一种服务链策略实现方法及服务链策略实现系统

技术领域

本发明涉及网络技术领域，尤指一种服务链策略实现方法及服务链策略实现系统。

背景技术

在安全域内部，或在安全域边界上，往往需要部署多种安全机制，如对于Web服务器而言，需要一次经过抗DDoS清洗、访问控制和Web应用防护；而对于内网数据库，则需要经过访问控制、入侵检测和数据库审计等机制，所以需要从物理网络到虚拟网络，从网关侧到服务器侧，依次部署若干安全的业务节点，这称为服务链。

传统网络的服务链和网络拓扑紧密耦合、部署复杂。如在服务链变更时，需要改动网络拓扑，重新进行网络设备的配置，非常复杂耗时。

发明内容

本发明实施例提供一种服务链策略实现方法及服务链策略实现系统，用以实现使服务链的调整在短时间内自动化完成，并且当服务链变更时，不需要重新进行网络设备的配置。

本发明实施例提供的一种服务链策略实现方法，包括：

根据安全应用下发的新安全策略、所述新安全策略对应的主体和客体、以及所述新安全策略对应的安全设备生成服务链指令，以使与所述新安全策略对应的客体的流量经过所述安全设备处理后到达目的地址；

根据所述服务链指令进行策略一致性检测并下发对应的流条目到目的交换机。

较佳地，在本发明实施例提供的上述实现方法中，根据所述服务链指令，进行策略一致性检测并下发对应的流条目到目的交换机，具体为：

确定是否存在数据模式与所述新安全策略的数据模式相关的已实施安全策略；

如果不存在，则直接按照所述服务链指令下发对应的流条目到目的交换机，并将所述新安全策略存为已实施安全策略；

如果存在，则根据数据模式与所述新安全策略的数据模式相关的所述已实施安全策略中，优先级高于所述新安全策略的已实施安全策略确定所述新安全策略的流来源；根据数据模式与所述新安全策略的数据模式相关的所述已实施安全策略中，优先级低于所述新安全策略的已实施安全策略确定所述新安全策略的流去向。

较佳地，在本发明实施例提供的上述实现方法中，根据数据模式与所述新安全策略的数据模式相关的所述已实施安全策略中，优先级高于所述新安全策略的已实施安全策略确定所述新安全策略的流来源，具体为：

将优先级高于所述新安全策略的、且优先级低于或等于高截止安全策略的已实施安全策略组成高优先级策略组；其中所述高截止安全策略为优先级高于所述新安全策略的、且数据模式为包含或等于所述新安全策略的已实施安全策略；

确定所述高优先级策略组中，是否存在高截止安全策略；

如果存在，则去除所述高优先级策略组中，数据模式为被所述新安全策略的数据模式包含的已实施安全策略；

根据最终所述高优先级策略组中已实施安全策略的优先级由高到低的顺序，下发由最终所述高优先级策略组中的已实施安全策略至所述新安全策略的流牵引指令。

较佳地，在本发明实施例提供的上述实现方法中，当所述高优先级策略组中不存在高截止安全策略时，还包括：

下发一条由第一安全设备至所述新安全策略的流牵引指令，并将所述新安全策略存为已实施安全策略；其中所述第一安全设备为优先级高于所述新安全策略对应的安全设备的优先级的安全设备；

则去除所述高优先级策略组中，数据模式为被所述新安全策略的数据模式包含的已实施安全策略；

根据最终所述高优先级策略组中已实施安全策略的优先级由高到低的顺序，下发由最终所述高优先级策略组中的已实施安全策略至所述新安全策略的流牵引指令。

较佳地，在本发明实施例提供的上述实现方法中，当数据模式与所述新安全策略的数据模式相关的所述已实施安全策略中，不存在优先级高于所述新安全策略的已实施安全策略时；

下发一条由第一安全设备至所述新安全策略的流牵引指令，并将所述新安全策略存为已实施安全策略；其中所述第一安全设备为优先级高于所述新安全策略对应的安全设备的优先级的安全设备。

较佳地，在本发明实施例提供的上述实现方法中，根据数据模式与所述新安全策略的数据模式相关的所述已实施安全策略中，优先级低于所述新安全策略的已实施安全策略确定所述新安全策略的流去向，具体为：

将优先级低于所述新安全策略的、且优先级高于或等于低截止安全策略的已实施安全策略组成低优先级策略组；其中所述低截止安全策略为优先级低于所述新安全策略的、且数据模式为包含或等于所述新安全策略的已实施安全策略；

根据所述低优先级策略组中已实施安全策略的优先级由高到低的顺序，下发由所述新安全策略至所述低优先级策略组中的已实施安全策略的流牵引指令，并将所述低优先级策略组中的已实施安全策略存为数据模式为与所述新安全策略的数据模式相关的策略。

较佳地，在本发明实施例提供的上述实现方法中，当所述低优先级策略组中不存在低截止安全策略时，或者当数据模式与所述新安全策略的数据模式相关的所述已实施安全策略中，不存在优先级低于所述新安全策略的已实施安全策略时：

下发一条由所述新安全策略至第二安全设备的流牵引指令，并将所述新安全策略存为已实施安全策略；其中所述第二安全设备为优先级低于所述新安全策略对应的安全设备的优先级的安全设备。

相应地，本发明实施例还提供了一种服务链策略实现系统，包括：

策略解析模块，用于根据安全应用下发的新安全策略、所述新安全策略对应的主体和客体、以及所述新安全策略对应的安全设备生成服务链指令，以使与所述新安全策略对应的客体的流量经过所述安全设备处理后到达目的地址；

流下发模块，用于根据所述服务链指令进行策略一致性检测并下发对应的流条目到目的交换机。

较佳地，在本发明实施例提供的上述实现系统中，还包括：知识库和设备管理库；

所述知识库用于存储新安全策略与其主体和客体的对应关系；

所述设备管理库用于新安全策略与安全设备的对应关系；

策略解析模块具体用于根据安全应用下发的新安全策略，通过查找所述知识库和所述设备管理库生成服务链指令。

较佳地，在本发明实施例提供的上述实现系统中，所述流下发模块具体用于：

确定是否存在数据模式与所述新安全策略的数据模式相关的已实施安全策略；

如果不存在，则直接按照所述服务链指令下发对应的流条目到目的交换机，并将所述新安全策略存为已实施安全策略；

如果存在，则根据数据模式与所述新安全策略的数据模式相关的所述已实施安全策略中，优先级高于所述新安全策略的已实施安全策略确定所述新安全策略的流来源；根据数据模式与所述新安全策略的数据模式相关的所述已实施安全策略中，优先级低于所述新安全策略的已实施安全策略确定所述新安全策略的流去向。

较佳地，在本发明实施例提供的上述实现系统中，所述流下发模块根据数据模式与所述新安全策略的数据模式相关的所述已实施安全策略中，优先级高于所述新安全策略的已实施安全策略确定所述新安全策略的流来源，具体为：

将优先级高于所述新安全策略的、且优先级低于或等于高截止安全策略的已实施安全策略组成高优先级策略组；其中所述高截止安全策略为优先级高于所述新安全策略的、且数据模式为包含或等于所述新安全策略的已实施安全策略；

确定所述高优先级策略组中，是否存在高截止安全策略；

如果存在，则去除所述高优先级策略组中，数据模式为被所述新安全策略的数据模式包含的已实施安全策略；

根据最终所述高优先级策略组中已实施安全策略的优先级由高到低的顺序，下发由最终所述高优先级策略组中的已实施安全策略至所述新安全策略的流牵引指令。

较佳地，在本发明实施例提供的上述实现系统中，所述流下发模块还用于，当所述高优先级策略组中不存在高截止安全策略时：

下发一条由第一安全设备至所述新安全策略的流牵引指令，并将所述新安全策略存为已实施安全策略；其中所述第一安全设备为优先级高于所述新安全策略对应的安全设备的优先级的安全设备；

则去除所述高优先级策略组中，数据模式为被所述新安全策略的数据模式包含的已实施安全策略；

根据最终所述高优先级策略组中已实施安全策略的优先级由高到低的顺序，下发由最终所述高优先级策略组中的已实施安全策略至所述新安全策略的流牵引指令。

较佳地，在本发明实施例提供的上述实现系统中，所述流下发模块还用于，当数据模式与所述新安全策略的数据模式相关的所述已实施安全策略中，不存在优先级高于所述新安全策略的已实施安全策略时；

下发一条由第一安全设备至所述新安全策略的流牵引指令，并将所述新安全策略存为已实施安全策略；其中所述第一安全设备为优先级高于所述新安全策略对应的安全设备的优先级的安全设备。

较佳地，在本发明实施例提供的上述实现系统中，所述流下发模块根据数据模式与所述新安全策略的数据模式相关的所述已实施安全策略中，优先级低于所述新安全策略的已实施安全策略确定所述新安全策略的流去向，具体为：

将优先级低于所述新安全策略的、且优先级高于或等于低截止安全策略的已实施安全策略组成低优先级策略组；其中所述低截止安全策略为优先级低于所述新安全策略的、且数据模式为包含或等于所述新安全策略的已实施安全策略；

根据所述低优先级策略组中已实施安全策略的优先级由高到低的顺序，下发由所述新安全策略至所述低优先级策略组中的已实施安全策略的流牵引指令，并将所述低优先级策略组中的已实施安全策略存为数据模式为与所述新安全策略的数据模式相关的策略。

较佳地，在本发明实施例提供的上述实现系统中，所述流下发模块还用于，当所述低优先级策略组中不存在低截止安全策略时，或者当数据模式与所述新安全策略的数据模式相关的所述已实施安全策略中，不存在优先级低于所述新安全策略的已实施安全策略时：

下发一条由所述新安全策略至第二安全设备的流牵引指令，并将所述新安全策略存为已实施安全策略；其中所述第二安全设备为优先级低于所述新安全策略对应的安全设备的优先级的安全设备。

本发明有益效果如下：

本发明实施例提供的上述服务链策略实现方法及服务链策略实现系统，首先根据安全应用下发的新安全策略、新安全策略对应的主体和客体、以及新安全策略对应的安全设备生成服务链指令，以使与该新安全策略对应的客体的流量经过安全设备处理后到达目的地址；再根据服务链指令进行策略一致性检测并下发对应的流条目到目的交换机。该服务链策略实现方法可以使服务链的调整在短时间内自动化完成，并将流量依次经过一个或多个安全设备，整个过程快速灵活，并且当服务链变更时，不需要重新进行网络设备的配置。

附图说明

图1为本发明实施例提供的服务链策略实现方法的流程图之一；

图2为本发明实施例提供的服务链策略实现方法的流程图之二；

图3为本发明实施例提供的服务链策略实现系统的结构示意图。

具体实施方式

下面结合附图，对本发明实施例提供的一种服务链策略实现方法及服务链策略实现系统的具体实施方式进行详细地说明。

本发明实施例提供的一种服务链策略实现方法，如图1所示，包括：

S101、根据安全应用下发的新安全策略、新安全策略对应的主体和客体、以及新安全策略对应的安全设备生成服务链指令，以使与该新安全策略对应的客体的流量经过安全设备处理后到达目的地址；

S102、根据服务链指令进行策略一致性检测并下发对应的流条目到目的交换机。

本发明实施例提供的上述服务链策略实现方法，首先根据安全应用下发的新安全策略、新安全策略对应的主体和客体、以及新安全策略对应的安全设备生成服务链指令，以使与该新安全策略对应的客体的流量经过安全设备处理后到达目的地址；再根据服务链指令进行策略一致性检测并下发对应的流条目到目的交换机。该服务链策略实现方法可以使服务链的调整在短时间内自动化完成，并将流量依次经过一个或多个安全设备，整个过程快速灵活，并且当服务链变更时，不需要重新进行网络设备的配置。

较佳地，在本发明实施例提供的上述实现方法中，根据服务链指令，进行策略一致性检测并下发对应的流条目到目的交换机，具体为：

确定是否存在数据模式与新安全策略的数据模式相关的已实施安全策略；

如果不存在，则直接按照服务链指令下发对应的流条目到目的交换机，并将新安全策略存为已实施安全策略；

如果存在，则根据数据模式与新安全策略的数据模式相关的已实施安全策略中，优先级高于新安全策略的已实施安全策略确定新安全策略的流来源；根据数据模式与新安全策略的数据模式相关的已实施安全策略中，优先级低于新安全策略的已实施安全策略确定新安全策略的流去向。

较佳地，在本发明实施例提供的上述实现方法中，根据数据模式与新安全策略的数据模式相关的已实施安全策略中，优先级高于新安全策略的已实施安全策略确定新安全策略的流来源，具体为：

将优先级高于新安全策略的、且优先级低于或等于高截止安全策略的已实施安全策略组成高优先级策略组；其中高截止安全策略为优先级高于新安全策略的、且数据模式为包含或等于新安全策略的已实施安全策略；

确定高优先级策略组中，是否存在高截止安全策略；

如果存在，则去除高优先级策略组中，数据模式为被新安全策略的数据模式包含的已实施安全策略；

根据最终高优先级策略组中已实施安全策略的优先级由高到低的顺序，下发由最终高优先级策略组中的已实施安全策略至新安全策略的流牵引指令。

较佳地，在本发明实施例提供的上述实现方法中，当高优先级策略组中不存在高截止安全策略时，还包括：

下发一条由第一安全设备至新安全策略的流牵引指令，并将新安全策略存为已实施安全策略；其中第一安全设备为优先级高于新安全策略对应的安全设备的优先级的安全设备；

则去除高优先级策略组中，数据模式为被新安全策略的数据模式包含的已实施安全策略；

根据最终高优先级策略组中已实施安全策略的优先级由高到低的顺序，下发由最终高优先级策略组中的已实施安全策略至新安全策略的流牵引指令。

较佳地，在本发明实施例提供的上述实现方法中，当数据模式与新安全策略的数据模式相关的已实施安全策略中，不存在优先级高于新安全策略的已实施安全策略时；

下发一条由第一安全设备至新安全策略的流牵引指令，并将新安全策略存为已实施安全策略；其中第一安全设备为优先级高于新安全策略对应的安全设备的优先级的安全设备。

较佳地，在本发明实施例提供的上述实现方法中，根据数据模式与新安全策略的数据模式相关的已实施安全策略中，优先级低于新安全策略的已实施安全策略确定新安全策略的流去向，具体为：

将优先级低于新安全策略的、且优先级高于或等于低截止安全策略的已实施安全策略组成低优先级策略组；其中低截止安全策略为优先级低于新安全策略的、且数据模式为包含或等于新安全策略的已实施安全策略；

根据低优先级策略组中已实施安全策略的优先级由高到低的顺序，下发由新安全策略至低优先级策略组中的已实施安全策略的流牵引指令，并将低优先级策略组中的已实施安全策略存为数据模式为与新安全策略的数据模式相关的策略。

较佳地，在本发明实施例提供的上述实现方法中，当低优先级策略组中不存在低截止安全策略时，或者当数据模式与新安全策略的数据模式相关的已实施安全策略中，不存在优先级低于新安全策略的已实施安全策略时：

下发一条由新安全策略至第二安全设备的流牵引指令，并将新安全策略存为已实施安全策略；其中第二安全设备为优先级低于新安全策略对应的安全设备的优先级的安全设备。

需要说明的时，在本发明实施例提供的上述实现方法中，安全策略的优先级是预先确定的，安全设备的优先级同样是预先确定的，并且数据模式相关的安全策略具有不同的优先级。

下面通过一个具体实施例说明本发明实施例提供的上述实现方法。

本发明实施例的服务链策略实现，如图2所示，可以包括如下步骤：

S201、根据安全应用下发的新安全策略、新安全策略对应的主体和客体、以及新安全策略对应的安全设备生成服务链指令；以使与新安全策略对应的客体的流量经过安全设备处理后到达目的地址；

S202、确定是否存在数据模式与新安全策略的数据模式相关的已实施安全策略；

如果不存在，则执行步骤S203，如果存在，则执行步骤204；

S203、直接按照服务链指令下发对应的流条目到目的交换机，并将新安全策略存为已实施安全策略；

S204、确定相关的已实施安全策略中否存在优先级高于新安全策略的已实施安全策略；

如果存在，则执行步骤S205，如果不存在，则执行步骤S209；

S205、将优先级高于新安全策略的、且优先级低于或等于高截止安全策略的已实施安全策略组成高优先级策略组；其中高截止安全策略为优先级高于新安全策略的、且数据模式为包含或等于新安全策略的已实施安全策略；

S206、确定高优先级策略组中是否存在高截止安全策略；

如果存在，则执行步骤S207，如果不存在，则执行步骤S209；

S207、去除高优先级策略组中，数据模式为被新安全策略的数据模式包含的已实施安全策略；

S208、根据最终高优先级策略组中已实施安全策略的优先级由高到低的顺序，下发由最终高优先级策略组中的已实施安全策略至新安全策略的流牵引指令；

S209、下发一条由第一安全设备至新安全策略的流牵引指令，并将新安全策略存为已实施安全策略；其中第一安全设备为优先级高于新安全策略对应的安全设备的优先级的安全设备；

S210、确定相关的已实施安全策略中否存在优先级低于新安全策略的已实施安全策略；

如果存在，则执行步骤S211，如果不存在，则执行步骤S214；

S211、将优先级低于新安全策略的、且优先级高于或等于低截止安全策略的已实施安全策略组成低优先级策略组；其中低截止安全策略为优先级低于新安全策略的、且数据模式为包含或等于新安全策略的已实施安全策略；

S212、根据低优先级策略组中已实施安全策略的优先级由高到低的顺序，下发由新安全策略至低优先级策略组中的已实施安全策略的流牵引指令，并将低优先级策略组中的已实施安全策略存为数据模式为与新安全策略的数据模式相关的策略；

S213、确定低优先级策略组中是否存在低截止安全策略；

如果不存在，则执行步骤S214；

S214、下发一条由新安全策略至第二安全设备的流牵引指令，并将新安全策略存为已实施安全策略；其中第二安全设备为优先级低于新安全策略对应的安全设备的优先级的安全设备。

基于同一发明构思，本发明实现例提供了一种服务链策略实现系统，如图3所示，包括：

策略解析模块01，用于根据安全应用下发的新安全策略、新安全策略对应的主体和客体、以及新安全策略对应的安全设备生成服务链指令，以使与新安全策略对应的客体的流量经过安全设备处理后到达目的地址；

流下发模块02，用于根据服务链指令进行策略一致性检测并下发对应的流条目到目的交换机。

较佳地，在本发明实施例提供的上述实现系统中，还包括：知识库和设备管理库；

知识库用于存储新安全策略与其主体和客体的对应关系；

设备管理库用于新安全策略与安全设备的对应关系；

策略解析模块具体用于根据安全应用下发的新安全策略，通过查找知识库和设备管理库生成服务链指令。

在本发明实施例提供的上述实现系统中，例如策略解析模块收到的安全应用下发的新安全策略为：“针对租户A启用入侵检测和Web防护”，从知识库能够查找到“所有租户A的虚拟机{VM_A}”从设备管理库能够查找到“安全策略中要求找到具有“入侵检测”和“Web防护”的资源，则从资源池中找到若干IDS设备和WAF设备。则生成的服务链指令为“在某处启动IDS和WAF虚拟实例”和“将所有到{VMA}的流量重定向到IDS，再到WAF，最后到最终目的地”。

较佳地，在本发明实施例提供的上述实现系统中，流下发模块具体用于：

确定是否存在数据模式与新安全策略的数据模式相关的已实施安全策略；

如果不存在，则直接按照服务链指令下发对应的流条目到目的交换机，并将新安全策略存为已实施安全策略；

如果存在，则根据数据模式与新安全策略的数据模式相关的已实施安全策略中，优先级高于新安全策略的已实施安全策略确定新安全策略的流来源；根据数据模式与新安全策略的数据模式相关的已实施安全策略中，优先级低于新安全策略的已实施安全策略确定新安全策略的流去向。

较佳地，在本发明实施例提供的上述实现系统中，流下发模块根据数据模式与新安全策略的数据模式相关的已实施安全策略中，优先级高于新安全策略的已实施安全策略确定新安全策略的流来源，具体为：

将优先级高于新安全策略的、且优先级低于或等于高截止安全策略的已实施安全策略组成高优先级策略组；其中高截止安全策略为优先级高于新安全策略的、且数据模式为包含或等于新安全策略的已实施安全策略；

确定高优先级策略组中，是否存在高截止安全策略；

如果存在，则去除高优先级策略组中，数据模式为被新安全策略的数据模式包含的已实施安全策略；

根据最终高优先级策略组中已实施安全策略的优先级由高到低的顺序，下发由最终高优先级策略组中的已实施安全策略至新安全策略的流牵引指令。

较佳地，在本发明实施例提供的上述实现系统中，流下发模块还用于，当高优先级策略组中不存在高截止安全策略时：

下发一条由第一安全设备至新安全策略的流牵引指令，并将新安全策略存为已实施安全策略；其中第一安全设备为优先级高于新安全策略对应的安全设备的优先级的安全设备；

则去除高优先级策略组中，数据模式为被新安全策略的数据模式包含的已实施安全策略；

根据最终高优先级策略组中已实施安全策略的优先级由高到低的顺序，下发由最终高优先级策略组中的已实施安全策略至新安全策略的流牵引指令。

较佳地，在本发明实施例提供的上述实现系统中，流下发模块还用于，当数据模式与新安全策略的数据模式相关的已实施安全策略中，不存在优先级高于新安全策略的已实施安全策略时；

下发一条由第一安全设备至新安全策略的流牵引指令，并将新安全策略存为已实施安全策略；其中第一安全设备为优先级高于新安全策略对应的安全设备的优先级的安全设备。

较佳地，在本发明实施例提供的上述实现系统中，流下发模块根据数据模式与新安全策略的数据模式相关的已实施安全策略中，优先级低于新安全策略的已实施安全策略确定新安全策略的流去向，具体为：

将优先级低于新安全策略的、且优先级高于或等于低截止安全策略的已实施安全策略组成低优先级策略组；其中低截止安全策略为优先级低于新安全策略的、且数据模式为包含或等于新安全策略的已实施安全策略；

根据低优先级策略组中已实施安全策略的优先级由高到低的顺序，下发由新安全策略至低优先级策略组中的已实施安全策略的流牵引指令，并将低优先级策略组中的已实施安全策略存为数据模式为与新安全策略的数据模式相关的策略。

较佳地，在本发明实施例提供的上述实现系统中，流下发模块还用于，当低优先级策略组中不存在低截止安全策略时，或者当数据模式与新安全策略的数据模式相关的已实施安全策略中，不存在优先级低于新安全策略的已实施安全策略时：

下发一条由新安全策略至第二安全设备的流牵引指令，并将新安全策略存为已实施安全策略；其中第二安全设备为优先级低于新安全策略对应的安全设备的优先级的安全设备。

在具体实施时，在本发明实施例提供的上述实现系统中，流下发模块设置在网络控制器内部，在此不作限定。

发明实施例提供的上述实现系统，例如接收到一个新安全策略，要对VM进行流量清洗操作，如果已有一已实施安全策略是牵引此VM流量经过某安全设备，那么根据优先级的高低在当前安全设备前或后插入一个ADS设备即可，对应着产生相应的流拆除和建立指令，下发给SDN控制器。再以包含关系为例，如果发现此VM所属User的所有流量已经被某安全设备处理，但优先级较低，那么应该优先让此VM的流量经过ADS设备，再让ADS设备处理后的流量进入为此User分配的安全设备，而不是直接返回网络。

本发明实施例提供的上述服务链策略实现方法及服务链策略实现系统，首先根据安全应用下发的新安全策略、新安全策略对应的主体和客体、以及新安全策略对应的安全设备生成服务链指令，以使与该新安全策略对应的客体的流量经过安全设备处理后到达目的地址；再根据服务链指令进行策略一致性检测并下发对应的流条目到目的交换机。该服务链策略实现方法可以使服务链的调整在短时间内自动化完成，并将流量依次经过一个或多个安全设备，整个过程快速灵活，并且当服务链变更时，不需要重新进行网络设备的配置。

显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。