【技术实现步骤摘要】
一种安全服务的设置方法及装置
本申请涉及云计算
,尤其涉及一种安全服务的设置方法及装置。
技术介绍
云计算采用虚拟化技术将传统计算、存储、网络变成不同的资源池,云服务平台按照云计算服务模式为云租户(或称“用户”)提供安全服务。随着技术的发展,云服务平台部署了一个标准的专有安全区域,在这个区域内创建虚拟的安全设备,安全设备是指对用户的业务流进行安全处理的设备,主要包括防火墙设备、防病毒设备等防护类设备和扫描类设备、检测类设备等,云服务平台安全运维门户根据这些安全设备可以构建、管理具有不同安全需求的安全资源池,并通过云平台租户门户向用户提供安全服务。在云安全资源池场景下,由于用户业务流(或称“流量”)的安全需求需要安全设备承载,故云服务平台根据安全需求,对安全设备的安全服务进行编排(或称“设置”),编排是指以用户需求为目的,将各种服务或要素进行科学的安排和组织,使各个组成部分平衡协调,生成能够满足用户需求的服务。若该安全需求是单一类型的安全需求,则只需要相应类型的安全设备提供安全服务;通常的做法是,将相应业务流牵引到目标安全设备,即实现一次引流过程,经过目标安全设备的过滤和分析后再发往被防护主机,如目标服务器;若该安全需求是多类型的安全需求,则需要相应多类型的安全设备组合提供安全服务。通常的做法是,按照安全设备的静态顺序让业务流依次通过安全资源池的所有安全设备,即实现多次引流过程,在满足安全需求的安全设备上,安全设备对业务流提供安全服务,在不满足安全需求的安全设备上,安全设备不对业务流提供安全服务,即业务流直接流过。然而,专利技术人发现通过静态顺序的多次...
【技术保护点】
1.一种安全服务的设置方法,其特征在于,所述方法包括:安全服务控制器接收用户的安全服务请求,所述安全服务请求包括安全服务策略和安全服务的执行顺序;根据至少一个宿主机中每个宿主机配置的至少一个安全设备与满足所述安全服务策略的目标安全设备组合中至少一种类型的安全设备,确定目标宿主机和所述目标宿主机上满足所述安全服务策略的目标安全设备序列,所述目标安全设备组合为存储的第一安全设备序列中满足所述安全服务策略的安全设备组合;当所述目标安全设备序列中相邻安全设备被配置在所述目标宿主机上时,根据所述安全服务策略、所述安全服务的执行顺序,设置出所述相邻安全设备间的流量编排路径;根据所述流量编排路径和目标分级流表,将业务流依次牵引至所述各个安全设备,所述目标分级流表是采用预设目的地址修改方式,按照所述安全服务的执行顺序和安全设备的工作状态对所述各个安全设备的目的地址进行修改后的分级流表。
【技术特征摘要】
1.一种安全服务的设置方法,其特征在于,所述方法包括:安全服务控制器接收用户的安全服务请求,所述安全服务请求包括安全服务策略和安全服务的执行顺序;根据至少一个宿主机中每个宿主机配置的至少一个安全设备与满足所述安全服务策略的目标安全设备组合中至少一种类型的安全设备,确定目标宿主机和所述目标宿主机上满足所述安全服务策略的目标安全设备序列,所述目标安全设备组合为存储的第一安全设备序列中满足所述安全服务策略的安全设备组合;当所述目标安全设备序列中相邻安全设备被配置在所述目标宿主机上时,根据所述安全服务策略、所述安全服务的执行顺序,设置出所述相邻安全设备间的流量编排路径;根据所述流量编排路径和目标分级流表,将业务流依次牵引至所述各个安全设备,所述目标分级流表是采用预设目的地址修改方式,按照所述安全服务的执行顺序和安全设备的工作状态对所述各个安全设备的目的地址进行修改后的分级流表。2.如权利要求1所述的方法,其特征在于,根据至少一个宿主机中每个宿主机配置的至少一个安全设备与满足所述安全服务策略的目标安全设备组合中至少一种类型的安全设备,确定目标宿主机和所述目标宿主机上满足所述安全服务策略的目标安全设备序列,包括:根据至少一个宿主机中每个宿主机配置的至少一个安全设备与满足所述安全服务策略的目标安全设备组合中至少一种类型的安全设备,采用第一预设规则算法,确定目标宿主机;根据第二预设规则算法和所述目标宿主机上满足所述安全服务策略的至少一个第二安全设备序列中安全设备的位置信息,确定所述至少一个第二安全设备序列中的目标安全设备序列,所述第二安全设备序列包括至少一种类型的安全设备。3.如权利要求1所述的方法,其特征在于,接收用户的安全服务请求之后,所述方法还包括:获取与所述安全服务控制器通信的主机;将所述主机中物理资源剩余量大于预设资源阈值的至少一个主机确定为至少一个宿主机,所述预设资源阈值为满足配置预设数量个安全设备的物理资源量。4.如权利要求2所述的方法,其特征在于,根据至少一个宿主机中每个宿主机配置的至少一个安全设备的设备信息与满足所述安全服务策略的目标安全设备组合中至少一种类型的安全设备的设备信息,采用第一预设规则算法,确定目标宿主机,包括:将至少一个宿主机中每个宿主机配置的至少一个安全设备与满足所述安全服务策略的目标安全设备组合中至少一种类型的安全设备作交集运算,获取共有的安全设备的第一数量;采用所述第一预设规则算法,对所述每个宿主机配置的至少一个安全设备的第二数量和相应的第一数量进行分值运算,确定目标宿主机。5.如权利要求4所述的方法,其特征在于,获取共有的安全设备的第一数量之前,所述方法还包括:基于所述每个宿主机配置的至少一个安全设备,采用预设添加原则,获取第一安全设备序列,所述第一安全设备序列包括至少一个安全设备组合,每个安全设备组合包括至少一种类型的安全设备;其中,所述预设添加原则为遍历所述每个安全设备组合,且若当前安全设备组合中任一安全设备的类型与待添加的安全设备的类型均不相同,则将所述待添加的安全设备加入所述当前安全设备组合;若所述每个安全设备组合中均包含所述待添加的安全设备的类型,则将所述待添加的安全设备加入新配置的安全设备组合。6.如权利要求4所述的方法,其特征在于,采用第一预设规则算法,对所述每个宿主机配置的至少一个安全设备的第二数量和相应的第一数量进行分值运算,确定目标主机,包括:采用第一预设规则算法,对所述每个宿主机配置的至少一个安全设备的第二数量、所述第二数量的预设权重、相应宿主机对应的第一数量和所述第一数量的预设权重进行分值运算,得到所述每个宿主机的待选分值,所述第二数量的预设权重大于所述第一数量的预设权重;将所述至少一个宿主机中最大待选分值对应的宿主机确定为目标宿主机。7.如权利要求2所述的方法,其特征在于,根据第二预设规则算法和所述目标宿主机上满足所述安全服务策略的至少一个第二安全设备序列中安全设备的位置信息,确定所述至少一个第二安全设备序列中的目标安全设备序列之前,所述方法还包括:获取所述目标宿主机上满足所述安全服务策略的第三安全设备序列,所述第三安全设备序列包括至少一种类型的安全设备集合,每种类型的安全设备集合包括同类型的至少一个安全设备;采用预设排列组合算法,对所述每种类型的安全设备集合进行排列组合运算,得到所述目标宿主机上满足所述安全服务策略的至少一个第二安全设备序列。8.如权利要求2或7所述的方法,其特征在于,根据第二预设规则算法和所述目标宿主机上满足所述安全服务策略的至少一个第二安全设备序列中安全设备的位置信息,确定所述至少一个第二安全设备序列中的目标安全设备序列,包括:采用第二预设规则算法,对待选安全设备序列中至少一种类型的安全设备的位置信息进行分值运算,得到所述待选安全设备序列的待选分值,所述待选安全设备序列为所述第二安全设备序列中的任一序列;将所述至少一个第二安全设备序列中最小待选分值对应的第二安全设备序列确定为目标安全设备序列。9.如权利要求8所述的方法,其特征在于,采用第二预设规则算法,对待选安全设备序列中至少一种类型的安全设备进行分值运算,得到所述待选安全设备序列的待选分值,包括:设置所述待选安全设备序列的初始待选分值;检测所述待选安全设备序列的至少一种类型的安全设备中相邻两种类型的安全设备是否被配置在同一宿主机上;若所述相邻两种类型的安全设备被配置在同一宿主机上,则将所述初始待选分值加第一数值,得到所述相邻两种类型的安全设备的当前待选分值;若所述相邻两种类型的安全设备未被配置在同一宿主机上,则将所述初始待选分值加第二数值,得到所述相邻两种类型的安全设备的当前待选分值,所述第一数值大于所述第二数值;根据所述待选安全设备序列中每对相邻两种类型的安全设备的当前待选分值,采用预设累加算法,获取所述待选安全设备序列的待选分值。10.如权利要求1所述的方法,其特征在于,所述目标分级流表包括互联网协议IP地址类型的分级流表、端口Port类型的分级流表和旁路By-pass类型的分级流表,且所述Port类型的分级流表的优先级大于所述IP地址类型的分级流表的优先级,所述IP地址类型的分级流表的优先级大于所述旁路By-pass类型的分级流表。11.如权利要求1所述的方法,其特征在于,所述方法还包括:当所述相邻安全设备中存在一个安全设备未被配置在所述目标宿主机上时,根据所述安全服务策略、...
【专利技术属性】
技术研发人员:沈辉,何丹丹,李彦斌,
申请(专利权)人:北京神州绿盟信息安全科技股份有限公司,北京神州绿盟科技有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。