[发明专利]一种面向IDC业务场景的安全服务编排方法及网络结构

说明书

本发明属于网络工程技术领域，尤其涉及一种面向IDC业务场景的安全服务编排方法及网络结构，将安全流平台部署在IDC的出入口，通过把一台或多台UTM、IDS/IPS、WAF等安全设备连接到一台或多台SDN交换机上，形成一个安全资源池；安全控制指令操作SDN交换机，将网络流量牵引到指定的安全设备进行安全处理，包括：访问控制、攻击检查、攻击过滤、内容审计等；安全策略指令对安全设备进行策略集中管理和状态实时监控，当设备出现异常时，能及时进行均衡负载或流量迁移，确保不影响正常的网络通信。

技术领域

本发明属于网络工程技术领域，尤其涉及一种面向IDC业务场景的安全服务编排方法及网络结构。

背景技术

随着网络云计算技术的迅速发展，对于云数据中心的安全要求也越来越高。从安全需求来看，云数据中心要求安全防护可以更加灵活、支持个性定制。消费者不管理或控制任何云计算基础设施，但能控制操作系统的选择、储存空间、部署的应用。同时，用户可以根据自己的安全需求来选择购买合适的安全服务。比如，有的用户对安全没有要求，就无需购买安全服务。有的用户希望部署最基本的防火墙，可以根据需要选择不同价位对应不同能力的防火墙。有的用户对安全有很高的要求，希望部署多类型的安全设备，如防火墙、病毒过滤、应用防护等。很显然，为每个用户单独部署一台或多台安全设备是不现实的。

通过一种面向IDC业务场景的安全服务编排方法实现安全资源调度与安全服务控制功能，可以为云数据中心提供安全功能灵活部署、个性化定制的一体化解决方案。用户可以通过定义不同的安全应用，来满足不同的安全防护需求。根据租户的具体业务来灵活控制安全功能，可以避免重复过滤与管控、降低成本，是新型IDC服务的切实需求。

发明内容

针对上述问题，本发明提出了一种面向IDC业务场景的安全服务编排方法及网络结构。

一种面向IDC业务场景的安全服务编排方法，包括：

步骤1、将多种网络安全设备连接到一台或多台SDN交换机上，共同形成一个安全资源池；

步骤2、安全控制器发出安全控制指令操作SDN交换机，根据不同用户安全需求将网络流量牵引到指定的网络安全设备进行安全处理；

步骤3、安全控制器对网络安全设备进行策略集中管理和状态实时监控，当网络安全设备出现异常时，安全控制器发出安全策略指令，及时进行均衡负载或流量迁移，确保不影响正常的网络通信。

所述多种网络安全设备包括：UTM设备、IDS设备、IPS设备、WAF设备。

所述安全控制器发出安全控制指令采用OpenFlow协议。

所述步骤2中的安全处理包括：访问控制、攻击检查、攻击过滤、内容审计。

一种面向IDC业务场景的安全服务网络结构，包括：互联网、第一SDN交换机、安全控制器、UTM设备、IDS设备、IPS设备、WAF设备、第二SDN交换机，其中，互联网与第一SDN交换机相连，第一SDN交换机与UTM设备、IDS设备、IPS设备、WAF设备组成的安全流平台相连，安全控制器与安全流平台相连，安全流平台与第二SDN交换机相连，第二SDN交换机与不同租户虚拟网络相连。

所述安全控制器发出安全控制指令操作第一SDN交换机，根据不同用户安全需求将网络流量牵引到指定的网络安全设备进行安全处理，包括：访问控制、攻击检查、攻击过滤、内容审计；安全控制指令采用OpenFlow协议。

所述安全控制器对网络安全设备进行策略集中管理和状态实时监控，当网络安全设备出现异常时，安全控制器发出安全策略指令，及时进行均衡负载或流量迁移，确保不影响正常的网络通信。