[发明专利]一种安全资源池的流量编排方法及系统

说明书

本发明提供了一种安全资源池的流量编排方法及系统，所述方法包括：根据租户业务需求，通过安全资源池管理平台向安全资源池下发用于管理安全资源池中多个服务器的编排链，编排链用于表示来自租户的业务流量需要经过安全资源池中多个虚拟安全设备的顺序；通过引流路由器将业务流量经二层交换机发送至安全资源池；通过安全资源池中的编排器按照编排链对所述业务流量进行编排，并将编排后的流量经所述二层交换机送回所述引流路由器；其中，所述安全资源池中的每个服务器透明部署一个编排器和多个虚拟安全设备，每个虚拟安全设备部署有两个业务口，每个所述编排器预分配有一个用于流量牵引的IP地址。

技术领域

本发明涉及网络安全领域，尤其涉及一种安全资源池的流量编排方法及系统。

背景技术

在公有云或者私有云场景中，租户存在对其云主机的安全防护需求，其中一种防护方案是在独立于云环境的多台宿主机上部署多个安全虚拟机组成安全资源池，然后云平台将租户流量牵引到安全资源池中进行安全防护。由于安全资源池中存在多种虚拟安全设备，每种虚拟安全设备又是多台，如何高效编排租户流量使租户流量得到防护就显得十分重要。

现有主要是给所有虚拟安全设备的接口配置IP地址，在安全资源池中构建一个三层互通网络，通过在虚拟安全设备上配置路由，来实现安全服务编排。在实际编排过程中，每接入一个虚拟安全设备就需要给这个设备配置业务口IP，租户每下发一条策略，就需要针对编排设备进行路由配置，这样的话，整个配置过程繁琐且效率低。此外，当策略数变多时，路由条目数也会增多，导致效率和性能较低。

可见，现有流量编排方法存在编排效率低的技术问题。

发明内容

本发明实施例提供了一种安全资源池的流量编排方法及系统，用于提高流量编排效率。

第一方面，本发明实施例提供了一种安全资源池的流量编排方法，包括：

根据租户业务需求，通过安全资源池管理平台向安全资源池下发用于管理所述安全资源池中多个服务器的编排链，所述编排链用于表示来自租户的业务流量需要经过所述安全资源池中多个虚拟安全设备的顺序；

通过引流路由器将所述业务流量经二层交换机发送至所述安全资源池；

通过所述安全资源池中的编排器按照所述编排链对所述业务流量进行编排，并将编排后的流量经所述二层交换机送回所述引流路由器；

其中，所述安全资源池中的每个服务器透明部署一个编排器和多个虚拟安全设备，每个虚拟安全设备部署有两个业务口，并通过所述两个业务口与对应的所述编排器之间通信连接，每个所述编排器部署有一个对外互联口，并通过一个所述对外互联口与所述二层交换机之间通信连接，且每个所述编排器预分配有一个用于流量牵引的IP地址。

在其中一种可能的实现方式中，所述通过所述安全资源池中的所述编排器按照所述编排链对所述业务流量进行编排，包括：

通过所述编排器识别所述业务流量对应的数据包的目的MAC地址，并根据所述目的MAC地址确定各个虚拟安全设备在所述编排链中的位置以及编排顺序；

按照各个虚拟安全设备在所述编排链中的位置及编排顺序对所述业务流量进行编排。

在其中一种可能的实现方式中，所述按照各个虚拟安全设备在所述编排链中的位置及编排顺序对所述业务流量进行编排，包括：

若所述编排链包括的各个虚拟安全设备在同一目标服务器中，且所述目的MAC地址是所述目标服务器中对应虚拟安全设备的业务口的MAC地址，或者所述目的MAC地址是所述目标服务器中所述编排器对应的对外互联口的MAC地址，则通过所述编排器将所述数据包直接发送给所述目的MAC地址对应的接口；