CN111131319A - 安全能力扩展方法、装置、电子设备及存储介质 - Google Patents

安全能力扩展方法、装置、电子设备及存储介质 Download PDF

Info

Publication number
CN111131319A
CN111131319A CN201911422955.5A CN201911422955A CN111131319A CN 111131319 A CN111131319 A CN 111131319A CN 201911422955 A CN201911422955 A CN 201911422955A CN 111131319 A CN111131319 A CN 111131319A
Authority
CN
China
Prior art keywords
security
network element
performance
safety
service chain
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201911422955.5A
Other languages
English (en)
Inventor
黄亚洲
李玮
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Original Assignee
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Topsec Technology Co Ltd, Beijing Topsec Network Security Technology Co Ltd, Beijing Topsec Software Co Ltd filed Critical Beijing Topsec Technology Co Ltd
Priority to CN201911422955.5A priority Critical patent/CN111131319A/zh
Publication of CN111131319A publication Critical patent/CN111131319A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/2866Architectures; Arrangements
    • H04L67/30Profiles

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请提供一种安全能力扩展方法、装置、电子设备及存储介质,涉及网络安全技术领域。所述方法包括:加载一个或多个虚拟的安全网元;将所述一个或多个虚拟的安全网元组成第一安全服务链;在所述第一安全服务链的性能数据低于预设性能阈值时,基于每个安全网元的性能数据确定安全性能不足的目标安全网元;创建指定安全网元组,将所述第一安全服务链中的所述目标安全网元替换为所述指定安全网元组,以得到第二安全服务链。所述方法在虚拟安全网元性能不足时通过安全网元组的分流对其进行自动化地动态扩展,提高了其安全能力扩展的效率及其安全性能。

Description

安全能力扩展方法、装置、电子设备及存储介质
技术领域
本申请涉及网络安全技术领域,具体而言,涉及一种安全能力扩展方法、装置、电子设备及存储介质。
背景技术
随着虚拟化技术的发展,安全防护的形态和需求,从传统机房的物理服务器发展到云环境下的虚拟网络多租户安全云服务。例如安全资源池管理,安全资源池是基于软件定义安全的多租户管理平台。
安全资源池需要建立完善的安全防护能体系,其中多虚拟化安全网元服务链的灵活编排起到了至关重要的作用。可动态扩展的安全能力,是提高业务可靠性、增强网元弹性能力的一个重要体现。
现有技术未能完全实现自动化的性能精细定位和动态弹性扩展,通常占用太多的物理资源,需要管理员手动去添加、修改或者增加安全能力,对管理员的要求更高,也更容易造成失误、损失与资源浪费,存在安全能力扩展效率低、安全性能差的问题。
发明内容
有鉴于此,本申请实施例的目的在于提供一种安全能力扩展方法、装置、电子设备及存储介质,以改善现有技术中存在的安全能力扩展效率低、安全性能差的问题。
本申请实施例提供了一种安全能力扩展方法,所述方法包括:加载一个或多个虚拟的安全网元;将所述一个或多个虚拟的安全网元组成第一安全服务链;在所述第一安全服务链的性能数据低于预设性能阈值时,基于每个安全网元的性能数据确定安全性能不足的目标安全网元;创建指定安全网元组,将所述第一安全服务链中的所述目标安全网元替换为所述指定安全网元组,以得到第二安全服务链。
在上述实现方式中,基于安全网元的性能数据对其安全性能是否满足需求进行实时判定,实现了自动化的安全性能定位,从而能够在不需要人为参与操作的情况下迅速判断是否需要进行安全能力扩展,提高了安全能力扩展的效率,减少了人力损耗;同时在安全网元的安全性能不足时采用安全网元组对其进行替换,能够对原流量进行分流及负载均衡等操作,提高了服务链的安全性能。
可选地,所述将所述一个或多个虚拟的安全网元组成第一安全服务链,包括:配置报文匹配规则,所述报文匹配规则用于将指定报文传入所述第一安全服务链;设置所述一个或多个虚拟的安全网元的数据传输关系,所述数据传输关系用于使所述指定报文按照指定路径通过所述一个或多个虚拟的安全网元。
在上述实现方式中,通过虚拟安全网元构建安全服务链,通过安全服务链中一种或多种类型的安全网元对流量进行多方面的安全检测,提高了安全性能。
可选地,所述加载一个或多个虚拟的安全网元,包括:通过虚拟化软件加载所述一个或多个虚拟的安全网元;所述配置报文匹配规则,包括:通过OpenvSwitch基于匹配规则流表配置所述报文匹配规则;所述设置所述一个或多个虚拟的安全网元的数据传输关系,包括:通过OpenvSwitch配置每个安全网元的虚拟桥内端口,用于使所述指定报文按照指定路径通过所述一个或多个虚拟的安全网元。
在上述实现方式中,通过虚拟化软件和OpenvSwitch对安全服务链及安全网元进行相关配置,由于OpenvSwitch的开源特性,提高了安全性能扩展方法的适用性。
可选地,在所述基于每个安全网元的性能数据确定安全性能不足的目标安全网元之前,所述方法还包括:确定所述第一安全服务链的所述预设性能阈值;获取所述第一安全服务链的入口数据流量和出口数据流量;在所述第一安全服务链的入口数据流量、所述出口数据流量以及所述预设性能阈值满足服务链性能判定条件时,确定所述第一安全服务链的性能数据低于所述预设性能阈值;所述服务链性能判定条件包括:
Figure BDA0002347058150000031
Figure BDA0002347058150000032
在上述实现方式中,基于安全服务链的通过流量和预设的服务链性能阈值,采用服务链性能判定条件确定安全服务链的安全性能是否满足当前需求,能够实现自动化地性能情况判定,从而进行安全性能的自动检测、扩展。
可选地,所述基于每个安全网元的性能数据确定安全性能不足的目标安全网元,包括:确定每个安全网元的收包数量、发包数量;确定每个安全网元的网元CPU占用率、网元内存占用率和网元硬盘占用率;在安全网元的收包数量、发包数量、网元CPU占用率、网元内存占用率和网元硬盘占用率满足安全网元性能判定条件时,确定满足所述安全网元性能判定条件的安全网元为安全性能不足的所述目标安全网元;所述安全网元性能判定条件包括:
Figure BDA0002347058150000033
网元CPU占用率≥预设网元CPU占用率阈值,网元内存占用率≥预设网元内存占用率阈值,网元硬盘占用率≥预设网元硬盘占用率阈值。
在上述实现方式中,基于每个安全网元的数据收发情况和虚拟系统参数情况,采用安全网元性能判定条件确定导致安全服务链安全性能问题的安全网元,从而实现了安全服务链安全性能不足源头的精确定位,有利于后续基于该安全网元进行安全性能的扩展。
可选地,在所述基于每个安全网元的性能数据确定安全性能不足的目标安全网元之前,所述方法还包括:确定所述第一安全服务链所处的物理服务器系统的系统CPU占用率、系统内存占用率和系统硬盘占用率;基于物理系统性能判定条件确定所述物理服务器系统的性能数据是否低于预设物理性能阈值;在所述系统CPU占用率、所述系统内存占用率和所述系统硬盘占用率满足物理系统性能判定条件时,确定所述物理服务器系统的性能数据低于所述预设物理性能阈值;所述物理系统性能判定条件包括:系统CPU占用率≥预设系统CPU占用率阈值,系统内存占用率≥预设系统内存占用率阈值,系统硬盘占用率≥预设系统硬盘占用率阈值。
在上述实现方式中,在对安全服务链的安全性能进行判定之前,先对虚拟机所处的物理服务器操作系统的运行状态判定,以排除安全服务链的安全性能问题是由于物理服务器系统运行资源不足引起的情况,进一步提高了安全性能问题判定的准确性。
可选地,所述创建指定安全网元组,将所述第一安全服务链中的所述目标安全网元替换为所述指定安全网元组,包括:将所述目标安全网元划分为至少两个指定安全网元,所述至少两个指定安全网元组成所述指定安全网元组;将所述第一安全服务链中的所述目标安全网元替换为所述指定安全网元组,以得到第二安全服务链;基于所述指定安全网元组配置报文匹配规则,所述报文匹配规则用于将指定报文传入所述第二安全服务链;基于负载分流规则设置所述一个或多个虚拟的安全网元以及每个指定安全网元的数据传输关系,所述数据传输关系用于使所述指定安全网元组对所述目标安全网元处理的数据进行处理。
在上述实现方式中,在将目标安全网元替换为指定安全网元组后重新进行第二安全服务链中安全网元的数据传输关系设置,将之前第一安全服务链处理的流量转移至第二安全服务链中,保证安全服务的稳定性。
可选地,所述负载分流规则包括基于流的负载分流规则、基于包的负载分流规则和基于带宽的非平衡负载分流规则中的至少一种,所述基于负载分流规则设置所述一个或多个虚拟的安全网元以及每个指定安全网元节点的数据传输关系,包括:基于流的负载分流规则,设置所述一个或多个虚拟的安全网元以及每个指定安全网元节点的数据传输关系,以确保同一会话的流通过所述指定安全网元组中的同一指定安全网元处理;或基于包的负载分流规则,设置所述一个或多个虚拟的安全网元以及每个指定安全网元节点的数据传输关系,以采用轮询方式将每个包依次分配给不同的指定安全网元处理;或基于带宽的非平衡负载分流规则,设置所述一个或多个虚拟的安全网元以及每个指定安全网元节点的数据传输关系,以基于每个指定安全网元的负载情况进行均衡的带宽均衡负载分流。
在上述实现方式中,通过基于流的负载分流规则、基于包的负载分流规则和基于带宽的非平衡负载分流规则能够兼顾多种安全服务的需求,从而提高了安全服务的性能和稳定性。
可选地,所述方法中的一个或多个虚拟的安全网元包括防火墙安全网元、入侵防御系统安全网元、Web应用防护系统中的一个或多个。
在上述实现方式中,安全网元的类型有多种,可以根据安全服务的具体需求进行选择组合,从而提高了安全服务的适用性。
本申请实施例提供了一种安全能力扩展装置,所述装置包括:安全网元加载模块,用于加载一个或多个虚拟的安全网元;服务链构建模块,用于将所述一个或多个虚拟的安全网元组成第一安全服务链;网元检测模块,用于在所述第一安全服务链的性能数据低于预设性能阈值时,基于每个安全网元的性能数据确定安全性能不足的目标安全网元;网元组替换模块,用于创建指定安全网元组,将所述第一安全服务链中的所述指定安全网元替换为所述指定安全网元组,以得到第二安全服务链。
在上述实现方式中,基于安全网元的性能数据对其安全性能是否满足需求进行实时判定,实现了自动化的安全性能定位,从而能够在不需要人为参与操作的情况下迅速判断是否需要进行安全能力扩展,提高了安全能力扩展的效率,减少了人力损耗;同时在安全网元的安全性能不足时采用安全网元组对其进行替换,能够对原流量进行分流及负载均衡等操作,提高了服务链的安全性能。
可选地,所述服务链构建模块具体用于:配置报文匹配规则,所述报文匹配规则用于将指定报文传入所述第一安全服务链;设置所述一个或多个虚拟的安全网元的数据传输关系,所述数据传输关系用于使所述指定报文按照指定路径通过所述一个或多个虚拟的安全网元。
在上述实现方式中,通过虚拟安全网元构建安全服务链,通过安全服务链中一种或多种类型的安全网元对流量进行多方面的安全检测,提高了安全性能。
可选地,所述安全网元加载模块具体用于:通过虚拟化软件加载所述一个或多个虚拟的安全网元;所述服务链构建模块具体用于:通过OpenvSwitch基于匹配规则流表配置所述报文匹配规则;通过OpenvSwitch配置每个安全网元的虚拟桥内端口,用于使所述指定报文按照指定路径通过所述一个或多个虚拟的安全网元。
在上述实现方式中,通过虚拟化软件和OpenvSwitch对安全服务链及安全网元进行相关配置,由于OpenvSwitch的开源特性,提高了安全性能扩展方法的适用性。
可选地,所述装置还包括:安全服务链性能判定模块,用于确定所述第一安全服务链的所述预设性能阈值;获取所述第一安全服务链的入口数据流量和出口数据流量;在所述第一安全服务链的入口数据流量、所述出口数据流量以及所述预设性能阈值满足服务链性能判定条件时,确定所述第一安全服务链的性能数据低于所述预设性能阈值;所述服务链性能判定条件包括:
Figure BDA0002347058150000061
在上述实现方式中,基于安全服务链的通过流量和预设的服务链性能阈值,采用服务链性能判定条件确定安全服务链的安全性能是否满足当前需求,能够实现自动化地性能情况判定,从而进行安全性能的自动检测、扩展。
可选地,所述装置还包括:安全网元性能判定模块,用于确定每个安全网元的收包数量、发包数量;确定每个安全网元的网元CPU占用率、网元内存占用率和网元硬盘占用率;在安全网元的收包数量、发包数量、网元CPU占用率、网元内存占用率和网元硬盘占用率满足安全网元性能判定条件时,确定满足所述安全网元性能判定条件的安全网元为安全性能不足的所述目标安全网元;所述安全网元性能判定条件包括:
Figure BDA0002347058150000071
Figure BDA0002347058150000072
网元CPU占用率≥预设网元CPU占用率阈值,网元内存占用率≥预设网元内存占用率阈值,网元硬盘占用率≥预设网元硬盘占用率阈值。
在上述实现方式中,基于每个安全网元的数据收发情况和虚拟系统参数情况,采用安全网元性能判定条件确定导致安全服务链安全性能问题的安全网元,从而实现了安全服务链安全性能不足源头的精确定位,有利于后续基于该安全网元进行安全性能的扩展。
可选地,所述装置还包括:物理服务器性能判定模块,用于确定所述第一安全服务链所处的物理服务器系统的系统CPU占用率、系统内存占用率和系统硬盘占用率;基于物理系统性能判定条件确定所述物理服务器系统的性能数据是否低于预设物理性能阈值;在所述系统CPU占用率、所述系统内存占用率和所述系统硬盘占用率满足物理系统性能判定条件时,确定所述物理服务器系统的性能数据低于所述预设物理性能阈值;所述物理系统性能判定条件包括:系统CPU占用率≥预设系统CPU占用率阈值,系统内存占用率≥预设系统内存占用率阈值,系统硬盘占用率≥预设系统硬盘占用率阈值。
在上述实现方式中,在对安全服务链的安全性能进行判定之前,先对虚拟机所处的物理服务器操作系统的运行状态判定,以排除安全服务链的安全性能问题是由于物理服务器系统运行资源不足引起的情况,进一步提高了安全性能问题判定的准确性。
可选地,所述网元组替换模块具体用于:将所述目标安全网元划分为至少两个指定安全网元,所述至少两个指定安全网元组成所述指定安全网元组;将所述第一安全服务链中的所述目标安全网元替换为所述指定安全网元组,以得到第二安全服务链;基于所述指定安全网元组配置报文匹配规则,所述报文匹配规则用于将指定报文传入所述第二安全服务链;基于负载分流规则设置所述一个或多个虚拟的安全网元以及每个指定安全网元的数据传输关系,所述数据传输关系用于使所述指定安全网元组对所述目标安全网元处理的数据进行处理。
在上述实现方式中,在将目标安全网元替换为指定安全网元组后重新进行第二安全服务链中安全网元的数据传输关系设置,将之前第一安全服务链处理的流量转移至第二安全服务链中,保证安全服务的稳定性。
可选地,所述负载分流规则包括基于流的负载分流规则、基于包的负载分流规则和基于带宽的非平衡负载分流规则中的至少一种,所述网元组替换模块具体用于:基于流的负载分流规则,设置所述一个或多个虚拟的安全网元以及每个指定安全网元节点的数据传输关系,以确保同一会话的流通过所述指定安全网元组中的同一指定安全网元处理;或基于包的负载分流规则,设置所述一个或多个虚拟的安全网元以及每个指定安全网元节点的数据传输关系,以采用轮询方式将每个包依次分配给不同的指定安全网元处理;或基于带宽的非平衡负载分流规则,设置所述一个或多个虚拟的安全网元以及每个指定安全网元节点的数据传输关系,以基于每个指定安全网元的负载情况进行均衡的带宽均衡负载分流。
在上述实现方式中,通过基于流的负载分流规则、基于包的负载分流规则和基于带宽的非平衡负载分流规则能够兼顾多种安全服务的需求,从而提高了安全服务的性能和稳定性。
可选地,所述装置中的一个或多个虚拟的安全网元包括防火墙安全网元、入侵防御系统安全网元、Web应用防护系统中的一个或多个。
在上述实现方式中,安全网元的类型有多种,可以根据安全服务的具体需求进行选择组合,从而提高了安全服务的适用性。
本申请实施例还提供了一种电子设备,所述电子设备包括存储器和处理器,所述存储器中存储有程序指令,所述处理器读取并运行所述程序指令时,执行上述任一实现方式中的步骤。
本申请实施例还提供了一种存储介质,所述存储介质中存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行上述任一实现方式中的步骤。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一种安全能力扩展方法的流程示意图;
图2为本申请实施例提供的一种安全服务链的创建流程示意图;
图3为本申请实施例提供的一种目标安全网元确定步骤的流程示意图;
图4为本申请实施例提供的一种指定安全网元组创建步骤的流程示意图;
图5为本申请实施例提供的一种安全服务链的动态扩展示意图;
图6为本申请实施例提供的一种安全能力扩展装置的模块示意图。
图标:20-安全能力扩展装置;21-安全网元加载模块;22-服务链构建模块;23-网元检测模块;24-网元组替换模块。
具体实施方式
下面将结合本申请实施例中附图,对本申请实施例中的技术方案进行描述。
经本申请人研究发现,现有的动态扩展安全能力技术通常有以下几种方式:(1)将传统的安全能力软件化,搭建出一个安全服务器集群,通过旁路或者串联的方式接入在云数据中心的网络出口处,在硬件链路层次做负载均衡,将流量均衡到不同的服务器中,来提高安全性能;(2)通过主备架构的方式,搭建服务链引流拓扑,在链路入口处检测主服务链的引流是否正常,如果主服务链出现故障,链路将会切换到备服务链,以保护租户的安全服务不受影响。
由此可见,现有技术未能完全实现安全能力的自动化的性能精细定位和动态弹性扩展,会导致安全服务管理占用太多的物理资源,并且在进行安全性能调节时需要管理员手动去添加、修改或者增加安全能力,对管理员的要求更高,也更容易造成失误、损失与资源浪费。
为了解决上述问题,本申请实施例提供了一种安全能力扩展方法,请参考图1,图1为本申请实施例提供的一种安全能力扩展方法的流程示意图。
步骤S12:加载一个或多个虚拟的安全网元。
应当理解的是,本实施例中的安全网元都是虚拟网元,虚拟网元基于网络功能虚拟化(Network Functions Virtualization,NFV)实现,网络功能虚拟化是一种对于网络架构(Network Architecture)的概念,利用虚拟化技术,将网络节点阶层的功能,分割成几个功能区块,分别以软件方式实作,不再拘限于硬件架构。具体地,网络功能虚拟化的核心是虚拟网络功能,它提供只能在硬件中找到的网络功能,包括很多应用,比如路由、CPE(Customer Premise Equipment,客户前置设备)、移动核心、IMS(IP MultimediaSubsystem,IP多媒体系统)、CDN(Content Delivery Network,内容分发网络)、安全性、策略等。
进一步地,简单理解网络功能虚拟化就是把电信设备从目前的专用平台迁移到通用的服务器上,网元功能在虚拟系统中进行展现,根据功能生成虚拟网元。无论其作为哪种网元,内置了哪种通信配套厂家的核心软件系统,其板件做到全部互相兼容,单从维护角度说,大大降低了维护成本、简化了维护流程。
网元是网络中的元素、设备,网络管理中可以监视和管理的最小单位。本实施例中的安全网元可以是防火墙(Fire Wall,FW)、入侵防御系统(Intrusion PreventionSystem,IPS)、Web应用防护系统(Web Application Firewall,WAF)、入侵检测系统(Intrusion Detection System,IDS)等能够提供安全服务的网元中的一个或多个。
其中,FW主要是借助硬件和软件的作用于内部和外部网络的环境间产生一种保护的屏障,从而实现对计算机不安全网络因素的阻断。入侵防御系统是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够及时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。Web应用防护系统基于对Web应用业务和逻辑的深刻理解,WAF对来自Web应用程序客户端的各类请求进行内容检测和验证,确保其安全性与合法性,对非法的请求予以实时阻断,从而对各类网站站点进行有效防护。
应当理解的是,本实施例中虚拟化的安全网元是由虚拟化软件进行加载,以旁挂的方式将虚拟安全网元部署在外部安全资源池中,并在云内引流、加载至外部资源池,实现虚拟化功能。其中,虚拟化软件可以是KVM(Kernel-based Virtual Machine)等。具体地,本实施例中的安全网元的镜像创建及加载可以通过安全管理中心实现,安全管理中心可以是以Nginx为分发框架,以Django作为Web应用框架,通过uWSGI实现前后端的外部请求处理。
步骤S14:将一个或多个虚拟的安全网元组成第一安全服务链。
在创建安全服务链之前,应当先确定需要创建的安全服务链中的安全网元设备的数量及各个安全网元需要的云资源,根据安全网元的数量及每个安全网元需要的资源,确定待创建的安全服务链的流程节点。流程节点可以包括各个安全网元的创建流程、所有安全网元创建完成后流表的创建及下发流程。
请参考图2,图2为本申请提供的一种安全服务链的创建流程示意图,其具体步骤可以如下:
步骤S142:配置报文匹配规则,报文匹配规则用于将指定报文传入第一安全服务链。
安全服务链的创建过程除了安全网元的创建(即基础云资源的申请),还涉及安全网元设备之间的流量的编排调度,安全网元设备之间的流量的编排调度依靠流表的创建及下发。可以将每个安全网元设备的创建分别作为一个流程节点,流表的创建作为一个流程节点,流表的下发作为一个流程节点。
因此配置报文匹配规则可以通过流表下发的方式来完成,可选地,本实施例中可以通过虚拟化软件OpenvSwitch实现虚拟安全网元及安全服务链的创建和管理。OpenvSwitch专门管理多租赁公共云计算环境,为网络管理员提供虚拟网元之间的流量可见性和控制。其旨在用虚拟化解决网络问题,与控制器软件一起实现分布式虚拟交换技术,其内核模块实现了多个“数据路径”(类似于网桥),每个都可以有多个“vports”(类似于桥内的端口),每个数据路径也通过关联流表来设置操作。应当注意的是,除了OpenvSwitch,在其他实施例中还可以采用其他虚拟机管理方式对安全服务链和安全网元进行创建和管理等操作。
具体地,要将指定报文传入第一安全服务链,则需要设置第一安全服务链入口需要匹配的报文特征,所有需要匹配的报文特征即为报文匹配规则,例如IP(InternetProtocol,网际互连协议)、端口、协议、MAC地址(Media Access Control Address,媒体存取控制位址)等,通过OpenvSwitch基于匹配规则流表配置上述报文匹配规则后,第一安全服务链能够接收具有上述报文特征的报文。
步骤S144:设置一个或多个虚拟的安全网元的数据传输关系,数据传输关系用于使指定报文按照指定路径通过一个或多个虚拟的安全网元。
可选地,在采用OpenvSwitch进行安全服务链的创建和管理时,数据传输关系的设置也可以是通过OpenvSwitch基于发流表完成,即OpenvSwitch基于安全管理中心下发的相关流表配置每个安全网元的虚拟桥内端口,使进入第一安全服务链的指定报文按照指定路径通过一个或多个虚拟的安全网元。
应当理解的是,在执行步骤S16之前,还需要对第一安全服务链的安全性能的性能数据是否满足当前需求进行检测,且本实施例中的对安全服务链或安全网元的性能监测和管理可以通过云端性能监控程序实现,该云端性能监控程序可以基于OpenvSwitch中的脚本模块实现。第一安全服务链的安全性能检测的具体步骤可以包括:
步骤S151:确定第一安全服务链的预设性能阈值。
预设性能阈值可以根据第一安全服务链的当前安全服务需求设置,通常可以将其设定为第一安全服务链在单位时间内需要处理的安全服务流量值。具体地,该阈值是通过安全服务链中各个安全网元中的安全阈值和租户所配置的最大吞吐量决定。当第一安全服务链的性能指标超过预设性能阈值时,则认为第一安全服务链的性能不达标,该性能指标可以基于第一安全服务链的入口数据流量和出口数据流量确定。
可选地,本实施例中的预设性能阈值可以是但不限于是20%。
步骤S152:获取第一安全服务链的入口数据流量和出口数据流量。
第一安全服务链的入口数据流量和出口数据流量可以通过OpenvSwitch获得。
步骤S153:在第一安全服务链的入口数据流量、出口数据流量以及预设性能阈值满足服务链性能判定条件时,确定第一安全服务链的性能数据低于预设性能阈值。
具体地,该服务链性能判定条件可以为:
Figure BDA0002347058150000141
在此服务链性能判定条件中通过入口流量数据和出口流量数据的比值表现安全服务链的安全服务处理能力,从而基于流量能够对其安全性能进行迅速确定。
进一步地,在进行安全网元的性能检测前,由于虚拟机中网元性能问题还有可能是网元所处的物理服务器系统的硬件问题导致,因此在第一安全服务链的安全性能不达标时,云端性能监控程序下发指令进行物理服务器系统数据,则本实施例在步骤S16之前,还可以包括如下步骤:
步骤S154:确定第一安全服务链所处的物理服务器系统的系统CPU占用率、系统内存占用率和系统硬盘占用率。
步骤S155:基于物理系统性能判定条件确定物理服务器系统的性能数据是否低于预设物理性能阈值。
步骤S156:在系统CPU占用率、系统内存占用率和系统硬盘占用率满足物理系统性能判定条件时,确定物理服务器系统的性能数据低于预设物理性能阈值。
具体地,本实施例中的物理系统性能判定条件可以为:系统CPU占用率≥预设系统CPU占用率阈值,系统内存占用率≥预设系统内存占用率阈值,系统硬盘占用率≥预设系统硬盘占用率阈值。
可选地,预设系统CPU占用率阈值可以是但不限于是90%,预设系统内存占用率阈值可以是但不限于是95%,预设系统硬盘占用率阈值可以是但不限于是95%。
作为一种可选的实施方式,在确定物理服务器系统出现性能瓶颈时,不会继续计算安全网元的性能,云端性能监控程序可以直接通过进程间通信的方式将性能告警上报给管理模块,并通过邮件、短信等方式立即通告给管理员或相关人员,告知其当前物理服务器系统的占用情况。
在确定物理服务器系统未出现性能瓶颈时,基本可以确定第一安全服务链的性能瓶颈是由于其中一个或多个安全网元造成,则继续对安全网元的性能数据进行检测。
步骤S16:在第一安全服务链的性能数据低于预设性能阈值时,基于每个安全网元的性能数据确定安全性能不足的目标安全网元。
具体地,请参考图3,图3为本申请实施例提供的一种目标安全网元确定步骤的流程示意图,其具体可以包括如下子步骤:
步骤S161:确定每个安全网元的收包数量、发包数量。
每个安全网元的收包数量、发包数量可以通过各个安全网元在OpenvSwitch上的后端驱动入口确定。
步骤S162:确定每个安全网元的网元CPU占用率、网元内存占用率和网元硬盘占用率。
安全网元作为网元,也分配有预设量的CPU资源、内存资源和硬盘资源,安全网元的占用CPU资源、占用内存资源和占用硬盘资源与分配的预设量的比例即为其占用率。
步骤S163:在安全网元的收包数量、发包数量网元CPU占用率、网元内存占用率和网元硬盘占用率满足安全网元性能判定条件时,确定满足安全网元性能判定条件的安全网元为安全性能不足的目标安全网元。
具体地,安全网元性能判定条件包括:
Figure BDA0002347058150000151
网元CPU占用率≥预设网元CPU占用率阈值,网元内存占用率≥预设网元内存占用率阈值,网元硬盘占用率≥预设网元硬盘占用率阈值。其中,预设网元CPU占用率阈值可以是但不限于90%,预设网元内存占用率阈值可以是但不限于是95%,预设网元硬盘占用率阈值可以是但不限于是95%。
在确定造成第一安全服务链的目标安全网元后,云端性能监控程序会通过进程间通信的方式将性能告警信息通发送至管理模块,并通过邮件、短信等方式立即通告给管理员或相关人员,告知其当前目标安全网元的具体情况。
本实施例通过上述步骤S151-S156以及步骤S16在服务器上安全服务链性能出现问题时,可以主动发现问题,并及时作出调整,减少管理员对安全网元的维护工作量,且动态的检测出性能不足的安全网元,保证租户的安全服务正常运行,在用户感知到性能出现问题之前,就已经通过动态扩展安全能力的方法将风险降到最低。
步骤S18:创建指定安全网元组,将第一安全服务链中的目标安全网元替换为指定安全网元组,以得到第二安全服务链。
具体地,请参考图4,图4为本申请实施例提供的一种指定安全网元组创建步骤的流程示意图,该步骤可以包括如下子步骤:
步骤S181:将目标安全网元划分为至少两个指定安全网元,至少两个指定安全网元组成指定安全网元组。
其中,安全网元组的引流规则可以是OpenvSwitch中的Group完成。
步骤S182:将第一安全服务链中的目标安全网元替换为指定安全网元组,以得到第二安全服务链。
指定安全网元组中的所有指定安全网元的总安全服务能力与目标安全网元相同。
第二安全服务链除指定安全网元组的变化,以及与指定安全网元组中的指定安全网元直接进行数据传输的安全网元的数据传输关系变化,其他安全网元的设置与第一安全服务链相同。
步骤S183:基于指定安全网元组配置报文匹配规则,报文匹配规则用于将指定报文传入第二安全服务链。
步骤S184:基于负载分流规则设置一个或多个虚拟的安全网元以及每个指定安全网元的数据传输关系。
上述数据传输关系用于使指定安全网元组对目标安全网元处理的数据进行处理。
通过重新下发的报文匹配规则,改变OpenvSwitch的引流拓扑,使原本流向目标安全网元的报文流向安全网元组,且与安全网元组连接的上一个安全网元的出口指向由原本的一条链路变成了分别指向指定安全网元组中的每个指定安全网元的多条链路,从而实现了安全服务链的动态扩展。
示例性地,请参考图5,图5为本申请实施例提供的一种安全服务链的动态扩展示意图。其中,以IPS安全网元为例,一个IPS安全网元经动态扩展后成为IPS-1、IPS-2、IPS-3三个指定安全网元。
进一步地,针对指定安全网元组,还可以在多个指定安全网元中进行负载分流,负载分流规则可以包括基于流的负载分流规则、基于包的负载分流规则和基于带宽的非平衡负载分流规则等。
具体地,针对基于流的负载分流规则,步骤S184具体包括:基于流的负载分流规则,设置一个或多个虚拟的安全网元以及每个指定安全网元节点的数据传输关系,以确保同一会话的流通过指定安全网元组中的同一指定安全网元处理。
针对基于包的负载分流规则,步骤S184具体包括:基于包的负载分流规则,设置一个或多个虚拟的安全网元以及每个指定安全网元节点的数据传输关系,以采用轮询方式将每个包依次分配给不同的指定安全网元处理。
针对基于带宽的非平衡负载分流规则,步骤S184具体包括:基于带宽的非平衡负载分流规则,设置一个或多个虚拟的安全网元以及每个指定安全网元节点的数据传输关系,以基于每个指定安全网元的负载情况进行均衡的带宽均衡负载分流。
本实施例中,由Group上提供的负载分流支持,可以保证报文的动态散列。对外来说,该条安全服务链在形态上没有发生变化,但其安全服务处理性能却提升了,安全网元的扩展比安全服务链的扩展更加友好,因为它需要的系统资源更少,对系统带来的资源压力也是更小,将系统有限的资源发挥出更大的作用。
应当理解的是,一个OpenvSwitch管理的虚拟机上可以包括多条安全服务链,不同的安全服务链可以针对不同的用户或租户提供安全服务。
为了配合上述安全能力扩展方法,本实施例还提供了一种安全能力扩展装置20,请参考图6,图6为本申请实施例提供的一种安全能力扩展装置的模块示意图。
安全能力扩展装置20包括:
安全网元加载模块21,用于加载一个或多个虚拟的安全网元;
服务链构建模块22,用于将一个或多个虚拟的安全网元组成第一安全服务链;
网元检测模块23,用于在第一安全服务链的性能数据低于预设性能阈值时,基于每个安全网元的性能数据确定安全性能不足的目标安全网元;
网元组替换模块24,用于创建指定安全网元组,将第一安全服务链中的指定安全网元替换为指定安全网元组,以得到第二安全服务链。
可选地,服务链构建模块22具体用于:配置报文匹配规则,报文匹配规则用于将指定报文传入第一安全服务链;设置一个或多个虚拟的安全网元的数据传输关系,数据传输关系用于使指定报文按照指定路径通过一个或多个虚拟的安全网元。
可选地,安全网元加载模块21具体用于:通过虚拟化软件加载一个或多个虚拟的安全网元;服务链构建模块具体用于:通过OpenvSwitch基于匹配规则流表配置报文匹配规则;通过OpenvSwitch配置每个安全网元的虚拟桥内端口,用于使指定报文按照指定路径通过一个或多个虚拟的安全网元。
可选地,安全能力扩展装置20还可以包括:安全服务链性能判定模块,用于确定第一安全服务链的预设性能阈值;获取第一安全服务链的入口数据流量和出口数据流量;在第一安全服务链的入口数据流量、出口数据流量以及预设性能阈值满足服务链性能判定条件时,确定第一安全服务链的性能数据低于预设性能阈值;服务链性能判定条件包括:
Figure BDA0002347058150000191
Figure BDA0002347058150000192
可选地,安全能力扩展装置20还可以包括:安全网元性能判定模块,用于确定每个安全网元的收包数量、发包数量;确定每个安全网元的网元CPU占用率、网元内存占用率和网元硬盘占用率;在安全网元的收包数量、发包数量、网元CPU占用率、网元内存占用率和网元硬盘占用率满足安全网元性能判定条件时,确定满足安全网元性能判定条件的安全网元为安全性能不足的目标安全网元;安全网元性能判定条件包括:
Figure BDA0002347058150000193
Figure BDA0002347058150000194
网元CPU占用率≥预设网元CPU占用率阈值,网元内存占用率≥预设网元内存占用率阈值,网元硬盘占用率≥预设网元硬盘占用率阈值。
可选地,安全能力扩展装置20还可以包括:物理服务器性能判定模块,用于确定第一安全服务链所处的物理服务器系统的系统CPU占用率、系统内存占用率和系统硬盘占用率;基于物理系统性能判定条件确定物理服务器系统的性能数据是否低于预设物理性能阈值;在系统CPU占用率、系统内存占用率和系统硬盘占用率满足物理系统性能判定条件时,确定物理服务器系统的性能数据低于预设物理性能阈值;物理系统性能判定条件包括:系统CPU占用率≥预设系统CPU占用率阈值,系统内存占用率≥预设系统内存占用率阈值,系统硬盘占用率≥预设系统硬盘占用率阈值。
可选地,网元组替换模块24具体用于:将目标安全网元划分为至少两个指定安全网元,至少两个指定安全网元组成指定安全网元组;将第一安全服务链中的目标安全网元替换为指定安全网元组,以得到第二安全服务链;基于指定安全网元组配置报文匹配规则,报文匹配规则用于将指定报文传入第二安全服务链;基于负载分流规则设置一个或多个虚拟的安全网元以及每个指定安全网元的数据传输关系,数据传输关系用于使指定安全网元组对目标安全网元处理的数据进行处理。
可选地,负载分流规则包括基于流的负载分流规则、基于包的负载分流规则和基于带宽的非平衡负载分流规则中的至少一种,网元组替换模块24具体用于:基于流的负载分流规则,设置一个或多个虚拟的安全网元以及每个指定安全网元节点的数据传输关系,以确保同一会话的流通过指定安全网元组中的同一指定安全网元处理;或基于包的负载分流规则,设置一个或多个虚拟的安全网元以及每个指定安全网元节点的数据传输关系,以采用轮询方式将每个包依次分配给不同的指定安全网元处理;或基于带宽的非平衡负载分流规则,设置一个或多个虚拟的安全网元以及每个指定安全网元节点的数据传输关系,以基于每个指定安全网元的负载情况进行均衡的带宽均衡负载分流。
可选地,安全能力扩展装置20中的一个或多个虚拟的安全网元包括防火墙安全网元、入侵防御系统安全网元、Web应用防护系统中的一个或多个。
本申请实施例还提供了一种电子设备,该电子设备包括存储器和处理器,存储器中存储有程序指令,处理器读取并运行程序指令时,执行本实施例提供的安全能力扩展方法中任一项所述方法中的步骤。
应当理解是,该电子设备可以是个人电脑(personal computer,PC)、平板电脑、智能手机、个人数字助理(personal digital assistant,PDA)等具有逻辑计算功能的电子设备。
本申请实施例还提供了一种可读取存储介质,所述可读取存储介质中存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行安全能力扩展方法中的步骤。
综上所述,本申请实施例提供了一种安全能力扩展方法、装置、电子设备及存储介质,所述方法包括:加载一个或多个虚拟的安全网元;将所述一个或多个虚拟的安全网元组成第一安全服务链;在所述第一安全服务链的性能数据低于预设性能阈值时,基于每个安全网元的性能数据确定安全性能不足的目标安全网元;创建指定安全网元组,将所述第一安全服务链中的所述目标安全网元替换为所述指定安全网元组,以得到第二安全服务链。
在上述实现方式中,基于安全网元的性能数据对其安全性能是否满足需求进行实时判定,实现了自动化的安全性能定位,从而能够在不需要人为参与操作的情况下迅速判断是否需要进行安全能力扩展,提高了安全能力扩展的效率,减少了人力损耗;同时在安全网元的安全性能不足时采用安全网元组对其进行替换,能够对原流量进行分流及负载均衡等操作,提高了服务链的安全性能。
在本申请所提供的几个实施例中,应该理解到,所揭露的设备,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的框图显示了根据本申请的多个实施例的设备的可能实现的体系架构、功能和操作。在这点上,框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图中的每个方框、以及框图的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。因此本实施例还提供了一种可读取存储介质中存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行区块数据存储方法中任一项所述方法中的步骤。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,RanDom Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

Claims (12)

1.一种安全能力扩展方法,其特征在于,所述方法包括:
加载一个或多个虚拟的安全网元;
将所述一个或多个虚拟的安全网元组成第一安全服务链;
在所述第一安全服务链的性能数据低于预设性能阈值时,基于每个安全网元的性能数据确定安全性能不足的目标安全网元;
创建指定安全网元组,将所述第一安全服务链中的所述目标安全网元替换为所述指定安全网元组,以得到第二安全服务链。
2.根据权利要求1所述的方法,其特征在于,所述将所述一个或多个虚拟的安全网元组成第一安全服务链,包括:
配置报文匹配规则,所述报文匹配规则用于将指定报文传入所述第一安全服务链;
设置所述一个或多个虚拟的安全网元的数据传输关系,所述数据传输关系用于使所述指定报文按照指定路径通过所述一个或多个虚拟的安全网元。
3.根据权利要求2所述的方法,其特征在于,所述加载一个或多个虚拟的安全网元,包括:
通过虚拟化软件加载所述一个或多个虚拟的安全网元;
所述配置报文匹配规则,包括:
通过OpenvSwitch基于匹配规则流表配置所述报文匹配规则;
所述设置所述一个或多个虚拟的安全网元的数据传输关系,包括:
通过OpenvSwitch配置每个安全网元的虚拟桥内端口,用于使所述指定报文按照指定路径通过所述一个或多个虚拟的安全网元。
4.根据权利要求1所述的方法,其特征在于,在所述基于每个安全网元的性能数据确定安全性能不足的目标安全网元之前,所述方法还包括:
确定所述第一安全服务链的所述预设性能阈值;
获取所述第一安全服务链的入口数据流量和出口数据流量;
在所述第一安全服务链的入口数据流量、所述出口数据流量以及所述预设性能阈值满足服务链性能判定条件时,确定所述第一安全服务链的性能数据低于所述预设性能阈值;所述服务链性能判定条件包括:
Figure FDA0002347058140000021
5.根据权利要求1所述的方法,其特征在于,所述基于每个安全网元的性能数据确定安全性能不足的目标安全网元,包括:
确定每个安全网元的收包数量、发包数量;
确定每个安全网元的网元CPU占用率、网元内存占用率和网元硬盘占用率;
在安全网元的收包数量、发包数量网元CPU占用率、网元内存占用率和网元硬盘占用率满足安全网元性能判定条件时,确定满足所述安全网元性能判定条件的安全网元为安全性能不足的所述目标安全网元;所述安全网元性能判定条件包括:
Figure FDA0002347058140000022
网元CPU占用率≥预设网元CPU占用率阈值,网元内存占用率≥预设网元内存占用率阈值,网元硬盘占用率≥预设网元硬盘占用率阈值。
6.根据权利要求5所述的方法,其特征在于,在所述基于每个安全网元的性能数据确定安全性能不足的目标安全网元之前,所述方法还包括:
确定所述第一安全服务链所处的物理服务器系统的系统CPU占用率、系统内存占用率和系统硬盘占用率;
基于物理系统性能判定条件确定所述物理服务器系统的性能数据是否低于预设物理性能阈值;
在所述系统CPU占用率、所述系统内存占用率和所述系统硬盘占用率满足物理系统性能判定条件时,确定所述物理服务器系统的性能数据低于所述预设物理性能阈值;所述物理系统性能判定条件包括:系统CPU占用率≥预设系统CPU占用率阈值,系统内存占用率≥预设系统内存占用率阈值,系统硬盘占用率≥预设系统硬盘占用率阈值。
7.根据权利要求1所述的方法,其特征在于,所述创建指定安全网元组,将所述第一安全服务链中的所述目标安全网元替换为所述指定安全网元组,包括:
将所述目标安全网元划分为至少两个指定安全网元,所述至少两个指定安全网元组成所述指定安全网元组;
将所述第一安全服务链中的所述目标安全网元替换为所述指定安全网元组,以得到第二安全服务链;
基于所述指定安全网元组配置报文匹配规则,所述报文匹配规则用于将指定报文传入所述第二安全服务链;
基于负载分流规则设置所述一个或多个虚拟的安全网元以及每个指定安全网元的数据传输关系,所述数据传输关系用于使所述指定安全网元组对所述目标安全网元处理的数据进行处理。
8.根据权利要求7所述的方法,其特征在于,所述负载分流规则包括基于流的负载分流规则、基于包的负载分流规则和基于带宽的非平衡负载分流规则中的至少一种,所述基于负载分流规则设置所述一个或多个虚拟的安全网元以及每个指定安全网元节点的数据传输关系,包括:
基于流的负载分流规则,设置所述一个或多个虚拟的安全网元以及每个指定安全网元节点的数据传输关系,以确保同一会话的流通过所述指定安全网元组中的同一指定安全网元处理;或
基于包的负载分流规则,设置所述一个或多个虚拟的安全网元以及每个指定安全网元节点的数据传输关系,以采用轮询方式将每个包依次分配给不同的指定安全网元处理;或
基于带宽的非平衡负载分流规则,设置所述一个或多个虚拟的安全网元以及每个指定安全网元节点的数据传输关系,以基于每个指定安全网元的负载情况进行均衡的带宽均衡负载分流。
9.根据权利要求1-8中任一项所述的方法,其特征在于,所述一个或多个虚拟的安全网元包括防火墙安全网元、入侵防御系统安全网元、Web应用防护系统中的一个或多个。
10.一种安全能力扩展装置,其特征在于,所述装置包括:
安全网元加载模块,用于加载一个或多个虚拟的安全网元;
服务链构建模块,用于将所述一个或多个虚拟的安全网元组成第一安全服务链;
网元检测模块,用于在所述第一安全服务链的性能数据低于预设性能阈值时,基于每个安全网元的性能数据确定安全性能不足的目标安全网元;
网元组替换模块,用于创建指定安全网元组,将所述第一安全服务链中的所述指定安全网元替换为所述指定安全网元组,以得到第二安全服务链。
11.一种电子设备,其特征在于,所述电子设备包括存储器和处理器,所述存储器中存储有程序指令,所述处理器运行所述程序指令时,执行权利要求1-9中任一项所述方法中的步骤。
12.一种可读取存储介质,其特征在于,所述可读取存储介质中存储有计算机程序指令,所述计算机程序指令被一处理器运行时,执行权利要求1-9任一项所述方法中的步骤。
CN201911422955.5A 2019-12-30 2019-12-30 安全能力扩展方法、装置、电子设备及存储介质 Pending CN111131319A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911422955.5A CN111131319A (zh) 2019-12-30 2019-12-30 安全能力扩展方法、装置、电子设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911422955.5A CN111131319A (zh) 2019-12-30 2019-12-30 安全能力扩展方法、装置、电子设备及存储介质

Publications (1)

Publication Number Publication Date
CN111131319A true CN111131319A (zh) 2020-05-08

Family

ID=70507834

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911422955.5A Pending CN111131319A (zh) 2019-12-30 2019-12-30 安全能力扩展方法、装置、电子设备及存储介质

Country Status (1)

Country Link
CN (1) CN111131319A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113810348A (zh) * 2020-06-17 2021-12-17 华为技术有限公司 网络安全检测方法、系统、设备及控制器

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105242956A (zh) * 2015-09-15 2016-01-13 中国人民解放军信息工程大学 虚拟功能服务链部署系统及其部署方法
US20180060136A1 (en) * 2015-02-20 2018-03-01 Intel Corporation Techniques to dynamically allocate resources of configurable computing resources
CN108667777A (zh) * 2017-03-31 2018-10-16 华为技术有限公司 一种服务链生成方法及网络功能编排器nfvo
CN108965014A (zh) * 2018-07-25 2018-12-07 北京智芯微电子科技有限公司 QoS感知的服务链备份方法及系统
US20190028347A1 (en) * 2017-07-21 2019-01-24 Cisco Technology, Inc. Service function chain optimization using live testing
CN109981355A (zh) * 2019-03-11 2019-07-05 北京网御星云信息技术有限公司 用于云环境的安全防御方法及系统、计算机可读存储介质

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180060136A1 (en) * 2015-02-20 2018-03-01 Intel Corporation Techniques to dynamically allocate resources of configurable computing resources
CN105242956A (zh) * 2015-09-15 2016-01-13 中国人民解放军信息工程大学 虚拟功能服务链部署系统及其部署方法
CN108667777A (zh) * 2017-03-31 2018-10-16 华为技术有限公司 一种服务链生成方法及网络功能编排器nfvo
US20190028347A1 (en) * 2017-07-21 2019-01-24 Cisco Technology, Inc. Service function chain optimization using live testing
CN108965014A (zh) * 2018-07-25 2018-12-07 北京智芯微电子科技有限公司 QoS感知的服务链备份方法及系统
CN109981355A (zh) * 2019-03-11 2019-07-05 北京网御星云信息技术有限公司 用于云环境的安全防御方法及系统、计算机可读存储介质

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113810348A (zh) * 2020-06-17 2021-12-17 华为技术有限公司 网络安全检测方法、系统、设备及控制器

Similar Documents

Publication Publication Date Title
CN112204929B (zh) 使用原位通知系统进行网络流量优化
US11115347B2 (en) Dynamic monitoring and migration of applications
US10895984B2 (en) Fabric attached storage
US20230040556A1 (en) System and method for network policy simulation
US11677622B2 (en) Modifying resource allocation or policy responsive to control information from a virtual network function
US10129297B2 (en) System and method thereof for multi-tiered mitigation of cyber-attacks
US9148381B2 (en) Cloud computing enhanced gateway for communication networks
EP2972855B1 (en) Automatic configuration of external services based upon network activity
JP7116759B2 (ja) 分散システムにおける集中ネットワーク構成
US9584369B2 (en) Methods of representing software defined networking-based multiple layer network topology views
WO2020256997A1 (en) Monitoring network traffic using traffic mirroring
US9847970B1 (en) Dynamic traffic regulation
US10129114B1 (en) Protocol exposure as network health detection
US10587521B2 (en) Hierarchical orchestration of a computer network
CN115769556A (zh) 服务链数据流的路径可见性、分组丢失和时延测量结果
EP3266174B1 (en) Uplink port oversubscription determination
US10771499B2 (en) Automatic handling of device group oversubscription using stateless upstream network devices
CN111131319A (zh) 安全能力扩展方法、装置、电子设备及存储介质
EP4262150A1 (en) Layer-3 policy enforcement for layer-7 data flows
US20240039957A1 (en) Dynamic management of security rules and policies
US20230318958A1 (en) End-to-end flow visibility in a data network including service appliances
Chang et al. Edge Computing Dynamic Resource Management: Tradeoffs Between Security and Application QoE
WO2024085930A2 (en) Threat analytics and dynamic compliance in security policies
US9172490B2 (en) Virtual wavelength networks
Kumar Computer network infrastructure deployment

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20200508