CN112242925B - 一种安全管理方法及设备 - Google Patents

一种安全管理方法及设备 Download PDF

Info

Publication number
CN112242925B
CN112242925B CN202011062070.1A CN202011062070A CN112242925B CN 112242925 B CN112242925 B CN 112242925B CN 202011062070 A CN202011062070 A CN 202011062070A CN 112242925 B CN112242925 B CN 112242925B
Authority
CN
China
Prior art keywords
security
node
service
real service
real
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202011062070.1A
Other languages
English (en)
Other versions
CN112242925A (zh
Inventor
王基平
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
New H3C Security Technologies Co Ltd
Original Assignee
New H3C Security Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by New H3C Security Technologies Co Ltd filed Critical New H3C Security Technologies Co Ltd
Priority to CN202011062070.1A priority Critical patent/CN112242925B/zh
Publication of CN112242925A publication Critical patent/CN112242925A/zh
Application granted granted Critical
Publication of CN112242925B publication Critical patent/CN112242925B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • H04L41/0823Configuration setting characterised by the purposes of a change of settings, e.g. optimising configuration for enhancing reliability
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/50Allocation of resources, e.g. of the central processing unit [CPU]
    • G06F9/5005Allocation of resources, e.g. of the central processing unit [CPU] to service a request
    • G06F9/5027Allocation of resources, e.g. of the central processing unit [CPU] to service a request the resource being a machine, e.g. CPUs, Servers, Terminals
    • G06F9/505Allocation of resources, e.g. of the central processing unit [CPU] to service a request the resource being a machine, e.g. CPUs, Servers, Terminals considering the load
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5069Address allocation for group communication, multicast communication or broadcast communication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1001Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
    • H04L67/1004Server selection for load balancing

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请提供了一种安全管理方法和设备。该安全管理方法通过确定外部报文的目的IP地址对应的虚服务;根据虚服务的实服务策略组的每个实服务策略的主动作,将外部报文通过连接实服务组的各个安全节点的物理端口的子接口依次发往实服务组的各个安全节点,将完成安全业务的外部报文发往终端;其中连接实服务组的各个安全节点的物理端口的子接口位于目的IP地址所属的广播域。

Description

一种安全管理方法及设备
技术领域
本申请涉及通信技术,具体的讲是一种安全管理方法及设备。
背景技术
安全资源池是一个提供安全服务的资源集合。传统数据中心或云数据中心内部的安全服务薄弱,因此需要建立安全资源池系统,提供扩展和增强安全服务。安全资源池系统是提供安全服务的资源集合系统,由提供不同种类的安全业务的服务器构成。
数据中心的核心交换机将Internet发往数据中心的外部报文按照预设的策略路由发往引流交换机,由引流交换机根据配置策略路由将外部报文发往安全资源池的第一个节点,譬如防火墙(fire wall,FW)节点,第一个节点完成安全业务服务后按照本地配置的路由将外部报文发往第二个节点,譬如IPS节点,第二个节点完成安全业务服务后再根据路由将外部报文发往再下一个节点,依次类推,最后一个节点完成安全业务服务后将外部报文返回给核心交换机,最后被发往数据中心。但是该引流的方式依赖于各个安全服务节点上配置的路由表项,在数据中心的多租户场景下,安全资源中心的各个节点都需要配置各租户的策略路由。最重要的是,无法灵活配置安全资源池中的服务节点,如果要增加、删除安全资源池的节点或改变节点的顺序,则需要安全资源池的在上下游多个节点上修改各租户的路由配置。
发明内容
本申请的目的在于提供一种安全管理方法和设备,降低配置安全资源池节点安全管理业务的复杂性。
为实现上述目的,本申请提供了一种安全管理方法,该方法包括;确定外部报文的目的IP地址对应的虚服务;其中,虚服务的实服务组包含按照安全业务顺序设置的安全资源池的多个安全节点;根据虚服务的实服务策略组的每个实服务策略的主动作,将外部报文通过连接实服务组的各个安全节点的物理端口的子接口依次发往实服务组的各个安全节点,将完成安全业务的外部报文发往终端;其中连接实服务组的各个安全节点的物理端口的子接口位于目的IP地址所属的广播域。
为实现上述目的,本申请还提供了一种安全管理设备,其中,设备作为负载均衡设备包括处理器以及存储器;存储器存储有处理器可执行指令;其中,处理器通过运行存储器中的处理器可执行指令用以执行以下操作:确定外部报文的目的IP地址对应的虚服务;其中,虚服务的实服务组包含按照安全业务顺序设置的安全资源池的多个安全节点;根据虚服务的实服务策略组的每个实服务策略的主动作,将外部报文通过连接实服务组的各个安全节点的物理端口的子接口依次发往实服务组的各个安全节点,将完成安全业务的外部报文发往终端;其中连接实服务组的各个安全节点的物理端口的子接口位于目的IP地址所属的广播域。
本申请的有益效果在于,通过负载均衡设备虚服务接收外部报文,通过虚服务对应实服务组的实服务策略依次选择一个安全节点进行安全管理处理,从而无需在安全资源池的各个安全节点设备上设置逐跳的路由表项,减少了配置复杂度。
附图说明
图1所示本申请提供的安全管理方法实施例的流程图;
图2是本申请提供的负载均衡设备进行安全管理实施例的示意图;
图3是本申请提供的负载均衡设备进行安全管理另一实施例的示意图;
图4是本申请提供的安全管理设备的示意图。
具体实施方式
将以多个附图所示的多个例子进行详细说明。在以下详细描述中,多个具体细节用于提供对本申请的全面理解。实例中没有详细地描述已知的方法、步骤、组件以及电路,以免使这些例子的难于理解。
使用的术语中,术语“包括”表示包括但不限于;术语“含有”表示包括但不限于;术语“以上”、“以内”以及“以下”包含本数;术语“大于”、“小于”表示不包含本数。术语“基于”表示至少基于其中一部分。
图1所示本申请提供的安全管理方法实施例包括以下步骤:
步骤101,确定外部报文的目的IP地址对应的虚服务;
其中,虚服务的实服务组包含按照安全业务顺序设置的安全资源池的多个安全节点;
步骤102,根据虚服务的实服务策略组的每个实服务策略的主动作,将外部报文通过连接实服务组的各个安全节点的物理端口的子接口依次发往实服务组的各个安全节点;
步骤103,将完成安全业务的外部报文发往终端;其中连接实服务组的各个安全节点的物理端口的子接口位于目的IP地址所属的广播域。
本申请的有益效果在于,通过负载均衡设备虚服务接收外部报文,通过虚服务对应实服务组的实服务策略依次选择一个安全节点进行安全管理处理,从而无需在安全资源池的各个安全节点设备上设置逐跳的路由表项,减少了配置复杂度。
此外,图1所示例子中,由于数据中心内,同一个租户的终端在一个VLAN(VirtualLocal Area Network,虚拟局域网)或一个VPN(Virtual Private Network,虚拟专用网),通过连接实服务组的各个安全节点的物理端口的子接口依次向各安全节点发送外部报文且子接口位于目的IP地址所属的广播域内,这就确保了只会在各租户内部转发,实现了数据中心的租户和租户间隔离。
图2所示的本申请提供的负载均衡设备进行安全管理实施例中,数据中心的核心交换机连接了接入到数据中心网络的各类网络终端,本实施例以服务器10和服务器20为例。
图2中,服务器10和服务器20分别属于不同的租户,服务器10所属租户A位于VLAN1、服务器20所述的租户B位于VLAN2。
核心交换机上,连接负载均衡设备的端口分别设置了两个租户的VLAN的子接口(图中未示),同样的负载均衡设备连接核心交换机的端口上也设置VLAN1和VLAN2的子接口。
负载均衡设备连接安全资源池的各个节点的端口上也设置了VLAN1和VLAN2的子接口;同样的安全资源池的各个安全节点连接负载均衡设备的端口上也分别设置了VLAN1和VLAN2的子接口。
在负载均衡设备上,以服务器10的IP地址10.0.1.1作为虚服务地址设置虚服务11,以服务器20的IP地址10.0.2.1作为虚服务地址设置虚服务21。
负载均衡设备上,为虚服务11的实服务组设置基于安全业务顺序的IP Sec(internet Protocol Security,IP安全)节点、SSLVPN((Security Socket Layer VirtualPrivate Network,安全套接字层协议虚拟专用网)节点、防火墙节点以及IPS((InternetProtocol Suite,互联网协议群)节点,为虚服务11的实服务组设置实服务策略组的各个实服务策略如表1-1所示:
动作
来自核心交换机的报文 发送给IP Sec节点
来自IPsec节点的报文 发送给SSLVPN节点
来自SSLVPN节点的报文 发送给防火墙节点
来自防火墙节点的报文 发送给IPS节点
来自IPS节点的报文 发送给服务器10
表1-1
负载均衡设备上,为虚服务21的实服务组设置基于安全业务顺序的SSLVPN节点、防火墙节点以及IPS节点,为虚服务21的实服务器设置实服务策略组的各个实服务策略如表2-1所示:
动作
来自核心交换机的报文 发送给SSLVPN节点
来自SSLVPN节点报文 发送给防火墙节点
来自防火墙节点的报文 发送给IPS节点
来自IPS节点的报文 发送给服务器20
表2-1
由此可见,本申请实施例不需要在安全资源中心的各个安全节点上逐个配置路由表项下一跳的方式来按照安全业务顺序将发往数据中心内部的外部报文依次发往各安全节点,极大地避免了现有安全资源池配置的复杂性。
当核心交换机收从外部的Internet收到外部报文211时,根据外部报文211的接收端口上配置的策略路由,确定外部报文211的目的IP地址的下一跳为负载均衡设备,将外部报文211通过连接负载均衡设备的端口上属于租户A的VLAN1子接口(图中未示)发送。
负载均衡设备通过VLAN1的子接口收到外部报文211,根据目的IP地址10.0.1.1查找到虚服务11,根据虚服务11的实服务策略组中核心交换机对应的策略,通过VLAN1的子接口G1将外部报文211发往IP Sec节点。IP Sec节点完成安全业务处理后,通过VLAN1的子接口G11将外部报文211返回负载均衡设备。
负载均衡设备基于虚服务11的实服务策略组,将来自IP Sec节点的外部报文211通过VLAN1的子接口G3发往SSLVPN节点。当SSLVPN节点完成安全业务处理后,通过VLAN1的子接口G31将外部报文211返回负载均衡设备。
负载均衡设备基于虚服务11的实服务策略组,将来自SSLVPN节点的外部报文211通过VLAN1的子接口G5发往防火墙节点。当防火墙节点完成安全业务处理后,通过VLAN1的子接口G51将外部报文211返回负载均衡设备。
负载均衡设备基于虚服务11的实服务策略组,将来自防火墙节点的外部报文211通过VLAN1的子接口G7发往IPS节点。当IPS节点完成安全业务处理后,通过VLAN1的子接口G71将外部报文211返回负载均衡设备。
负载均衡设备基于虚服务11的实服务策略组,将来自IPS节点的外部报文211发往服务器10,根据目的IP地址查找到下一跳是核心交换机,通过连接核心交换机的端口上VLAN1的子接口发送外部报文211,然后由核心交换机根据连接负载均衡设备端口的策略路由,根据目的IP地址10.0.1.1将外部报文211发往服务器10。
当核心交换机收从外部的Internet收到外部报文221时,根据外部报文221的接收端口上配置的策略路由,确定外部报文221的目的IP地址的下一跳为负载均衡设备,将外部报文221通过连接负载均衡设备的端口上属于租户B的VLAN2子接口(图中未示)发送。
负载均衡设备通过VLAN2的子接口收到外部报文221,根据目的IP地址10.0.2.1查找到虚服务21,根据虚服务21的实服务策略组(如表2-1所示),通过VLAN2的子接口G4发往SSLVPN节点。当SSLVPN节点完成安全业务处理后,通过VLAN2的子接口G41将外部报文221返回负载均衡设备。
负载均衡设备基于虚服务21的实服务策略组,将来自SSLVPN节点的外部报文221通过VLAN1的子接口G6发往防火墙节点。当防火墙节点完成安全业务处理后,通过VLAN1的子接口G61将外部报文221返回负载均衡设备。
负载均衡设备基于虚服务11的实服务策略组,将来自防火墙节点的外部报文221通过VLAN1的子接口G8发往IPS节点。当IPS节点完成安全业务处理后,通过VLAN1的子接口G81将外部报文221返回负载均衡设备。
负载均衡设备基于虚服务21的实服务策略组,将来自IPS节点的外部报文211发往服务器10,根据目的IP地址10.0.2.1查找到下一跳是核心交换机,通过连接核心交换机的端口上VLAN1的子接口发送外部报文211,然后由核心交换机根据连接负载均衡设备端口的策略路由,根据目的IP地址10.0.2.1将外部报文221发往服务器20。
图2中,负载均衡设备检测与各个安全节点的可达性。假设,负载均衡设备检测到SSLVPN节点不可达时,将表1-1和表2-1的实服务策略组的中“发送给SSLVPN节点”的主动做修改为向各自安全业务顺序中下一安全节点发送的从动作。
虚服务11的实服务策略组更新后如表1-2所示:
动作
来自核心交换机的报文 发送给IP Sec节点
来自IPsec节点的报文 发送给防火墙节点
来自SSLVPN节点的报文 发送给防火墙节点
来自防火墙节点的报文 发送给IPS节点
来自IPS节点的报文 发送给服务器10
表1-2
虚服务21的实服务策略组更新后如表2-2所示:
动作
来自核心交换机的报文 发送给防火墙节点
来自SSLVPN节点报文 发送给防火墙节点
来自防火墙节点的报文 发送给IPS节点
来自IPS节点的报文 发送给服务器20
表2-2
负载均衡设备再次通过VLAN1的子接口收到目的IP地址为10.0.1.1的外部报文211时,先查找到虚服务11,根据虚服务11的实服务策略组,通过VLAN1的子接口G1将外部报文发往IP Sec节点。当IP Sec节点完成安全业务处理后,通过VLAN1的子接口G11将外部报文211返回负载均衡设备。负载均衡设备基于虚服务11的实服务策略组中修改后的备动作,将来自IP Sec节点的外部报文211通过VLAN1的子接口G5发往防火墙节点。当防火墙节点完成安全业务处理后,通过VLAN1的子接口G51将外部报文211返回负载均衡设备。负载均衡设备基于虚服务11的实服务策略组,将来自防火墙节点的外部报文211通过VLAN1的子接口G7发往IPS节点。
同样地,负载均衡设备再次通过VLAN1的子接口收到目的IP地址为10.0.2.1的外部报文221时,先查找到虚服务21,根据虚服务21的实服务策略组中修改后的备动作,通过VLAN2的子接口G6将外部报文发221发往防火墙节点。当防火墙节点完成安全业务处理后,通过VLAN2的子接口G61将外部报文221返回负载均衡设备。负载均衡设备基于虚服务21的实服务策略组,将来自防火墙节点的外部报文221通过VLAN2的子接口G8发往IPS节点。
由此可见,负载均衡设备基于修改后的备动作,跳过了不可达的安全节点,继续后续安全节点的安全业务。
图2所示实施例的有益效果在于,需要安全业务处理的外部报文不再通过路由的方式在各安全节点之间逐跳转发,不仅无需在各安全节点上设置路由,即使其中一个安全节点故障不可达而不能转发报文时,也能够跳过该节点发往下一个安全节点进行安全业务。
图3所示的本申请提供的负载均衡设备进行安全管理另一实施例中,资源安全池中增加了安全节点WAF(Web Application Firewall,网页应用防火墙)节点。
负载均衡设备上,为虚服务21的实服务组设置基于更新后安全业务顺序的SSLVPN节点、防火墙节点、WAF节点以及IPS节点,为虚服务21的实服务器设置实服务策略组的实服务策略如表2-3所示:
Figure BDA0002712691330000081
Figure BDA0002712691330000091
表2-3
基于虚服务21实服务组的新增安全节点以及更新的安全业务顺序,将实服务策略组中,新增WAF节点之前的防火墙节点的实服务策略的主动作,由“发送给IPS节点”修改为“发送给WAF节点”;将新增WAF节点的实服务策略的主动作设置为“发送给IPS节点”,即被修改为向新增WAF节点之后的IPS节点发送的主动作。
基于更新后表2-3所示的实服务策略组的主动作,负载均衡设备将发往服务器20的报文依次发往上述包括WAF节点在内的各安全节点,具体过程与图2中方式相同,在此不在赘述。
假设,从虚服务11的实服务组中删除SSLVPN节点,为虚服务11的实服务组设置实服务策略组的实服务策略由表1更新表1-3:
动作
来自核心交换机的报文 发送给IP Sec节点
来自IPsec节点的报文 发送给防火墙节点
来自防火墙节点的报文 发送给IPS节点
来自IPS节点的报文 发送给服务器10
表1-3
基于虚服务11的实服务组的删除安全节点后的安全业务顺序,将虚服务11的实服务策略组中,被删除SSLVPN节点之前的IP sec节点的实服务策略的主动作由“发送给SSLVPN节点”修改为向“发送给防火墙节点”,即修改后向被删除的SSLVPN节点之后的防火墙节点发送的主动作;删除SSLVPN节点的实服务策略。
基于更新后表1-3所示的实服务策略组的主动作,负载均衡设备将发往服务器10的报文依次发往删除了SSLVPN节点后的实服务组的各安全节点,具体过程与图2中方式相同,在此不在赘述。
如果租户A或者租户B新增其他的服务器时,可以根据新增的服务器的IP地址为虚服务地址设置虚服务、新增服务器的虚服务的实服务组的安全业务顺序可以相同租户内的其他服务器顺序不同或节点不同,基于新增服务器的安全节点设置实服务策略组,具体方式与图2和图3中的实服务策略组的设置方式相同,具体不再赘述。
由此可见中,本申请的两个实施例中,不仅不同租户的安全服务节点和安全业务顺序可以不同,即使相同租户内的安全服务节点和安全业务顺序可以不同。
现有方式中,安全资源池的每个安全节点上都要配置去往下一节点的路由,节点故障、新增节点,都需要在上游和下游设备逐个修改每个需要修改的路由表项,配置复杂,灵活性差。
本申请大大减少了配置复杂性、增强了安全资源池的各节点的业务处理的灵活性,增强了安全资源池的业务处理的可靠性。
图2和图3中安全资源池的安全节点仅为举例说明,本领域技术人员基于本申请的技术启示根据安全业务需求选择安全节点以及这些安全节点顺序执行安全业务的安全业务顺序,在负载均衡设备根据本申请权利要求的保护范围,对发往数据中心的外部报文进行安全管理。
图4是本申请提供的安全管理设备40的示意图,该设备40可以作为负载均衡设备。设备40包括处理器以及存储器;存储器存储有处理器可执行指令。
处理器通过运行存储器中的处理器可执行指令用以执行以下操作:确定外部报文的目的IP地址对应的虚服务;其中,虚服务的实服务组包含按照安全业务顺序设置的安全资源池的多个安全节点;根据虚服务的实服务策略组的每个实服务策略的主动作,将外部报文通过连接实服务组的各个安全节点的物理端口的子接口依次发往实服务组的各个安全节点,将完成安全业务的外部报文发往终端;其中连接实服务组的各个安全节点的物理端口的子接口位于目的IP地址所属的广播域。
处理器通过运行存储器中的处理器可执行指令还执行以下操作:检测多个安全节点是否可达;当检测到不可达安全节点时,将不可达安全节点对应的实服务策略的主动作修改为向安全业务顺序中下一安全节点发送的从动作。
处理器通过运行存储器中的处理器可执行指令还执行以下操作:检测到不可达安全节点恢复,将不可达安全节点对应的实服务策略的从动作修改为向恢复的安全节点发送的主动作。
处理器通过运行存储器中的处理器可执行指令还执行以下操作:基于实服务组的新增安全节点以及更新的安全业务顺序,将实服务策略组中,新增安全节点之前的安全节点的实服务策略的主动作,修改为向新增安全节点发送的主动作;将新增安全节点的实服务策略的主动作修改为向新增安全节点之后的安全节点发送的主动作。
处理器通过运行存储器中的处理器可执行指令还执行以下操作:基于实服务组的删除安全节点后的安全业务顺序,将实服务策略组中,被删除安全节点之前的安全节点的实服务策略的主动作,修改为向被删除安全节点之后的安全节点发送的主动作;将被删除安全节点对应的实服务策略删除。
以上仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。

Claims (10)

1.一种安全管理方法,其特征在于,所述方法包括;
确定外部报文的目的IP地址对应的虚服务;其中,虚服务的实服务组包含按照安全业务顺序设置的安全资源池的多个安全节点;
根据所述虚服务的实服务策略组的每个实服务策略的主动作,将所述外部报文通过连接所述实服务组的各个安全节点的物理端口的子接口依次发往所述实服务组的各个安全节点,将完成安全业务的外部报文发往终端;其中连接所述实服务组的各个安全节点的物理端口的子接口位于所述目的IP地址所属的广播域。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
检测所述多个安全节点是否可达;
当检测到不可达安全节点时,将所述不可达安全节点对应的实服务策略的主动作修改为向所述安全业务顺序中下一安全节点发送的从动作。
3.根据权利要求2所述的方法,所述方法还包括:
检测到所述不可达安全节点恢复,将所述不可达安全节点对应的实服务策略的从动作修改为向恢复的安全节点发送的主动作。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
基于所述实服务组的新增安全节点以及更新的安全业务顺序,将所述实服务策略组中,所述新增安全节点之前的安全节点的实服务策略的主动作,修改为向所述新增安全节点发送的主动作;
将所述新增安全节点的实服务策略的主动作修改为向所述新增安全节点之后的安全节点发送的主动作。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
基于所述实服务组的删除安全节点后的安全业务顺序,将所述实服务策略组中,被删除安全节点之前的安全节点的实服务策略的主动作,修改为向所述被删除安全节点之后的安全节点发送的主动作;
将所述被删除安全节点对应的实服务策略删除。
6.一种安全管理设备,其特征在于,所述设备作为负载均衡设备包括处理器以及存储器;所述存储器存储有处理器可执行指令;其中,所述处理器通过运行所述存储器中的处理器可执行指令用以执行以下操作:
确定外部报文的目的IP地址对应的虚服务;其中,虚服务的实服务组包含按照安全业务顺序设置的安全资源池的多个安全节点;
根据所述虚服务的实服务策略组的每个实服务策略的主动作,将所述外部报文通过连接所述实服务组的各个安全节点的物理端口的子接口依次发往所述实服务组的各个安全节点,将完成安全业务的外部报文发往终端;其中连接所述实服务组的各个安全节点的物理端口的子接口位于所述目的IP地址所属的广播域。
7.根据权利要求6所述的设备,其特征在于,所述处理器通过运行所述存储器中的处理器可执行指令还执行以下操作:
检测所述多个安全节点是否可达;
当检测到不可达安全节点时,将所述不可达安全节点对应的实服务策略的主动作修改为向所述安全业务顺序中下一安全节点发送的从动作。
8.根据权利要求7所述的设备,其特征在于,所述处理器通过运行所述存储器中的处理器可执行指令还执行以下操作:
检测到所述不可达安全节点恢复,将所述不可达安全节点对应的实服务策略的从动作修改为向恢复的安全节点发送的主动作。
9.根据权利要求8所述的设备,其特征在于,所述处理器通过运行所述存储器中的处理器可执行指令还执行以下操作:
基于所述实服务组的新增安全节点以及更新的安全业务顺序,将所述实服务策略组中,所述新增安全节点之前的安全节点的实服务策略的主动作,修改为向所述新增安全节点发送的主动作;
将所述新增安全节点的实服务策略的主动作修改为向所述新增安全节点之后的安全节点发送的主动作。
10.根据权利要求6所述的设备,其特征在于,所述处理器通过运行所述存储器中的处理器可执行指令还执行以下操作:
基于所述实服务组的删除安全节点后的安全业务顺序,将所述实服务策略组中,被删除安全节点之前的安全节点的实服务策略的主动作,修改为向所述被删除安全节点之后的安全节点发送的主动作;
将所述被删除安全节点对应的实服务策略删除。
CN202011062070.1A 2020-09-30 2020-09-30 一种安全管理方法及设备 Active CN112242925B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011062070.1A CN112242925B (zh) 2020-09-30 2020-09-30 一种安全管理方法及设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011062070.1A CN112242925B (zh) 2020-09-30 2020-09-30 一种安全管理方法及设备

Publications (2)

Publication Number Publication Date
CN112242925A CN112242925A (zh) 2021-01-19
CN112242925B true CN112242925B (zh) 2022-04-01

Family

ID=74168405

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011062070.1A Active CN112242925B (zh) 2020-09-30 2020-09-30 一种安全管理方法及设备

Country Status (1)

Country Link
CN (1) CN112242925B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114944952B (zh) * 2022-05-20 2023-11-07 深信服科技股份有限公司 一种数据处理方法、装置、系统、设备及可读存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105763512A (zh) * 2014-12-17 2016-07-13 杭州华三通信技术有限公司 Sdn虚拟化网络的通信方法和装置
CN107612923A (zh) * 2017-10-09 2018-01-19 中国银联股份有限公司 一种基于网络策略组的业务访问方法及装置
CN107920023A (zh) * 2017-12-29 2018-04-17 深信服科技股份有限公司 一种安全资源池的实现方法及系统
CN108092934A (zh) * 2016-11-21 2018-05-29 中国移动通信有限公司研究院 安全服务系统及方法
CN109951353A (zh) * 2019-03-11 2019-06-28 北京启明星辰信息安全技术有限公司 一种云平台流量检测方法与资源池系统

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20170019303A1 (en) * 2015-07-14 2017-01-19 Microsoft Technology Licensing, Llc Service Chains for Network Services

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105763512A (zh) * 2014-12-17 2016-07-13 杭州华三通信技术有限公司 Sdn虚拟化网络的通信方法和装置
CN108092934A (zh) * 2016-11-21 2018-05-29 中国移动通信有限公司研究院 安全服务系统及方法
CN107612923A (zh) * 2017-10-09 2018-01-19 中国银联股份有限公司 一种基于网络策略组的业务访问方法及装置
CN107920023A (zh) * 2017-12-29 2018-04-17 深信服科技股份有限公司 一种安全资源池的实现方法及系统
CN109951353A (zh) * 2019-03-11 2019-06-28 北京启明星辰信息安全技术有限公司 一种云平台流量检测方法与资源池系统

Also Published As

Publication number Publication date
CN112242925A (zh) 2021-01-19

Similar Documents

Publication Publication Date Title
CN110166356B (zh) 发送报文的方法和网络设备
CN107666397B (zh) Pe路由器之间传送多播组离开请求的方法和pe路由器
CN108574630B (zh) Evpn报文处理方法、设备及系统
CN107819677B (zh) 一种报文转发方法及装置
EP2544409B1 (en) Generic monitoring packet handling mechanism for OpenFlow 1.1
EP3066784B1 (en) Supporting operator commands in link aggregation group
EP3188409A1 (en) Oam mechanisms for evpn active-active services
CN111510378A (zh) Evpn报文处理方法、设备及系统
EP4016932A1 (en) Evpn and vpls coexistence method, apparatus, and system
EP3402130B1 (en) Information transmission method and device
CN110830371A (zh) 报文重定向方法、装置、电子设备及可读存储介质
US20090225660A1 (en) Communication device and operation management method
CN108234305B (zh) 一种跨机框链路冗余保护的控制方法及设备
CN113037883B (zh) 一种mac地址表项的更新方法及装置
CN112242925B (zh) 一种安全管理方法及设备
CN103200107B (zh) 一种报文的传输方法和设备
US11516120B2 (en) Distance vector negative southbound topology information for routing in fat trees (RIFT) route
CN113938405B (zh) 一种数据处理的方法、装置
US20110222541A1 (en) Network System, Edge Node, and Relay Node
CN111447130B (zh) 一种连通性检测会话的创建方法、网络设备和系统
CN108900440B (zh) 报文转发方法和装置
CN112953832A (zh) 一种mac地址表项的处理方法及装置
CN108965089B (zh) 一种流量转发方法及装置
CN112840619A (zh) 分布式拒绝服务缓解
CN111385182B (zh) 流量的传输方法及装置,系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant