CN114244592A - 一种vpc环境下安全服务的调度方法及装置 - Google Patents
一种vpc环境下安全服务的调度方法及装置 Download PDFInfo
- Publication number
- CN114244592A CN114244592A CN202111492762.4A CN202111492762A CN114244592A CN 114244592 A CN114244592 A CN 114244592A CN 202111492762 A CN202111492762 A CN 202111492762A CN 114244592 A CN114244592 A CN 114244592A
- Authority
- CN
- China
- Prior art keywords
- traffic
- security
- scheduling system
- security service
- service scheduling
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 49
- 238000013507 mapping Methods 0.000 claims abstract description 38
- 230000008569 process Effects 0.000 claims abstract description 15
- 238000012545 processing Methods 0.000 claims description 35
- 206010047289 Ventricular extrasystoles Diseases 0.000 claims description 18
- 238000005129 volume perturbation calorimetry Methods 0.000 claims description 15
- 230000006870 function Effects 0.000 claims description 14
- 238000004590 computer program Methods 0.000 claims description 10
- 238000004458 analytical method Methods 0.000 claims description 7
- 230000010076 replication Effects 0.000 claims description 7
- 238000012423 maintenance Methods 0.000 abstract description 4
- 238000005538 encapsulation Methods 0.000 description 9
- 238000010586 diagram Methods 0.000 description 4
- 230000008901 benefit Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000026676 system process Effects 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开一种VPC环境下安全服务的调度方法及装置,其中,该方法包括:安全服务调度系统将接收到的流量映射规则传递给eBPF内核模块;eBPF内核模块根据流量映射规则对流量进行处理,并将流量引导至所需的安全组件;安全组件对流量进行分析处理,触发告警以及安全防护。该方法及装置在VPC内部部署安全服务调度系统,通过安全服务调度系统将流量引导至所需的安全组件,从而实现了对云资产的安全防护,实现了用户云网络与安全服务的解耦,提高了云资产的安全性以及运维的效率。
Description
技术领域
本发明涉及云安全技术领域,尤其是一种VPC环境下安全服务的调度方法及装置。
背景技术
随着企业上云,越来越多的用户资产迁移到云上,同时用户为了保护核心云资产,可能会部署多个安全设备对云资产进行防护。现有的安全防护可以通过SFC(ServiceFunction Chain,业务链)的方式,对安全组件进行调度,满足多租户安全服务需求,或者是在VPC(Virtual Private Cloud,虚拟私有云)内部部署多个安全服务。对于方案一,需要将业务流量引导至安全能力池,多个租户通过租户标识进行隔离,不能真正独享安全组件资源,同时SFC的引流方案实现较为复杂;对于方案二,VPC内部的安全组件大多是通过网络串联进用户的业务网络中,当需要增加新的安全组件时,需要修改业务侧网络的配置,运维比较复杂。
发明内容
为了现有的安全防护方式存在的上述问题,本发明提供一种VPC环境下安全服务的调度方法及装置,在VPC内部部署安全服务调度系统,通过安全服务调度系统将流量引导至所需的安全组件,从而实现了对云资产的安全防护,实现了用户云网络与安全服务的解耦,提高了云资产的安全性以及运维的效率。
为实现上述目的,本发明采用下述技术方案:
在本发明一实施例中,提出了一种VPC环境下安全服务的调度方法,该方法包括:
安全服务调度系统将接收到的流量映射规则传递给eBPF内核模块;
eBPF内核模块根据流量映射规则对流量进行处理,并将流量引导至所需的安全组件;
安全组件对流量进行分析处理,触发告警以及安全防护。
进一步地,安全服务调度系统部署在VPC内部,相互通信的VPC共享安全服务调度系统。
进一步地,安全服务调度系统旁挂于VPC内部现有的业务流量转发组件,通过现有的业务流量转发组件将流量转发至安全服务调度系统。
进一步地,安全服务调度系统可以是VPC内部现有的业务流量转发组件的升级。
进一步地,安全服务调度系统隔离用户业务网络、安全组件以及其他的流量分析工具。
进一步地,安全服务调度系统根据底层转发能力,将流量映射规则转换为不同的转发表或者流表。
进一步地,安全服务调度系统具有流量处理、流量转发和流量复制功能,将流量调度至一个或者多个安全组件。
进一步地,当流量需要多个安全组件串行处理时,通过设置多个流量映射规则,实现多个安全组件之间的串行处理。
在本发明一实施例中,还提出了一种VPC环境下安全服务的调度装置,该装置包括:
安全服务调度系统,用于将接收到的流量映射规则传递给eBPF内核模块;
eBPF内核模块,用于根据流量映射规则对流量进行处理,并将流量引导至所需的安全组件;
安全组件,用于对流量进行分析处理,触发告警以及安全防护。
进一步地,安全服务调度系统部署在VPC内部,相互通信的VPC共享安全服务调度系统。
进一步地,安全服务调度系统旁挂于VPC内部现有的业务流量转发组件,通过现有的业务流量转发组件将流量转发至安全服务调度系统。
进一步地,安全服务调度系统可以是VPC内部现有的业务流量转发组件的升级。
进一步地,安全服务调度系统隔离用户业务网络、安全组件以及其他的流量分析工具。
进一步地,安全服务调度系统根据底层转发能力,将流量映射规则转换为不同的转发表或者流表。
进一步地,安全服务调度系统具有流量处理、流量转发和流量复制功能,将流量调度至一个或者多个安全组件。
进一步地,当流量需要多个安全组件串行处理时,通过设置多个流量映射规则,实现多个安全组件之间的串行处理。
在本发明一实施例中,还提出了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行计算机程序时实现前述VPC环境下安全服务的调度方法。
在本发明一实施例中,还提出了一种计算机可读存储介质,计算机可读存储介质存储有执行VPC环境下安全服务的调度方法的计算机程序。
有益效果:
1、本发明实现了用户云网络与安全组件网络的解耦。
2.本发明不需要调整用户现有网络。
3.本发明避免了流量的重复处理。
附图说明
图1是本发明VPC环境下安全服务的调度方法流程示意图;
图2是本发明一实施例的在VPC-A中部署安全服务调度系统示意图;
图3是本发明VPC环境下安全服务的调度装置结构示意图;
图4是本发明计算机设备结构示意图。
具体实施方式
下面将参考若干示例性实施方式来描述本发明的原理和精神,应当理解,给出这些实施方式仅仅是为了使本领域技术人员能够更好地理解进而实现本发明,而并非以任何方式限制本发明的范围。相反,提供这些实施方式是为了使本公开更加透彻和完整,并且能够将本公开的范围完整地传达给本领域的技术人员。
本领域技术人员知道,本发明的实施方式可以实现为一种系统、装置、设备、方法或计算机程序产品。因此,本公开可以具体实现为以下形式,即:完全的硬件、完全的软件(包括固件、驻留软件、微代码等),或者硬件和软件结合的形式。
根据本发明的实施方式,提出了一种VPC环境下安全服务的调度方法及装置,通过安全服务调度系统将流量引导至所需的安全组件,从而实现了对云资产的安全防护,实现了用户云网络与安全服务的解耦,提高了云资产的安全性以及运维的效率。
下面参考本发明的若干代表性实施方式,详细阐释本发明的原理和精神。
图1是本发明VPC环境下安全服务的调度方法流程示意图。如图1所示,该方法包括:
S1、用户在VPC内部部署安全服务调度系统;
安全服务调度系统可以是OVS(openflow virtual Switch,of虚拟交换机)、虚拟路由器或者虚拟交换机等;
安全服务调度系统可以旁挂于VPC内部现有的业务流量转发组件,通过现有的业务流量转发组件将流量转发至安全服务调度系统,避免了对现有网络的改变;VPC内部现有的业务流量转发组件功能一般都较弱,只支持基本的转发功能;安全服务调度系统也可以是VPC内部现有的业务流量转发组件,通过对VPC内部现有的业务流量转发组件进行升级,不更改现有的业务网络拓扑,不需要额外的配置;
安全服务调度系统隔离用户业务网络、安全组件以及其他的流量分析工具;
安全服务调度系统部署在VPC内部,相互通信的VPC可以共享安全服务调度系统。
S2、安全服务调度系统将接收到的流量映射规则传递给eBPF内核模块;
安全服务调度系统接收到用户的流量映射规则配置之后,将用户态的规则,通过EBPF_MAP传递给内核态的eBPF内核模块;
安全服务调度系统根据底层的转发能力,将流量映射规则转换为不同的转发表或者流表,底层的转发表一般分为传统的转发表以及OVS表项;
流量映射规则包括匹配元素和处置规则,匹配元素包括五元组、租户标识、接口、应用类型以及QoS等;处置规则包括转发报文、复制报文、为报文打上标记以及隧道封装/解封装、丢弃报文等;
安全服务调度系统具有流量处理、流量转发和流量复制功能,可以根据处置规则,对流量进行处理,并将处理过的流量调度至一个或者多个安全组件;
用户根据实际的应用需求以及安全防护需求,在安全服务调度系统上配置相应的流量映射规则,比如将IPv4的流量转发至防火墙,将http类型的流量转发至应用防火墙;
当需要将流量转发至多个安全组件时,用户只需要设置匹配条件,在处置规则中设置多个出接口即可,安全服务调度系统将匹配上的流量根据处置规则进行处理,并将处理过的流量转发至多个安全组件;
处置规则中的出接口可以为逻辑接口,即VXLAN(Virtual Extensible LocalArea Network,虚拟扩展局域网)、GENEVE(Generic Network VirtualizationEncapsulation,通用网络虚拟化封装)、VLAN(Virtual Local Area Network,虚拟局域网)等网络虚拟接口。根据用户业务网络,优先创建符合用户网络实际需求的网络虚拟接口;
当流量需要多个安全组件串行处理时,用户可以设置多个流量映射规则,实现多个安全组件之间的串行处理。
S3、eBPF内核模块根据流量映射规则对流量进行处理,并将流量引导至所需的安全组件;
内核态的eBPF内核模块根据设置的流量映射规则,对流量进行处理,包括隧道封装/解封装、复制、转发、标记以及丢弃等。
S4、安全组件对流量进行分析处理,触发告警以及安全防护;
安全组件对接收到的流量进行分析处理,并触发相应的告警以及安全防护。
需要说明的是,尽管在上述实施例及附图中以特定顺序描述了本发明方法的操作,但是,这并非要求或者暗示必须按照该特定顺序来执行这些操作,或是必须执行全部所示的操作才能实现期望的结果。附加地或备选地,可以省略某些步骤,将多个步骤合并为一个步骤执行,和/或将一个步骤分解为多个步骤执行。
为了对上述VPC环境下安全服务的调度方法进行更为清楚的解释,下面结合一个具体的实施例来进行说明,然而值得注意的是该实施例仅是为了更好地说明本发明,并不构成对本发明不当的限定。
实施例一:
租户A根据自身的业务需求,在VPC-A中部署安全服务调度系统,通过现有的虚拟路由器将业务流量引导至安全服务调度系统,由安全服务调度系统将流量转发至其他的安全组件,从而实现对业务网络的监控和安全防护。具体步骤如下:
1、用户在VPC-A内部部署安全服务调度系统;
安全服务调度系统可以旁挂于VPC内部现有的业务流量转发组件,通过现有的业务流量转发组件将流量转发至安全服务调度,避免了对现有网络的改变;VPC内部现有的业务流量转发组件功能一般都较弱,只支持基本的转发功能。安全服务调度系统也可以是VPC内部现有的业务流量转发组件,通过对VPC内部现有的业务流量转发组件进行升级,不更改现有的业务网络拓扑,不需要额外的配置。
本实施例中,虚拟路由器为VPC内部现有的业务流量转发组件,虚拟路由器作为用户业务网络的默认网关,安全服务调度系统旁挂于虚拟路由器,WAF连接在端口2,防火墙连接至端口1,如图2所示;
安全服务调度系统隔离用户业务网络、安全组件以及其他的流量分析工具;
安全服务调度系统部署在VPC内部,相互通信的VPC可以共享安全服务调度系统;
安全服务调度系统可以是OVS(openflow virtual Switch,of虚拟交换机)、虚拟路由器或者虚拟交换机等;
2、安全服务调度系统将接收到的流量映射规则传递给eBPF内核模块;
安全服务调度系统接收到用户的流量映射规则配置之后,将用户态的规则,通过EBPF_MAP传递给内核态的eBPF模块;
安全服务调度系统根据底层的转发能力,将流量映射规则转换为不同的转发表或者流表,底层的转发表一般分为传统的转发表以及OVS表项;
流量映射规则包括匹配元素和处置规则,匹配元素包括五元组、租户标识、接口、应用类型以及QoS等;处置规则包括转发报文、复制报文、为报文打上标记,以及隧道封装/解封装,丢弃报文等;
安全服务调度系统具有流量处理、流量转发和流量复制功能,可以将流量调度至一个或者多个安全组件;
本实施例中,用户需要将四层流量转发至防火墙处理,将七层流量转发至WAF(应用防火墙)处理;用户根据需求在安全服务调度系统中,配置相应的流量映射规则如下表1:
表1
匹配条件 | 处置规则 |
Protocol=tcp,dstPort=8080,443,1443 | Port=2 |
Other | Port=1 |
本实施例中,可以通过应用端口来标识应用层流量,也可以通过其他的规则来标识流量类型;
当需要将流量转发至多个安全组件时,用户只需要设置匹配条件,处置规则中设置多个出接口即可,安全服务调度系统即匹配上的流量根据处置规则进行处理,并将处理过的流量转发至多个安全组件;
处置规则中的出接口可以为逻辑接口,即VXLAN(Virtual Extensible LocalArea Network,虚拟扩展局域网)、GENEVE(Generic Network VirtualizationEncapsulation,通用网络虚拟化封装)、VLAN(Virtual Local Area Network,虚拟局域网)等网络虚拟接口。根据用户业务网络,优先创建符合用户网络实际需求的网络虚拟接口。例如,创建虚拟接口即tunnel,在创建隧道接口时,指定隧道类型,例如,VXLAN,根据VXLAN类型进一步的指定隧道的首尾地址以及VNI(虚拟网络标识),在设置处置规则时,指定port=tunnel1即可。安全服务调度系统即根据port所对应的tunnel1进行响应的隧道封装。
当流量需要多个安全组件串行处理时,用户可以设置多个流量映射规则,实现多个安全组件之间的串行处理。
3、eBPF内核模块根据流量映射规则对流量进行处理,并将流量引导至所需的安全组件;
内核态的eBPF内核模块根据设置的流量映射规则,对流量进行处理,包括隧道封装/解封装、复制、转发、标记以及丢弃等。
4、安全组件对流量进行分析处理,触发告警以及安全防护。
安全组件对接收到的流量进行分析处理,并触发相应的告警以及安全防护。
基于同一发明构思,本发明还提出一种VPC环境下安全服务的调度装置。该装置的实施可以参见上述方法的实施,重复之处不再赘述。以下所使用的术语“模块”,可以是实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图3是本发明VPC环境下安全服务的调度装置结构示意图。如图3所示,该装置包括:
安全服务调度系统101,用于将接收到的流量映射规则传递给eBPF内核模块102;
安全服务调度系统101部署在VPC内部,相互通信的VPC可以共享安全服务调度系统101;
安全服务调度系统101可以旁挂于VPC内部现有的业务流量转发组件,通过现有的业务流量转发组件将流量转发至安全服务调度系统101;
安全服务调度系统101可以是VPC内部现有的业务流量转发组件的升级;
安全服务调度系统101隔离用户业务网络、安全组件以及其他的流量分析工具;
安全服务调度系统101根据底层转发能力,将流量映射规则转换为不同的转发表或者流表;
安全服务调度系统101具有流量处理、流量转发和流量复制功能,将流量调度至一个或者多个安全组件;
当流量需要多个安全组件串行处理时,通过设置多个流量映射规则,实现多个安全组件之间的串行处理。
eBPF内核模块102,用于根据流量映射规则对流量进行处理,并将流量引导至所需的安全组件103;
安全组件103,用于对流量进行分析处理,触发告警以及安全防护。
应当注意,尽管在上文详细描述中提及了VPC环境下安全服务的调度装置的若干模块,但是这种划分仅仅是示例性的并非强制性的。实际上,根据本发明的实施方式,上文描述的两个或更多模块的特征和功能可以在一个模块中具体化。反之,上文描述的一个模块的特征和功能可以进一步划分为由多个模块来具体化。
基于前述发明构思,如图4所示,本发明还提出一种计算机设备200,包括存储器210、处理器220及存储在存储器210上并可在处理器220上运行的计算机程序230,处理器220执行计算机程序230时实现前述VPC环境下安全服务的调度方法。
基于前述发明构思,本发明还提出一种计算机可读存储介质,计算机可读存储介质存储有执行前述VPC环境下安全服务的调度方法的计算机程序。
本发明提出的VPC环境下安全服务的调度方法及装置,实现了用户云网络与安全组件网络的解耦;不需要调整用户现有网络;避免了流量的重复处理。
虽然已经参考若干具体实施方式描述了本发明的精神和原理,但是应该理解,本发明并不限于所公开的具体实施方式,对各方面的划分也不意味着这些方面中的特征不能组合以进行受益,这种划分仅是为了表述的方便。本发明旨在涵盖所附权利要求的精神和范围内所包含的各种修改和等同布置。
对本发明保护范围的限制,所属领域技术人员应该明白,在本发明的技术方案的基础上,本领域技术人员不需要付出创造性劳动即可做出的各种修改或变形仍在本发明的保护范围以内。
Claims (18)
1.一种VPC环境下安全服务的调度方法,其特征在于,该方法包括:
安全服务调度系统将接收到的流量映射规则传递给eBPF内核模块;
eBPF内核模块根据流量映射规则对流量进行处理,并将流量引导至所需的安全组件;
安全组件对流量进行分析处理,触发告警以及安全防护。
2.根据权利要求1所述的VPC环境下安全服务的调度方法,其特征在于,所述安全服务调度系统部署在VPC内部,相互通信的VPC共享安全服务调度系统。
3.根据权利要求2所述的VPC环境下安全服务的调度方法,其特征在于,所述安全服务调度系统旁挂于VPC内部现有的业务流量转发组件,通过现有的业务流量转发组件将流量转发至安全服务调度系统。
4.根据权利要求2所述的VPC环境下安全服务的调度方法,其特征在于,所述安全服务调度系统可以是VPC内部现有的业务流量转发组件的升级。
5.根据权利要求1所述的VPC环境下安全服务的调度方法,其特征在于,所述安全服务调度系统隔离用户业务网络、安全组件以及其他的流量分析工具。
6.根据权利要求1所述的VPC环境下安全服务的调度方法,其特征在于,所述安全服务调度系统根据底层转发能力,将流量映射规则转换为不同的转发表或者流表。
7.根据权利要求1所述的VPC环境下安全服务的调度方法,其特征在于,所述安全服务调度系统具有流量处理、流量转发和流量复制功能,将流量调度至一个或者多个安全组件。
8.根据权利要求1所述的VPC环境下安全服务的调度方法,其特征在于,当流量需要多个安全组件串行处理时,通过设置多个流量映射规则,实现多个安全组件之间的串行处理。
9.一种VPC环境下安全服务的调度装置,其特征在于,该装置包括:
安全服务调度系统,用于将接收到的流量映射规则传递给eBPF内核模块;
eBPF内核模块,用于根据流量映射规则对流量进行处理,并将流量引导至所需的安全组件;
安全组件,用于对流量进行分析处理,触发告警以及安全防护。
10.根据权利要求9所述的VPC环境下安全服务的调度装置,其特征在于,所述安全服务调度系统部署在VPC内部,相互通信的VPC共享安全服务调度系统。
11.根据权利要求9所述的VPC环境下安全服务的调度装置,其特征在于,所述安全服务调度系统旁挂于VPC内部现有的业务流量转发组件,通过现有的业务流量转发组件将流量转发至安全服务调度系统。
12.根据权利要求9所述的VPC环境下安全服务的调度装置,其特征在于,所述安全服务调度系统可以是VPC内部现有的业务流量转发组件的升级。
13.根据权利要求9所述的VPC环境下安全服务的调度装置,其特征在于,所述安全服务调度系统隔离用户业务网络、安全组件以及其他的流量分析工具。
14.根据权利要求9所述的VPC环境下安全服务的调度装置,其特征在于,所述安全服务调度系统根据底层转发能力,将流量映射规则转换为不同的转发表或者流表。
15.根据权利要求9所述的VPC环境下安全服务的调度装置,其特征在于,所述安全服务调度系统具有流量处理、流量转发和流量复制功能,将流量调度至一个或者多个安全组件。
16.根据权利要求9所述的VPC环境下安全服务的调度装置,其特征在于,当流量需要多个安全组件串行处理时,通过设置多个流量映射规则,实现多个安全组件之间的串行处理。
17.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1-8任一项所述方法。
18.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有执行权利要求1-8任一项所述方法的计算机程序。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111492762.4A CN114244592A (zh) | 2021-12-08 | 2021-12-08 | 一种vpc环境下安全服务的调度方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111492762.4A CN114244592A (zh) | 2021-12-08 | 2021-12-08 | 一种vpc环境下安全服务的调度方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114244592A true CN114244592A (zh) | 2022-03-25 |
Family
ID=80754060
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111492762.4A Pending CN114244592A (zh) | 2021-12-08 | 2021-12-08 | 一种vpc环境下安全服务的调度方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114244592A (zh) |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105049450A (zh) * | 2015-08-24 | 2015-11-11 | 北京汉柏科技有限公司 | 一种基于虚拟网络环境的云安全系统及其部署框架 |
CN107920023A (zh) * | 2017-12-29 | 2018-04-17 | 深信服科技股份有限公司 | 一种安全资源池的实现方法及系统 |
US10484331B1 (en) * | 2016-06-28 | 2019-11-19 | Amazon Technologies, Inc. | Security appliance provisioning |
CN111556047A (zh) * | 2020-04-24 | 2020-08-18 | 杭州安恒信息技术股份有限公司 | 一种私有云环境下安全服务的部署方法 |
CN111756632A (zh) * | 2020-06-22 | 2020-10-09 | 中国电子科技集团公司第五十四研究所 | 一种基于mpls封装的安全服务链动态编排方法 |
CN112640382A (zh) * | 2018-08-20 | 2021-04-09 | 思科技术公司 | 多云结构中的弹性策略缩放 |
CN112910705A (zh) * | 2021-02-02 | 2021-06-04 | 杭州安恒信息技术股份有限公司 | 网络流量编排的方法、设备和存储介质 |
-
2021
- 2021-12-08 CN CN202111492762.4A patent/CN114244592A/zh active Pending
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105049450A (zh) * | 2015-08-24 | 2015-11-11 | 北京汉柏科技有限公司 | 一种基于虚拟网络环境的云安全系统及其部署框架 |
US10484331B1 (en) * | 2016-06-28 | 2019-11-19 | Amazon Technologies, Inc. | Security appliance provisioning |
CN107920023A (zh) * | 2017-12-29 | 2018-04-17 | 深信服科技股份有限公司 | 一种安全资源池的实现方法及系统 |
CN112640382A (zh) * | 2018-08-20 | 2021-04-09 | 思科技术公司 | 多云结构中的弹性策略缩放 |
CN111556047A (zh) * | 2020-04-24 | 2020-08-18 | 杭州安恒信息技术股份有限公司 | 一种私有云环境下安全服务的部署方法 |
CN111756632A (zh) * | 2020-06-22 | 2020-10-09 | 中国电子科技集团公司第五十四研究所 | 一种基于mpls封装的安全服务链动态编排方法 |
CN112910705A (zh) * | 2021-02-02 | 2021-06-04 | 杭州安恒信息技术股份有限公司 | 网络流量编排的方法、设备和存储介质 |
Non-Patent Citations (1)
Title |
---|
徐俭;: "基于基础架构层的云安全防护技术探究", 电视工程, no. 03, 30 September 2017 (2017-09-30) * |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3522452B1 (en) | Verifying network intents | |
CN109074330B (zh) | 网络接口卡、计算设备以及数据包处理方法 | |
CN108475244B (zh) | 加速网络分组处理 | |
WO2021017279A1 (zh) | 基于Kubernetes和网络域的集群安全管理方法、装置及存储介质 | |
KR101886291B1 (ko) | 흐름 엔트리 구성 방법, 장치, 및 시스템 | |
US8462666B2 (en) | Method and apparatus for provisioning a network switch port | |
CN109479028B (zh) | 网络接口卡、计算设备以及数据包处理方法 | |
US8819267B2 (en) | Network virtualization without gateway function | |
US10320613B1 (en) | Configuring contextually aware IoT policies | |
CN105721535A (zh) | 对服务功能链中的服务功能的并行处理 | |
US11075980B2 (en) | Method for operating a node cluster system in a network and node cluster system | |
US9432260B2 (en) | Automated configuration for network devices | |
US20200007472A1 (en) | Service insertion in basic virtual network environment | |
WO2002030045A2 (en) | Programmable network device | |
US8798059B1 (en) | Optimizing private virtual local area networks (VLANs) | |
EP3588856B1 (en) | Technologies for hot-swapping a legacy appliance with a network functions virtualization appliance | |
CN110311860B (zh) | Vxlan下多链路负载均衡方法及装置 | |
CN105939267B (zh) | 带外管理方法及装置 | |
CN110351135B (zh) | 多dc中的网络设备配置方法及装置 | |
US20190199622A1 (en) | Data packet forwarding unit in a data transmission network | |
CN109413001B (zh) | 对云计算系统内的交互数据进行安全保护的方法及装置 | |
WO2021244356A1 (zh) | 数据传输方法及装置 | |
CN110519147A (zh) | 数据帧传输方法、装置、设备和计算机可读存储介质 | |
CN114244592A (zh) | 一种vpc环境下安全服务的调度方法及装置 | |
US7561574B2 (en) | Method and system for filtering packets within a tunnel |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |