【技术实现步骤摘要】
一种数据平面构建方法、系统、电子设备及存储介质
[0001]本专利技术涉及计算机
,尤其涉及一种数据平面构建方法、系统、电子设备及存储介质。
技术介绍
[0002]微分段(Micro
‑
Segmentation)是一种新兴的网络安全技术,可以在数据中心内创建更加精细的安全区域,进而部署更加灵活的安全策略,提升网络安全性。常见的微分段/分布式防火墙实现通常都仅实现了较基本的微分段安全策略功能,但是在实际生产环境中,微分段的使用和部署存在以下问题:在用户自定义的安全规则与实际想要达成的VM(Virtual Manufacturing,虚拟机)连通性之间存在一定差别的情况下,若用户直接设置特定的安全规则并使其生效,会对实际工作负载流量的连通性的产生影响,使其不符合预期,对业务造成一定影响;并且,现有技术中用户自定义的安全策略的实施状态不能较好地进行可视化监控。
技术实现思路
[0003]本专利技术提供一种数据平面构建方法、系统、电子设备及存储介质,用以解决现有技术中若用户直接设置特定的安全规...
【技术保护点】
【技术特征摘要】
1.一种数据平面构建方法,其特征在于,包括:从预设的连接跟踪表中获取任一待处理数据包的连接来源类别,所述连接来源类别包括新连接;当所述待处理数据包的连接来源类别为新连接时,基于预设的实施模式,获取当前的待处理数据包对应的数据流流水线,所述实施模式包括:用于进行安全策略调试的监控模式、用于进行安全策略应用的生效模式,所述监控模式和生效模式分别具有对应的数据流流水线,每个所述数据流流水线均包括多个优先层级的流表,每个流表分别具有相应的安全策略;基于当前的待处理数据包对应的数据流流水线,对所述待处理数据包匹配相应的安全策略;基于所述待处理数据包匹配的安全策略,进行数据平面构建。2.根据权利要求1所述的数据平面构建方法,其特征在于,所述数据流流水线包括:与监控模式相对应的第一数据流流水线;所述第一数据流流水线包括:多个优先层级的依次递进的监控流表组,所述监控流表组包括:一监控流表和对应的一监控生效流表,所述监控流表用于对待处理数据包匹配相应的安全策略并进行标记,并对标记结果进行可视化显示,所述监控生效流表用于接收对应的监控流表传输的待处理数据包,对所述待处理数据包进行安全策略匹配,确定所述待处理数据包所匹配的安全策略,并对所述待处理数据包所匹配的安全策略预先定义的流空间信息进行编码,获取编码结果,将所述编码结果写入所述待处理数据包的元数据的连接跟踪信息中,将所述连接跟踪信息写入预设的连接跟踪提交表中,所述连接跟踪提交表用于控制平面获取待处理数据包与对应的安全策略之间的映射关系,基于所述映射关系,处理待处理数据包。3.根据权利要求1所述的数据平面构建方法,其特征在于,所述数据流流水线包括:与生效模式相对应的第二数据流流水线;所述第二数据流流水线包括:多个优先层级的依次递进的实际生效流表,所述实际生效流表用于对所述待处理数据包匹配各自优先层级对应的安全策略,并对所述待处理数据包所匹配的安全策略预先定义的流空间信息进行编码,获取编码结果,将所述编码结果写入所述待处理数据包的元数据的连接跟踪信息中,将所述连接跟踪信息写入预设的连接跟踪提交表中,所述连接跟踪提交表用于控制平面获取待处理数据包与对应的安全策略之间的映射关系,基于所述映射关系,处理待处理数据包。4.根据权利要求2或3所述的数据平面构建方法,其特征在于,对所述待处理数据包所匹配的安全策略预先定义的流空间信息进行编码,获取编码结果的步骤包括:基于所述待处理数据包所匹配的安全策略预先定义的流空间信息,获取区域信息编码点;基于所述区域信息编码点和预设的标准编码点,获取所述编码结果。5.根据权利要求1所述的数据平面构建方法,其特征在于,基于当前的待处理数据包对应的数据流流水线,对所述待处理数据包匹配相应的安全策略的步骤包括:基于预设的流空间信息获取规则,获取所述待处理数据包的待匹配空间信息,所述待匹配空间信息为所述待处理数据包的包头域信息,所述包头...
【专利技术属性】
技术研发人员:罗成程,徐文豪,张凯,王弘毅,
申请(专利权)人:北京志凌海纳科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。