一種云數據中心安全服務鏈的實現方法技術

本發明專利技術提供一種云數據中心安全服務鏈的實現方法，所述方法包括：接收攜帶有本地安全服務節點所對應的VLAN信息的流量；若在本地流表中查詢到與所述流量的包頭信息相匹配的訪問控制策略，則對所述流量進行VLAN剝離并發送至本地安全服務節點，以供所述本地安全服務節點進行安全檢測；根據所述匹配的訪問控制策略中的策略動作將經過安全檢測的流量的VLAN修改為下一跳安全服務節點的VLAN信息并通過交換網絡發送出去。本發明專利技術提供的一種云數據中心安全服務鏈的實現方法，基于VLAN協議來實現安全服務鏈，設計簡單、性能良好且運維成本低。

【技術實現步驟摘要】
一種云數據中心安全服務鏈的實現方法
本專利技術涉及網絡安全領域，更具體地，涉及一種云數據中心安全服務鏈的實現方法。
技術介紹
云數據中心是利用云計算技術，自動化地按需提供各類云計算服務的新一代數據中心。云數據中心的業務特性與傳統數據中心的業務特性差異巨大，且隨著軟件定義網絡、網絡虛擬化及網絡功能虛擬化等新技術的迅猛發展和規模應用，云數據中心網絡相較于傳統數據中心網絡而言，面臨著新的安全挑戰：云數據中心越來越依賴上述虛擬化技術來提供更高效和靈活的業務部署，使得安全邊界難以界定，邏輯網絡拓撲根據業務的需求隨時可變，傳統的基于物理邊界防護的安全架構無法對其進行有效的安全防護；云數據中心業務場景更為復雜，對網絡和信息安全的個性化需求更為強烈，而傳統安全硬件設備將軟件與硬件綁定，對外提供固定安全功能，管理員只能通過手工操作界面對其進行簡單配置，無法根據業務應用場景進行靈活的功能調整和定制，不能滿足業務的彈性擴展和安全需求。為了應對這些安全挑戰，目前云數據中心主要通過采用安全服務鏈來實現安全防護。安全服務鏈基于Overlay(覆蓋)網絡構建集中的安全能力資源池，通過集中的控制器將需要進行安全防護的業務流量引流到安全服務節點進行檢測和防護，并根據業務的安全策略需求編排安全服務節點的防護順序，這些安全服務節點包括FW(Firewall,防火墻)、IDS(IntrusionDetectionSystem，入侵檢測系統)、IPS(IntrusionPreventionSystem,入侵防御系統)或反病毒設備等。如圖1所示為基于VXLAN(VirtualExtensibleLAN，可擴展虛擬局域網)構建的安全服務鏈模型，該安全服務鏈的各安全服務節點可位于相同或者不同的安全能力資源池，通過面向租戶或面向應用的安全服務鏈編排界面，控制器自動下發引流策略到各服務鏈節點，服務鏈節點匹配引流策略之后的處理流程如下：源VM(VirtualMachine,虛擬機)所對應的VTEP(VXLANTunnelEndPoint,VXLAN隧道端點)對源VM發出的流量進行VXLAN封裝并將封裝后的報文轉發到第一個安全服務節點所對應的VTEP；第一個安全服務節點所對應的VTEP在接收到封裝后的報文后對該報文進行解封裝，然后將解封裝后得到的報文，即源VM發出的流量轉發給第一個安全服務節點；第一個安全服務節點對流量進行安全業務處理，再將該流量發送給VTEP；VTEP查找下一跳安全服務節點并將該報文重新進行封裝后轉發給下一跳安全服務節點所對應的VTEP；重復上述操作，直到進行完所有的安全業務處理后，最后一個安全服務節點所對應的VTEP根據目的VM所對應的VTEP的IP地址對報文進行封裝并轉發出去；目的VM所對應的VTEP接收到報文后，對該報文進行解封裝，然后發送給目的VM。源VM發出的流量穿過這些安全服務節點到達目的VM，從而實現了所需要的安全業務。目前安全服務鏈的實現方法除了基于上述提到的VXLAN技術，還包括：NVGRE(NetworkVirtualizationusingGenericRoutingEncapsulation，使用通用路由封裝的網絡虛擬化)以及GENEVE(GenericNetworkVirtualizationEncapsulation，通用網絡虛擬封裝)等技術。這些技術全是隧道封裝技術，對于虛擬化服務器，隧道的封裝和解封裝會非常消耗服務器的CPU資源，造成服務器的性能非常低，這對于幾乎跑滿線速的東西向流量意味著通過安全服務鏈的處理可能會產生丟包現象。不僅如此，虛擬化服務器上還需要額外配置隧道端點的接口，用于根據配置來檢查哪些報文需要進入隧道并判斷對檢查通過的報文做怎樣的處理，導致運維非常復雜。
技術實現思路
為了解決現有安全服務鏈的實現方法基于隧道封裝技術導致虛擬化服務器性能低、運維復雜的問題，本專利技術提供一種云數據中心安全服務鏈的實現方法。根據本專利技術的一個方面，提供一種云數據中心安全服務鏈的實現方法，包括：步驟1，接收上一跳安全服務節點所對應的vSwitch通過交換網絡發送的、攜帶有本地安全服務節點所對應的VLAN信息的流量；步驟2，若在本地流表中查詢到與所述流量的包頭信息相匹配的訪問控制策略，則對所述流量進行VLAN剝離，并通過虛擬網絡端口將經過VLAN剝離后的所述流量發送至本地安全服務節點，以供所述本地安全服務節點進行安全檢測；步驟3，接收到本地安全服務節點發送的經過安全檢測的流量后，根據所述匹配的訪問控制策略中的策略動作將所述經過安全檢測的流量的VLAN信息修改為下一跳安全服務節點所對應的VLAN信息，并通過交換網絡發送VLAN信息修改后的所述經過安全檢測的流量。其中，步驟1還包括：若所述本地安全服務節點為第一跳安全服務節點，接收源VM所對應的vSwitch通過交換網絡發送的、攜帶有本地安全服務節點所對應的VLAN信息的流量。其中，步驟3進一步包括：若所述本地安全服務節點為最后一跳安全服務節點，根據所述匹配的訪問控制策略中的策略動作將經過安全檢測的流量的VLAN信息修改為目的VM所對應的VLAN信息；通過交換網絡發送VLAN信息修改后的所述經過安全檢測的流量至目的VM所對應的vSwitch，以供目的VM所對應的vSwitch對所接收到的流量進行VLAN剝離并通過本地虛擬網絡端口轉發給目的VM。其中，所述包頭信息根據用戶定義的安全規則確定，所述包頭信息的類型包括：源端口號、目的端口號、協議類型、源IP地址和目的IP地址中的一種或多種。其中，步驟2中，所述本地流表中包含至少一項訪問控制策略，所述訪問控制策略根據用戶定義的安全規則確定，所述訪問控制策略包括：第一匹配字段和第一策略動作；其中，所述第一匹配字段與所述包頭信息相對應。其中，步驟1中在所述接收源VM所對應的vSwitch通過交換網絡發送的攜帶有本地安全服務節點所對應的VLAN信息的流量之前，還包括：源VM所對應的vSwitch接收到源VM發送的多個流量后，對所述多個流量進行哈希處理；源VM所對應的vSwitch根據哈希處理的結果，在本地流表中確認存在匹配的負載均衡策略，并根據所述負載均衡策略的策略動作，將源VM發出的多個流量分別轉發給匹配的安全服務節點所對應的vSwitch。其中，所述對所述多個流量進行哈希處理包括：對各流量包頭信息中的特征字段的最后m位比特值進行掩碼處理，其中，m為log2N向上取整后的值，N為安全服務鏈的數目，所述特征字段包括：端口號字段、IP地址字段或協議類型字段。其中，所述負載均衡策略包括：第二匹配字段和第二策略動作。根據本專利技術的另一個方面，提供一種虛擬交換機，包括：接收單元，用于接收上一跳安全服務節點所對應的虛擬交換機通過交換網絡發送的、攜帶有本地安全服務節點所對應的VLAN信息的流量；流表匹配單元，用于若在本地流表中查詢到與所述流量的包頭信息相匹配的訪問控制策略，則對所述流量進行VLAN剝離，并通過虛擬網絡端口將經過VLAN剝離后的所述流量發送至本地安全服務節點，以供所述本地安全服務節點進行安全檢測；轉發單元，用于接收到本地安全服務節點發送的經過安全檢測的流量后，根據所述匹配的訪問控制策略中的策略動作將所述經過安全檢測的流量的VLAN信本文檔來自技高網...

【技術保護點】
一種云數據中心安全服務鏈的實現方法，其特征在于，包括：步驟1，接收上一跳安全服務節點所對應的vSwitch通過交換網絡發送的、攜帶有本地安全服務節點所對應的VLAN信息的流量；步驟2，若在本地流表中查詢到與所述流量的包頭信息相匹配的訪問控制策略，則對所述流量進行VLAN剝離，并通過虛擬網絡端口將經過VLAN剝離后的所述流量發送至本地安全服務節點，以供所述本地安全服務節點進行安全檢測；步驟3，接收到本地安全服務節點發送的經過安全檢測的流量后，根據所述匹配的訪問控制策略中的策略動作將所述經過安全檢測的流量的VLAN信息修改為下一跳安全服務節點所對應的VLAN信息，并通過交換網絡發送VLAN信息修改后的所述經過安全檢測的流量。

【技術特征摘要】
1.一種云數據中心安全服務鏈的實現方法，其特征在于，包括：步驟1，接收上一跳安全服務節點所對應的vSwitch通過交換網絡發送的、攜帶有本地安全服務節點所對應的VLAN信息的流量；步驟2，若在本地流表中查詢到與所述流量的包頭信息相匹配的訪問控制策略，則對所述流量進行VLAN剝離，并通過虛擬網絡端口將經過VLAN剝離后的所述流量發送至本地安全服務節點，以供所述本地安全服務節點進行安全檢測；步驟3，接收到本地安全服務節點發送的經過安全檢測的流量后，根據所述匹配的訪問控制策略中的策略動作將所述經過安全檢測的流量的VLAN信息修改為下一跳安全服務節點所對應的VLAN信息，并通過交換網絡發送VLAN信息修改后的所述經過安全檢測的流量。2.根據權利要求1所述的安全服務鏈的實現方法，其特征在于，步驟1還包括：若所述本地安全服務節點為第一跳安全服務節點，接收源VM所對應的vSwitch通過交換網絡發送的、攜帶有本地安全服務節點所對應的VLAN信息的流量。3.根據權利要求1所述的安全服務鏈的實現方法，其特征在于，步驟3進一步包括：若所述本地安全服務節點為最后一跳安全服務節點，根據所述匹配的訪問控制策略中的策略動作將經過安全檢測的流量的VLAN信息修改為目的VM所對應的VLAN信息；通過交換網絡發送VLAN信息修改后的所述經過安全檢測的流量至目的VM所對應的vSwitch，以供目的VM所對應的vSwitch對所接收到的流量進行VLAN剝離并通過本地虛擬網絡端口轉發給目的VM。4.根據權利要求1至3任一所述的安全服務鏈的實現方法，其特征在于，所述包頭信息根據用戶定義的安全規則確定，所述包頭信息的類型包括：源端口號、目的端口號、協議類型、源IP地址和目的IP地址中的一種或多種。5.根據權利要求1至3任一所述的安全服務鏈的實現方法，其特征在于，步驟2中，所述本地流表中包含至少一項訪問控制策略，所述訪問控制策略根據用戶定義的安全規則確定，所述訪問控制策略包括：第一匹配字段和第一策略動作；其中，所述第一匹配字段與所述包頭信息相對應。6.根據權利要求2所述的安全服務鏈的實現方法，其特征在于，步驟1中在所述接收源VM所對應的vSwitch通過交換網絡發送的攜帶有本地安全服務節點所對應的VLAN信息的流量之前，還包括：源VM所對應的vSwitch接收到源VM發送的多個流量后，對所述多個流量進行哈希處理；源VM所對應的...

【專利技術屬性】
技術研發人員：王凱，李軍，
申請(專利權)人：清華大學，
類型：發明
國別省市：北京,11