一种安全资源池的引流处理方法及装置与流程

本发明实施例涉及通信安全技术领域，具体涉及一种安全资源池的引流处理方法及装置。

背景技术：

在当前的云安全解决方案中，安全资源池是一种通用的解决方案，安全资源池独立于用户的云平台业务资源池部署，正常情况下业务流量不经过安全资源池，用户需要手动在核心交换机上配置pbr(policybasedrouting，策略路由)策略将流量引入安全资源池进行防护，这种手工配置pbr的方式不仅效率低，而且容易出错，运行维护代价非常大。

技术实现要素：

由于现有方法存在上述问题，本发明实施例提出一种安全资源池的引流处理方法及装置。

第一方面，本发明实施例提出一种安全资源池的引流处理方法，包括：

接收各资源池输入的业务虚机ip和虚拟化安全设备ip，根据所述业务虚机ip和所述虚拟化安全设备ip在交换机上生成对应的策略路由pbr策略或交换机流表；

判断当前网络是否包含软件定义网络sdn控制器；

若当前网络包含所述sdn控制器且所述sdn控制器支持北向接口引流，则通过所述sdn控制器的北向接口根据所述pbr策略或交换机流表将资源池的流量引流至安全资源池。

可选地，所述方法还包括：

若当前网络不包含所述sdn控制器，则通过netconf协议根据所述pbr策略或交换机流表将当前网络的流量引流至安全资源池。

可选地，所述方法还包括：

若当前网络包含所述sdn控制器且所述sdn控制器不支持北向接口引流，则通过netconf协议根据所述pbr策略或交换机流表将当前网络的流量引流至安全资源池。

可选地，所述若当前网络包含所述sdn控制器且所述sdn控制器支持北向接口引流，则通过所述sdn控制器的北向接口根据所述pbr策略或交换机流表将资源池的流量引流至安全资源池，具体包括：

若当前网络包含所述sdn控制器且所述sdn控制器支持北向接口引流，则通过所述sdn控制器的北向接口根据所述pbr策略或交换机流表同时将各资源池的流量引流至安全资源池。

第二方面，本发明实施例还提出一种安全资源池的引流处理装置，包括：

策略生成模块，用于接收各资源池输入的业务虚机ip和虚拟化安全设备ip，根据所述业务虚机ip和所述虚拟化安全设备ip在交换机上生成对应的策略路由pbr策略或交换机流表；

网络判断模块，用于判断当前网络是否包含软件定义网络sdn控制器；

第一资源引流模块，用于若当前网络包含所述sdn控制器且所述sdn控制器支持北向接口引流，则通过所述sdn控制器的北向接口根据所述pbr策略或交换机流表将资源池的流量引流至安全资源池。

可选地，所述装置还包括：

第二资源引流模块，用于若当前网络不包含所述sdn控制器，则通过netconf协议根据所述pbr策略或交换机流表将当前网络的流量引流至安全资源池。

可选地，所述装置还包括：

第三资源引流模块，用于若当前网络包含所述sdn控制器且所述sdn控制器不支持北向接口引流，则通过netconf协议根据所述pbr策略或交换机流表将当前网络的流量引流至安全资源池。

可选地，所述第一资源引流模块，用于具体用于若当前网络包含所述sdn控制器且所述sdn控制器支持北向接口引流，则通过所述sdn控制器的北向接口根据所述pbr策略或交换机流表同时将各资源池的流量引流至安全资源池。

第三方面，本发明实施例还提出一种电子设备，包括：

至少一个处理器；以及

与所述处理器通信连接的至少一个存储器，其中：

所述存储器存储有可被所述处理器执行的程序指令，所述处理器调用所述程序指令能够执行上述方法。

第四方面，本发明实施例还提出一种非暂态计算机可读存储介质，所述非暂态计算机可读存储介质存储计算机程序，所述计算机程序使所述计算机执行上述方法。

由上述技术方案可知，本发明实施例通过判断当前网络包含软件定义网络sdn控制器时，通过sdn控制器的北向接口根据pbr策略或交换机流表将资源池的流量引流至安全资源池，达到了自动化引流配置的目的，避免了手工操作核心交换机的风险，同时提高了运行维护效率。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些图获得其他的附图。

图1为本发明一实施例提供的一种安全资源池的引流处理方法的流程示意图；

图2为本发明一实施例提供的一种安全资源池的引流处理过程的交互示意图；

图3为本发明一实施例提供的一种安全资源池的引流处理装置的结构示意图；

图4为本发明一实施例提供的电子设备的逻辑框图。

具体实施方式

下面结合附图，对本发明的具体实施方式作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案，而不能以此来限制本发明的保护范围。

图1示出了本实施例提供的一种安全资源池的引流处理方法的流程示意图，包括：

s101、接收各资源池输入的业务虚机ip和虚拟化安全设备ip，根据所述业务虚机ip和所述虚拟化安全设备ip在交换机上生成对应的策略路由pbr策略或交换机流表；

具体地，自动化引流控制器在引流之前，获取各资源池输入的业务虚机的ip和虚拟化安全设备的ip，根据业务虚机的ip和虚拟化安全设备的ip在交换机上自动生成对应的pbr策略或者交换机流表，并将pbr策略或者交换机流表进行输出。

其中，自动化引流控制器的引流方法支持交换机的netconf协议、sdn北向接口协议和openflow协议。

s102、判断当前网络是否包含软件定义网络sdn控制器；

s103、若当前网络包含所述sdn控制器且所述sdn控制器支持北向接口引流，则通过所述sdn控制器的北向接口根据所述pbr策略或交换机流表将资源池的流量引流至安全资源池。

具体地，如果用户云平台的网络是使用sdn控制的，即用户已购买sdn控制器来控制所有的交换机，则自动化引流控制器直接调用sdn北向接口完成自动化引流，来解决安全资源池和业务资源池独立部署时业务流量牵引至安全资源池的问题，解决手工配置pbr效率低、易出错、运维困难的问题。

本实施例通过判断当前网络包含软件定义网络sdn控制器时，通过sdn控制器的北向接口根据pbr策略或交换机流表将资源池的流量引流至安全资源池，达到了自动化引流配置的目的，避免了手工操作核心交换机的风险，同时提高了运行维护效率。

进一步地，在上述方法实施例的基础上，所述方法还包括：

s104、若当前网络不包含所述sdn控制器，则通过netconf协议根据所述pbr策略或交换机流表将当前网络的流量引流至安全资源池。

s105、若当前网络包含所述sdn控制器且所述sdn控制器不支持北向接口引流，则通过netconf协议根据所述pbr策略或交换机流表将当前网络的流量引流至安全资源池。

具体地，如果用户的网络是传统网络并且没有购买sdn控制器，或者该sdn控制器不支持北向接口引流，则自动化引流控制器直接通过netconf协议控制交换机配置pbr完成引流。

进一步地，在上述方法实施例的基础上，s103具体包括：

若当前网络包含所述sdn控制器且所述sdn控制器支持北向接口引流，则通过所述sdn控制器的北向接口根据所述pbr策略或交换机流表同时将各资源池的流量引流至安全资源池。

引流控制器屏蔽了用户对核心交换机的直接操作，用户只需要在安全资源池中配置和sdn对接或者netconf对接即可完成自动化引流，达到了自动化引流配置的目的，避免了手工操作核心交换机的风险、提高了运维效率。

举例来说，如图2所述，有两个云平台，对应着两个安全资源池，一个是业务资源池，另一个是360安全资源池。其中一个云平台购买了sdn来实现虚拟化网络，另外一个云平台没有购买，为了同时解决两个资源池的引流问题，本实施例采用如下方式：首先，引流控制器同时支持多个资源池的自动化引流配置，sdn云平台直接在引流控制器上配置sdn对接信息，直接通过sdn北向接口完成引流，非sdn云平台直接配置netconf信息通过netconf自动化配置pbr完成引流。其中，sdn控制器向核心交换机南向下发openflow流表将业务资源池南北向流量牵引至安全资源池的安全组件中，csmp控制节点通过调用sdn控制器北向提供的引流api接口下发引流策略。

对用户来说，不用关心云平台是sdn架构还是非sdn架构，都可以自动化完成引流，完成安全即服务的配置，非常方便，并且不容易出错。

图3示出了本实施例提供的一种安全资源池的引流处理装置的结构示意图，所述装置包括：策略生成模块301、网络判断模块302和第一资源引流模块303，其中：

所述策略生成模块301用于接收各资源池输入的业务虚机ip和虚拟化安全设备ip，根据所述业务虚机ip和所述虚拟化安全设备ip在交换机上生成对应的策略路由pbr策略或交换机流表；

所述网络判断模块302用于判断当前网络是否包含软件定义网络sdn控制器；

所述第一资源引流模块303用于若当前网络包含所述sdn控制器且所述sdn控制器支持北向接口引流，则通过所述sdn控制器的北向接口根据所述pbr策略或交换机流表将资源池的流量引流至安全资源池。

具体地，所述策略生成模块301接收各资源池输入的业务虚机ip和虚拟化安全设备ip，根据所述业务虚机ip和所述虚拟化安全设备ip在交换机上生成对应的策略路由pbr策略或交换机流表；所述网络判断模块302判断当前网络是否包含软件定义网络sdn控制器；所述第一资源引流模块303若当前网络包含所述sdn控制器且所述sdn控制器支持北向接口引流，则通过所述sdn控制器的北向接口根据所述pbr策略或交换机流表将资源池的流量引流至安全资源池。

本实施例通过判断当前网络包含软件定义网络sdn控制器时，通过sdn控制器的北向接口根据pbr策略或交换机流表将资源池的流量引流至安全资源池，达到了自动化引流配置的目的，避免了手工操作核心交换机的风险，同时提高了运行维护效率。

进一步地，在上述装置实施例的基础上，所述装置还包括：

第二资源引流模块，用于若当前网络不包含所述sdn控制器，则通过netconf协议根据所述pbr策略或交换机流表将当前网络的流量引流至安全资源池。

进一步地，在上述装置实施例的基础上，所述装置还包括：

第三资源引流模块，用于若当前网络包含所述sdn控制器且所述sdn控制器不支持北向接口引流，则通过netconf协议根据所述pbr策略或交换机流表将当前网络的流量引流至安全资源池。

进一步地，在上述装置实施例的基础上，所述第一资源引流模块303用于具体用于若当前网络包含所述sdn控制器且所述sdn控制器支持北向接口引流，则通过所述sdn控制器的北向接口根据所述pbr策略或交换机流表同时将各资源池的流量引流至安全资源池。

本实施例所述的安全资源池的引流处理装置可以用于执行上述方法实施例，其原理和技术效果类似，此处不再赘述。

参照图4，所述电子设备，包括：处理器(processor)401、存储器(memory)402和总线403；

其中，

所述处理器401和存储器402通过所述总线403完成相互间的通信；

所述处理器401用于调用所述存储器402中的程序指令，以执行上述各方法实施例所提供的方法。

本实施例公开一种计算机程序产品，所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序，所述计算机程序包括程序指令，当所述程序指令被计算机执行时，计算机能够执行上述各方法实施例所提供的方法。

本实施例提供一种非暂态计算机可读存储介质，所述非暂态计算机可读存储介质存储计算机指令，所述计算机指令使所述计算机执行上述各方法实施例所提供的方法。

以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下，即可以理解并实施。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如rom/ram、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。

应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。