MAC地址学习,但不按照目的MAC地址进行查表转发,而是将流量镜像到与第一虚拟交换机相连的端口;对于与第一虚拟交换机相连的端口来到的数据包,根据目的MAC地址,进行二层转发到用户侧,此时不进行MAC地址学习,其中透明模式是指安全资源池串接在客户内部网络与客户网关之间,类似一根网线,客户的网络设备感受不到,故称为透明模式。
200、网络对接设备将目标流量包转发给与目标转发端口连接的第一虚拟交换机;
在确定目标流量包对应的目标转发端口之后,网络对接设备可以将目标流量包通过目标转发端口转发给与目标转发端口连接的第一虚拟交换机,以进行进一步的处理。
300、第一虚拟交换机根据匹配域字段与本地存储的流表进行匹配,以确定目标流量包对应的安全服务链;
用户可以人工设置,或者通过SDN控制器提供的北向API,例如,RESTFUL API,来定义自身的流量包所需要经过的安全组件,SDN控制器基于用户通过北向API选择的安全组件及其顺序,生成对应的流量包转发规则即安全服务链,该安全服务链指示对应的流量包按照预定的顺序经过安全资源池中预置数量的安全功能组件。其中RESTFUL API是指满足REST(英文:Representational State Transfer,简称REST)架构样式的应用程序编程接口API。
每个数据包都含有特定的特征字段即匹配域字段,可以根据匹配域字段识别每个数据包并匹配对应的安全服务链,SDN控制器可以根据数据包的匹配域字段与安全服务链的对应关系构造对应的流表并下发给对应的第一虚拟交换机。具体的,可选用的匹配域字段包括但不限于:交换机入端口、源MAC地址、目的MAC地址、以太网类型、以太网标签、虚拟局域网VLAN优先级、源IP、目的IP、IP协议字段、IP服务类型、TCP/UDP源端口号、TCP/UDP目的端口号,可以理解的是,具体的匹配域字段可以根据用户的需求及网络协议的变更进行合理的配置,具体此处不做限定。
具体的,本申请中同时采用至少两个匹配域字段与安全服务链建立对应关系,可以实现安全服务链与流量包的多维度匹配,提高了安全资源池的安全服务链运用与流量包匹配的灵活性。
在第一虚拟交换机接收目标流量包之后可以解析目标流量包中的匹配域字段,并根据目标数据包对应的匹配域字段与本地存储的流表进行匹配,以确定目标流量包对应的安全服务链,若目标流量包的匹配域字段与本地存储的流表匹配成功则执行步骤400,若目标流量包的匹配域字段与本地存储的流表匹配不成功,则第一虚拟交换机向对应的SDN控制器请求目标流量包的匹配域字段对应的安全服务链或者向用户进行反馈,例如,第一虚拟交换机可以将目标数据包或者将目标数据包对应的匹配域字段发给对应的SDN控制,以请求SDN控制器配置目标流量包对应的安全服务链,具体此处不做限定。
400、第一虚拟交换机根据安全服务链对目标流量包进行安全引流,以完成对目标流量包的清洗。
在确定了目标流量包对应的安全服务链之后,第一虚拟交换机就可以安装安全服务链的转发规则将目标流量包进行安全引流至对应的安全组件中进行清洗。
可选的,作为一种可能的实施方式,第一虚拟交换机根据安全服务链对目标流量包进行安全引流,可以包括:
401、第一虚拟交换机将安全服务链对应的服务链路径ID、服务链路径上各安全功能组件的编号及服务链元数据封装到目标流量包头部形成NSH标签;
实际运用中用户可以定义许多种安全服务链,每一个安全服务链对应一种数据包转发路径,可以为每一个路径分配一个服务链路径ID,通过该服务链路径ID,第一虚拟交换机即可识别每一个安全服务链对应一种数据包转发路径,每一个服务链可能需要进过多个安全功能组件,为了在多个安全组件之间转发过程中的确定目标流量包在服务链的当前节点的位置,第一虚拟交换机可以将目标流量包中加入标签以识别服务链的转发进程,具体的,安全服务链对应的服务链路径ID、服务链路径上各安全功能组件的编号及服务链元数据封装到目标流量包头部形成NSH标签,具体的NSH标签可以根据用户的需求进行合理的设置,具体此处不做限定。
可选的,NSH可以通过IP包的空闲字段、GRE/VXLAN的特定字段等技术实现。
402、第一虚拟交换机根据NSH标签中服务链路径ID及目标流量包当前所处的节点位置将目标流量包引流到下一节点。
目标流量包每进过服务链中的一个安全组件之后就会返回到第一虚拟交换机,可以根据返回的数据包的NSH标签中服务链路径ID及目标流量包当前所处的节点确定下一安全功能节点,并将目标流量包引流到下一节点。
本发明实施例中的安全资源池的网关采用了SDN网络架构,SDN网络中网络设备控制面与数据面分离开,由SDN控制器配置安全服务链,由第一虚拟交换机实现网络对接功能,实现了网络对接功能与安全资源池服务链的引流策略功能的解耦,提高了安全资源池对网络变更的适应性,其次,安全服务链中的引流策略可以由至少两个匹配域字段进行的多维度配置,提高了安全资源池配置的灵活性。
在上述实施例的基础上,实际运用中,在部署安全资源池的过程中是需要考虑到用户侧网络架构的,用户侧网络可能设置有具有策略路由功能的核心网关,也可能没有设置核心网关,且安全资源池与用户侧网络不处于同一层网络,在这种网络架构下,安全资源池的部署过程中需要考虑本地IP与外部IP的地址转换问题。
具体的,当用户侧网络设置有具有策略路由功能的核心网关时,第一虚拟交换机从核心网关中接收目标流量包,并对目标流量包中的IP地址进行网络地址NAT转换,以使得目标流量包中的IP地址可被第一虚拟交换机被识别;
当用户侧没有设置核心网关,且安全资源池与用户侧网络不处于同一层网络时,第一虚拟交换机从核心网关中接收目标流量包,并对目标流量包中的IP地址进行NAT转换,以使得目标流量包中的IP地址可被第一虚拟交换机被识别。
在上述实施例的基础上,实际运用中,在同一个网络中,可能存在多个租户使用相同IP地址的情形,在这种情形之下,为了实现不同的租户的流量包匹配不同的安全服务链的功能,可以引入租户ID作为匹配域的一个字段,通过SDN控制器设置不同租户ID对应不同的安全服务链,当采用带有租户ID的匹配域与本地存储的流表进行匹配时,即可实现使用相同IP地址的租户流量包匹配不同安全服务链的功能。
在上述实施例的基础上,实际运用中,当安全资源池中的安全功能组件位于不同的物理主机中,第一虚拟交换机通过overlay隧道进行流量包的传输,overlay隧道用于隔离安全资源池中不同租户的流量包。
可以理解的是,在本发明的各种实施例中,上述各步骤的序号的大小并不意味着执行顺序的先后,各步骤的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。
为了便于理解下面将结合具体的运用实例对本发明实施例中的安全资源池的实现方法进行说明。
在实际运用中,安全资源池部署过程中客户的需求主要分为三类:
1、客户的物理路由器支持策略路由功能,能将流量引到安全资源池进行清洗;
2、客户的路由不支持策略路由功能,则需要安全资源池即可以对流量进行清洗,也需要安全资源池实现策略路由的功能;
3、客户的原有物理安全设备是透明方式部署,则需要安全资源池可以代替原有物理设备,且需要安全资源池以透明方式部署,不能使用策略路由引流。
这三种需求分别对应安全资源池的路由模式、网关模式和透明模式,现需要安全资源池的引流方式能自动去适应不同客户的网络部署模式。
请参阅图5及图6,其中,客户业务云为客户本地的数据中心或私有云,承载客户业务系统。外网为客户业务云以外的网络,一般指Internet。WAN口和LAN口:对于入境流量,外网流量从WAN口进入路由器,再通过LAN口,进入客户网络;对于处境流量,内网流量从LAN进入路由器,再通过WAN口,进入外部网络。
当安全资源池采用路由模式部署,客户的物理路由器支持策略路由功能,如图5所示,和策略路由的部署方式相同,虚拟路由器作为安全资源池的默认网关,负责和客户的核心路由器对接。客户的核心路由器将需要经过安全资源池的目标流量包引导到安全资源池的默认网关(流量包先到第二虚拟交换机,再到虚拟路由器)。虚拟路由器对流量包进行NAT转换之后,再将将目标流量包的五元组与自身存储的转发表进行匹配,以确定目标流量包对应的交换机目标转发端口,在确定目标流量包对应的目标转发端口之后,网络对接设备可以将目标流量包通过目标转发端口转发给与目标转发端口连接的第一虚拟交换机,第一虚拟交换机解析目标流量包中的匹配域字段,并根据匹配域字段与本地存储的流表进行匹配,以确定目标流量包对应的安全服务链,并根据安全服务链进行引流完成清洗,之后流量包经过第二虚拟交换机及虚拟路由器转发回到客户的核心路由器,完成一次流量的检测和/清洗。
当安全资源池采用网关模式部署,如图6所示,此时虚拟路由器代替客户的核心路由器。安全资源池和客户业务云可以在同个二层网络,也可以在不同二层网络,虚拟路由器需要实现策略路由功能。若安全资源池和客户业务云在同个二层网络,入境流量从安全资源池到客户业务云,或出境流量从客户业务云到安全资源池,都不需要经过虚拟路由器。若在不同二层网络,虚拟路由器同时也是安全资源池的默认网关,此时网关模式退化为路由模式,虚拟路由器同时实现客户核心路由器和安全资源池默认网关的角色。
当安全资源池采用透明模式部署,如图7所示,常见于客户原有物理安全设备是透明模式部署,现通过安全资源池替换物理安全设备,但又不想改动原有网络拓扑,此时安全资源池必须以透明模式接入。安全资源池的安全组件和客户业务云在同个二层网络,流量包来到第三虚拟交换机,第三虚拟交换机进行MAC地址学习,但不按照目的MAC地址进行查表转发,而是将流量镜像到与第一虚拟交换机相连的端口;对于与第一虚拟交换机相连的端口来到的数据包,根据目的MAC地址,进行二层转发到用户侧,此时不进行MAC地址学习,其中透明模式是指安全资源池串接在客户内部网络与客户网关之间,类似一根网线,客户的网络设备感受不到,故称为透明模式。第一虚拟交换机解析目标流量包中的匹配域字段,并根据匹配域字段与本地存储的流表进行匹配,以确定目标流量包对应的安全服务链,并根据安全服务链进行引流完成清洗,之后流量包回到第三虚拟交换机进行虚拟二层转发使得流量包通过WAN口或LAN口转发出去。
具体的,第二虚拟交换机的功能可以包括:MAC地址学习,二层转发,二层引流,VLAN包头的封装/解封装。MAC地址学习指通过数据包的源MAC地址和交换机端口的对应关系,建立二层转发表。二层转发指根据目的MAC,查询二层转发表,讲数据包从正确的交换机端口转发出去。VLAN包头的封装/解封装是指:在数据包交给虚拟路由或OVS/VPP之前,剥离VLAN包头;在数据包经过安全服务链,再次来到虚拟交换机时,给数据包加上VLAN包头。
虚拟路由器的功能可以包括:ARP应答及代答,代发ARP包,运行路由协议,三层转发,引流,NAT。ARP应答指回复对自身MAC的ARP请求,ARP代答是指代替安全组件回复对安全组件MAC的ARP请求。代发ARP包是指在网关模式下,数据包经过安全服务链的检测和过滤后,来到虚拟路由器,需要有下一跳的MAC地址,数据包才能转发出去,此时虚拟路由器缓存数据包,构造ARP请求询问下一跳的MAC地址,并将ARP请求发送出去,等收到ARP回复,再修改原数据包的目的MAC和源MAC地址,将数据包转发出去。运行路由协议是指运行静态/动态路由协议,与其它路由器交换路由信息,形成自身的路由转发表。三层转发是指根据路由表进行数据包转发。引流是指指依据五元组等匹配域将流量进行引到虚拟路由器或安全服务链的OVS/VPP。NAT包括SNAT和DNAT功能。
如图8所示,第一虚拟交换机可以包括:流分类模块,安全服务链引流模块,Proxy模块,overlay隧道。其中,流分类模块用于通过灵活的匹配域组合,及不同的服务质量要求,对流量进行分类,并打上NSH标签。安全服务链引流模块根据服务链相关的转发策略和数据包的NSH标签,对流量进行转发,使流量按顺序依次经过预先定义好的物理/虚拟安全功能组件。对于无法识别NSH标签的安全功能组件,Proxy模块会先去掉数据包的NSH标签,再发送给安全功能组件,当数据包从安全功能组件回来时,会重新进行流分类或者通过proxy模块把NSH标签重新加上。Overlay隧道是指安全功能组件在不同的物理主机上时,不同物理主机的OVS可以通过overlay隧道功能进行数据包的传输,此处隧道主要用于隔离安全资源池中不同租户的流量,此处的overlay隧道技术包括VXLAN、GRE、STT、Geneve等实现。
安全服务链:通过第一虚拟交换机灵活的匹配域组合及动作,可以实现能不熟于多种模式之下的安全服务链。服务链相关转发表项的生成及下发,可以通过人工手动配置,也可以通过SDN控制器的应用来自动实现。SDN控制器的应用需要包括拓扑和安全功能组件信息采集、服务链定义、路径计算、规则冲突检测、流表下发等功能,还需要支持安全功能组件迁移及其它原因引起的服务链的动态增删改功能。
上述实施例对本发明实施例中的安全资源池的实现方法进行了描述,下面将对本发明实施例中的安全资源池系统进行描述,请参阅图9,本发明实施例中一种基于SDN网络的安全资源池系统的一个实施例可包括:
网络对接设备50、第一虚拟交换机60及至少一个安全功能组件70,其中,
网络对接设备50用于接收用户侧的目标流量包,并将目标流量包的五元组与自身存储的转发表进行匹配,以确定目标流量包对应的交换机目标转发端口,转发表指示五元组与交换机转发端口的对应关系;
网络对接设备50还用于将目标流量包转发给与目标转发端口连接的第一虚拟交换机;
第一虚拟交换机60包括流分类模块601及转发模块602;
流分类模块601用于解析目标流量包中的匹配域字段,并根据匹配域字段与本地存储的流表进行匹配,以确定目标流量包对应的安全服务链,目标流量包包括至少两个匹配域字段,流表指示预置类型的匹配域字段与安全服务链的对应关系,安全服务链指示对应的流量包按照预定的顺序经过安全资源池中预置数量的安全功能组件;
转发模块602用于根据安全服务链对目标流量包进行安全引流,以完成对目标流量包的清洗。
可选的,作为一种可能的实施方式,本发明实施例中,匹配域字段包括但不限于:交换机入端口、源MAC地址、目的MAC地址、以太网类型、以太网标签、虚拟局域网VLAN优先级、源IP、目的IP、IP协议字段、IP服务类型、TCP/UDP源端口号、TCP/UDP目的端口号。
可选的,作为一种可能的实施方式,如图10所示,本发明实施例中,网络对接设备50包括:
第二虚拟交换机501以及虚拟路由器502,其中,
第二虚拟交换机501用于接收目标流量包并根据对应的目的MAC地址将目标流量包转发给虚拟路由器;
虚拟路由器502根据自身存储的转发表确定目标流量包对应的交换机目标转发端口。
可选的,作为一种可能的实施方式,如图11所示,本发明实施例中,网络对接设备50包括:
第三虚拟交换机503,当接受到目标流量包之后,用于将目标流量包镜像到与第一虚拟交换机60相连的目标转发端口。
可选的,作为一种可能的实施方式,本发明实施例中,流分类模块601包括解析单元6011及标签单元6012,解析单元6011用于解析目标流量包中的匹配域字段,并根据匹配域字段与本地存储的流表进行匹配,以确定目标流量包对应的安全服务链;
标签单元6012,用于将安全服务链对应的服务链路径ID、服务链路径上各安全功能组件的编号及服务链元数据封装到目标流量包头部形成NSH标签;
转发模块602用于根据NSH标签中服务链路径ID及目标流量包当前所处的节点位置将目标流量包引流到下一节点,以实现目标流量包进行安全引流。
可选的,作为一种可能的实施方式,本发明实施例中,第一虚拟交换机还包括proxy模块,当安全资源池中的目标安全功能组件不能识别NSH标签时,proxy模块通过代理功能处理NSH标签,代理功能包括:在安全服务链经过目标安全功能组件之前去除NSH标签,当安全服务链从目标安全功能组件回到第一虚拟交换机时,为安全服务链重新加上NSH标签。
可选的,作为一种可能的实施方式,本发明实施例中,匹配域字段还包括租户ID,当多个租户使用相同IP地址时,解析单元6011根据与本地存储的流表进行匹配,以确定使用相同IP地址的租户流量包的安全服务链。
可选的,作为一种可能的实施方式,当所述安全资源池中的安全功能组件位于不同的物理主机中,第一虚拟交换机可以通过overlay隧道进行流量包的传输,overlay隧道用于隔离安全资源池中不同租户的流量包,此处的overlay隧道技术包括VXLAN、GRE、STT、Geneve等实现。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (14)
1.一种安全资源池的实现方法,其特征在于,包括:
网络对接设备接收用户侧的目标流量包;
所述网络对接设备将所述目标流量包的五元组与自身存储的转发表进行匹配,以确定所述目标流量包对应的交换机目标转发端口,所述转发表指示五元组与交换机转发端口的对应关系;
所述网络对接设备将所述目标流量包转发给与所述目标转发端口连接的第一虚拟交换机;
所述第一虚拟交换机解析所述目标流量包中的匹配域字段,所述目标流量包包括至少两个匹配域字段;
所述第一虚拟交换机根据所述匹配域字段与本地存储的流表进行匹配,以确定所述目标流量包对应的安全服务链,所述流表指示预置类型的匹配域字段与安全服务链的对应关系,所述安全服务链指示对应的流量包按照预定的顺序经过安全资源池中预置数量的安全功能组件;
所述第一虚拟交换机根据安全服务链对所述目标流量包进行安全引流,以完成对所述目标流量包的清洗。
2.根据权利要求1所述的方法,其特征在于,
所述匹配域字段包括但不限于:交换机入端口、源MAC地址、目的MAC地址、以太网类型、以太网标签、虚拟局域网VLAN优先级、源IP、目的IP、IP协议字段、IP服务类型、TCP/UDP源端口号、TCP/UDP目的端口号。
3.根据权利要求2所述的方法,其特征在于,所述网络对接设备包括:
第二虚拟交换机以及虚拟路由器,其中,
所述第二虚拟交换机用于接收所述目标流量包并根据对应的目的MAC地址将所述目标流量包转发给所述虚拟路由器;
所述虚拟路由器根据自身存储的所述转发表确定所述目标流量包对应的交换机目标转发端口。
4.根据权利要求2所述的方法,其特征在于,所述网络对接设备包括第三虚拟交换机,当接受到所述目标流量包之后,用于将所述目标流量包镜像到与所述第一虚拟交换机相连的所述目标转发端口。
5.根据权利要求3或4所述的方法,其特征在于,所述第一虚拟交换机根据安全服务链对所述目标流量包进行安全引流,包括:
所述第一虚拟交换机将安全服务链对应的服务链路径ID、服务链路径上各安全功能组件的编号及服务链元数据封装到所述目标流量包头部形成NSH标签;
所述第一虚拟交换机根据所述NSH标签中服务链路径ID及所述目标流量包当前所处的节点位置将所述目标流量包引流到下一节点。
6.根据权利要求5所述的方法,其特征在于,
当所述安全资源池中的目标安全功能组件不能识别所述NSH标签时,所述第一虚拟交换机通过代理proxy功能处理所述NSH标签,所述proxy功能包括:在安全服务链经过所述目标安全功能组件之前去除所述NSH标签,当安全服务链从所述目标安全功能组件回到所述第一虚拟交换机时,为安全服务链重新加上所述NSH标签。
7.据权利要求6所述的方法,其特征在于,
所述匹配域字段还包括租户ID,当多个租户使用相同IP地址时,所述第一虚拟交换机根据与本地存储的流表进行匹配,以确定使用相同IP地址的租户流量包的安全服务链。
8.一种安全资源池系统,其特征在于,包括:
网络对接设备、第一虚拟交换机及至少一个安全功能组件,其中,
所述网络对接设备用于接收用户侧的目标流量包,并将所述目标流量包的五元组与自身存储的转发表进行匹配,以确定所述目标流量包对应的交换机目标转发端口,所述转发表指示五元组与交换机转发端口的对应关系;
所述网络对接设备还用于将所述目标流量包转发给与所述目标转发端口连接的第一虚拟交换机;
所述第一虚拟交换机包括流分类模块及转发模块;
所述流分类模块用于解析所述目标流量包中的匹配域字段,并根据所述匹配域字段与本地存储的流表进行匹配,以确定所述目标流量包对应的安全服务链,所述目标流量包包括至少两个匹配域字段,所述流表指示预置类型的匹配域字段与安全服务链的对应关系,所述安全服务链指示对应的流量包按照预定的顺序经过安全资源池中预置数量的安全功能组件;
所述转发模块用于根据安全服务链对所述目标流量包进行安全引流,以完成对所述目标流量包的清洗。
9.根据权利要求8所述的系统,其特征在于,
所述匹配域字段包括但不限于:交换机入端口、源MAC地址、目的MAC地址、以太网类型、以太网标签、虚拟局域网VLAN优先级、源IP、目的IP、IP协议字段、IP服务类型、TCP/UDP源端口号、TCP/UDP目的端口号。
10.根据权利要求9所述的系统,其特征在于,所述网络对接设备包括:
第二虚拟交换机以及虚拟路由器,其中,
所述第二虚拟交换机用于接收所述目标流量包并根据对应的目的MAC地址将所述目标流量包转发给所述虚拟路由器;
所述虚拟路由器根据自身存储的所述转发表确定所述目标流量包对应的交换机目标转发端口。
11.根据权利要求9所述的系统,其特征在于,所述网络对接设备包括:
第三虚拟交换机,当接受到所述目标流量包之后,用于将所述目标流量包镜像到与所述第一虚拟交换机相连的所述目标转发端口。
12.根据权利要求10或11所述的方法,其特征在于,所述流分类模块包括解析单元及标签单元,所述解析单元用于解析所述目标流量包中的匹配域字段,并根据所述匹配域字段与本地存储的流表进行匹配,以确定所述目标流量包对应的安全服务链;
所述标签单元,用于将安全服务链对应的服务链路径ID、服务链路径上各安全功能组件的编号及服务链元数据封装到所述目标流量包头部形成NSH标签;
所述转发模块用于根据所述NSH标签中服务链路径ID及所述目标流量包当前所处的节点位置将所述目标流量包引流到下一节点,以实现所述目标流量包进行安全引流。
13.根据权利要求12所述的系统,其特征在于,所述第一虚拟交换机还包括proxy模块,当所述安全资源池中的目标安全功能组件不能识别所述NSH标签时,所述proxy模块通过代理功能处理所述NSH标签,所述代理功能包括:在安全服务链经过所述目标安全功能组件之前去除所述NSH标签,当安全服务链从所述目标安全功能组件回到所述第一虚拟交换机时,为安全服务链重新加上所述NSH标签。
14.根据权利要求13中所述的系统,其特征在于,
所述匹配域字段还包括租户ID,所述当多个租户使用相同IP地址时,所述解析单元根据与本地存储的流表进行匹配,以确定使用相同IP地址的租户流量包的安全服务链。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711487215.0A CN107920023B (zh) | 2017-12-29 | 2017-12-29 | 一种安全资源池的实现方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711487215.0A CN107920023B (zh) | 2017-12-29 | 2017-12-29 | 一种安全资源池的实现方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107920023A true CN107920023A (zh) | 2018-04-17 |
CN107920023B CN107920023B (zh) | 2021-01-19 |
Family
ID=61894586
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201711487215.0A Active CN107920023B (zh) | 2017-12-29 | 2017-12-29 | 一种安全资源池的实现方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107920023B (zh) |
Cited By (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108833232A (zh) * | 2018-06-27 | 2018-11-16 | 烽火通信科技股份有限公司 | 一种基于VPP的PPPoE客户端实现方法及PPPoE客户端 |
CN109040101A (zh) * | 2018-08-27 | 2018-12-18 | 北京安数云信息技术有限公司 | 一种基于openflow协议实现多租户使用不同安全服务的方法 |
CN109756362A (zh) * | 2018-11-23 | 2019-05-14 | 北京奇安信科技有限公司 | 一种第三方安全组件的集成处理方法及装置 |
CN111131135A (zh) * | 2018-11-01 | 2020-05-08 | 深信服科技股份有限公司 | 数据传输方法、系统、计算机可读存储介质及电子设备 |
CN112242925A (zh) * | 2020-09-30 | 2021-01-19 | 新华三信息安全技术有限公司 | 一种安全管理方法及设备 |
CN112671713A (zh) * | 2020-11-30 | 2021-04-16 | 山东电力工程咨询院有限公司 | 一种sdn网络数据转发方法、sdn交换机、控制器及系统 |
CN112822037A (zh) * | 2020-12-30 | 2021-05-18 | 绿盟科技集团股份有限公司 | 一种安全资源池的流量编排方法及系统 |
CN112910705A (zh) * | 2021-02-02 | 2021-06-04 | 杭州安恒信息技术股份有限公司 | 网络流量编排的方法、设备和存储介质 |
CN112995316A (zh) * | 2021-02-25 | 2021-06-18 | 深信服科技股份有限公司 | 数据处理方法、装置、电子设备和存储介质 |
CN113300952A (zh) * | 2021-04-14 | 2021-08-24 | 启明星辰信息技术集团股份有限公司 | 一种用于云安全资源池的分布式引流系统及其引流方法 |
CN113381879A (zh) * | 2021-05-17 | 2021-09-10 | 浪潮思科网络科技有限公司 | 一种基于sdn的网络部署方法及设备 |
CN114244592A (zh) * | 2021-12-08 | 2022-03-25 | 中盈优创资讯科技有限公司 | 一种vpc环境下安全服务的调度方法及装置 |
CN114257473A (zh) * | 2021-12-10 | 2022-03-29 | 北京天融信网络安全技术有限公司 | 资源池中多个透明桥的实现方法、装置、设备和介质 |
CN114363027A (zh) * | 2021-12-27 | 2022-04-15 | 武汉思普崚技术有限公司 | 一种用于引流、回流、远程访问的控制方法及装置 |
CN114531287A (zh) * | 2022-02-17 | 2022-05-24 | 恒安嘉新(北京)科技股份公司 | 虚拟资源获取行为的检测方法、装置、设备及介质 |
CN114629853A (zh) * | 2022-02-28 | 2022-06-14 | 天翼安全科技有限公司 | 安全资源池中基于安全服务链解析的流量分类控制方法 |
CN114944952A (zh) * | 2022-05-20 | 2022-08-26 | 深信服科技股份有限公司 | 一种数据处理方法、装置、系统、设备及可读存储介质 |
CN115296842A (zh) * | 2022-06-27 | 2022-11-04 | 深信服科技股份有限公司 | 业务流量的编排方法、装置、应用交付设备及介质 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20130332983A1 (en) * | 2012-06-12 | 2013-12-12 | TELEFONAKTIEBOLAGET L M ERRICSSON (publ) | Elastic Enforcement Layer for Cloud Security Using SDN |
CN104618379A (zh) * | 2015-02-04 | 2015-05-13 | 北京天地互连信息技术有限公司 | 一种面向idc业务场景的安全服务编排方法及网络结构 |
CN105306622A (zh) * | 2015-11-30 | 2016-02-03 | 南京优速网络科技有限公司 | 一种云网融合域名解析系统及其dns服务方法 |
CN105592047A (zh) * | 2015-08-26 | 2016-05-18 | 杭州华三通信技术有限公司 | 一种业务报文的传输方法和装置 |
CN105721535A (zh) * | 2014-12-23 | 2016-06-29 | 英特尔公司 | 对服务功能链中的服务功能的并行处理 |
CN105850102A (zh) * | 2013-10-29 | 2016-08-10 | 瑞典爱立信有限公司 | 服务链的控制 |
CN106027626A (zh) * | 2016-05-12 | 2016-10-12 | 赛特斯信息科技股份有限公司 | 基于sdn实现虚拟化数据中心的系统 |
CN106789542A (zh) * | 2017-03-03 | 2017-05-31 | 清华大学 | 一种云数据中心安全服务链的实现方法 |
-
2017
- 2017-12-29 CN CN201711487215.0A patent/CN107920023B/zh active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20130332983A1 (en) * | 2012-06-12 | 2013-12-12 | TELEFONAKTIEBOLAGET L M ERRICSSON (publ) | Elastic Enforcement Layer for Cloud Security Using SDN |
CN105850102A (zh) * | 2013-10-29 | 2016-08-10 | 瑞典爱立信有限公司 | 服务链的控制 |
CN105721535A (zh) * | 2014-12-23 | 2016-06-29 | 英特尔公司 | 对服务功能链中的服务功能的并行处理 |
CN104618379A (zh) * | 2015-02-04 | 2015-05-13 | 北京天地互连信息技术有限公司 | 一种面向idc业务场景的安全服务编排方法及网络结构 |
CN105592047A (zh) * | 2015-08-26 | 2016-05-18 | 杭州华三通信技术有限公司 | 一种业务报文的传输方法和装置 |
CN105306622A (zh) * | 2015-11-30 | 2016-02-03 | 南京优速网络科技有限公司 | 一种云网融合域名解析系统及其dns服务方法 |
CN106027626A (zh) * | 2016-05-12 | 2016-10-12 | 赛特斯信息科技股份有限公司 | 基于sdn实现虚拟化数据中心的系统 |
CN106789542A (zh) * | 2017-03-03 | 2017-05-31 | 清华大学 | 一种云数据中心安全服务链的实现方法 |
Cited By (27)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108833232A (zh) * | 2018-06-27 | 2018-11-16 | 烽火通信科技股份有限公司 | 一种基于VPP的PPPoE客户端实现方法及PPPoE客户端 |
CN108833232B (zh) * | 2018-06-27 | 2020-09-15 | 烽火通信科技股份有限公司 | 一种基于VPP的PPPoE客户端实现方法及PPPoE客户端 |
CN109040101A (zh) * | 2018-08-27 | 2018-12-18 | 北京安数云信息技术有限公司 | 一种基于openflow协议实现多租户使用不同安全服务的方法 |
CN111131135A (zh) * | 2018-11-01 | 2020-05-08 | 深信服科技股份有限公司 | 数据传输方法、系统、计算机可读存储介质及电子设备 |
CN109756362A (zh) * | 2018-11-23 | 2019-05-14 | 北京奇安信科技有限公司 | 一种第三方安全组件的集成处理方法及装置 |
CN112242925A (zh) * | 2020-09-30 | 2021-01-19 | 新华三信息安全技术有限公司 | 一种安全管理方法及设备 |
CN112242925B (zh) * | 2020-09-30 | 2022-04-01 | 新华三信息安全技术有限公司 | 一种安全管理方法及设备 |
CN112671713A (zh) * | 2020-11-30 | 2021-04-16 | 山东电力工程咨询院有限公司 | 一种sdn网络数据转发方法、sdn交换机、控制器及系统 |
CN112822037B (zh) * | 2020-12-30 | 2022-09-02 | 绿盟科技集团股份有限公司 | 一种安全资源池的流量编排方法及系统 |
CN112822037A (zh) * | 2020-12-30 | 2021-05-18 | 绿盟科技集团股份有限公司 | 一种安全资源池的流量编排方法及系统 |
CN112910705A (zh) * | 2021-02-02 | 2021-06-04 | 杭州安恒信息技术股份有限公司 | 网络流量编排的方法、设备和存储介质 |
CN112910705B (zh) * | 2021-02-02 | 2023-04-07 | 杭州安恒信息技术股份有限公司 | 网络流量编排的方法、设备和存储介质 |
CN112995316A (zh) * | 2021-02-25 | 2021-06-18 | 深信服科技股份有限公司 | 数据处理方法、装置、电子设备和存储介质 |
CN113300952B (zh) * | 2021-04-14 | 2022-08-12 | 启明星辰信息技术集团股份有限公司 | 一种用于云安全资源池的分布式引流系统及其引流方法 |
CN113300952A (zh) * | 2021-04-14 | 2021-08-24 | 启明星辰信息技术集团股份有限公司 | 一种用于云安全资源池的分布式引流系统及其引流方法 |
CN113381879A (zh) * | 2021-05-17 | 2021-09-10 | 浪潮思科网络科技有限公司 | 一种基于sdn的网络部署方法及设备 |
CN113381879B (zh) * | 2021-05-17 | 2023-02-28 | 浪潮思科网络科技有限公司 | 一种基于sdn的网络部署方法及设备 |
CN114244592A (zh) * | 2021-12-08 | 2022-03-25 | 中盈优创资讯科技有限公司 | 一种vpc环境下安全服务的调度方法及装置 |
CN114257473A (zh) * | 2021-12-10 | 2022-03-29 | 北京天融信网络安全技术有限公司 | 资源池中多个透明桥的实现方法、装置、设备和介质 |
CN114363027A (zh) * | 2021-12-27 | 2022-04-15 | 武汉思普崚技术有限公司 | 一种用于引流、回流、远程访问的控制方法及装置 |
CN114363027B (zh) * | 2021-12-27 | 2023-05-12 | 武汉思普崚技术有限公司 | 一种用于引流、回流、远程访问的控制方法及装置 |
CN114531287A (zh) * | 2022-02-17 | 2022-05-24 | 恒安嘉新(北京)科技股份公司 | 虚拟资源获取行为的检测方法、装置、设备及介质 |
CN114531287B (zh) * | 2022-02-17 | 2024-06-11 | 恒安嘉新(北京)科技股份公司 | 虚拟资源获取行为的检测方法、装置、设备及介质 |
CN114629853A (zh) * | 2022-02-28 | 2022-06-14 | 天翼安全科技有限公司 | 安全资源池中基于安全服务链解析的流量分类控制方法 |
CN114944952A (zh) * | 2022-05-20 | 2022-08-26 | 深信服科技股份有限公司 | 一种数据处理方法、装置、系统、设备及可读存储介质 |
CN114944952B (zh) * | 2022-05-20 | 2023-11-07 | 深信服科技股份有限公司 | 一种数据处理方法、装置、系统、设备及可读存储介质 |
CN115296842A (zh) * | 2022-06-27 | 2022-11-04 | 深信服科技股份有限公司 | 业务流量的编排方法、装置、应用交付设备及介质 |
Also Published As
Publication number | Publication date |
---|---|
CN107920023B (zh) | 2021-01-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107920023A (zh) | 一种安全资源池的实现方法及系统 | |
CN107911258A (zh) | 一种基于sdn网络的安全资源池的实现方法及系统 | |
CN107872392A (zh) | 在网络中分配服务功能链数据和服务功能实例数据 | |
CN103546451B (zh) | 用于管理覆盖网络中的流量的系统和方法 | |
US10237230B2 (en) | Method and system for inspecting network traffic between end points of a zone | |
CN106612224B (zh) | 应用于vxlan的报文转发方法和装置 | |
CN104639414B (zh) | 一种报文转发方法和设备 | |
CN105706043B (zh) | 推进式链接的列表吞吐量 | |
CN104518940B (zh) | 实现nvo3网络与mpls网络之间通信的方法和装置 | |
CN104685500B (zh) | 在覆盖网络中应用安全性策略的方法和系统 | |
CN104380658B (zh) | 流分类器、业务路由触发器、报文处理的方法和系统 | |
CN109716717A (zh) | 从软件定义的网络控制器管理虚拟端口信道交换机对等体 | |
CN104704778B (zh) | 用于虚拟和物理网络集成的方法和系统 | |
CN105765946B (zh) | 支持数据网络中的服务链接的方法和系统 | |
CN104335532B (zh) | 将分组路由到虚拟转发实例的远端地址的方法和装置 | |
CN106254256B (zh) | 基于三层vxlan网关的数据报文转发方法和设备 | |
CN108173694A (zh) | 一种数据中心的安全资源池接入方法及系统 | |
CN108199958A (zh) | 一种通用的安全资源池服务链实现方法及系统 | |
CN108293021A (zh) | 边缘网关处的动态数据通路 | |
CN107948086A (zh) | 一种数据包发送方法、装置及混合云网络系统 | |
CN108475206A (zh) | 在网络功能虚拟化架构中实现精细的粒度服务链 | |
CN106936939A (zh) | 一种报文处理方法、相关装置及nvo3网络系统 | |
CN107959654A (zh) | 一种数据传输方法、装置及混合云系统 | |
CN104811382B (zh) | 数据包的处理方法与装置 | |
CN106233673A (zh) | 网络服务插入 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |