【技术实现步骤摘要】
一种进行安全控制的方法、交换机以及过滤设备
本专利技术涉及互联网
,特别涉及一种进行安全控制的方法、交换机以及过滤设备。
技术介绍
云计算平台中必须提供安全组功能以保护虚拟机网络安全。该功能把具有相同安全需求的虚拟机划分到同一个安全组,并且在该安全组内依据安全需求设定一条或多条安全规则。云计算平台实例应用SDN(SoftwareDefinedNetwork,软件定义网络)技术把安全需求转化成具体的五元组(源/目的IP(InternetProtocol,网际协议)地址、源/目的端口、协议类型)规则、并在合适的虚拟或物理网元上部署安全规则,实现针对虚拟机网络数据包进行过滤和保护的目标。目前使用SDN技术转化安全规则的实现方式包括,使用虚拟机安装交换机的虚拟实例并使用访问控制列表进行安全控制,例如,通过防火墙需要在第一虚拟交换机下挂虚拟防火墙,匹配第一流表的数据包被转发给虚拟防火墙执行安全校验,其中虚拟防火墙对数据包的校验需要占用第一虚拟交换机的资源。由于此种方式需要在SDN控制器和SDN额外挂载虚拟防火墙,并通过虚拟防火墙进行数据包的校验以及安全控制,因此对虚拟交换机造成了额外的资源负担。综上,目前基于SDN技术的安全控制方法需要在虚拟交换机上外挂额外的虚拟防火墙进行数据包的校验,由于虚拟防火墙占用了虚拟交换机的资源,从而对虚拟交换机造成资源负担。
技术实现思路
本专利技术提供一种进行安全控制的方法、交换机以及过滤设备,用以解决现有技术中存在的基于SDN技术的安全控制方法需要在虚拟交换机上外挂额外的虚拟防火墙进行数据包的校验,由于虚拟防火墙占用了虚拟交换机的 ...
【技术保护点】
一种进行安全控制的方法,其特征在于,该方法包括:交换机判断接收到的数据包的信息是否符合第一安全规则;若所述数据包的信息不符合所述第一安全规则,则所述交换机将所述数据包转发至过滤设备,以使所述过滤设备在确定所述数据包的信息不符合第二安全规则后丢弃该数据包。
【技术特征摘要】
1.一种进行安全控制的方法,其特征在于,该方法包括:交换机判断接收到的数据包的信息是否符合第一安全规则;若所述数据包的信息不符合所述第一安全规则,则所述交换机将所述数据包转发至过滤设备,以使所述过滤设备在确定所述数据包的信息不符合第二安全规则后丢弃该数据包。2.如权利要求1所述的方法,其特征在于,所述第二安全规则中包括所述第一安全规则。3.如权利要求1所述的方法,其特征在于,所述交换机判断数据包的信息是否符合第一安全规则,包括:所述交换机判断是否能够根据数据包的信息与安全域标记的对应关系确定接收到的数据包的信息对应的安全域标记;如果能够确定接收到的数据包的信息对应的安全域标记,则将确定的安全域标记置于数据包中,并判断所述第一安全规则中的安全域标记集合是否有所述数据包的信息对应的安全域标记,如果有,则确定数据包的信息符合第一安全规则;否则,确定数据包的信息不符合第一安全规则;如果无法确定接收到的数据包的信息对应的安全域标记,则所述交换机确定数据包的信息不符合第一安全规则。4.一种进行安全控制的方法,其特征在于,该方法包括:过滤设备判断数据包的信息是否符合预设的第二安全规则,其中所述数据包的信息是交换机在确定接收到的数据包的信息不符合第一安全规则后发送的;若所述数据包的信息不符合所述第二安全规则,则所述过滤设备丢弃所述数据包。5.如权利要求4所述的方法,其特征在于,所述第二安全规则包括所述第一安全规则。6.如权利要求4所述的方法,其特征在于,该方法还包括:若所述数据包的信息符合所述第二安全规则,则所述过滤设备将所述数据包发送至交换机,以使所述交换机对所述数据包进行转发。7.如权利要求4所述的方法,其特征在于,所述过滤设备判断所述数据包的信息是否符合预设的第二安全规则,包括:所述过滤设备判断接收到的数据包是否具有与数据包的信息对应的安全域标记;如果能够确定接收到的数据包具有与数据包的信息对应的安全域标记,则所述过滤设备判断所述第二安全规则中的安全域标记集合是否有所述数据包的信息对应的安全域标记,如果有,则确定数据包的信息符合第二安全规则;否则,确定数据包的信息不符合第二安全规则;如果无法确定接收到的数据包具有与数据包的信息对应的安全域标记,则所述过滤设备判断所述数据包的信息是否符合第二安全规则中的默认规则,如果是,则确定数据包的信息符合第二安全规则;否则,确定数据包的信息不符合第二安全规则。8.如权利要求4所述的方法,其特征在于,在所述过滤设备判断所述数据包的信息是否符合预设的第二安全规则之后,还包括:所述过滤设备将判断的结果信息上报给SDN控制器,以使所述SDN控制器根据所述结果信息更新...
【专利技术属性】
技术研发人员:董文英,
申请(专利权)人:中国移动通信有限公司研究院,中国移动通信集团公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。