[发明专利]一种动态部署网络安全服务的系统架构及其方法

说明书

本发明涉及一种动态部署网络安全服务的系统架构及其方法，该架构包括服务编排层，用于编排安全服务功能链路并进行发送；服务管理层，用于接收所述服务编排层发送的安全服务功能链路、采集网络链路和网络服务的物理资源信息、构建全局服务部署路径并将安全服务构建链表进行发送；服务数据层，用于接收所述服务管理层发送的安全服务构建链表并搭建网络安全服务链。本发明可以在多域数据中心中按需部署网络安全服务，从而满足不同用户的个性化需求。

技术领域

本发明涉及互联网技术领域，特别是涉及一种动态部署网络安全服务的系统架构及其方法。

背景技术

现有网络采用“沙漏模型”，存在三重绑定的特性，即服务的资源与位置绑定、网络的控制与数据绑定、身份与位置绑定。网络拓扑与物理资源紧密耦合使得网络服务部署模型静态僵化，网络服务难以迅速部署、动态调整、按需迁移，在扩展性、安全性以及灵活性等方面难以满足当今运营商和用户的多元化需求。随着信息业的迅速发展，数据业务变得越来越重要，保证用户的数据安全成为网络设计的重要因素。因此，现有网络中存在着大量的网络安全服务中间件如防火墙、深度包检测、网络地址转换、入侵检测系统等用以处理数据流，保证用户的数据安全。这些复杂网络安全中间件的部署配置和运营管理也成为了现在网络面临的巨大挑战。

近年来，随着网络用户的急剧增长，一些互联网企业为了降低业务成本和运维成本，借鉴传统分布式计算思想，采用计算机集群构成数据中心，在一定程度上简化了业务部署，降低了运维成本。但是由于传统数据中心物理拓扑与资源的不可分割，导致了现有数据中心灵活性差，资源利用率低，架构方案不能满足用户需求。所以提出了基于软件定义网络和网络功能虚拟化的新型动态数据中心网络架构。

软件定义网络和网络功能虚拟化技术的出现使得灵活可控、按需分配的云数据中心成为了数据中心未来的主要发展趋势。目前，国外公司已经有了成熟的企业云架构方案与产品。我国云数据中心发展起步较晚，但随着运营商、厂商、应用服务商以及科研机构对云计算的不断研究，也涌现出各种较为成熟云产品。

云数据中心发展高度集成化的虚拟环境使得动态可控的流量调度成为可能，为了满足用户对于多种服务资源的快速访问和流量的灵活调度，一种叫做服务功能链的架构被提出，实现了网络拓扑独立于网络服务的灵活管控，使得网络管理员可以自由组合多种现有服务，以应对个性化的用户需求。

服务功能链是有序服务功能的集合，它根据不同的用户网络需求对IP数据报、链路帧、数据流进行分类分流，根据策略制定不同的服务功能路径对数据进行处理。服务功能链是一种广义的网络架构，可以在不同的场景中部署应用，如数据中心、固网、移动网络等。服务功能链在软件定义网络和网络功能虚拟化技术的发展带动之下，形成一个完整的网络应用架构，可以为现有数据中心网络环境提供灵活、可控的网络服务，其体现出来的模块化和完整性十分成熟。

云数据中心在迅速部署虚拟服务器实现基础设施按需分配的同时，也暴露出一些安全方面的隐患与问题。由于云数据中心业务基于overlay网络集中在应用层，与基于网络层构建的传统数据中心不同，在面临可以绕过二层、三层网络保护的应用层攻击时，传统网络层安全服务不能起到应有的防护效果，云数据中心面临着新的安全问题与挑战。

现如今有着大量的网络设备运营商，各自维护着不同架构的数据中心。服务功能链提供了灵活的网络服务管理技术，可以在一条网络链路中对不同用户的数据流进行区分。其中，协调部署不同数据中心、不同团队、不同区域的网络服务功能是最大的难点。本发明提供了一种自上而下的管理系统架构，通过按需建立安全服务功能链对网络安全服务进行灵活、可控的集中处理，可以选择网络安全服务功能的部署位置实现链路优化，对不同用户进行针对性的网络安全服务组合编排。

云数据中心网络环境不同于传统的网络环境，它整合网络资源构建虚拟的服务环境，用户使用的资源来自云端，而不是固定的网络实体，不同用户的可能共享一个物理计算或网络资源，基于物理网络的安全方案不能直接部署于拥有多个网络域的云数据中心上。