一种面向IDC业务场景的安全服务编排方法及网络结构技术

本发明专利技术属于网络工程技术领域，尤其涉及一种面向IDC业务场景的安全服务编排方法及网络结构，将安全流平台部署在IDC的出入口，通过把一台或多台UTM、IDS/IPS、WAF等安全设备连接到一台或多台SDN交换机上，形成一个安全资源池；安全控制指令操作SDN交换机，将网络流量牵引到指定的安全设备进行安全处理，包括：访问控制、攻击检查、攻击过滤、内容审计等；安全策略指令对安全设备进行策略集中管理和状态实时监控，当设备出现异常时，能及时进行均衡负载或流量迁移，确保不影响正常的网络通信。

【技术实现步骤摘要】
一种面向IDC业务场景的安全服务编排方法及网络结构
本专利技术属于网络工程
，尤其涉及一种面向IDC业务场景的安全服务编排方法及网络结构。
技术介绍
随着网络云计算技术的迅速发展，对于云数据中心的安全要求也越来越高。从安全需求来看，云数据中心要求安全防护可以更加灵活、支持个性定制。消费者不管理或控制任何云计算基础设施，但能控制操作系统的选择、储存空间、部署的应用。同时，用户可以根据自己的安全需求来选择购买合适的安全服务。比如，有的用户对安全没有要求，就无需购买安全服务。有的用户希望部署最基本的防火墙，可以根据需要选择不同价位对应不同能力的防火墙。有的用户对安全有很高的要求，希望部署多类型的安全设备，如防火墙、病毒过滤、应用防护等。很显然，为每个用户单独部署一台或多台安全设备是不现实的。通过一种面向IDC业务场景的安全服务编排方法实现安全资源调度与安全服务控制功能，可以为云数据中心提供安全功能灵活部署、个性化定制的一体化解决方案。用户可以通过定义不同的安全应用，来满足不同的安全防护需求。根据租户的具体业务来灵活控制安全功能，可以避免重复过滤与管控、降低成本，是新型IDC服务的切实需求。
技术实现思路
针对上述问题，本专利技术提出了一种面向IDC业务场景的安全服务编排方法及网络结构。一种面向IDC业务场景的安全服务编排方法，包括：步骤1、将多种网络安全设备连接到一台或多台SDN交换机上，共同形成一个安全资源池；步骤2、安全控制器发出安全控制指令操作SDN交换机，根据不同用户安全需求将网络流量牵引到指定的网络安全设备进行安全处理；步骤3、安全控制器对网络安全设备进行策略集中管理和状态实时监控，当网络安全设备出现异常时，安全控制器发出安全策略指令，及时进行均衡负载或流量迁移，确保不影响正常的网络通信。所述多种网络安全设备包括：UTM设备、IDS设备、IPS设备、WAF设备。所述安全控制器发出安全控制指令采用OpenFlow协议。所述步骤2中的安全处理包括：访问控制、攻击检查、攻击过滤、内容审计。一种面向IDC业务场景的安全服务网络结构，包括：互联网、第一SDN交换机、安全控制器、UTM设备、IDS设备、IPS设备、WAF设备、第二SDN交换机，其中，互联网与第一SDN交换机相连，第一SDN交换机与UTM设备、IDS设备、IPS设备、WAF设备组成的安全流平台相连，安全控制器与安全流平台相连，安全流平台与第二SDN交换机相连，第二SDN交换机与不同租户虚拟网络相连。所述安全控制器发出安全控制指令操作第一SDN交换机，根据不同用户安全需求将网络流量牵引到指定的网络安全设备进行安全处理，包括：访问控制、攻击检查、攻击过滤、内容审计；安全控制指令采用OpenFlow协议。所述安全控制器对网络安全设备进行策略集中管理和状态实时监控，当网络安全设备出现异常时，安全控制器发出安全策略指令，及时进行均衡负载或流量迁移，确保不影响正常的网络通信。本专利技术的有益效果在于：通过一种面向IDC业务场景的安全服务编排方法实现安全资源调度与安全服务控制功能，可以为云数据中心提供安全功能灵活部署、个性化定制的一体化解决方案。用户可以通过定义不同的安全应用，来满足不同的安全防护需求。附图说明图1为本专利技术的一种面向IDC业务场景的安全服务网络结构示意图。具体实施方式下面结合附图，对优选实施例作详细说明。本专利技术提出了一种面向IDC业务场景的安全服务编排方法，如图1所示，包括：步骤1、安全流平台部署在IDC(InternetDataCenter，互联网数据中心)的出入口，通过把一台或多台UTM(UnifiedThreatManagement，安全网关)、IDS(IntrusionDetectionSystems，入侵检测系统)、IPS(IntrusionPreventionSystem,入侵防御系统)、WAF(WebApplicationFirewall，网站应用级入侵防御系统)等安全设备连接到一台或多台SDN(SoftwareDefinedNetwork,软件定义网络)交换机上，形成一个安全资源池；步骤2、安全控制器发出安全控制指令操作SDN交换机，根据不同用户安全需求将网络流量牵引到指定的网络安全设备进行安全处理；安全控制提供基于OpenFlow协议的指令，即一种支持包括输入端口、源/目的以太网地址、以太网协议、VLAN(VirtualLocalAreaNetwork，虚拟局域网)优先级、VLANID、源/目的IPv4地址、IP协议、IPToS位、TCP/UDP源/目的端口号等多匹配域的转发表；安全处理，包括：访问控制、攻击检查、攻击过滤、内容审计；步骤3、安全策略指令对安全设备进行策略集中管理和状态实时监控，当设备出现异常时，能及时进行均衡负载或流量迁移，确保不影响正常的网络通信，提高安全设备整体防护能力和可靠性。以上所述，仅为本专利技术较佳的具体实施方式，但本专利技术的保护范围并不局限于此，任何熟悉本
的技术人员在本专利技术揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本专利技术的保护范围之内。因此，本专利技术的保护范围应该以权利要求的保护范围为准。本文档来自技高网...

【技术保护点】
一种面向IDC业务场景的安全服务编排方法，其特征在于，包括：步骤1、将多种网络安全设备连接到一台或多台SDN交换机上，共同形成一个安全资源池；步骤2、安全控制器发出安全控制指令操作SDN交换机，根据不同用户安全需求将网络流量牵引到指定的网络安全设备进行安全处理；步骤3、安全控制器对网络安全设备进行策略集中管理和状态实时监控，当网络安全设备出现异常时，安全控制器发出安全策略指令，及时进行均衡负载或流量迁移，确保不影响正常的网络通信。

【技术特征摘要】
1.一种面向IDC业务场景的安全服务编排方法，其特征在于，包括：步骤1、安全流平台部署在IDC的出入口，将多种网络安全设备连接到一台或多台SDN交换机上，共同形成一个安全资源池；步骤2、安全控制器发出安全控制指令操作SDN交换机，根据不同用户安全需求将网络流量牵引到指定的网络安全设备进行安全处理；步骤3、安全控制器对网络安全设备进行策略集中管理和状态实时监控，当网络安全设备出现异常时，安全控制器发出安全策略指令，及时进行均衡负载或流量迁移，确保不影响正常的网络通信；所述多种网络安全设备包括：UTM设备、IDS设备、IPS设备、WAF设备；所述安全控制器发出安全控制指令采用OpenFlow协议，支持包括输入端口、源/目的以太网地址、以太网协议、VLAN优先级、VLANID、源/目的IPv4地址、IP协议、IPToS位、TCP/UDP源/目的端口号的多匹配域的转发表；所述步骤2中的安全处理包括：访问控制、攻击检查、攻击过滤、内容审计。2.一种面向IDC业务场景的安全服务网络系统，其特征在于，包括：...

【专利技术属性】
技术研发人员：程远，李震，宋阳，杨虹，
申请(专利权)人：北京天地互连信息技术有限公司，
类型：发明
国别省市：北京;11