CN114285671B - 服务链的生成方法、装置、网络设备及介质 - Google Patents
服务链的生成方法、装置、网络设备及介质 Download PDFInfo
- Publication number
- CN114285671B CN114285671B CN202111671695.2A CN202111671695A CN114285671B CN 114285671 B CN114285671 B CN 114285671B CN 202111671695 A CN202111671695 A CN 202111671695A CN 114285671 B CN114285671 B CN 114285671B
- Authority
- CN
- China
- Prior art keywords
- security
- security components
- service chain
- components
- access type
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 79
- 238000004891 communication Methods 0.000 abstract description 15
- 230000006870 function Effects 0.000 description 14
- 238000004590 computer program Methods 0.000 description 8
- 238000012545 processing Methods 0.000 description 7
- 238000012550 audit Methods 0.000 description 6
- 238000010586 diagram Methods 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 6
- 230000001174 ascending effect Effects 0.000 description 5
- 230000000694 effects Effects 0.000 description 4
- 239000000284 extract Substances 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 3
- 238000005457 optimization Methods 0.000 description 3
- 238000012163 sequencing technique Methods 0.000 description 2
- 230000000712 assembly Effects 0.000 description 1
- 238000000429 assembly Methods 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开提供了一种服务链的生成方法、装置、网络设备及介质,属于通信技术领域。该方法包括:获取用户业务对应的至少两个安全组件标识;根据所述至少两个安全组件标识,确定各个安全组件的属性信息;基于所述各个安全组件的属性信息和预设规则,生成所述至少两个安全组件对应的服务链。基于本公开实施例提供的服务组件的排序方法,可以解决人工配置安全服务链无法保证各个安全服务提供的网络服务质量的问题。
Description
技术领域
本公开属于通信技术领域,具体涉及一种服务链的生成方法、装置、网络设备及介质。
背景技术
随着通信技术的发展,为了为用户提供更安全的服务,通常可以根据用户的需求,人工组建安全服务链。
通常,一个安全服务链上的各个安全组件是相互独立的,通常是管理员根据经验配置各个安全组件的顺序,然后根据用户反馈的问题人工进行顺序的调整。
然而,人工配置安全服务链上的安全组件的顺序,过多依赖管理员的经验,在对服务组件的性能不熟悉的情况下,放置顺序不合适可能导致两个安全组件的功能冲突,可能多次调整也无法解决用户反馈的问题,无法保证各个安全服务提供的网络服务质量。
发明内容
本公开实施例的目的是提供一种服务链的生成方法、装置、网络设备及介质,能够解决人工配置安全服务链无法保证各个安全服务提供的网络服务质量的问题。
为了解决上述技术问题,本公开是这样实现的:
第一方面,本公开实施例提供了一种服务链的生成方法,该方法包括:获取用户业务对应的至少两个安全组件标识;根据所述至少两个安全组件标识,确定各个安全组件的属性信息;基于所述各个安全组件的属性信息和预设规则,生成所述至少两个安全组件对应的服务链。
可选地,所述安全组件的属性信息包括以下至少一项:接入类型、协议层级、操作码序列。
可选地,基于所述每个安全组件的属性信息和预设规则,生成所述各个安全组件的服务链,包括:基于接入类型和协议层级中的至少一个对所述至少两个安全组件排序并分组;基于操作码序列,对分组后的各组安全组件排序。
可选地,所述基于接入类型和协议层级中的至少一个对所述至少两个安全组件排序并分组,包括:确定所述至少两个安全组件的接入类型;按照所述接入类型,将所述至少两个安全组件排序并分组;对于第一接入类型的安全组件,按照协议层级排序并分组。
可选地,所述按照所述接入类型,将所述至少两个安全组件排序并分组之后,所述方法还包括:对于第二接入类型的安全组件,根据用户的旁路节点需求,确定旁路的各个安全组件的接入位置。
可选地,所述对于第一接入类型的安全组件,按照协议层级排序并分组之后,所述方法还包括:提取各个协议层级的安全组件的操作码序列;基于操作码序列,排序所述各个协议层级的安全组件。
可选地,所述基于操作码序列,按照预设顺序排序所述各个协议层级的安全组件,包括:基于操作码序列中每个操作码的属性,分别对每个协议层级分组中的安全组件排序。
第二方面,本公开实施例提供了一种服务链的生成装置,该服务链的生成装置包括:获取模块、确定模块和生成模块;所述获取模块,用于获取用户对应的至少两个安全组件标识;所述确定模块,用于根据所述至少两个安全组件标识,确定各个安全组件的属性信息;所述生成模块,用于基于所述各个安全组件的属性信息和预设规则,生成所述至少两个安全组件对应的服务链。
可选地,所述安全组件的属性信息包括以下至少一项:接入类型、协议层级、操作码序列。
可选地,生成模块具体用于:基于接入类型和协议层级中的至少一个对所述至少两个安全组件排序并分组;基于操作码序列,对分组后的各组安全组件排序。
可选地,生成模块具体用于:确定所述至少两个安全组件的接入类型;按照所述接入类型,将所述至少两个安全组件排序并分组;对于第一接入类型的安全组件,按照协议层级排序并分组。
可选地,确定模块,还用于在生成模块按照所述接入类型,将所述至少两个安全组件排序并分组之后,对于第二接入类型的安全组件,根据用户的旁路节点需求,确定旁路的各个安全组件的接入位置。
可选地,生成模块,还用于对于第一接入类型的安全组件,按照协议层级排序并分组之后,提取各个协议层级的安全组件的操作码序列;基于操作码序列,排序所述各个协议层级的安全组件。
可选地,生成模块具体用于,基于操作码序列中每个操作码的属性,分别对每个协议层级分组中的安全组件排序。
第三方面,本公开实施例提供了一种网络设备,该网络设备包括处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序或指令,所述程序或指令被所述处理器执行时实现如第一方面所述的服务链的生成方法的步骤。
第四方面,本公开实施例提供了一种可读存储介质,所述可读存储介质上存储程序或指令,所述程序或指令被处理器执行时实现如第一方面所述的服务链的生成方法的步骤。
第五方面,本公开实施例提供了一种芯片,所述芯片包括处理器和通信接口,所述通信接口和所述处理器耦合,所述处理器用于运行程序或指令,实现如第一方面所述的服务链的生成方法。
第六方面,本公开实施例提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行如第一方面所述的服务链的生成方法的步骤。
在本公开实施例中,网络设备可以获取用户业务对应的至少两个安全组件标识,然后基于该至少两个安全组件标识,确定各个安全组件的属性信息,最后基于各个安全组件的属性信息和预设规则,生成上述至少两个安全组件对应的服务链。由于网络设备可以根据用户业务对应安全组件的属性信息和预设规则,对用户业务中的安全组件的连接关系进行编排生成服务链,相比于相关技术中人工根据经验编排的方式,无需熟悉对各个安全组件的性能,无需繁杂的优化过程,简化了安全组件服务链的配置流程,创建服务链快捷,可以避免生成的服务链中的安全组件产生僵化现象,基于本公开实施例的服务链生成方法生成的服务链为用户提供安全服务,可以保证网络的吞吐性能,提高了安全组件的使用率,保证安全服务链上的各个安全服务可以提供较高的网络服务质量。
附图说明
图1为本公开实施例提供的服务链的生成方法流程示意图之一;
图2为本公开实施例提供的一种安全服务链示意图;
图3为本公开实施例提供的服务链的生成方法的流程示意图之二;
图4为本公开实施例提供的服务链的生成方法的流程示意图之三;
图5为本公开实施例提供的服务链的生成方法的流程示意图之四;
图6为本公开实施例提供的服务链的生成方法的流程示意图之五
图7为本公开实施例提供的一种服务链的生成装置可能的结构示意图;
图8为本公开实施例提供的一种网络设备可能的结构示意图;
图9为本公开实施例提供的一种网络设备的硬件示意图。
具体实施方式
下面将结合本公开实施例中的附图,对本公开实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本公开一部分实施例,而不是全部的实施例。基于本公开中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本公开保护的范围。
本公开的说明书和权利要求书中的术语“第一”、“第二”等是用于区别类似的对象,而不用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便本公开的实施例能够以除了在这里图示或描述的那些以外的顺序实施,且“第一”、“第二”等所区分的对象通常为一类,并不限定对象的个数,例如第一对象可以是一个,也可以是多个。此外,说明书以及权利要求中“和/或”表示所连接对象的至少其中之一,字符“/”,一般表示前后关联对象是一种“或”的关系。
值得指出的是,本公开实施例所描述的技术不限于LTE(Long Term Evolution,长期演进型)/LTE-A(LTE-Advanced,LTE的演进)系统,还可用于其他无线通信系统,诸如CDMA(Code Division Multiple Access,码分多址)、TDMA(Time Division Multiple Access,时分多址)、FDMA(Frequency Division Multiple Access,频分多址)、OFDMA(OrthogonalFrequency Division Multiple Access,正交频分多址)、SC-FDMA(Single-carrierFrequency-Division Multiple Access,单载波频分多址)和其他系统。本申请实施例中的术语“系统”和“网络”常被可互换地使用,所描述的技术既可用于以上提及的系统和无线电技术,也可用于其他系统和无线电技术。然而,以下描述出于示例目的描述了NR系统,并且在以下大部分描述中使用NR术语,尽管这些技术也可应用于NR系统应用以外的应用,如6G(6th Generation,第6代)通信系统。
下面结合附图,通过具体的实施例及其应用场景对本公开实施例提供的服务链的生成方法进行详细地说明。
图1为本公开实施例提供的一种服务链的生成方法的流程示意图,如图1中所示,该方法包括下述的S101至S103:
S101、网络设备获取用户业务对应的至少两个安全组件标识。
其中,安全组件标识指示安全组件的属性信息。
示例性地,安全组件标识可以为安全组件的名称、ID号。
示例性地,安全组件可以包括:VPN(Virtual Private Network,虚拟专用网)、防火墙、ADS(The Automation Device Specification,自动化设备规范)、堡垒机、IDS(Intrusion Detection System,入侵检测系统)、IPS(Inter-Process Communication,进程间通信)和流量审计。
需要说明的是,用户可以根据数据业务的安全需求,从安全资源池中购买相应的安全资源。网络设备可以根据用户的标识安全资源对应的至少两个安全组件的标识。
S102、网络设备根据上述至少两个安全组件标识,确定各个安全组件的属性信息。
其中,安全组件的属性信息,可以包括安全组件的功能、接入方式、服务的网络层级、执行的指令等信息。
S103、网络设备基于各个安全组件的属性信息和预设规则,生成上述至少两个安全组件对应的服务链。
其中,预设规则为根据各个安全组件的属性信息,对应的服务链上的编排规则。
可以理解的是,生成的安全组件对应的服务链包括上述至少两个安全组件的编排方式。
示例性地,以SDN(Software Defined Network,软件定义网络)网络架构中的安全服务链为例,在网络设备确定了安全组件的服务链之后,网络设备将安全组件的服务链的连接方式传输给SDN控制器,SDN控制器按照网络设备生成的安全组件的服务链编排各个安全组件的连接情况。
图2为本公开实施例提供的一种安全服务链的示意图,其中,用户的数据从安全域A向安全域B发送时,可经过安全服务链,其中,安全域A的流量流入网络流量分类器(classifier),网络流量分离器识别网络流量,并将网络流量分发给各个的安全服务链上的SFF(Service Function Forwarder,服务功能代理),各个SFF对数据流量通过SSF(Security Service Function,安全服务功能)组件进行安全处理之后再发送给下一个SFF,直至数据流量传输到安全域B中。其中,SSF安全服务功能负责对收到的报文进行具体处理,如通过防火墙、IDS、IPS等安全组件进行处理。
本公开实施例提供一种服务链的生成方法,网络设备可以获取用户业务对应的至少两个安全组件标识,然后基于该至少两个安全组件标识,确定各个安全组件的属性信息,最后基于各个安全组件的属性信息和预设规则,生成上述至少两个安全组件对应的服务链。由于网络设备可以根据用户业务对应安全组件的属性信息和预设规则,对用户业务中的安全组件的连接关系进行编排生成服务链,相比于相关技术中人工根据经验编排的方式,无需熟悉对各个安全组件的性能,无需繁杂的优化过程,简化了安全组件服务链的配置流程,创建服务链快捷,可以避免生成的服务链中的安全组件产生僵化现象,基于本公开实施例的服务链生成方法生成的服务链为用户提供安全服务,可以保证网络的吞吐性能,提高了安全组件的使用率,保证安全服务链上的各个安全服务可以提供较高的网络服务质量。
可选地,在本公开实施例提供的服务链的生成方法中,安全组件的属性信息可以包括以下至少一项:接入类型、协议层级、操作码序列。
其中,操作码序列可以指示一个安全组件中执行的各个功能的指令。
示例性地,接入类型可以包括:串接型(0)和旁路型(1)。协议层级可以包括:网络层(0)和应用层(1)。操作码序列可以指示安全组件的操作功能,安全组件的操作功能可以包括:加密(0)、读取(1)、过滤(2)、地址转换(3)和身份认证(10)。
示例性地,表1为本公开实施例提供的一种安全组件属性库示例性表格。
表1
| 安全组件 | 接入方式 | 协议层级 | 操作码序列 |
| VPN | 0 | 0 | 1,3 |
| 防火墙 | 0 | 0 | 1,2,3 |
| ADS | 0 | 0 | 1,2 |
| 堡垒机 | 0 | 1 | 10 |
| IDS | 1 | 1 | 1 |
| IPS | 0 | 1 | 1,2 |
| 流量审计 | 1 | 1 | 1 |
需要说明的是,在本公开实施例中,上述的安全组件,以及安全组件的属性信息仅为示例性说明,在实际应用中,安全组件的类型可以更多,每个安全组件的属性信息可以更多或更少,本公开实施例对此不作具体限定。
基于该方案,网络设备在获取到安全组件的标识之后,可以基于安全组件的标识,从安全组件属性库中获取各个安全组件的属性信息,从而可以基于用户对应的各个安全组件的属性信息和预设规则,确定各个安全组件在服务链上的编排方式。
可选地,结合图1,如图3所示,在本公开实施例提供的服务链的生成方法中,上述的S103具体可以通过下述的S13a和S13b执行:
S13a、网络设备基于接入类型和协议层级中的至少一个对至少两个安全组件排序并分组。
示例性地,在网络设备基于接入类型和协议层级分组的情况下,网络设备可以先基于接入类型进行第一次分组,再对第一次分组后的各个组按照协议层级进行第二次分组,也可以先基于协议层级进行第一次分组,在对第一次分组后的各个组按照接入类型进行第二次分组,本公开实施例对此不作具体限定。
示例性地,网络设备在基于接入类型分组之后,各个分组间的顺序可以为按照接入类型的第一顺序进行排序,例如串接型组排列在旁路型组之前;网络设备在基于协议层级分组之后,各个分组间的顺序可以为按照协议层级的第二顺序进行排序,例如网络层组的排列在应用层组之前。
需要说明的是,上述的组间排序仅为示例性说明,实际可以根据用户业务需求选择排序方式。
S13b、网络设备基于操作码序列,对分组后的各组安全组件排序。
基于该方案,网络设备在获取到各个安全组件的属性信息之后,可以基于属性信息中的接入类型和协议层级中的至少一个先进行排序和分组,然后对分组后的各组安全组件基于操作码序列再进行排序,从而可以生成各个组件的编排方式。
可选地,结合图4,在本公开实施例提供的服务链的生成方法中,上述的S13a可以包括下述的A1至A3:
A1、网络设备确定至少两个安全组件的接入类型。
A2、网络设备按照安全组件的接入类型,将上述至少两个安全组件排序并分组。
A3、网络设备对于第一接入类型的安全组件,按照协议层分组。
其中,第一接入类型为串接型。
基于该方案,网络设备在获取到各个安全组件的属性信息之后,可以自动确定各个安全组件的接入类型,然后按照安全组件的接入类型,将至少两个安全组件排序并分组,然后对于串接型的安全组件,按照协议层级分组。无需人工参与编排,简化了编排的流程。
可选地,结合图4,如图5所示,在本公开实施例提供的服务链的生成方法中,在上述的A3之后,还可以包括下述的A4和A5:
A4、网络设备提取各个协议层级的安全组件的操作码序列。
其中,网络设备可以从安全组件属性库中获取安全组件的操作码序列。
A5、网络设备基于操作码序列,排序各个协议层级的安全组件。
基于该方案,网络设备在对串接型的安全组件按照协议层分组之后,对于每个分组中的安全组件,可以提取各个组件的操作码序列,然后基于操作码序列对各个分组中的安全组件进行排序。无需人工结合经验进行排序,基于操作码序列进行的排序,可以保证各个安全组件的使用率。
可选地,在本公开实施例提供的服务链的生成方法中,上述的A5具体可以通过下述的A51执行:
A51、网络设备基于操作码序列中每个操作码的属性,分别对每个协议层级分组中的安全组件排序。
可以理解,每个操作码可以指示安全组件执行的功能指令。
示例性地,网络设备可以基于操作码序列中的最小操作码,按照升序排序安全组件,也可以基于操作码序列中的最大操作码,按照降序排序安全组件,本公开实施例对此不作具体限定。
基于该方案,网络设备可以基于操作码的属性,对每个协议层级中的安全组件进行排序,由于操作码可以指示安全组件的功能,即网络设备可以基于安全组件的功能进行排序,从而可以保证各个协议层级之间的安全组件的性能。
可选地,在本公开实施例提供的服务链的生成方法中,在上述的A2之后,还可以包括下述的A6:
A6、对于第二接入类型的安全组件,网络设备根据用户的旁路节点需求,确定旁路的各个安全组件的接入位置。
其中,第二接入类型为旁路型。
其中,旁路节点需求可以根据用户的业务需求确定,不同的业务需求,旁路节点的节点需求不同。
需要说明的是,对于旁路型的安全组件,可以结合用户的需求,自适应地将旁路型的安全组件与串接型的一个安全组件连接。
基于该方案,在按照接入类型对安全组件分组之后,对于旁路型的安全组件,可以在串接型的安全组件编排好之后,基于用户的旁路节点需求,将旁路型的安全组件与串接型的安全组件进行连接。
示例:
假设用户1购买的安全资源包括的安全组件分别为:VPN、防火墙、堡垒机、IPS和流量审计。网络设备从表1中的属性库中获取到安全组件的各个属性信息。
表2
| 安全组件 | 接入方式 | 协议层级 | 操作码序列 |
| VPN | 0 | 0 | 1,3 |
| 防火墙 | 0 | 0 | 1,2,3 |
| 堡垒机 | 0 | 1 | 10 |
| IPS | 0 | 1 | 1,2 |
| 流量审计 | 1 | 1 | 1 |
在获取到各个安全组件的属性信息之后,网络设备可以按照图6中所示的流程生成服务链。
S201、网络设备判断各个安全组件的接入类型。
S202、网络设备按照协议层级升序排列串接型的安全组件。
结合表2,VPN、防火墙、堡垒机、IPS为串接型的安全组件,VPN和防火墙的协议层级为网络层,堡垒机和IPS的协议层级为应用层。网络层的排列在应用层之前。
S203、对于协议层级相同的安全组件,网络设备提取操作码进行升序排列。
S204、若当前位次的操作码相同,则网络设备提取下一位操作码进行升序排列。
对于网络层的安全组件,VPN的操作序列码为“1,3”,防火墙的操作序列码为“1,2,3”按照操作序列码比较,第一个操作码相同,比较第二个操作码,3大于2,因此确定VPN位于防火墙之前。
对于应用层的安全组件,堡垒机的操作序列码为“10”,IPS的操作序列码为“1,2”按首位,按照操作序列码比较,10>1升序排列:IPS->堡垒机;因此得到IPS位于堡垒机之前。
S205、网络设备读取用户旁路节点需求,确定旁路安全组件的接入位置。
示例性地,假设根据业务需求,确定流量审计与IPS连接。
S206、网络设备输出安全组件排序结果。
其中,表3为输出的排序结果。
表3
| 顺序 | 安全组件 |
| 1 | VPN |
| 2 | 防火墙 |
| 3 | IPS |
| 4 | 流量审计 |
| 5 | 堡垒机 |
需要说明的是,表3中指示的连接顺序为:VPN、防火墙、IPS和堡垒机依次串接,流量审计与IPS连接。其中,各个安全组件与对应的SSF连接。
需要说明的是,本公开实施例提供的服务链的生成方法,执行主体还可以为服务链的生成装置,或者该服务链的生成装置中的用于执行服务链的生成方法的控制模块。本公开实施例中以服务链的生成装置执行服务链的生成的方法为例,说明本公开实施例提供的服务链的生成的装置。
图7为本公开实施例提供的一种服务链的生成装置的结构示意图,如图7中所示,服务链的生成装置700包括:获取模块701、确定模块702和生成模块703;所述获取模块701,用于获取用户对应的至少两个安全组件标识;所述确定模块702,用于根据所述至少两个安全组件标识,确定各个安全组件的属性信息;所述生成模块703,用于基于所述各个安全组件的属性信息和预设规则,生成所述至少两个安全组件对应的服务链。
可选地,所述安全组件的属性信息包括以下至少一项:接入类型和协议层级、操作码序列。
可选地,生成模块具体用于:基于接入类型和协议层级中的至少一个对所述至少两个安全组件排序并分组;基于操作码序列,对分组后的各组安全组件排序。
可选地,生成模块具体用于:确定所述至少两个安全组件的接入类型;按照所述接入类型,将所述至少两个安全组件排序并分组;对于第一接入类型的安全组件,按照协议层级排序并分组。
可选地,确定模块,还用于在生成模块按照所述接入类型,将所述至少两个安全组件排序并分组之后,对于第二接入类型的安全组件,根据用户的旁路节点需求,确定旁路的各个安全组件的接入位置。
可选地,生成模块,还用于对于第一接入类型的安全组件,按照协议层级排序并分组之后,提取各个协议层级的安全组件的操作码序列;基于操作码序列,排序所述各个协议层级的安全组件。
可选地,生成模块具体用于,基于操作码序列中每个操作码的属性,分别对每个协议层级分组中的安全组件排序。
本公开实施例提供一种服务链的生成装置,服务链的生成装置可以获取用户业务对应的至少两个安全组件标识,然后基于该至少两个安全组件标识,确定各个安全组件的属性信息,最后基于各个安全组件的属性信息和预设规则,生成上述至少两个安全组件对应的服务链。由于服务链的生成装置可以根据用户业务对应安全组件的属性信息和预设规则,对用户业务中的安全组件的连接关系进行编排生成服务链,相比于相关技术中人工根据经验编排的方式,无需熟悉对各个安全组件的性能,无需繁杂的优化过程,简化了安全组件服务链的配置流程,创建服务链快捷,可以避免生成的服务链中的安全组件产生僵化现象,基于本公开实施例的服务链生成方法生成的服务链为用户提供安全服务,可以保证网络的吞吐性能,提高了安全组件的使用率,保证安全服务链上的各个安全服务可以提供较高的网络服务质量。
本公开实施例提供的服务链的生成装置700能够实现图1至图6方法实施例实现的各个过程,为避免重复,这里不再赘述。
可选地,如图8所示,本公开实施例还提供一种网络设备800,包括处理器801,存储器802,存储在存储器802上并可在处理器801上运行的程序或指令,该程序或指令被处理器801执行时实现上述服务链的生成方法实施例的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。
需要说明的是,图9示出的网络设备900仅是一个示例,不应对本公开实施例的功能和使用范围带来任何限制。
如图9所示,网络设备900包括中央处理单元(Central Processing Unit,CPU)901,其可以根据存储在ROM(Read Only Memory只读存储器,)902中的程序或者从存储部分908加载到RAM(Random Access Memory,随机访问存储器)903中的程序而执行各种适当的动作和处理。在RAM 903中,还存储有系统操作所需的各种程序和数据。CPU 901、ROM 902以及RAM 903通过总线904彼此相连。I/O(Input/Output,输入/输出)接口905也连接至总线904。
以下部件连接至I/O接口905:包括键盘、鼠标等的输入部分906;包括诸如CRT(Cathode Ray Tube,阴极射线管)、LCD(Liquid Crystal Display,液晶显示器)等以及扬声器等的输出部分907;包括硬盘等的存储部分908;以及包括诸如LAN(Local AreaNetwork,无线网络)卡、调制解调器等的网络接口卡的通信部分909。通信部分909经由诸如因特网的网络执行通信处理。驱动器910也根据需要连接至I/O接口905。可拆卸介质911,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器910上,以便于从其上读出的计算机程序根据需要被安装入存储部分908。
特别地,根据本公开的实施例,下文参考流程图描述的过程可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分909从网络上被下载和安装,和/或从可拆卸介质911被安装。在该计算机程序被中央处理单元(CPU 901)执行时,执行本申请的系统中限定的各种功能。
本公开实施例还提供一种可读存储介质,所述可读存储介质上存储有程序或指令,该程序或指令被处理器执行时实现上述服务链的生成方法实施例的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。
其中,所述处理器为上述实施例中所述的电子设备中的处理器。所述可读存储介质,包括计算机可读存储介质,如ROM、RAM、磁碟或者光盘等。
本公开实施例另提供了一种芯片,所述芯片包括处理器和通信接口,所述通信接口和所述处理器耦合,所述处理器用于运行程序或指令,实现上述服务链的生成方法实施例的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。
应理解,本公开实施例提到的芯片还可以称为系统级芯片、系统芯片、芯片系统或片上系统芯片等。
本公开实施例提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行如上述的服务链的生成方法的步骤,且能达到相同的技术效果,为避免重复,这里不再赘述。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。此外,需要指出的是,本公开实施方式中的方法和装置的范围不限按示出或讨论的顺序来执行功能,还可包括根据所涉及的功能按基本同时的方式或按相反的顺序来执行功能,例如,可以按不同于所描述的次序来执行所描述的方法,并且还可以添加、省去、或组合各种步骤。另外,参照某些示例所描述的特征可在其他示例中被组合。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本公开的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本公开各个实施例所述的方法。
上面结合附图对本公开的实施例进行了描述,但是本公开并不局限于上述的具体实施方式,上述的具体实施方式仅仅是示意性的,而不是限制性的,本领域的普通技术人员在本公开的启示下,在不脱离本公开宗旨和权利要求所保护的范围情况下,还可做出很多形式,均属于本公开的保护之内。
Claims (8)
1.一种服务链的生成方法,其特征在于,所述方法包括:
获取用户业务对应的至少两个安全组件标识;
根据所述至少两个安全组件标识,确定各个安全组件的属性信息,所述安全组件的属性信息包括以下至少一项:接入类型、协议层级、操作码序列;
基于所述各个安全组件的属性信息和预设规则,生成所述至少两个安全组件对应的服务链;
其中,基于所述各个安全组件的属性信息和预设规则,生成所述各个安全组件的服务链,包括:
基于接入类型和协议层级中的至少一个对所述至少两个安全组件排序并分组;
基于操作码序列,对分组后的各组安全组件排序。
2.根据权利要求1所述的方法,其特征在于,所述基于接入类型和协议层级中的至少一个对所述至少两个安全组件排序并分组,包括:
确定所述至少两个安全组件的接入类型;
按照所述接入类型,将所述至少两个安全组件排序并分组;
对于第一接入类型的安全组件,按照协议层级排序并分组。
3.根据权利要求2所述的方法,其特征在于,所述按照所述接入类型,将所述至少两个安全组件排序并分组之后,所述方法还包括:
对于第二接入类型的安全组件,根据用户的旁路节点需求,确定旁路的各个安全组件的接入位置。
4.根据权利要求2所述的方法,其特征在于,所述对于第一接入类型的安全组件,按照协议层级排序并分组之后,所述方法还包括:
提取各个协议层级的安全组件的操作码序列;
基于操作码序列,排序所述各个协议层级的安全组件。
5.根据权利要求4所述的方法,其特征在于,所述基于操作码序列,按照预设顺序排序所述各个协议层级的安全组件,包括:
基于操作码序列中每个操作码的属性,分别对每个协议层级分组中的安全组件排序。
6.一种服务链的生成装置,其特征在于,所述服务链的生成装置包括:获取模块、确定模块和生成模块;
所述获取模块,用于获取用户对应的至少两个安全组件标识;
所述确定模块,用于根据所述至少两个安全组件标识,确定各个安全组件的属性信息,所述安全组件的属性信息包括以下至少一项:接入类型、协议层级、操作码序列;
所述生成模块,用于基于所述各个安全组件的属性信息和预设规则,生成所述至少两个安全组件对应的服务链;
其中,所述生成模块被配置为执行:基于接入类型和协议层级中的至少一个对所述至少两个安全组件排序并分组,基于操作码序列,对分组后的各组安全组件排序。
7.一种网络设备,其特征在于,包括处理器,存储器及存储在所述存储器上并可在所述处理器上运行的程序或指令,所述程序或指令被所述处理器执行时实现如权利要求1至5中任一项所述的服务链的生成方法的步骤。
8.一种可读存储介质,其特征在于,所述可读存储介质上存储程序或指令,所述程序或指令被处理器执行时实现如权利要求1至5中任一项所述的服务链的生成方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111671695.2A CN114285671B (zh) | 2021-12-31 | 2021-12-31 | 服务链的生成方法、装置、网络设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111671695.2A CN114285671B (zh) | 2021-12-31 | 2021-12-31 | 服务链的生成方法、装置、网络设备及介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114285671A CN114285671A (zh) | 2022-04-05 |
| CN114285671B true CN114285671B (zh) | 2024-03-19 |
Family
ID=80879453
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111671695.2A Active CN114285671B (zh) | 2021-12-31 | 2021-12-31 | 服务链的生成方法、装置、网络设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114285671B (zh) |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108563505A (zh) * | 2018-04-04 | 2018-09-21 | 上海有云信息技术有限公司 | 一种服务链编排方法、装置、服务器以及存储介质 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9794193B2 (en) * | 2015-01-30 | 2017-10-17 | Gigamon Inc. | Software defined visibility fabric |
| US10476790B2 (en) * | 2016-12-19 | 2019-11-12 | Cisco Technology, Inc. | Service chaining at a network device |
| CN108418776B (zh) * | 2017-02-09 | 2021-08-20 | 上海诺基亚贝尔股份有限公司 | 用于提供安全业务的方法和设备 |
-
2021
- 2021-12-31 CN CN202111671695.2A patent/CN114285671B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108563505A (zh) * | 2018-04-04 | 2018-09-21 | 上海有云信息技术有限公司 | 一种服务链编排方法、装置、服务器以及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114285671A (zh) | 2022-04-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106664320B (zh) | 支持通信网络中的业务链图的机制 | |
| US10999326B1 (en) | Fine grained network security | |
| US11381603B2 (en) | User-based visibility and control of a segmentation policy | |
| CN103024090B (zh) | 一种识别用户终端的方法和系统 | |
| US11012310B2 (en) | Managing containers based on pairing keys in a segmented network environment | |
| CN106528289B (zh) | 资源的操作处理方法及装置 | |
| CN107534568A (zh) | 用于网络策略的合成约束 | |
| US11038777B2 (en) | Method and apparatus for deploying service in virtualized network | |
| CN115152268A (zh) | 用于网络切片隔离管理的方法 | |
| CN107483341B (zh) | 一种跨防火墙报文快速转发方法及装置 | |
| CN114285671B (zh) | 服务链的生成方法、装置、网络设备及介质 | |
| CN114024904A (zh) | 访问控制方法、装置、设备及存储介质 | |
| CN110740172B (zh) | 一种基于微服务架构的路由管理方法、装置和系统 | |
| US11283841B2 (en) | Community-based anomaly detection policy sharing among organizations | |
| CN117389655A (zh) | 云原生环境下的任务执行方法、装置、设备和存储介质 | |
| CN115604103A (zh) | 云计算系统的配置方法、装置、存储介质以及电子设备 | |
| CN105991630B (zh) | 一种共享接入探测方法及装置 | |
| CN108494589A (zh) | 一种分布式Nginx服务器的管理方法和系统 | |
| CN113904871A (zh) | 网络切片的接入方法、pcf实体、终端和通信系统 | |
| CN111416720B (zh) | 一种智能靶向计费、配置智能靶向计费的方法和装置 | |
| Silva et al. | A Europe-Brazil context for secure data analytics in the cloud | |
| CN110677496A (zh) | 一种中间件服务调度方法、装置及可读存储介质 | |
| CN113535186B (zh) | 业务应用部署方法和装置 | |
| US10116698B1 (en) | Managing network firewall configuration utilizing source lists | |
| CN115802299B (zh) | 短信群发服务系统的配置方法和相关产品 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |