[发明专利]配置安全策略的方法和装置

说明书

本公开涉及配置安全策略的方法和装置。该所述方法应用于SDN架构中的SDN控制器，包括：接收LLDP报文，所述LLDP报文携带网络设备的设备类型信息以及所述网络设备中网卡的地址信息；在接收到免费ARP报文时，如果所述设备类型信息指示所述网络设备是应用层安全设备，且所述免费ARP报文携带的虚拟机的地址信息与所述网卡的地址信息一致，则确定所述虚拟机所属的虚拟专用网VPN；向所述网卡发送所述VPN对应的安全策略。根据本公开，能够为租户的多个VPN应用业务提供对应的安全防护，且无需对各个网卡进行手工配置。

技术领域

本公开涉及SDN网络领域，尤其涉及配置安全策略的方法和装置。

背景技术

SDN(Soft Define Network，软件定义网络)是一种网络架构，其核心思想是将网络设备的控制层面与转发层面分离，以实现对网络流量的灵活控制，为核心网络及应用的创新提供良好的平台。

在SDN架构中，应用层安全设备(例如WAF，Web Application Firewall，网站应用防火墙)可对同一租户内的应用服务器进行保护。SDN控制器可将针对该租户的应用服务器的访问报文引入相应的应用层安全设备，经该安全设备中实施的安全策略检测通过后，由该安全设备向应用服务器请求服务。

应用层安全设备中可存在多个业务网卡，可分别为租户的多个应用服务器提供安全防护。本公开中的业务网卡，指应用层安全设备中执行安全策略的网卡，以区别于应用层安全设备中执行本设备的管理策略的管理网卡。现有技术中，当应用层安全设备中存在多个业务网卡时，由于SDN控制器无法识别多网卡，因此，只能给安全设备下发一套安全策略，使得多个业务网卡执行同一套安全策略。在一些情况下，也可通过手动配置方式给每个业务网卡配置不同的安全策略，但当发生业务网卡接入数量变化(例如增加业务网卡)等情况时，用户必须手动为变化的网卡配置安全策略，这种方式人工成本高，不便于大规模网络的维护。

发明内容

有鉴于此，本公开提出了一种为应用层安全设备配置安全策略的方法。本公开还提出了相应的装置。

根据本公开的一方面，提供了一种配置安全策略的方法，所述方法应用于SDN架构中的SDN控制器，所述方法包括：接收链路层发现协议(Link Layer Discovery Protocol，LLDP)报文，所述LLDP报文携带网络设备的设备类型信息以及所述网络设备中网卡的地址信息；在接收到免费地址解析协议(Address Resolution Protocol，ARP)报文时，如果所述设备类型信息指示所述网络设备是应用层安全设备，且所述免费ARP报文携带的虚拟机的地址信息与所述网卡的地址信息一致，则确定所述虚拟机所属的虚拟专用网VPN；向所述网卡发送所述VPN对应的安全策略。

根据本公开的另一方面，提供了一种配置安全策略的装置，所述装置应用于SDN架构中的SDN控制器，所述装置包括：LLDP报文接收模块，用于接收LLDP报文，所述LLDP报文携带网络设备的设备类型信息以及所述网络设备中网卡的地址信息；VPN确定模块，用于在接收到免费ARP报文时，如果所述设备类型信息指示所述网络设备是应用层安全设备，且所述免费ARP报文携带的虚拟机的地址信息与所述网卡的地址信息一致，则确定所述虚拟机所属的虚拟专用网VPN；安全策略发送模块，用于向所述网卡发送所述VPN对应的安全策略。

通过本公开的各个方面，SDN控制器可通过来自网络设备的各个业务网卡发送的LLDP报文获取该网络设备的各个业务网卡的地址信息，并识别出所述网络设备为应用层安全设备，如果某虚拟机上线过程中上报的免费ARP报文中携带的虚拟机的地址信息与与所述业务网卡的地址信息一致时，则进一步确定所述虚该拟机所属的VPN，并向所述业务网卡发送所述VPN对应的安全策略，使得应用层安全设备能够为租户的各个VPN应用业务提供对应的安全防护，且无需对各个网卡进行手工配置。

根据下面参考附图对示例性实施例的详细说明，本公开的其它特征及方面将变得清楚。

附图说明