一种网络安全控制的方法及控制器、安全节点技术

一种网络安全控制的方法，包括：控制器实时监控各个安全节点之间的链路状态；接收到报文后，根据各个安全节点之间的链路状态确定最优路由；将包括所述最优路由信息的转发表发送给所述各个安全节点。本方案还提供一种控制器和安全节点，可以为企业多个节点之间的通信提供统一的安全策略，安全性高且成本低。

Method, controller and safety node for network security control

Includes a method of network security control: link state controller between the real-time monitoring of the various security node; after receiving the message, according to the link among security nodes to determine the optimal routing; including the optimal routing forwarding table information is transmitted to the various security nodes. The scheme also provides a controller and security node, which can provide a unified security policy for the communication among multiple nodes of the enterprise, with high security and low cost.

【技术实现步骤摘要】
一种网络安全控制的方法及控制器、安全节点
本专利技术涉及通信
，尤指一种网络安全控制的方法及控制器、安全节点。
技术介绍
当前，许多企业都会在多地建立分支机构，同时，随着移动互联网和云计算的发展，带动企业诸多业务上云和随时随地的移动互联，进而打破了企业原有的安全边界，增加了企业安全管控的难度。现有的解决方案主要有两种：一种是在企业所有站点部署各种安全设备，分别配置防御策略；另一种是在一个统一的站点(比如企业总部)集中部署安全设备，所有其他站点之间的互访流量均先引入这个站点进行处理，之后再将流量回送到最终目的。第一种方案的主要缺点是无法为企业提供一个统一的安全策略，容易出现安全薄弱点；第二种方案的主要缺点是需要引流和回传，如果使用专门的链路，则成本较高，如果使用公共的链路，则会影响用户体验。
技术实现思路
本专利技术要解决的技术问题是提供一种网络安全控制的方法及控制器、安全节点，以为企业多个节点之间的通信提供统一的安全策略。一种网络安全控制的方法，包括：控制器实时监控各个安全节点之间的链路状态；所述控制器接收到报文后，根据各个安全节点之间的链路状态确定最优路由；所述控制器将包括所述最优路由信息的转发表发送给所述各个安全节点。可选地，所述控制器实时监控各个安全节点之间的链路状态之前，还包括：所述控制器设置安全策略，将所述安全策略下发给各个安全节点。一种控制器，包括：监控模块，用于实时监控各个安全节点之间的链路状态；确定模块，用于接收到报文后，根据各个安全节点之间的链路状态确定最优路由；发送模块，用于将确定的最优路由信息发送给所述各个安全节点。可选地，所述控制器还包括：设置模块，用于设置安全策略；所述发送模块，还用于将所述安全策略下发给各个安全节点。一种网络安全控制的方法，包括：安全节点接收控制器下发的包括最优路由信息的转发表；所述安全节点根据所述转发表对报文进行通用路由封装协议封装；所述安全节点转发封装后的报文。可选地，所述安全节点是利用以下的通用路由封装协议报文头格式对报文进行封装的：复用第一指定位标记是否是安全节点之间的用户数据传输，复用第一指定字段标示用户标识；复用第二指定位标记接收节点是否是终点，复用第二指定字段标示接收节点是非终点时后续的每一跳安全节点标识。可选地，所述安全节点接收控制器下发的包括最优路由信息的转发表之前，还包括：所述安全节点接收所述控制器下发的安全策略；所述安全节点执行所述安全策略。一种安全节点，包括：接收模块，用于接收控制器下发的包括最优路由信息的转发表；封装模块，用于根据所述转发表对报文进行通用路由封装协议封装；转发模块，用于转发封装后的报文。可选地，所述封装模块，是利用以下的通用路由封装协议报文头格式对报文进行封装的：复用第一指定位标记是否是安全节点之间的用户数据传输，复用第一指定字段标示用户标识；复用第二指定位标记接收节点是否是终点，复用第二指定字段标示接收节点是非终点时后续的每一跳安全节点标识。可选地，所述安全节点还包括执行模块，所述接收模块，还用于接收所述控制器下发的安全策略；所述执行模块，用于执行所述安全策略。综上，本专利技术实施例提供一种网络安全控制的方法及控制器、安全节点，可以为企业多个节点之间的通信提供统一的安全策略，安全性高且成本低。附图说明图1本专利技术实施例的云安全网络架构的示意图；图2为本专利技术实施例的控制器侧进行网络安全控制的方法的流程图；图3为本专利技术实施例的安全节点侧进行网络安全控制的方法的流程图；图4为本专利技术实施例的GRE报文头格式的示意图；图5是本专利技术应用示例的两条路径示意图；图6是本专利技术应用示例的路径A的安全节点1封装的GRE报文头的示意图；图7是本专利技术应用示例的路径B的安全节点1封装的GRE报文头的示意图；图8是本专利技术应用示例的路径B的安全节点2封装的GRE报文头的示意图；图9是本专利技术应用示例的路径B的安全节点3封装的GRE报文头的示意图；图10为本专利技术实施例的控制器的示意图；图11为本专利技术实施例的安全节点的示意图。具体实施方式为使本专利技术的目的、技术方案和优点更加清楚明白，下文中将结合附图对本专利技术的实施例进行详细说明。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互任意组合。本专利技术实施例的云安全网络主要由全网部署的多个安全节点和一个集中部署的控制器组成，每个安全节点主要功能包括用户接入、安全策略执行。网络架构如图1所示。每个安全节点均连接运营商骨干网，并提供internet(因特网)接入功能。受保护的企业用户网络(包括该企业的各个分支机构、数据中心、移动终端等)和就近的安全节点通过VPN(VirtualPrivateNetwork，虚拟专用网)隧道连接，各个接入的安全节点为用户执行统一的安全策略。图2为本专利技术实施例的控制器侧进行网络安全控制的方法的流程图，如图2所示，本实施例的方法包括以下步骤：步骤201、控制器实时监控各个安全节点之间的链路状态；步骤202、控制器接收到报文后，根据各个安全节点之间的链路状态确定最优路由；步骤203、控制器将包括所述最优路由信息的转发表发送给所述各个安全节点。本实施例中，由控制器统一设置安全策略，例如，用户接入，访问控制、入侵防御、反病毒等，再将安全策略下发给各个安全节点。图3为本专利技术实施例的安全节点侧进行网络安全控制的方法的流程图，如图3所示，本实施例的方法包括以下步骤：步骤301、安全节点接收控制器下发的包括最优路由信息的转发表；步骤302、安全节点根据所述转发表对报文进行通用路由封装协议(GenericRoutingEncapsulation，简称GRE)封装；步骤303、安全节点转发封装后的报文。本实施例中，所述安全节点是利用以下的GRE报文头格式对报文进行封装的：利用第一指定位标记是否是安全节点之间的用户数据传输，利用第一指定字段标示用户标识；利用第二指定位标记接收节点是否是终点，利用第二指定字段标示接收节点是非终点时后续的每一跳安全节点标识。本实施例的控制器主要功能是实时监控各个安全节点之间的链路状态，为用户计算最优路由并下发到各个安全节点。安全节点依据控制器下发的转发表对报文进行GRE封装。如图4所示，GRE报文头格式定义：复用指定的标记及字段，说明如下：(1)标记K及字段Key：对于安全节点之间的用户数据传输，标记K始终置1，字段Key(32bit)用于标示用户ID；(2)标记R及字段Routing：当标记R为1时，表示接收节点非终点，需要从routing字段中提取下一跳安全节点的ID(32bit)，然后根据其IP地址重新封装GRE报文。第一个安全节点在封装GRE报文的时候，将第三跳安全节点及其后续的每一跳安全节点ID依序封装在GRE报文头中的Routing字段。后续每个安全节点从Routing字段提取下一跳安全节点的ID，然后根据其IP地址重新封装GRE报文，GRE报文头中的Routing字段填充剩余安全节点的ID。对于倒数第二跳的安全节点，将不再携带Routing字段，同时R标记置0。图5是本专利技术应用示例的两条路径示意图，图中两条路径的各安全节点GRE封装情况：假定安全节点1的ID是1，假定安全节点2的ID是2，假定安全节点3的ID是3，假定安全节点4的ID是4。本文档来自技高网...

【技术保护点】
一种网络安全控制的方法，包括：控制器实时监控各个安全节点之间的链路状态；所述控制器接收到报文后，根据各个安全节点之间的链路状态确定最优路由；所述控制器将包括所述最优路由信息的转发表发送给所述各个安全节点。

【技术特征摘要】
1.一种网络安全控制的方法，包括：控制器实时监控各个安全节点之间的链路状态；所述控制器接收到报文后，根据各个安全节点之间的链路状态确定最优路由；所述控制器将包括所述最优路由信息的转发表发送给所述各个安全节点。2.如权利要求1所述的方法，其特征在于：所述控制器实时监控各个安全节点之间的链路状态之前，还包括：所述控制器设置安全策略，将所述安全策略下发给各个安全节点。3.一种控制器，其特征在于，包括：监控模块，用于实时监控各个安全节点之间的链路状态；确定模块，用于接收到报文后，根据各个安全节点之间的链路状态确定最优路由；发送模块，用于将确定的最优路由信息发送给所述各个安全节点。4.如权利要求3所述的控制器，其特征在于：所述控制器还包括：设置模块，用于设置安全策略；所述发送模块，还用于将所述安全策略下发给各个安全节点。5.一种网络安全控制的方法，包括：安全节点接收控制器下发的包括最优路由信息的转发表；所述安全节点根据所述转发表对报文进行通用路由封装协议封装；所述安全节点转发封装后的报文。6.如权利要求5所述的方法，其特征在于：所述安全节点是利用以下的通用路由封装协议报文头格式对报文进行封装的：复用第...

【专利技术属性】
技术研发人员：肖洪亮，
申请(专利权)人：北京兰云科技有限公司，
类型：发明
国别省市：北京,11