CN110839007B - 一种云网络安全处理方法、设备和计算机存储介质 - Google Patents

一种云网络安全处理方法、设备和计算机存储介质 Download PDF

Info

Publication number
CN110839007B
CN110839007B CN201810940352.3A CN201810940352A CN110839007B CN 110839007 B CN110839007 B CN 110839007B CN 201810940352 A CN201810940352 A CN 201810940352A CN 110839007 B CN110839007 B CN 110839007B
Authority
CN
China
Prior art keywords
security policy
data
policy information
security
traffic
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201810940352.3A
Other languages
English (en)
Other versions
CN110839007A (zh
Inventor
张晓光
唐华斌
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Mobile Communications Group Co Ltd
China Mobile Communications Ltd Research Institute
Original Assignee
China Mobile Communications Group Co Ltd
China Mobile Communications Ltd Research Institute
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Mobile Communications Group Co Ltd, China Mobile Communications Ltd Research Institute filed Critical China Mobile Communications Group Co Ltd
Priority to CN201810940352.3A priority Critical patent/CN110839007B/zh
Publication of CN110839007A publication Critical patent/CN110839007A/zh
Application granted granted Critical
Publication of CN110839007B publication Critical patent/CN110839007B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Storage Device Security (AREA)

Abstract

本发明实施例公开了一种云网络安全处理方法、设备和计算机存储介质。所述方法包括:识别接收的数据,确定所述数据的类型;基于所述数据的类型确定对应的安全策略,基于所述安全策略进行安全处理。

Description

一种云网络安全处理方法、设备和计算机存储介质
技术领域
本发明涉及网络安全技术领域,具体涉及一种云网络安全处理方法、设备和计算机存储介质。
背景技术
典型数据中心的安全方案,是在核心交换机和网络出口部署防火墙进行安全防护,这种处理方案,将网络的安全处理集中放置容易形成瓶颈,影响网络通信效率。在云平台里面,分布式安全处理方案,比如在各个计算节点上进行安全处理,虽然解决了集中处理带来的瓶颈问题,但过于分散的网络安全部署处理,增加了平台故障点,增加了网络路径,也一定程度影响了网络通信的效率。
发明内容
为解决现有存在的技术问题,本发明实施例提供了一种云网络安全处理方法、设备和计算机存储介质。
为达到上述目的,本发明实施例的技术方案是这样实现的:
第一方面,本发明实施例提供了一种云网络安全处理方法,所述方法包括:
识别接收的数据,确定所述数据的类型;
基于所述数据的类型确定对应的安全策略,基于所述安全策略进行安全处理。
上述方案中,所述识别接收的数据,确定所述数据的类型,包括:
识别接收的数据,获得所述数据携带的第一标识,基于所述标识确定所述数据的类型。
上述方案中,所述基于所述数据的类型确定对应的安全策略之前,所述方法还包括:
获得安全策略信息;所述安全策略信息包括对应于业务平面的第一安全策略信息、对应于存储平面的第二安全策略信息和对应于控制平面的第三安全策略信息;其中,
所述第一安全策略信息包括至少一组业务分类、所述业务分类对应的安全策略以及所述业务分类对应的标识;其中,不同的业务分类对应不同的标识;
所述第二安全策略信息包括:至少一组存储网络类型、所述存储网络类型对应的安全策略以及所述存储网络类型对应的标识;
所述第三安全策略信息包括:至少一组管理网络、所述管理网络对应的安全策略以及所述管理网络对应的标识。
上述方案中,所述获得所述数据携带的第一标识,基于所述标识确定所述数据的类型,包括:
基于所述数据携带的第一标识确定所述数据属于业务平面数据、存储平面数据或控制平面数据,获得第一结果;
所述基于所述数据的类型确定对应的安全策略,包括:基于所述第一结果从所述第一安全策略信息、所述第二安全策略信息或所述第三安全策略信息中获得与所述第一标识对应的安全策略。
上述方案中,所述方法还包括:
获得流量调度信息;所述流量调度信息包括至少一组业务分类、所述业务分类对应的流量;
所述基于所述安全策略进行安全处理,包括:基于所述安全策略以及所述业务分类对应的流量进行安全处理。
第二方面,本发明实施例还提供了一种云网络安全处理方法,所述方法包括:
根据数据的类型配置对应的安全策略,生成安全策略信息;
发送所述安全策略信息至至少一个接入交换机。
上述方案中,所述安全策略信息包括对应于业务平面的第一安全策略信息、对应于存储平面的第二安全策略信息和对应于控制平面的第三安全策略信息;其中,
所述第一安全策略信息包括至少一组业务分类、所述业务分类对应的安全策略以及所述业务分类对应的标识;其中,不同的业务分类对应不同的标识;
所述第二安全策略信息包括:至少一组存储网络类型、所述存储网络类型对应的安全策略以及所述存储网络类型对应的标识;
所述第三安全策略信息包括:至少一组管理网络、所述管理网络对应的安全策略以及所述管理网络对应的标识。
上述方案中所述方法还包括:识别接收的数据,确定具有互信关系的数据,将所述具有互信关系的数据调度至同一交换机。
上述方案中,所述方法还包括:基于所述数据的类型以及数据量确定安全处理过程中需要的流量,生成流量调度信息,发送所述流量调度信息。
上述方案中,所述方法还包括:基于所述数据在安全处理过程中需要的流量调度数据。
第三方面,本发明实施例还提供了一种接入交换机,所述接入交换机包括:识别单元和安全处理单元;其中,
所述识别单元,用于识别接收的数据,确定所述数据的类型;
所述安全处理单元,用于基于所述识别单元确定的所述数据的类型确定对应的安全策略,基于所述安全策略进行安全处理。
上述方案中,所述识别单元,用于识别接收的数据,获得所述数据携带的第一标识,基于所述标识确定所述数据的类型。
上述方案中,所述接入交换机还包括第一获取单元,用于获得安全策略信息;所述安全策略信息包括对应于业务平面的第一安全策略信息、对应于存储平面的第二安全策略信息和对应于控制平面的第三安全策略信息;其中,所述第一安全策略信息包括至少一组业务分类、所述业务分类对应的安全策略以及所述业务分类对应的标识;其中,不同的业务分类对应不同的标识;所述第二安全策略信息包括:至少一组存储网络类型、所述存储网络类型对应的安全策略以及所述存储网络类型对应的标识;所述第三安全策略信息包括:至少一组管理网络、所述管理网络对应的安全策略以及所述管理网络对应的标识。
上述方案中,所述识别单元,用于基于所述数据携带的第一标识确定所述数据属于业务平面数据、存储平面数据或控制平面数据,获得第一结果;
所述安全处理单元,用于基于所述第一结果从所述第一安全策略信息、所述第二安全策略信息或所述第三安全策略信息中获得与所述第一标识对应的安全策略。
上述方案中,所述接入交换机还包括第二获取单元,用于获得流量调度信息;所述流量调度信息包括至少一组业务分类、所述业务分类对应的流量;
所述安全处理单元,用于基于所述安全策略以及所述业务分类对应的流量进行安全处理。
第四方面,本发明实施例还提供了一种服务器,所述服务器包括策略生成单元和通讯单元;其中,
所述策略生成单元,用于根据数据的类型配置对应的安全策略,生成安全策略信息;
所述通讯单元,用于发送所述安全策略信息至至少一个接入交换机。
上述方案中,所述安全策略信息包括对应于业务平面的第一安全策略信息、对应于存储平面的第二安全策略信息和对应于控制平面的第三安全策略信息;其中,
所述第一安全策略信息包括至少一组业务分类、所述业务分类对应的安全策略以及所述业务分类对应的标识;其中,不同的业务分类对应不同的标识;
所述第二安全策略信息包括:至少一组存储网络类型、所述存储网络类型对应的安全策略以及所述存储网络类型对应的标识;
所述第三安全策略信息包括:至少一组管理网络、所述管理网络对应的安全策略以及所述管理网络对应的标识。
上述方案中,所述服务器还包括第一调度单元,用于识别接收的数据,确定具有互信关系的数据,将所述具有互信关系的数据调度至同一交换机。
上述方案中,所述服务器还包括流量分配单元,用于基于所述数据的类型以及数据量确定安全处理过程中需要的流量,生成流量调度信息;
所述通讯单元,还用于发送所述流量调度信息。
上述方案中,所述服务器还包括第二调度单元,用于基于所述数据在安全处理过程中需要的流量调度数据。
第五方面,本发明实施例还提供了一种计算机可读存储介质,其上存储有计算机指令,该指令被处理器执行时实现本发明实施例第一方面所述云网络安全处理方法的步骤;
或者,该指令被处理器执行时实现本发明实施例第二方面所述云网络安全处理方法的步骤。
第六方面,本发明实施例还提供了一种接入交换机,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现本发明实施例第一方面所述云网络安全处理方法的步骤。
第七方面,本发明实施例还提供了一种服务器,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现本发明实施例第二方面所述云网络安全处理方法的步骤。
本发明实施例提供的云网络安全处理方法、设备和计算机存储介质,所述方法包括:识别接收的数据,确定所述数据的类型;基于所述数据的类型确定对应的安全策略,基于所述安全策略进行安全处理。采用本发明实施例的技术方案,通过边缘计算机对数据的类型的分析,并执行该类型对应的安全策略,一方面避免了将网络安全处理集中在核心交换机导致的处理瓶颈问题,影响网络通信效率;另一方面,也避免了将网络安全处理分布在各个计算节点上导致的通络通信效率不高的问题。
附图说明
图1为本发明实施例的云网络安全处理方法的流程示意图一;
图2为本发明实施例的云网络安全处理方法中的机柜的组成结构示意图;
图3为本发明实施例的云网络安全处理方法的流程示意图二;
图4为本发明实施例的接入交换机的组成结构示意图一;
图5为本发明实施例的接入交换机的组成结构示意图二;
图6为本发明实施例的接入交换机的组成结构示意图三;
图7为本发明实施例的服务器的组成结构示意图一;
图8为本发明实施例的服务器的组成结构示意图二;
图9为本发明实施例的服务器的组成结构示意图三;
图10为本发明实施例的服务器的组成结构示意图四。
具体实施方式
下面结合附图及具体实施例对本发明作进一步详细的说明。
本发明实施例提供了一种云网络安全处理方法。图1为本发明实施例的云网络安全处理方法的流程示意图一;如图1所示,所述方法包括:
步骤101:识别接收的数据,确定所述数据的类型。
步骤102:基于所述数据的类型确定对应的安全策略,基于所述安全策略进行安全处理。
本发明实施例的云网络安全处理方法应用于接入(TOR)交换机,接入交换机位于机柜中。
图2为本发明实施例的云网络安全处理方法中的机柜的组成结构示意图;如图2所示,一个机柜中通常放置10-15台服务器;而这10-15台服务器中可包括至少一个接入交换机、至少一个控制节点、至少一个计算节点和至少一个存储节点。接入交换机设置有控制平面、业务平面和存储平面,接入交换机和节点之间、以及节点之间通过三个网络平面(包括控制平面、业务平面和存储平面)实现互访。其中,控制平面主要实现云平台的管理,比如节点中的计算组件、存储组件、网络组件的控制和管理,以及实现组件间的消息通信、管理数据的存储等;业务平面是提供业务对内和对外访问;存储平面主要是实现业务对存储资源的网络访问及存储资源内部的互访。而本发明实施例中的云网络安全处理位于接入交换机上,可以有效平衡业务网络响应速度和安全处理,在保证安全的同时,不影响业务的影响。
本实施例中,所述识别接收的数据,确定所述数据的类型,包括:识别接收的数据,获得所述数据携带的第一标识,基于所述标识确定所述数据的类型。
具体的,预先将数据进行分类,根据不同的数据类型,选择不同的安全策略。
在一实施例中,所述基于所述数据的类型确定对应的安全策略之前,所述方法还包括:获得安全策略信息;所述安全策略信息包括对应于业务平面的第一安全策略信息、对应于存储平面的第二安全策略信息和对应于控制平面的第三安全策略信息;其中,所述第一安全策略信息包括至少一组业务分类、所述业务分类对应的安全策略以及所述业务分类对应的标识;其中,不同的业务分类对应不同的标识;所述第二安全策略信息包括:至少一组存储网络类型、所述存储网络类型对应的安全策略以及所述存储网络类型对应的标识;所述第三安全策略信息包括:至少一组管理网络、所述管理网络对应的安全策略以及所述管理网络对应的标识。
这里,本发明实施例中在对数据进行安全处理之前,预先获得安全策略信息,基于该安全策略信息选择数据对应的安全策略。其中,安全策略信息包括对应于业务平面的第一安全策略信息、对应于存储平面的第二安全策略信息和对应于控制平面的第三安全策略信息。其中,第一安全策略信息具体可参见表1所示,第二安全策略信息具体可参见表2所示,第三安全策略信息具体的参见表3所示。实际应用中,接入交换机可获得来自云平台服务器的安全策略信息;云平台服务器用于对连接的多个接入交换机进行管理和数据角度,通过云平台服务器对各个连接的接入交换机的安全策略信息进行配置。
表1
Figure BDA0001768887340000071
Figure BDA0001768887340000081
表2
Figure BDA0001768887340000082
表3
Figure BDA0001768887340000083
而本发明实施例中,所述获得所述数据携带的第一标识,基于所述标识确定所述数据的类型,包括:基于所述数据携带的第一标识确定所述数据属于业务平面数据、存储平面数据或控制平面数据,获得第一结果;基于所述第一结果从所述第一安全策略信息、所述第二安全策略信息或所述第三安全策略信息中获得与所述第一标识对应的安全策略。
具体的,在接收到数据后,首先识别数据是控制平面的数据,或是存储平面的数据,或是业务平面的数据,在确定数据是业务平面的数据时,根据第一安全策略信息(例如表1)中的至少一组映射关系,获得数据携带的第一标识对应的第一安全策略信息;确定数据是存储平面的数据时,根据第二安全策略信息(例如表2)中的至少一组映射关系,获得数据携带的第一标识对应的第一安全策略信息;确定数据是控制平面的数据时,根据第三安全策略信息(例如表3)中的至少一组映射关系,获得数据携带的第一标识对应的第一安全策略信息。
本发明实施例中,标识(包括第一标识)具体可通过虚拟局域网(VLAN,VirtualLocal Area Network)标识(ID)或虚拟可扩展局域网(VXLAN,Virtual eXtential LocalArea Network)标识(ID)。
结合图2所示,控制节点设置业务平面和控制平面,可以采用不同的标识(如VLANID或VXLAN ID进行逻辑隔离);计算节点设置业务平面、控制屏幕和存储平面,可以采用不同的标识(如VLAN ID或VXLAN ID进行逻辑隔离);存储节点设置存储平面和控制平面,可以采用不同的网口物理隔离,以保证流量互不影响。其中,业务平面由于要承载多租户的业务服务,通常需要划分多个VLAN/VXLAN段,每个业务租户(即每个业务类型)对应一个VLAN/VXLAN ID;对于控制平面中的每个控制网络分别设置对应的VLAN/VXLAN ID;对于存储平面分为存储前端网络和存储后端网络;存储前端网络用于存储节点和计算节点之间的交互,配置一个VLAN/VXLAN ID;存储后端网络用于存储节点之间的交互,配置一个VLAN/VXLANID。基于此,本实施例中对数据进行识别区分,区分出是业务数据、控制数据或是存储数据,进一步基于业务数据对应的第一安全策略信息确定与该业务数据对应的第一安全策略,或者基于存储数据对应的第二安全策略信息确定该存储数据对应的第一安全策略,或者基于控制数据对应的第三安全策略信息确定该控制数据对应的第一安全策略。
在一实施例中,所述方法还包括:获得流量调度信息;所述流量调度信息包括至少一组业务分类、所述业务分类对应的安全策略以及对应的流量;所述基于所述安全策略进行安全处理,包括:基于所述安全策略以及所述业务分类对应的流量进行安全处理。
采用本发明实施例的技术方案,通过边缘计算机对数据的类型的分析,并执行该类型对应的安全策略,一方面避免了将网络安全处理集中在核心交换机导致的处理瓶颈问题,影响网络通信效率;另一方面,也避免了将网络安全处理分布在各个计算节点上导致的通络通信效率不高的问题;另外,分平面设置安全策略,能够有针对性的进行网络安全防护,防护策略更加准确。
本发明实施例还提供了一种云网络安全处理方法。图3为本发明实施例的云网络安全处理方法的流程示意图二;如图3所示,所述方法包括:
步骤201:根据数据的类型配置对应的安全策略,生成安全策略信息;
步骤202:发送所述安全策略信息至至少一个接入交换机。
本实施例的云网络安全处理方法应用于云平台服务器中。云平台服务器用于对连接的多个接入交换机进行管理和数据角度,通过云平台服务器对各个连接的接入交换机的安全策略信息进行配置。
本实施例中,所述安全策略信息包括对应于业务平面的第一安全策略信息、对应于存储平面的第二安全策略信息和对应于控制平面的第三安全策略信息;其中,所述第一安全策略信息包括至少一组业务分类、所述业务分类对应的安全策略以及所述业务分类对应的标识;其中,不同的业务分类对应不同的标识;所述第二安全策略信息包括:至少一组存储网络类型、所述存储网络类型对应的安全策略以及所述存储网络类型对应的标识;所述第三安全策略信息包括:至少一组管理网络、所述管理网络对应的安全策略以及所述管理网络对应的标识。
在一实施例中,所述方法还包括:识别接收的数据,确定具有互信关系的数据,将所述具有互信关系的数据调度至同一交换机。
具体的,一个机柜可作为一个可信域,在云平台部署时,云平台服务器获得连接的每个机柜的位置和硬件组件信息。在云平台服务器进行数据调度过程中,将具有互信关系的数据调度至同一机柜,具体可将具有相同标识(例如VLAN ID或VXLAN ID)的数据调度至同一机柜,也即发送至同一交换机。
在一实施例中,所述方法还包括:基于所述数据的类型以及数据量确定安全处理过程中需要的流量,生成流量调度信息,发送所述流量调度信息。
具体的,云平台服务器在进行数据调度过程中,基于数据的类型以及数据量确定安全处理所需要的流量。
进一步地,所述方法还包括:基于所述数据在安全处理过程中需要的流量调度数据。
具体的,参照表4所示,比如业务A,采用安全策略a,安全处理的流量较大;业务B,采用安全策略b,安全处理的流量较小;业务C,采用安全策略c,安全处理的流量较大;业务D,采用安全策略d,安全处理的流量较小。则云平台服务器可以将业务A和业务B调度至一个机柜,将业务C和业务D调度至一个机柜,从而均衡的分布安全处理的流量。
表4
业务 安全策略 流量特点
业务A 安全策略a 较大
业务B 安全策略b 较小
业务C 安全策略c 较大
业务D 安全策略d 较小
具体的,对于控制平面的流量分配,由于控制平面的流量总体上需求不大,通常包含常规的系统内部交互流量和应对管理操作(比如虚拟机创建、删除等)的流量,由于都是系统内部流量,则可以简化安全防护策略,做好流量的QOS控制、监控异常流量即可。
对于业务平面,分为内网流量和外部流量,这两部分流量需求较大,可以根据具体的业务特征进行安全策略设置,比如端口控制策略等。另外进行流量的QOS设置,保证业务体验和安全控制。
对于存储平面,分为存储节点外部流量(计算节点和存储之间交互的流量)、存储内部流量,其中存储内部流量需求你较大,但是网络安全要求不高,只需进行流量控制即可,存储外部流量取决于业务的存储访问,也属于系统内部流量,做好流量监控即可。
采用本发明实施例的技术方案,通过边缘计算机对数据的类型的分析,并执行该类型对应的安全策略,一方面避免了将网络安全处理集中在核心交换机导致的处理瓶颈问题,影响网络通信效率;另一方面,也避免了将网络安全处理分布在各个计算节点上导致的通络通信效率不高的问题;另外,分平面设置安全策略,能够有针对性的进行网络安全防护,防护策略更加准确。
本发明实施例还提供了一种接入交换机。图4为本发明实施例的接入交换机的组成结构示意图一;如图4所示,所述接入交换机包括:识别单元31和安全处理单元32;其中,
所述识别单元31,用于识别接收的数据,确定所述数据的类型;
所述安全处理单元32,用于基于所述识别单元31确定的所述数据的类型确定对应的安全策略,基于所述安全策略进行安全处理。
在一实施例中,所述识别单元31,用于识别接收的数据,获得所述数据携带的第一标识,基于所述标识确定所述数据的类型。
在一实施例中,如图5所示,所述接入交换机还包括第一获取单元33,用于获得安全策略信息;所述安全策略信息包括对应于业务平面的第一安全策略信息、对应于存储平面的第二安全策略信息和对应于控制平面的第三安全策略信息;其中,所述第一安全策略信息包括至少一组业务分类、所述业务分类对应的安全策略以及所述业务分类对应的标识;其中,不同的业务分类对应不同的标识;所述第二安全策略信息包括:至少一组存储网络类型、所述存储网络类型对应的安全策略以及所述存储网络类型对应的标识;所述第三安全策略信息包括:至少一组管理网络、所述管理网络对应的安全策略以及所述管理网络对应的标识。
则所述识别单元31,用于基于所述数据携带的第一标识确定所述数据属于业务平面数据、存储平面数据或控制平面数据,获得第一结果;
所述安全处理单元32,用于基于所述第一结果从所述第一安全策略信息、所述第二安全策略信息或所述第三安全策略信息中获得与所述第一标识对应的安全策略。
在一实施例中,如图6所示,所述接入交换机还包括第二获取单元34,用于获得流量调度信息;所述流量调度信息包括至少一组业务分类、所述业务分类对应的流量;
所述安全处理单元32,用于基于所述安全策略以及所述业务分类对应的流量进行安全处理。
本发明实施例中,所述接入交换机中的识别单元31和安全处理单元32,在实际应用中均可由所述终端中的中央处理器(CPU,Central Processing Unit)、数字信号处理器(DSP,Digital Signal Processor)、微控制单元(MCU,Microcontroller Unit)或可编程门阵列(FPGA,Field-Programmable Gate Array)实现;所述接入交换机中的第一获取单元33和第二获取单元34,在实际应用中可通过通信模组(包含:基础通信套件、操作系统、通信模块、标准化接口和协议等)及收发天线实现。
需要说明的是:上述实施例提供的接入交换机在进行云网络安全处理时,仅以上述各程序模块的划分进行举例说明,实际应用中,可以根据需要而将上述处理分配由不同的程序模块完成,即将接入交换机的内部结构划分成不同的程序模块,以完成以上描述的全部或者部分处理。另外,上述实施例提供的接入交换机与云网络安全处理方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
本发明实施例还提供了一种服务器。图7为本发明实施例的服务器的组成结构示意图一;如图7所示,所述服务器包括策略生成单元41和通讯单元42;其中,
所述策略生成单元41,用于根据数据的类型配置对应的安全策略,生成安全策略信息;
所述通讯单元42,用于发送所述安全策略信息至至少一个接入交换机。
本实施例中,所述安全策略信息包括对应于业务平面的第一安全策略信息、对应于存储平面的第二安全策略信息和对应于控制平面的第三安全策略信息;其中,
所述第一安全策略信息包括至少一组业务分类、所述业务分类对应的安全策略以及所述业务分类对应的标识;其中,不同的业务分类对应不同的标识;
所述第二安全策略信息包括:至少一组存储网络类型、所述存储网络类型对应的安全策略以及所述存储网络类型对应的标识;
所述第三安全策略信息包括:至少一组管理网络、所述管理网络对应的安全策略以及所述管理网络对应的标识。
在一实施例中,如图8所示,所述服务器还包括第一调度单元43,用于识别接收的数据,确定具有互信关系的数据,将所述具有互信关系的数据调度至同一交换机。
在一实施例中,如图9所示,所述服务器还包括流量分配单元44,用于基于所述数据的类型以及数据量确定安全处理过程中需要的流量,生成流量调度信息;
所述通讯单元42,还用于发送所述流量调度信息。
在一实施例中,如图10所示,所述服务器还包括第二调度单元45,用于基于所述数据在安全处理过程中需要的流量调度数据。
本发明实施例中,所述服务器中的生成单元、第一调度单元43、流量分配单元44和第二调度单元45,在实际应用中均可由所述终端中的CPU、DSP、MCU或FPGA实现;所述服务器中的通讯单元42,在实际应用中可通过通信模组(包含:基础通信套件、操作系统、通信模块、标准化接口和协议等)及收发天线实现。
需要说明的是:上述实施例提供的服务器在进行云网络安全处理时,仅以上述各程序模块的划分进行举例说明,实际应用中,可以根据需要而将上述处理分配由不同的程序模块完成,即将服务器的内部结构划分成不同的程序模块,以完成以上描述的全部或者部分处理。另外,上述实施例提供的服务器与云网络安全处理方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
本发明实施例还提供了一种接入交换机,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现本发明实施例前述应用于接入交换机中的云网络安全处理方法。
本发明实施例还提供了一种接入交换机,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现本发明实施例前述应用于服务器中的云网络安全处理方法。
可以理解,存储器可以是易失性存储器或非易失性存储器,也可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(ROM,Read Only Memory)、可编程只读存储器(PROM,Programmable Read-Only Memory)、可擦除可编程只读存储器(EPROM,Erasable Programmable Read-Only Memory)、电可擦除可编程只读存储器(EEPROM,Electrically Erasable Programmable Read-Only Memory)、磁性随机存取存储器(FRAM,ferromagnetic random access memory)、快闪存储器(Flash Memory)、磁表面存储器、光盘、或只读光盘(CD-ROM,Compact Disc Read-Only Memory);磁表面存储器可以是磁盘存储器或磁带存储器。易失性存储器可以是随机存取存储器(RAM,Random AccessMemory),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(SRAM,Static Random Access Memory)、同步静态随机存取存储器(SSRAM,Synchronous Static Random Access Memory)、动态随机存取存储器(DRAM,Dynamic Random Access Memory)、同步动态随机存取存储器(SDRAM,SynchronousDynamic Random Access Memory)、双倍数据速率同步动态随机存取存储器(DDRSDRAM,Double Data Rate Synchronous Dynamic Random Access Memory)、增强型同步动态随机存取存储器(ESDRAM,Enhanced Synchronous Dynamic Random Access Memory)、同步连接动态随机存取存储器(SLDRAM,SyncLink Dynamic Random Access Memory)、直接内存总线随机存取存储器(DRRAM,Direct Rambus Random Access Memory)。本发明实施例描述的存储器旨在包括但不限于这些和任意其它适合类型的存储器。
上述本发明实施例揭示的方法可以应用于处理器中,或者由处理器实现。处理器可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器可以是通用处理器、DSP,或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。处理器可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本发明实施例所公开的方法的步骤,可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于存储介质中,该存储介质位于存储器,处理器读取存储器中的信息,结合其硬件完成前述方法的步骤。
在示例性实施例中,本发明实施例还提供了一种计算机可读存储介质,例如包括计算机程序的存储器,上述计算机程序可由接入交换机或服务器的处理器PROM、EPROM、EEPROM、Flash Memory、磁表面存储器、光盘、或CD-ROM等存储器;也可以是包括上述存储器之一或任意组合的各种设备。
本发明实施例提供的计算机可读存储介质,其上存储有计算机指令,该指令被处理器执行时实现本发明实施例前述应用于接入交换机的云网络安全处理方法,或者,该指令被处理器执行时实现本发明实施例前述应用于服务器的云网络安全处理方法。
在本申请所提供的几个实施例中,应该理解到,所揭露的设备和方法,可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个单元或组件可以结合,或可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性的、机械的或其它形式的。
上述作为分离部件说明的单元可以是、或也可以不是物理上分开的,作为单元显示的部件可以是、或也可以不是物理单元,即可以位于一个地方,也可以分布到多个网络单元上;可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
另外,在本发明各实施例中的各功能单元可以全部集成在一个处理单元中,也可以是各单元分别单独作为一个单元,也可以两个或两个以上单元集成在一个单元中;上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:移动存储设备、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
或者,本发明上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例所述方法的全部或部分。而前述的存储介质包括:移动存储设备、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。

Claims (19)

1.一种云网络安全处理方法,其特征在于,所述方法应用于接入交换机,所述方法包括:
识别接收的数据,确定所述数据的类型;
获得安全策略信息;所述安全策略信息包括对应于业务平面的第一安全策略信息、对应于存储平面的第二安全策略信息和对应于控制平面的第三安全策略信息;其中,
所述第一安全策略信息包括至少一组业务分类、所述业务分类对应的安全策略以及所述业务分类对应的标识;其中,不同的业务分类对应不同的标识;
所述第二安全策略信息包括:至少一组存储网络类型、所述存储网络类型对应的安全策略以及所述存储网络类型对应的标识;
所述第三安全策略信息包括:至少一组管理网络、所述管理网络对应的安全策略以及所述管理网络对应的标识;
基于所述数据的类型确定对应的安全策略,基于所述安全策略进行安全处理。
2.根据权利要求1所述的方法,其特征在于,所述识别接收的数据,确定所述数据的类型,包括:
识别接收的数据,获得所述数据携带的第一标识,基于所述标识确定所述数据的类型。
3.根据权利要求2所述的方法,其特征在于,所述获得所述数据携带的第一标识,基于所述标识确定所述数据的类型,包括:
基于所述数据携带的第一标识确定所述数据属于业务平面数据、存储平面数据或控制平面数据,获得第一结果;
所述基于所述数据的类型确定对应的安全策略,包括:基于所述第一结果从所述第一安全策略信息、所述第二安全策略信息或所述第三安全策略信息中获得与所述第一标识对应的安全策略。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
获得流量调度信息;所述流量调度信息包括至少一组业务分类、所述业务分类对应的流量;
所述基于所述安全策略进行安全处理,包括:基于所述安全策略以及所述业务分类对应的流量进行安全处理。
5.一种云网络安全处理方法,其特征在于,所述方法包括:
根据数据的类型配置对应的安全策略,生成安全策略信息;所述安全策略信息包括对应于业务平面的第一安全策略信息、对应于存储平面的第二安全策略信息和对应于控制平面的第三安全策略信息;其中,
所述第一安全策略信息包括至少一组业务分类、所述业务分类对应的安全策略以及所述业务分类对应的标识;其中,不同的业务分类对应不同的标识;
所述第二安全策略信息包括:至少一组存储网络类型、所述存储网络类型对应的安全策略以及所述存储网络类型对应的标识;
所述第三安全策略信息包括:至少一组管理网络、所述管理网络对应的安全策略以及所述管理网络对应的标识;
发送所述安全策略信息至至少一个接入交换机。
6.根据权利要求5所述的方法,其特征在于,所述方法还包括:识别接收的数据,确定具有互信关系的数据,将所述具有互信关系的数据调度至同一交换机。
7.根据权利要求5所述的方法,其特征在于,所述方法还包括:基于所述数据的类型以及数据量确定安全处理过程中需要的流量,生成流量调度信息,发送所述流量调度信息。
8.根据权利要求7所述的方法,其特征在于,所述方法还包括:基于所述数据在安全处理过程中需要的流量调度数据。
9.一种接入交换机,其特征在于,所述接入交换机包括:识别单元、第一获取单元、和安全处理单元;其中,
所述识别单元,用于识别接收的数据,确定所述数据的类型;
所述第一获取单元,用于获得安全策略信息;所述安全策略信息包括对应于业务平面的第一安全策略信息、对应于存储平面的第二安全策略信息和对应于控制平面的第三安全策略信息;其中,所述第一安全策略信息包括至少一组业务分类、所述业务分类对应的安全策略以及所述业务分类对应的标识;其中,不同的业务分类对应不同的标识;所述第二安全策略信息包括:至少一组存储网络类型、所述存储网络类型对应的安全策略以及所述存储网络类型对应的标识;所述第三安全策略信息包括:至少一组管理网络、所述管理网络对应的安全策略以及所述管理网络对应的标识;
所述安全处理单元,用于基于所述识别单元确定的所述数据的类型确定对应的安全策略,基于所述安全策略进行安全处理。
10.根据权利要求9所述的接入交换机,其特征在于,所述识别单元,用于识别接收的数据,获得所述数据携带的第一标识,基于所述标识确定所述数据的类型。
11.根据权利要求10所述的接入交换机,其特征在于,所述识别单元,用于基于所述数据携带的第一标识确定所述数据属于业务平面数据、存储平面数据或控制平面数据,获得第一结果;
所述安全处理单元,用于基于所述第一结果从所述第一安全策略信息、所述第二安全策略信息或所述第三安全策略信息中获得与所述第一标识对应的安全策略。
12.根据权利要求9所述的接入交换机,其特征在于,所述接入交换机还包括第二获取单元,用于获得流量调度信息;所述流量调度信息包括至少一组业务分类、所述业务分类对应的流量;
所述安全处理单元,用于基于所述安全策略以及所述业务分类对应的流量进行安全处理。
13.一种服务器,其特征在于,所述服务器包括策略生成单元和通讯单元;其中,
所述策略生成单元,用于根据数据的类型配置对应的安全策略,生成安全策略信息;所述安全策略信息包括对应于业务平面的第一安全策略信息、对应于存储平面的第二安全策略信息和对应于控制平面的第三安全策略信息;其中,所述第一安全策略信息包括至少一组业务分类、所述业务分类对应的安全策略以及所述业务分类对应的标识;其中,不同的业务分类对应不同的标识;所述第二安全策略信息包括:至少一组存储网络类型、所述存储网络类型对应的安全策略以及所述存储网络类型对应的标识;所述第三安全策略信息包括:至少一组管理网络、所述管理网络对应的安全策略以及所述管理网络对应的标识;
所述通讯单元,用于发送所述安全策略信息至至少一个接入交换机。
14.根据权利要求13所述的服务器,其特征在于,所述服务器还包括第一调度单元,用于识别接收的数据,确定具有互信关系的数据,将所述具有互信关系的数据调度至同一交换机。
15.根据权利要求13所述的服务器,其特征在于,所述服务器还包括流量分配单元,用于基于所述数据的类型以及数据量确定安全处理过程中需要的流量,生成流量调度信息;
所述通讯单元,还用于发送所述流量调度信息。
16.根据权利要求15所述的服务器,其特征在于,所述服务器还包括第二调度单元,用于基于所述数据在安全处理过程中需要的流量调度数据。
17.一种计算机可读存储介质,其上存储有计算机指令,其特征在于,该指令被处理器执行时实现权利要求1至4任一项所述方法的步骤;
或者,该指令被处理器执行时实现权利要求5至8任一项所述方法的步骤。
18.一种接入交换机,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现权利要求1至4任一项所述方法的步骤。
19.一种服务器,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现权利要求5至8任一项所述方法的步骤。
CN201810940352.3A 2018-08-17 2018-08-17 一种云网络安全处理方法、设备和计算机存储介质 Active CN110839007B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810940352.3A CN110839007B (zh) 2018-08-17 2018-08-17 一种云网络安全处理方法、设备和计算机存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810940352.3A CN110839007B (zh) 2018-08-17 2018-08-17 一种云网络安全处理方法、设备和计算机存储介质

Publications (2)

Publication Number Publication Date
CN110839007A CN110839007A (zh) 2020-02-25
CN110839007B true CN110839007B (zh) 2022-09-13

Family

ID=69573546

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810940352.3A Active CN110839007B (zh) 2018-08-17 2018-08-17 一种云网络安全处理方法、设备和计算机存储介质

Country Status (1)

Country Link
CN (1) CN110839007B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111343193B (zh) * 2020-03-06 2022-06-07 咪咕文化科技有限公司 云网络端口安全防护方法、装置、电子设备及存储介质
CN113179266A (zh) * 2021-04-26 2021-07-27 口碑(上海)信息技术有限公司 业务请求处理方法及装置、电子设备、存储介质
US11513772B1 (en) * 2021-08-22 2022-11-29 Dataplate Ltd. System and method of providing an interactive development platform in a distributed computing environment

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102571738A (zh) * 2010-12-08 2012-07-11 中国电信股份有限公司 基于虚拟局域网交换的入侵防御方法与系统
WO2012162313A2 (en) * 2011-05-24 2012-11-29 Calxeda, Inc. System and method for data center security enhancements leveraging server socs or server fabrics
CN103986663A (zh) * 2014-05-08 2014-08-13 中国联合网络通信集团有限公司 数据中心及其实现数据处理的方法和网络控制器
CN105429870A (zh) * 2015-11-30 2016-03-23 北京瑞和云图科技有限公司 Sdn环境下的vxlan安全网关装置及其应用方法
CN107426290A (zh) * 2017-05-27 2017-12-01 郑州云海信息技术有限公司 一种Smart Rack系统云计算优化方法
CN107979614A (zh) * 2017-12-30 2018-05-01 杭州华为数字技术有限公司 数据包检测方法及装置

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102571738A (zh) * 2010-12-08 2012-07-11 中国电信股份有限公司 基于虚拟局域网交换的入侵防御方法与系统
WO2012162313A2 (en) * 2011-05-24 2012-11-29 Calxeda, Inc. System and method for data center security enhancements leveraging server socs or server fabrics
CN103986663A (zh) * 2014-05-08 2014-08-13 中国联合网络通信集团有限公司 数据中心及其实现数据处理的方法和网络控制器
CN105429870A (zh) * 2015-11-30 2016-03-23 北京瑞和云图科技有限公司 Sdn环境下的vxlan安全网关装置及其应用方法
CN107426290A (zh) * 2017-05-27 2017-12-01 郑州云海信息技术有限公司 一种Smart Rack系统云计算优化方法
CN107979614A (zh) * 2017-12-30 2018-05-01 杭州华为数字技术有限公司 数据包检测方法及装置

Also Published As

Publication number Publication date
CN110839007A (zh) 2020-02-25

Similar Documents

Publication Publication Date Title
US11704144B2 (en) Creating virtual machine groups based on request
US10320674B2 (en) Independent network interfaces for virtual network environments
US10110671B2 (en) Method, system, and device for managing server hardware resources in a cloud scheduling environment
US20180375726A1 (en) Resource Configuration Method, Virtualized Network Function Manager, and Element Management System
CN108243106A (zh) 控制网络切片的方法、转发设备、控制设备和通信系统
CN110839007B (zh) 一种云网络安全处理方法、设备和计算机存储介质
US20190281503A1 (en) Management Method, Management Unit, and System
CN114172905B (zh) 一种集群网络组网的方法、装置、计算机设备及存储介质
CN105718785A (zh) 用于免认证组态的计算机实施方式与系统
CN103685608A (zh) 一种自动配置安全虚拟机ip地址的方法及装置
US10776097B2 (en) Hierarchical spanning tree software patching with fragmentation support
CN105095023A (zh) 一种云主机创建装置、方法和计算设备
US8266303B2 (en) Managing network connections
US10778574B2 (en) Smart network interface peripheral cards
EP3806389A1 (en) Virtual subnet constructing method and device, and storage medium
CN109769038A (zh) 一种配置互联网协议地址的方法及装置
CN112787853B (zh) 网络变更方案的自动生成方法、装置及相关设备
CN110581800B (zh) 一种创建虚拟路由器接口的方法及装置、存储介质和设备
US10324953B1 (en) Managing remote data center from another data center
CN108259214B (zh) 一种配置命令管理方法、装置和机器可读存储介质
US10623474B2 (en) Topology graph of a network infrastructure and selected services status on selected hubs and nodes
CN105912605A (zh) Bi报表的统计方法及系统
CN117742931A (zh) 大数据集群部署方案的确定方法、装置、集群和存储介质
CN117891466A (zh) 安全产品组件方法、装置、计算机设备和存储介质
CN117424809A (zh) 基于多实例的信息发送方法、装置及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant