一种网络安全控制的方法及控制器、安全节点与流程

本发明涉及通信技术领域，尤指一种网络安全控制的方法及控制器、安全节点。

背景技术：

当前，许多企业都会在多地建立分支机构，同时，随着移动互联网和云计算的发展，带动企业诸多业务上云和随时随地的移动互联，进而打破了企业原有的安全边界，增加了企业安全管控的难度。

现有的解决方案主要有两种：一种是在企业所有站点部署各种安全设备，分别配置防御策略；另一种是在一个统一的站点(比如企业总部)集中部署安全设备，所有其他站点之间的互访流量均先引入这个站点进行处理，之后再将流量回送到最终目的。

第一种方案的主要缺点是无法为企业提供一个统一的安全策略，容易出现安全薄弱点；第二种方案的主要缺点是需要引流和回传，如果使用专门的链路，则成本较高，如果使用公共的链路，则会影响用户体验。

技术实现要素：

本发明要解决的技术问题是提供一种网络安全控制的方法及控制器、安全节点，以为企业多个节点之间的通信提供统一的安全策略。

一种网络安全控制的方法，包括：

控制器实时监控各个安全节点之间的链路状态；

所述控制器接收到报文后，根据各个安全节点之间的链路状态确定最优路由；

所述控制器将包括所述最优路由信息的转发表发送给所述各个安全节点。

可选地，所述控制器实时监控各个安全节点之间的链路状态之前，还包括：

所述控制器设置安全策略，将所述安全策略下发给各个安全节点。

一种控制器，包括：

监控模块，用于实时监控各个安全节点之间的链路状态；

确定模块，用于接收到报文后，根据各个安全节点之间的链路状态确定最优路由；

发送模块，用于将确定的最优路由信息发送给所述各个安全节点。

可选地，所述控制器还包括：

设置模块，用于设置安全策略；

所述发送模块，还用于将所述安全策略下发给各个安全节点。

一种网络安全控制的方法，包括：

安全节点接收控制器下发的包括最优路由信息的转发表；

所述安全节点根据所述转发表对报文进行通用路由封装协议封装；

所述安全节点转发封装后的报文。

可选地，所述安全节点是利用以下的通用路由封装协议报文头格式对报文进行封装的：复用第一指定位标记是否是安全节点之间的用户数据传输，复用第一指定字段标示用户标识；复用第二指定位标记接收节点是否是终点，复用第二指定字段标示接收节点是非终点时后续的每一跳安全节点标识。

可选地，所述安全节点接收控制器下发的包括最优路由信息的转发表之前，还包括：

所述安全节点接收所述控制器下发的安全策略；

所述安全节点执行所述安全策略。

一种安全节点，包括：

接收模块，用于接收控制器下发的包括最优路由信息的转发表；

封装模块，用于根据所述转发表对报文进行通用路由封装协议封装；

转发模块，用于转发封装后的报文。

可选地，所述封装模块，是利用以下的通用路由封装协议报文头格式对报文进行封装的：复用第一指定位标记是否是安全节点之间的用户数据传输，复用第一指定字段标示用户标识；复用第二指定位标记接收节点是否是终点，复用第二指定字段标示接收节点是非终点时后续的每一跳安全节点标识。

可选地，所述安全节点还包括执行模块，

所述接收模块，还用于接收所述控制器下发的安全策略；

所述执行模块，用于执行所述安全策略。

综上，本发明实施例提供一种网络安全控制的方法及控制器、安全节点，可以为企业多个节点之间的通信提供统一的安全策略，安全性高且成本低。

附图说明

图1本发明实施例的云安全网络架构的示意图；

图2为本发明实施例的控制器侧进行网络安全控制的方法的流程图；

图3为本发明实施例的安全节点侧进行网络安全控制的方法的流程图；

图4为本发明实施例的GRE报文头格式的示意图；

图5是本发明应用示例的两条路径示意图；

图6是本发明应用示例的路径A的安全节点1封装的GRE报文头的示意图；

图7是本发明应用示例的路径B的安全节点1封装的GRE报文头的示意图；

图8是本发明应用示例的路径B的安全节点2封装的GRE报文头的示意图；

图9是本发明应用示例的路径B的安全节点3封装的GRE报文头的示意图；

图10为本发明实施例的控制器的示意图；

图11为本发明实施例的安全节点的示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚明白，下文中将结合附图对本发明的实施例进行详细说明。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互任意组合。

本发明实施例的云安全网络主要由全网部署的多个安全节点和一个集中部署的控制器组成，每个安全节点主要功能包括用户接入、安全策略执行。网络架构如图1所示。

每个安全节点均连接运营商骨干网，并提供internet(因特网)接入功能。受保护的企业用户网络(包括该企业的各个分支机构、数据中心、移动终端等)和就近的安全节点通过VPN(Virtual Private Network，虚拟专用网)隧道连接，各个接入的安全节点为用户执行统一的安全策略。

图2为本发明实施例的控制器侧进行网络安全控制的方法的流程图，如图2所示，本实施例的方法包括以下步骤：

步骤201、控制器实时监控各个安全节点之间的链路状态；

步骤202、控制器接收到报文后，根据各个安全节点之间的链路状态确定最优路由；

步骤203、控制器将包括所述最优路由信息的转发表发送给所述各个安全节点。

本实施例中，由控制器统一设置安全策略，例如，用户接入，访问控制、入侵防御、反病毒等，再将安全策略下发给各个安全节点。

图3为本发明实施例的安全节点侧进行网络安全控制的方法的流程图，如图3所示，本实施例的方法包括以下步骤：

步骤301、安全节点接收控制器下发的包括最优路由信息的转发表；

步骤302、安全节点根据所述转发表对报文进行通用路由封装协议(Generic Routing Encapsulation，简称GRE)封装；

步骤303、安全节点转发封装后的报文。

本实施例中，所述安全节点是利用以下的GRE报文头格式对报文进行封装的：利用第一指定位标记是否是安全节点之间的用户数据传输，利用第一指定字段标示用户标识；利用第二指定位标记接收节点是否是终点，利用第二指定字段标示接收节点是非终点时后续的每一跳安全节点标识。

本实施例的控制器主要功能是实时监控各个安全节点之间的链路状态，为用户计算最优路由并下发到各个安全节点。安全节点依据控制器下发的转发表对报文进行GRE封装。

如图4所示，GRE报文头格式定义：

复用指定的标记及字段，说明如下：

(1)标记K及字段Key：对于安全节点之间的用户数据传输，标记K始终置1，字段Key(32bit)用于标示用户ID；

(2)标记R及字段Routing：当标记R为1时，表示接收节点非终点，需要从routing字段中提取下一跳安全节点的ID(32bit)，然后根据其IP地址重新封装GRE报文。第一个安全节点在封装GRE报文的时候，将第三跳安全节点及其后续的每一跳安全节点ID依序封装在GRE报文头中的Routing字段。后续每个安全节点从Routing字段提取下一跳安全节点的ID，然后根据其IP地址重新封装GRE报文，GRE报文头中的Routing字段填充剩余安全节点的ID。对于倒数第二跳的安全节点，将不再携带Routing字段，同时R标记置0。

图5是本发明应用示例的两条路径示意图，图中两条路径的各安全节点GRE封装情况：

假定安全节点1的ID是1，假定安全节点2的ID是2，假定安全节点3的ID是3，假定安全节点4的ID是4。用户ID是假定是10。

路径A：不经过中间安全节点，安全节点1直接将用户流量转发到目的端所在的安全节点，安全节点1封装的GRE报文头，如图6所示：

标记K置1，字段key填充10(用户ID)。标记R置0，无Routing字段。

路径B：中间经过两个安全节点，各个安全节点封装的GRE报文头如下：

安全节点1，如图7所示：

标记K置1，字段key填充10(用户ID)。标记R置1，Routing字段填充安全节点3和安全节点4的ID。

安全节点2，如图8所示：

标记K置1，字段key填充10(用户ID)。标记R置1，Routing字段填充安全节点4的ID。

安全节点3，如图9所示：

标记K置1，字段key填充10(用户ID)。标记R置0，无Routing字段。

本发明实施例的一种网络安全控制的方法，能够为企业多个节点之间的通信提供统一的安全策略，增强网络安全的鲁棒性。

图10为本发明实施例的控制器的示意图，如图10所示，本实施例的控制器800包括：

监控模块801，用于实时监控各个安全节点之间的链路状态；

确定模块802，用于接收到报文后，根据各个安全节点之间的链路状态确定最优路由；

发送模块803，用于将确定的最优路由信息发送给所述各个安全节点。

在一可选实施例中，控制器800还包括：

设置模块804，用于设置安全策略；

发送模块803，还用于将所述安全策略下发给各个安全节点。

图11为本发明实施例的安全节点的示意图，如图11所示，本实施例的安全节点900包括：

接收模块901，用于接收控制器下发的包括最优路由信息的转发表；

封装模块902，用于根据所述转发表对报文进行通用路由封装协议封装；

转发模块903，用于转发封装后的报文。

其中，封装模块902，是利用以下的通用路由封装协议报文头格式对报文进行封装的：复用第一指定位标记是否是安全节点之间的用户数据传输，复用第一指定字段标示用户标识；复用第二指定位标记接收节点是否是终点，复用第二指定字段标示接收节点是非终点时后续的每一跳安全节点标识。

在一可选实施例中，所述安全节点900还可以包括：执行模块904，

接收模块901，还用于接收所述控制器下发的安全策略；

执行模块904，用于执行所述安全策略。

本实施例的安全节点可以是防火墙，DDoS(Distributed Denial of Service，分布式拒绝服务)流量清洗，Web应用防火墙、IPS(Intrusion Prevention System，入侵防御系统)等。

本发明实施例还提供了一种计算机可读存储介质，其存储有计算机可执行指令，所述计算机可执行指令被执行时实现所述网络安全控制的方法。

本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件(例如处理器)完成，所述程序可以存储于计算机可读存储介质中，如只读存储器、磁盘或光盘等。可选地，上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现。相应地，上述实施例中的每个模块/单元可以采用硬件的形式实现，例如通过集成电路来实现其相应功能，也可以采用软件功能模块的形式实现，例如通过处理器执行存储于存储器中的程序/指令来实现其相应功能。本发明实施例不限制于任何特定形式的硬件和软件的结合。

虽然本发明实施例所揭露的实施方式如上，但所述的内容仅为便于理解本发明实施例而采用的实施方式，并非用以限定本申请。任何本申请所属领域内的技术人员，在不脱离本发明所揭露的精神和范围的前提下，可以在实施的形式及细节上进行任何的修改与变化，但本申请的专利保护范围，仍须以所附的权利要求书所界定的范围为准。