一種面向idc業務場景的安全服務編排方法及網絡結構的制作方法
【技術領域】
[0001]本發明屬于網絡工程技術領域,尤其涉及一種面向IDC業務場景的安全服務編排方法及網絡結構。
【背景技術】
[0002]隨著網絡云計算技術的迅速發展,對于云數據中心的安全要求也越來越高。從安全需求來看,云數據中心要求安全防護可以更加靈活、支持個性定制。消費者不管理或控制任何云計算基礎設施,但能控制操作系統的選擇、儲存空間、部署的應用。同時,用戶可以根據自己的安全需求來選擇購買合適的安全服務。比如,有的用戶對安全沒有要求,就無需購買安全服務。有的用戶希望部署最基本的防火墻,可以根據需要選擇不同價位對應不同能力的防火墻。有的用戶對安全有很高的要求,希望部署多類型的安全設備,如防火墻、病毒過濾、應用防護等。很顯然,為每個用戶單獨部署一臺或多臺安全設備是不現實的。
[0003]通過一種面向IDC業務場景的安全服務編排方法實現安全資源調度與安全服務控制功能,可以為云數據中心提供安全功能靈活部署、個性化定制的一體化解決方案。用戶可以通過定義不同的安全應用,來滿足不同的安全防護需求。根據租戶的具體業務來靈活控制安全功能,可以避免重復過濾與管控、降低成本,是新型IDC服務的切實需求。
【發明內容】
[0004]針對上述問題,本發明提出了一種面向IDC業務場景的安全服務編排方法及網絡結構。
[0005]—種面向IDC業務場景的安全服務編排方法,包括:
[0006]步驟1、將多種網絡安全設備連接到一臺或多臺SDN交換機上,共同形成一個安全資源池;
[0007]步驟2、安全控制器發出安全控制指令操作SDN交換機,根據不同用戶安全需求將網絡流量牽引到指定的網絡安全設備進行安全處理;
[0008]步驟3、安全控制器對網絡安全設備進行策略集中管理和狀態實時監控,當網絡安全設備出現異常時,安全控制器發出安全策略指令,及時進行均衡負載或流量迀移,確保不影響正常的網絡通信。
[0009]所述多種網絡安全設備包括:UTM設備、IDS設備、IPS設備、WAF設備。
[0010]所述安全控制器發出安全控制指令采用OpenFlow協議。
[0011]所述步驟2中的安全處理包括:訪問控制、攻擊檢查、攻擊過濾、內容審計。
[0012]一種面向IDC業務場景的安全服務網絡結構,包括:互聯網、第一 SDN交換機、安全控制器、UTM設備、IDS設備、IPS設備、WAF設備、第二 SDN交換機,其中,互聯網與第一 SDN交換機相連,第一 SDN交換機與UTM設備、IDS設備、IPS設備、WAF設備組成的安全流平臺相連,安全控制器與安全流平臺相連,安全流平臺與第二 SDN交換機相連,第二 SDN交換機與不同租戶虛擬網絡相連。
[0013]所述安全控制器發出安全控制指令操作第一 SDN交換機,根據不同用戶安全需求將網絡流量牽引到指定的網絡安全設備進行安全處理,包括:訪問控制、攻擊檢查、攻擊過濾、內容審計;安全控制指令采用OpenFlow協議。
[0014]所述安全控制器對網絡安全設備進行策略集中管理和狀態實時監控,當網絡安全設備出現異常時,安全控制器發出安全策略指令,及時進行均衡負載或流量迀移,確保不影響正常的網絡通信。
[0015]本發明的有益效果在于:通過一種面向IDC業務場景的安全服務編排方法實現安全資源調度與安全服務控制功能,可以為云數據中心提供安全功能靈活部署、個性化定制的一體化解決方案。用戶可以通過定義不同的安全應用,來滿足不同的安全防護需求。
【附圖說明】
[0016]圖1為本發明的一種面向IDC業務場景的安全服務網絡結構示意圖。
【具體實施方式】
[0017]下面結合附圖,對優選實施例作詳細說明。
[0018]本發明提出了一種面向IDC業務場景的安全服務編排方法,如圖1所示,包括:
[0019]步驟1、安全流平臺部署在IDC(Internet Data Center,互聯網數據中心)的出入口,通過把一臺或多臺 UTM (Unified Threat Management,安全網關)、IDS (Intrus1nDetect1n Systems,入侵檢測系統)、IPS (Intrus1n Prevent1n System,入侵防御系統)、WAF(Web Applicat1n Firewall,網站應用級入侵防御系統)等安全設備連接到一臺或多臺SDN(Software Defined Network,軟件定義網絡)交換機上,形成一個安全資源池;
[0020]步驟2、安全控制器發出安全控制指令操作SDN交換機,根據不同用戶安全需求將網絡流量牽引到指定的網絡安全設備進行安全處理;安全控制提供基于OpenFlow協議的指令,即一種支持包括輸入端口、源/目的以太網地址、以太網協議、VLAN (Virtual LocalArea Network,虛擬局域網)優先級、VLAN ID、源/目的IPv4地址、IP協議、IP ToS位、TCP/UDP源/目的端口號等多匹配域的轉發表;安全處理,包括:訪問控制、攻擊檢查、攻擊過濾、內容審計;
[0021]步驟3、安全策略指令對安全設備進行策略集中管理和狀態實時監控,當設備出現異常時,能及時進行均衡負載或流量迀移,確保不影響正常的網絡通信,提高安全設備整體防護能力和可靠性。
[0022]以上所述,僅為本發明較佳的【具體實施方式】,但本發明的保護范圍并不局限于此,任何熟悉本技術領域的技術人員在本發明揭露的技術范圍內,可輕易想到的變化或替換,都應涵蓋在本發明的保護范圍之內。因此,本發明的保護范圍應該以權利要求的保護范圍為準。
【主權項】
1.一種面向IDC業務場景的安全服務編排方法,其特征在于,包括: 步驟1、將多種網絡安全設備連接到一臺或多臺SDN交換機上,共同形成一個安全資源池; 步驟2、安全控制器發出安全控制指令操作SDN交換機,根據不同用戶安全需求將網絡流量牽引到指定的網絡安全設備進行安全處理; 步驟3、安全控制器對網絡安全設備進行策略集中管理和狀態實時監控,當網絡安全設備出現異常時,安全控制器發出安全策略指令,及時進行均衡負載或流量迀移,確保不影響正常的網絡通信。
2.根據權利要求1所述方法,其特征在于,所述多種網絡安全設備包括:UTM設備、IDS設備、IPS設備、WAF設備。
3.根據權利要求1所述方法,其特征在于,所述安全控制器發出安全控制指令采用OpenFlow 協議。
4.根據權利要求1所述方法,其特征在于,所述步驟2中的安全處理包括:訪問控制、攻擊檢查、攻擊過濾、內容審計。
5.一種面向IDC業務場景的安全服務網絡結構,其特征在于,包括:互聯網、第一 SDN交換機、安全控制器、UTM設備、IDS設備、IPS設備、WAF設備、第二 SDN交換機,其中,互聯網與第一 SDN交換機相連,第一 SDN交換機與UTM設備、IDS設備、IPS設備、WAF設備組成的安全流平臺相連,安全控制器與安全流平臺相連,安全流平臺與第二 SDN交換機相連,第二SDN交換機與不同租戶虛擬網絡相連。
6.根據權利要求5所述網絡結構,其特征在于,所述安全控制器發出安全控制指令操作第一 SDN交換機,根據不同用戶安全需求將網絡流量牽引到指定的網絡安全設備進行安全處理,包括:訪問控制、攻擊檢查、攻擊過濾、內容審計;安全控制指令采用OpenFlow協議。
7.根據權利要求5所述網絡結構,其特征在于,所述安全控制器對網絡安全設備進行策略集中管理和狀態實時監控,當網絡安全設備出現異常時,安全控制器發出安全策略指令,及時進行均衡負載或流量迀移,確保不影響正常的網絡通信。
【專利摘要】本發明屬于網絡工程技術領域,尤其涉及一種面向IDC業務場景的安全服務編排方法及網絡結構,將安全流平臺部署在IDC的出入口,通過把一臺或多臺UTM、IDS/IPS、WAF等安全設備連接到一臺或多臺SDN交換機上,形成一個安全資源池;安全控制指令操作SDN交換機,將網絡流量牽引到指定的安全設備進行安全處理,包括:訪問控制、攻擊檢查、攻擊過濾、內容審計等;安全策略指令對安全設備進行策略集中管理和狀態實時監控,當設備出現異常時,能及時進行均衡負載或流量遷移,確保不影響正常的網絡通信。
【IPC分類】H04L29-06
【公開號】CN104618379
【申請號】CN201510059616
【發明人】程遠, 李震, 宋陽, 楊虹
【申請人】北京天地互連信息技術有限公司
【公開日】2015年5月13日
【申請日】2015年2月4日