[发明专利]一种面向用户需求的安全功能服务网系统及其实现方法

说明书

本发明公开了一种面向用户需求的安全功能服务网系统及其实现方法，方法包括：对集群内资源进行统计分析，得到全局信息；在云环境中建立多个虚拟网络功能资源池，对虚拟网络功能Pod进行处理；选择对应的虚拟网络功能资源池，生成安全策略有序集合；在对应虚拟网络功能资源池中选择虚拟网络功能Pod，对安全策略有序集合进行动态调整，生成部署策略；将部署策略传输至云环境的SDN控制器；SDN控制器根据安全策略有序集合下发对应流表；根据流表对来自云环境外部以及服务功能网各节点之间的数据流量进行转发。本发明提高了安全性，并且有助于提高网络防御效率，可广泛应用于网络安全技术领域。

技术领域

本发明涉及网络安全技术领域，尤其是一种面向用户需求的安全功能服务网系统及其实现方法。

背景技术

近年来互联网业务飞速发展，网络应用种类也日趋多样化，传统数据中心网络架构因其部署慢、拓展难等缺点已越来越赶不上网络规模扩大的步伐。云计算数据中心这个新的体系架构凭借其可靠性、高伸缩性、按需服务等优点，迅速成长为众多企业承载网络业务的解决方案。但是云计算服务的广泛应用也带来了一系列的问题，在将计算、存储、网络等资源与物理设备进行解耦的同时，云环境的传统网络安全边界也随之瓦解。

随着两大关键技术，软件定义网络(Software Defined Networking,SDN)和网络功能虚拟化(Networking Function Virtualization，NFV)技术的逐步成熟与发展，为云计算所面临的安全问题提供了一种新的解决思路。NFV技术将团简化的网络安全功能与专有网络安全设备进行解耦与封装，SDN技术通过将数据转发过程中的数据平面和控制平面进行解耦完成网络流量的调度。SDN和NFV的协同实现，将网络流量遵循一定次序流经虚拟化后的虚拟网络安全功能节点，如虚拟防火墙、虚拟深度包解析等，构建一条服务功能链(Service Function Chain，SFC)对网络流量进行处理，从而向用户提供稳定、安全、快捷的网络报文交付。

然而，云环境中的网络安全态势复杂多变，网络攻击可能来源于云环境中的各个方向，攻击类型也变化多端，传统的功能服务链难以对云环境中复杂的网络安全态势进行高效、有效处理和防御。

发明内容

有鉴于此，本发明实施例提供一种安全性高的面向用户需求的安全功能服务网系统及其实现方法。

本发明的一方面提供了一种面向用户需求的安全功能服务网系统，包括：

全局资源监控模块，用于对集群内资源进行统计分析，得到全局信息，所述集群内的资源包括但不限于云平台计算资源、网络资源、存储资源；

服务资源管理模块，用于在云环境中建立多个虚拟网络功能资源池，并根据所述全局资源监控模块中的全局信息对虚拟网络功能Pod进行创建、更新或删除处理；

安全策略定制模块，用于根据用户提出的不同业务需求和安全等级需求选择对应的虚拟网络功能资源池，生成安全策略有序集合；

服务功能部署模块，用于根据所述安全策略有序集合，在对应虚拟网络功能资源池中依据优先级选择虚拟网络功能Pod，并根据所述全局信息对所述安全策略有序集合进行动态调整，生成部署策略；

网络流量调度模块，用于将所述部署策略传输至云环境的SDN控制器；所述SDN控制器根据所述安全策略有序集合下发对应流表至OpenvSwitch；所述OpenvSwitch根据流表对来自云环境外部以及服务功能网各节点之间的数据流量进行转发。

优选地，所述虚拟网络功能资源池中运行一个或一个以上相同的虚拟网络功能Pod；其中，所述虚拟网络功能Pod内运行一个或一个以上相同的容器；所述容器运行对应类型的安全功能。

优选地，所述服务资源管理模块，还用于为每个所述虚拟网络功能资源池中的虚拟网络功能Pod维护一张状态表；其中，所述状态表中的表项包括资源池ID、虚拟网络功能Pod ID、创建时间戳、占用状态以及生存时间。