本发明专利技术实施例公开了一种安全资源池的引流处理方法及装置,方法包括:接收各资源池输入的业务虚机IP和虚拟化安全设备IP,根据所述业务虚机IP和所述虚拟化安全设备IP在交换机上生成对应的策略路由PBR策略或交换机流表;判断当前网络是否包含软件定义网络SDN控制器;若当前网络包含所述SDN控制器且所述SDN控制器支持北向接口引流,则通过所述SDN控制器的北向接口根据所述PBR策略或交换机流表将资源池的流量引流至安全资源池。通过判断当前网络包含软件定义网络SDN控制器时,通过SDN控制器的北向接口根据PBR策略或交换机流表将资源池的流量引流至安全资源池,达到了自动化引流配置的目的,避免了手工操作核心交换机的风险,同时提高了运行维护效率。
【技术实现步骤摘要】
一种安全资源池的引流处理方法及装置
本专利技术实施例涉及通信安全
,具体涉及一种安全资源池的引流处理方法及装置。
技术介绍
在当前的云安全解决方案中,安全资源池是一种通用的解决方案,安全资源池独立于用户的云平台业务资源池部署,正常情况下业务流量不经过安全资源池,用户需要手动在核心交换机上配置PBR(PolicyBasedRouting,策略路由)策略将流量引入安全资源池进行防护,这种手工配置PBR的方式不仅效率低,而且容易出错,运行维护代价非常大。
技术实现思路
由于现有方法存在上述问题,本专利技术实施例提出一种安全资源池的引流处理方法及装置。第一方面,本专利技术实施例提出一种安全资源池的引流处理方法,包括:接收各资源池输入的业务虚机IP和虚拟化安全设备IP,根据所述业务虚机IP和所述虚拟化安全设备IP在交换机上生成对应的策略路由PBR策略或交换机流表;判断当前网络是否包含软件定义网络SDN控制器;若当前网络包含所述SDN控制器且所述SDN控制器支持北向接口引流,则通过所述SDN控制器的北向接口根据所述PBR策略或交换机流表将资源池的流量引流至安全资源池。可选地,所述方法还包括:若当前网络不包含所述SDN控制器,则通过netconf协议根据所述PBR策略或交换机流表将当前网络的流量引流至安全资源池。可选地,所述方法还包括:若当前网络包含所述SDN控制器且所述SDN控制器不支持北向接口引流,则通过netconf协议根据所述PBR策略或交换机流表将当前网络的流量引流至安全资源池。可选地,所述若当前网络包含所述SDN控制器且所述SDN控制器支持北向接口引流,则通过所述SDN控制器的北向接口根据所述PBR策略或交换机流表将资源池的流量引流至安全资源池,具体包括:若当前网络包含所述SDN控制器且所述SDN控制器支持北向接口引流,则通过所述SDN控制器的北向接口根据所述PBR策略或交换机流表同时将各资源池的流量引流至安全资源池。第二方面,本专利技术实施例还提出一种安全资源池的引流处理装置,包括:策略生成模块,用于接收各资源池输入的业务虚机IP和虚拟化安全设备IP,根据所述业务虚机IP和所述虚拟化安全设备IP在交换机上生成对应的策略路由PBR策略或交换机流表;网络判断模块,用于判断当前网络是否包含软件定义网络SDN控制器;第一资源引流模块,用于若当前网络包含所述SDN控制器且所述SDN控制器支持北向接口引流,则通过所述SDN控制器的北向接口根据所述PBR策略或交换机流表将资源池的流量引流至安全资源池。可选地,所述装置还包括:第二资源引流模块,用于若当前网络不包含所述SDN控制器,则通过netconf协议根据所述PBR策略或交换机流表将当前网络的流量引流至安全资源池。可选地,所述装置还包括:第三资源引流模块,用于若当前网络包含所述SDN控制器且所述SDN控制器不支持北向接口引流,则通过netconf协议根据所述PBR策略或交换机流表将当前网络的流量引流至安全资源池。可选地,所述第一资源引流模块,用于具体用于若当前网络包含所述SDN控制器且所述SDN控制器支持北向接口引流,则通过所述SDN控制器的北向接口根据所述PBR策略或交换机流表同时将各资源池的流量引流至安全资源池。第三方面,本专利技术实施例还提出一种电子设备,包括:至少一个处理器;以及与所述处理器通信连接的至少一个存储器,其中:所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行上述方法。第四方面,本专利技术实施例还提出一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机程序,所述计算机程序使所述计算机执行上述方法。由上述技术方案可知,本专利技术实施例通过判断当前网络包含软件定义网络SDN控制器时,通过SDN控制器的北向接口根据PBR策略或交换机流表将资源池的流量引流至安全资源池,达到了自动化引流配置的目的,避免了手工操作核心交换机的风险,同时提高了运行维护效率。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些图获得其他的附图。图1为本专利技术一实施例提供的一种安全资源池的引流处理方法的流程示意图;图2为本专利技术一实施例提供的一种安全资源池的引流处理过程的交互示意图;图3为本专利技术一实施例提供的一种安全资源池的引流处理装置的结构示意图;图4为本专利技术一实施例提供的电子设备的逻辑框图。具体实施方式下面结合附图,对本专利技术的具体实施方式作进一步描述。以下实施例仅用于更加清楚地说明本专利技术的技术方案,而不能以此来限制本专利技术的保护范围。图1示出了本实施例提供的一种安全资源池的引流处理方法的流程示意图,包括:S101、接收各资源池输入的业务虚机IP和虚拟化安全设备IP,根据所述业务虚机IP和所述虚拟化安全设备IP在交换机上生成对应的策略路由PBR策略或交换机流表;具体地,自动化引流控制器在引流之前,获取各资源池输入的业务虚机的IP和虚拟化安全设备的IP,根据业务虚机的IP和虚拟化安全设备的IP在交换机上自动生成对应的PBR策略或者交换机流表,并将PBR策略或者交换机流表进行输出。其中,自动化引流控制器的引流方法支持交换机的netconf协议、SDN北向接口协议和OpenFlow协议。S102、判断当前网络是否包含软件定义网络SDN控制器;S103、若当前网络包含所述SDN控制器且所述SDN控制器支持北向接口引流,则通过所述SDN控制器的北向接口根据所述PBR策略或交换机流表将资源池的流量引流至安全资源池。具体地,如果用户云平台的网络是使用SDN控制的,即用户已购买SDN控制器来控制所有的交换机,则自动化引流控制器直接调用SDN北向接口完成自动化引流,来解决安全资源池和业务资源池独立部署时业务流量牵引至安全资源池的问题,解决手工配置PBR效率低、易出错、运维困难的问题。本实施例通过判断当前网络包含软件定义网络SDN控制器时,通过SDN控制器的北向接口根据PBR策略或交换机流表将资源池的流量引流至安全资源池,达到了自动化引流配置的目的,避免了手工操作核心交换机的风险,同时提高了运行维护效率。进一步地,在上述方法实施例的基础上,所述方法还包括:S104、若当前网络不包含所述SDN控制器,则通过netconf协议根据所述PBR策略或交换机流表将当前网络的流量引流至安全资源池。S105、若当前网络包含所述SDN控制器且所述SDN控制器不支持北向接口引流,则通过netconf协议根据所述PBR策略或交换机流表将当前网络的流量引流至安全资源池。具体地,如果用户的网络是传统网络并且没有购买SDN控制器,或者该SDN控制器不支持北向接口引流,则自动化引流控制器直接通过netconf协议控制交换机配置PBR完成引流。进一步地,在上述方法实施例的基础上,S103具体包括:若当前网络包含所述SDN控制器且所述SDN控制器支持北向接口引流,则通过所述SDN控制器的北向接口根据所述PBR策略或交换机流表同时将各资源池的流量引流至安全资源池。引流控制器屏蔽了用户对核心交换机的直接操作,用户只本文档来自技高网...
【技术保护点】
1.一种安全资源池的引流处理方法,其特征在于,包括:接收各资源池输入的业务虚机IP和虚拟化安全设备IP,根据所述业务虚机IP和所述虚拟化安全设备IP在交换机上生成对应的策略路由PBR策略或交换机流表;判断当前网络是否包含软件定义网络SDN控制器;若当前网络包含所述SDN控制器且所述SDN控制器支持北向接口引流,则通过所述SDN控制器的北向接口根据所述PBR策略或交换机流表将资源池的流量引流至安全资源池。
【技术特征摘要】
1.一种安全资源池的引流处理方法,其特征在于,包括:接收各资源池输入的业务虚机IP和虚拟化安全设备IP,根据所述业务虚机IP和所述虚拟化安全设备IP在交换机上生成对应的策略路由PBR策略或交换机流表;判断当前网络是否包含软件定义网络SDN控制器;若当前网络包含所述SDN控制器且所述SDN控制器支持北向接口引流,则通过所述SDN控制器的北向接口根据所述PBR策略或交换机流表将资源池的流量引流至安全资源池。2.根据权利要求1所述的方法,其特征在于,所述方法还包括:若当前网络不包含所述SDN控制器,则通过netconf协议根据所述PBR策略或交换机流表将当前网络的流量引流至安全资源池。3.根据权利要求1所述的方法,其特征在于,所述方法还包括:若当前网络包含所述SDN控制器且所述SDN控制器不支持北向接口引流,则通过netconf协议根据所述PBR策略或交换机流表将当前网络的流量引流至安全资源池。4.根据权利要求1-3任一项所述的方法,其特征在于,所述若当前网络包含所述SDN控制器且所述SDN控制器支持北向接口引流,则通过所述SDN控制器的北向接口根据所述PBR策略或交换机流表将资源池的流量引流至安全资源池,具体包括:若当前网络包含所述SDN控制器且所述SDN控制器支持北向接口引流,则通过所述SDN控制器的北向接口根据所述PBR策略或交换机流表同时将各资源池的流量引流至安全资源池。5.一种安全资源池的引流处理装置,其特征在于,包括:策略生成模块,用于接收各资源池输入的业务虚机IP和虚拟化安全设备IP,根据所述业务虚机IP和所述虚拟化安全设备I...
【专利技术属性】
技术研发人员:鲍坤夫,
申请(专利权)人:北京奇安信科技有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。