本發(fā)明公開(kāi)了一種進(jìn)行安全控制的方法、交換機(jī)以及過(guò)濾設(shè)備。本發(fā)明提供的安全控制的方法，包括：交換機(jī)判斷接收到的數(shù)據(jù)包的信息是否符合第一安全規(guī)則；若數(shù)據(jù)包的信息不符合第一安全規(guī)則，則交換機(jī)將數(shù)據(jù)包轉(zhuǎn)發(fā)至過(guò)濾設(shè)備，以使過(guò)濾設(shè)備在確定數(shù)據(jù)包的信息不符合第二安全規(guī)則后丟棄該數(shù)據(jù)包。本發(fā)明由于無(wú)需在交換機(jī)下外掛額外的虛擬防火墻就能夠?qū)崿F(xiàn)對(duì)數(shù)據(jù)包的安全控制，從而減輕了由于外掛虛擬防火墻對(duì)交換機(jī)產(chǎn)生的資源負(fù)擔(dān)。

技術(shù)領(lǐng)域

本發(fā)明涉及互聯(lián)網(wǎng)技術(shù)領(lǐng)域，特別涉及一種進(jìn)行安全控制的方法、交換機(jī)以及過(guò)濾設(shè)備。

背景技術(shù)

云計(jì)算平臺(tái)中必須提供安全組功能以保護(hù)虛擬機(jī)網(wǎng)絡(luò)安全。該功能把具有相同安全需求的虛擬機(jī)劃分到同一個(gè)安全組，并且在該安全組內(nèi)依據(jù)安全需求設(shè)定一條或多條安全規(guī)則。云計(jì)算平臺(tái)實(shí)例應(yīng)用SDN(Software Defined Network,軟件定義網(wǎng)絡(luò))技術(shù)把安全需求轉(zhuǎn)化成具體的五元組(源/目的IP(Internet Protocol，網(wǎng)際協(xié)議)地址、源/目的端口、協(xié)議類(lèi)型)規(guī)則、并在合適的虛擬或物理網(wǎng)元上部署安全規(guī)則，實(shí)現(xiàn)針對(duì)虛擬機(jī)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行過(guò)濾和保護(hù)的目標(biāo)。

目前使用SDN技術(shù)轉(zhuǎn)化安全規(guī)則的實(shí)現(xiàn)方式包括，使用虛擬機(jī)安裝交換機(jī)的虛擬實(shí)例并使用訪問(wèn)控制列表進(jìn)行安全控制，例如，通過(guò)防火墻需要在第一虛擬交換機(jī)下掛虛擬防火墻，匹配第一流表的數(shù)據(jù)包被轉(zhuǎn)發(fā)給虛擬防火墻執(zhí)行安全校驗(yàn)，其中虛擬防火墻對(duì)數(shù)據(jù)包的校驗(yàn)需要占用第一虛擬交換機(jī)的資源。由于此種方式需要在SDN控制器和SDN額外掛載虛擬防火墻，并通過(guò)虛擬防火墻進(jìn)行數(shù)據(jù)包的校驗(yàn)以及安全控制，因此對(duì)虛擬交換機(jī)造成了額外的資源負(fù)擔(dān)。

綜上，目前基于SDN技術(shù)的安全控制方法需要在虛擬交換機(jī)上外掛額外的虛擬防火墻進(jìn)行數(shù)據(jù)包的校驗(yàn)，由于虛擬防火墻占用了虛擬交換機(jī)的資源，從而對(duì)虛擬交換機(jī)造成資源負(fù)擔(dān)。

發(fā)明內(nèi)容

本發(fā)明提供一種進(jìn)行安全控制的方法、交換機(jī)以及過(guò)濾設(shè)備，用以解決現(xiàn)有技術(shù)中存在的基于SDN技術(shù)的安全控制方法需要在虛擬交換機(jī)上外掛額外的虛擬防火墻進(jìn)行數(shù)據(jù)包的校驗(yàn)，由于虛擬防火墻占用了虛擬交換機(jī)的資源，從而對(duì)虛擬交換機(jī)造成資源負(fù)擔(dān)的問(wèn)題。

本發(fā)明提供的一種進(jìn)行安全控制的方法，包括：

交換機(jī)判斷接收到的數(shù)據(jù)包的信息是否符合第一安全規(guī)則；

若數(shù)據(jù)包的信息不符合第一安全規(guī)則，則交換機(jī)將數(shù)據(jù)包轉(zhuǎn)發(fā)至過(guò)濾設(shè)備，以使過(guò)濾設(shè)備在確定數(shù)據(jù)包的信息不符合第二安全規(guī)則后丟棄該數(shù)據(jù)包。

可選地，第二安全規(guī)則中包括第一安全規(guī)則。

可選地，交換機(jī)判斷數(shù)據(jù)包的信息是否符合第一安全規(guī)則，包括：

交換機(jī)判斷是否能夠根據(jù)數(shù)據(jù)包的信息與安全域標(biāo)記的對(duì)應(yīng)關(guān)系確定接收到的數(shù)據(jù)包的信息對(duì)應(yīng)的安全域標(biāo)記；

如果能夠確定接收到的數(shù)據(jù)包的信息對(duì)應(yīng)的安全域標(biāo)記，則將確定的安全域標(biāo)記置于數(shù)據(jù)包中，并判斷第一安全規(guī)則中的安全域標(biāo)記集合是否有數(shù)據(jù)包的信息對(duì)應(yīng)的安全域標(biāo)記，如果有，則確定數(shù)據(jù)包的信息符合第一安全規(guī)則；否則，確定數(shù)據(jù)包的信息不符合第一安全規(guī)則；

如果無(wú)法確定接收到的數(shù)據(jù)包的信息對(duì)應(yīng)的安全域標(biāo)記，則交換機(jī)確定數(shù)據(jù)包的信息不符合第一安全規(guī)則。

本發(fā)明提供的一種進(jìn)行安全控制的方法，包括：

過(guò)濾設(shè)備判斷數(shù)據(jù)包的信息是否符合預(yù)設(shè)的第二安全規(guī)則，其中數(shù)據(jù)包的信息是交換機(jī)在確定接收到的數(shù)據(jù)包的信息不符合第一安全規(guī)則后發(fā)送的；

若數(shù)據(jù)包的信息不符合第二安全規(guī)則，則過(guò)濾設(shè)備丟棄數(shù)據(jù)包。

可選地，第二安全規(guī)則包括第一安全規(guī)則。

可選地，該方法還包括：