一种报文控制方法和装置制造方法及图纸

本发明专利技术提供一种报文控制方法和装置，应用于包括SM节点、SC节点、SA节点的系统中，所述SC节点用于对全网非主机个性差异的安全策略进行控制，所述SA节点用于对主机个性化策略进行控制，所述方法包括：获取针对虚拟机的安全控制策略、针对SC节点的安全业务配置；将所述安全控制策略发送给安装在所述虚拟机上的SA节点，以使所述SA节点利用所述安全控制策略对自身接收到的报文进行控制；将所述安全业务配置发送给SC节点，以使SC节点利用所述安全业务配置对自身接收到的报文进行控制。通过本发明专利技术的技术方案，可以保证云网络的安全，并保证用户的正常业务，可以实现SC节点的弹性扩展能力，并合理利用SC节点的资源。

【技术实现步骤摘要】
一种报文控制方法和装置
本专利技术涉及通信
，尤其涉及一种报文控制方法和装置。
技术介绍
云计算是指基于互联网等网络，通过虚拟化方式共享IT资源的新型计算模式。其中，云计算的核心思想是：通过网络统一管理和调度计算资源、存储资源、网络资源、软件资源等，实现资源整合与配置优化，以服务的方式满足不同用户随时获取并扩展、按需使用并付费、最大限度地降低成本等各类需求。随着云计算的快速发展，云网络的安全要求也越来越高，如图1所示，为云网络的组网示意图。安全节点为一个真实的物理设备，如防火墙设备等。通过使用该防火墙设备，可以对发送给虚拟机的报文进行安全控制，并可以对来自虚拟机的报文进行安全控制，从而通过防火墙设备实现云网络的安全。随着云网络规模的不断扩大，虚拟机的数量越来越多，且经过防火墙设备的报文也越来越多，由防火墙设备对所有报文进行安全控制时，对防火墙设备的性能要求很高，防火墙设备容易出现性能瓶颈。若防火墙设备发生故障，则无法及时对报文进行处理，影响用户的正常业务，无法保证云网络的安全。
技术实现思路
本专利技术提供一种报文控制方法，应用于包括安全管理SM节点、网络安全网关SC节点、主机安全本文档来自技高网...

【技术保护点】
1.一种报文控制方法，其特征在于，应用于包括安全管理SM节点、网络安全网关SC节点、主机安全代理SA节点的系统中，所述SA节点安装在虚拟机上，每个虚拟机安装一个SA节点；其中，所述SC节点用于对全网非主机个性差异的安全策略进行控制，所述SA节点用于对主机个性化策略进行控制，所述方法应用在SM节点上，所述方法包括：获取针对虚拟机的安全控制策略、针对SC节点的安全业务配置；基于SA节点列表中虚拟机的IP地址，将所述安全控制策略发送给所述IP地址对应的虚拟机上安装的SA节点，以使所述SA节点利用所述安全控制策略对自身接收到的报文进行控制；基于SC节点列表中SC节点的唯一标识，将所述安全业务配置发送给...

【技术特征摘要】
1.一种报文控制方法，其特征在于，应用于包括安全管理SM节点、网络安全网关SC节点、主机安全代理SA节点的系统中，所述SA节点安装在虚拟机上，每个虚拟机安装一个SA节点；其中，所述SC节点用于对全网非主机个性差异的安全策略进行控制，所述SA节点用于对主机个性化策略进行控制，所述方法应用在SM节点上，所述方法包括：获取针对虚拟机的安全控制策略、针对SC节点的安全业务配置；基于SA节点列表中虚拟机的IP地址，将所述安全控制策略发送给所述IP地址对应的虚拟机上安装的SA节点，以使所述SA节点利用所述安全控制策略对自身接收到的报文进行控制；基于SC节点列表中SC节点的唯一标识，将所述安全业务配置发送给所述唯一标识对应的SC节点，以使所述SC节点利用所述安全业务配置对自身接收到的报文进行控制。2.根据权利要求1所述的方法，其特征在于，所述安全控制策略包括HTTP的安全控制策略；所述利用所述安全控制策略对自身接收到的报文进行控制，具体包括：允许虚机网卡发出的HTTP报文丢弃虚拟发出的非HTTP报文；转发发送给虚拟网卡的HTTP报文，丢弃发送给虚拟网卡的非HTTP报文。3.根据权利要求1所述的方法，其特征在于，所述安全业务配置包括NAT策略和/或VPN策略的安全业务配置；所述利用所述安全业务配置对自身接收到的报文进行控制，具体包括：利用NAT策略或者VPN策略对来自虚拟机的报文进行NAT处理或者VPN处理，并将NAT处理或者VPN处理后的报文发送到Internet；利用NAT策略或者VPN策略对来自Internet的报文进行NAT处理或者VPN处理，并将NAT处理或者VPN处理后的报文发送到虚拟机。4.根据权利要求1所述的方法，其特征在于，所述方法进一步包括：在接收到SA节点启动发送的广播消息后，从该广播消息中解析出所述SA节点的唯一标识、以及所述SA节点所在虚拟机的IP地址，并维护一个SA节点列表；其中，该SA节点列表中记录虚拟机的IP地址、SA节点的标识；和/或，在新增SC节点时，获取该SC节点的唯一标识，并维护一个SC节点列表；其中，该SC节点列表中记录了SC节点的唯一标识。5.根据权利要求1所述的方法，其特征在于，所述系统中还包括针对SC节点的负载均衡设备，所述负载均衡设备维护有五元组信息与SC节点之间的映射关系；所述方法进一步包括：所述负载均衡设备接收到发送给SC节点的报文后，基于所述报文的五元组信息查询对应的目标SC节点，并将该报文发送给所述目标SC节点。6.根据权利要求1所述的方法，其特征在于，所述获取针对虚拟机的安全控制策略、针对SC节点的安全业务配置的过程，具体包括：获取在所述SM节点上配置的所有安全配置；针对每个安全配置，若所述安全配置是针对虚拟机的个性化的安全配置，则将所述安全配置确定为针对所述虚拟机的安全控制策略；若所述安全配置是针对全网非主机个性差异的安全配置，则将所述安全配置确定为针对SC节...

【专利技术属性】
技术研发人员：胡国华，
申请(专利权)人：杭州数梦工场科技有限公司，
类型：发明
国别省市：浙江,33