CN113630315A - 网络引流方法、装置、电子设备和存储介质 - Google Patents
网络引流方法、装置、电子设备和存储介质 Download PDFInfo
- Publication number
- CN113630315A CN113630315A CN202111034551.6A CN202111034551A CN113630315A CN 113630315 A CN113630315 A CN 113630315A CN 202111034551 A CN202111034551 A CN 202111034551A CN 113630315 A CN113630315 A CN 113630315A
- Authority
- CN
- China
- Prior art keywords
- drainage
- flow
- rule
- transmitted
- target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 66
- 238000004590 computer program Methods 0.000 claims description 12
- 230000005540 biological transmission Effects 0.000 abstract description 6
- 230000008569 process Effects 0.000 description 13
- 238000010586 diagram Methods 0.000 description 10
- 238000001514 detection method Methods 0.000 description 9
- 230000006870 function Effects 0.000 description 8
- 230000000694 effects Effects 0.000 description 5
- 230000004048 modification Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- 230000008676 import Effects 0.000 description 2
- 230000002265 prevention Effects 0.000 description 2
- 238000001914 filtration Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/58—Association of routers
- H04L45/586—Association of routers of virtual routers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
- H04L45/745—Address table lookup; Address filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/70—Virtual switches
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种网络引流方法、装置、电子设备和存储介质。其中,网络引流方法,应用于云平台中的任一计算节点的虚拟交换机,包括:接收待传输流量;根据预设的流表对应的引流规则,对所述待传输流量进行匹配;若所述待传输流量符合所述引流规则,则将所述待传输流量转发至所述引流规则对应的目标引流地址;其中,所述目标引流地址包括安全设备对应的地址。以解决防护效率低的问题。本申请提供的方案基于云平台中任一计算节点的虚拟交换机进行流量转发(引流),将符合预设流表对应的引流规则的带传输流量按照引流规则进行转发,转发到目标引流地址。
Description
技术领域
本申请涉及互联网技术,尤其涉及一种网络引流方法、装置、电子设备和存储介质。
背景技术
云平台是指基于硬件的服务,为用户提供计算、网络和存储功能。云平台中的网络安全是一个比较重要的问题。
一般,虚拟机和外网之间的安全性通过在虚拟路由器中部署虚拟防火墙保障,内网虚拟机之间的安全性通过安全组保障。而面对更高安全性的要求,可能还需要设置安全设备以对虚拟机的进出口流量做进一步的安全检查,比如主机Web应用防火墙(WebApplication Firewall,WAF),入侵检测,入侵防御等。
现有云平台环境中,因为所有虚拟机的外部流量都必须经过虚拟路由器,所以将安全设备部署在虚拟路由器中,或者在虚拟路由器中将网络流量引入到指定的安全设备中。
这两种相关的设置方式对应的网络流量切入点都只能部署在虚拟路由器上,只能对跨子网流量或者外部网络流量进行监控,而不能对同子网流量进行安全检测,防护效率较低。
发明内容
本申请提供一种网络引流方法、装置、电子设备和存储介质,以解决防护效率低的问题。
第一方面,本申请提供一种网络引流方法,应用于云平台中的任一计算节点的虚拟交换机,所述方法包括:
接收待传输流量;
根据预设的流表对应的引流规则,对所述待传输流量进行匹配;
若所述待传输流量符合所述引流规则,则将所述待传输流量转发至所述引流规则对应的目标引流地址;
其中,所述目标引流地址包括安全设备对应的地址。
可选的,所述方法还包括:
接收控制节点发送的引流规则;
根据所述引流规则生成预设的流表。
可选的,所述引流规则用于指示目标虚拟机及目标引流地址;
所述若所述待传输流量符合所述引流规则,则将所述待传输流量转发至所述引流规则对应的目标引流地址,包括:
若所述待传输流量对应所述目标虚拟机,则将所述待传输流量转发至所述目标引流地址。
可选的,所述将所述待传输流量转发至所述引流规则对应的目标引流地址,包括:
将所述待传输流量的目标MAC地址修改为所述引流规则对应的目标引流地址;
将所述待传输流量发送至所述引流规则对应的目标引流地址。
可选的,所述计算节点中包括第一虚拟机和第二虚拟机;所述引流规则用于指示将从所述第一虚拟机中发出的流量发送到目标引流地址;所述待传输流量包括从所述第一虚拟机指向所述第二虚拟机的内部流量;
所述将所述待传输流量转发至所述引流规则对应的目标引流地址,包括:
将所述内部流量的目标MAC地址修改为所述引流规则对应的目标引流地址;
将所述内部流量发送至所述引流规则对应的目标引流地址。
第二方面,本申请提供一种网络引流方法,应用于云平台中的控制节点,所述方法包括:
根据用户输入的信息,确定引流规则;
将所述引流规则发送给对应的计算节点,以使所述计算节点根据所述引流规则生成预设的流表,在接收待传输流量后根据预设的流表对应的引流规则,对所述待传输流量进行匹配,在所述待传输流量符合所述引流规则时,将所述待传输流量转发至所述引流规则对应的目标引流地址。
第三方面,本申请提供一种网络引流装置,包括:
流量接收模块,用于接收待传输流量;
流量匹配模块,用于根据预设的流表对应的引流规则,对所述待传输流量进行匹配;
流量转发模块,用于在所述待传输流量符合所述引流规则时,将所述待传输流量转发至所述引流规则对应的目标引流地址;
其中,所述目标引流地址包括安全设备对应的地址。
可选的,所述网络引流装置还包括:
引流规则接收模块,用于接收控制节点发送的引流规则;
流表生成模块,用于根据所述引流规则生成预设的流表。
可选的,所述引流规则用于指示目标虚拟机及目标引流地址;
所述流量转发模块,具体用于:
在所述待传输流量对应所述目标虚拟机时,将所述待传输流量转发至所述目标引流地址。
可选的,所述流量转发模块在将所述待传输流量转发至所述引流规则对应的目标引流地址时,具体用于:
将所述待传输流量的目标MAC地址修改为所述引流规则对应的目标引流地址;
将所述待传输流量发送至所述引流规则对应的目标引流地址。
可选的,所述计算节点中包括第一虚拟机和第二虚拟机;所述引流规则用于指示将从所述第一虚拟机中发出的流量发送到目标引流地址;所述待传输流量包括从所述第一虚拟机指向所述第二虚拟机的内部流量;
所述流量转发模块在将所述待传输流量转发至所述引流规则对应的目标引流地址时,具体用于:
将所述内部流量的目标MAC地址修改为所述引流规则对应的目标引流地址;
将所述内部流量发送至所述引流规则对应的目标引流地址。
第四方面,本申请提供一种网络引流装置,包括:
引流规则确定模块,用于根据用户输入的信息,确定引流规则;
引流规则发送模块,用于将所述引流规则发送给对应的计算节点,以使所述计算节点根据所述引流规则生成预设的流表,在接收待传输流量后根据预设的流表对应的引流规则,对所述待传输流量进行匹配,在所述待传输流量符合所述引流规则时,将所述待传输流量转发至所述引流规则对应的目标引流地址。
第五方面,本申请提供一种电子设备,包括:
存储器,用于存储程序指令;
处理器,用于调用并执行所述存储器中的程序指令,执行如第一方面或第二方面所述的方法。
第六方面,本申请提供一种计算机可读存储介质,所述存储介质存储有计算机程序,所述计算机程序被处理器执行时,实现如第一方面或第二方面所述的方法。
第七方面,本申请提供一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现第一方面或第二方面所述的方法。
本申请提供了一种网络引流方法、装置、电子设备和存储介质。其中,网络引流方法,应用于云平台中的任一计算节点的虚拟交换机,包括:接收待传输流量;根据预设的流表对应的引流规则,对所述待传输流量进行匹配;若所述待传输流量符合所述引流规则,则将所述待传输流量转发至所述引流规则对应的目标引流地址;其中,所述目标引流地址包括安全设备对应的地址。以解决防护效率低的问题。本申请提供的方案基于云平台中任一计算节点的虚拟交换机进行流量转发(引流),将符合预设流表对应的引流规则的带传输流量按照引流规则进行转发,转发到目标引流地址。目标引流地址可以设置为虚拟地址或物理地址(MAC地址),当目标引流地址对应安全设备的地址时,则实现向安全设备的引流。引流过程不必须经过虚拟路由器,因而可以支持同一计算节点内不同虚拟机之间的流量的引流,提高云平台整体的防护效率。
附图说明
为了更清楚地说明本申请或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本申请提供的一种将安全设备设置在虚拟路由器中的场景的示意图;
图2为本申请提供的一种应用场景的示意图;
图3为本申请一实施例提供的一种网络引流方法的流程图;
图4为本申请一实施例提供的一种操作界面的示意图;
图5为本申请一实施例提供的一种安全设备为物理机对应的引流场景的示意图;
图6为本申请一实施例提供的一种安全设备为虚拟机对应的引流场景的示意图;
图7为本申请一实施例提供的另一种安全设备为物理机对应的引流场景的示意图;
图8为本申请一实施例提供的另一种网络引流方法的流程图;
图9为本申请一实施例提供的一种网络引流装置的结构示意图;
图10为本申请一实施例提供的另一种网络引流装置的结构示意图;
图11为本申请一实施例提供的一种电子设备的结构示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合本申请中的附图,对本申请中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
云平台中,虚拟网络安全性是一个比较重要的问题。因为它同时涉及到应用程序安全问题和网络安全问题,增加了虚拟资源和服务的挑战。
云平台虚拟网络安全问题的出现主要是因为保护虚拟机的安全工具与保护物理设备的工具不同。在虚拟环境中,虚拟机之间通过宿主机虚拟网络进行连接,虚拟机与外网之间通过外部物理网络连接。虚拟机和外网之间的安全性一般是通过在虚拟路由器中部署虚拟防火墙实现,内网虚拟机之间的安全性一般是通过安全组实现。但在高安全性的要求下,还需要对虚拟机的进出口流量做进一步的安全检查,比如主机Web应用防护系统(WebApplication Firewall,WAF)、入侵检测、入侵防御等。这些安全要求是针对某一虚拟机的细粒度网络流量检查,需要部署在虚拟机网络端口处。
在传统物理环境中,针对某个物理主机的安全检查可以通过将安全设备串联到物理主机网络接口和交换机之间实现,但在云平台虚拟网络中,不能照搬物理环境中的方法。
现有云平台环境中,因为所有虚拟机的外部流量都必须经过虚拟路由器,所以安全设备部署在虚拟路由器中,或者在虚拟路由器中将网络流量引入到指定的安全设备中。
图1展示了一种将安全设备部署在虚拟路由器中的场景。其中虚线部分表示流量的转发路径。
如图1所示的,安全设备被设置在网络节点中的虚拟路由器中,只有经过虚拟路由器的流量才能经过安全设备进行安全检测。而当计算节点中的两个虚拟机vm1与vm2之间进行流量传输时,只会经过虚拟网卡qbr1或qbr2进入虚拟网桥netxxx进行转发,到达另一虚拟机,不需要经过网络节点中的虚拟路由器,也就无法进行安全检测。
将安全设备部署在虚拟路由器上,或者在虚拟路由器上将网络流量引入到安全设备中,此两种方案的缺点是:
1、网络流量切入点只能部署在虚拟路由器上,部署方式受限,不够灵活,导致网络流量太集中;
2、由于流量切入点在虚拟路由器上,只能对跨子网或者外部网络流量进行监控,不能对同子网内的虚拟机流量进行安全检测;
3、安全设备流量引入方式配置复杂,对操作人员技术要求高。
为了解决上述的问题,本申请的方案将网络流量切入点设置在每个虚拟机的网络端口处,可以将虚拟机端口网络流量引入到同一个二层网络的任何一个网络端口,不同虚拟机端口网络流量可以灵活配置,引入到不同的网络端口,且部署方式灵活,网络流量可以集中也可以分散。由于流量切入点在虚拟机的网络端口处,不管是同子网流量,还是跨子网流量,或者外网流量,都可以根据配置灵活引入到指定安全设备。实现方法是在网络组件中添加安全引流策略组,像配置其他云平台网络资源一样为每个虚拟机网络端口配置安全引流策略组,配置简单。
图2为本申请提供的一种应用场景的示意图。如图2所示,本申请的方案提供的安全引流功能在原有虚拟网络架构中进行拓展,主要包括云平台网络组件控制端和网络组件openvswitch(虚拟交换机)客户端,分别部署在云平台的控制节点和各计算节点。
其中,网络组件控制端主要负责安全引流组管理、安全引流规则管理、为端口配置指定安全引流组;网络组件openvswitch客户端主要负责根据控制端的配置信息,在指定端口中使能指定安全引流规则,生成相应的流表,并将流表下发到openvswitch中。Openvswitch可以根据流表对流量进行转发,使其到达指定的安全设备进行安全检测。
下面通过具体的实施例对具体的实现过程进行说明。
图3为本申请一实施例提供的一种网络引流方法的流程图。本实施例的方法可以应用于云平台中的任一计算节点的虚拟交换机,其中,计算节点指的是云平台中的任意具有流量转发需求的节点,包括网络节点。如图3所示,本实施例的方法包括:
S301、接收待传输流量。
仍参考图1中计算节点的结构,在计算节点中可以包括虚拟交换机OVS(openvswitch)。OVS通过连接物理网卡Nic连接到外部网络。在OVS中对应有若干虚拟网桥,每个虚拟网桥可以对应若干虚拟网卡,每个虚拟网卡可以连接一个虚拟机。在图1中以一个虚拟网桥netxxx,两个虚拟网卡qbr1、qbr2,两个虚拟机vm1、vm2为例示出。
基于上述的计算节点的结构,待传输流量可能为虚拟交换机通过物理网卡接收的来自外部网络指向某个虚拟机的流量,本申请中称之为外部进口流量;待传输流量也可能为虚拟交换机通过虚拟网卡接收的来自某个虚拟机指向另一虚拟机的流量,本申请中称之为内部流量;待传输流量也可能为虚拟交换机通过虚拟网卡接收的来自某个虚拟机指向外部网络的流量,本申请中称之为外部出口流量。
S302、根据预设的流表对应的引流规则,对所述待传输流量进行匹配。
在虚拟交换机中存储有预设的流表,流表体现了一定的引流规则,基于此引流规则,可以对进出虚拟交换机的流量进行匹配和转发。
其中,预设的流表可以为多个,分别对应不同的引流规则。
引流规则的关键字段可以参考下表:
S303、若所述待传输流量符合所述引流规则,则将所述待传输流量转发至所述引流规则对应的目标引流地址。
若待传输流量符合某一引流规则,即待传输流量的某些参数与某一引流规则的关键字段相匹配,则将待传输流量转发至该引流规则对应的目标引流地址。
其中,所述目标引流地址可以包括安全设备对应的地址。即将待传输流量引流至安全设备处。安全设备可以对待传输流量进行安全检测。
安全设备可以为某一计算节点中的虚拟机,也可以为物理机。
本实施例提供的网络引流方法应用于云平台中的任一计算节点的虚拟交换机,包括:接收待传输流量;根据预设的流表对应的引流规则,对所述待传输流量进行匹配;若所述待传输流量符合所述引流规则,则将所述待传输流量转发至所述引流规则对应的目标引流地址;其中,所述目标引流地址包括安全设备对应的地址。以解决防护效率低的问题。本申请提供的方案基于云平台中任一计算节点的虚拟交换机进行流量转发(引流),将符合预设流表对应的引流规则的带传输流量按照引流规则进行转发,转发到目标引流地址。目标引流地址可以设置为虚拟地址或物理地址(MAC地址),当目标引流地址对应安全设备的地址时,则实现向安全设备的引流。引流过程不必须经过虚拟路由器,因而可以支持同一计算节点内不同虚拟机之间的流量的引流,提高云平台整体的防护效率。
在一些实施例中,还可以对预设的流表进行修改。具体的,上述方法还可以包括:接收控制节点发送的引流规则;根据所述引流规则生成预设的流表。
引流规则可以由云平台中的控制节点生成。具体的,可以根据用户输入的信息,确定引流规则;将所述引流规则发送给对应的计算节点,以使所述计算节点根据所述引流规则生成预设的流表,在接收待传输流量后根据预设的流表对应的引流规则,对所述待传输流量进行匹配,在所述待传输流量符合所述引流规则时,将所述待传输流量转发至所述引流规则对应的目标引流地址。
用户可以根据实际需求对某些流量进行引流。控制节点可以提供给用户对应的操作界面,如图4所示的,用户可以在界面上输入想要进行引流的流量的特点,包括目标虚拟机(想要引流的流量对应的虚拟机)、目标引流地址(想要将流量引流到的地址)等。
控制节点可以根据用户输入的信息,确定引流规则,即将对应于目标虚拟机的流量引流至目标引流地址等。每个目标虚拟机所在的计算节点是确定的,要想对与某一目标虚拟机对应的流量进行引流,只需将其对应的引流规则发送给对应的计算节点,由该节点中的虚拟交换机根据引流规则进行相应流量的引流即可。
在接收到控制节点发送的引流规则后,可以根据引流规则生成预设的流表,以实现引流规则的设定或修改。
如此,提供给用户根据自身需求设置引流规则进行引流的途径,适应性更为广泛。
在一些实施例中,上述的引流规则用于指示目标虚拟机及目标引流地址;相应的,上述的若所述待传输流量符合所述引流规则,则将所述待传输流量转发至所述引流规则对应的目标引流地址,包括:若所述待传输流量对应所述目标虚拟机,则将所述待传输流量转发至所述目标引流地址。
即,引流规则可以包括将对应于目标虚拟机的流量引流至目标引流地址。当然,也可以包括其它规则。例如,将来自某一网址的流量引流至目标引流地址等等。
上述的将所述待传输流量转发至所述引流规则对应的目标引流地址的具体方式可以包括:将所述待传输流量的目标MAC地址修改为所述引流规则对应的目标引流地址;将所述待传输流量发送至所述引流规则对应的目标引流地址。
一般,在待传输流量的数据头中会写有数据指向的目标MAC地址。在匹配引流规则后,用引流规则中的目标引流地址对应的字段替换数据头中的目标MAC地址的字段即可。虚拟交换机可以基于其原有的流量转发功能识别新的MAC地址(目标引流地址)并实现流量转发。
通过修改目的MAC地址的字段即可快速完成引流,引流效率高。
可选的,所述计算节点中包括第一虚拟机和第二虚拟机;所述引流规则用于指示将从所述第一虚拟机中发出的流量发送到目标引流地址;所述待传输流量包括从所述第一虚拟机指向所述第二虚拟机的内部流量;所述将所述待传输流量转发至所述引流规则对应的目标引流地址,包括:将所述内部流量的目标MAC地址修改为所述引流规则对应的目标引流地址;将所述内部流量发送至所述引流规则对应的目标引流地址。
当安全设备为物理机时,对内部流量的引流过程如图5所示。为便于清晰展示引流过程,将同一计算节点做两次展示,以便将引入安全设备和引出安全设备的过程分开。如图5所示的,内部流量从虚拟机vm2进入自己的虚拟网桥netxxx中,根据虚拟机端口配置的引流规则,匹配相应网络流量,并重定向到指定目的服务器(安全设备),安全设备通过解析内部流量指向的IP地址,确定该内部流量指向同节点中的vm1(同一网段的IP属于同一个二层网络),于是将网络流量转发到虚拟机vm1。
安全设备为虚拟机与图5过程相似,流量路径类似,此处不再赘述。
所述待传输流量还可以包括从所述第一虚拟机指向外部网络的外部出口流量;所述将所述待传输流量转发至所述引流规则对应的目标引流地址,包括:将所述外部出口流量的目标MAC地址修改为所述引流规则对应的目标引流地址;将所述外部出口流量发送至所述引流规则对应的目标引流地址。
所述待传输流量还可以包括从外部网络指向第一虚拟机的外部进口流量;所述将所述待传输流量转发至所述引流规则对应的目标引流地址,包括:将所述外部进口流量的目标MAC地址修改为所述引流规则对应的目标引流地址;将所述外部进口流量发送至所述引流规则对应的目标引流地址。
当安全设备为虚拟机时,对外部进口流量的引流过程如图6中“in”虚线所示,对外部出口流量的引流过程如图6中“out”虚线所示。通过创建和被安全监控的虚拟机vm同子网(netxxx)的虚拟机,并部署WAF相关组件,使能操作系统的路由转发功能,并确定此WAF虚拟机(安全设备)的网络端口ID。找到被监控虚拟机vm的网络端口ID,据此创建安全引流策略组并设置规则,将规则中的目标引流地址设置成WAF虚拟机的网络端口ID,并在被监控虚拟机vm网络端口上使能此安全策略组,如此即完成安全设备的部署。外部出口流量从虚拟机vm进入netxxx中,根据虚拟机端口配置的引流规则,匹配相应网络流量,并重定向到指定目的WAF服务器(安全设备),WAF服务器(安全设备)处理后再根据路由表转发出去,到达虚拟路由器vrouter,并由vrouter进行后续的转发。外部进口流量从vrouter内部接口进入,根据vrouter端口配置的引流规则将外部进口流量重定向到WAF服务器,WAF服务器处理后再将流量转发到虚拟机vm。
当安全设备为物理机时,对外部进口流量的引流过程如图7中“in”虚线所示,对外部出口流量的引流过程如图7中“out”虚线所示。外部出口流量从vm1进入netxxx桥中,根据虚拟机端口配置的引流规则,匹配相应网络流量,重定向到指定目的服务器(安全设备),服务器发现是外部流量,于是将数据包重定向到vrouter(虚拟路由器)。外部进口流量从vrouter内部接口进入,根据vrouter端口配置的引流规则将流量重定向到服务器(安全设备),服务器(安全设备)再将流量转发到虚拟机vm1。
本申请的核心是利用云平台中网络管理的网络资源框架和openvswitch的openflow流表相结合,创建一个新的网络资源安全引流策略组,用户可以根据具体需求,像配置云平台其他网络资源一样配置,在特定网络端口上使能安全引流策略组,实现对虚拟网络端口网络流量的重定向功能。简单易配置,部署灵活,实现原理简单。
在一些实施例中,当安全组和防火墙,或者其他功能也是通过openvswitch流表实现时,安全引流流表不能影响安全组,防火墙等的相关流表。
本申请中涉及到的一些英文关键词定义如下:
vrouter:virtual router,虚拟路由器,虚拟网络环境中提供三层路由的虚拟设备。
ovs:openvswitch,是一个高质量的、多层虚拟交换机。
云环境中,虚拟机网络流量需要通过openvswitch中的虚拟网桥到达物理设备,所以可以在openvswitch的虚拟网桥中,通过流表配置,匹配相应网络流量,并对此流量进行报文字段的修改(修改目的mac)来实现安全引流的功能。安全引流功能的核心技术包括云平台网络组件资源管理框架实现的安全引流策略组(trafficpathpolicy group)和openvswitch中的流表管理。
本发明公开了一种云平台虚拟网络安全引流的方法。该方法应用于云平台虚拟网络中,通过在网络组件中添加新的网络资源安全引流策略组实现安全引流功能。一个安全引流策略组支持多条规则,每条规则支持匹配网络数据包的以太网类型(ipV4或ipV6),三层协议类型,目的IP前缀(支持掩码),四层端口号,支持配置目的网络端口ID。将安全引流策略组作用到指定网络端口,网络组件openvswitch客户端根据网络端口配置的安全引流策略组中的规则生成相应的openflow流表下发到openvswitch中,从而将该网络端口的流量引入到指定目的网络端口中去。该方法可以部署在需要安全过滤虚拟机进出口流量的云环境中,安全过滤服务器可以部署在被监控虚拟机同一个二层网络的虚拟机或物理机中。
本申请的方案充分解决了以上缺点:
1、本申请方案的网络流量切入点在每个虚拟机的网络端口处,可以将虚拟机端口网络流量引入到同一个二层网络的任何一个网络端口,不同虚拟机端口网络流量可以灵活配置,引入到不同的网络端口,部署方式灵活,网络流量可以集中也可以分散;
2、由于流量切入点在虚拟机的网络端口处,不管是同子网流量,还是跨子网流量,外网流量,都可以根据配置灵活引入到指定安全检测服务器;
3、实现方法是在网络组件中添加安全引流策略组,像配置其他云平台网络资源一样为每个虚拟机网络端口配置安全引流策略组,配置简单。
图8为本申请一实施例提供的一种网络引流方法的流程图。本实施例的方法可以应用于云平台中的控制节点。如图8所示,本实施例的方法包括:
S801、根据用户输入的信息,确定引流规则。
S802、将所述引流规则发送给对应的计算节点,以使所述计算节点根据所述引流规则生成预设的流表,在接收待传输流量后根据预设的流表对应的引流规则,对所述待传输流量进行匹配,在所述待传输流量符合所述引流规则时,将所述待传输流量转发至所述引流规则对应的目标引流地址。
本实施例的方法与上述实施例的方法相对应,具体实现过程在上述实施例中已有说明,此处不再赘述。
图9为本申请一实施例提供的一种网络引流装置的结构示意图,如图9所示,本实施例的网络引流装置900包括:流量接收模块901、流量匹配模块902、流量转发模块903。
流量接收模块901,用于接收待传输流量;
流量匹配模块902,用于根据预设的流表对应的引流规则,对所述待传输流量进行匹配;
流量转发模块903,用于在所述待传输流量符合所述引流规则时,将所述待传输流量转发至所述引流规则对应的目标引流地址;
其中,所述目标引流地址包括安全设备对应的地址。
可选的,所述网络引流装置还包括:
引流规则接收模块904,用于接收控制节点发送的引流规则;
流表生成模块905,用于根据所述引流规则生成预设的流表。
可选的,所述引流规则用于指示目标虚拟机及目标引流地址;
所述流量转发模块903,具体用于:
在所述待传输流量对应所述目标虚拟机时,将所述待传输流量转发至所述目标引流地址。
可选的,所述流量转发模块903在将所述待传输流量转发至所述引流规则对应的目标引流地址时,具体用于:
将所述待传输流量的目标MAC地址修改为所述引流规则对应的目标引流地址;
将所述待传输流量发送至所述引流规则对应的目标引流地址。
可选的,所述计算节点中包括第一虚拟机和第二虚拟机;所述引流规则用于指示将从所述第一虚拟机中发出的流量发送到目标引流地址;所述待传输流量包括从所述第一虚拟机指向所述第二虚拟机的内部流量;
所述流量转发模块903在将所述待传输流量转发至所述引流规则对应的目标引流地址时,具体用于:
将所述内部流量的目标MAC地址修改为所述引流规则对应的目标引流地址;
将所述内部流量发送至所述引流规则对应的目标引流地址。
本实施例的装置,可以用于执行上述任一实施例的方法,其实现原理和技术效果类似,此处不再赘述。
图10为本申请一实施例提供的一种网络引流装置的结构示意图,如图10所示,本实施例的网络引流装置100可以包括:引流规则确定模块101、引流规则发送模块102。
引流规则确定模块101,用于根据用户输入的信息,确定引流规则;
引流规则发送模块102,用于将所述引流规则发送给对应的计算节点,以使所述计算节点根据所述引流规则生成预设的流表,在接收待传输流量后根据预设的流表对应的引流规则,对所述待传输流量进行匹配,在所述待传输流量符合所述引流规则时,将所述待传输流量转发至所述引流规则对应的目标引流地址。
本实施例的装置,可以用于执行上述任一实施例的方法,其实现原理和技术效果类似,此处不再赘述。
图11为本申请一实施例提供的一种电子设备的结构示意图,如图11所示,本实施例的电子设备110可以包括:
存储器111,用于存储程序指令;
处理器112,用于调用并执行所述存储器111中的程序指令,执行上述任一实施例的方法,其实现原理和技术效果类似,此处不再赘述。
本实施例中提供的电子设备为云平台的载体设备,例如服务器等。
本申请还提供一种计算机可读存储介质,所述存储介质存储有计算机程序,所述计算机程序被处理器执行时,实现上述任一实施例的方法,其实现原理和技术效果类似,此处不再赘述。
本申请还提供一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现上述任一实施例的方法,其实现原理和技术效果类似,此处不再赘述。
本领域普通技术人员可以理解:实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可读取存储介质中。该程序在执行时,执行包括上述各方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上各实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述各实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的范围。
Claims (10)
1.一种网络引流方法,其特征在于,应用于云平台中的任一计算节点的虚拟交换机,所述方法包括:
接收待传输流量;
根据预设的流表对应的引流规则,对所述待传输流量进行匹配;
若所述待传输流量符合所述引流规则,则将所述待传输流量转发至所述引流规则对应的目标引流地址;
其中,所述目标引流地址包括安全设备对应的地址。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
接收控制节点发送的引流规则;
根据所述引流规则生成预设的流表。
3.根据权利要求1或2所述的方法,其特征在于,所述引流规则用于指示目标虚拟机及目标引流地址;
所述若所述待传输流量符合所述引流规则,则将所述待传输流量转发至所述引流规则对应的目标引流地址,包括:
若所述待传输流量对应所述目标虚拟机,则将所述待传输流量转发至所述目标引流地址。
4.根据权利要求1或2所述的方法,其特征在于,所述将所述待传输流量转发至所述引流规则对应的目标引流地址,包括:
将所述待传输流量的目标MAC地址修改为所述引流规则对应的目标引流地址;
将所述待传输流量发送至所述引流规则对应的目标引流地址。
5.根据权利要求4所述的方法,其特征在于,所述计算节点中包括第一虚拟机和第二虚拟机;所述引流规则用于指示将从所述第一虚拟机中发出的流量发送到目标引流地址;所述待传输流量包括从所述第一虚拟机指向所述第二虚拟机的内部流量;
所述将所述待传输流量转发至所述引流规则对应的目标引流地址,包括:
将所述内部流量的目标MAC地址修改为所述引流规则对应的目标引流地址;
将所述内部流量发送至所述引流规则对应的目标引流地址。
6.一种网络引流方法,其特征在于,应用于云平台中的控制节点,所述方法包括:
根据用户输入的信息,确定引流规则;
将所述引流规则发送给对应的计算节点,以使所述计算节点根据所述引流规则生成预设的流表,在接收待传输流量后根据预设的流表对应的引流规则,对所述待传输流量进行匹配,在所述待传输流量符合所述引流规则时,将所述待传输流量转发至所述引流规则对应的目标引流地址。
7.一种网络引流装置,其特征在于,包括:
流量接收模块,用于接收待传输流量;
流量匹配模块,用于根据预设的流表对应的引流规则,对所述待传输流量进行匹配;
流量转发模块,用于在所述待传输流量符合所述引流规则时,将所述待传输流量转发至所述引流规则对应的目标引流地址;
其中,所述目标引流地址包括安全设备对应的地址。
8.一种电子设备,其特征在于,包括:
存储器,用于存储程序指令;
处理器,用于调用并执行所述存储器中的程序指令,执行如权利要求1-6任一项所述的方法。
9.一种计算机可读存储介质,其特征在于,所述存储介质存储有计算机程序,所述计算机程序被处理器执行时,实现如权利要求1-6任一项所述的方法。
10.一种计算机程序产品,包括计算机程序,其特征在于,该计算机程序被处理器执行时实现权利要求1-6任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111034551.6A CN113630315A (zh) | 2021-09-03 | 2021-09-03 | 网络引流方法、装置、电子设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111034551.6A CN113630315A (zh) | 2021-09-03 | 2021-09-03 | 网络引流方法、装置、电子设备和存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113630315A true CN113630315A (zh) | 2021-11-09 |
Family
ID=78389068
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111034551.6A Pending CN113630315A (zh) | 2021-09-03 | 2021-09-03 | 网络引流方法、装置、电子设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113630315A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114301665A (zh) * | 2021-12-27 | 2022-04-08 | 山石网科通信技术股份有限公司 | 数据处理方法及装置 |
| CN115242788A (zh) * | 2022-07-27 | 2022-10-25 | 广东浪潮智慧计算技术有限公司 | 一种流量数据控制方法、装置、介质 |
| CN116886605A (zh) * | 2023-09-07 | 2023-10-13 | 珠海星云智联科技有限公司 | 一种流表卸载系统、方法、设备以及存储介质 |
| CN118158154A (zh) * | 2024-05-11 | 2024-06-07 | 中移(苏州)软件技术有限公司 | 引流方法、系统、装置、电子设备、存储介质及产品 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106850382A (zh) * | 2016-12-05 | 2017-06-13 | 北京神州绿盟信息安全科技股份有限公司 | 一种流量牵引方法及装置 |
| CN107872443A (zh) * | 2016-09-28 | 2018-04-03 | 深圳市深信服电子科技有限公司 | 虚拟网络安全防护系统、流量牵引方法及装置 |
| CN109450811A (zh) * | 2018-11-30 | 2019-03-08 | 新华三云计算技术有限公司 | 流量控制方法、装置及服务器 |
| CN109639551A (zh) * | 2018-11-15 | 2019-04-16 | 北京六方领安网络科技有限公司 | 虚拟化引流装置和方法 |
| CN112866078A (zh) * | 2021-03-20 | 2021-05-28 | 武汉理工大学 | 一种网购云平台数据的引流方法及装置 |
| WO2021164398A1 (zh) * | 2020-02-20 | 2021-08-26 | 华为技术有限公司 | 报文处理系统、方法、机器可读存储介质以及程序产品 |
-
2021
- 2021-09-03 CN CN202111034551.6A patent/CN113630315A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107872443A (zh) * | 2016-09-28 | 2018-04-03 | 深圳市深信服电子科技有限公司 | 虚拟网络安全防护系统、流量牵引方法及装置 |
| CN106850382A (zh) * | 2016-12-05 | 2017-06-13 | 北京神州绿盟信息安全科技股份有限公司 | 一种流量牵引方法及装置 |
| CN109639551A (zh) * | 2018-11-15 | 2019-04-16 | 北京六方领安网络科技有限公司 | 虚拟化引流装置和方法 |
| CN109450811A (zh) * | 2018-11-30 | 2019-03-08 | 新华三云计算技术有限公司 | 流量控制方法、装置及服务器 |
| WO2021164398A1 (zh) * | 2020-02-20 | 2021-08-26 | 华为技术有限公司 | 报文处理系统、方法、机器可读存储介质以及程序产品 |
| CN112866078A (zh) * | 2021-03-20 | 2021-05-28 | 武汉理工大学 | 一种网购云平台数据的引流方法及装置 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114301665A (zh) * | 2021-12-27 | 2022-04-08 | 山石网科通信技术股份有限公司 | 数据处理方法及装置 |
| CN115242788A (zh) * | 2022-07-27 | 2022-10-25 | 广东浪潮智慧计算技术有限公司 | 一种流量数据控制方法、装置、介质 |
| CN116886605A (zh) * | 2023-09-07 | 2023-10-13 | 珠海星云智联科技有限公司 | 一种流表卸载系统、方法、设备以及存储介质 |
| CN116886605B (zh) * | 2023-09-07 | 2023-12-08 | 珠海星云智联科技有限公司 | 一种流表卸载系统、方法、设备以及存储介质 |
| CN118158154A (zh) * | 2024-05-11 | 2024-06-07 | 中移(苏州)软件技术有限公司 | 引流方法、系统、装置、电子设备、存储介质及产品 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113630315A (zh) | 网络引流方法、装置、电子设备和存储介质 | |
| CN108293019B (zh) | 流表处理方法及装置 | |
| CN109952746B (zh) | 在业务链网络环境中集成物理和虚拟网络功能 | |
| EP3304815B1 (en) | Operations, administration and management (oam) in overlay data center environments | |
| US10320838B2 (en) | Technologies for preventing man-in-the-middle attacks in software defined networks | |
| KR101572771B1 (ko) | 가상 스위치를 통한 네트워크 트래픽 제어 시스템 및 방법 | |
| CN107819663B (zh) | 一种实现虚拟网络功能服务链的方法和装置 | |
| US9755959B2 (en) | Dynamic service path creation | |
| JP2022511404A (ja) | 動的なインテントベースのファイアウォール | |
| CN106789542A (zh) | 一种云数据中心安全服务链的实现方法 | |
| CN113261242A (zh) | 使用可编程交换机进行覆盖网络路由 | |
| CN107645458B (zh) | 三层报文引流方法及控制器 | |
| CN116566752B (zh) | 安全引流系统、云主机及安全引流方法 | |
| CN116155650B (zh) | 数据报文转发方法、设备及电子设备 | |
| EP2014018B1 (en) | Configurable resolution policy for data switch feature failures | |
| CN114629853B (zh) | 安全资源池中基于安全服务链解析的流量分类控制方法 | |
| CN114978563B (zh) | 一种封堵ip地址的方法及装置 | |
| CN114785564A (zh) | 一种基于以太网桥规则的防跳板机的通用方法 | |
| EP4075739A1 (en) | Service chain forwarding control method and device, and service networking | |
| US11025536B1 (en) | Support for flooding in encapsulation and inter-VLAN communication via proxy-ARP | |
| CN105812274A (zh) | 一种业务数据的处理方法和相关设备 | |
| US11831605B2 (en) | Router firewall | |
| CN116170389B (zh) | 业务容器引流方法、系统及计算机集群 | |
| CN116489082A (zh) | 一种流量牵引的配置方法、装置、电子设备和存储介质 | |
| Andre et al. | Open vSwitch Configuration for Separation of KVM/libvirt VMs |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20211109 |
|
| RJ01 | Rejection of invention patent application after publication |