技術領域

本申請涉及網絡完全防護技術領域，尤其涉及一種云數據安全防護方法和裝置。

背景技術

云服務器是一種處理能力可彈性伸縮的計算服務。其中，私有云服務器是只允許部分用戶訪問的云服務器，公有云服務器是所有用戶均可訪問的云服務器(有時需要滿足一定條件才可訪問)。隨著云服務的發展，用戶對網絡安全防護的要求越來越高。若云服務器無法識別某些病毒時，終端將得不到安全保護，從而可能會丟失重要數據，給用戶造成損失。因此，如何進一步提高終端安全是當今一大難題。

在網絡安全場景中，私有云通過在三層路由設備中部署網絡功能虛擬化(Network Function Virtualization，NFV)技術的安全服務，從而對用戶的流量進行過濾。NFV技術時在三層路由設備部署相應的軟件設備，從而對通過該三冊路由設備的所有流量進行過濾。但是，目前NFV技術提供的安全功能，雖然靈活性上能滿足需求，但是對于病毒過濾的性能和針對不同用戶的個性化過濾需求還不能得到滿足。

發明內容

為了解決上述技術問題，本申請具體實施例提供一種云數據安全防護方法和裝置，從而根據云服務上租戶的需求，靈活的對不同租戶實現安全防護，保證租戶流量的網絡安全。

本申請是通過如下方式實現的：

第一方面，本申請具體實施例提供一種云數據安全服務方法，該方法包括：

安全服務設備獲取租戶發送的安全防護請求，安全防護請求包括租戶的標識信息；

安全服務設備根據安全防護請求中包括的租戶的標識信息，確定該租戶的網段地址；

安全服務設備根據安全防護請求向三層網絡設備發送配置指令，配置指令用于指示三層網絡設備將網段地址的流量向安全防護設備發送，配置指令包括租戶的網段地址。

在一個可能的設計中，該方法還包括：

安全服務設備根據安全防護請求向安全防護設備發送配置指令，配置指令用于指示安全防護設備將指定網段地址的流量經過過濾后向三層網絡設備發送，配置指令包括指定的網段地址。

在一個可能的設計中，安全服務設備獲取租戶發送的安全防護請求前，該方法還包括：

安全服務設備向三層網絡設備發送第一數據轉發配置指令，第一數據轉發配置指令包括安全防護設備的標識，第一數據轉發配置指令用于指示三層網絡設備將指定網段地址的流量向安全防護設備發送以及對指定安全防護設備發送的流量進行接收。

在一個可能的設計中，第一數據轉發配置指令還包括驗證信息，驗證信息用于使三層網絡設備確定驗證信息與三層網絡設備對應時根據第一數據轉發配置指令執行。

在一個可能的設計中，安全服務設備獲取租戶發送的安全防護請求前，該方法還包括：

安全服務設備向安全防護設備發送第二數據轉發配置指令，第二數據轉發配置指令包括三層網絡設備的標識和向三層網絡設備發送消息的接口，第二數據轉發配置指令用于指定安全防護設備將過濾后的流量通過指定的接口號向指定地址的三層網絡設備發送。

第二方面，本申請具體實施例提供一種云數據安全防護方法，該方法包括：

安全防護設備獲取安全服務設備發送的配置指令，配置指令包括指定的網段地址；

安全防護設備根據配置指令對指定網段地址的流量進行過濾；

安全防護設備根據配置指令將經過過濾的流量向三層網絡設備發送。

在一個可能的設計中，安全防護設備獲取安全服務設備發送的配置指令前，該方法還包括：

安全防護設備獲取第二數據轉發配置指令，第二數據轉發配置指令包括三層網絡設備的標識、接收三層網絡設備發送的流量的接口和向三層網絡設備發送消息的接口；

安全防護設備執行第二數據轉發配置指令，執行第二數據轉發配置指令包括對指定網段地址的流量進行過濾并將過濾后的流量通過接口向三層網絡設備發送。

在一個可能的設計中，安全防護設備執行第二數據轉發配置指令前，該方法還包括：

安全防護設備為租戶配置相應的用戶名和密碼，使租戶根據該用戶名和密碼登錄到安全防護設備并對該安全防護設備中對租戶對應的網段地址的流量進行過濾時過濾規則進行配置；

安全防護設備根據配置指令對指定網段地址的流量進行過濾，具體包括：根據流量中包括的網段地址對應的租戶配置的過濾規則對流量進行過濾。

第三方面，本申請具體實施例提供一種云數據安全服務裝置，包括：

獲取單元，用于獲取租戶發送的安全防護請求，安全防護請求包括租戶的標識信息；