一种安全服务交付方法及系统与流程

本申请涉及网络技术，特别涉及一种安全服务交付方法及系统。

背景技术：

随着云计算技术的发展，用户可以使用云中的网络安全资源处理自己的业务流量，不同的租户共享云计算的基础设施(例如，服务器、网关等设备)；同时，由于不同租户的业务应用对于安全防护有不同的需求，导致租户在选择定义云安全服务时也存在个性化差异，例如，有的租户应用需要使用防火墙，有的租户应用需要使用负载均衡等，此时需要一套科学的流程和方法来定义这种安全即服务的自动化交付模型。

技术实现要素：

本申请提供一种安全服务交付方法及系统，以实现安全服务的自动化部署。

具体地，本申请是通过如下技术方案实现的：

第一方面，提供一种安全服务交付系统，包括：安全云服务模块，安全控制中心模块和设备配置模块；

所述安全云服务模块，用于接收对目标流量提供安全服务的服务请求，所述服务请求携带安全服务信息，并将所述安全服务信息发送至所述安全控制中心模块；

所述安全控制中心模块，用于根据所述安全服务信息确定为所述目标流量提供安全服务的安全设备，并分别确定所述安全设备中的各安全设备的第一服务配置信息及下一跳信息，将所述各安全设备的第一服务配置信息及下一跳信 息发送至所述设备配置模块；

所述设备配置模块，用于将所述各安全设备的第一服务配置信息及下一跳信息分别配置到对应的安全设备，以使所述各安全设备根据自身配置的第一服务配置信息为所述目标流量提供安全服务，根据自身配置的下一跳信息转发所述目标流量。

第二方面，提供一种安全服务交付方法，包括：

接收对目标流量提供安全服务的服务请求，所述服务请求携带安全服务信息；

根据所述安全服务信息，确定为所述目标流量提供安全服务的安全设备，并分别确定所述安全设备中的各安全设备的第一服务配置信息及下一跳信息；

将所述各安全设备的第一服务配置信息及下一跳信息分别配置到对应的安全设备，以使得所述各安全设备根据自身配置的第一服务配置信息为所述目标流量提供安全服务，根据自身配置的下一跳信息转发所述目标流量。

本申请实施例的安全服务交付方法及系统，通过由安全控制中心模块根据安全云服务模块接收的安全服务信息生成安全设备的配置信息，并通过设备配置模块将该配置信息下发到安全设备，使得定制安全服务的用户只需要在安全云服务模块定义自己所需的服务即可，该安全服务交付系统就能够实现用户定制的安全服务的交付，从而实现了安全服务的自动化部署。

附图说明

图1是一个例子中安全服务交付系统的架构图；

图2是一个例子中安全云服务模块的显示界面示意图；

图3是另一个例子中安全服务交付系统的架构图；

图4是一个例子中安全服务交付方法的流程图。

具体实施方式

本申请实施例提供了一种安全服务交付系统，该系统将“安全”作为一 种服务提供给用户，是一种安全即服务(security-as-a-service，SaaS)的提供系统，用户在通过该系统为自己的业务应用流量定制安全服务时，只需要定义安全服务的服务类型、服务的带宽资源保障以及个性化的安全防护策略等安全服务信息，而不必关心提供该安全服务的设备部署。

图1示例了该安全服务交付系统的架构图，如图1所示，该系统可以包括：安全云服务模块11、安全控制中心模块12和设备配置模块13。而为本实施例的安全服务交付系统提供底层物理支撑的是安全设备14，图1所示的安全设备14可以包括多种类型和多个数量的设备，这些设备能够提供安全功能，例如，网关、转发器、智能终端等，比如，可以在网关上进行安全配置使其具有安全功能。本实施例所述的安全设备可以是物理设备，也可以是虚拟设备(例如，虚拟机)；各个设备也可以分散部署在不同的位置。如图1所示，这些设备的配置可以由设备配置模块13统一管理，配置过程后续实施例将描述；可以将设备配置模块13及安全设备14统称为“安全资源池”。

其中，安全云服务模块11，用于接收对目标流量提供安全服务的服务请求，该服务请求包括：安全服务信息，并将该安全服务信息传输至安全控制中心模块12；

例如，安全云服务模块11相当于安全服务交付系统的门户，用户可以在该门户上定制自己所需要的安全服务的类型、策略等信息。参见图2的示例，例如，用户可以在终端设备(比如，电脑)上输入一个预定的站点地址www.cloudsecurity.com，进入到安全云服务模块11。图2仅是示例了该安全云服务模块可以显示的一部分内容，具体实施中的界面显示方式和内容可以自定义设定。例如，以三种类型的安全服务为例，界面中可以显示防火墙模块FW(Fire Wall)、负载均衡模块LB(Load Balancing)、以及入侵防御IPS(Intrusion Prevention System)，供用户选择。例如，云计算的租户在申请公有云服务时，如果需要增加安全服务，则可以通过该安全云服务模块11对目标流量定制所需的云安全服务的安全服务信息。

在一个例子中，安全服务作为一种增值服务，用户可以灵活选择目标流 量的范围，例如，用户可以对自己的全部业务流量都定制该安全服务；或者，用户也可以针对自己的某部分业务流量申请云安全服务。

在另一个例子中，用户所定制的安全服务的安全服务信息，例如可以包括：安全服务的类型。比如，用户可以通过图2所示的站点界面，选择FW服务，或者选择“FW和LB”服务，或者选择“IPS”服务，等，用户可以自由选择需要的安全服务的类型。又例如，对于某一类型的安全服务，用户还可以进一步细化该安全服务的服务策略。仍以防火墙服务为例，假设用户选择了FW服务，参见图2，当用户点击该服务模块时，界面中可以进一步显示该模块对应的内容，比如，该安全服务交付系统可以为FW服务提供三种可供用户选择的选项，包括：1G(吞吐量)/10万(并发量)/30条(策略数量)；2G/50万/60条；10G吞吐/100万并发会话/100条安全策略。例如，用户选择了第三项即10G/100万/100条，则界面将进一步显示出供用户自定义策略的部分，该部分可以用于对上述“第三项策略”进行自定义，比如，用户可以设定防火墙对地址段(IP1-IP2)的报文拒绝通过，另一个地址段(IP3-IP4)的报文允许通过。此外，该FW模块还可以显示一些服务的资费信息，比如10G/100万/100条的服务如何收费。

在又一个例子中，用户所定制的安全服务的安全服务信息，可以包括：至少两个安全服务类型、各安全服务类型对应的服务策略以及该至少两个安全服务类型对应的服务顺序。例如，用户可以申请“FW和LB”服务，或者“FW、LB和IPS”服务，以用户同时申请上述三种安全服务为例，除了上面描述中提到的各安全服务的具体内容之外，用户还可以指定对目标流量执行各安全服务类型的服务顺序，比如先对目标流量进行FW，再执行LB，最后执行IPS；或者，先对目标流量执行LB，再执行FW，然后执行IPS。即用户可以自定义目标流量享受各个安全服务的顺序。

具体实施中，安全云服务模块11接收的安全服务的安全服务信息，不局限于上述提及到的内容，可以根据实际提供的安全服务的类型灵活设定。在安全云服务模块11接收服务信息之后，可以将该服务信息传输至安全控制中 心模块12，例如，可以通过Restful消息传输服务信息。

安全控制中心模块12，用于根据安全服务信息，确定为目标流量提供安全服务的安全设备，并分别确定为目标流量提供安全服务的各安全设备的第一服务配置信息及下一跳信息；安全控制中心模块12还将确定的为目标流量提供安全服务的各安全设备的第一服务配置信息及下一跳信息发送至设备配置模块13。

安全控制中心模块12相当于本实施例的安全服务交付系统的核心管理模块，其可以为用户在安全云服务模块11定制的安全服务，分配安全设备，确定各分配的安全设备的第一服务配置信息，并设计对应的流量转发路径。

需要说明的是，由于业务流量都会经过组网中的汇聚设备或核心设备，因此可在目标流量到达汇聚设备或核心设备时，将目标流量引流至安全设备。相应的，安全控制中心模块12还需要确定汇聚设备或核心设备的下一跳信息，该下一跳信息用于指示目标流量的下一跳为第一个需要经过的安全设备。另外，在目标流量经过最后一个安全设备后，可以返回汇聚设备或核心设备，也可以返回目标流量原有路径上的下一跳设备，因此安全控制中心模块12确定目标流量经过的最后一个安全设备的下一跳信息用于指示目标流量的下一跳为汇聚设备或核心设备或目标流量原有路径上的下一跳设备。

例如，用户要求10G吞吐/100万并发会话/100条安全策略的FW服务，100M/10万并发的IPS服务，1G吞吐/50个VIP虚服务的LB服务，未指定服务顺序，那么安全控制中心模块12在接收到对应于上述要求的安全服务信息后，查看哪些安全设备具有提供该用户要求的服务的能力。

假设安全控制中心模块12确定设备A可提供100M/10万并发的IPS服务，设备B可提供10G吞吐/100万并发会话/100条安全策略的FW服务，设备C提供1G吞吐/50个VIP虚服务的LB服务，则确定目标流量要流经的设备包括：设备A、设备B和设备C。由于用户未指定服务顺序，因此安全控制中心模块12可以任意确定服务顺序，或根据预设的规则确定服务顺序。假定安全设备只是目标流量的流量路径中的其中一部分设备，比如目标流量的 整体的流量路径为“设备F——设备D——设备C——设备A——设备B——设备G——设备W”，在这个路径中，设备A、设备B和设备C为安全资源池中的安全设备，其他设备为非安全设备，其中，设备D为汇聚设备或核心设备。为了将目标流量引导至设备C，安全控制中心模块12可以确定路径上位于设备C的前一个设备(即设备D)的下一跳信息用于指示目标流量的下一跳为设备C；设备C的下一跳信息指示目标流量的下一跳为设备A；设备C的第一服务配置信息包括：LB相关的配置信息；设备A的下一跳信息用于指示目标流量的下一跳为设备B；设备A的第一服务配置信息包括：IPS相关的配置信息；设备B的下一跳信息用于指示目标流量的下一跳为设备G或设备D；设备A的第一服务配置信息包括：IPS相关的配置信息。即在下一跳信息和第一服务配置信息配置到各安全设备上之后，就可以引导用户的目标流量依次流经安全资源池中的各个安全设备，享受到安全设备提供的安全服务。各个安全设备例如可以通过隧道技术将目标流量引导至下一跳设备。

在另一例子中，安全控制中心模块12在确定目标流量的流量路径时，还可以结合考虑安全云服务模块11接收到的多种安全服务的提供顺序，设定符合该提供顺序限定的流量路径。比如，当安全云服务模块11接收到的安全服务信息包括：至少两个安全服务类型、各安全服务类型对应的服务策略以及至少两个安全服务类型对应的服务顺序时，安全控制中心模块12可以按照如下方式进行：首先可以根据至少两个安全服务类型、各安全服务类型对应的服务策略确定为目标流量提供安全服务的安全设备以及各安全设备的第一服务配置信息，比如确定在设备A提供IPS，在设备B提供FW，在设备C提供LB；接着，根据服务顺序以及上述确定的各安全设备的第一服务配置信息确定各安全设备的下一跳信息，假设用户指定的服务顺序是“FW——IPS——LB”，并结合上述确定的“在设备A提供IPS，在设备B提供FW，在设备C提供LB”，则可以确定流量路径为“目标流量先经过设备B，再经过设备A，最后流经设备C”，即设备B的下一跳信息用于指示目标流量的下一跳是设备A，设备A的下一跳信息用于指示目标流量的下一跳是设备C。 此外，用于引导目标流量至安全设备的汇聚设备或核心设备的下一跳信息及路径上最后一个安全设备(即设备A)的下一跳信息的确定过程，可以参见上面例子。

此外，由于安全云服务模块11接收到的安全服务信息，可能是文本字符串或XML格式的信息，比如图2中界面示例的信息样式，这些信息不能直接配置到安全设备上，安全设备通常会具有自己的服务配置标准接口。因此，安全控制中心模块12还用于根据安全服务信息进行格式转换，转换成用于配置安全设备提供安全服务的第一服务配置信息。例如，假设安全控制中心模块12接收到的服务信息中包括：FW服务要配置的其中一条策略，IP1-IP2的报文拒绝，则可以将该信息转换成安全设备适用的标准配置格式，例如Set Rule＝f(IP1,IP2,deny)，这里仅是举例，具体的格式转换根据不同设备的规范执行。

安全控制中心模块12可以将确定的各个安全设备的第一服务配置信息和下一跳信息，通过Netconf消息的格式，传输至设备配置模块13。安全控制中心模块12可以将确定的汇聚设备或核心设备的下一跳信息，通过Netconf消息的格式，传输至设备配置模块13。

设备配置模块13用于将各安全设备的第一服务配置信息和下一跳信息分别配置到对应的安全设备上，以使得安全设备根据第一服务配置信息为目标流量提供安全服务，并根据下一跳信息进行目标流量引导。例如，设备配置模块13可以通过XML消息的格式下发到设备。

设备配置模块13还用于核心设备的下一跳信息配置到核心设备，以使核心设备根据核心设备的下一跳信息将目标流量发送至确定的安全设备；或者，将汇聚设备的下一跳信息配置到汇聚设备，以使汇聚设备根据汇聚设备的下一跳信息将目标流量发送至确定的安全设备。

在一个例子中，本实施例的安全服务交付系统还可以包括：安全云中心模块；参见图3的示例，系统还包括安全云中心模块15。安全设备在对目标流量提供安全服务时，可能会获得一部分未知流量，例如，安全设备通常是 按照一些预定的规则来对报文进行处理，比如匹配某规则的报文允许通过，该规则即上述的以第一服务配置信息的方式下发到设备上，当安全设备找不到与报文匹配的规则时，该报文就属于未知流量，安全设备可以将该未知流量上送到安全云中心模块15，进行安全分析。

安全云中心模块15，可以对未知流量进行安全分析，例如可以依据安全云中心模块从云中的各个设备获取到的大数据(安全分析相关的数据，从中发现潜在的安全风险)，分析该流量是否安全。如果该流量的分析结果具有漏洞利用风险，则可以根据分析结果更新特征库，该特征库中例如包括IPS服务所依据的特征(匹配特定特征的报文进行对应的处理)，以使得提供IPS的安全设备根据该更新的特征库为目标流量提供安全服务。例如，安全云中心模块15可以将特征库的更新特征下发至安全设备，或者安全设备去安全云中心模块15获取。

在另一个例子中，安全云中心模块15对安全设备上报的未知流量分析后，可能会发现该流量存在高危安全风险，可能会导致严重的安全问题，如图4所示，则安全云中心模块15可以提取高风险流量的关键信息如IP地址来源等并生成安全策略(例如，该高风险流量的源IP段的报文不允许通过)，并将该安全策略传输至安全控制中心模块12，由安全控制中心模块12将其下发到安全设备。

安全云中心模块15生成的安全策略，是经过大数据分析之后发现的安全风险，这些安全风险转化的安全策略，这些策略可以与安全云服务模块11接收的用户自定义的策略一起保护目标流量。此外，由于这是安全云中心模块15生成的全局风险策略，因此可以配置到所有的安全设备上(当然，各个安全设备也可以选择是否接收，如果安全设备选择不接受，那么安全云中心模块14可以不用下发到该设备)，配置的方式同第一服务配置信息，这里可以是将安全策略转换成第二服务配置信息，再由设备配置模块13下发到安全设备。用户也可以选择不接受上述的安全云中心模块15生成的安全策略，比如可以通过安全云服务模块11指示，则安全控制中心模块12就不会将安全 云中心模块15生成的安全策略转换成第二服务配置信息发送到设备配置模块13。

本实施例的安全服务交付系统，实现了“安全”服务由申请到配置的自动化流程，只要用户在门户的安全云服务模块定制了自己所需的安全服务，该系统就可以自动根据服务信息配置到安全设备上，从而引导用户指定的要求提供安全服务的目标流量流经安全资源池中的各个安全设备。这种方式提高了安全服务的交付效率，相对于运维人员根据服务信息分别配置各个安全设备，大大减少了运维人员的工作量。此外，本实施例的安全服务交付系统的架构具有较好的开放性，例如，不同厂商的安全设备只要符合标准协议就可以纳入安全资源池，该系统也可以灵活增加多种类型的安全服务，并展示给用户供用户选择。

图4示例了本申请实施例的安全服务交付系统执行的服务提供方法，如图4所示，可以包括：

401、接收对于目标流量提供安全服务的服务请求，所述服务请求携带安全服务信息；

402、根据所述安全服务信息，确定为所述目标流量提供安全服务的安全设备，并分别确定所述安全设备中的各安全设备的第一服务配置信息及下一跳信息；

403、将所述各安全设备的第一服务配置信息及下一跳信息分别配置到对应的安全设备，以使得所述各安全设备根据自身配置的第一服务配置信息为所述目标流量提供安全服务，根据自身配置的下一跳信息转发所述目标流量。

该方法的详细流程可以参见上述的实施例，通过该服务提供方法可以实现安全服务的自动交付。

以上所述仅为本申请的较佳实施例而已，并不用以限制本申请，凡在本申请的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本申请保护的范围之内。