一种虚拟网络流量安全控制方法及装置的制造方法

一种虚拟网络流量安全控制方法及装置的制造方法
【专利摘要】本发明提供一种虚拟网络流量安全控制方法和装置，包括接收用户输入的安全控制信息，所述安全控制信息包括需要进行安全控制的数据流的信息，根据所述安全控制信息和虚拟网络设备配置表确定引流策略，所述虚拟网络设备配置表为数据流在虚拟网络设备中的配置信息，所述引流策略为将数据流由虚拟网络设备引流至安全设备的路由策略，执行所述引流策略，以使所述数据流由虚拟网络设备流向安全设备。本发明提供的虚拟网络流量安全控制方法和装置，能够将虚拟网络设备中的数据流，按照用户制定的安全控制需求，将数据流引流至物理安全设备中进行安全防护，实现对虚拟网络设备中的数据流的深度防护。
【专利说明】
一种虚拟网络流量安全控制方法及装置
技术领域
[0001]本发明涉及信息安全技术领域，具体涉及一种虚拟网络流量安全控制方法及装置。
【背景技术】
[0002]云计算技术的发展给传统的数据中心带来深刻的变革，云数据中心业务的发展对传统数据中心的网络架构提出了新的要求:传统数据中心网络通常依靠不断添加设备来提升网络性能，同时通过不断的调整网络拓扑结构来适应传统网络防护设备的部署需求，导致运维管理越来越复杂，资源难以实现整合和调配，资源利用率和系统应变能力低下。
[0003]网络虚拟化技术的应用，改变了传统网络架构；云数据中心采用虚拟交换机及虚拟路由器后，传统的物理接入交换机变成汇聚层，而接入层功能由虚拟交换机及路由器实现;所有的二层策略与安全策略都在虚拟交换机端口上部署，三层路由转发在虚拟路由器接口上实现;虚拟网络流量在物理链路上不可见;造成传统网络安全设备无法直接应用到虚拟网络中，虚拟网络流量无法再像传统的物理防护一样，得到全面的安全防护；只能依靠简单的安全组策略进行防护，难以满足对云上业务系统之间网络访问的安全控制需求。
[0004]如何从根本上解决虚拟网络设备中流量的安全防护，实现虚拟网络设备中数据流的安全控制，是信息技术领域亟待解决的问题。

【发明内容】

[0005]本发明所要解决的技术问题是针对现有技术中所存在的上述缺陷，提供一种虚拟网络流量安全控制方法及装置，用以解决现有技术中虚拟设备中数据流的安全控制的问题。
[0006]为实现上述目的，本发明提供一种虚拟网络流量安全控制方法，应用于包括虚拟网络设备和安全设备的网络中，所述方法包括:
[0007]接收用户输入的安全控制信息，所述安全控制信息包括需要进行安全控制的数据流的ig息;
[0008]根据所述安全控制信息和虚拟网络设备配置表确定引流策略，所述虚拟网络设备配置表为数据流在虚拟网络设备中的配置信息，所述引流策略为将数据流由虚拟网络设备引流至安全设备的路由策略；
[0009]执行所述引流策略，以使所述数据流由虚拟网络设备流向安全设备。
[0010]优选的，在根据所述安全控制信息和虚拟网络设备配置表确定引流策略之后，所述方法还包括:
[0011]根据所述安全控制信息和安全设备信息表确定安全策略，所述安全设备信息表包括安全设备的安全等级信息，所述安全策略为根据安全控制信息为数据流配置相应安全等级的安全设备的策略;所述执行所述引流策略，以使所述数据流由虚拟网络设备流向安全设备之后，所述方法还包括:执行所述安全策略，以使所述数据流流向所述安全策略对应的安全设备。
[0012]优选的，在所述执行所述引流策略，以使所述数据流由虚拟网络设备流向安全设备之前，且在所述根据所述安全控制信息和安全设备信息表确定安全策略之后，所述方法还包括:
[0013]确定根据所述安全策略和所述安全设备信息表，确定安全设备配置策略，所述安全设备配置策略为根据安全策略为安全设备配置相应的安全等级的策略;执行所述安全设备配置策略，以使安全设备配置相应的安全策略。
[0014]优选的，所述方法还包括:监控所述引流策略、安全策略和安全设备配置策略的执行状态。
[0015]优选的，所述方法还包括:当监控到所述引流策略、安全策略和安全设备配置策略中至少一项策略的执行状态不正常时，执行应急策略，所述应急策略为终止当前执行中的策略，并将数据流倒回到初始路由或备用路由的策略。
[0016]优选的，在执行所述安全设备配置策略之前，所述方法还包括:测试所述引流策略、安全策略和安全设备配置策略;若所述弓I流策略、安全策略和安全设备配置策略中至少一项策略的测试结果为不成功，则不执行所述引流策略、安全策略和安全设备配置策略。
[0017]本发明还提供一种虚拟网络流量安全控制装置，包括:
[0018]接收模块，用于接收用户输入的安全控制信息，所述安全控制信息包括需要进行安全控制的数据流的信息；
[0019]引流策略模块，用于根据所述安全控制信息和虚拟网络设备配置表确定引流策略，所述虚拟网络设备配置表为数据流在虚拟网络设备中的配置信息，所述引流策略为将数据流由虚拟网络设备引流至安全设备的路由策略；
[0020]执行模块，用于执行所述引流策略，以使所述数据流由虚拟网络设备流向安全设备。
[0021]优选的，还包括:
[0022]安全策略模块，用于根据所述安全控制信息和安全设备信息表确定安全策略，所述安全设备信息表包括安全设备的安全等级信息，所述安全策略为根据安全控制信息为数据流配置相应安全等级的安全设备的策略；
[0023]所述执行模块，用于执行所述安全策略，以使所述数据流流向所述安全策略对应的安全设备。
[0024]优选的，还包括:
[0025]安全设备配置模块，用于确定根据所述安全策略和所述安全设备信息表，确定安全设备配置策略，所述安全设备配置策略为根据安全策略为安全设备配置相应的安全等级的策略，
[0026]安全设备调度模块，用于执行所述安全设备配置策略，以使安全设备配置相应的安全策略。
[0027]优选的，还包括:
[0028]监控模块，用于监控所述引流策略、安全策略和安全设备配置策略的执行状态。
[0029]优选的，还包括:
[0030]应急策略模块，用于当监控到所述引流策略、安全策略和安全设备配置策略中至少一项策略的执行状态不正常时，执行应急策略，所述应急策略为终止当前执行中的策略，并将数据流倒回到初始路由或备用路由的策略。
[0031]优选的，还包括:
[0032]测试模块，用于测试所述引流策略、安全策略和安全设备配置策略;若所述引流策略、安全策略和安全设备配置策略中至少一项策略的测试结果为不成功，则不执行所述引流策略、安全策略和安全设备配置策略。
[0033]本发明所提供的虚拟网络流量安全控制方法和装置，能够将虚拟网络设备中的数据流，按照用户制定的安全控制需求，将数据流引流至物理安全设备中进行安全防护，并且提供测试和监控功能，并且能够实现对不同的安全防护的需求配置不同的安全设备的要求，能够真正做到将虚拟网络设备中的数据流进行有效安全控制的目的。
【附图说明】
[0034]为了更清楚的说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图做简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0035]图1为本发明提供的虚拟网络流量安全控制方法第一实施例的流程示意图；
[0036]图2为本发明提供的虚拟网络流量安全控制方法第二实施例的流程示意图；
[0037]图3为本发明提供的虚拟网络流量安全控制方法第二实施例对应的装置结构示意图。
【具体实施方式】
[0038]为使本领域技术人员更好地理解本发明的技术方案，下面结合附图和实施例对本发明作进一步详细描述。显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
[0039]图1为本发明提供的虚拟网络流量安全控制方法第一实施例的流程示意图，如图1所示的虚拟网络流量安全控制方法第一实施例的流程包括:
[0040]步骤SlOl，接收用户输入的安全控制信息。
[0041]具体的，所述安全控制信息包括需要进行安全控制的数据流的信息。在基于云环境下的虚拟网络中，不同的用户对各自数据流安全控制的要求不同，即使是一个用户，对不同数据流的安全控制也会存在差别，本发明能够为用户提供个性化的数据流安全控制。
[0042]可以理解的是，本发明提供一个可以进行数据流安全控制信息输入的接口，例如一个自助服务的门户网站，使客户能够在网站输入对需要进行安全防护的数据流的安全控制的要求。可以理解的是，可以只进行需要进行安全防护的数据流的信息输入，也可以进一步对安全控制的等级等防护需求进行输入。
[0043]步骤S102，根据所述安全控制信息和虚拟网络设备配置表确定引流策略，所述虚拟网络设备配置表为数据流在虚拟网络设备中的配置信息，所述引流策略为将数据流由虚拟网络设备引流至安全设备的路由策略。
[0044]具体的，根据用户输入需要进行安全防护的数据流的信息，结合虚拟网络设备配置表，制定引流策略，确定好将用户制定的需要进行安全防护的数据流引流至安全设备的路由策略等。
[0045]在实际的应用中，安全设备包括防火墙，IDS(入侵检测系统)，IPS(入侵防御系统)等，可用于提供高级别的数据流安全防护的设备。
[0046]步骤S103，执行所述引流策略，以使所述数据流由虚拟网络设备流向安全设备。
[0047]具体的，执行引流策略，将用户指定的需要进行安全防护的数据流引流至安全设备，完成数据流从虚拟设备向实体安全设备的引流，使数据流得到有效的安全防护。
[0048]本实施例所提供的虚拟网络流量安全控制方法，能够按照用户的需求，将需要进行防护的数据流从虚拟网络设备引流至实体的安全设备，从而完成对数据流的高效的安全防护，解决虚拟设备中的数据流安全控制问题。
[0049]图2为本发明提供的虚拟网络流量安全控制方法第二实施例的流程示意图，如图2所示的虚拟网络流量安全控制方法第二实施例的流程包括:
[0050]步骤S201，接收用户输入的安全控制信息。
[0051 ]具体的，同实施例一的步骤SlOl，不再赘述。
[0052]步骤S202，确定引流策略和安全策略。
[0053]具体的，本实施例中，出引流策略外，还需要确定安全策略，所述安全策略根据所述安全控制信息和安全设备信息表来确定，是为数据流配置不同的安全防护等级的安全设备的策略。在实际应用中，由于存在不同防护等级的需求，安全设备也具备不同等级的防护能力，为用户确定的数据流提供安全防护时，即可以按照用户制定的安全防护的等级为数据流配置相应的安全设备，也可以根据用户确定的数据流本身的数据特性，为其确定安全策略。安全设备信息表中，存储有不同安全设备所具有的安全防护等级信息，用于结合用户输入的安全控制信息，为数据流选择相应的安全设备。
[0054]步骤S203，确定安全设备配置策略。
[0055]具体的，可以理解的是，基于设备高效使用的需求，在实际应用中，可以将安全设备的安全防护等级进行动态的配置，于是，根据安全策略和安全设备信息表，可以确定安全设备配置策略，为安全设备配置相应的安全等级，从而实现安全设备最大效率的使用，以及实现数据流安全防护等级的精确配置。
[0056]步骤S204，测试安全设备配置策略，引流策略和安全策略。
[0057]具体的，在实际应用中，超大型的网络虽然具备实时对设备状态或链路状态的监控，但为了保证网络设备的安全运行，保证数据流引流策略等的安全性，经常采用提前测试的方法，从而提高数据倒流的安全性和成功率。
[0058]通常，在网络中会采用设置网络探针的方式或设置单独的对应功能模块的方式对网络设备、链路状况等进行监控，随时监控网络设备或链路的的运行状况，但无论何种方式的监控，在网络设备或链路状态出现问题时，从异常状态的出现到监控发现，可能都会存在一定的时延，在安全设备配置策略，引流策略和安全策略确定时的网络设备和链路的状态，也会实时改变，所以，首先利用网络探针进行测试，会在很大程度上保证网络中数据流的安全性。
[0059]本实施例对安全设备配置策略，引流策略和安全策略执行前，提供利用网络探针进行测试的方式，提高数据流的安全性和策略执行的成功率。
[0060]步骤S205，判断测试结果是否均正常，如正常，接步骤S206，如不正常，跳至步骤S211o
[0061]具体的，如网络探针测试正常，正常进行下一步的策略执行步骤，如测试结果不正常，可能是网络设备或链路状态已不具备策略确定时的条件，需要停止任何策略的执行，进行策略的重新制定。
[0062]步骤S206，执行安全设备配置策略。
[0063]具体的，当一个网络中的安全设备配置复杂，且支持根据需要动态调配安全设备的安全等级时，可以按照需要对安全设备配置相应的安全等级，提高安全设备的利用率。
[0064]安全设备配置策略是第一个需要执行的策略，安全设备是数据流引流的目标，其安全设备根据安全策略进行配置，是数据流引流的前提。
[0065]步骤S207，监控执行状态是否正常，如正常，接步骤S208，如不正常，跳至步骤S210o
[0066]具体的，本实施例提供在策略执行的过程中，同时对策略的执行情况进行监控，监控范围包括相关设备的运彳丁状态，相关链路的状态和数据流的引流执彳丁状态等。本步骤中，主要监控的目标为安全设备的配置是否顺利完成。
[0067]步骤S208，执行引流策略和安全策略。
[0068]具体的，在安全设备策略执行成功后，需要执行引流策略和安全策略，其中，所述引流策略为将数据流由虚拟网络设备引流至安全设备的路由策略，所述安全策略为根据安全控制信息为数据流配置相应安全等级的安全设备的策略，执行引流策略和安全策略为，将数据流由虚拟网络设备引流至具有相应安全等级的安全设备的路由策略。
[0069]在具体应用中，如安全设备的配置没有差别，不需要对安全设备的安全等级进行考量时，只需执行引流策略即可，同理，在此步骤前，也不需要执行安全设备配置策略。
[0070]步骤S209，监控执行状态是否正常，如正常，跳至步骤S211，如不正常，接步骤S210o
[0071]具体的，在执行引流策略和安全策略的同时，也需要对策略的执行情况进行监控，同理可采用网络探针或其他相应的监控功能来执行此项监控。
[0072]引流策略和安全策略的执行，已经涉及到了数据流的引流，其策略的执行不但需要监控，而且，需要制定好相应的应急策略，当数据流的引流出现问题后，为保证数据流的安全，需要第一时间将数据流倒回到原始路由或引流至备用路由，进行数据流的安全保护。
[0073]步骤S210，执行应急策略。
[0074]具体的，当监控到数据流的引流过程，或者是引流过程中，网络中出现其他可能会影响策略执行结果的设备异常或链路状态异常时，均需要根据相应的应急策略将数据流进行倒回原始路由或备用路由
[0075]步骤S211，结束。
[0076]本实施例所提供的虚拟网络流量安全控制方法，在第一实施例的基础上，提供了对数据引流策略的测试和监控，支持数据流的安全倒回，并可根据安全设备的配置，根据用户的输入或数据流的特征，进行安全等级的选择，进一步提供了网络设备的利用率，也提高了数据流安全控制的效率。
[0077]图3为本发明提供的虚拟网络流量安全控制方法第二实施例对应的装置结构示意图，如图3所示的虚拟网络流量安全控制装置包括:
[0078]接收模块301，用于接收用户输入的安全控制信息，所述安全控制信息包括需要进行安全控制的数据流的信息，
[0079]引流策略模块302，用于根据所述安全控制信息和虚拟网络设备配置表确定引流策略，所述虚拟网络设备配置表为数据流在虚拟网络设备中的配置信息，所述引流策略为将数据流由虚拟网络设备引流至安全设备的路由策略，
[0080]安全策略模块303，用于根据所述安全控制信息和安全设备信息表确定安全策略，所述安全设备信息表包括安全设备的安全等级信息，所述安全策略为根据安全控制信息为数据流配置相应安全等级的安全设备的策略，
[0081]安全设备配置模块304，用于确定根据所述安全策略和所述安全设备信息表，确定安全设备配置策略，所述安全设备配置策略为根据安全策略为安全设备配置相应的安全等级的策略，
[0082]测试模块305，用于测试所述引流策略，安全策略和安全设备配置策略，测试结果包括成功和不成功，当所述引流策略、安全策略和安全设备配置策略中任一项策略的测试结果为不成功时，不执行所述弓I流策略、安全策略和安全设备配置策略。
[0083]安全设备调度模块306，用于执行所述安全设备配置策略，以使安全设备配置相应的安全策略。
[0084]执行模块307，用于执行所述引流策略，以使所述数据流由虚拟网络设备流向安全设备，具体用于执行所述引流策略和所述安全策略，以使所述数据流有虚拟网络设备流向所述安全策略对应的安全设备。
[0085]监控模块308，用于监控所述引流策略、安全策略和安全设备配置策略的执行状态，所述执行状态包括正常或不正常。
[0086]应急策略模块309，用于当监控模块监控到所述引流策略、安全策略和安全设备配置策略中任一项策略的执行状态不正常时，触发应急策略模块执行应急策略，所述应急策略为终止当前执行中的策略，并将数据流倒回到初始路由或备用路由的策略。
[0087]本发明提供的虚拟网络流量安全控制方法第二实施例对应的装置，提供对数据引流策略的测试和监控，支持数据流的安全倒回，并可根据安全设备的配置，根据用户的输入或数据流的特征，进行安全等级的选择，进一步提供了网络设备的利用率，也提高了数据流安全控制的效率。
[0088]在本申请所提供的几个实施例中，应该理解到，所揭露的方法、设备和系统，可以通过其它的方式实现。例如，以上所描述的设备实施例仅是是示意性的，所述功能模块的划分，仅为一种逻辑功能的划分，实际实现时可以有另外的划分方式，例如多个模块可以结合或者可以集成到另一个系统，或者一些特征可以忽略，或不执行。
[0089]最后应说明的是:以上实施例仅用以说明本发明的技术方案，而非对其限制;尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
【主权项】
1.一种虚拟网络流量安全控制方法，应用于包括虚拟网络设备和安全设备的网络中，其特征在于，所述方法包括: 接收用户输入的安全控制信息，所述安全控制信息包括需要进行安全控制的数据流的信息； 根据所述安全控制信息和虚拟网络设备配置表确定引流策略，所述虚拟网络设备配置表为数据流在虚拟网络设备中的配置信息，所述引流策略为将数据流由虚拟网络设备引流至安全设备的路由策略； 执行所述引流策略，以使所述数据流由虚拟网络设备流向安全设备。2.根据权利要求1所述的虚拟网络流量安全控制方法，其特征在于，在根据所述安全控制信息和虚拟网络设备配置表确定引流策略之后，所述方法还包括: 根据所述安全控制信息和安全设备信息表确定安全策略，所述安全设备信息表包括安全设备的安全等级信息，所述安全策略为根据安全控制信息为数据流配置相应安全等级的安全设备的策略； 所述执行所述引流策略，以使所述数据流由虚拟网络设备流向安全设备之后，所述方法还包括: 执行所述安全策略，以使所述数据流流向所述安全策略对应的安全设备。3.根据权利要求1或2所述的虚拟网络流量安全控制方法，其特征在于，在所述执行所述引流策略，以使所述数据流由虚拟网络设备流向安全设备之前，且在所述根据所述安全控制信息和安全设备信息表确定安全策略之后，所述方法还包括: 确定根据所述安全策略和所述安全设备信息表，确定安全设备配置策略，所述安全设备配置策略为根据安全策略为安全设备配置相应的安全等级的策略； 执行所述安全设备配置策略，以使安全设备配置相应的安全策略。4.根据权利要求3所述的虚拟网络流量安全控制方法，其特征在于，所述方法还包括: 监控所述弓I流策略、安全策略和安全设备配置策略的执行状态。5.根据权利要求4所述的虚拟网络流量安全控制方法，其特征在于，所述方法还包括: 当监控到所述引流策略、安全策略和安全设备配置策略中至少一项策略的执行状态不正常时，执行应急策略，所述应急策略为终止当前执行中的策略，并将数据流倒回到初始路由或备用路由的策略。6.根据权利要求3所述的虚拟网络流量安全控制方法，其特征在于，在执行所述安全设备配置策略之前，所述方法还包括: 测试所述弓I流策略、安全策略和安全设备配置策略； 若所述引流策略、安全策略和安全设备配置策略中至少一项策略的测试结果为不成功，则不执行所述弓I流策略、安全策略和安全设备配置策略。7.一种虚拟网络流量安全控制装置，其特征在于，包括: 接收模块，用于接收用户输入的安全控制信息，所述安全控制信息包括需要进行安全控制的数据流的信息； 引流策略模块，用于根据所述安全控制信息和虚拟网络设备配置表确定引流策略，所述虚拟网络设备配置表为数据流在虚拟网络设备中的配置信息，所述引流策略为将数据流由虚拟网络设备引流至安全设备的路由策略； 执行模块，用于执行所述引流策略，以使所述数据流由虚拟网络设备流向安全设备。8.根据权利要求7所述的虚拟网络流量安全控制装置，其特征在于，还包括: 安全策略模块，用于根据所述安全控制信息和安全设备信息表确定安全策略，所述安全设备信息表包括安全设备的安全等级信息，所述安全策略为根据安全控制信息为数据流配置相应安全等级的安全设备的策略； 所述执行模块，用于执行所述安全策略，以使所述数据流流向所述安全策略对应的安全设备。9.根据权利要求7或8所述的虚拟网络流量安全控制装置，其特征在于，还包括: 安全设备配置模块，用于确定根据所述安全策略和所述安全设备信息表，确定安全设备配置策略，所述安全设备配置策略为根据安全策略为安全设备配置相应的安全等级的策略， 安全设备调度模块，用于执行所述安全设备配置策略，以使安全设备配置相应的安全策略。10.根据权利要求9所述的虚拟网络流量安全控制装置，其特征在于，还包括: 监控模块，用于监控所述引流策略、安全策略和安全设备配置策略的执行状态。11.根据权利要求10所述的虚拟网络流量安全控制装置，其特征在于，还包括: 应急策略模块，用于当监控到所述引流策略、安全策略和安全设备配置策略中至少一项策略的执行状态不正常时，执行应急策略，所述应急策略为终止当前执行中的策略，并将数据流倒回到初始路由或备用路由的策略。12.根据权利要求9所述的虚拟网络流量安全控制装置，其特征在于，还包括: 测试模块，用于测试所述引流策略、安全策略和安全设备配置策略;若所述引流策略、安全策略和安全设备配置策略中至少一项策略的测试结果为不成功，则不执行所述引流策略、安全策略和安全设备配置策略。
【文档编号】H04L29/06GK105897766SQ201610429400
【公开日】2016年8月24日
【申请日】2016年6月16日
【发明人】赵远杰, 陈幼雷, 施光源
【申请人】中电长城网际系统应用有限公司