本发明专利技术提供一种云数据中心安全服务链的实现方法,所述方法包括:接收携带有本地安全服务节点所对应的VLAN信息的流量;若在本地流表中查询到与所述流量的包头信息相匹配的访问控制策略,则对所述流量进行VLAN剥离并发送至本地安全服务节点,以供所述本地安全服务节点进行安全检测;根据所述匹配的访问控制策略中的策略动作将经过安全检测的流量的VLAN修改为下一跳安全服务节点的VLAN信息并通过交换网络发送出去。本发明专利技术提供的一种云数据中心安全服务链的实现方法,基于VLAN协议来实现安全服务链,设计简单、性能良好且运维成本低。
【技术实现步骤摘要】
一种云数据中心安全服务链的实现方法
本专利技术涉及网络安全领域,更具体地,涉及一种云数据中心安全服务链的实现方法。
技术介绍
云数据中心是利用云计算技术,自动化地按需提供各类云计算服务的新一代数据中心。云数据中心的业务特性与传统数据中心的业务特性差异巨大,且随着软件定义网络、网络虚拟化及网络功能虚拟化等新技术的迅猛发展和规模应用,云数据中心网络相较于传统数据中心网络而言,面临着新的安全挑战:云数据中心越来越依赖上述虚拟化技术来提供更高效和灵活的业务部署,使得安全边界难以界定,逻辑网络拓扑根据业务的需求随时可变,传统的基于物理边界防护的安全架构无法对其进行有效的安全防护;云数据中心业务场景更为复杂,对网络和信息安全的个性化需求更为强烈,而传统安全硬件设备将软件与硬件绑定,对外提供固定安全功能,管理员只能通过手工操作界面对其进行简单配置,无法根据业务应用场景进行灵活的功能调整和定制,不能满足业务的弹性扩展和安全需求。为了应对这些安全挑战,目前云数据中心主要通过采用安全服务链来实现安全防护。安全服务链基于Overlay(覆盖)网络构建集中的安全能力资源池,通过集中的控制器将需要进行安全防护的业务流量引流到安全服务节点进行检测和防护,并根据业务的安全策略需求编排安全服务节点的防护顺序,这些安全服务节点包括FW(Firewall,防火墙)、IDS(IntrusionDetectionSystem,入侵检测系统)、IPS(IntrusionPreventionSystem,入侵防御系统)或反病毒设备等。如图1所示为基于VXLAN(VirtualExtensibleLAN,可扩展虚拟局域网)构建的安全服务链模型,该安全服务链的各安全服务节点可位于相同或者不同的安全能力资源池,通过面向租户或面向应用的安全服务链编排界面,控制器自动下发引流策略到各服务链节点,服务链节点匹配引流策略之后的处理流程如下:源VM(VirtualMachine,虚拟机)所对应的VTEP(VXLANTunnelEndPoint,VXLAN隧道端点)对源VM发出的流量进行VXLAN封装并将封装后的报文转发到第一个安全服务节点所对应的VTEP;第一个安全服务节点所对应的VTEP在接收到封装后的报文后对该报文进行解封装,然后将解封装后得到的报文,即源VM发出的流量转发给第一个安全服务节点;第一个安全服务节点对流量进行安全业务处理,再将该流量发送给VTEP;VTEP查找下一跳安全服务节点并将该报文重新进行封装后转发给下一跳安全服务节点所对应的VTEP;重复上述操作,直到进行完所有的安全业务处理后,最后一个安全服务节点所对应的VTEP根据目的VM所对应的VTEP的IP地址对报文进行封装并转发出去;目的VM所对应的VTEP接收到报文后,对该报文进行解封装,然后发送给目的VM。源VM发出的流量穿过这些安全服务节点到达目的VM,从而实现了所需要的安全业务。目前安全服务链的实现方法除了基于上述提到的VXLAN技术,还包括:NVGRE(NetworkVirtualizationusingGenericRoutingEncapsulation,使用通用路由封装的网络虚拟化)以及GENEVE(GenericNetworkVirtualizationEncapsulation,通用网络虚拟封装)等技术。这些技术全是隧道封装技术,对于虚拟化服务器,隧道的封装和解封装会非常消耗服务器的CPU资源,造成服务器的性能非常低,这对于几乎跑满线速的东西向流量意味着通过安全服务链的处理可能会产生丢包现象。不仅如此,虚拟化服务器上还需要额外配置隧道端点的接口,用于根据配置来检查哪些报文需要进入隧道并判断对检查通过的报文做怎样的处理,导致运维非常复杂。
技术实现思路
为了解决现有安全服务链的实现方法基于隧道封装技术导致虚拟化服务器性能低、运维复杂的问题,本专利技术提供一种云数据中心安全服务链的实现方法。根据本专利技术的一个方面,提供一种云数据中心安全服务链的实现方法,包括:步骤1,接收上一跳安全服务节点所对应的vSwitch通过交换网络发送的、携带有本地安全服务节点所对应的VLAN信息的流量;步骤2,若在本地流表中查询到与所述流量的包头信息相匹配的访问控制策略,则对所述流量进行VLAN剥离,并通过虚拟网络端口将经过VLAN剥离后的所述流量发送至本地安全服务节点,以供所述本地安全服务节点进行安全检测;步骤3,接收到本地安全服务节点发送的经过安全检测的流量后,根据所述匹配的访问控制策略中的策略动作将所述经过安全检测的流量的VLAN信息修改为下一跳安全服务节点所对应的VLAN信息,并通过交换网络发送VLAN信息修改后的所述经过安全检测的流量。其中,步骤1还包括:若所述本地安全服务节点为第一跳安全服务节点,接收源VM所对应的vSwitch通过交换网络发送的、携带有本地安全服务节点所对应的VLAN信息的流量。其中,步骤3进一步包括:若所述本地安全服务节点为最后一跳安全服务节点,根据所述匹配的访问控制策略中的策略动作将经过安全检测的流量的VLAN信息修改为目的VM所对应的VLAN信息;通过交换网络发送VLAN信息修改后的所述经过安全检测的流量至目的VM所对应的vSwitch,以供目的VM所对应的vSwitch对所接收到的流量进行VLAN剥离并通过本地虚拟网络端口转发给目的VM。其中,所述包头信息根据用户定义的安全规则确定,所述包头信息的类型包括:源端口号、目的端口号、协议类型、源IP地址和目的IP地址中的一种或多种。其中,步骤2中,所述本地流表中包含至少一项访问控制策略,所述访问控制策略根据用户定义的安全规则确定,所述访问控制策略包括:第一匹配字段和第一策略动作;其中,所述第一匹配字段与所述包头信息相对应。其中,步骤1中在所述接收源VM所对应的vSwitch通过交换网络发送的携带有本地安全服务节点所对应的VLAN信息的流量之前,还包括:源VM所对应的vSwitch接收到源VM发送的多个流量后,对所述多个流量进行哈希处理;源VM所对应的vSwitch根据哈希处理的结果,在本地流表中确认存在匹配的负载均衡策略,并根据所述负载均衡策略的策略动作,将源VM发出的多个流量分别转发给匹配的安全服务节点所对应的vSwitch。其中,所述对所述多个流量进行哈希处理包括:对各流量包头信息中的特征字段的最后m位比特值进行掩码处理,其中,m为log2N向上取整后的值,N为安全服务链的数目,所述特征字段包括:端口号字段、IP地址字段或协议类型字段。其中,所述负载均衡策略包括:第二匹配字段和第二策略动作。根据本专利技术的另一个方面,提供一种虚拟交换机,包括:接收单元,用于接收上一跳安全服务节点所对应的虚拟交换机通过交换网络发送的、携带有本地安全服务节点所对应的VLAN信息的流量;流表匹配单元,用于若在本地流表中查询到与所述流量的包头信息相匹配的访问控制策略,则对所述流量进行VLAN剥离,并通过虚拟网络端口将经过VLAN剥离后的所述流量发送至本地安全服务节点,以供所述本地安全服务节点进行安全检测;转发单元,用于接收到本地安全服务节点发送的经过安全检测的流量后,根据所述匹配的访问控制策略中的策略动作将所述经过安全检测的流量的VLAN信本文档来自技高网...
【技术保护点】
一种云数据中心安全服务链的实现方法,其特征在于,包括:步骤1,接收上一跳安全服务节点所对应的vSwitch通过交换网络发送的、携带有本地安全服务节点所对应的VLAN信息的流量;步骤2,若在本地流表中查询到与所述流量的包头信息相匹配的访问控制策略,则对所述流量进行VLAN剥离,并通过虚拟网络端口将经过VLAN剥离后的所述流量发送至本地安全服务节点,以供所述本地安全服务节点进行安全检测;步骤3,接收到本地安全服务节点发送的经过安全检测的流量后,根据所述匹配的访问控制策略中的策略动作将所述经过安全检测的流量的VLAN信息修改为下一跳安全服务节点所对应的VLAN信息,并通过交换网络发送VLAN信息修改后的所述经过安全检测的流量。
【技术特征摘要】
1.一种云数据中心安全服务链的实现方法,其特征在于,包括:步骤1,接收上一跳安全服务节点所对应的vSwitch通过交换网络发送的、携带有本地安全服务节点所对应的VLAN信息的流量;步骤2,若在本地流表中查询到与所述流量的包头信息相匹配的访问控制策略,则对所述流量进行VLAN剥离,并通过虚拟网络端口将经过VLAN剥离后的所述流量发送至本地安全服务节点,以供所述本地安全服务节点进行安全检测;步骤3,接收到本地安全服务节点发送的经过安全检测的流量后,根据所述匹配的访问控制策略中的策略动作将所述经过安全检测的流量的VLAN信息修改为下一跳安全服务节点所对应的VLAN信息,并通过交换网络发送VLAN信息修改后的所述经过安全检测的流量。2.根据权利要求1所述的安全服务链的实现方法,其特征在于,步骤1还包括:若所述本地安全服务节点为第一跳安全服务节点,接收源VM所对应的vSwitch通过交换网络发送的、携带有本地安全服务节点所对应的VLAN信息的流量。3.根据权利要求1所述的安全服务链的实现方法,其特征在于,步骤3进一步包括:若所述本地安全服务节点为最后一跳安全服务节点,根据所述匹配的访问控制策略中的策略动作将经过安全检测的流量的VLAN信息修改为目的VM所对应的VLAN信息;通过交换网络发送VLAN信息修改后的所述经过安全检测的流量至目的VM所对应的vSwitch,以供目的VM所对应的vSwitch对所接收到的流量进行VLAN剥离并通过本地虚拟网络端口转发给目的VM。4.根据权利要求1至3任一所述的安全服务链的实现方法,其特征在于,所述包头信息根据用户定义的安全规则确定,所述包头信息的类型包括:源端口号、目的端口号、协议类型、源IP地址和目的IP地址中的一种或多种。5.根据权利要求1至3任一所述的安全服务链的实现方法,其特征在于,步骤2中,所述本地流表中包含至少一项访问控制策略,所述访问控制策略根据用户定义的安全规则确定,所述访问控制策略包括:第一匹配字段和第一策略动作;其中,所述第一匹配字段与所述包头信息相对应。6.根据权利要求2所述的安全服务链的实现方法,其特征在于,步骤1中在所述接收源VM所对应的vSwitch通过交换网络发送的携带有本地安全服务节点所对应的VLAN信息的流量之前,还包括:源VM所对应的vSwitch接收到源VM发送的多个流量后,对所述多个流量进行哈希处理;源VM所对应的...
【专利技术属性】
技术研发人员:王凯,李军,
申请(专利权)人:清华大学,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。