一種面向idc業(yè)務(wù)場景的安全服務(wù)編排方法及網(wǎng)絡(luò)結(jié)構(gòu)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于網(wǎng)絡(luò)工程技術(shù)領(lǐng)域，尤其涉及一種面向IDC業(yè)務(wù)場景的安全服務(wù)編排方法及網(wǎng)絡(luò)結(jié)構(gòu)。
【背景技術(shù)】
[0002]隨著網(wǎng)絡(luò)云計(jì)算技術(shù)的迅速發(fā)展，對于云數(shù)據(jù)中心的安全要求也越來越高。從安全需求來看，云數(shù)據(jù)中心要求安全防護(hù)可以更加靈活、支持個(gè)性定制。消費(fèi)者不管理或控制任何云計(jì)算基礎(chǔ)設(shè)施，但能控制操作系統(tǒng)的選擇、儲(chǔ)存空間、部署的應(yīng)用。同時(shí)，用戶可以根據(jù)自己的安全需求來選擇購買合適的安全服務(wù)。比如，有的用戶對安全沒有要求，就無需購買安全服務(wù)。有的用戶希望部署最基本的防火墻，可以根據(jù)需要選擇不同價(jià)位對應(yīng)不同能力的防火墻。有的用戶對安全有很高的要求，希望部署多類型的安全設(shè)備，如防火墻、病毒過濾、應(yīng)用防護(hù)等。很顯然，為每個(gè)用戶單獨(dú)部署一臺(tái)或多臺(tái)安全設(shè)備是不現(xiàn)實(shí)的。
[0003]通過一種面向IDC業(yè)務(wù)場景的安全服務(wù)編排方法實(shí)現(xiàn)安全資源調(diào)度與安全服務(wù)控制功能，可以為云數(shù)據(jù)中心提供安全功能靈活部署、個(gè)性化定制的一體化解決方案。用戶可以通過定義不同的安全應(yīng)用，來滿足不同的安全防護(hù)需求。根據(jù)租戶的具體業(yè)務(wù)來靈活控制安全功能，可以避免重復(fù)過濾與管控、降低成本，是新型IDC服務(wù)的切實(shí)需求。

【發(fā)明內(nèi)容】

[0004]針對上述問題，本發(fā)明提出了一種面向IDC業(yè)務(wù)場景的安全服務(wù)編排方法及網(wǎng)絡(luò)結(jié)構(gòu)。
[0005]—種面向IDC業(yè)務(wù)場景的安全服務(wù)編排方法，包括:
[0006]步驟1、將多種網(wǎng)絡(luò)安全設(shè)備連接到一臺(tái)或多臺(tái)SDN交換機(jī)上，共同形成一個(gè)安全資源池；
[0007]步驟2、安全控制器發(fā)出安全控制指令操作SDN交換機(jī)，根據(jù)不同用戶安全需求將網(wǎng)絡(luò)流量牽引到指定的網(wǎng)絡(luò)安全設(shè)備進(jìn)行安全處理；
[0008]步驟3、安全控制器對網(wǎng)絡(luò)安全設(shè)備進(jìn)行策略集中管理和狀態(tài)實(shí)時(shí)監(jiān)控，當(dāng)網(wǎng)絡(luò)安全設(shè)備出現(xiàn)異常時(shí)，安全控制器發(fā)出安全策略指令，及時(shí)進(jìn)行均衡負(fù)載或流量迀移，確保不影響正常的網(wǎng)絡(luò)通信。
[0009]所述多種網(wǎng)絡(luò)安全設(shè)備包括:UTM設(shè)備、IDS設(shè)備、IPS設(shè)備、WAF設(shè)備。
[0010]所述安全控制器發(fā)出安全控制指令采用OpenFlow協(xié)議。
[0011]所述步驟2中的安全處理包括:訪問控制、攻擊檢查、攻擊過濾、內(nèi)容審計(jì)。
[0012]一種面向IDC業(yè)務(wù)場景的安全服務(wù)網(wǎng)絡(luò)結(jié)構(gòu)，包括:互聯(lián)網(wǎng)、第一 SDN交換機(jī)、安全控制器、UTM設(shè)備、IDS設(shè)備、IPS設(shè)備、WAF設(shè)備、第二 SDN交換機(jī)，其中，互聯(lián)網(wǎng)與第一 SDN交換機(jī)相連，第一 SDN交換機(jī)與UTM設(shè)備、IDS設(shè)備、IPS設(shè)備、WAF設(shè)備組成的安全流平臺(tái)相連，安全控制器與安全流平臺(tái)相連，安全流平臺(tái)與第二 SDN交換機(jī)相連，第二 SDN交換機(jī)與不同租戶虛擬網(wǎng)絡(luò)相連。
[0013]所述安全控制器發(fā)出安全控制指令操作第一 SDN交換機(jī)，根據(jù)不同用戶安全需求將網(wǎng)絡(luò)流量牽引到指定的網(wǎng)絡(luò)安全設(shè)備進(jìn)行安全處理，包括:訪問控制、攻擊檢查、攻擊過濾、內(nèi)容審計(jì)；安全控制指令采用OpenFlow協(xié)議。
[0014]所述安全控制器對網(wǎng)絡(luò)安全設(shè)備進(jìn)行策略集中管理和狀態(tài)實(shí)時(shí)監(jiān)控，當(dāng)網(wǎng)絡(luò)安全設(shè)備出現(xiàn)異常時(shí)，安全控制器發(fā)出安全策略指令，及時(shí)進(jìn)行均衡負(fù)載或流量迀移，確保不影響正常的網(wǎng)絡(luò)通信。
[0015]本發(fā)明的有益效果在于:通過一種面向IDC業(yè)務(wù)場景的安全服務(wù)編排方法實(shí)現(xiàn)安全資源調(diào)度與安全服務(wù)控制功能，可以為云數(shù)據(jù)中心提供安全功能靈活部署、個(gè)性化定制的一體化解決方案。用戶可以通過定義不同的安全應(yīng)用，來滿足不同的安全防護(hù)需求。
【附圖說明】
[0016]圖1為本發(fā)明的一種面向IDC業(yè)務(wù)場景的安全服務(wù)網(wǎng)絡(luò)結(jié)構(gòu)示意圖。
【具體實(shí)施方式】
[0017]下面結(jié)合附圖，對優(yōu)選實(shí)施例作詳細(xì)說明。
[0018]本發(fā)明提出了一種面向IDC業(yè)務(wù)場景的安全服務(wù)編排方法，如圖1所示，包括:
[0019]步驟1、安全流平臺(tái)部署在IDC(Internet Data Center，互聯(lián)網(wǎng)數(shù)據(jù)中心)的出入口，通過把一臺(tái)或多臺(tái) UTM (Unified Threat Management，安全網(wǎng)關(guān))、IDS (Intrus1nDetect1n Systems，入侵檢測系統(tǒng))、IPS (Intrus1n Prevent1n System,入侵防御系統(tǒng))、WAF(Web Applicat1n Firewall，網(wǎng)站應(yīng)用級入侵防御系統(tǒng))等安全設(shè)備連接到一臺(tái)或多臺(tái)SDN(Software Defined Network,軟件定義網(wǎng)絡(luò))交換機(jī)上，形成一個(gè)安全資源池；
[0020]步驟2、安全控制器發(fā)出安全控制指令操作SDN交換機(jī)，根據(jù)不同用戶安全需求將網(wǎng)絡(luò)流量牽引到指定的網(wǎng)絡(luò)安全設(shè)備進(jìn)行安全處理；安全控制提供基于OpenFlow協(xié)議的指令，即一種支持包括輸入端口、源/目的以太網(wǎng)地址、以太網(wǎng)協(xié)議、VLAN (Virtual LocalArea Network，虛擬局域網(wǎng))優(yōu)先級、VLAN ID、源/目的IPv4地址、IP協(xié)議、IP ToS位、TCP/UDP源/目的端口號(hào)等多匹配域的轉(zhuǎn)發(fā)表；安全處理，包括:訪問控制、攻擊檢查、攻擊過濾、內(nèi)容審計(jì)；
[0021]步驟3、安全策略指令對安全設(shè)備進(jìn)行策略集中管理和狀態(tài)實(shí)時(shí)監(jiān)控，當(dāng)設(shè)備出現(xiàn)異常時(shí)，能及時(shí)進(jìn)行均衡負(fù)載或流量迀移，確保不影響正常的網(wǎng)絡(luò)通信，提高安全設(shè)備整體防護(hù)能力和可靠性。
[0022]以上所述，僅為本發(fā)明較佳的【具體實(shí)施方式】，但本發(fā)明的保護(hù)范圍并不局限于此，任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi)，可輕易想到的變化或替換，都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)。因此，本發(fā)明的保護(hù)范圍應(yīng)該以權(quán)利要求的保護(hù)范圍為準(zhǔn)。
【主權(quán)項(xiàng)】
1.一種面向IDC業(yè)務(wù)場景的安全服務(wù)編排方法，其特征在于，包括: 步驟1、將多種網(wǎng)絡(luò)安全設(shè)備連接到一臺(tái)或多臺(tái)SDN交換機(jī)上，共同形成一個(gè)安全資源池； 步驟2、安全控制器發(fā)出安全控制指令操作SDN交換機(jī)，根據(jù)不同用戶安全需求將網(wǎng)絡(luò)流量牽引到指定的網(wǎng)絡(luò)安全設(shè)備進(jìn)行安全處理； 步驟3、安全控制器對網(wǎng)絡(luò)安全設(shè)備進(jìn)行策略集中管理和狀態(tài)實(shí)時(shí)監(jiān)控，當(dāng)網(wǎng)絡(luò)安全設(shè)備出現(xiàn)異常時(shí)，安全控制器發(fā)出安全策略指令，及時(shí)進(jìn)行均衡負(fù)載或流量迀移，確保不影響正常的網(wǎng)絡(luò)通信。
2.根據(jù)權(quán)利要求1所述方法，其特征在于，所述多種網(wǎng)絡(luò)安全設(shè)備包括:UTM設(shè)備、IDS設(shè)備、IPS設(shè)備、WAF設(shè)備。
3.根據(jù)權(quán)利要求1所述方法，其特征在于，所述安全控制器發(fā)出安全控制指令采用OpenFlow 協(xié)議。
4.根據(jù)權(quán)利要求1所述方法，其特征在于，所述步驟2中的安全處理包括:訪問控制、攻擊檢查、攻擊過濾、內(nèi)容審計(jì)。
5.一種面向IDC業(yè)務(wù)場景的安全服務(wù)網(wǎng)絡(luò)結(jié)構(gòu)，其特征在于，包括:互聯(lián)網(wǎng)、第一 SDN交換機(jī)、安全控制器、UTM設(shè)備、IDS設(shè)備、IPS設(shè)備、WAF設(shè)備、第二 SDN交換機(jī)，其中，互聯(lián)網(wǎng)與第一 SDN交換機(jī)相連，第一 SDN交換機(jī)與UTM設(shè)備、IDS設(shè)備、IPS設(shè)備、WAF設(shè)備組成的安全流平臺(tái)相連，安全控制器與安全流平臺(tái)相連，安全流平臺(tái)與第二 SDN交換機(jī)相連，第二SDN交換機(jī)與不同租戶虛擬網(wǎng)絡(luò)相連。
6.根據(jù)權(quán)利要求5所述網(wǎng)絡(luò)結(jié)構(gòu)，其特征在于，所述安全控制器發(fā)出安全控制指令操作第一 SDN交換機(jī)，根據(jù)不同用戶安全需求將網(wǎng)絡(luò)流量牽引到指定的網(wǎng)絡(luò)安全設(shè)備進(jìn)行安全處理，包括:訪問控制、攻擊檢查、攻擊過濾、內(nèi)容審計(jì)；安全控制指令采用OpenFlow協(xié)議。
7.根據(jù)權(quán)利要求5所述網(wǎng)絡(luò)結(jié)構(gòu)，其特征在于，所述安全控制器對網(wǎng)絡(luò)安全設(shè)備進(jìn)行策略集中管理和狀態(tài)實(shí)時(shí)監(jiān)控，當(dāng)網(wǎng)絡(luò)安全設(shè)備出現(xiàn)異常時(shí)，安全控制器發(fā)出安全策略指令，及時(shí)進(jìn)行均衡負(fù)載或流量迀移，確保不影響正常的網(wǎng)絡(luò)通信。
【專利摘要】本發(fā)明屬于網(wǎng)絡(luò)工程技術(shù)領(lǐng)域，尤其涉及一種面向IDC業(yè)務(wù)場景的安全服務(wù)編排方法及網(wǎng)絡(luò)結(jié)構(gòu)，將安全流平臺(tái)部署在IDC的出入口，通過把一臺(tái)或多臺(tái)UTM、IDS/IPS、WAF等安全設(shè)備連接到一臺(tái)或多臺(tái)SDN交換機(jī)上，形成一個(gè)安全資源池；安全控制指令操作SDN交換機(jī)，將網(wǎng)絡(luò)流量牽引到指定的安全設(shè)備進(jìn)行安全處理，包括：訪問控制、攻擊檢查、攻擊過濾、內(nèi)容審計(jì)等；安全策略指令對安全設(shè)備進(jìn)行策略集中管理和狀態(tài)實(shí)時(shí)監(jiān)控，當(dāng)設(shè)備出現(xiàn)異常時(shí)，能及時(shí)進(jìn)行均衡負(fù)載或流量遷移，確保不影響正常的網(wǎng)絡(luò)通信。
【IPC分類】H04L29-06
【公開號(hào)】CN104618379
【申請?zhí)枴緾N201510059616
【發(fā)明人】程遠(yuǎn), 李震, 宋陽, 楊虹
【申請人】北京天地互連信息技術(shù)有限公司
【公開日】2015年5月13日
【申請日】2015年2月4日