本發明實施例提供了一種安全資源池的實現方法及系統，用于提高了安全資源池對網絡變更的適應性及配置的靈活性。本發明實施例中的安全資源池中設置有獨立的網絡對接設備及第一虛擬交換機，網絡對接設備實現了與用戶側網絡獨立對接功能，第一虛擬交換機獨立實現了安全服務鏈引流功能，實現了網絡對接與安全資源池服務鏈的引流策略功能的解耦，提高了安全資源池對網絡變更的適應性，其次，安全服務鏈中的引流策略可以由至少兩個匹配域字段進行的多維度配置，提高了安全資源池配置的靈活性。

技術領域

本發明涉及網絡安全技術領域，尤其涉及一種安全資源池的實現方法及系統。

背景技術

安全資源池為物理或虛擬安全功能組件的集合，安全功能組件的功能可以包括防火墻、VPN、負載均衡、廣域網加速、上網行為控制、堡壘機以及入侵檢測/防御等。隨著安全資源池的概念被越來越多的用戶所認可，安全資源池的部署案例也逐漸增多起來，安全資源池部署過程中，安全資源池的引流是關鍵。

而目前主要的安全資源池的引流方法(如附圖1所示)是通過策略路由進行引流，其中，針對南北向流量，是在客戶核心路由器處將流量通過策略路由引到安全資源池進行檢測、清洗以及加密或解密。安全資源池內一般是通過一層虛擬/物理路由或兩層虛擬/物理路由進行再次引流操作，如果是兩層虛擬/物理路由(如附圖2所示)，第一次路由根據數據包租戶ID(IP網段、VLAN ID等)，將流量引導至不同租戶的安全資源池路由網關(不同的第二層路由)，由這個網關通過策略路由實現安全服務鏈，即讓流量按順序依次經過不同安全功能組件。如果只有一層虛擬/物理路由(如附圖3所示)，則直接根據租戶ID，實現安全服務鏈。

現有方案中的這種安全資源池的引流方法，主要有以下的弊端：在安全資源池側，因為網絡對接功能及安全資源池服務鏈的引流策略功能都是通過安全資源池路由網關來實現的，故該安全資源池引流方法的網絡對接部分和安全服務鏈引流緊密耦合，當用戶的網絡場景改變，需要改變網絡對接部分時，安全服務鏈也要根據網絡對接部分的改變重新部署，才能滿足新場景下的引流需求，對網絡變更的適應性較差，其次，策略路由往往是目的地址路由或源地址在一個維度上配置引流策略，網關引流的策略不靈活。

發明內容

本發明實施例提供了一種安全資源池的實現方法及系統，用于提高了安全資源池對網絡變更的適應性及配置的靈活性。

本發明實施例第一方面提供了一種安全資源池的實現方法，其特征在于，包括：

網絡對接設備接收用戶側的目標流量包；

所述網絡對接設備將所述目標流量包的五元組與自身存儲的轉發表進行匹配，以確定所述目標流量包對應的交換機目標轉發端口，所述轉發表指示五元組與交換機轉發端口的對應關系；

所述網絡對接設備將所述目標流量包轉發給與所述目標轉發端口連接的第一虛擬交換機；

所述第一虛擬交換機解析所述目標流量包中的匹配域字段，所述目標流量包包括至少兩個匹配域字段；

所述第一虛擬交換機根據所述匹配域字段與本地存儲的流表進行匹配，以確定所述目標流量包對應的安全服務鏈，所述流表指示預置類型的匹配域字段與安全服務鏈的對應關系，所述安全服務鏈指示對應的流量包按照預定的順序經過安全資源池中預置數量的安全功能組件；

所述第一虛擬交換機根據安全服務鏈對所述目標流量包進行安全引流，以完成對所述目標流量包的清洗。

結合第一方面，在第一方面的第一種可能的實施方式中，所述匹配域字段包括但不限于：交換機入端口、源MAC地址、目的MAC地址、以太網類型、以太網標簽、虛擬局域網VLAN優先級、源IP、目的IP、IP協議字段、IP服務類型、TCP/UDP源端口號、TCP/UDP目的端口號。

結合第一方面的第一種可能的實施方式，在第一方面的第二種可能的實施方式中，所述網絡對接設備包括：