基于安全服务链的流量控制方法、装置及存储介质制造方法及图纸

本发明专利技术公开了一种基于安全服务链的流量控制方法、装置及存储介质。该方法包括：基于目标用户配置的安全服务链，创建至少一个引流安全交换机；在第一业务虚拟机与第二业务虚拟机进行业务交互时，将第一业务虚拟机、至少一个引流安全交换机以及与每个引流安全交换机对应的安全虚拟机进行串行连接，得到业务流量的流经路径，每个安全虚拟机连接在与该安全虚拟机对应的引流安全交换机的trunk网络下，安全虚拟机连接在同一个类型的端口网络下；基于流经路径，控制业务流量流向第二业务虚拟机。本发明专利技术解决了现有技术中业务虚拟机在业务交互时产生的业务流量在传输过程中存在传输效率低的技术问题。低的技术问题。低的技术问题。

【技术实现步骤摘要】
基于安全服务链的流量控制方法、装置及存储介质


[0001]本专利技术涉及信息安全
，具体而言，涉及一种基于安全服务链的流量控制方法、装置及存储介质。

技术介绍

[0002]随着云计算的普及，虚拟机的网络安全越来越受到重视，单一的安全防护产品已不能满足客户的需求，往往需要将各个厂商的安全防护产品串成安全服务链，以进行全方位防护。
[0003]但目前常见的安全服务链解决方案，都是基于NSH(Network Service Header)来实现的。需要云平台和服务链中各个厂商的安全产品都需要有基于NSH协议标准修改报文的能力，这无疑对已有的安全产品增加了二次开发的工作。现有技术还通过部署流量分类控制器，所有引流流量均需要经过流量分类控制器修改报文，不但会增加额外成本，还会导致吞吐瓶颈，使业务流量在传输过程中存在传输效率低的问题。
[0004]针对上述的问题，目前尚未提出有效的解决方案。

技术实现思路

[0005]本专利技术实施例提供了一种基于安全服务链的流量控制方法、装置及存储介质，以至少解决现有技术中业务虚拟机在业务交互时产生的业务流量在传输过程中存在传输效率低的技术问题。
[0006]根据本专利技术实施例的一个方面，提供了一种基于安全服务链的流量控制方法，包括：基于目标用户配置的安全服务链，创建至少一个引流安全交换机，其中，安全服务链中包括至少一个安全虚拟机，每个引流安全交换机与该引流安全交换机对应的安全虚拟机相连接，安全虚拟机用于对第一业务虚拟机和第二业务虚拟机进行业务交互时产生的业务流量进行安全监测，第一业务虚拟机用于处理目标用户对应的业务数据，第二业务虚拟用于处理其他用户对应的业务数据，其他用户为除目标用户之外的用户，引流安全交换机用于控制业务流量流经安全虚拟机；在第一业务虚拟机与第二业务虚拟机进行业务交互时，将第一业务虚拟机、至少一个引流安全交换机以及与每个引流安全交换机对应的安全虚拟机进行串行连接，得到业务流量的流经路径，其中，每个安全虚拟机连接在与该安全虚拟机对应的引流安全交换机的trunk网络下，trunk网络的范围为全部VLAN的trunk网络；基于流经路径，控制业务流量流向第二业务虚拟机。
[0007]进一步的，在第一业务虚拟机与第二业务虚拟机进行业务交互时，将第一业务虚拟机、至少一个引流安全交换机以及与每个引流安全交换机对应的安全虚拟机进行串行连接，得到业务流量的流经路径，包括：基于第一业务虚拟机确定第一业务虚拟机对应的网卡的初始网络信息，其中，初始网络信息为第一业务虚拟机对应的虚拟局域网身份标识；将初始网络信息修改为目标网络信息，其中，目标网络信息为第一引流安全交换机所对应的虚拟局域网身份标识，第一引流安全交换机为业务流量流经的首个安全虚拟机所对应的引流
安全交换机；基于目标网络信息将第一业务虚拟机、至少一个引流安全交换机以及与每个引流安全交换机对应的安全虚拟机进行串行连接，得到业务流量的流经路径。
[0008]进一步的，基于目标网络信息将第一业务虚拟机、至少一个引流安全交换机以及与每个引流安全交换机对应的安全虚拟机进行串行连接，得到业务流量的流经路径，包括：获取业务交换机，其中，至少一个安全虚拟机连接在业务交换机的trunk网络下，trunk网络的范围为全部VLAN的trunk网络，业务交换机与第二业务虚拟机相连接，并且第二业务虚拟机对应的网卡的初始网络信息与第一业务虚拟机对应的网卡的初始网络信息相同；基于目标网络信息将第一业务虚拟机、至少一个引流安全交换机以及与每个引流安全交换机对应的安全虚拟机进行串行连接，得到业务流量的流经路径。
[0009]进一步的，基于流经路径，控制业务流量流向第二业务虚拟机，包括：在基于流经路径控制业务流量流经第一安全虚拟机时，确定业务流量中包含的通讯报文对应的目标网络信息，其中，第一安全虚拟机为业务流量流经的最后一个安全虚拟机；将通讯报文对应的目标网络信息还原为初始网络信息；基于初始网络信息，控制业务流量流向第二业务虚拟机。
[0010]进一步的，基于目标用户配置的安全服务链，创建至少一个引流安全交换机，包括：获取至少一个目标信息，其中，目标信息至少包括安全虚拟机的名称、安全虚拟机接口所对应的网卡信息；基于至少一个目标信息获取至少一个安全虚拟机，并将至少一个安全虚拟机接入安全服务链，其中，每个安全虚拟机与一个目标信息相对应；基于至少一个安全虚拟机创建至少一个引流安全交换机。
[0011]进一步的，基于安全服务链的流量控制方法还包括：对每个安全虚拟机的健康状态进行监控；在第二安全虚拟机出现异常时，基于预设虚拟设备接口将第二安全虚拟机对应的引流安全交换机与第二引流安全交换机相连接，得到第一流经路径，其中，第二引流安全交换机为第三安全虚拟机对应的引流安全交换机，第三安全虚拟机为业务流量流经第二安全虚拟机后流向的安全虚拟机；基于第一流经路径控制业务流量流向第二业务虚拟机。
[0012]进一步的，基于安全服务链的流量控制方法还包括：在安全虚拟机为第四安全虚拟机时，将第四安全虚拟机与业务交换机相连接，其中，第四安全虚拟机为以旁路模式接入的安全虚拟机，旁路模式用于对业务流量进行安全识别；基于第四安全虚拟机对业务流量进行安全检测。
[0013]根据本专利技术实施例的另一方面，还提供了一种基于安全服务链的流量控制装置，包括：创建模块，用于基于目标用户配置的安全服务链，创建至少一个引流安全交换机，其中，安全服务链中包括至少一个安全虚拟机，每个引流安全交换机与该引流安全交换机对应的安全虚拟机相连接，安全虚拟机用于对第一业务虚拟机和第二业务虚拟机进行业务交互时产生的业务流量进行安全监测，第一业务虚拟机用于处理目标用户对应的业务数据，第二业务虚拟用于处理其他用户对应的业务数据，其他用户为除目标用户之外的用户，引流安全交换机用于控制业务流量流经安全虚拟机；连接模块，用于在第一业务虚拟机与第二业务虚拟机进行业务交互时，将第一业务虚拟机、至少一个引流安全交换机以及与每个引流安全交换机对应的安全虚拟机进行串行连接，得到业务流量的流经路径，其中，每个安全虚拟机连接在与该安全虚拟机对应的引流安全交换机的trunk网络下，trunk网络的范围为全部VLAN的trunk网络；控制模块，用于基于流经路径，控制业务流量流向第二业务虚拟
机。
[0014]根据本专利技术实施例的另一方面，还提供了一种计算机可读存储介质，该计算机可读存储介质中存储有计算机程序，其中，计算机程序被设置为运行时执行上述的基于安全服务链的流量控制方法。
[0015]根据本专利技术实施例的另一方面，还提供了一种电子设备，该电子设备包括一个或多个处理器；存储器，用于存储一个或多个程序，当一个或多个程序被一个或多个处理器执行时，使得一个或多个处理器实现用于运行程序，其中，程序被设置为运行时执行上述的基于安全服务链的流量控制方法。
[0016]在本专利技术实施例中，采用将第一业务虚拟机、至少一个引流安全交换机以及与每个引流安全交换机对应的安全虚拟机进行串行连接的方式本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于安全服务链的流量控制方法，其特征在于，包括：基于目标用户配置的安全服务链，创建至少一个引流安全交换机，其中，所述安全服务链中包括至少一个安全虚拟机，每个引流安全交换机与该引流安全交换机对应的安全虚拟机相连接，所述安全虚拟机用于对第一业务虚拟机和第二业务虚拟机进行业务交互时产生的业务流量进行安全监测，所述第一业务虚拟机用于处理所述目标用户对应的业务数据，所述第二业务虚拟用于处理其他用户对应的业务数据，所述其他用户为除所述目标用户之外的用户，所述引流安全交换机用于控制所述业务流量流经所述安全虚拟机；在所述第一业务虚拟机与所述第二业务虚拟机进行业务交互时，将所述第一业务虚拟机、至少一个引流安全交换机以及与每个引流安全交换机对应的安全虚拟机进行串行连接，得到所述业务流量的流经路径，其中，每个安全虚拟机连接在与该安全虚拟机对应的引流安全交换机的trunk网络下，所述trunk网络的范围为全部VLAN的trunk网络；基于所述流经路径，控制所述业务流量流向所述第二业务虚拟机。2.根据权利要求1所述的方法，其特征在于，在所述第一业务虚拟机与所述第二业务虚拟机进行业务交互时，将所述第一业务虚拟机、至少一个引流安全交换机以及与每个引流安全交换机对应的安全虚拟机进行串行连接，得到所述业务流量的流经路径，包括：基于所述第一业务虚拟机确定所述第一业务虚拟机对应的网卡的初始网络信息，其中，所述初始网络信息为所述第一业务虚拟机对应的虚拟局域网身份标识；将所述初始网络信息修改为目标网络信息，其中，所述目标网络信息为第一引流安全交换机所对应的虚拟局域网身份标识，所述第一引流安全交换机为所述业务流量流经的首个安全虚拟机所对应的引流安全交换机；基于所述目标网络信息将所述第一业务虚拟机、至少一个引流安全交换机以及与每个引流安全交换机对应的安全虚拟机进行串行连接，得到所述业务流量的流经路径。3.根据权利要求2所述的方法，其特征在于，基于所述目标网络信息将所述第一业务虚拟机、至少一个引流安全交换机以及与每个引流安全交换机对应的安全虚拟机进行串行连接，得到所述业务流量的流经路径，包括：获取业务交换机，其中，至少一个安全虚拟机连接在所述业务交换机的trunk网络下，所述trunk网络的范围为全部VLAN的trunk网络，所述业务交换机与所述第二业务虚拟机相连接，并且所述第二业务虚拟机对应的网卡的初始网络信息与所述第一业务虚拟机对应的网卡的初始网络信息相同；基于所述目标网络信息将所述第一业务虚拟机、至少一个引流安全交换机以及与每个引流安全交换机对应的安全虚拟机以及所述业务交换机进行串行连接，得到所述业务流量的流经路径。4.根据权利要求3所述的方法，其特征在于，基于所述流经路径，控制所述业务流量流向所述第二业务虚拟机，包括：在基于所述流经路径控制所述业务流量流经第一安全虚拟机时，确定所述业务流量中包含的通讯报文对应的所述目标网络信息，其中，所述第一安全虚拟机为所述业务流量流经的最后一个安全虚拟机；将所述通讯报文对应的所述目标网络信息还原为所述初始网络信息；基于所述...

【专利技术属性】
技术研发人员：杨阳，王真，
申请(专利权)人：山石网科通信技术股份有限公司，
类型：发明
国别省市：