[发明专利]安全资源池实现租户业务流量编排的方法、装置及电子设备

权利要求书

1.一种安全资源池实现租户业务流量编排的方法，其特征在于，所述方法包括：

接收安全管理平台发送的以下信息：流量转发路径，业务流量的特征，安全产品的属性信息，其中，所述流量转发路径表示业务流量需要经过的目标安全产品；

根据所述流量转发路径，所述业务流量的特征，所述安全产品的属性信息生成业务编排流表，其中，所述业务编排流表用于表示所述业务流量的转发规则；

将所述业务编排流表发送至OVS交换机，以使所述OVS交换机根据所述业务编排流表对所述业务流量在所述目标安全产品间进行转发；

其中，所述业务流量的特征包括：自定义业务流量特征，自带业务流量特征，所述自定义业务流量特征包括：自定义IP地址，自定义端口号，所述自带业务流量特征至少包括：所述业务流量的mac地址，所述属性信息至少包括：所述安全产品的vlan标签，所述安全产品的mac地址；

所述业务编排流表包括：第一业务编排流表，第二业务编排流表，第三业务编排流表，其中，所述第一业务编排流表用于实现业务流量的区分，第二业务编排流表用于实现业务流量的自定义转发，所述第三业务编排流表用于实现不同租户的业务流量相互隔离，同一租户的业务流量进行转发；

其中，所述第一业务编排流表包括多条第一规则和第一缺省项流表，每条第一规则包括：第一匹配项和第一动作项；

所述第二业务编排流表包括多条第二规则和第二缺省项流表，每条第二规则包括：第二匹配项和第二动作项；

其中，根据所述流量转发路径，所述业务流量的特征，所述安全产品的属性信息生成业务编排流表包括：

根据所述流量转发路径确定所述目标安全产品以及所述目标安全产品间的转发顺序；

将所述目标安全产品的mac地址作为所述第一业务编排流表的第一匹配项，以使所述第一动作项根据所述业务流量与所述第一匹配项的匹配结果执行相应的动作；

将所述自定义业务流量特征和所述目标安全产品的mac地址作为所述第二业务编排流表的第二匹配项，以使所述第二动作项根据所述业务流量与所述第二匹配项的匹配结果执行相应的动作；

其中，所述第一动作项根据所述业务流量与所述第一匹配项的匹配结果执行相应的动作包括：

判断所述业务流量的mac地址是否与当前目标安全产品的mac地址相同；

如果相同，则判断所述业务流量是否带有vlan标签，其中，所述vlan标签用于表示所述业务流量所属的租户；

如果不带vlan标签，则为所述业务流量封装所述当前目标安全产品的vlan标签，并将封装vlan标签后的业务流量发送至所述第三业务编排流表；

如果带有vlan标签，则将所述带有vlan标签的业务流量发送至所述第一缺省项流表，以使所述第一缺省项流表将所述带有vlan标签的业务流量发送至所述第二业务编排流表。

2.根据权利要求1所述的方法，其特征在于，所述第一动作项根据所述业务流量与所述第一匹配项的匹配结果执行相应的动作还包括：

如果所述业务流量的mac地址与所述当前目标安全产品的mac地址不同，则将不同于当前目标安全产品的mac地址的业务流量发送至所述第一缺省项流表，以使所述第一缺省项流表将所述不同于当前目标安全产品的mac地址的业务流量发送至第二业务流表。

3.根据权利要求1所述的方法，其特征在于，所述第二动作项根据所述业务流量与所述第二匹配项的匹配结果执行相应的动作包括：

判断所述业务流量是否与所述自定义业务流量特征匹配；

如果所述业务流量与所述自定义业务流量特征匹配，则判断所述业务流量的mac地址是否与当前目标安全产品的mac地址匹配；

如果所述业务流量的mac地址与所述当前目标安全产品的mac地址匹配，则将所述业务流量的mac地址修改为目的mac地址，以使所述业务流量到达下一个目标安全产品，其中，所述目的mac地址为所述流量转发路径中当前目标安全产品的下一个目标安全产品的mac地址。

4.根据权利要求3所述的方法，其特征在于，

如果所述业务流量与所述自定义业务流量特征不匹配和/或所述业务流量的mac地址与所述当前目标安全产品的mac地址不匹配，则将不匹配的业务流量发送至所述第二缺省项流表，以使所述第二缺省项流表将所述不匹配的业务流量发送至所述第三业务编排流表。