一种安全引流方法、系统、设备及介质与流程

本发明属于计算机领域，具体涉及一种安全引流方法、系统、设备及介质。

背景技术：

1、随着云计算技术的发展，越来越多的企业选择构建自己的云环境，作为内部办公平台的基础。云平台上运行的业务不仅需要连接外部网络，获取相关信息为内部用户提供服务，对于异地办公，云环境需要跨越广域网的情况，也需要云平台与外部网络进行通信。以上情况由于接入了互联网，各个局域网就面临着安全风险。

2、在云平台上，企业实体作用云平台的用户租用云平台提供的计算机计算服务，云平台通常采用浮动ip技术对企业用户的云主机提供接入网络服务。企业用户的访问者可通过浮动ip访问其云主机，同样作为知晓其浮动ip的其他人也能通过浮动ip访问该企业的云主机，一般情况下企业的业务云主机一般将计算资源完全用于业务计算，因此，为使计算资源的充分利用，不会在云主机上安装防护软件，这样用于具体业务的云主机则存在通过浮动ip被攻击的风险。

3、因此，传统的实现方式中，为网络提供安全服务共有两种实现方式。一为使用物理硬件设备，如防火墙等，需要在网络规划开始阶段就进行规划和部署，并逐一进行配置和调试，不仅设备采购费用高，还存在难于统一管理和配置的问题，且后续无法根据需求迭代更新进行灵活调整。对于有高性能、超大带宽需求的场景，可以考虑直接使用硬件安全设备。但是对于普通云环境，节点数量较少，运行业务少且对时延和吞吐要求不高的场景，就不适合采购价格昂贵，维护费用高的安全设备。

4、第二种是采用安全软件来实现云主机的安全，安全软件产品运行到生产环境中，并进行网络配置，将外部流量引入安全网元设备，并在安全软件处理后，转发到原有的流量转发路径上，从而进入云环境。以上方式可以大大减少安全网元的使用成本，维护方式更为灵活方便。但需要在每个云主机内安装对应的防护软件，需要消耗云主机的计算资源。使得业务能力必然下降，尤其在需要多个云主机提供业务时需要在每个云主机上都安装安全软件，又会增加软件成本。

5、因此，亟需一种有效的方案来应对上述问题。

技术实现思路

1、为解决上述问题，本发明提出一种安全引流方法，包括：

2、根据业务节点的内部网络地址所属的子网将进出所述业务节点的网络数据转发到与所述子网匹配的安全计算节点；

3、在所述安全计算节点对网络数据进行安全检查，响应于安全检查通过，将所述网络数据发送到所述业务节点或将网络数据发送到外部网络。

4、在本发明的一些实施方式中，根据业务节点的内部网络地址所属的子网将进出所述业务节点的网络数据转发到与所述子网匹配的安全计算节点包括：

5、判断所述网络数据的目的网络地址是否为预定子网内的网络地址；

6、响应于所述目的网络地址为预定子网内的网络地址，则判断所述网络数据的媒体存取控制位址是否为浮动网络地址对应的媒体存取控制位址；

7、响应于所述网络数据的媒体存取控制位址为所述浮动网络地址对应的媒体存取控制位址，将所述网络数据的下一跳的目的网络地址设置为所述安全计算节点的网络地址，并将发送给安全计算节点。

8、在本发明的一些实施方式中，方法还包括：

9、响应于接收到所述网络数据，对所述网络数据的内容部分进行安全检查；

10、响应于所述安全检查通过，将所述网络数据的源媒体存取控制位址修改为所述安全计算节点的媒体存取控制位址，以及将所述目的媒体存取控制位址修改为所述业务节点的媒体存取控制位址并发送到所述业务节点。

11、在本发明的一些实施方式中，根据业务节点的内部网络地址所属的子网将进出所述业务节点的网络数据转发到与所述子网匹配的安全计算节点包括：

12、确定所述网络数据的目的网络地址，并根据所述目的网络地址确定所述网络数据的下一跳的网络地址；以及

13、判断所述网络数据的源网络地址是否为预定子网内的网络地址；

14、响应于所述网络数据的源网络地址为预定子网内的网络地址，则判断所述网络数据的目的媒体存取控制位址是否为所述预定子网网关的媒体存取控制位址；

15、响应于所述网络数据的目的媒体存取控制位址为所述预定子网网关的媒体存取控制位址，则判断所述网络数据的下一跳的网络地址是否为外部网络网关的网络地址；

16、响应于所述网络数据的下一跳的网络地址为外部网络网关的网络地址，则将所述网络数据的下一跳网络地址设置为安全计算节点的网络地址并将所述数据发送到所述安全计算节点。

17、在本发明的一些实施方式中，方法还包括：

18、在所述安全计算节点对所述网络数据进行安全检查，响应于安全检查通过，将所述网络数据目的媒体存取控制位址修改为所述安全计算节点所在的子网的网关的目的媒体存取控制位址，以及将所述网络数据的源媒体存取控制位址为所述安全计算节点的媒体存取控制位址。

19、在本发明的一些实施方式中，方法还包括：

20、为用户提供子网和安全计算节点进行匹配的输入接口，并将用户输入的子网和安全计算节点作为所述网络数据的转发规则下发到逻辑路由器。

21、在本发明的一些实施方式中，方法还包括：

22、监听用户绑定或解绑浮动网络地址的事件，并基于用户绑定或解绑的浮动网络地址对应的媒体存取控制位址更新所述网络数据的转发规则并下发到逻辑路由器。

23、本发明的另一方面还提出一种安全引流系统，包括：

24、第一数据转发模块，所述第一数据转发模块配置用于根据业务节点的内部网络地址所属的子网将进出所述业务节点的网络数据转发到与所述子网匹配的安全计算节点；

25、第二数据转发模块，所述第二数据转发模块配置用于在所述安全计算节点对网络数据进行安全检查，响应于安全检查通过，将所述网络数据发送到所述业务节点或将网络数据发送到外部网络。

26、本发明的又一方面还提出一种计算机设备，包括：

27、至少一个处理器；以及

28、存储器，所述存储器存储有可在所述处理器上运行的计算机指令，所述指令由所述处理器执行时实现上述实施方式中任意一项所述方法的步骤。

29、本发明的再一方面还提出一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现上述实施方式中任意一项所述方法的步骤。

30、通过本发明的一种安全引流方法，根据业务节点的内部网络地址的子网，对进出业务节点的网络数据按照路由策略进行转发，转发到安全计算节点安全检查。检查通过后再将网络数据发送给业务节点或替业务节点发送到外部网络。使用ovn的策略路由，将南北向流量导入安全网元虚拟机，从而实现安全网元注入的效果。可以允许云平台接入第三方的安全网元，保障南北向数据的安全性。

技术特征：

1.一种安全引流方法，其特征在于，包括：

2.根据权利要求1所述的方法，其特征在于，所述根据业务节点的内部网络地址所属的子网将进出所述业务节点的网络数据转发到与所述子网匹配的安全计算节点包括：

3.根据权利要求2所述的方法，其特征在于，还包括：

4.根据权利要求1所述的方法，其特征在于，所述根据业务节点的内部网络地址所属的子网将进出所述业务节点的网络数据转发到与所述子网匹配的安全计算节点包括：

5.根据权利要求4所述的方法，其特征在于，还包括：

6.根据权利要求1所述的方法，其特征在于，还包括：

7.根据权利要求1所述的方法，其特征在于，还包括：

8.一种安全引流系统，其特征在于，包括：

9.一种计算机设备，其特征在于，包括：

10.一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现权利要求1-7任意一项所述方法的步骤。

技术总结
本发明属于计算机领域，具体涉及一种安全引流方法、系统、设备及介质。其中方法包括：根据业务节点的内部网络地址所属的子网将进出所述业务节点的网络数据转发到与所述子网匹配的安全计算节点；在所述安全计算节点对网络数据进行安全检查，响应于安全检查通过，将所述网络数据发送到所述业务节点或将网络数据发送到外部网络。通过本发明的一种安全引流方法，使用ovn的策略路由，将南北向流量导入安全网元虚拟机，从而实现安全网元注入的效果。可以允许云平台接入第三方的安全网元，保障南北向数据的安全性。

技术研发人员：马良义,秦海中
受保护的技术使用者：济南浪潮数据技术有限公司
技术研发日：
技术公布日：2024/1/14