一种基于SDN网络的安全资源池的实现方法及系统技术方案

本发明专利技术实施例提供了一种基于SDN网络的安全资源池的实现方法及系统，用于提高了安全资源池对网络变更的适应性及配置的灵活性。本发明专利技术实施例中的安全资源池的网关采用了SDN网络架构，SDN网络中网络设备控制面与数据面分离开，由SDN控制器配置安全服务链，由OVS交换机实现网络对接功能，实现了网络对接功能与安全资源池服务链的引流策略功能的解耦，提高了安全资源池对网络变更的适应性，其次，安全服务链中的引流策略可以由至少两个匹配域字段进行的多维度配置，提高了安全资源池配置的灵活性。

【技术实现步骤摘要】
一种基于SDN网络的安全资源池的实现方法及系统
本专利技术涉及网络安全
，尤其涉及一种基于SDN网络的安全资源池的实现方法及系统。
技术介绍
安全资源池为物理或虚拟安全功能组件的集合，安全功能组件的功能可以包括防火墙、VPN、负载均衡、广域网加速、上网行为控制、堡垒机以及入侵检测/防御等。随着安全资源池的概念被越来越多的用户所认可，安全资源池的部署案例也逐渐增多起来，安全资源池部署过程中，安全资源池的引流是关键。而目前主要的安全资源池的引流方法(如附图1所示)是通过策略路由进行引流，其中，针对南北向流量，是在客户核心路由器处将流量通过策略路由引到安全资源池进行检测、清洗以及加密或解密。安全资源池内一般是通过一层虚拟/物理路由或两层虚拟/物理路由进行再次引流操作，如果是两层虚拟/物理路由(如附图2所示)，第一次路由根据数据包租户ID(IP网段、VLANID等)，将流量引导至不同租户的安全资源池路由网关(不同的第二层路由)，由这个网关通过策略路由实现安全服务链，即让流量按顺序依次经过不同安全功能组件。如果只有一层虚拟/物理路由(如附图3所示)，则直接根据租户ID，实现安全服务链。现有方案中的这种安全资源池的引流方法，主要有以下的弊端：在安全资源池侧，因为网络对接功能及安全资源池服务链的引流策略功能都是通过安全资源池路由网关来实现的，故该安全资源池引流方法的网络对接部分和安全服务链引流紧密耦合，当用户的网络场景改变，需要改变网络对接部分时，安全服务链也要根据网络对接部分的改变重新部署，才能满足新场景下的引流需求，对网络变更的适应性较差，其次，策略路由往往是目的地址路由或源地址在一个维度上配置引流策略，网关引流的策略不灵活。
技术实现思路
本专利技术实施例提供了一种基于SDN网络的安全资源池的实现方法及系统，用于提高了安全资源池对网络变更的适应性及配置的灵活性。本专利技术实施例第一方面提供了一种基于SDN网络的安全资源池的实现方法，所述SDN网络中包括SDN控制器及OVS交换机，其特征在于，包括：OVS交换机接收目标流量包并解析所述目标流量包中的匹配域字段，所述目标流量包包括至少两个匹配域字段；所述OVS交换机根据所述匹配域字段与本地存储的流表进行匹配，以确定所述目标流量包对应的安全服务链，所述流表由所述SDN控制器生成并发送给对应的OVS交换机，所述流表指示预置类型的匹配域字段与安全服务链的对应关系，所述安全服务链指示对应的流量包按照预定的顺序经过安全资源池中预置数量的安全功能组件；若所述目标流量包的匹配域字段与本地存储的流表匹配不成功，则向所述SDN控制器请求所述目标流量包的匹配域字段对应的安全服务链；所述OVS交换机根据安全服务链对所述目标流量包进行安全引流，以完成对所述目标流量包的清洗。结合第一方面，在第一方面的第一种可能的实施方式中，所述匹配域字段包括但不限于：交换机入端口、源MAC地址、目的MAC地址、以太网类型、以太网标签、虚拟局域网VLAN优先级、源IP、目的IP、IP协议字段、IP服务类型、TCP/UDP源端口号、TCP/UDP目的端口号。结合第一方面的第一种可能的实施方式，在第一方面的第二种可能的实施方式中，所述OVS交换机根据安全服务链对所述目标流量包进行安全引流，包括：所述OVS交换机将安全服务链对应的服务链路径ID、服务链路径上各安全功能组件的编号及服务链元数据封装到所述目标流量包头部形成NSH标签；所述OVS交换机根据所述NSH标签中服务链路径ID及所述目标流量包当前所处的节点位置将所述目标流量包引流到下一节点。结合第一方面的第二种可能的实施方式，在第一方面的第三种可能的实施方式中，当所述安全资源池中的目标安全功能组件不能识别所述NSH标签时，所述OVS交换机通过代理proxy功能处理所述NSH标签，所述proxy功能包括：在安全服务链经过所述目标安全功能组件之前去除所述NSH标签，当安全服务链从所述目标安全功能组件回到所述OVS交换机时，为安全服务链重新加上所述NSH标签。结合第一方面的第三种可能的实施方式，在第一方面的第四种可能的实施方式中，在所述OVS交换机接收目标流量包并解析所述目标流量包中的匹配域字段之前，还包括：当用户侧网络设置有具有策略路由功能的核心网关时，所述OVS交换机从所述核心网关中接收目标流量包，并对所述目标流量包中的IP地址进行网络地址NAT转换，以使得所述目标流量包中的IP地址可被所述OVS交换机被识别；当用户侧没有设置核心网关，且所述安全资源池与用户侧网络不处于同一层网络时，所述OVS交换机从所述核心网关中接收目标流量包，并对所述目标流量包中的IP地址进行NAT转换，以使得所述目标流量包中的IP地址可被所述OVS交换机被识别。结合第一方面的第四种可能的实施方式，在第一方面的第五种可能的实施方式中，所述匹配域字段还包括租户ID，当多个租户使用相同IP地址时，所述OVS交换机根据与本地存储的流表进行匹配，以确定使用相同IP地址的租户流量包的安全服务链。结合第一方面，第一方面的第一种至第五种可能的实施方式，在第一方面的第六种可能的实施方式中，当所述安全资源池中的安全功能组件位于不同的物理主机中，OVS交换机通过overlay隧道进行流量包的传输，所述overlay隧道用于隔离所述安全资源池中不同租户的流量包。本专利技术实施例第二方面提供了一种基于SDN网络的安全资源池系统，其特征在于，包括：SDN控制器及安全资源池，其中，所述安全资源池包括OVS交换机及至少一个安全功能组件；所述OVS交换机包括二层交换模块、流分类模块、通信模块及转发模块；所述二层交换模块用于接收目标流量包；所述流分类模块用于解析所述目标流量包中的匹配域字段，并根据所述匹配域字段与本地存储的流表进行匹配，以确定所述目标流量包对应的安全服务链，所述目标流量包包括至少两个匹配域字段，所述流表指示预置类型的匹配域字段与安全服务链的对应关系，所述安全服务链指示对应的流量包按照预定的顺序经过安全资源池中预置数量的安全功能组件；若所述目标流量包的匹配域字段与本地存储的流表匹配不成功，所述通信模块用于向所述SDN控制器请求所述目标流量包的匹配域字段对应的安全服务链；所述转发模块用于根据安全服务链对所述目标流量包进行安全引流，以完成对所述目标流量包的清洗。结合第二方面，在第二方面的第一种可能的实施方式中，所述匹配域字段包括但不限于：交换机入端口、源MAC地址、目的MAC地址、以太网类型、以太网标签、虚拟局域网VLAN优先级、源IP、目的IP、IP协议字段、IP服务类型、TCP/UDP源端口号、TCP/UDP目的端口号。结合第二方面的第一种可能的实施方式，在第二方面的第二种可能的实施方式中，所述流分类模块包括解析单元及标签单元，所述解析单元用于解析所述目标流量包中的匹配域字段，并根据所述匹配域字段与本地存储的流表进行匹配，以确定所述目标流量包对应的安全服务链；所述标签单元，用于将安全服务链对应的服务链路径ID、服务链路径上各安全功能组件的编号及服务链元数据封装到所述目标流量包头部形成NSH标签；所述转发模块用于根据所述NSH标签中服务链路径ID及所述目标流量包当前所处的节点位置将所述目标流量包引流到下一节点，以本文档来自技高网...

【技术保护点】
一种基于SDN网络的安全资源池的实现方法，所述SDN网络中包括SDN控制器及OVS交换机，其特征在于，包括：OVS交换机接收目标流量包并解析所述目标流量包中的匹配域字段，所述目标流量包包括至少两个匹配域字段；所述OVS交换机根据所述匹配域字段与本地存储的流表进行匹配，以确定所述目标流量包对应的安全服务链，所述流表由所述SDN控制器生成并发送给对应的OVS交换机，所述流表指示预置类型的匹配域字段与安全服务链的对应关系，所述安全服务链指示对应的流量包按照预定的顺序经过安全资源池中预置数量的安全功能组件；若所述目标流量包的匹配域字段与本地存储的流表匹配不成功，则向所述SDN控制器请求所述目标流量包的匹配域字段对应的安全服务链；所述OVS交换机根据安全服务链对所述目标流量包进行安全引流，以完成对所述目标流量包的清洗。

【技术特征摘要】
1.一种基于SDN网络的安全资源池的实现方法，所述SDN网络中包括SDN控制器及OVS交换机，其特征在于，包括：OVS交换机接收目标流量包并解析所述目标流量包中的匹配域字段，所述目标流量包包括至少两个匹配域字段；所述OVS交换机根据所述匹配域字段与本地存储的流表进行匹配，以确定所述目标流量包对应的安全服务链，所述流表由所述SDN控制器生成并发送给对应的OVS交换机，所述流表指示预置类型的匹配域字段与安全服务链的对应关系，所述安全服务链指示对应的流量包按照预定的顺序经过安全资源池中预置数量的安全功能组件；若所述目标流量包的匹配域字段与本地存储的流表匹配不成功，则向所述SDN控制器请求所述目标流量包的匹配域字段对应的安全服务链；所述OVS交换机根据安全服务链对所述目标流量包进行安全引流，以完成对所述目标流量包的清洗。2.根据权利要求1所述的方法，其特征在于，所述匹配域字段包括但不限于：交换机入端口、源MAC地址、目的MAC地址、以太网类型、以太网标签、虚拟局域网VLAN优先级、源IP、目的IP、IP协议字段、IP服务类型、TCP/UDP源端口号、TCP/UDP目的端口号。3.根据权利要求2所述的方法，其特征在于，所述OVS交换机根据安全服务链对所述目标流量包进行安全引流，包括：所述OVS交换机将安全服务链对应的服务链路径ID、服务链路径上各安全功能组件的编号及服务链元数据封装到所述目标流量包头部形成NSH标签；所述OVS交换机根据所述NSH标签中服务链路径ID及所述目标流量包当前所处的节点位置将所述目标流量包引流到下一节点。4.根据权利要求3所述的方法，其特征在于，当所述安全资源池中的目标安全功能组件不能识别所述NSH标签时，所述OVS交换机通过代理proxy功能处理所述NSH标签，所述proxy功能包括：在安全服务链经过所述目标安全功能组件之前去除所述NSH标签，当安全服务链从所述目标安全功能组件回到所述OVS交换机时，为安全服务链重新加上所述NSH标签。5.根据权利要求3所述的方法，其特征在于，在所述OVS交换机接收目标流量包并解析所述目标流量包中的匹配域字段之前，还包括：当用户侧网络设置有具有策略路由功能的核心网关时，所述OVS交换机从所述核心网关中接收目标流量包，并对所述目标流量包中的IP地址进行网络地址NAT转换，以使得所述目标流量包中的IP地址可被所述OVS交换机被识别；当用户侧没有设置核心网关，且所述安全资源池与用户侧网络不处于同一层网络时，所述OVS交换机从所述核心网关中接收目标流量包，并对所述目标流量包中的IP地址进行NAT转换，以使得所述目标流量包中的IP地址可被所述OVS交换机被识别。6.据权利要求5所述的方法，其特征在于，所述匹配域字段还包括租户ID，当多个租户使用相同IP地址时，所述OVS交换机根据与本地存储的流表进行匹配，以确定使用相同IP地址的租户流量包的安全服务链。7.据权利要求1至6任一项所述的方法，其特征在于，当所述安全资源池中的安全功能组件位于不同的物理主机中，OVS交换机通过overlay隧道进行流量包的传输，所述overlay隧道用于隔离所述安全资源池中不同租户的流量包。8.一种基于SDN网络的安全资源池系统，其特征在于，包括：SDN控制器及安全资源池，其中，所述安全资源池包括...

【专利技术属性】
技术研发人员：陈晓帆，任勇兵，马耀泉，古亮，
申请(专利权)人：深信服科技股份有限公司，
类型：发明
国别省市：广东,44