CN106789542A - 一种云数据中心安全服务链的实现方法 - Google Patents

一种云数据中心安全服务链的实现方法 Download PDF

Info

Publication number
CN106789542A
CN106789542A CN201710124814.XA CN201710124814A CN106789542A CN 106789542 A CN106789542 A CN 106789542A CN 201710124814 A CN201710124814 A CN 201710124814A CN 106789542 A CN106789542 A CN 106789542A
Authority
CN
China
Prior art keywords
security service
flow
service node
vlan
local
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201710124814.XA
Other languages
English (en)
Other versions
CN106789542B (zh
Inventor
王凯
李军
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tsinghua University
Original Assignee
Tsinghua University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tsinghua University filed Critical Tsinghua University
Priority to CN201710124814.XA priority Critical patent/CN106789542B/zh
Publication of CN106789542A publication Critical patent/CN106789542A/zh
Application granted granted Critical
Publication of CN106789542B publication Critical patent/CN106789542B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/38Flow based routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/12Avoiding congestion; Recovering from congestion
    • H04L47/125Avoiding congestion; Recovering from congestion by balancing the load, e.g. traffic engineering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供一种云数据中心安全服务链的实现方法,所述方法包括:接收携带有本地安全服务节点所对应的VLAN信息的流量;若在本地流表中查询到与所述流量的包头信息相匹配的访问控制策略,则对所述流量进行VLAN剥离并发送至本地安全服务节点,以供所述本地安全服务节点进行安全检测;根据所述匹配的访问控制策略中的策略动作将经过安全检测的流量的VLAN修改为下一跳安全服务节点的VLAN信息并通过交换网络发送出去。本发明提供的一种云数据中心安全服务链的实现方法,基于VLAN协议来实现安全服务链,设计简单、性能良好且运维成本低。

Description

一种云数据中心安全服务链的实现方法
技术领域
本发明涉及网络安全领域,更具体地,涉及一种云数据中心安全服务链的实现方法。
背景技术
云数据中心是利用云计算技术,自动化地按需提供各类云计算服务的新一代数据中心。云数据中心的业务特性与传统数据中心的业务特性差异巨大,且随着软件定义网络、网络虚拟化及网络功能虚拟化等新技术的迅猛发展和规模应用,云数据中心网络相较于传统数据中心网络而言,面临着新的安全挑战:云数据中心越来越依赖上述虚拟化技术来提供更高效和灵活的业务部署,使得安全边界难以界定,逻辑网络拓扑根据业务的需求随时可变,传统的基于物理边界防护的安全架构无法对其进行有效的安全防护;云数据中心业务场景更为复杂,对网络和信息安全的个性化需求更为强烈,而传统安全硬件设备将软件与硬件绑定,对外提供固定安全功能,管理员只能通过手工操作界面对其进行简单配置,无法根据业务应用场景进行灵活的功能调整和定制,不能满足业务的弹性扩展和安全需求。
为了应对这些安全挑战,目前云数据中心主要通过采用安全服务链来实现安全防护。安全服务链基于Overlay(覆盖)网络构建集中的安全能力资源池,通过集中的控制器将需要进行安全防护的业务流量引流到安全服务节点进行检测和防护,并根据业务的安全策略需求编排安全服务节点的防护顺序,这些安全服务节点包括FW(Firewall,防火墙)、IDS(Intrusion Detection System,入侵检测***)、IPS(Intrusion Prevention System,入侵防御***)或反病毒设备等。如图1所示为基于VXLAN(Virtual Extensible LAN,可扩展虚拟局域网)构建的安全服务链模型,该安全服务链的各安全服务节点可位于相同或者不同的安全能力资源池,通过面向租户或面向应用的安全服务链编排界面,控制器自动下发引流策略到各服务链节点,服务链节点匹配引流策略之后的处理流程如下:源VM(VirtualMachine,虚拟机)所对应的VTEP(VXLAN Tunnel End Point,VXLAN隧道端点)对源VM发出的流量进行VXLAN封装并将封装后的报文转发到第一个安全服务节点所对应的VTEP;第一个安全服务节点所对应的VTEP在接收到封装后的报文后对该报文进行解封装,然后将解封装后得到的报文,即源VM发出的流量转发给第一个安全服务节点;第一个安全服务节点对流量进行安全业务处理,再将该流量发送给VTEP;VTEP查找下一跳安全服务节点并将该报文重新进行封装后转发给下一跳安全服务节点所对应的VTEP;重复上述操作,直到进行完所有的安全业务处理后,最后一个安全服务节点所对应的VTEP根据目的VM所对应的VTEP的IP地址对报文进行封装并转发出去;目的VM所对应的VTEP接收到报文后,对该报文进行解封装,然后发送给目的VM。源VM发出的流量穿过这些安全服务节点到达目的VM,从而实现了所需要的安全业务。
目前安全服务链的实现方法除了基于上述提到的VXLAN技术,还包括:NVGRE(Network Virtualization using Generic Routing Encapsulation,使用通用路由封装的网络虚拟化)以及GENEVE(Generic Network Virtualization Encapsulation,通用网络虚拟封装)等技术。这些技术全是隧道封装技术,对于虚拟化服务器,隧道的封装和解封装会非常消耗服务器的CPU资源,造成服务器的性能非常低,这对于几乎跑满线速的东西向流量意味着通过安全服务链的处理可能会产生丢包现象。不仅如此,虚拟化服务器上还需要额外配置隧道端点的接口,用于根据配置来检查哪些报文需要进入隧道并判断对检查通过的报文做怎样的处理,导致运维非常复杂。
发明内容
为了解决现有安全服务链的实现方法基于隧道封装技术导致虚拟化服务器性能低、运维复杂的问题,本发明提供一种云数据中心安全服务链的实现方法。
根据本发明的一个方面,提供一种云数据中心安全服务链的实现方法,包括:
步骤1,接收上一跳安全服务节点所对应的vSwitch通过交换网络发送的、携带有本地安全服务节点所对应的VLAN信息的流量;
步骤2,若在本地流表中查询到与所述流量的包头信息相匹配的访问控制策略,则对所述流量进行VLAN剥离,并通过虚拟网络端口将经过VLAN剥离后的所述流量发送至本地安全服务节点,以供所述本地安全服务节点进行安全检测;
步骤3,接收到本地安全服务节点发送的经过安全检测的流量后,根据所述匹配的访问控制策略中的策略动作将所述经过安全检测的流量的VLAN信息修改为下一跳安全服务节点所对应的VLAN信息,并通过交换网络发送VLAN信息修改后的所述经过安全检测的流量。
其中,步骤1还包括:若所述本地安全服务节点为第一跳安全服务节点,接收源VM所对应的vSwitch通过交换网络发送的、携带有本地安全服务节点所对应的VLAN信息的流量。
其中,步骤3进一步包括:若所述本地安全服务节点为最后一跳安全服务节点,
根据所述匹配的访问控制策略中的策略动作将经过安全检测的流量的VLAN信息修改为目的VM所对应的VLAN信息;
通过交换网络发送VLAN信息修改后的所述经过安全检测的流量至目的VM所对应的vSwitch,以供目的VM所对应的vSwitch对所接收到的流量进行VLAN剥离并通过本地虚拟网络端口转发给目的VM。
其中,所述包头信息根据用户定义的安全规则确定,所述包头信息的类型包括:源端口号、目的端口号、协议类型、源IP地址和目的IP地址中的一种或多种。
其中,步骤2中,所述本地流表中包含至少一项访问控制策略,所述访问控制策略根据用户定义的安全规则确定,所述访问控制策略包括:第一匹配字段和第一策略动作;其中,所述第一匹配字段与所述包头信息相对应。
其中,步骤1中在所述接收源VM所对应的vSwitch通过交换网络发送的携带有本地安全服务节点所对应的VLAN信息的流量之前,还包括:
源VM所对应的vSwitch接收到源VM发送的多个流量后,对所述多个流量进行哈希处理;
源VM所对应的vSwitch根据哈希处理的结果,在本地流表中确认存在匹配的负载均衡策略,并根据所述负载均衡策略的策略动作,将源VM发出的多个流量分别转发给匹配的安全服务节点所对应的vSwitch。
其中,所述对所述多个流量进行哈希处理包括:对各流量包头信息中的特征字段的最后m位比特值进行掩码处理,其中,m为log2N向上取整后的值,N为安全服务链的数目,所述特征字段包括:端口号字段、IP地址字段或协议类型字段。
其中,所述负载均衡策略包括:第二匹配字段和第二策略动作。
根据本发明的另一个方面,提供一种虚拟交换机,包括:
接收单元,用于接收上一跳安全服务节点所对应的虚拟交换机通过交换网络发送的、携带有本地安全服务节点所对应的VLAN信息的流量;
流表匹配单元,用于若在本地流表中查询到与所述流量的包头信息相匹配的访问控制策略,则对所述流量进行VLAN剥离,并通过虚拟网络端口将经过VLAN剥离后的所述流量发送至本地安全服务节点,以供所述本地安全服务节点进行安全检测;
转发单元,用于接收到本地安全服务节点发送的经过安全检测的流量后,根据所述匹配的访问控制策略中的策略动作将所述经过安全检测的流量的VLAN信息修改为下一跳安全服务节点所对应的VLAN信息,并通过交换网络发送VLAN信息修改后的所述经过安全检测的流量。
根据本发明的另一个方面,提供一种云数据中心安全服务链,包括:一个或者多个虚拟交换机、控制器和安全服务节点,其中所述虚拟交换机对应于安全服务节点、源VM和目的VM,其中,
所述控制器,用于接收用户定义的安全规则并根据所述安全规则配置所述各个虚拟交换机的访问控制策略;
所述安全服务节点,用于对所接收到的流量进行安全检测,并通过虚拟网络端口发送经过安全检测后的流量;
所述安全服务节点所对应的虚拟交换机,用于对需要进行安全检测的流量执行VLAN剥离操作,并转发给安全服务节点;或者,用于根据匹配的访问控制策略将所述经过安全检测的流量的VLAN信息修改为下一跳安全服务节点所对应的VLAN信息,并通过交换网络发送VLAN信息修改后的所述经过安全检测的流量;
所述源VM所对应的虚拟交换机,用于将从源VM发出的需要进行安全检测流量引入第一跳安全服务节点;
所述目的VM所对应的虚拟交换机,用于将最后一跳安全服务节点发出的流量引出至目的VM。
本发明提出的一种云数据中心安全服务链的实现方法,基于VLAN(Virtual LAN,虚拟局域网)协议来实现安全服务链,设计简单、性能良好且运维成本低,避免了采用隧道封装方式所引起的性能和运维代价。
附图说明
图1为现有技术基于VXLAN构建的安全服务链模型示意图;
图2为根据本发明一实施例提供一种云数据中心安全服务链的实现方法的流程图;
图3为根据本发明一实施例提供的云数据中心网络逻辑拓扑下安全服务链的示意图;
图4为根据本发明一实施例的另一种云数据中心网络逻辑拓扑下安全服务链的示意图;
图5为根据本发明另一实施例提供的一种云数据中心安全服务链的实现方法的流程图;
图6为根据本发明另一实施例提供的一种云数据中心安全服务链的实现方法的流程图;
图7为根据本发明另一实施例基于图5提供的一种云数据中心安全服务链的实现方法的流程图;
图8为根据本发明另一实施例提供的安全服务链负载均衡的示意图;
图9为根据本发明又一实施例提供的虚拟交换机的结构示意图。
具体实施方式
下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明,但不用来限制本发明的范围。
图2为本发明一实施例提供一种云数据中心安全服务链的实现方法,包括:
S21,接收上一跳安全服务节点所对应的vSwitch通过交换网络发送的、携带有本地安全服务节点所对应的VLAN信息的流量;
S22,若在本地流表中查询到与所述流量的包头信息相匹配的访问控制策略,则对所述流量进行VLAN剥离,并通过虚拟网络端口将经过VLAN剥离后的所述流量发送至本地安全服务节点,以供所述本地安全服务节点进行安全检测;
S23,接收到本地安全服务节点发送的经过安全检测的流量后,根据所述匹配的访问控制策略中的策略动作将所述经过安全检测的流量的VLAN信息修改为下一跳安全服务节点所对应的VLAN信息,并通过交换网络发送VLAN信息修改后的所述经过安全检测的流量。
随着软件定义网络技术和网络功能虚拟化技术的不断发展,云数据中心的网络是虚拟化的overlay(覆盖)网络,即虚拟网络承载于物理网络之上。云数据中心一台物理服务器通过运行在其上的虚拟服务器(Hypervisor),可以创建多个虚拟机(Virtual Machine,VM)和虚拟交换机(Virtual Switch,以下均用vSwitch指代)。云数据中心的流量在网络中传递时,往往需要经过各种各样的安全服务节点(Security Service Equipment,SSE)的检测,才能保证网络能够按照设计要求提供给用户安全、快速、稳定的网络服务。这些安全服务节点包括熟知的防火墙(FireWalls)、入侵检测(Intrusion Prevention System)、反病毒设备等。流量按照用户定义的安全规则所要求的既定顺序穿过这些安全服务节点,经过这些安全服务节点的安全检测,从而实现云数据中心网络中的安全服务链。
具体地,流量是指网络中的一系列网包的集合,而满足源IP地址、目的IP地址、协议类型、源端口号和目的端口号相同的一系列网包就可以称为符合相同规则的流量。本发明为了表述清晰,将报文、数据包、分组等不同说法,统一称为网包。基于VLAN协议将局域网划分为多个VLAN子网,每个子网具有一个VLAN ID,安全服务节点的VLAN信息即指安全服务节点所属的VLAN子网的VLAN ID值。步骤S21中所述携带有本地安全服务节点所对应的VLAN信息的流量,是指上一跳安全服务节点所对应的vSwitch用本地安全服务节点所对应的VLAN信息对流量进行VLAN格式转换,即将流量中的所有网包从普通二层以太网报文格式转换为VLAN格式,通过对流量进行VLAN转换,该流量就能够被本地安全服务节点的vSwitch接收到。交换网络采用的是传统二层网络部署方式,所述交换网络是一个基于二层VLAN协议构建的交换矩阵,可以抽象理解为由多个交换机或者路由器组成,这个交换矩阵能够保证在同一个VLAN子网中的虚拟机之间不经过安全服务链也能够进行正常二层通信,并且保证不同VLAN子网中的虚拟机之间通过交换网络中的三层交换机或路由器进行正常通信。
具体地,步骤S22中,所述流表规定了流量的转发路径,每个vSwitch的流表包含至少一个流表项,每个流表项包含:匹配字段和匹配成功后要执行的指令集。所述流量的包头信息是指二层到四层的网包头部信息。所述访问控制策略就是一种流表项,用于对流量进行过滤,即只允许用户定义的流量进入安全服务链,访问控制策略是控制器根据用户定义的安全规则自动下发给vSwitch的。对所述流量进行VLAN剥离是指将携带有本地安全服务节点VLAN信息的流量从VLAN格式转换成普通二层以太网报文格式,以使本地安全服务节点能够对所接收到的流量进行安全检测,这样做的目的是本发明实施例不需要去额外配置安全服务节点使其能够处理VLAN格式网包。本地安全服务节点通过虚拟网络端口与其所对应的vSwitch进行通信,将经过安全检测后的流量发送给其所对应的vSwitch。
具体地,步骤S23中,前面已经提到访问控制策略的具体实现是流表项,因此所述策略动作是指匹配成功后要执行的指令集,所述策略动作包括:修改流量的VLAN信息和指定流量要被转发至哪个目的端口等。所述策略动作中包含了下一跳安全服务节点的VLAN信息,即本地安全服务节点所对应的vSwitch对所接收到的流量执行策略动作后,交换网络会通过对流量携带有下一跳安全服务节点VLAN信息的包头信息的识别将流量转发至下一跳安全服务节点所对应的vSwtich。
所述安全服务链的实现方法具体包括:本地安全服务节点所对应的vSwitch接收上一跳安全服务节点所对应的vSwitch通过交换网络发送的、携带有本地安全服务节点所对应的VLAN信息的流量;若本地安全服务节点所对应的vSwitch在本地流表中查询到与所述流量的包头信息相匹配的访问控制策略,则对所述流量进行VLAN剥离,并通过虚拟网络端口将经过VLAN剥离后的所述流量发送至本地安全服务节点,以供所述本地安全服务节点进行安全检测;本地安全服务节点所对应的vSwitch在接收本地安全服务节点发送的经过安全检测的流量后,根据所述匹配的访问控制策略中的策略动作将所述经过安全检测的流量的VLAN信息修改为下一跳安全服务节点的VLAN信息,并通过交换网络将VLAN信息修改后的所述经过安全检测的流量发送至所述下一跳安全服务节点所对应的vSwitch。
本发明实施例提供的一种云数据中心安全服务链的实现方法,通过采用VLAN协议来实现流量在安全服务链中的转发,设计简单、性能良好以及运维成本低。
举例来说,如图3所示,为本发明实施例提供的一种云数据中心网络逻辑拓扑下安全服务链的示意图。值得说明的是,该图仅为示意图,虚拟机(VM)、虚拟交换机(vSwitch)和安全服务节点(SSE)的数目可以为多个,不只限于图中的数目,交换网络的部署方式可以更复杂。
用户定义VM1-1到VM2-4的流量都要经过安全服务节点SSE1-1、SSE2-2、SSE3-1和SSE4-1进行安全检测,那么,控制器在接受到用户定义的安全规则之后,分别配置VM1-1、SSE1-1、SSE2-2、SSE3-1、SSE4-1和VM2-4所对应的vSwitch上的访问控制策略,以SSE2-2所对应的vSwitch上的访问控制策略为例,接收SSE1-1所对应的vSwitch发送的流量,如果流量的源IP地址为1.1.1.1、目的IP地址为2.2.2.2,那么修改其VLAN为1000,并发送到网络接口2。本地安全服务节点SSE2-2所对应的vSwitch接收上一跳安全服务节点SSE1-1所对应的vSwitch通过交换网络发送的、携带有本地安全服务节点所对应的VLAN信息的流量;本地安全服务节点SSE2-2所对应的vSwitch在本地vSwitch的流表中查询到与所述流量的包头信息(源IP地址为1.1.1.1、目的IP地址为2.2.2.2)相匹配的访问控制策略,对所述流量进行VLAN剥离,并通过虚拟网络端口将经过VLAN剥离后的所述流量发送至本地安全服务节点SSE2-2,以供所述本地安全服务节点SSE2-2进行安全检测;本地安全服务节点SSE2-2所对应的vSwitch,在接收本地安全服务节点SSE2-2发送的经过安全检测的流量后,根据所述匹配的访问控制策略中的策略动作将所述经过安全检测的流量的VLAN信息修改为下一跳安全服务节点SSE3-1的VLAN 1000,从输出端口2转发出去,通过交换网络将VLAN信息修改后的所述经过安全检测的流量发送至所述下一跳安全服务节点SSE3-1所对应的vSwitch。
安全服务链中的每一跳安全服务节点对流量执行上述操作,最终,流量从VM1-1依次经过安全服务节点SSE1-1、SSE2-2、SSE3-1和SSE4-1的检测到达VM2-4。
对于从目的VM发出的反向应答流量的处理与上述流程相同,如图4所示,对于从目的VM发出的反向应答流量,同样依次修改VLAN为每一跳安全服务节点所接收的VLAN,以及最后修改为源VM所接收的VLAN。在此不再赘述。
如图5所示,为本发明另一实施例提供的一种云数据中心安全服务链的实现方法,若所述本地安全服务节点为第一跳安全服务节点,所述方法包括:
S51,接收源VM所对应的vSwitch通过交换网络发送的、携带有本地安全服务节点所对应的VLAN信息的流量;
S52,若在本地流表中查询到与所述流量的包头信息相匹配的访问控制策略,则对所述流量进行VLAN剥离,并通过虚拟网络端口将经过VLAN剥离后的所述流量发送至本地安全服务节点,以供所述本地安全服务节点进行安全检测;
S53,接收到本地安全服务节点发送的经过安全检测的流量后,根据所述匹配的访问控制策略中的策略动作将所述经过安全检测的流量的VLAN信息修改为下一跳安全服务节点所对应的VLAN信息,并通过交换网络发送VLAN信息修改后的所述经过安全检测的流量。
具体地,若所述本地安全服务节点为第一跳安全服务节点,则本地安全服务节点所接收的流量来自源VM所对应的vSwitch。源VM所对应的vSwitch在接收到源VM发出的流量后,同样进行访问控制策略匹配将需要进行安全检测的流量引入安全服务链,即在源VM所对应的vSwitch的流表中查询是否存在与所述源VM发出的流量的包头信息相匹配的访问控制策略,若存在相匹配的访问控制策略,则根据所述匹配的访问控制策略中的策略动作将所述源VM发出的流量的VLAN信息修改为第一跳安全服务节点的VLAN信息,交换网络就可以将源VM发出的流量转发至第一跳安全服务节点所对应的vSwitch。若未查询到与所述源VM发出的流量的包头信息相匹配的访问控制策略,即所述源VM发出的流量不需要经过安全服务链的处理,则直接按照原有交换网络的转发路径将源VM的流量发送至目的VM。
第一跳安全服务节点所对应的vSwitch接收源VM所对应的vSwitch通过交换网络发送的、携带有本地安全服务节点所对应的VLAN信息的流量;若第一跳安全服务节点所对应的vSwitch在本地流表中查询到与所述流量的包头信息相匹配的访问控制策略,则对所述流量进行VLAN剥离,并通过虚拟网络端口将经过VLAN剥离后的所述流量发送至第一跳安全服务节点,以供所述第一跳安全服务节点对经过VLAN剥离后的所述流量进行安全检测;第一跳安全服务节点所对应的vSwitch接收到第一跳安全服务节点发送的经过安全检测的流量后,根据所述匹配的访问控制策略中的策略动作将所述经过安全检测的流量的VLAN信息修改为下一跳安全服务节点的VLAN信息,并通过交换网络将VLAN信息修改后的所述经过安全检测的流量发送至所述下一跳安全服务节点所对应的vSwitch。
本发明实施例提出的一种云数据中心安全服务链的实现方法,通过第一跳安全服务节点所对应的vSwitch将从源VM发出的流量引入安全服务链,不需要配置额外的引流接口,从而使得对安全服务链的运维非常简单。
举例来说,如图3所示,以SSE1-1所对应的vSwitch上的访问控制策略为例,如接收VM1-1所对应的vSwitch发送的流量,如果流量的源IP地址为1.1.1.1、目的IP地址为2.2.2.2,那么修改其VLAN为999,并发送到网络接口3。第一跳安全服务节点SSE1-1所对应的vSwitch接收VM1-1所对应的vSwitch通过交换网络发送的、携带有第一跳安全服务节点所对应的VLAN信息的流量;第一跳安全服务节点SSE1-1所对应的vSwitch在本地vSwitch的流表中查询到与所述流量的包头信息(源IP地址为1.1.1.1、目的IP地址为2.2.2.2)相匹配的访问控制策略,对所述流量进行VLAN剥离,并通过虚拟网络端口将经过VLAN剥离后的所述流量发送至第一跳安全服务节点SSE1-1,以供SSE1-1进行安全检测;第一跳安全服务节点SSE1-1所对应的vSwitch,接收SSE1-1发送的经过安全检测的流量,根据所述匹配的访问控制策略中的策略动作将所述经过安全检测的流量的VLAN信息修改为下一跳安全服务节点SSE2-2所对应的VLAN 999,并从输出端口3通过交换网络将处理后的流量发送至所述下一跳安全服务节点SSE2-2对应的vSwitch。
如图6所示为本发明另一实施例提供的一种云数据中心安全服务链的实现方法,若所述本地安全服务节点为最后一跳安全服务节点,所述方法包括:
S61,接收上一跳安全服务节点所对应的vSwitch通过交换网络发送的、携带有本地安全服务节点所对应的VLAN信息的流量;
S62,若在本地流表中查询到与所述流量的包头信息相匹配的访问控制策略,则对所述流量进行VLAN剥离,并通过虚拟网络端口将经过VLAN剥离后的所述流量发送至本地安全服务节点,以供所述本地安全服务节点进行安全检测;
S63,根据所述匹配的访问控制策略中的策略动作将经过安全检测的流量的VLAN信息修改为目的VM所对应的VLAN信息;
S64,通过交换网络发送VLAN信息修改后的所述经过安全检测的流量至目的VM所对应的vSwitch,以供目的VM所对应的vSwitch对所接收到的流量进行VLAN剥离并通过本地虚拟网络端口转发给目的VM。
具体地,若所述本地安全服务节点为最后一跳安全服务节点,则最后一跳安全服务节点的下一跳节点为目的VM。目的VM所对应的vSwitch接收到VLAN信息修改后的所述经过安全检测的流量,因为此流量是VLAN网包格式,因此需要对此流量执行VLAN剥离转换成普通以太网报文后再发送给目的VM。
最后一跳安全服务节点所对应的vSwitch接收上一跳安全服务节点所对应的vSwitch通过交换网络发送的携带有本地安全服务节点所对应的VLAN信息的流量;若最后一跳安全服务节点所对应的vSwitch在本地vSwitch的流表中查询到与所述流量的包头信息相匹配的访问控制策略,则对所述流量进行VLAN剥离,并通过虚拟网络端口将所述经过VLAN剥离后的流量发送至本地安全服务节点,以供所述本地安全服务节点进行安全检测;最后一跳安全服务节点所对应的vSwitch根据所述匹配的访问控制策略中的策略动作将经过安全检测的流量的VLAN信息修改为目的VM所对应的VLAN信息;最后一跳安全服务节点所对应的vSwitch通过交换网络发送VLAN信息修改后的所述经过安全检测的流量至目的VM所对应的vSwitch,以供目的VM所对应的vSwitch对所接收到的流量进行VLAN剥离并通过本地虚拟网络端口转发给目的VM。
本发明实施例提出的一种云数据中心安全服务链的实现方法,通过最后一跳安全服务节点所对应的vSwitch将经过安全检测的流量发送至目的VM,不需要配置额外的输出接口,从而使得对安全服务链的运维非常简单。
例如,如图3所示,以最后一跳安全服务节点SSE4-1所对应的vSwitch上的访问控制策略为例,如接收到SSE3-1所对应的vSwitch发送的流量,如果流量的源IP地址为1.1.1.1、目的IP地址为2.2.2.2,那么修改其VLAN为1002,并发送到网络端口2。SSE4-1所对应的vSwitch接收上一跳安全服务节点SSE3-1所对应的vSwitch通过交换网络发送的携带有本地安全服务节点所对应的VLAN信息的流量;SSE4-1所对应的vSwitch在本地流表中查询到与所述流量的包头信息(源IP地址为1.1.1.1、目的IP地址为2.2.2.2)相匹配的访问控制策略,对所述流量进行VLAN剥离,并通过虚拟网络端口将经过VLAN剥离后的流量发送至本地安全服务节点SSE4-1,以供SSE4-1进行安全检测。SSE4-1所对应的vSwitch,在接收本地安全服务节点SSE4-1发送的经过安全检测的流量后,根据所述匹配的访问控制策略中的策略动作将经过安全检测的流量的VLAN信息修改为目的VM所对应的VLAN 1002,并从输出端口2通过交换网络将处理后的流量发送至所述目的VM所对应的vSwitch,以供目的VM所对应的vSwitch接收到所述流量后对所述流量进行VLAN剥离并转发给目的VM。
本发明另一实施例,在上述各实施例的基础上,所述包头信息根据用户制定的安全规则确定,所述包头信息的类型包括:源端口号、目的端口号、协议类型、源IP地址和目的IP地址中的一种或多种。
具体地,本实施例中流量的包头信息是指IP五元组,即IP源地址、IP目的地址、协议号、源端口和目的端口中的一项或多项,具体使用哪些包头信息与访问控制策略进行匹配,是通过用户输入的安全规则指定的,不是IP五元组都必须要用到,例如可以同时指定使用源IP地址,目的IP地址,协议类型,源端口号和目的端口号去与访问控制策略进行匹配,也可以只指定其中某一种类型,也可以什么都不指定,匹配所有IP流量。
本地安全服务节点所对应的vSwitch根据用户指定的安全规则确定具体使用何种包头信息与在其流表中的访问控制策略相匹配,所述包头信息的类型包括:源端口号、目的端口号、协议类型、源IP地址和目的IP地址中的一种或多种。
本发明实施例提供的一种安全服务链的实现方法,所述包头信息根据用户指定的安全规则而确定,编排灵活简单,使得安全服务链能够根据用户的业务需求灵活部署。
本发明另一实施例,在上述各实施例的基础上,所述本地流表中包含至少一项访问控制策略,所述访问控制策略根据用户制定的安全规则确定,所述访问控制策略包括:第一匹配字段和第一策略动作;其中,所述第一匹配字段与所述包头信息相对应。
具体地,访问控制策略是一种流表项,访问控制策略是控制器根据用户制定的安全规则进行配置后自动下发给vSwitch的。所述第一匹配字段与所述包头信息相对应,即包头信息采用的是何种类型,所述第一匹配字段也采用此种类型,具体地,第一匹配字段包括:源端口号、目的端口号、协议类型、源IP地址和目的IP地址中的一种或多种。所述第一策略动作是指匹配成功后要执行的指令集,具体地包含:修改所接收到的流量的VLAN信息为下一跳安全服务节点所对应的VLAN信息,并指定了处理后的流量的输出端口信息。本地安全服务节点所对应的vSwitch根据第一策略动作将所接收到的流量转发给下一跳安全服务节点的。
本发明实施例可以基于Open vSwitch来实现虚拟交换机,Open vSwitch是由Nicira Networks主导的,运行在虚拟化平台(例如KVM,Xen)上的虚拟交换机。在虚拟化平台上,可以为动态变化的端点提供二层交换功能,较好地控制虚拟网络中的访问策略、网络隔离、流量监控等。
以SSE2-2所对应的vSwitch上的访问控制策略为例,如接收SSE1-1所对应的vSwitch发送的流量,如果流量的源IP地址为1.1.1.1、目的IP地址为2.2.2.2,那么修改其VLAN为1000,并发送到网络接口2。那么,在Open vSwitch中,SSE2-2所对应的vSwitch上对应的访问控制策略是:
in_port=1,ip,nw_src=1.1.1.1,nw_dst=2.2.2.2,actions=mod_vlan_vid:1000,output:2;
其中,in_port为输入端口号,ip为协议类型了,nw_src为源IP地址,nw_dst为目的IP地址,这四项为访问控制策略的第一匹配字段。Actions则为相对应的匹配成功后要执行的策略动作,mod_vlan_vid:1000为将流量VLAN修改为1000,1000为下一跳安全服务节点所对应的VLAN信息。
本发明实施例提供的一种云数据中心安全服务链的实现方法,所述访问控制策略根据用户制定的安全规则得到,使得安全服务链能够根据用户的业务需求灵活部署。
本发明另一实施例,在上述实施例的基础上,如图7所示,在所述图5步骤S51中在所述接收源VM所对应的vSwitch通过交换网络发送的携带有本地安全服务节点所对应的VLAN信息的流量之前,还包括:
S71,源VM所对应的vSwitch接收到源VM发送的多个流量后,对所述多个流量进行哈希处理;
S72,源VM所对应的vSwitch根据哈希处理的结果,在本地流表中确认存在匹配的负载均衡策略,并根据所述负载均衡策略的策略动作,将源VM发出的多个流量分别转发给匹配的安全服务节点所对应的vSwitch。
具体地,对于多条安全服务链,通过在服务链的入口增加负载均衡策略,来实现流量在多条安全服务链之间的均衡处理。源VM所对应的vSwitch接收到源VM发送的多个流量后,首先对所述多个流量进行哈希处理。源VM所对应的vSwitch根据哈希处理的结果在本地流表中查找是否存在匹配的负载均衡策略,对不同的流量进行哈希处理后会得到不同的哈希值,不同的哈希值会匹配到不同的负载均衡策略,从而根据所述负载均衡策略中的策略动作将各流量的VLAN修改为不同安全服务链的第一条安全服务节点所接收的VLAN,这样各流量就会被分发至不同的安全服务链进行处理,而安全服务链的最后一跳安全服务节点则都会将流量的VLAN修改为最终VM所接收的VLAN,从而完成不同安全服务链的并行处理。对于往返的流量,执行的策略是一致的,即保证属于同一会话的流量被分配到相同的服务链进行处理。
本发明实施例提供的一种云数据中心安全服务链的实现方法,通过在安全服务链的入口增加负载均衡策略,能够进一步提高安全服务链的安全防护性能。
如图8所示,VM-1-1出来的流量经过默认的策略节点处理后,会被分发到不同的两条安全服务链进行处理,即VM-1-1→SSE-1-1→SSE-2-2→SSE-1-3→SSE-1-4→VM-2-4和VM-1-1→SSE-2-1→SSE-1-2→SSE-2-3→SSE-2-4→VM-2-4,两条服务链完成处理之后,流量会修改为相同的VM-2-4所接收的VLAN,从而被VM-2-4接收。对于反向的VM-2-4→VM-1-1的流量,按照同样的方式进行处理,如果VM-1-1→VM-2-4的Web流量是经过上方的安全服务链处理的,而SSH流量是经过下方的安全服务链处理的,那么反向的Web流量同样会由策略均衡到上方的安全服务链进行处理,SSH流量同样也会均衡到下方的安全服务链进行处理。
本发明另一实施例,在上述实施例的基础上,所述对所述多个流量进行哈希处理包括:对各流量包头信息中的特征字段的最后m位比特值进行掩码处理,其中,m为log2N向上取整后的值,N为安全服务链的数目,所述特征字段包括:端口号字段、IP地址字段或协议类型字段。
具体地,流量的包头信息包括:源端口号、目的端口号、协议类型、源IP地址和目的IP地址中的一种或多种。所述特征字段包括:端口号字段、IP地址字段或协议类型字段。其中,端口号字段即源端口号和目的端口号,IP地址字段即源IP地址和目的IP地址,协议类型字段包括:IP、TCP、UDP、或SCTP协议等。所述安全服务链的数据根据用户制定的安全规则得到。
源VM所对应的vSwitch接收到源VM发送的多个流量后,根据安全服务链的数目N,计算log2N向上取整的值M,对各流量包头信息中的特征字段的最后M位比特值进行掩码处理。
本发明实施例提供的一种云数据中心安全服务链的实现方法,能够根据安全服务链的数目灵活选择哈希处理的方法,能够进一步提高安全服务链的安全防护性能。
比如,对于TCP协议,若控制器根据用户制定的安全规则创建了2条安全服务链,那么对各流量包头信息中的端口号字段的最后一位比特值进行掩码处理。若控制器根据用户制定的安全规则创建了4条安全服务链,由于log24=2,则对各流量包头信息中的端口号字段的最后2位进行掩码处理。若控制器根据用户制定的安全规则创建了3条安全服务链,由于log23向上取整后为2,则对各流量包头信息中的端口号字段的最后2位进行掩码处理。
本发明另一实施例,在上述实施例的基础上,所述负载均衡策略包括:第二匹配字段和第二策略动作。
所述负载均衡策略是一种流表项,因此包括:第二匹配字段和第二策略动作,所述第二匹配字段包括对流量的特征字段进行哈希处理后的得到的不同哈希值,所述第二策略动作根据不同的哈希值将流量匹配到不同的安全服务链。
本发明实施例提供的一种云数据中心安全服务链的实现方法,通过负载均衡策略将不同的流量分发至不同的安全服务链,能够提高安全服务链的安全防护性能,获得较好的性能。
例如,对于TCP协议,若控制器根据用户制定的安全规则创建了2条安全服务链,那么对各流量包头信息中的端口号字段的最后一位比特值进行掩码处理,并根据不同的哈希值将流量匹配到不同的安全服务链。所述负载均衡策略如下:
源端口号和目的端口号均为奇数或者均为偶数的流量,分发给服务链A处理;
源端口号和目的端口号分别为一奇一偶的流量,分发给服务链B处理。
在Open vSwitch中,上述负载均衡策略的具体实现如下:
ovs-ofctl add-flow ovsbr in_port=1,ip,tcp,tp_src=0/0x0001,tp_dst=0/0x0001,actions="mod_vlan_vid:1001,output:2";
ovs-ofctl add-flow ovsbr in_port=1,ip,tcp,tp_src=1/0x0001,tp_dst=1/0x0001,actions="mod_vlan_vid:1001,output:2";
ovs-ofctl add-flow ovsbr in_port=1,ip,tcp,tp_src=0/0x0001,tp_dst=1/0x0001,actions="mod_vlan_vid:1002,output:2";
ovs-ofctl add-flow ovsbr in_port=1,ip,tcp,tp_src=1/0x0001,tp_dst=0/0x0001,actions="mod_vlan_vid:1002,output:2";
若存在4条服务链,就可以用log24=2个比特来进行哈希处理,负载均衡策略如下:
源端口号和目的端口号最后2个比特均为00或均为01或均为10或均为11的流量,分发给服务链A处理;
源端口号和目的端口号最后2个比特分别为一个00一个01或分别为一个10一个11的流量,分发给服务链B处理;
源端口号和目的端口号最后2个比特分别为一个00一个10或分别为一个01一个11的流量,分发给服务链C处理;
源端口号和目的端口号最后2个比特分别为一个00一个11或分别为一个01一个10的流量,分发给服务链D处理。
本发明又一实施例,提供一种虚拟交换机,如图9所示,包括:接收单元901、流表匹配单元902和转发单元903,其中,
接收单元901,用于接收上一跳安全服务节点所对应的虚拟交换机通过交换网络发送的、携带有本地安全服务节点所对应的VLAN信息的流量;
流表匹配单元902,用于若在本地流表中查询到与所述流量的包头信息相匹配的访问控制策略,则对所述流量进行VLAN剥离,并通过虚拟网络端口将经过VLAN剥离后的所述流量发送至本地安全服务节点,以供所述本地安全服务节点进行安全检测;
转发单元903,用于接收到本地安全服务节点发送的经过安全检测的流量后,根据所述匹配的访问控制策略中的策略动作将所述经过安全检测的流量的VLAN信息修改为下一跳安全服务节点所对应的VLAN信息,并通过交换网络发送VLAN信息修改后的所述经过安全检测的流量。
具体地,接收单元901接收上一跳安全服务节点所对应的虚拟交换机通过交换网络发送的携带有本地安全服务节点所对应的VLAN信息的流量;流表匹配单元902在本地流表中查询是否存在与所述流量的包头信息相匹配的访问控制策略,若存在匹配的访问控制策略,则流表匹配单元902对所述流量进行VLAN剥离,将携带有本地安全服务节点VLAN信息的流量从VLAN格式转换成普通二层以太网报文格式,并通过虚拟网络端口将经过VLAN剥离后的流量发送至本地安全服务节点,以使得本地安全服务节点对该流量进行安全检测;转发单元903,接收到本地安全服务节点发送的经过安全检测的流量后,根据所述匹配的访问控制策略中的策略动作将所述经过安全检测的流量的VLAN信息修改为下一跳安全服务节点的VLAN信息,并通过交换网络将VLAN信息修改后的所述经过安全检测的流量转发给下一跳安全服务节点所对应的虚拟交换机。
本发明实施例提供一种虚拟交换机,通过匹配访问控制策略将流量引流至安全服务节点以进行安全检测,能够简化安全服务链的实现,且不需要额外配置用于访问控制的接口,运维简单。
本发明又一实施例,提供一种云数据中心安全服务链,包括:一个或者多个虚拟交换机、控制器和安全服务节点,其中所述虚拟交换机对应于安全服务节点、源VM和目的VM,其中,
所述控制器,用于接收用户定义的安全规则并根据所述安全规则配置所述各个虚拟交换机的访问控制策略;
所述安全服务节点,用于对所接收到的流量进行安全检测,并通过虚拟网络端口发送经过安全检测后的流量;
所述安全服务节点所对应的虚拟交换机,用于对需要进行安全检测的流量执行VLAN剥离操作,并转发给安全服务节点;或者,用于根据匹配的访问控制策略将所述经过安全检测的流量的VLAN信息修改为下一跳安全服务节点所对应的VLAN信息,并通过交换网络发送VLAN信息修改后的所述经过安全检测的流量;
所述源VM所对应的虚拟交换机,用于将从源VM发出的需要进行安全检测流量引入第一跳安全服务节点;
所述目的VM所对应的虚拟交换机,用于将最后一跳安全服务节点发出的流量引出至目的VM。
具体地,用户定义的安全规则是指用户指定特定的流量经过依次哪些安全服务节点进行检测,控制器则根据用户定义的安全规则确定具体采用何种类型的包头信息,相应地确定访问控制策略的匹配字段,根据流量依次经过哪些安全服务节点,确定流量的转发路径,从而去设置访问控制策略中的策略动作,控制器将建立好的访问控制策略下发至各个虚拟交换机。
安全服务节点对所接收的流量进行安全检测,上述实施例中提到过安全服务节点的类型有多种,从而能够对流量实施多角度的安全防护。安全服务节点的检测过程完成后会通过本地虚拟网络端口将流量转发出去,以使流量能够进入下一跳安全服务节点。
安全服务节点所对应的虚拟交换机,如上述实施例中所提供的虚拟交换机,在此不再赘述。
源VM所对应的虚拟交换机,可以看作安全服务链的入口,用于将需要进入安全服务链的流量引入第一跳安全服务节点,具体地,通过在其本地的流表中查找是否存在与所述流量的包头信息相匹配的访问控制策略,若存在,则说明该流量需要进行安全检测,从而根据匹配的访问控制策略中的策略动作将该流量的VLAN信息修改为第一跳安全服务节点所对应的VLAN信息并转发出去;若不存在,则说明该流量不需要进行安全检测,则将该流量按照普通的转发路径发送给目的VM。
目的VM所对应的虚拟交换机,可以看作是安全服务链的出口,将最后一跳安全服务节点发出的流量引出安全服务链,发送给目的VM,从而完成源VM与目的VM之间的通信。
本发明提出的一种云数据中心安全服务链,可以根据用户的安全需求进行灵活部署,设计简单、性能良好且运维成本低,能够达到良好的安全防护效果。
最后,本申请的方法仅为较佳的实施方案,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (10)

1.一种云数据中心安全服务链的实现方法,其特征在于,包括:
步骤1,接收上一跳安全服务节点所对应的vSwitch通过交换网络发送的、携带有本地安全服务节点所对应的VLAN信息的流量;
步骤2,若在本地流表中查询到与所述流量的包头信息相匹配的访问控制策略,则对所述流量进行VLAN剥离,并通过虚拟网络端口将经过VLAN剥离后的所述流量发送至本地安全服务节点,以供所述本地安全服务节点进行安全检测;
步骤3,接收到本地安全服务节点发送的经过安全检测的流量后,根据所述匹配的访问控制策略中的策略动作将所述经过安全检测的流量的VLAN信息修改为下一跳安全服务节点所对应的VLAN信息,并通过交换网络发送VLAN信息修改后的所述经过安全检测的流量。
2.根据权利要求1所述的安全服务链的实现方法,其特征在于,步骤1还包括:若所述本地安全服务节点为第一跳安全服务节点,
接收源VM所对应的vSwitch通过交换网络发送的、携带有本地安全服务节点所对应的VLAN信息的流量。
3.根据权利要求1所述的安全服务链的实现方法,其特征在于,步骤3进一步包括:若所述本地安全服务节点为最后一跳安全服务节点,
根据所述匹配的访问控制策略中的策略动作将经过安全检测的流量的VLAN信息修改为目的VM所对应的VLAN信息;
通过交换网络发送VLAN信息修改后的所述经过安全检测的流量至目的VM所对应的vSwitch,以供目的VM所对应的vSwitch对所接收到的流量进行VLAN剥离并通过本地虚拟网络端口转发给目的VM。
4.根据权利要求1至3任一所述的安全服务链的实现方法,其特征在于,所述包头信息根据用户定义的安全规则确定,所述包头信息的类型包括:源端口号、目的端口号、协议类型、源IP地址和目的IP地址中的一种或多种。
5.根据权利要求1至3任一所述的安全服务链的实现方法,其特征在于,步骤2中,所述本地流表中包含至少一项访问控制策略,所述访问控制策略根据用户定义的安全规则确定,所述访问控制策略包括:第一匹配字段和第一策略动作;其中,所述第一匹配字段与所述包头信息相对应。
6.根据权利要求2所述的安全服务链的实现方法,其特征在于,步骤1中在所述接收源VM所对应的vSwitch通过交换网络发送的携带有本地安全服务节点所对应的VLAN信息的流量之前,还包括:
源VM所对应的vSwitch接收到源VM发送的多个流量后,对所述多个流量进行哈希处理;
源VM所对应的vSwitch根据哈希处理的结果,在本地流表中确认存在匹配的负载均衡策略,并根据所述负载均衡策略的策略动作,将源VM发出的多个流量分别转发给匹配的安全服务节点所对应的vSwitch。
7.根据权利要求6所述的安全服务链的实现方法,其特征在于,所述对所述多个流量进行哈希处理包括:对各流量包头信息中的特征字段的最后m位比特值进行掩码处理,其中,m为log2N向上取整后的值,N为安全服务链的数目,所述特征字段包括:端口号字段、IP地址字段或协议类型字段。
8.根据权利要求6所述的安全服务链的实现方法,其特征在于,所述负载均衡策略包括:第二匹配字段和第二策略动作。
9.一种虚拟交换机,其特征在于,包括:
接收单元,用于接收上一跳安全服务节点所对应的虚拟交换机通过交换网络发送的、携带有本地安全服务节点所对应的VLAN信息的流量;
流表匹配单元,用于若在本地流表中查询到与所述流量的包头信息相匹配的访问控制策略,则对所述流量进行VLAN剥离,并通过虚拟网络端口将经过VLAN剥离后的所述流量发送至本地安全服务节点,以供所述本地安全服务节点进行安全检测;
转发单元,用于接收到本地安全服务节点发送的经过安全检测的流量后,根据所述匹配的访问控制策略中的策略动作将所述经过安全检测的流量的VLAN信息修改为下一跳安全服务节点所对应的VLAN信息,并通过交换网络发送VLAN信息修改后的所述经过安全检测的流量。
10.一种云数据中心安全服务链,其特征在于,包括:一个或者多个如权利要求9所述的虚拟交换机、控制器和安全服务节点,其中所述虚拟交换机对应于安全服务节点、源VM和目的VM,其中,
所述控制器,用于接收用户定义的安全规则并根据所述安全规则配置所述各个虚拟交换机的访问控制策略;
所述安全服务节点,用于对所接收到的流量进行安全检测,并通过虚拟网络端口发送经过安全检测的流量;
所述安全服务节点所对应的虚拟交换机,用于对需要进行安全检测的流量执行VLAN剥离操作,并转发给安全服务节点;或者,用于根据匹配的访问控制策略将所述经过安全检测的流量的VLAN信息修改为下一跳安全服务节点所对应的VLAN信息,并通过交换网络发送VLAN信息修改后的所述经过安全检测的流量;
所述源VM所对应的虚拟交换机,用于将从源VM发出的需要进行安全检测流量引入第一跳安全服务节点;
所述目的VM所对应的虚拟交换机,用于将最后一跳安全服务节点发出的流量引出至目的VM。
CN201710124814.XA 2017-03-03 2017-03-03 一种云数据中心安全服务链的实现方法 Active CN106789542B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710124814.XA CN106789542B (zh) 2017-03-03 2017-03-03 一种云数据中心安全服务链的实现方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710124814.XA CN106789542B (zh) 2017-03-03 2017-03-03 一种云数据中心安全服务链的实现方法

Publications (2)

Publication Number Publication Date
CN106789542A true CN106789542A (zh) 2017-05-31
CN106789542B CN106789542B (zh) 2019-08-09

Family

ID=58961233

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710124814.XA Active CN106789542B (zh) 2017-03-03 2017-03-03 一种云数据中心安全服务链的实现方法

Country Status (1)

Country Link
CN (1) CN106789542B (zh)

Cited By (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107911258A (zh) * 2017-12-29 2018-04-13 深信服科技股份有限公司 一种基于sdn网络的安全资源池的实现方法及***
CN107920023A (zh) * 2017-12-29 2018-04-17 深信服科技股份有限公司 一种安全资源池的实现方法及***
CN107947965A (zh) * 2017-11-07 2018-04-20 清华大学 服务链编译器
CN108199958A (zh) * 2017-12-29 2018-06-22 深信服科技股份有限公司 一种通用的安全资源池服务链实现方法及***
CN109889533A (zh) * 2019-03-11 2019-06-14 北京网御星云信息技术有限公司 云环境下的安全防御方法及***、计算机可读存储介质
CN109981355A (zh) * 2019-03-11 2019-07-05 北京网御星云信息技术有限公司 用于云环境的安全防御方法及***、计算机可读存储介质
WO2019153127A1 (en) * 2018-02-06 2019-08-15 Nokia Shanghai Bell Co., Ltd. Method, apparatus, and computer readable medium for providing security service for data center
CN110213181A (zh) * 2019-04-28 2019-09-06 华为技术有限公司 虚拟网络中的数据引流装置及数据引流方法
CN110311838A (zh) * 2019-07-24 2019-10-08 北京神州绿盟信息安全科技股份有限公司 一种安全服务流量统计的方法及装置
CN110324282A (zh) * 2018-03-29 2019-10-11 华耀(中国)科技有限公司 Ssl/tls可视化流量的负载均衡方法及其***
CN111756632A (zh) * 2020-06-22 2020-10-09 中国电子科技集团公司第五十四研究所 一种基于mpls封装的安全服务链动态编排方法
CN113098728A (zh) * 2019-12-23 2021-07-09 华为技术有限公司 负载均衡***的健康检查方法及相关设备
CN114070639A (zh) * 2021-11-19 2022-02-18 北京天融信网络安全技术有限公司 一种报文安全转发方法、装置及网络安全设备
CN114629853A (zh) * 2022-02-28 2022-06-14 天翼安全科技有限公司 安全资源池中基于安全服务链解析的流量分类控制方法
CN114944952A (zh) * 2022-05-20 2022-08-26 深信服科技股份有限公司 一种数据处理方法、装置、***、设备及可读存储介质
CN115695086A (zh) * 2022-09-19 2023-02-03 ***数智科技有限公司 一种基于vlan网络实现服务链功能的***及方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104618379A (zh) * 2015-02-04 2015-05-13 北京天地互连信息技术有限公司 一种面向idc业务场景的安全服务编排方法及网络结构
CN105450522A (zh) * 2014-09-24 2016-03-30 英特尔公司 用于在虚拟机之间路由服务链流分组的技术
US20160094440A1 (en) * 2014-09-30 2016-03-31 International Business Machines Corporation Forwarding a packet by a nve in nvo3 network

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105450522A (zh) * 2014-09-24 2016-03-30 英特尔公司 用于在虚拟机之间路由服务链流分组的技术
US20160094440A1 (en) * 2014-09-30 2016-03-31 International Business Machines Corporation Forwarding a packet by a nve in nvo3 network
CN104618379A (zh) * 2015-02-04 2015-05-13 北京天地互连信息技术有限公司 一种面向idc业务场景的安全服务编排方法及网络结构

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
李军: ""防火墙上台阶:安全网关多层过滤技术的走向"", 《信息网络安全》 *
陈兴蜀 等: ""虚拟网络环境下安全服务接入方法"", 《华中科技大学学报(自然科学版)》 *

Cited By (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107947965A (zh) * 2017-11-07 2018-04-20 清华大学 服务链编译器
CN107911258A (zh) * 2017-12-29 2018-04-13 深信服科技股份有限公司 一种基于sdn网络的安全资源池的实现方法及***
CN107920023A (zh) * 2017-12-29 2018-04-17 深信服科技股份有限公司 一种安全资源池的实现方法及***
CN108199958A (zh) * 2017-12-29 2018-06-22 深信服科技股份有限公司 一种通用的安全资源池服务链实现方法及***
CN108199958B (zh) * 2017-12-29 2021-04-09 深信服科技股份有限公司 一种通用的安全资源池服务链实现方法及***
WO2019153127A1 (en) * 2018-02-06 2019-08-15 Nokia Shanghai Bell Co., Ltd. Method, apparatus, and computer readable medium for providing security service for data center
US11558353B2 (en) 2018-02-06 2023-01-17 Nokia Technologies Oy Method, apparatus, and computer readable medium for providing security service for data center
CN110324282A (zh) * 2018-03-29 2019-10-11 华耀(中国)科技有限公司 Ssl/tls可视化流量的负载均衡方法及其***
CN109981355A (zh) * 2019-03-11 2019-07-05 北京网御星云信息技术有限公司 用于云环境的安全防御方法及***、计算机可读存储介质
CN109889533A (zh) * 2019-03-11 2019-06-14 北京网御星云信息技术有限公司 云环境下的安全防御方法及***、计算机可读存储介质
CN109889533B (zh) * 2019-03-11 2021-07-20 北京网御星云信息技术有限公司 云环境下的安全防御方法及***、计算机可读存储介质
CN110213181A (zh) * 2019-04-28 2019-09-06 华为技术有限公司 虚拟网络中的数据引流装置及数据引流方法
WO2020220977A1 (zh) * 2019-04-28 2020-11-05 华为技术有限公司 虚拟网络中的数据引流装置及数据引流方法
CN110311838A (zh) * 2019-07-24 2019-10-08 北京神州绿盟信息安全科技股份有限公司 一种安全服务流量统计的方法及装置
CN110311838B (zh) * 2019-07-24 2021-05-04 绿盟科技集团股份有限公司 一种安全服务流量统计的方法及装置
CN113098728A (zh) * 2019-12-23 2021-07-09 华为技术有限公司 负载均衡***的健康检查方法及相关设备
CN113098728B (zh) * 2019-12-23 2023-12-19 华为云计算技术有限公司 负载均衡***的健康检查方法及相关设备
CN111756632A (zh) * 2020-06-22 2020-10-09 中国电子科技集团公司第五十四研究所 一种基于mpls封装的安全服务链动态编排方法
CN114070639A (zh) * 2021-11-19 2022-02-18 北京天融信网络安全技术有限公司 一种报文安全转发方法、装置及网络安全设备
CN114070639B (zh) * 2021-11-19 2024-04-23 北京天融信网络安全技术有限公司 一种报文安全转发方法、装置及网络安全设备
CN114629853A (zh) * 2022-02-28 2022-06-14 天翼安全科技有限公司 安全资源池中基于安全服务链解析的流量分类控制方法
CN114944952A (zh) * 2022-05-20 2022-08-26 深信服科技股份有限公司 一种数据处理方法、装置、***、设备及可读存储介质
CN114944952B (zh) * 2022-05-20 2023-11-07 深信服科技股份有限公司 一种数据处理方法、装置、***、设备及可读存储介质
CN115695086A (zh) * 2022-09-19 2023-02-03 ***数智科技有限公司 一种基于vlan网络实现服务链功能的***及方法
CN115695086B (zh) * 2022-09-19 2024-01-19 ***数智科技有限公司 一种基于vlan网络实现服务链功能的***及方法

Also Published As

Publication number Publication date
CN106789542B (zh) 2019-08-09

Similar Documents

Publication Publication Date Title
CN106789542B (zh) 一种云数据中心安全服务链的实现方法
US11765085B2 (en) Switch with network services packet processing by service software instances
CN107819663B (zh) 一种实现虚拟网络功能服务链的方法和装置
US9742575B2 (en) Explicit list encoding of sparse multicast group membership information with Bit Index Explicit Replication (BIER)
US11115328B2 (en) Efficient troubleshooting in openflow switches
US9432205B2 (en) Explicit block encoding of multicast group membership information with bit index explicit replication (BIER)
CN104521195B (zh) 在通信网络中创建软件定义有序业务模式的方法和***
CN106464522B (zh) 用于网络功能布局的方法和***
US8811398B2 (en) Method for routing data packets using VLANs
CN104243270B (zh) 一种建立隧道的方法和装置
CN105227463B (zh) 一种分布式设备中业务板间的通信方法
JP4598462B2 (ja) L2−vpnサービスを提供するプロバイダ網、及びエッジルータ
EP3248339B1 (en) Devices, systems and methods for service chains
US20160315866A1 (en) Service based intelligent packet-in mechanism for openflow switches
US9036636B1 (en) System and methods for managing network packet broadcasting
CN108353024A (zh) 选路***中经由隧穿的多播状态减少
CN108055878A (zh) 使用边界网关协议来向外部应用揭示最大分段标识符深度
CN109076018A (zh) 利用is-is暴露最大节点和/或链路分段标识符深度的技术
CN105763359A (zh) 用于交织结构交换机集群的分布式双向转发检测协议(d-bfd)
CN107948086A (zh) 一种数据包发送方法、装置及混合云网络***
CN110178342A (zh) Sdn网络的可扩缩应用级别监视
CN107210966A (zh) 在软件定义组网(sdn)***中使用l4‑l7报头转发没有重组的分组片段
CN106105114B (zh) 多归属is-is前缀的更好替换路径
CN108092934A (zh) 安全服务***及方法
JP2018518925A (ja) パケット転送

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant