[发明专利]安全能力扩展方法、装置、电子设备及存储介质

说明书

本申请提供一种安全能力扩展方法、装置、电子设备及存储介质，涉及网络安全技术领域。所述方法包括：加载一个或多个虚拟的安全网元；将所述一个或多个虚拟的安全网元组成第一安全服务链；在所述第一安全服务链的性能数据低于预设性能阈值时，基于每个安全网元的性能数据确定安全性能不足的目标安全网元；创建指定安全网元组，将所述第一安全服务链中的所述目标安全网元替换为所述指定安全网元组，以得到第二安全服务链。所述方法在虚拟安全网元性能不足时通过安全网元组的分流对其进行自动化地动态扩展，提高了其安全能力扩展的效率及其安全性能。

技术领域

本申请涉及网络安全技术领域，具体而言，涉及一种安全能力扩展方法、装置、电子设备及存储介质。

背景技术

随着虚拟化技术的发展，安全防护的形态和需求，从传统机房的物理服务器发展到云环境下的虚拟网络多租户安全云服务。例如安全资源池管理，安全资源池是基于软件定义安全的多租户管理平台。

安全资源池需要建立完善的安全防护能体系，其中多虚拟化安全网元服务链的灵活编排起到了至关重要的作用。可动态扩展的安全能力，是提高业务可靠性、增强网元弹性能力的一个重要体现。

现有技术未能完全实现自动化的性能精细定位和动态弹性扩展，通常占用太多的物理资源，需要管理员手动去添加、修改或者增加安全能力，对管理员的要求更高，也更容易造成失误、损失与资源浪费，存在安全能力扩展效率低、安全性能差的问题。

发明内容

有鉴于此，本申请实施例的目的在于提供一种安全能力扩展方法、装置、电子设备及存储介质，以改善现有技术中存在的安全能力扩展效率低、安全性能差的问题。

本申请实施例提供了一种安全能力扩展方法，所述方法包括：加载一个或多个虚拟的安全网元；将所述一个或多个虚拟的安全网元组成第一安全服务链；在所述第一安全服务链的性能数据低于预设性能阈值时，基于每个安全网元的性能数据确定安全性能不足的目标安全网元；创建指定安全网元组，将所述第一安全服务链中的所述目标安全网元替换为所述指定安全网元组，以得到第二安全服务链。

在上述实现方式中，基于安全网元的性能数据对其安全性能是否满足需求进行实时判定，实现了自动化的安全性能定位，从而能够在不需要人为参与操作的情况下迅速判断是否需要进行安全能力扩展，提高了安全能力扩展的效率，减少了人力损耗；同时在安全网元的安全性能不足时采用安全网元组对其进行替换，能够对原流量进行分流及负载均衡等操作，提高了服务链的安全性能。

可选地，所述将所述一个或多个虚拟的安全网元组成第一安全服务链，包括：配置报文匹配规则，所述报文匹配规则用于将指定报文传入所述第一安全服务链；设置所述一个或多个虚拟的安全网元的数据传输关系，所述数据传输关系用于使所述指定报文按照指定路径通过所述一个或多个虚拟的安全网元。

在上述实现方式中，通过虚拟安全网元构建安全服务链，通过安全服务链中一种或多种类型的安全网元对流量进行多方面的安全检测，提高了安全性能。

可选地，所述加载一个或多个虚拟的安全网元，包括：通过虚拟化软件加载所述一个或多个虚拟的安全网元；所述配置报文匹配规则，包括：通过OpenvSwitch基于匹配规则流表配置所述报文匹配规则；所述设置所述一个或多个虚拟的安全网元的数据传输关系，包括：通过OpenvSwitch配置每个安全网元的虚拟桥内端口，用于使所述指定报文按照指定路径通过所述一个或多个虚拟的安全网元。

在上述实现方式中，通过虚拟化软件和OpenvSwitch对安全服务链及安全网元进行相关配置，由于OpenvSwitch的开源特性，提高了安全性能扩展方法的适用性。