[发明专利]一种面向IDC业务场景的安全服务编排方法及网络结构

权利要求书

1.一种面向IDC业务场景的安全服务编排方法，其特征在于，包括：

步骤1、安全流平台部署在IDC的出入口，将多种网络安全设备连接到一台或多台SDN交换机上，共同形成一个安全资源池；

步骤2、安全控制器发出安全控制指令操作SDN交换机，根据不同用户安全需求将网络流量牵引到指定的网络安全设备进行安全处理；

步骤3、安全控制器对网络安全设备进行策略集中管理和状态实时监控，当网络安全设备出现异常时，安全控制器发出安全策略指令，及时进行均衡负载或流量迁移，确保不影响正常的网络通信；

所述多种网络安全设备包括：UTM设备、IDS设备、IPS设备、WAF设备；

所述安全控制器发出安全控制指令采用OpenFlow协议，支持包括输入端口、源/目的以太网地址、以太网协议、VLAN优先级、VLAN ID、源/目的IPv4地址、IP协议、IP ToS位、TCP/UDP源/目的端口号的多匹配域的转发表；

所述步骤2中的安全处理包括：访问控制、攻击检查、攻击过滤、内容审计。

2.一种面向IDC业务场景的安全服务网络系统，其特征在于，包括：互联网、第一SDN交换机、安全控制器、UTM设备、IDS设备、IPS设备、WAF设备、第二SDN交换机，其中，互联网与第一SDN交换机相连，第一SDN交换机与UTM设备、IDS设备、IPS设备、WAF设备组成的安全流平台相连，安全流平台部署在IDC的出入口，安全控制器与安全流平台相连，安全流平台与第二SDN交换机相连，第二SDN交换机与不同租户虚拟网络相连；

所述安全控制器发出安全控制指令操作第一SDN交换机，根据不同用户安全需求将网络流量牵引到指定的网络安全设备进行安全处理，包括：访问控制、攻击检查、攻击过滤、内容审计；安全控制指令采用OpenFlow协议，支持包括输入端口、源/目的以太网地址、以太网协议、VLAN优先级、VLAN ID、源/目的IPv4地址、IP协议、IP ToS位、TCP/UDP源/目的端口号的多匹配域的转发表；

所述安全控制器对网络安全设备进行策略集中管理和状态实时监控，当网络安全设备出现异常时，安全控制器发出安全策略指令，及时进行均衡负载或流量迁移，确保不影响正常的网络通信。