一种进行安全控制的方法、交换机以及过滤设备技术

本发明专利技术公开了一种进行安全控制的方法、交换机以及过滤设备。本发明专利技术提供的安全控制的方法，包括：交换机判断接收到的数据包的信息是否符合第一安全规则；若数据包的信息不符合第一安全规则，则交换机将数据包转发至过滤设备，以使过滤设备在确定数据包的信息不符合第二安全规则后丢弃该数据包。本发明专利技术由于无需在交换机下外挂额外的虚拟防火墙就能够实现对数据包的安全控制，从而减轻了由于外挂虚拟防火墙对交换机产生的资源负担。

【技术实现步骤摘要】
一种进行安全控制的方法、交换机以及过滤设备
本专利技术涉及互联网
，特别涉及一种进行安全控制的方法、交换机以及过滤设备。
技术介绍
云计算平台中必须提供安全组功能以保护虚拟机网络安全。该功能把具有相同安全需求的虚拟机划分到同一个安全组，并且在该安全组内依据安全需求设定一条或多条安全规则。云计算平台实例应用SDN(SoftwareDefinedNetwork,软件定义网络)技术把安全需求转化成具体的五元组(源/目的IP(InternetProtocol，网际协议)地址、源/目的端口、协议类型)规则、并在合适的虚拟或物理网元上部署安全规则，实现针对虚拟机网络数据包进行过滤和保护的目标。目前使用SDN技术转化安全规则的实现方式包括，使用虚拟机安装交换机的虚拟实例并使用访问控制列表进行安全控制，例如，通过防火墙需要在第一虚拟交换机下挂虚拟防火墙，匹配第一流表的数据包被转发给虚拟防火墙执行安全校验，其中虚拟防火墙对数据包的校验需要占用第一虚拟交换机的资源。由于此种方式需要在SDN控制器和SDN额外挂载虚拟防火墙，并通过虚拟防火墙进行数据包的校验以及安全控制，因此对虚拟交换机造成了额外的资源负担。综上，目前基于SDN技术的安全控制方法需要在虚拟交换机上外挂额外的虚拟防火墙进行数据包的校验，由于虚拟防火墙占用了虚拟交换机的资源，从而对虚拟交换机造成资源负担。
技术实现思路
本专利技术提供一种进行安全控制的方法、交换机以及过滤设备，用以解决现有技术中存在的基于SDN技术的安全控制方法需要在虚拟交换机上外挂额外的虚拟防火墙进行数据包的校验，由于虚拟防火墙占用了虚拟交换机的资源，从而对虚拟交换机造成资源负担的问题。本专利技术提供的一种进行安全控制的方法，包括：交换机判断接收到的数据包的信息是否符合第一安全规则；若数据包的信息不符合第一安全规则，则交换机将数据包转发至过滤设备，以使过滤设备在确定数据包的信息不符合第二安全规则后丢弃该数据包。可选地，第二安全规则中包括第一安全规则。可选地，交换机判断数据包的信息是否符合第一安全规则，包括：交换机判断是否能够根据数据包的信息与安全域标记的对应关系确定接收到的数据包的信息对应的安全域标记；如果能够确定接收到的数据包的信息对应的安全域标记，则将确定的安全域标记置于数据包中，并判断第一安全规则中的安全域标记集合是否有数据包的信息对应的安全域标记，如果有，则确定数据包的信息符合第一安全规则；否则，确定数据包的信息不符合第一安全规则；如果无法确定接收到的数据包的信息对应的安全域标记，则交换机确定数据包的信息不符合第一安全规则。本专利技术提供的一种进行安全控制的方法，包括：过滤设备判断数据包的信息是否符合预设的第二安全规则，其中数据包的信息是交换机在确定接收到的数据包的信息不符合第一安全规则后发送的；若数据包的信息不符合第二安全规则，则过滤设备丢弃数据包。可选地，第二安全规则包括第一安全规则。可选地，该方法还包括：若数据包的信息符合第二安全规则，则过滤设备将数据包发送至交换机，以使交换机对数据包进行转发。可选地，过滤设备判断数据包的信息是否符合预设的第二安全规则，包括：过滤设备判断接收到的数据包是否具有与数据包的信息对应的安全域标记；如果能够确定接收到的数据包具有与数据包的信息对应的安全域标记，则过滤设备判断第二安全规则中的安全域标记集合是否有数据包的信息对应的安全域标记，如果有，则确定数据包的信息符合第二安全规则；否则，确定数据包的信息不符合第二安全规则；如果无法确定接收到的数据包具有与数据包的信息对应的安全域标记，则过滤设备判断数据包的信息是否符合第二安全规则中的默认规则，如果是，则确定数据包的信息符合第二安全规则；否则，确定数据包的信息不符合第二安全规则。可选地，在过滤设备判断数据包的信息是否符合预设的第二安全规则之后，还包括：过滤设备将判断的结果信息上报给SDN控制器，以使SDN控制器根据结果信息更新配置在交换机上的第一安全规则。本专利技术提供的一种进行安全控制的交换机，包括：第一判断模块，用于判断接收到的数据包的信息是否符合第一安全规则；第一处理模块，用于在数据包的信息不符合第一安全规则后，将数据包转发至过滤设备，以使过滤设备在确定数据包的信息不符合第二安全规则后丢弃该数据包。可选地，第二安全规则中包括第一安全规则。可选地，第一判断模块具体用于：判断是否能够根据数据包的信息与安全域标记的对应关系确定接收到的数据包的信息对应的安全域标记；在能够确定接收到的数据包的信息对应的安全域标记后，将确定的安全域标记置于数据包中，并判断第一安全规则中的安全域标记集合是否有数据包的信息对应的安全域标记，如果有，则确定数据包的信息符合第一安全规则；否则，确定数据包的信息不符合第一安全规则；在无法确定接收到的数据包的信息对应的安全域标记后，确定数据包的信息不符合第一安全规则。本专利技术提供的一种进行安全控制的过滤设备，包括：第二判断模块，判断数据包的信息是否符合预设的第二安全规则，其中数据包的信息是交换机在确定接收到的数据包的信息不符合第一安全规则后发送的；第二处理模块，在数据包的信息不符合第二安全规则后，丢弃数据包。可选地，第二安全规则包括第一安全规则。可选地，第二处理模块还用于：在数据包的信息符合第二安全规则后，将数据包发送至交换机，以使交换机对数据包进行转发。可选地，第二判断模块具体用于：判断接收到的数据包是否具有与数据包的信息对应的安全域标记；在能够确定接收到的数据包具有与数据包的信息对应的安全域标记后，判断第二安全规则中的安全域标记集合是否有数据包的信息对应的安全域标记，如果有，则确定数据包的信息符合第二安全规则；否则，确定数据包的信息不符合第二安全规则；在无法确定接收到的数据包具有与数据包的信息对应的安全域标记后，判断数据包的信息是否符合第二安全规则中的默认规则，如果是，则确定数据包的信息符合第二安全规则；否则，确定数据包的信息不符合第二安全规则。可选地，第二处理模块还用于：在判断数据包的信息是否符合预设的第二安全规则之后，将判断的结果信息上报给SDN控制器，以使SDN控制器根据结果信息更新配置在交换机上的第一安全规则。本专利技术实施例中，交换机能够选择符合预设的第一安全规则的数据包进行正常的转发，并将不符合第一安全规则的数据包发送至过滤设备，使过滤设备进一步根据第二安全规则对数据包进行审核并丢弃不符合第二安全规则的数据包，以此实现对数据包的安全控制。由于本专利技术实施例由于能够在SDN控制器的控制下，通过交换机以及过滤设备对数据包进行安全控制，因此无需在交换机下外挂额外的虚拟防火墙就能够实现对数据包的安全控制，从而减轻了由于外挂虚拟防火墙对交换机产生的资源负担，减少了安全控制过程中交换机的资源消耗。附图说明为了更清楚地说明本专利技术实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简要介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域的普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。图1为本专利技术实施例提供的一种进行安全控制的方法的示意图(一)；图2为本专利技术实施例提供的SDN控制系统的结构示意图；图3为本专利技术实施例提供的设置来源安全域标记的方法的本文档来自技高网...

【技术保护点】
一种进行安全控制的方法，其特征在于，该方法包括：交换机判断接收到的数据包的信息是否符合第一安全规则；若所述数据包的信息不符合所述第一安全规则，则所述交换机将所述数据包转发至过滤设备，以使所述过滤设备在确定所述数据包的信息不符合第二安全规则后丢弃该数据包。

【技术特征摘要】
1.一种进行安全控制的方法，其特征在于，该方法包括：交换机判断接收到的数据包的信息是否符合第一安全规则；若所述数据包的信息不符合所述第一安全规则，则所述交换机将所述数据包转发至过滤设备，以使所述过滤设备在确定所述数据包的信息不符合第二安全规则后丢弃该数据包。2.如权利要求1所述的方法，其特征在于，所述第二安全规则中包括所述第一安全规则。3.如权利要求1所述的方法，其特征在于，所述交换机判断数据包的信息是否符合第一安全规则，包括：所述交换机判断是否能够根据数据包的信息与安全域标记的对应关系确定接收到的数据包的信息对应的安全域标记；如果能够确定接收到的数据包的信息对应的安全域标记，则将确定的安全域标记置于数据包中，并判断所述第一安全规则中的安全域标记集合是否有所述数据包的信息对应的安全域标记，如果有，则确定数据包的信息符合第一安全规则；否则，确定数据包的信息不符合第一安全规则；如果无法确定接收到的数据包的信息对应的安全域标记，则所述交换机确定数据包的信息不符合第一安全规则。4.一种进行安全控制的方法，其特征在于，该方法包括：过滤设备判断数据包的信息是否符合预设的第二安全规则，其中所述数据包的信息是交换机在确定接收到的数据包的信息不符合第一安全规则后发送的；若所述数据包的信息不符合所述第二安全规则，则所述过滤设备丢弃所述数据包。5.如权利要求4所述的方法，其特征在于，所述第二安全规则包括所述第一安全规则。6.如权利要求4所述的方法，其特征在于，该方法还包括：若所述数据包的信息符合所述第二安全规则，则所述过滤设备将所述数据包发送至交换机，以使所述交换机对所述数据包进行转发。7.如权利要求4所述的方法，其特征在于，所述过滤设备判断所述数据包的信息是否符合预设的第二安全规则，包括：所述过滤设备判断接收到的数据包是否具有与数据包的信息对应的安全域标记；如果能够确定接收到的数据包具有与数据包的信息对应的安全域标记，则所述过滤设备判断所述第二安全规则中的安全域标记集合是否有所述数据包的信息对应的安全域标记，如果有，则确定数据包的信息符合第二安全规则；否则，确定数据包的信息不符合第二安全规则；如果无法确定接收到的数据包具有与数据包的信息对应的安全域标记，则所述过滤设备判断所述数据包的信息是否符合第二安全规则中的默认规则，如果是，则确定数据包的信息符合第二安全规则；否则，确定数据包的信息不符合第二安全规则。8.如权利要求4所述的方法，其特征在于，在所述过滤设备判断所述数据包的信息是否符合预设的第二安全规则之后，还包括：所述过滤设备将判断的结果信息上报给SDN控制器，以使所述SDN控制器根据所述结果信息更新...

【专利技术属性】
技术研发人员：董文英，
申请(专利权)人：中国移动通信有限公司研究院，中国移动通信集团公司，
类型：发明
国别省市：北京,11