国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      一種云計(jì)算環(huán)境下提供網(wǎng)絡(luò)安全即服務(wù)的系統(tǒng)的制作方法

      文檔序號:12729858閱讀:221來源:國知局
      一種云計(jì)算環(huán)境下提供網(wǎng)絡(luò)安全即服務(wù)的系統(tǒng)的制作方法與工藝

      本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域,特別是涉及一種云計(jì)算環(huán)境下提供網(wǎng)絡(luò)安全即服務(wù)的系統(tǒng)。



      背景技術(shù):

      虛擬網(wǎng)絡(luò)是一種包含至少部分是虛擬網(wǎng)絡(luò)鏈接的計(jì)算機(jī)網(wǎng)絡(luò)。虛擬網(wǎng)絡(luò)鏈接是在兩個(gè)計(jì)算設(shè)備間不包含物理連接,而是通過網(wǎng)絡(luò)虛擬化來實(shí)現(xiàn)。

      在云計(jì)算環(huán)境下,針對虛擬網(wǎng)絡(luò)而言,云計(jì)算環(huán)境并未為虛擬網(wǎng)絡(luò)提供安全服務(wù)功能,因此,通常導(dǎo)致虛擬網(wǎng)絡(luò)容易遭受攻擊,進(jìn)而造成各種安全問題。

      有鑒于此,提供一種云計(jì)算環(huán)境下提供網(wǎng)絡(luò)安全即服務(wù)的系統(tǒng),以為虛擬網(wǎng)絡(luò)提供安全服務(wù),提高虛擬網(wǎng)絡(luò)的安全性,是亟待解決的問題。



      技術(shù)實(shí)現(xiàn)要素:

      有鑒于此,本發(fā)明實(shí)施例提供一種云計(jì)算環(huán)境下提供網(wǎng)絡(luò)安全即服務(wù)的系統(tǒng),以為虛擬網(wǎng)絡(luò)提供安全服務(wù),提高虛擬網(wǎng)絡(luò)的安全性。

      為了實(shí)現(xiàn)上述目的,本發(fā)明實(shí)施例提供的技術(shù)方案如下:

      一種云計(jì)算環(huán)境下提供網(wǎng)絡(luò)安全即服務(wù)的系統(tǒng),應(yīng)用于虛擬網(wǎng)絡(luò),所述系統(tǒng)包括:

      云計(jì)算管理平臺,用于發(fā)布基于所述云計(jì)算管理平臺的安全檢測容器鏡像,以及,提供用于注冊安全檢測容器的應(yīng)用商店,所述安全檢測容器為響應(yīng)安全檢測容器生成操作基于所述安全檢測容器鏡像生成的;

      與虛擬網(wǎng)絡(luò)中的虛擬節(jié)點(diǎn)對應(yīng)的安全應(yīng)用,用于響應(yīng)用戶在所述云計(jì)算管理平臺輸入的創(chuàng)建規(guī)則創(chuàng)建與所述虛擬節(jié)點(diǎn)對應(yīng)的虛擬安全交換機(jī)和至少一個(gè)目標(biāo)安全檢測容器,以及,生成并下發(fā)流表規(guī)則至所述虛擬安全交換機(jī);所述目標(biāo)安全檢測容器為已注冊于所述應(yīng)用商店中的安全檢測容器;

      所述虛擬安全交換機(jī),用于當(dāng)與所述虛擬節(jié)點(diǎn)對應(yīng)的虛擬網(wǎng)絡(luò)流量流經(jīng)所述虛擬安全交換機(jī)時(shí),將目標(biāo)虛擬網(wǎng)絡(luò)流量中的滿足預(yù)設(shè)的合包規(guī)則的多個(gè)隧道包進(jìn)行處理得到一個(gè)傳輸層包,并按照所述流表規(guī)則將所述傳輸層包發(fā)送至所述至少一個(gè)目標(biāo)安全檢測容器中的每個(gè)目標(biāo)安全檢測容器;所述流表規(guī)則指示向所述至少一個(gè)目標(biāo)安全檢測容器發(fā)送所述傳輸層包的順序;

      所述目標(biāo)安全檢測容器,用于對接收到的傳輸層包進(jìn)行安全檢測,當(dāng)安全檢測成功時(shí),向所述虛擬安全交換機(jī)返回表示安全檢測成功的檢測結(jié)果信息;

      所述虛擬安全交換機(jī)用于按照所述流表規(guī)則將所述傳輸層包發(fā)送至所述至少一個(gè)目標(biāo)安全檢測容器中的每個(gè)目標(biāo)安全檢測容器,包括:所述虛擬交換機(jī)用于在接收到檢測結(jié)果后,根據(jù)所述流表規(guī)則確定是否存在與返回所述檢測結(jié)果的目標(biāo)安全檢測容器對應(yīng)的下一目標(biāo)安全檢測容器;若存在,將所述傳輸層包發(fā)送至所述下一目標(biāo)安全檢測容器;

      所述虛擬安全交換機(jī),還用于若根據(jù)所述流表規(guī)則確定不存在與返回所述檢測結(jié)果的目標(biāo)安全檢測容器對應(yīng)的下一目標(biāo)安全檢測容器,對所述傳輸層包進(jìn)行處理,并將處理后的傳輸層包發(fā)出。

      優(yōu)選的,所述滿足預(yù)設(shè)的合包規(guī)則的多個(gè)隧道包,包括:

      所述多個(gè)隧道包中的隧道包的總個(gè)數(shù)達(dá)到預(yù)設(shè)的第一合包閾值;

      或者,

      所述多個(gè)隧道包中的隧道包的總大小達(dá)到預(yù)設(shè)的第二合包閾值;

      或者,

      當(dāng)前系統(tǒng)時(shí)間滿足預(yù)設(shè)的合包周期。

      優(yōu)選的,所述虛擬安全交換機(jī)將目標(biāo)虛擬網(wǎng)絡(luò)流量中的滿足預(yù)設(shè)的合包規(guī)則的多個(gè)隧道包進(jìn)行處理得到一個(gè)傳輸層包,包括:

      所述虛擬安全交換機(jī)獲取所述目標(biāo)虛擬網(wǎng)絡(luò)流量中滿足預(yù)設(shè)的合包規(guī)則的多個(gè)隧道包中的每個(gè)隧道包的數(shù)據(jù)內(nèi)容;

      將所獲取到的數(shù)據(jù)內(nèi)容作為目標(biāo)數(shù)據(jù)內(nèi)容,存儲至與所述虛擬節(jié)點(diǎn)對應(yīng)的物理服務(wù)器的共享內(nèi)存中,并確定所述目標(biāo)數(shù)據(jù)內(nèi)容的存儲地址,以及所述目標(biāo)數(shù)據(jù)內(nèi)容的數(shù)據(jù)量;

      根據(jù)所述存儲地址以及數(shù)據(jù)量生成傳輸層包,所述傳輸層包的數(shù)據(jù)內(nèi)容指示所述存儲地址和數(shù)據(jù)量。

      優(yōu)選的,所述目標(biāo)安全檢測容器對接收到的傳輸層包進(jìn)行安全檢測,包括:

      所述目標(biāo)安全檢測容器獲取接收到的傳輸層包的數(shù)據(jù)內(nèi)容指示的所述存儲地址中存儲的所述目標(biāo)數(shù)據(jù)內(nèi)容;

      利用所述傳輸層包的數(shù)據(jù)內(nèi)容指示的所述數(shù)據(jù)量,對所獲取的目標(biāo)數(shù)據(jù)內(nèi)容進(jìn)行安全檢測;

      如果對所獲取的目標(biāo)數(shù)據(jù)內(nèi)容安全檢測成功,確定對所述傳輸層包安全檢測成功;

      如果對所獲取的目標(biāo)數(shù)據(jù)內(nèi)容安全檢測失敗,確定對所述傳輸層安全檢測失敗。

      優(yōu)選的,所述安全應(yīng)用響應(yīng)用戶在所述云計(jì)算管理平臺輸入的創(chuàng)建規(guī)則創(chuàng)建與所述虛擬節(jié)點(diǎn)對應(yīng)的至少一個(gè)目標(biāo)安全檢測容器,包括:

      響應(yīng)用戶在所述云計(jì)算管理平臺輸入的創(chuàng)建規(guī)則,將所述創(chuàng)建規(guī)則指示的每個(gè)位于所述應(yīng)用商店中的安全檢測容器,確定一個(gè)目標(biāo)安全檢測容器。

      優(yōu)選的,所述安全檢測容器的生成過程包括:

      在滿足預(yù)設(shè)的安全檢測容器鏡像獲取條件的前提下,獲取所述云計(jì)算管理平臺發(fā)布的安全檢測容器鏡像;

      在所述安全檢測容器鏡像的基礎(chǔ)上安裝預(yù)設(shè)的核心引擎并設(shè)置預(yù)設(shè)的管理規(guī)則,生成安全檢測容器。

      優(yōu)選的,所述安全應(yīng)用,還用于:

      響應(yīng)接收到的用戶通過所述云計(jì)算管理平臺對目標(biāo)安全檢測容器的操作請求,按照與所述操作請求指示的操作方式對所述目標(biāo)安全檢測容器進(jìn)行處理,其中,所述操作方式包括刪除操作方式、創(chuàng)建操作方式和/或修改操作方式。

      優(yōu)選的,所述安全應(yīng)用還用于:

      接收所述目標(biāo)安全檢測容器發(fā)送的擴(kuò)展請求,所述擴(kuò)展請求是所述目標(biāo)安全檢測容器在檢測到所述目標(biāo)安全檢測容器中的資源使用數(shù)超出預(yù)設(shè)的與所述目標(biāo)安全檢測容器對應(yīng)的資源使用數(shù)閾值的情況下發(fā)送的;

      響應(yīng)所述擴(kuò)展請求,動態(tài)擴(kuò)展與所述目標(biāo)安全檢測容器對應(yīng)的資源使用數(shù)閾值。

      優(yōu)選的,各個(gè)所述安全檢測容器具有統(tǒng)一的接口。

      本申請實(shí)施例提供一種云計(jì)算環(huán)境下提供網(wǎng)絡(luò)安全即服務(wù)的系統(tǒng),包括云計(jì)算管理平臺、與虛擬網(wǎng)絡(luò)中的虛擬節(jié)點(diǎn)對應(yīng)的安全應(yīng)用、虛擬安全交換機(jī)以及目標(biāo)安全檢測容器;虛擬安全交換機(jī)對與虛擬節(jié)點(diǎn)對應(yīng)的目標(biāo)虛擬網(wǎng)絡(luò)流量中的多個(gè)隧道包進(jìn)行處理,得到一個(gè)傳輸層包,將傳輸層包發(fā)送至各目標(biāo)安全檢測容器進(jìn)行安全檢測,在傳輸層包安全檢測成功后,對傳輸層包進(jìn)行處理并發(fā)送,以為虛擬網(wǎng)絡(luò)提供安全服務(wù),提高虛擬網(wǎng)絡(luò)的安全性;并且,通過將多個(gè)隧道包合并成一個(gè)傳輸層包傳輸至目標(biāo)安全檢測容器進(jìn)行安全檢測的方式,提升了傳輸速度、降低了目標(biāo)安全檢測容器上數(shù)據(jù)包的數(shù)量,提升了目標(biāo)安全檢測容器的數(shù)據(jù)包處理性能,降低了整個(gè)系統(tǒng)的能耗。

      附圖說明

      為了更清楚地說明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本發(fā)明中記載的一些實(shí)施例,對于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動的前提下,還可以根據(jù)這些附圖獲得其他的附圖。

      圖1為本申請實(shí)施例提供的一種云計(jì)算環(huán)境下提供網(wǎng)絡(luò)安全即服務(wù)的系統(tǒng)的結(jié)構(gòu)示意圖;

      圖2為本申請實(shí)施例提供的一種虛擬安全交換機(jī)將目標(biāo)虛擬網(wǎng)絡(luò)流量中的滿足預(yù)設(shè)的合包規(guī)則的多個(gè)隧道包進(jìn)行處理得到一個(gè)傳輸層包的方法流程圖;

      圖3為本申請實(shí)施例提供的一種目標(biāo)安全檢測容器對接收到的傳輸層包進(jìn)行安全檢測的方法流程圖;

      圖4為本申請實(shí)施例提供的一種安全檢測容器生成方法流程圖。

      具體實(shí)施方式

      為了使本技術(shù)領(lǐng)域的人員更好地理解本發(fā)明中的技術(shù)方案,下面將結(jié)合本發(fā)明實(shí)施例中的附圖,對本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述,顯然,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例,而不是全部的實(shí)施例。基于本發(fā)明中的實(shí)施例,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實(shí)施例,都應(yīng)當(dāng)屬于本發(fā)明保護(hù)的范圍。

      實(shí)施例:

      圖1為本申請實(shí)施例提供的一種云計(jì)算環(huán)境下提供網(wǎng)絡(luò)安全即服務(wù)的系統(tǒng)的結(jié)構(gòu)示意圖。

      如圖1的云計(jì)算環(huán)境下提供網(wǎng)絡(luò)安全即服務(wù)的系統(tǒng)應(yīng)用于虛擬網(wǎng)絡(luò),該系統(tǒng)包括:云計(jì)算管理平臺11、與虛擬網(wǎng)絡(luò)中的一個(gè)虛擬節(jié)點(diǎn)對應(yīng)的安全應(yīng)用12、虛擬安全交換機(jī)13、以及至少一個(gè)目標(biāo)安全檢測容器14。

      可選的,因附圖限制,在圖1中僅展示的虛擬網(wǎng)絡(luò)中的三個(gè)虛擬節(jié)點(diǎn),以及分別與每個(gè)虛擬節(jié)點(diǎn)對應(yīng)的安全應(yīng)用、虛擬安全交換機(jī)以及目標(biāo)安全檢測容器。本領(lǐng)域技術(shù)人員應(yīng)該了解的是,本申請實(shí)施例提供的如圖1所示的系統(tǒng)中并不限定于三個(gè)虛擬節(jié)點(diǎn),以及并不限定與一虛擬安全交換機(jī)對應(yīng)的目標(biāo)安全檢測容器的個(gè)數(shù)。

      可選的,云計(jì)算管理平臺,用于發(fā)布基于所述云計(jì)算管理平臺的安全檢測容器鏡像,以及,提供用于注冊安全檢測容器的應(yīng)用商店,所述安全檢測容器為響應(yīng)安全檢測容器生成操作基于所述安全檢測容器鏡像生成的。

      云計(jì)算管理平臺發(fā)布基于所述云計(jì)算管理平臺的安全檢測容器鏡像,所述安全檢測容器鏡像中包括通用的api接口。并且,云計(jì)算管理平臺發(fā)布應(yīng)用商店,提供給第三方使用,第三方(如安全公司)可基于所述安全檢測鏡像制作各種安全檢測容器,并將制作的安全檢測容器注冊到云計(jì)算管理平臺的應(yīng)用商店中。

      可選的,安全檢測容器鏡像中包含統(tǒng)一的安全檢測開發(fā)平臺,封裝好了一些通用功能,比如容器的ha,日志管理,進(jìn)程管理,數(shù)據(jù)包的收發(fā)api等,第三方只需基于安全檢測容器鏡像將自己的核心檢測引擎放到里面,然后制作自己的安全檢測容器并注冊到云計(jì)算管理平臺的應(yīng)用商店中,已注冊到應(yīng)用商店的安全檢測容器即可被用戶按需使用。從而使得不用再關(guān)心云計(jì)算管理平臺中復(fù)雜的虛擬網(wǎng)絡(luò)拓?fù)洌膊挥藐P(guān)心如何部署安裝,大大降低第三方和云計(jì)算管理平臺的集成難度,也給用戶更多的選擇。

      可選的,制作安全檢測容器,并注冊到云計(jì)算管理平臺的應(yīng)用商店的步驟包括:2.1下載云計(jì)算管理平臺發(fā)布的安全檢測容器鏡像;2.2安裝自己的核心引擎和管理模塊;2.3制作成安全檢測容器;2.4將制作成的安全檢測容器注冊到云計(jì)算管理平臺的應(yīng)用商店中。

      安全檢測容器主要包含以下模塊:

      1)、接口管理模塊,管理安全檢測容器的兩個(gè)虛擬接口,分別用于流量輸入和流量輸出;

      2)、安全規(guī)則模塊,管理用戶配置策略模塊下發(fā)的策略;

      3)、安全引擎模塊,對數(shù)據(jù)應(yīng)用安全規(guī)則進(jìn)行安全檢查;

      4)、日志管理模塊,配置管理各種日志;

      5)、存儲管理接口,用于存儲容器的數(shù)據(jù);

      6)、ha管理模塊

      可選的,與虛擬網(wǎng)絡(luò)中的虛擬節(jié)點(diǎn)對應(yīng)的安全應(yīng)用,用于響應(yīng)用戶在所述云計(jì)算管理平臺輸入的創(chuàng)建規(guī)則創(chuàng)建與所述虛擬節(jié)點(diǎn)對應(yīng)的虛擬安全交換機(jī)和至少一個(gè)目標(biāo)安全檢測容器,以及,生成并下發(fā)流表規(guī)則至所述虛擬安全交換機(jī);所述目標(biāo)安全檢測容器為已注冊于所述應(yīng)用商店中的安全檢測容器。

      可選的,所述安全應(yīng)用響應(yīng)用戶在云計(jì)算管理平臺上的操作,生成與虛擬節(jié)點(diǎn)對應(yīng)的流表規(guī)則,并將生成的流表規(guī)則下發(fā)至與所述虛擬節(jié)點(diǎn)對應(yīng)的虛擬安全交換機(jī)。

      在本申請實(shí)施例中,優(yōu)選的,所述安全應(yīng)用響應(yīng)用戶在所述云計(jì)算管理平臺輸入的創(chuàng)建規(guī)則創(chuàng)建與所述虛擬節(jié)點(diǎn)對應(yīng)的至少一個(gè)目標(biāo)安全檢測容器,包括:響應(yīng)用戶在所述云計(jì)算管理平臺輸入的創(chuàng)建規(guī)則,將所述創(chuàng)建規(guī)則指示的每個(gè)位于所述應(yīng)用商店中的安全檢測容器,確定一個(gè)目標(biāo)安全檢測容器。

      需要注意的是:如圖1所示的分別與每個(gè)虛擬節(jié)點(diǎn)對應(yīng)的至少一個(gè)目標(biāo)安全檢測容器中的每個(gè)目標(biāo)安全檢測容器均是應(yīng)用商店提供的安全檢測容器。即,用戶在云計(jì)算管理平臺輸入的創(chuàng)建規(guī)則指示的安全檢測容器(此安全檢測容器是位于應(yīng)用商店中的安全檢測容器),并將創(chuàng)建規(guī)則指示的每個(gè)安全檢測容器確定為一個(gè)目標(biāo)安全檢測容器。

      可選的,所述虛擬安全交換機(jī),用于當(dāng)與所述虛擬節(jié)點(diǎn)對應(yīng)的虛擬網(wǎng)絡(luò)流量流經(jīng)所述虛擬安全交換機(jī)時(shí),將目標(biāo)虛擬網(wǎng)絡(luò)流量中的滿足預(yù)設(shè)的合包規(guī)則的多個(gè)隧道包進(jìn)行處理得到一個(gè)傳輸層包,并按照所述流表規(guī)則將所述傳輸層包發(fā)送至所述至少一個(gè)目標(biāo)安全檢測容器中的每個(gè)目標(biāo)安全檢測容器;所述流表規(guī)則指示向所述至少一個(gè)目標(biāo)安全檢測容器發(fā)送所述傳輸層包的順序。

      在本申請實(shí)施例中,優(yōu)選的,當(dāng)與虛擬節(jié)點(diǎn)對應(yīng)的虛擬網(wǎng)絡(luò)流量流經(jīng)與所述虛擬節(jié)點(diǎn)對應(yīng)的虛擬安全交換機(jī)時(shí),所述虛擬安全交換機(jī)用于確定所述虛擬網(wǎng)絡(luò)流量中的目標(biāo)虛擬網(wǎng)絡(luò)流量(即,從虛擬網(wǎng)絡(luò)流量中確定需要進(jìn)行安全檢測的虛擬網(wǎng)絡(luò)流量,作為目標(biāo)虛擬網(wǎng)絡(luò)流量,目標(biāo)虛擬網(wǎng)絡(luò)流量對應(yīng)有多個(gè)隧道包);將目標(biāo)虛擬網(wǎng)絡(luò)流量中的滿足預(yù)設(shè)的合包規(guī)則的多個(gè)隧道包進(jìn)行處理得到一個(gè)傳輸層包;并按照所述流表規(guī)則將所述傳輸層包分別發(fā)送至與所述虛擬節(jié)點(diǎn)對應(yīng)的至少一個(gè)目標(biāo)安全檢測容器中的每個(gè)目標(biāo)安全檢測容器中。相應(yīng)的,此處的流表規(guī)則指示向與所述虛擬節(jié)點(diǎn)對應(yīng)的至少一個(gè)目標(biāo)安全檢測容器發(fā)送所述傳輸層包的順序。

      相應(yīng)的,所述目標(biāo)安全檢測容器,用于對接收到的傳輸層包進(jìn)行安全檢測,當(dāng)安全檢測成功時(shí),向所述虛擬安全交換機(jī)返回表示安全檢測成功的檢測結(jié)果信息;當(dāng)安全檢測失敗時(shí),對所述傳輸層包進(jìn)行攔截,以保證安全檢測失敗的傳輸層包不被虛擬安全交換機(jī)發(fā)出。

      可選的,所述虛擬安全交換機(jī)用于按照所述流表規(guī)則將所述傳輸層包發(fā)送至所述至少一個(gè)目標(biāo)安全檢測容器中的每個(gè)目標(biāo)安全檢測容器,包括:所述虛擬交換機(jī)用于在接收到檢測結(jié)果后,根據(jù)所述流表規(guī)則確定是否存在與返回所述檢測結(jié)果的目標(biāo)安全檢測容器對應(yīng)的下一目標(biāo)安全檢測容器;若存在,將所述傳輸層包發(fā)送至所述下一目標(biāo)安全檢測容器;進(jìn)一步的,若不存在,所述虛擬安全交換機(jī)用于對所述傳輸層包進(jìn)行處理,并將處理后的傳輸層包發(fā)出。

      例如,與虛擬節(jié)點(diǎn)對應(yīng)的至少一個(gè)目標(biāo)安全檢測容器為3個(gè),目標(biāo)安全檢測容器1、目標(biāo)安全檢測容器2以及目標(biāo)安全檢測容器3。所述流表規(guī)則指示向所述至少一個(gè)目標(biāo)安全檢測容器發(fā)送所述傳輸層包的順序依次為:目標(biāo)安全檢測容器2、目標(biāo)安全檢測容器3、目標(biāo)安全檢測容器1。

      與所述虛擬節(jié)點(diǎn)對應(yīng)的虛擬安全交換機(jī)在得到傳輸層包后,根據(jù)流表規(guī)則,首先將傳輸層包發(fā)送至目標(biāo)安全檢測容器2;在接收到目標(biāo)安全檢測容器2返回的指示安全檢測成功的檢測結(jié)果信息后,確定存在與目標(biāo)安全檢測容器2對應(yīng)的下一目標(biāo)安全檢測容器(目標(biāo)安全檢測容器3),將所述傳輸層包發(fā)送至目標(biāo)安全檢測容器3;在接收到目標(biāo)安全檢測容器3返回的指示安全檢測成功的檢測結(jié)果信息后,確定存在與目標(biāo)安全檢測容器3對應(yīng)的下一目標(biāo)安全檢測容器(目標(biāo)安全檢測容器1),將所述傳輸層包發(fā)送至目標(biāo)安全檢測容器1;當(dāng)接收到目標(biāo)安全檢測容器1返回的指示安全檢測成功的檢測結(jié)果信息后,確定不存在與目標(biāo)安全檢測容器1對應(yīng)的下一目標(biāo)安全檢測容器,對所述傳輸層包進(jìn)行處理,并將處理后的傳輸層包發(fā)出。

      可選的,所述滿足預(yù)設(shè)的合包規(guī)則的多個(gè)隧道包,包括:所述多個(gè)隧道包中的隧道包的總個(gè)數(shù)達(dá)到預(yù)設(shè)的第一合包閾值;或者,所述多個(gè)隧道包中的隧道包的總大小達(dá)到預(yù)設(shè)的第二合包閾值;或者,當(dāng)前系統(tǒng)時(shí)間滿足預(yù)設(shè)的合包周期。

      可選的,預(yù)設(shè)有第一合包閾值,所述第一合包閾值指示目標(biāo)數(shù)量,當(dāng)所述多個(gè)隧道包中的隧道包的總個(gè)數(shù)達(dá)到所述目標(biāo)數(shù)量,確定所述多個(gè)隧道包滿足預(yù)設(shè)的合包規(guī)則。

      可選的,預(yù)設(shè)有第二合包閾值,所述第二合包閾值指示目標(biāo)數(shù)據(jù)量,當(dāng)所述多個(gè)隧道包的總大小達(dá)到所述目標(biāo)數(shù)據(jù)量,確定所述多個(gè)隧道包滿足預(yù)設(shè)的合包規(guī)則。

      可選的,預(yù)設(shè)有合包周期,當(dāng)當(dāng)前系統(tǒng)時(shí)間達(dá)到合包周期指示的合包時(shí)間時(shí),確定所述多個(gè)隧道包滿足預(yù)設(shè)的合包規(guī)則。

      如圖2所示為本申請實(shí)施例提供的一種虛擬安全交換機(jī)將目標(biāo)虛擬網(wǎng)絡(luò)流量中的滿足預(yù)設(shè)的合包規(guī)則的多個(gè)隧道包進(jìn)行處理得到一個(gè)傳輸層包的方法流程圖。

      如圖2所示,該方法包括:

      S201、所述虛擬安全交換機(jī)獲取所述目標(biāo)虛擬網(wǎng)絡(luò)流量中滿足預(yù)設(shè)的合包規(guī)則的多個(gè)隧道包中的每個(gè)隧道包的數(shù)據(jù)內(nèi)容;

      S202、將所獲取到的數(shù)據(jù)內(nèi)容作為目標(biāo)數(shù)據(jù)內(nèi)容,存儲至與所述虛擬節(jié)點(diǎn)對應(yīng)的物理服務(wù)器的共享內(nèi)存中,并確定所述目標(biāo)數(shù)據(jù)內(nèi)容的存儲地址,以及所述目標(biāo)數(shù)據(jù)內(nèi)容的數(shù)據(jù)量;

      可選的,將步驟S201中所獲取到的所有的數(shù)據(jù)內(nèi)容作為目標(biāo)數(shù)據(jù)內(nèi)容,并將所述目標(biāo)數(shù)據(jù)內(nèi)容存儲至與所述虛擬節(jié)點(diǎn)對應(yīng)的物理服務(wù)器的共享內(nèi)存中,并確定所述目標(biāo)數(shù)據(jù)內(nèi)容的存儲地址,以及所述目標(biāo)數(shù)據(jù)內(nèi)容的數(shù)據(jù)量。

      S203、根據(jù)所述存儲地址以及數(shù)據(jù)量生成傳輸層包,所述傳輸層包的數(shù)據(jù)內(nèi)容指示所述存儲地址和數(shù)據(jù)量。

      可選的,將所述存儲地址和數(shù)據(jù)量作為傳輸層包的數(shù)據(jù)內(nèi)容,生成傳輸層包。

      圖3為本申請實(shí)施例提供的一種目標(biāo)安全檢測容器對接收到的傳輸層包進(jìn)行安全檢測的方法流程圖。

      如圖3所示,該方法包括:

      S301、所述目標(biāo)安全檢測容器獲取接收到的傳輸層包的數(shù)據(jù)內(nèi)容指示的所述存儲地址中存儲的所述目標(biāo)數(shù)據(jù)內(nèi)容;

      可選的,所述目標(biāo)安全檢測容器獲取接收到的傳輸層包的數(shù)據(jù)內(nèi)容指示的所述存儲地址,并根據(jù)所述存儲地址從所述共享內(nèi)存中獲取與所述存儲地址對應(yīng)的所述目標(biāo)數(shù)據(jù)內(nèi)容。

      S302、利用所述傳輸層包的數(shù)據(jù)內(nèi)容指示的所述數(shù)據(jù)量,對所獲取的目標(biāo)數(shù)據(jù)內(nèi)容進(jìn)行安全檢測;如果對所獲取的目標(biāo)數(shù)據(jù)內(nèi)容安全檢測成功,執(zhí)行步驟S303;如果對所獲取的目標(biāo)數(shù)據(jù)內(nèi)容安全檢測失敗,執(zhí)行步驟S304;

      可選的,利用所述傳輸層包的數(shù)據(jù)內(nèi)容指示的所述數(shù)據(jù)量,對所獲取的目標(biāo)數(shù)據(jù)內(nèi)容進(jìn)行安全檢測,包括:確定所獲取的目標(biāo)數(shù)據(jù)內(nèi)容的數(shù)據(jù)量是否與所述傳輸層包的數(shù)據(jù)內(nèi)容指示的所述數(shù)據(jù)量相同;如果相同,則確定對所獲取的目標(biāo)數(shù)據(jù)內(nèi)容安全檢測成果;如果不相同,則確定對所獲取的目標(biāo)數(shù)據(jù)內(nèi)容安全檢測失敗。

      以上僅僅是本申請實(shí)施例提供的對所獲取的目標(biāo)數(shù)據(jù)內(nèi)容進(jìn)行安全檢測的優(yōu)選方式,發(fā)明人可根據(jù)自己的需求任意設(shè)置對目標(biāo)數(shù)據(jù)內(nèi)容進(jìn)行安全檢測的方式(比如,檢測目標(biāo)數(shù)據(jù)內(nèi)容中是否攜帶非安全內(nèi)容,當(dāng)攜帶時(shí),確定對所獲取的目標(biāo)數(shù)據(jù)內(nèi)容安全檢測成果;當(dāng)未攜帶時(shí),確定對所獲取的目標(biāo)數(shù)據(jù)內(nèi)容安全檢測失敗等方式),在此不做限定。

      S303、確定對所述傳輸層包安全檢測成功;

      S304、確定對所述傳輸層安全檢測失敗。

      圖4為本申請實(shí)施例提供的一種安全檢測容器生成方法流程圖。

      如圖4所示,該方法包括:

      S401、在滿足預(yù)設(shè)的安全檢測容器鏡像獲取條件的前提下,獲取所述云計(jì)算管理平臺發(fā)布的安全檢測容器鏡像;

      可選的,云計(jì)算管理平臺發(fā)布的安全檢測容器鏡像,在用戶通過所述云計(jì)算管理平臺購買所述安全檢測容器鏡像成功后,確定滿足預(yù)設(shè)的安全檢測容器鏡像獲取條件,此時(shí),自動獲取所述云計(jì)算管理平臺發(fā)布的安全檢測容器鏡像。

      以上僅僅是本申請實(shí)施例提供的確定滿足預(yù)設(shè)的安全檢測容器鏡像獲取條件的優(yōu)選方式,發(fā)明人可根據(jù)自己的需求任意設(shè)置確定滿足預(yù)設(shè)的安全檢測容器鏡像獲取條件的具體內(nèi)容,在此不做限定。

      S402、在所述安全檢測容器鏡像的基礎(chǔ)上安裝預(yù)設(shè)的核心引擎并設(shè)置預(yù)設(shè)的管理規(guī)則,生成安全檢測容器。

      可選的,利用所述基礎(chǔ)安全檢測容器和預(yù)設(shè)的核心引擎以及管理規(guī)則,可生成安全檢測容器。

      以上僅僅是本申請實(shí)施例提供的生成安全檢測容器的優(yōu)選方式,發(fā)明人可根據(jù)自己的需求任意設(shè)置生成安全檢測容器的具體方式,在此不做限定。

      進(jìn)一步的,所述安全應(yīng)用,還用于:響應(yīng)接收到的用戶通過所述云計(jì)算管理平臺對目標(biāo)安全檢測容器的操作請求,按照與所述操作請求指示的操作方式對所述目標(biāo)安全檢測容器進(jìn)行處理,其中,所述操作方式包括刪除操作方式、創(chuàng)建操作方式和/或修改操作方式。

      可選的,安全應(yīng)用可響應(yīng)接收到的用戶通過云計(jì)算管理平臺對所述虛擬節(jié)點(diǎn)對應(yīng)的至少一個(gè)目標(biāo)安全檢測容器的操作請求,按照所述操作請求指示的操作方式對所述至少一個(gè)目標(biāo)安全檢測容器進(jìn)行處理,其中,所述操作方式包括刪除操作方式、創(chuàng)建操作方式和/或修改操作方式。

      若與虛擬節(jié)點(diǎn)對應(yīng)的至少一個(gè)目標(biāo)安全檢測容器分別為目標(biāo)安全檢測容器1、目標(biāo)安全檢測容器2時(shí),與所虛擬節(jié)點(diǎn)對應(yīng)的安全應(yīng)用可響應(yīng)接收到的用戶通過云計(jì)算管理平臺對與所述虛擬節(jié)點(diǎn)對應(yīng)的至少一個(gè)目標(biāo)安全檢測容器的操作請求,按照所述操作請求指示的操作方式對所述至少一個(gè)目標(biāo)安全檢測容器進(jìn)行處理。例如,將與所述虛擬節(jié)點(diǎn)對應(yīng)的目標(biāo)安全檢測容器2和/或目標(biāo)安全檢測容器1刪除,創(chuàng)建與虛擬節(jié)點(diǎn)對應(yīng)的目標(biāo)安全檢測容器3,修改與所述虛擬節(jié)點(diǎn)對應(yīng)的目標(biāo)安全檢測容器1和/或目標(biāo)安全檢測容器2。

      以上僅僅是本申請實(shí)施例為了便于理解提供的優(yōu)選方式,發(fā)明人可根據(jù)自己的需求人員設(shè)置操作請求指示的操作方式的具體內(nèi)容,在此不做限定。

      所述安全應(yīng)用還用于:接收所述目標(biāo)安全檢測容器發(fā)送的擴(kuò)展請求,所述擴(kuò)展請求是所述目標(biāo)安全檢測容器在檢測到所述目標(biāo)安全檢測容器中的資源使用數(shù)超出預(yù)設(shè)的與所述目標(biāo)安全檢測容器對應(yīng)的資源使用數(shù)閾值的情況下發(fā)送的;響應(yīng)所述擴(kuò)展請求,動態(tài)擴(kuò)展與所述目標(biāo)安全檢測容器對應(yīng)的資源使用數(shù)閾值。

      可選的,當(dāng)所述目標(biāo)安全檢測容器在檢測到所述目標(biāo)安全檢測容器自身中的資源使用數(shù)超出預(yù)設(shè)的與所述目標(biāo)安全檢測容器對應(yīng)的資源使用數(shù)閾值時(shí),發(fā)送擴(kuò)展請求;安全應(yīng)用在接收到所述目標(biāo)安全檢測容器發(fā)送的擴(kuò)展請求后,響應(yīng)所述擴(kuò)展請求,動態(tài)擴(kuò)展與所述目標(biāo)安全檢測容器對應(yīng)的資源使用數(shù)閾值。

      可選的,在虛擬節(jié)點(diǎn)上增加安全應(yīng)用(也可稱為安全檢測agent),所述安全應(yīng)用主要包括租戶虛擬網(wǎng)絡(luò)管理模塊/用戶配置策略模塊/流表管理模塊/安全檢測容器管理模塊。

      其中,用戶配置策略模塊:

      提供接口供云計(jì)算管理平臺調(diào)用,管理用戶配置的安全策略,供安全流表管理模塊使用;其中包含用戶可以選擇的安全檢測容器列表和安全引擎和規(guī)則列表;

      租戶虛擬網(wǎng)絡(luò)管理模塊:

      收集租戶的虛擬網(wǎng)絡(luò)/虛擬交換機(jī)端口/虛擬路由器/安全檢測系統(tǒng)端口的相關(guān)信息,供安全流表管理模塊使用;

      當(dāng)用戶配置虛擬網(wǎng)絡(luò)作安全檢測時(shí),由云計(jì)算管理平臺和虛擬節(jié)點(diǎn)上的安全應(yīng)用通信,安全應(yīng)用根據(jù)用戶配置創(chuàng)建/刪除/修改與虛擬節(jié)點(diǎn)對應(yīng)的目標(biāo)安全檢測容器,并應(yīng)用用戶選擇的安全檢測引擎和規(guī)則。

      安全流表管理模塊:

      根據(jù)用戶的配置信息和收集到的租戶的虛擬網(wǎng)絡(luò)信息,下發(fā)/刪除流表規(guī)則給虛擬安全交換機(jī),以便所述虛擬安全交換機(jī)將用戶想檢測的流量導(dǎo)給與虛擬節(jié)點(diǎn)相應(yīng)的目標(biāo)安全檢測容器進(jìn)行檢測。

      云計(jì)算管理平臺處理流程

      云計(jì)算管理平臺給用戶提供界面,用戶可以選擇需要進(jìn)行安全檢測的虛擬機(jī)/port/ip/mac/協(xié)議/虛擬網(wǎng)絡(luò)等;

      用戶可以選擇目標(biāo)安全檢測容器的使用規(guī)格,并且可以配置各種策略,規(guī)定目標(biāo)安全檢測容器的最小最大資源使用數(shù),當(dāng)數(shù)據(jù)量大時(shí),自動擴(kuò)展所述資源使用數(shù);

      目標(biāo)安全容器有預(yù)設(shè)的資源使用數(shù)范圍(資源使用數(shù)閾值),創(chuàng)建時(shí)使用最小的資源數(shù),當(dāng)目標(biāo)安全檢測容器的內(nèi)部檢測系統(tǒng)檢查目標(biāo)安全檢測容器有處理不過來的請求時(shí),通知安全應(yīng)用動態(tài)的擴(kuò)展當(dāng)前目標(biāo)安全檢測容器的資源使用數(shù)。

      根據(jù)用戶的輸入配置各種引擎和規(guī)則,針對各種協(xié)議做不同的策略檢查;

      配置報(bào)警和響應(yīng),比如記錄報(bào)警日志/發(fā)送郵件/短信/下發(fā)規(guī)則阻斷入侵的連接;

      安全應(yīng)用根據(jù)用戶的配置策略,創(chuàng)建對應(yīng)的安全檢測容器,并啟用對應(yīng)的安全檢測引擎和規(guī)則;安全應(yīng)用收集相關(guān)的虛擬網(wǎng)絡(luò)信息,并根據(jù)收到的虛擬網(wǎng)絡(luò)信息下發(fā)流表規(guī)則給虛擬安全交換機(jī)來控制需要進(jìn)行安全檢測的流量流經(jīng)安全檢測容器;

      安全檢測容器對流經(jīng)的流量進(jìn)行安全檢測,如果發(fā)現(xiàn)惡意攻擊則阻斷,否則放行。

      本申請實(shí)施例提供一種云計(jì)算環(huán)境下提供網(wǎng)絡(luò)安全即服務(wù)的系統(tǒng),包括云計(jì)算管理平臺、與虛擬網(wǎng)絡(luò)中的虛擬節(jié)點(diǎn)對應(yīng)的安全應(yīng)用、虛擬安全交換機(jī)以及目標(biāo)安全檢測容器;虛擬安全交換機(jī)對與虛擬節(jié)點(diǎn)對應(yīng)的目標(biāo)虛擬網(wǎng)絡(luò)流量中的多個(gè)隧道包進(jìn)行處理,得到一個(gè)傳輸層包,將傳輸層包發(fā)送至各目標(biāo)安全檢測容器進(jìn)行安全檢測,在傳輸層包安全檢測成功后,對傳輸層包進(jìn)行處理并發(fā)送,以為虛擬網(wǎng)絡(luò)提供安全服務(wù),提高虛擬網(wǎng)絡(luò)的安全性;并且,通過將多個(gè)隧道包合并成一個(gè)傳輸層包傳輸至目標(biāo)安全檢測容器進(jìn)行安全檢測的方式,提升了傳輸速度、降低了目標(biāo)安全檢測容器上數(shù)據(jù)包的數(shù)量,提升了目標(biāo)安全檢測容器的數(shù)據(jù)包處理性能,降低了整個(gè)系統(tǒng)的能耗。

      本發(fā)明中各個(gè)實(shí)施例采用遞進(jìn)的方式描述,每個(gè)實(shí)施例重點(diǎn)說明的都是與其他實(shí)施例的不同之處,各個(gè)實(shí)施例之間相同相似部分互相參見即可。對于實(shí)施例公開的裝置而言,由于其與實(shí)施例公開的方法相對應(yīng),所以描述的比較簡單,相關(guān)之處參見方法部分說明即可。

      以上僅是本發(fā)明的優(yōu)選實(shí)施方式,使本領(lǐng)域技術(shù)人員能夠理解或?qū)崿F(xiàn)本發(fā)明。對這些實(shí)施例的多種修改對本領(lǐng)域的技術(shù)人員來說將是顯而易見的,本文中所定義的一般原理可以在不脫離本發(fā)明的精神或范圍的情況下,在其它實(shí)施例中實(shí)現(xiàn)。因此,本發(fā)明將不會被限制于本文所示的這些實(shí)施例,而是要符合與本文所公開的原理和新穎特點(diǎn)相一致的最寬的范圍。

      當(dāng)前第1頁1 2 3 
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評論。精彩留言會獲得點(diǎn)贊!
      1