[發明專利]一種安全資源池的實現方法及系統有效
| 申請號: | 201711487215.0 | 申請日: | 2017-12-29 |
| 公開(公告)號: | CN107920023B | 公開(公告)日: | 2021-01-19 |
| 發明(設計)人: | 陳曉帆;任勇兵;馬耀泉;古亮 | 申請(專利權)人: | 深信服科技股份有限公司 |
| 主分類號: | H04L12/721 | 分類號: | H04L12/721;H04L12/741;H04L12/751;H04L29/06 |
| 代理公司: | 深圳市深佳知識產權代理事務所(普通合伙) 44285 | 代理人: | 王仲凱 |
| 地址: | 518055 廣東省深圳市南*** | 國省代碼: | 廣東;44 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 安全 資源 實現 方法 系統 | ||
1.一種安全資源池的實現方法,其特征在于,包括:
網絡對接設備接收用戶側的目標流量包;
所述網絡對接設備將所述目標流量包的五元組與自身存儲的轉發表進行匹配,以確定所述目標流量包對應的交換機目標轉發端口,所述轉發表指示五元組與交換機轉發端口的對應關系;
所述網絡對接設備將所述目標流量包轉發給與所述目標轉發端口連接的第一虛擬交換機,所述第一虛擬交換機為支持SDN網絡的虛擬交換機;
所述第一虛擬交換機解析所述目標流量包中的匹配域字段,所述目標流量包包括至少兩個匹配域字段;
所述第一虛擬交換機根據所述匹配域字段與本地存儲的流表進行匹配,以確定所述目標流量包對應的安全服務鏈,所述流表指示預置類型的匹配域字段與安全服務鏈的對應關系,所述安全服務鏈指示對應的流量包按照預定的順序經過安全資源池中預置數量的安全功能組件;
所述第一虛擬交換機根據安全服務鏈對所述目標流量包進行安全引流,以完成對所述目標流量包的清洗。
2.根據權利要求1所述的方法,其特征在于,
所述匹配域字段包括但不限于:交換機入端口、源MAC地址、目的MAC地址、以太網類型、以太網標簽、虛擬局域網VLAN優先級、源IP、目的IP、IP協議字段、IP服務類型、TCP/UDP源端口號、TCP/UDP目的端口號。
3.根據權利要求2所述的方法,其特征在于,所述網絡對接設備包括:
第二虛擬交換機以及虛擬路由器,其中,
所述第二虛擬交換機用于接收所述目標流量包并根據對應的目的MAC地址將所述目標流量包轉發給所述虛擬路由器;
所述虛擬路由器根據自身存儲的所述轉發表確定所述目標流量包對應的交換機目標轉發端口。
4.根據權利要求2所述的方法,其特征在于,所述網絡對接設備包括第三虛擬交換機,當接受到所述目標流量包之后,用于將所述目標流量包鏡像到與所述第一虛擬交換機相連的所述目標轉發端口。
5.根據權利要求3或4所述的方法,其特征在于,所述第一虛擬交換機根據安全服務鏈對所述目標流量包進行安全引流,包括:
所述第一虛擬交換機將安全服務鏈對應的服務鏈路徑ID、服務鏈路徑上各安全功能組件的編號及服務鏈元數據封裝到所述目標流量包頭部形成NSH標簽;
所述第一虛擬交換機根據所述NSH標簽中服務鏈路徑ID及所述目標流量包當前所處的節點位置將所述目標流量包引流到下一節點。
6.根據權利要求5所述的方法,其特征在于,
當所述安全資源池中的目標安全功能組件不能識別所述NSH標簽時,所述第一虛擬交換機通過代理proxy功能處理所述NSH標簽,所述proxy功能包括:在安全服務鏈經過所述目標安全功能組件之前去除所述NSH標簽,當安全服務鏈從所述目標安全功能組件回到所述第一虛擬交換機時,為安全服務鏈重新加上所述NSH標簽。
7.據權利要求6所述的方法,其特征在于,
所述匹配域字段還包括租戶ID,當多個租戶使用相同IP地址時,所述第一虛擬交換機根據與本地存儲的流表進行匹配,以確定使用相同IP地址的租戶流量包的安全服務鏈。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于深信服科技股份有限公司,未經深信服科技股份有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201711487215.0/1.html,轉載請聲明來源鉆瓜專利網。
- 上一篇:一種高效環保煤礦分類設備
- 下一篇:膨潤土加工除砂裝置
