[发明专利]安全资源池实现租户业务流量编排的方法、装置及电子设备

说明书

本发明提供了一种安全资源池实现租户业务流量编排的方法、装置及电子设备，该方法包括：接收安全管理平台发送的流量转发路径，业务流量的特征，安全产品的属性信息；根据流量转发路径，业务流量的特征，安全产品的属性信息生成业务编排流表；将业务编排流表发送至OVS交换机，以使OVS交换机根据业务编排流表对业务流量在目标安全产品间进行转发。本发明的方法中，通过OVS交换机直接实现了业务流量在目标安全产品间的转发，无需通过虚拟路由器和多个bridge，使得安全资源池的内部网络结构简单，降低了系统资源消耗，减少了网段数量，维护更加简单，缓解了现有的方法中，安全资源池的内部网络结构复杂，资源消耗大，网段数量多，维护困难的技术问题。

技术领域

本发明涉及通信的技术领域，尤其是涉及一种安全资源池实现租户业务流量编排的方法、装置及电子设备。

背景技术

随着计算、存储、网络虚拟化的逐步成熟，各种公有云、私有云开始大规模的部署，如何保证云上租户的安全成为网路安全厂商迫切需要解决的问题。当前国内主流安全厂商的做法是建立一个独立于云平台本身计算网络、存储资源池的安全资源池。打通云平台上租户的网络和安全资源池内租户的网络，允许租户自定义流量转发路径，保证不同租户之间的流量隔离，这是当前安全厂商面临的新挑战。

当前存在的一种实现租户业务流量编排的方案是：安全管理平台给每个租户创建一个虚拟路由器，把租户创建的安全产品和租户虚拟路由器桥接到同一个bridge上，安全管理平台通过虚拟路由器的API接口下发策略路由，通过合理设计策略路由的应用接口和匹配条件，可以实现流量按特定顺序通过安全产品防护。在该方法中，策略路由需要应用在网络设备的三层接口上，每个流量防护类安全产品都需要由策略路由将流量牵引到自身位置处来处理，因此每个流量防护类的安全产品必须都占用一个独立的网段，否则无法配置策略路由，这样会大量增加网络中的网段数量，维护困难；由于linux不允许安全产品直接桥接，所以安全产品和虚拟路由器需要通过一个bridge连接，当创建了很多安全产品时，对应的就存在很多的 bridge，以使安全产品和虚拟路由器之间建立连接，这种情况下多个bridge 占用的系统资源消耗过大，网络中间层太多，结构复杂。

综上，现有的业务流量编排方法中，安全资源池的内部网络结构复杂，资源消耗大，网段数量多，维护困难。

发明内容

有鉴于此，本发明的目的在于提供安全资源池实现租户业务流量编排的方法、装置及电子设备，以缓解现有的业务流量编排方法中，安全资源池的内部网络结构复杂，资源消耗大，网段数量多，维护困难的技术问题。

第一方面，本发明实施例提供了一种安全资源池实现租户业务流量编排的方法，所述方法包括：

接收安全管理平台发送的以下信息：流量转发路径，业务流量的特征，安全产品的属性信息，其中，所述流量转发路径表示业务流量需要经过的目标安全产品；

根据所述流量转发路径，所述业务流量的特征，所述安全产品的属性信息生成业务编排流表，其中，所述业务编排流表用于表示所述业务流量的转发规则；

将所述业务编排流表发送至OVS交换机，以使所述OVS交换机根据所述业务编排流表对所述业务流量在所述目标安全产品间进行转发。

结合第一方面，本发明实施例提供了第一方面的第一种可能的实施方式，其中，所述业务流量的特征包括：自定义业务流量特征，自带业务流量特征，所述自定义业务流量特征包括：自定义IP地址，自定义端口号，所述自带业务流量特征至少包括：所述业务流量的mac地址，所述属性信息至少包括：所述安全产品的vlan标签，所述安全产品的mac地址。

结合第一方面，本发明实施例提供了第一方面的第二种可能的实施方式，其中，所述业务编排流表包括第一业务编排流表，第二业务编排流表，第三业务编排流表，

其中，所述第一业务编排流表包括多条第一规则和第一缺省项流表，每条第一规则包括：第一匹配项和第一动作项；