[发明专利]一种进行安全控制的方法、交换机以及过滤设备

说明书

本发明公开了一种进行安全控制的方法、交换机以及过滤设备。本发明提供的安全控制的方法，包括：交换机判断接收到的数据包的信息是否符合第一安全规则；若数据包的信息不符合第一安全规则，则交换机将数据包转发至过滤设备，以使过滤设备在确定数据包的信息不符合第二安全规则后丢弃该数据包。本发明由于无需在交换机下外挂额外的虚拟防火墙就能够实现对数据包的安全控制，从而减轻了由于外挂虚拟防火墙对交换机产生的资源负担。

技术领域

本发明涉及互联网技术领域，特别涉及一种进行安全控制的方法、交换机以及过滤设备。

背景技术

云计算平台中必须提供安全组功能以保护虚拟机网络安全。该功能把具有相同安全需求的虚拟机划分到同一个安全组，并且在该安全组内依据安全需求设定一条或多条安全规则。云计算平台实例应用SDN(Software Defined Network,软件定义网络)技术把安全需求转化成具体的五元组(源/目的IP(Internet Protocol，网际协议)地址、源/目的端口、协议类型)规则、并在合适的虚拟或物理网元上部署安全规则，实现针对虚拟机网络数据包进行过滤和保护的目标。

目前使用SDN技术转化安全规则的实现方式包括，使用虚拟机安装交换机的虚拟实例并使用访问控制列表进行安全控制，例如，通过防火墙需要在第一虚拟交换机下挂虚拟防火墙，匹配第一流表的数据包被转发给虚拟防火墙执行安全校验，其中虚拟防火墙对数据包的校验需要占用第一虚拟交换机的资源。由于此种方式需要在SDN控制器和SDN额外挂载虚拟防火墙，并通过虚拟防火墙进行数据包的校验以及安全控制，因此对虚拟交换机造成了额外的资源负担。

综上，目前基于SDN技术的安全控制方法需要在虚拟交换机上外挂额外的虚拟防火墙进行数据包的校验，由于虚拟防火墙占用了虚拟交换机的资源，从而对虚拟交换机造成资源负担。

发明内容

本发明提供一种进行安全控制的方法、交换机以及过滤设备，用以解决现有技术中存在的基于SDN技术的安全控制方法需要在虚拟交换机上外挂额外的虚拟防火墙进行数据包的校验，由于虚拟防火墙占用了虚拟交换机的资源，从而对虚拟交换机造成资源负担的问题。

本发明提供的一种进行安全控制的方法，包括：

交换机判断接收到的数据包的信息是否符合第一安全规则；

若数据包的信息不符合第一安全规则，则交换机将数据包转发至过滤设备，以使过滤设备在确定数据包的信息不符合第二安全规则后丢弃该数据包。

可选地，第二安全规则中包括第一安全规则。

可选地，交换机判断数据包的信息是否符合第一安全规则，包括：

交换机判断是否能够根据数据包的信息与安全域标记的对应关系确定接收到的数据包的信息对应的安全域标记；

如果能够确定接收到的数据包的信息对应的安全域标记，则将确定的安全域标记置于数据包中，并判断第一安全规则中的安全域标记集合是否有数据包的信息对应的安全域标记，如果有，则确定数据包的信息符合第一安全规则；否则，确定数据包的信息不符合第一安全规则；

如果无法确定接收到的数据包的信息对应的安全域标记，则交换机确定数据包的信息不符合第一安全规则。

本发明提供的一种进行安全控制的方法，包括：

过滤设备判断数据包的信息是否符合预设的第二安全规则，其中数据包的信息是交换机在确定接收到的数据包的信息不符合第一安全规则后发送的；

若数据包的信息不符合第二安全规则，则过滤设备丢弃数据包。

可选地，第二安全规则包括第一安全规则。

可选地，该方法还包括：