[发明专利]一种安全资源池的实现方法及系统

说明书

本发明实施例提供了一种安全资源池的实现方法及系统，用于提高了安全资源池对网络变更的适应性及配置的灵活性。本发明实施例中的安全资源池中设置有独立的网络对接设备及第一虚拟交换机，网络对接设备实现了与用户侧网络独立对接功能，第一虚拟交换机独立实现了安全服务链引流功能，实现了网络对接与安全资源池服务链的引流策略功能的解耦，提高了安全资源池对网络变更的适应性，其次，安全服务链中的引流策略可以由至少两个匹配域字段进行的多维度配置，提高了安全资源池配置的灵活性。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种安全资源池的实现方法及系统。

背景技术

安全资源池为物理或虚拟安全功能组件的集合，安全功能组件的功能可以包括防火墙、VPN、负载均衡、广域网加速、上网行为控制、堡垒机以及入侵检测/防御等。随着安全资源池的概念被越来越多的用户所认可，安全资源池的部署案例也逐渐增多起来，安全资源池部署过程中，安全资源池的引流是关键。

而目前主要的安全资源池的引流方法(如附图1所示)是通过策略路由进行引流，其中，针对南北向流量，是在客户核心路由器处将流量通过策略路由引到安全资源池进行检测、清洗以及加密或解密。安全资源池内一般是通过一层虚拟/物理路由或两层虚拟/物理路由进行再次引流操作，如果是两层虚拟/物理路由(如附图2所示)，第一次路由根据数据包租户ID(IP网段、VLAN ID等)，将流量引导至不同租户的安全资源池路由网关(不同的第二层路由)，由这个网关通过策略路由实现安全服务链，即让流量按顺序依次经过不同安全功能组件。如果只有一层虚拟/物理路由(如附图3所示)，则直接根据租户ID，实现安全服务链。

现有方案中的这种安全资源池的引流方法，主要有以下的弊端：在安全资源池侧，因为网络对接功能及安全资源池服务链的引流策略功能都是通过安全资源池路由网关来实现的，故该安全资源池引流方法的网络对接部分和安全服务链引流紧密耦合，当用户的网络场景改变，需要改变网络对接部分时，安全服务链也要根据网络对接部分的改变重新部署，才能满足新场景下的引流需求，对网络变更的适应性较差，其次，策略路由往往是目的地址路由或源地址在一个维度上配置引流策略，网关引流的策略不灵活。

发明内容

本发明实施例提供了一种安全资源池的实现方法及系统，用于提高了安全资源池对网络变更的适应性及配置的灵活性。

本发明实施例第一方面提供了一种安全资源池的实现方法，其特征在于，包括：

网络对接设备接收用户侧的目标流量包；

所述网络对接设备将所述目标流量包的五元组与自身存储的转发表进行匹配，以确定所述目标流量包对应的交换机目标转发端口，所述转发表指示五元组与交换机转发端口的对应关系；

所述网络对接设备将所述目标流量包转发给与所述目标转发端口连接的第一虚拟交换机；

所述第一虚拟交换机解析所述目标流量包中的匹配域字段，所述目标流量包包括至少两个匹配域字段；

所述第一虚拟交换机根据所述匹配域字段与本地存储的流表进行匹配，以确定所述目标流量包对应的安全服务链，所述流表指示预置类型的匹配域字段与安全服务链的对应关系，所述安全服务链指示对应的流量包按照预定的顺序经过安全资源池中预置数量的安全功能组件；

所述第一虚拟交换机根据安全服务链对所述目标流量包进行安全引流，以完成对所述目标流量包的清洗。

结合第一方面，在第一方面的第一种可能的实施方式中，所述匹配域字段包括但不限于：交换机入端口、源MAC地址、目的MAC地址、以太网类型、以太网标签、虚拟局域网VLAN优先级、源IP、目的IP、IP协议字段、IP服务类型、TCP/UDP源端口号、TCP/UDP目的端口号。

结合第一方面的第一种可能的实施方式，在第一方面的第二种可能的实施方式中，所述网络对接设备包括：