本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域,特別是涉及一種云計(jì)算環(huán)境下提供網(wǎng)絡(luò)安全即服務(wù)的系統(tǒng)。
背景技術(shù):
虛擬網(wǎng)絡(luò)是一種包含至少部分是虛擬網(wǎng)絡(luò)鏈接的計(jì)算機(jī)網(wǎng)絡(luò)。虛擬網(wǎng)絡(luò)鏈接是在兩個(gè)計(jì)算設(shè)備間不包含物理連接,而是通過網(wǎng)絡(luò)虛擬化來實(shí)現(xiàn)。
在云計(jì)算環(huán)境下,針對虛擬網(wǎng)絡(luò)而言,云計(jì)算環(huán)境并未為虛擬網(wǎng)絡(luò)提供安全服務(wù)功能,因此,通常導(dǎo)致虛擬網(wǎng)絡(luò)容易遭受攻擊,進(jìn)而造成各種安全問題。
有鑒于此,提供一種云計(jì)算環(huán)境下提供網(wǎng)絡(luò)安全即服務(wù)的系統(tǒng),以為虛擬網(wǎng)絡(luò)提供安全服務(wù),提高虛擬網(wǎng)絡(luò)的安全性,是亟待解決的問題。
技術(shù)實(shí)現(xiàn)要素:
有鑒于此,本發(fā)明實(shí)施例提供一種云計(jì)算環(huán)境下提供網(wǎng)絡(luò)安全即服務(wù)的系統(tǒng),以為虛擬網(wǎng)絡(luò)提供安全服務(wù),提高虛擬網(wǎng)絡(luò)的安全性。
為了實(shí)現(xiàn)上述目的,本發(fā)明實(shí)施例提供的技術(shù)方案如下:
一種云計(jì)算環(huán)境下提供網(wǎng)絡(luò)安全即服務(wù)的系統(tǒng),應(yīng)用于虛擬網(wǎng)絡(luò),所述系統(tǒng)包括:
云計(jì)算管理平臺,用于發(fā)布基于所述云計(jì)算管理平臺的安全檢測容器鏡像,以及,提供用于注冊安全檢測容器的應(yīng)用商店,所述安全檢測容器為響應(yīng)安全檢測容器生成操作基于所述安全檢測容器鏡像生成的;
與虛擬網(wǎng)絡(luò)中的虛擬節(jié)點(diǎn)對應(yīng)的安全應(yīng)用,用于響應(yīng)用戶在所述云計(jì)算管理平臺輸入的創(chuàng)建規(guī)則創(chuàng)建與所述虛擬節(jié)點(diǎn)對應(yīng)的虛擬安全交換機(jī)和至少一個(gè)目標(biāo)安全檢測容器,以及,生成并下發(fā)流表規(guī)則至所述虛擬安全交換機(jī);所述目標(biāo)安全檢測容器為已注冊于所述應(yīng)用商店中的安全檢測容器;
所述虛擬安全交換機(jī),用于當(dāng)與所述虛擬節(jié)點(diǎn)對應(yīng)的虛擬網(wǎng)絡(luò)流量流經(jīng)所述虛擬安全交換機(jī)時(shí),將目標(biāo)虛擬網(wǎng)絡(luò)流量中的滿足預(yù)設(shè)的合包規(guī)則的多個(gè)隧道包進(jìn)行處理得到一個(gè)傳輸層包,并按照所述流表規(guī)則將所述傳輸層包發(fā)送至所述至少一個(gè)目標(biāo)安全檢測容器中的每個(gè)目標(biāo)安全檢測容器;所述流表規(guī)則指示向所述至少一個(gè)目標(biāo)安全檢測容器發(fā)送所述傳輸層包的順序;
所述目標(biāo)安全檢測容器,用于對接收到的傳輸層包進(jìn)行安全檢測,當(dāng)安全檢測成功時(shí),向所述虛擬安全交換機(jī)返回表示安全檢測成功的檢測結(jié)果信息;
所述虛擬安全交換機(jī)用于按照所述流表規(guī)則將所述傳輸層包發(fā)送至所述至少一個(gè)目標(biāo)安全檢測容器中的每個(gè)目標(biāo)安全檢測容器,包括:所述虛擬交換機(jī)用于在接收到檢測結(jié)果后,根據(jù)所述流表規(guī)則確定是否存在與返回所述檢測結(jié)果的目標(biāo)安全檢測容器對應(yīng)的下一目標(biāo)安全檢測容器;若存在,將所述傳輸層包發(fā)送至所述下一目標(biāo)安全檢測容器;
所述虛擬安全交換機(jī),還用于若根據(jù)所述流表規(guī)則確定不存在與返回所述檢測結(jié)果的目標(biāo)安全檢測容器對應(yīng)的下一目標(biāo)安全檢測容器,對所述傳輸層包進(jìn)行處理,并將處理后的傳輸層包發(fā)出。
優(yōu)選的,所述滿足預(yù)設(shè)的合包規(guī)則的多個(gè)隧道包,包括:
所述多個(gè)隧道包中的隧道包的總個(gè)數(shù)達(dá)到預(yù)設(shè)的第一合包閾值;
或者,
所述多個(gè)隧道包中的隧道包的總大小達(dá)到預(yù)設(shè)的第二合包閾值;
或者,
當(dāng)前系統(tǒng)時(shí)間滿足預(yù)設(shè)的合包周期。
優(yōu)選的,所述虛擬安全交換機(jī)將目標(biāo)虛擬網(wǎng)絡(luò)流量中的滿足預(yù)設(shè)的合包規(guī)則的多個(gè)隧道包進(jìn)行處理得到一個(gè)傳輸層包,包括:
所述虛擬安全交換機(jī)獲取所述目標(biāo)虛擬網(wǎng)絡(luò)流量中滿足預(yù)設(shè)的合包規(guī)則的多個(gè)隧道包中的每個(gè)隧道包的數(shù)據(jù)內(nèi)容;
將所獲取到的數(shù)據(jù)內(nèi)容作為目標(biāo)數(shù)據(jù)內(nèi)容,存儲至與所述虛擬節(jié)點(diǎn)對應(yīng)的物理服務(wù)器的共享內(nèi)存中,并確定所述目標(biāo)數(shù)據(jù)內(nèi)容的存儲地址,以及所述目標(biāo)數(shù)據(jù)內(nèi)容的數(shù)據(jù)量;
根據(jù)所述存儲地址以及數(shù)據(jù)量生成傳輸層包,所述傳輸層包的數(shù)據(jù)內(nèi)容指示所述存儲地址和數(shù)據(jù)量。
優(yōu)選的,所述目標(biāo)安全檢測容器對接收到的傳輸層包進(jìn)行安全檢測,包括:
所述目標(biāo)安全檢測容器獲取接收到的傳輸層包的數(shù)據(jù)內(nèi)容指示的所述存儲地址中存儲的所述目標(biāo)數(shù)據(jù)內(nèi)容;
利用所述傳輸層包的數(shù)據(jù)內(nèi)容指示的所述數(shù)據(jù)量,對所獲取的目標(biāo)數(shù)據(jù)內(nèi)容進(jìn)行安全檢測;
如果對所獲取的目標(biāo)數(shù)據(jù)內(nèi)容安全檢測成功,確定對所述傳輸層包安全檢測成功;
如果對所獲取的目標(biāo)數(shù)據(jù)內(nèi)容安全檢測失敗,確定對所述傳輸層安全檢測失敗。
優(yōu)選的,所述安全應(yīng)用響應(yīng)用戶在所述云計(jì)算管理平臺輸入的創(chuàng)建規(guī)則創(chuàng)建與所述虛擬節(jié)點(diǎn)對應(yīng)的至少一個(gè)目標(biāo)安全檢測容器,包括:
響應(yīng)用戶在所述云計(jì)算管理平臺輸入的創(chuàng)建規(guī)則,將所述創(chuàng)建規(guī)則指示的每個(gè)位于所述應(yīng)用商店中的安全檢測容器,確定一個(gè)目標(biāo)安全檢測容器。
優(yōu)選的,所述安全檢測容器的生成過程包括:
在滿足預(yù)設(shè)的安全檢測容器鏡像獲取條件的前提下,獲取所述云計(jì)算管理平臺發(fā)布的安全檢測容器鏡像;
在所述安全檢測容器鏡像的基礎(chǔ)上安裝預(yù)設(shè)的核心引擎并設(shè)置預(yù)設(shè)的管理規(guī)則,生成安全檢測容器。
優(yōu)選的,所述安全應(yīng)用,還用于:
響應(yīng)接收到的用戶通過所述云計(jì)算管理平臺對目標(biāo)安全檢測容器的操作請求,按照與所述操作請求指示的操作方式對所述目標(biāo)安全檢測容器進(jìn)行處理,其中,所述操作方式包括刪除操作方式、創(chuàng)建操作方式和/或修改操作方式。
優(yōu)選的,所述安全應(yīng)用還用于:
接收所述目標(biāo)安全檢測容器發(fā)送的擴(kuò)展請求,所述擴(kuò)展請求是所述目標(biāo)安全檢測容器在檢測到所述目標(biāo)安全檢測容器中的資源使用數(shù)超出預(yù)設(shè)的與所述目標(biāo)安全檢測容器對應(yīng)的資源使用數(shù)閾值的情況下發(fā)送的;
響應(yīng)所述擴(kuò)展請求,動態(tài)擴(kuò)展與所述目標(biāo)安全檢測容器對應(yīng)的資源使用數(shù)閾值。
優(yōu)選的,各個(gè)所述安全檢測容器具有統(tǒng)一的接口。
本申請實(shí)施例提供一種云計(jì)算環(huán)境下提供網(wǎng)絡(luò)安全即服務(wù)的系統(tǒng),包括云計(jì)算管理平臺、與虛擬網(wǎng)絡(luò)中的虛擬節(jié)點(diǎn)對應(yīng)的安全應(yīng)用、虛擬安全交換機(jī)以及目標(biāo)安全檢測容器;虛擬安全交換機(jī)對與虛擬節(jié)點(diǎn)對應(yīng)的目標(biāo)虛擬網(wǎng)絡(luò)流量中的多個(gè)隧道包進(jìn)行處理,得到一個(gè)傳輸層包,將傳輸層包發(fā)送至各目標(biāo)安全檢測容器進(jìn)行安全檢測,在傳輸層包安全檢測成功后,對傳輸層包進(jìn)行處理并發(fā)送,以為虛擬網(wǎng)絡(luò)提供安全服務(wù),提高虛擬網(wǎng)絡(luò)的安全性;并且,通過將多個(gè)隧道包合并成一個(gè)傳輸層包傳輸至目標(biāo)安全檢測容器進(jìn)行安全檢測的方式,提升了傳輸速度、降低了目標(biāo)安全檢測容器上數(shù)據(jù)包的數(shù)量,提升了目標(biāo)安全檢測容器的數(shù)據(jù)包處理性能,降低了整個(gè)系統(tǒng)的能耗。
附圖說明
為了更清楚地說明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本發(fā)明中記載的一些實(shí)施例,對于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動的前提下,還可以根據(jù)這些附圖獲得其他的附圖。
圖1為本申請實(shí)施例提供的一種云計(jì)算環(huán)境下提供網(wǎng)絡(luò)安全即服務(wù)的系統(tǒng)的結(jié)構(gòu)示意圖;
圖2為本申請實(shí)施例提供的一種虛擬安全交換機(jī)將目標(biāo)虛擬網(wǎng)絡(luò)流量中的滿足預(yù)設(shè)的合包規(guī)則的多個(gè)隧道包進(jìn)行處理得到一個(gè)傳輸層包的方法流程圖;
圖3為本申請實(shí)施例提供的一種目標(biāo)安全檢測容器對接收到的傳輸層包進(jìn)行安全檢測的方法流程圖;
圖4為本申請實(shí)施例提供的一種安全檢測容器生成方法流程圖。
具體實(shí)施方式
為了使本技術(shù)領(lǐng)域的人員更好地理解本發(fā)明中的技術(shù)方案,下面將結(jié)合本發(fā)明實(shí)施例中的附圖,對本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述,顯然,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例,而不是全部的實(shí)施例。基于本發(fā)明中的實(shí)施例,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實(shí)施例,都應(yīng)當(dāng)屬于本發(fā)明保護(hù)的范圍。
實(shí)施例:
圖1為本申請實(shí)施例提供的一種云計(jì)算環(huán)境下提供網(wǎng)絡(luò)安全即服務(wù)的系統(tǒng)的結(jié)構(gòu)示意圖。
如圖1的云計(jì)算環(huán)境下提供網(wǎng)絡(luò)安全即服務(wù)的系統(tǒng)應(yīng)用于虛擬網(wǎng)絡(luò),該系統(tǒng)包括:云計(jì)算管理平臺11、與虛擬網(wǎng)絡(luò)中的一個(gè)虛擬節(jié)點(diǎn)對應(yīng)的安全應(yīng)用12、虛擬安全交換機(jī)13、以及至少一個(gè)目標(biāo)安全檢測容器14。
可選的,因附圖限制,在圖1中僅展示的虛擬網(wǎng)絡(luò)中的三個(gè)虛擬節(jié)點(diǎn),以及分別與每個(gè)虛擬節(jié)點(diǎn)對應(yīng)的安全應(yīng)用、虛擬安全交換機(jī)以及目標(biāo)安全檢測容器。本領(lǐng)域技術(shù)人員應(yīng)該了解的是,本申請實(shí)施例提供的如圖1所示的系統(tǒng)中并不限定于三個(gè)虛擬節(jié)點(diǎn),以及并不限定與一虛擬安全交換機(jī)對應(yīng)的目標(biāo)安全檢測容器的個(gè)數(shù)。
可選的,云計(jì)算管理平臺,用于發(fā)布基于所述云計(jì)算管理平臺的安全檢測容器鏡像,以及,提供用于注冊安全檢測容器的應(yīng)用商店,所述安全檢測容器為響應(yīng)安全檢測容器生成操作基于所述安全檢測容器鏡像生成的。
云計(jì)算管理平臺發(fā)布基于所述云計(jì)算管理平臺的安全檢測容器鏡像,所述安全檢測容器鏡像中包括通用的api接口。并且,云計(jì)算管理平臺發(fā)布應(yīng)用商店,提供給第三方使用,第三方(如安全公司)可基于所述安全檢測鏡像制作各種安全檢測容器,并將制作的安全檢測容器注冊到云計(jì)算管理平臺的應(yīng)用商店中。
可選的,安全檢測容器鏡像中包含統(tǒng)一的安全檢測開發(fā)平臺,封裝好了一些通用功能,比如容器的ha,日志管理,進(jìn)程管理,數(shù)據(jù)包的收發(fā)api等,第三方只需基于安全檢測容器鏡像將自己的核心檢測引擎放到里面,然后制作自己的安全檢測容器并注冊到云計(jì)算管理平臺的應(yīng)用商店中,已注冊到應(yīng)用商店的安全檢測容器即可被用戶按需使用。從而使得不用再關(guān)心云計(jì)算管理平臺中復(fù)雜的虛擬網(wǎng)絡(luò)拓?fù)洌膊挥藐P(guān)心如何部署安裝,大大降低第三方和云計(jì)算管理平臺的集成難度,也給用戶更多的選擇。
可選的,制作安全檢測容器,并注冊到云計(jì)算管理平臺的應(yīng)用商店的步驟包括:2.1下載云計(jì)算管理平臺發(fā)布的安全檢測容器鏡像;2.2安裝自己的核心引擎和管理模塊;2.3制作成安全檢測容器;2.4將制作成的安全檢測容器注冊到云計(jì)算管理平臺的應(yīng)用商店中。
安全檢測容器主要包含以下模塊:
1)、接口管理模塊,管理安全檢測容器的兩個(gè)虛擬接口,分別用于流量輸入和流量輸出;
2)、安全規(guī)則模塊,管理用戶配置策略模塊下發(fā)的策略;
3)、安全引擎模塊,對數(shù)據(jù)應(yīng)用安全規(guī)則進(jìn)行安全檢查;
4)、日志管理模塊,配置管理各種日志;
5)、存儲管理接口,用于存儲容器的數(shù)據(jù);
6)、ha管理模塊
可選的,與虛擬網(wǎng)絡(luò)中的虛擬節(jié)點(diǎn)對應(yīng)的安全應(yīng)用,用于響應(yīng)用戶在所述云計(jì)算管理平臺輸入的創(chuàng)建規(guī)則創(chuàng)建與所述虛擬節(jié)點(diǎn)對應(yīng)的虛擬安全交換機(jī)和至少一個(gè)目標(biāo)安全檢測容器,以及,生成并下發(fā)流表規(guī)則至所述虛擬安全交換機(jī);所述目標(biāo)安全檢測容器為已注冊于所述應(yīng)用商店中的安全檢測容器。
可選的,所述安全應(yīng)用響應(yīng)用戶在云計(jì)算管理平臺上的操作,生成與虛擬節(jié)點(diǎn)對應(yīng)的流表規(guī)則,并將生成的流表規(guī)則下發(fā)至與所述虛擬節(jié)點(diǎn)對應(yīng)的虛擬安全交換機(jī)。
在本申請實(shí)施例中,優(yōu)選的,所述安全應(yīng)用響應(yīng)用戶在所述云計(jì)算管理平臺輸入的創(chuàng)建規(guī)則創(chuàng)建與所述虛擬節(jié)點(diǎn)對應(yīng)的至少一個(gè)目標(biāo)安全檢測容器,包括:響應(yīng)用戶在所述云計(jì)算管理平臺輸入的創(chuàng)建規(guī)則,將所述創(chuàng)建規(guī)則指示的每個(gè)位于所述應(yīng)用商店中的安全檢測容器,確定一個(gè)目標(biāo)安全檢測容器。
需要注意的是:如圖1所示的分別與每個(gè)虛擬節(jié)點(diǎn)對應(yīng)的至少一個(gè)目標(biāo)安全檢測容器中的每個(gè)目標(biāo)安全檢測容器均是應(yīng)用商店提供的安全檢測容器。即,用戶在云計(jì)算管理平臺輸入的創(chuàng)建規(guī)則指示的安全檢測容器(此安全檢測容器是位于應(yīng)用商店中的安全檢測容器),并將創(chuàng)建規(guī)則指示的每個(gè)安全檢測容器確定為一個(gè)目標(biāo)安全檢測容器。
可選的,所述虛擬安全交換機(jī),用于當(dāng)與所述虛擬節(jié)點(diǎn)對應(yīng)的虛擬網(wǎng)絡(luò)流量流經(jīng)所述虛擬安全交換機(jī)時(shí),將目標(biāo)虛擬網(wǎng)絡(luò)流量中的滿足預(yù)設(shè)的合包規(guī)則的多個(gè)隧道包進(jìn)行處理得到一個(gè)傳輸層包,并按照所述流表規(guī)則將所述傳輸層包發(fā)送至所述至少一個(gè)目標(biāo)安全檢測容器中的每個(gè)目標(biāo)安全檢測容器;所述流表規(guī)則指示向所述至少一個(gè)目標(biāo)安全檢測容器發(fā)送所述傳輸層包的順序。
在本申請實(shí)施例中,優(yōu)選的,當(dāng)與虛擬節(jié)點(diǎn)對應(yīng)的虛擬網(wǎng)絡(luò)流量流經(jīng)與所述虛擬節(jié)點(diǎn)對應(yīng)的虛擬安全交換機(jī)時(shí),所述虛擬安全交換機(jī)用于確定所述虛擬網(wǎng)絡(luò)流量中的目標(biāo)虛擬網(wǎng)絡(luò)流量(即,從虛擬網(wǎng)絡(luò)流量中確定需要進(jìn)行安全檢測的虛擬網(wǎng)絡(luò)流量,作為目標(biāo)虛擬網(wǎng)絡(luò)流量,目標(biāo)虛擬網(wǎng)絡(luò)流量對應(yīng)有多個(gè)隧道包);將目標(biāo)虛擬網(wǎng)絡(luò)流量中的滿足預(yù)設(shè)的合包規(guī)則的多個(gè)隧道包進(jìn)行處理得到一個(gè)傳輸層包;并按照所述流表規(guī)則將所述傳輸層包分別發(fā)送至與所述虛擬節(jié)點(diǎn)對應(yīng)的至少一個(gè)目標(biāo)安全檢測容器中的每個(gè)目標(biāo)安全檢測容器中。相應(yīng)的,此處的流表規(guī)則指示向與所述虛擬節(jié)點(diǎn)對應(yīng)的至少一個(gè)目標(biāo)安全檢測容器發(fā)送所述傳輸層包的順序。
相應(yīng)的,所述目標(biāo)安全檢測容器,用于對接收到的傳輸層包進(jìn)行安全檢測,當(dāng)安全檢測成功時(shí),向所述虛擬安全交換機(jī)返回表示安全檢測成功的檢測結(jié)果信息;當(dāng)安全檢測失敗時(shí),對所述傳輸層包進(jìn)行攔截,以保證安全檢測失敗的傳輸層包不被虛擬安全交換機(jī)發(fā)出。
可選的,所述虛擬安全交換機(jī)用于按照所述流表規(guī)則將所述傳輸層包發(fā)送至所述至少一個(gè)目標(biāo)安全檢測容器中的每個(gè)目標(biāo)安全檢測容器,包括:所述虛擬交換機(jī)用于在接收到檢測結(jié)果后,根據(jù)所述流表規(guī)則確定是否存在與返回所述檢測結(jié)果的目標(biāo)安全檢測容器對應(yīng)的下一目標(biāo)安全檢測容器;若存在,將所述傳輸層包發(fā)送至所述下一目標(biāo)安全檢測容器;進(jìn)一步的,若不存在,所述虛擬安全交換機(jī)用于對所述傳輸層包進(jìn)行處理,并將處理后的傳輸層包發(fā)出。
例如,與虛擬節(jié)點(diǎn)對應(yīng)的至少一個(gè)目標(biāo)安全檢測容器為3個(gè),目標(biāo)安全檢測容器1、目標(biāo)安全檢測容器2以及目標(biāo)安全檢測容器3。所述流表規(guī)則指示向所述至少一個(gè)目標(biāo)安全檢測容器發(fā)送所述傳輸層包的順序依次為:目標(biāo)安全檢測容器2、目標(biāo)安全檢測容器3、目標(biāo)安全檢測容器1。
與所述虛擬節(jié)點(diǎn)對應(yīng)的虛擬安全交換機(jī)在得到傳輸層包后,根據(jù)流表規(guī)則,首先將傳輸層包發(fā)送至目標(biāo)安全檢測容器2;在接收到目標(biāo)安全檢測容器2返回的指示安全檢測成功的檢測結(jié)果信息后,確定存在與目標(biāo)安全檢測容器2對應(yīng)的下一目標(biāo)安全檢測容器(目標(biāo)安全檢測容器3),將所述傳輸層包發(fā)送至目標(biāo)安全檢測容器3;在接收到目標(biāo)安全檢測容器3返回的指示安全檢測成功的檢測結(jié)果信息后,確定存在與目標(biāo)安全檢測容器3對應(yīng)的下一目標(biāo)安全檢測容器(目標(biāo)安全檢測容器1),將所述傳輸層包發(fā)送至目標(biāo)安全檢測容器1;當(dāng)接收到目標(biāo)安全檢測容器1返回的指示安全檢測成功的檢測結(jié)果信息后,確定不存在與目標(biāo)安全檢測容器1對應(yīng)的下一目標(biāo)安全檢測容器,對所述傳輸層包進(jìn)行處理,并將處理后的傳輸層包發(fā)出。
可選的,所述滿足預(yù)設(shè)的合包規(guī)則的多個(gè)隧道包,包括:所述多個(gè)隧道包中的隧道包的總個(gè)數(shù)達(dá)到預(yù)設(shè)的第一合包閾值;或者,所述多個(gè)隧道包中的隧道包的總大小達(dá)到預(yù)設(shè)的第二合包閾值;或者,當(dāng)前系統(tǒng)時(shí)間滿足預(yù)設(shè)的合包周期。
可選的,預(yù)設(shè)有第一合包閾值,所述第一合包閾值指示目標(biāo)數(shù)量,當(dāng)所述多個(gè)隧道包中的隧道包的總個(gè)數(shù)達(dá)到所述目標(biāo)數(shù)量,確定所述多個(gè)隧道包滿足預(yù)設(shè)的合包規(guī)則。
可選的,預(yù)設(shè)有第二合包閾值,所述第二合包閾值指示目標(biāo)數(shù)據(jù)量,當(dāng)所述多個(gè)隧道包的總大小達(dá)到所述目標(biāo)數(shù)據(jù)量,確定所述多個(gè)隧道包滿足預(yù)設(shè)的合包規(guī)則。
可選的,預(yù)設(shè)有合包周期,當(dāng)當(dāng)前系統(tǒng)時(shí)間達(dá)到合包周期指示的合包時(shí)間時(shí),確定所述多個(gè)隧道包滿足預(yù)設(shè)的合包規(guī)則。
如圖2所示為本申請實(shí)施例提供的一種虛擬安全交換機(jī)將目標(biāo)虛擬網(wǎng)絡(luò)流量中的滿足預(yù)設(shè)的合包規(guī)則的多個(gè)隧道包進(jìn)行處理得到一個(gè)傳輸層包的方法流程圖。
如圖2所示,該方法包括:
S201、所述虛擬安全交換機(jī)獲取所述目標(biāo)虛擬網(wǎng)絡(luò)流量中滿足預(yù)設(shè)的合包規(guī)則的多個(gè)隧道包中的每個(gè)隧道包的數(shù)據(jù)內(nèi)容;
S202、將所獲取到的數(shù)據(jù)內(nèi)容作為目標(biāo)數(shù)據(jù)內(nèi)容,存儲至與所述虛擬節(jié)點(diǎn)對應(yīng)的物理服務(wù)器的共享內(nèi)存中,并確定所述目標(biāo)數(shù)據(jù)內(nèi)容的存儲地址,以及所述目標(biāo)數(shù)據(jù)內(nèi)容的數(shù)據(jù)量;
可選的,將步驟S201中所獲取到的所有的數(shù)據(jù)內(nèi)容作為目標(biāo)數(shù)據(jù)內(nèi)容,并將所述目標(biāo)數(shù)據(jù)內(nèi)容存儲至與所述虛擬節(jié)點(diǎn)對應(yīng)的物理服務(wù)器的共享內(nèi)存中,并確定所述目標(biāo)數(shù)據(jù)內(nèi)容的存儲地址,以及所述目標(biāo)數(shù)據(jù)內(nèi)容的數(shù)據(jù)量。
S203、根據(jù)所述存儲地址以及數(shù)據(jù)量生成傳輸層包,所述傳輸層包的數(shù)據(jù)內(nèi)容指示所述存儲地址和數(shù)據(jù)量。
可選的,將所述存儲地址和數(shù)據(jù)量作為傳輸層包的數(shù)據(jù)內(nèi)容,生成傳輸層包。
圖3為本申請實(shí)施例提供的一種目標(biāo)安全檢測容器對接收到的傳輸層包進(jìn)行安全檢測的方法流程圖。
如圖3所示,該方法包括:
S301、所述目標(biāo)安全檢測容器獲取接收到的傳輸層包的數(shù)據(jù)內(nèi)容指示的所述存儲地址中存儲的所述目標(biāo)數(shù)據(jù)內(nèi)容;
可選的,所述目標(biāo)安全檢測容器獲取接收到的傳輸層包的數(shù)據(jù)內(nèi)容指示的所述存儲地址,并根據(jù)所述存儲地址從所述共享內(nèi)存中獲取與所述存儲地址對應(yīng)的所述目標(biāo)數(shù)據(jù)內(nèi)容。
S302、利用所述傳輸層包的數(shù)據(jù)內(nèi)容指示的所述數(shù)據(jù)量,對所獲取的目標(biāo)數(shù)據(jù)內(nèi)容進(jìn)行安全檢測;如果對所獲取的目標(biāo)數(shù)據(jù)內(nèi)容安全檢測成功,執(zhí)行步驟S303;如果對所獲取的目標(biāo)數(shù)據(jù)內(nèi)容安全檢測失敗,執(zhí)行步驟S304;
可選的,利用所述傳輸層包的數(shù)據(jù)內(nèi)容指示的所述數(shù)據(jù)量,對所獲取的目標(biāo)數(shù)據(jù)內(nèi)容進(jìn)行安全檢測,包括:確定所獲取的目標(biāo)數(shù)據(jù)內(nèi)容的數(shù)據(jù)量是否與所述傳輸層包的數(shù)據(jù)內(nèi)容指示的所述數(shù)據(jù)量相同;如果相同,則確定對所獲取的目標(biāo)數(shù)據(jù)內(nèi)容安全檢測成果;如果不相同,則確定對所獲取的目標(biāo)數(shù)據(jù)內(nèi)容安全檢測失敗。
以上僅僅是本申請實(shí)施例提供的對所獲取的目標(biāo)數(shù)據(jù)內(nèi)容進(jìn)行安全檢測的優(yōu)選方式,發(fā)明人可根據(jù)自己的需求任意設(shè)置對目標(biāo)數(shù)據(jù)內(nèi)容進(jìn)行安全檢測的方式(比如,檢測目標(biāo)數(shù)據(jù)內(nèi)容中是否攜帶非安全內(nèi)容,當(dāng)攜帶時(shí),確定對所獲取的目標(biāo)數(shù)據(jù)內(nèi)容安全檢測成果;當(dāng)未攜帶時(shí),確定對所獲取的目標(biāo)數(shù)據(jù)內(nèi)容安全檢測失敗等方式),在此不做限定。
S303、確定對所述傳輸層包安全檢測成功;
S304、確定對所述傳輸層安全檢測失敗。
圖4為本申請實(shí)施例提供的一種安全檢測容器生成方法流程圖。
如圖4所示,該方法包括:
S401、在滿足預(yù)設(shè)的安全檢測容器鏡像獲取條件的前提下,獲取所述云計(jì)算管理平臺發(fā)布的安全檢測容器鏡像;
可選的,云計(jì)算管理平臺發(fā)布的安全檢測容器鏡像,在用戶通過所述云計(jì)算管理平臺購買所述安全檢測容器鏡像成功后,確定滿足預(yù)設(shè)的安全檢測容器鏡像獲取條件,此時(shí),自動獲取所述云計(jì)算管理平臺發(fā)布的安全檢測容器鏡像。
以上僅僅是本申請實(shí)施例提供的確定滿足預(yù)設(shè)的安全檢測容器鏡像獲取條件的優(yōu)選方式,發(fā)明人可根據(jù)自己的需求任意設(shè)置確定滿足預(yù)設(shè)的安全檢測容器鏡像獲取條件的具體內(nèi)容,在此不做限定。
S402、在所述安全檢測容器鏡像的基礎(chǔ)上安裝預(yù)設(shè)的核心引擎并設(shè)置預(yù)設(shè)的管理規(guī)則,生成安全檢測容器。
可選的,利用所述基礎(chǔ)安全檢測容器和預(yù)設(shè)的核心引擎以及管理規(guī)則,可生成安全檢測容器。
以上僅僅是本申請實(shí)施例提供的生成安全檢測容器的優(yōu)選方式,發(fā)明人可根據(jù)自己的需求任意設(shè)置生成安全檢測容器的具體方式,在此不做限定。
進(jìn)一步的,所述安全應(yīng)用,還用于:響應(yīng)接收到的用戶通過所述云計(jì)算管理平臺對目標(biāo)安全檢測容器的操作請求,按照與所述操作請求指示的操作方式對所述目標(biāo)安全檢測容器進(jìn)行處理,其中,所述操作方式包括刪除操作方式、創(chuàng)建操作方式和/或修改操作方式。
可選的,安全應(yīng)用可響應(yīng)接收到的用戶通過云計(jì)算管理平臺對所述虛擬節(jié)點(diǎn)對應(yīng)的至少一個(gè)目標(biāo)安全檢測容器的操作請求,按照所述操作請求指示的操作方式對所述至少一個(gè)目標(biāo)安全檢測容器進(jìn)行處理,其中,所述操作方式包括刪除操作方式、創(chuàng)建操作方式和/或修改操作方式。
若與虛擬節(jié)點(diǎn)對應(yīng)的至少一個(gè)目標(biāo)安全檢測容器分別為目標(biāo)安全檢測容器1、目標(biāo)安全檢測容器2時(shí),與所虛擬節(jié)點(diǎn)對應(yīng)的安全應(yīng)用可響應(yīng)接收到的用戶通過云計(jì)算管理平臺對與所述虛擬節(jié)點(diǎn)對應(yīng)的至少一個(gè)目標(biāo)安全檢測容器的操作請求,按照所述操作請求指示的操作方式對所述至少一個(gè)目標(biāo)安全檢測容器進(jìn)行處理。例如,將與所述虛擬節(jié)點(diǎn)對應(yīng)的目標(biāo)安全檢測容器2和/或目標(biāo)安全檢測容器1刪除,創(chuàng)建與虛擬節(jié)點(diǎn)對應(yīng)的目標(biāo)安全檢測容器3,修改與所述虛擬節(jié)點(diǎn)對應(yīng)的目標(biāo)安全檢測容器1和/或目標(biāo)安全檢測容器2。
以上僅僅是本申請實(shí)施例為了便于理解提供的優(yōu)選方式,發(fā)明人可根據(jù)自己的需求人員設(shè)置操作請求指示的操作方式的具體內(nèi)容,在此不做限定。
所述安全應(yīng)用還用于:接收所述目標(biāo)安全檢測容器發(fā)送的擴(kuò)展請求,所述擴(kuò)展請求是所述目標(biāo)安全檢測容器在檢測到所述目標(biāo)安全檢測容器中的資源使用數(shù)超出預(yù)設(shè)的與所述目標(biāo)安全檢測容器對應(yīng)的資源使用數(shù)閾值的情況下發(fā)送的;響應(yīng)所述擴(kuò)展請求,動態(tài)擴(kuò)展與所述目標(biāo)安全檢測容器對應(yīng)的資源使用數(shù)閾值。
可選的,當(dāng)所述目標(biāo)安全檢測容器在檢測到所述目標(biāo)安全檢測容器自身中的資源使用數(shù)超出預(yù)設(shè)的與所述目標(biāo)安全檢測容器對應(yīng)的資源使用數(shù)閾值時(shí),發(fā)送擴(kuò)展請求;安全應(yīng)用在接收到所述目標(biāo)安全檢測容器發(fā)送的擴(kuò)展請求后,響應(yīng)所述擴(kuò)展請求,動態(tài)擴(kuò)展與所述目標(biāo)安全檢測容器對應(yīng)的資源使用數(shù)閾值。
可選的,在虛擬節(jié)點(diǎn)上增加安全應(yīng)用(也可稱為安全檢測agent),所述安全應(yīng)用主要包括租戶虛擬網(wǎng)絡(luò)管理模塊/用戶配置策略模塊/流表管理模塊/安全檢測容器管理模塊。
其中,用戶配置策略模塊:
提供接口供云計(jì)算管理平臺調(diào)用,管理用戶配置的安全策略,供安全流表管理模塊使用;其中包含用戶可以選擇的安全檢測容器列表和安全引擎和規(guī)則列表;
租戶虛擬網(wǎng)絡(luò)管理模塊:
收集租戶的虛擬網(wǎng)絡(luò)/虛擬交換機(jī)端口/虛擬路由器/安全檢測系統(tǒng)端口的相關(guān)信息,供安全流表管理模塊使用;
當(dāng)用戶配置虛擬網(wǎng)絡(luò)作安全檢測時(shí),由云計(jì)算管理平臺和虛擬節(jié)點(diǎn)上的安全應(yīng)用通信,安全應(yīng)用根據(jù)用戶配置創(chuàng)建/刪除/修改與虛擬節(jié)點(diǎn)對應(yīng)的目標(biāo)安全檢測容器,并應(yīng)用用戶選擇的安全檢測引擎和規(guī)則。
安全流表管理模塊:
根據(jù)用戶的配置信息和收集到的租戶的虛擬網(wǎng)絡(luò)信息,下發(fā)/刪除流表規(guī)則給虛擬安全交換機(jī),以便所述虛擬安全交換機(jī)將用戶想檢測的流量導(dǎo)給與虛擬節(jié)點(diǎn)相應(yīng)的目標(biāo)安全檢測容器進(jìn)行檢測。
云計(jì)算管理平臺處理流程
云計(jì)算管理平臺給用戶提供界面,用戶可以選擇需要進(jìn)行安全檢測的虛擬機(jī)/port/ip/mac/協(xié)議/虛擬網(wǎng)絡(luò)等;
用戶可以選擇目標(biāo)安全檢測容器的使用規(guī)格,并且可以配置各種策略,規(guī)定目標(biāo)安全檢測容器的最小最大資源使用數(shù),當(dāng)數(shù)據(jù)量大時(shí),自動擴(kuò)展所述資源使用數(shù);
目標(biāo)安全容器有預(yù)設(shè)的資源使用數(shù)范圍(資源使用數(shù)閾值),創(chuàng)建時(shí)使用最小的資源數(shù),當(dāng)目標(biāo)安全檢測容器的內(nèi)部檢測系統(tǒng)檢查目標(biāo)安全檢測容器有處理不過來的請求時(shí),通知安全應(yīng)用動態(tài)的擴(kuò)展當(dāng)前目標(biāo)安全檢測容器的資源使用數(shù)。
根據(jù)用戶的輸入配置各種引擎和規(guī)則,針對各種協(xié)議做不同的策略檢查;
配置報(bào)警和響應(yīng),比如記錄報(bào)警日志/發(fā)送郵件/短信/下發(fā)規(guī)則阻斷入侵的連接;
安全應(yīng)用根據(jù)用戶的配置策略,創(chuàng)建對應(yīng)的安全檢測容器,并啟用對應(yīng)的安全檢測引擎和規(guī)則;安全應(yīng)用收集相關(guān)的虛擬網(wǎng)絡(luò)信息,并根據(jù)收到的虛擬網(wǎng)絡(luò)信息下發(fā)流表規(guī)則給虛擬安全交換機(jī)來控制需要進(jìn)行安全檢測的流量流經(jīng)安全檢測容器;
安全檢測容器對流經(jīng)的流量進(jìn)行安全檢測,如果發(fā)現(xiàn)惡意攻擊則阻斷,否則放行。
本申請實(shí)施例提供一種云計(jì)算環(huán)境下提供網(wǎng)絡(luò)安全即服務(wù)的系統(tǒng),包括云計(jì)算管理平臺、與虛擬網(wǎng)絡(luò)中的虛擬節(jié)點(diǎn)對應(yīng)的安全應(yīng)用、虛擬安全交換機(jī)以及目標(biāo)安全檢測容器;虛擬安全交換機(jī)對與虛擬節(jié)點(diǎn)對應(yīng)的目標(biāo)虛擬網(wǎng)絡(luò)流量中的多個(gè)隧道包進(jìn)行處理,得到一個(gè)傳輸層包,將傳輸層包發(fā)送至各目標(biāo)安全檢測容器進(jìn)行安全檢測,在傳輸層包安全檢測成功后,對傳輸層包進(jìn)行處理并發(fā)送,以為虛擬網(wǎng)絡(luò)提供安全服務(wù),提高虛擬網(wǎng)絡(luò)的安全性;并且,通過將多個(gè)隧道包合并成一個(gè)傳輸層包傳輸至目標(biāo)安全檢測容器進(jìn)行安全檢測的方式,提升了傳輸速度、降低了目標(biāo)安全檢測容器上數(shù)據(jù)包的數(shù)量,提升了目標(biāo)安全檢測容器的數(shù)據(jù)包處理性能,降低了整個(gè)系統(tǒng)的能耗。
本發(fā)明中各個(gè)實(shí)施例采用遞進(jìn)的方式描述,每個(gè)實(shí)施例重點(diǎn)說明的都是與其他實(shí)施例的不同之處,各個(gè)實(shí)施例之間相同相似部分互相參見即可。對于實(shí)施例公開的裝置而言,由于其與實(shí)施例公開的方法相對應(yīng),所以描述的比較簡單,相關(guān)之處參見方法部分說明即可。
以上僅是本發(fā)明的優(yōu)選實(shí)施方式,使本領(lǐng)域技術(shù)人員能夠理解或?qū)崿F(xiàn)本發(fā)明。對這些實(shí)施例的多種修改對本領(lǐng)域的技術(shù)人員來說將是顯而易見的,本文中所定義的一般原理可以在不脫離本發(fā)明的精神或范圍的情況下,在其它實(shí)施例中實(shí)現(xiàn)。因此,本發(fā)明將不會被限制于本文所示的這些實(shí)施例,而是要符合與本文所公開的原理和新穎特點(diǎn)相一致的最寬的范圍。