Nothing Special   »   [go: up one dir, main page]

CN116545665A - 一种安全引流方法、系统、设备及介质 - Google Patents

一种安全引流方法、系统、设备及介质 Download PDF

Info

Publication number
CN116545665A
CN116545665A CN202310419477.2A CN202310419477A CN116545665A CN 116545665 A CN116545665 A CN 116545665A CN 202310419477 A CN202310419477 A CN 202310419477A CN 116545665 A CN116545665 A CN 116545665A
Authority
CN
China
Prior art keywords
network
address
network data
security
subnet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310419477.2A
Other languages
English (en)
Inventor
马良义
秦海中
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Inspur Jinan data Technology Co ltd
Original Assignee
Inspur Jinan data Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Inspur Jinan data Technology Co ltd filed Critical Inspur Jinan data Technology Co ltd
Priority to CN202310419477.2A priority Critical patent/CN116545665A/zh
Publication of CN116545665A publication Critical patent/CN116545665A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45587Isolation or security of virtual machine instances
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45595Network integration; Enabling network access in virtual machine instances

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明属于计算机领域,具体涉及一种安全引流方法、系统、设备及介质。其中方法包括:根据业务节点的内部网络地址所属的子网将进出所述业务节点的网络数据转发到与所述子网匹配的安全计算节点;在所述安全计算节点对网络数据进行安全检查,响应于安全检查通过,将所述网络数据发送到所述业务节点或将网络数据发送到外部网络。通过本发明的一种安全引流方法,使用ovn的策略路由,将南北向流量导入安全网元虚拟机,从而实现安全网元注入的效果。可以允许云平台接入第三方的安全网元,保障南北向数据的安全性。

Description

一种安全引流方法、系统、设备及介质
技术领域
本发明属于计算机领域,具体涉及一种安全引流方法、系统、设备及介质。
背景技术
随着云计算技术的发展,越来越多的企业选择构建自己的云环境,作为内部办公平台的基础。云平台上运行的业务不仅需要连接外部网络,获取相关信息为内部用户提供服务,对于异地办公,云环境需要跨越广域网的情况,也需要云平台与外部网络进行通信。以上情况由于接入了互联网,各个局域网就面临着安全风险。
在云平台上,企业实体作用云平台的用户租用云平台提供的计算机计算服务,云平台通常采用浮动IP技术对企业用户的云主机提供接入网络服务。企业用户的访问者可通过浮动IP访问其云主机,同样作为知晓其浮动IP的其他人也能通过浮动IP访问该企业的云主机,一般情况下企业的业务云主机一般将计算资源完全用于业务计算,因此,为使计算资源的充分利用,不会在云主机上安装防护软件,这样用于具体业务的云主机则存在通过浮动IP被攻击的风险。
因此,传统的实现方式中,为网络提供安全服务共有两种实现方式。一为使用物理硬件设备,如防火墙等,需要在网络规划开始阶段就进行规划和部署,并逐一进行配置和调试,不仅设备采购费用高,还存在难于统一管理和配置的问题,且后续无法根据需求迭代更新进行灵活调整。对于有高性能、超大带宽需求的场景,可以考虑直接使用硬件安全设备。但是对于普通云环境,节点数量较少,运行业务少且对时延和吞吐要求不高的场景,就不适合采购价格昂贵,维护费用高的安全设备。
第二种是采用安全软件来实现云主机的安全,安全软件产品运行到生产环境中,并进行网络配置,将外部流量引入安全网元设备,并在安全软件处理后,转发到原有的流量转发路径上,从而进入云环境。以上方式可以大大减少安全网元的使用成本,维护方式更为灵活方便。但需要在每个云主机内安装对应的防护软件,需要消耗云主机的计算资源。使得业务能力必然下降,尤其在需要多个云主机提供业务时需要在每个云主机上都安装安全软件,又会增加软件成本。
因此,亟需一种有效的方案来应对上述问题。
发明内容
为解决上述问题,本发明提出一种安全引流方法,包括:
根据业务节点的内部网络地址所属的子网将进出所述业务节点的网络数据转发到与所述子网匹配的安全计算节点;
在所述安全计算节点对网络数据进行安全检查,响应于安全检查通过,将所述网络数据发送到所述业务节点或将网络数据发送到外部网络。
在本发明的一些实施方式中,根据业务节点的内部网络地址所属的子网将进出所述业务节点的网络数据转发到与所述子网匹配的安全计算节点包括:
判断所述网络数据的目的网络地址是否为预定子网内的网络地址;
响应于所述目的网络地址为预定子网内的网络地址,则判断所述网络数据的媒体存取控制位址是否为浮动网络地址对应的媒体存取控制位址;
响应于所述网络数据的媒体存取控制位址为所述浮动网络地址对应的媒体存取控制位址,将所述网络数据的下一跳的目的网络地址设置为所述安全计算节点的网络地址,并将发送给安全计算节点。
在本发明的一些实施方式中,方法还包括:
响应于接收到所述网络数据,对所述网络数据的内容部分进行安全检查;
响应于所述安全检查通过,将所述网络数据的源媒体存取控制位址修改为所述安全计算节点的媒体存取控制位址,以及将所述目的媒体存取控制位址修改为所述业务节点的媒体存取控制位址并发送到所述业务节点。
在本发明的一些实施方式中,根据业务节点的内部网络地址所属的子网将进出所述业务节点的网络数据转发到与所述子网匹配的安全计算节点包括:
确定所述网络数据的目的网络地址,并根据所述目的网络地址确定所述网络数据的下一跳的网络地址;以及
判断所述网络数据的源网络地址是否为预定子网内的网络地址;
响应于所述网络数据的源网络地址为预定子网内的网络地址,则判断所述网络数据的目的媒体存取控制位址是否为所述预定子网网关的媒体存取控制位址;
响应于所述网络数据的目的媒体存取控制位址为所述预定子网网关的媒体存取控制位址,则判断所述网络数据的下一跳的网络地址是否为外部网络网关的网络地址;
响应于所述网络数据的下一跳的网络地址为外部网络网关的网络地址,则将所述网络数据的下一跳网络地址设置为安全计算节点的网络地址并将所述数据发送到所述安全计算节点。
在本发明的一些实施方式中,方法还包括:
在所述安全计算节点对所述网络数据进行安全检查,响应于安全检查通过,将所述网络数据目的媒体存取控制位址修改为所述安全计算节点所在的子网的网关的目的媒体存取控制位址,以及将所述网络数据的源媒体存取控制位址为所述安全计算节点的媒体存取控制位址。
在本发明的一些实施方式中,方法还包括:
为用户提供子网和安全计算节点进行匹配的输入接口,并将用户输入的子网和安全计算节点作为所述网络数据的转发规则下发到逻辑路由器。
在本发明的一些实施方式中,方法还包括:
监听用户绑定或解绑浮动网络地址的事件,并基于用户绑定或解绑的浮动网络地址对应的媒体存取控制位址更新所述网络数据的转发规则并下发到逻辑路由器。
本发明的另一方面还提出一种安全引流系统,包括:
第一数据转发模块,所述第一数据转发模块配置用于根据业务节点的内部网络地址所属的子网将进出所述业务节点的网络数据转发到与所述子网匹配的安全计算节点;
第二数据转发模块,所述第二数据转发模块配置用于在所述安全计算节点对网络数据进行安全检查,响应于安全检查通过,将所述网络数据发送到所述业务节点或将网络数据发送到外部网络。
本发明的又一方面还提出一种计算机设备,包括:
至少一个处理器;以及
存储器,所述存储器存储有可在所述处理器上运行的计算机指令,所述指令由所述处理器执行时实现上述实施方式中任意一项所述方法的步骤。
本发明的再一方面还提出一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现上述实施方式中任意一项所述方法的步骤。
通过本发明的一种安全引流方法,根据业务节点的内部网络地址的子网,对进出业务节点的网络数据按照路由策略进行转发,转发到安全计算节点安全检查。检查通过后再将网络数据发送给业务节点或替业务节点发送到外部网络。使用ovn的策略路由,将南北向流量导入安全网元虚拟机,从而实现安全网元注入的效果。可以允许云平台接入第三方的安全网元,保障南北向数据的安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种安全引流方法的流程示意图;
图2为本发明实施例提供的一种安全引流系统的结构示意图;
图3为本发明实施例提供的一种计算机设备的结构示意图;
图4为本发明实施例提供的一种计算机可读存储介质的结构示意图;
图5为本发明实施例提供的南向流量引流示意图;
图6为本发明实施例提供的北向流量引流示意图;
图7为本发明实施例提供的用户设定引流方式的功能示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本发明实施例进一步详细说明。
需要说明的是,本发明实施例中所有使用“第一”和“第二”的表述均是为了区分两个相同名称非相同的实体或者非相同的参量,可见“第一”“第二”仅为了表述的方便,不应理解为对本发明实施例的限定,后续实施例对此不再一一说明。
本发明旨在解决分布式浮动IP场景下的业务节点数据安全问题。如前所述,传统的实现方式上,在业务节点(部署在云平台上的云主机)的安全问题上,要么使用硬件安全设备,要么使用安全软件,硬件安全设备的成本较高,对于规模较小的业务集群成本太高,而采用安全软件需要对每个业务节点都要安装安全软件,每个业务节点上的安全软件都需要消耗计算资源。使得业务计算资源缩小,导致业务计算能力不足。
在本发明的实施例中,如图5~6所示,业务节点为图中计算节点1中的一个或多个虚拟机,安全计算节点为图中的Firewall计算节点Firewall,是专门用于网络数据安全审查的计算节点。
进一步,如图中所示,传统的业务节点与外部网络(下称外网)的通信方式为图中虚线(常规南向流量)所示,即外网数据通过直接访问业务节点的IP(业务节点的公网IP,通常为业务节点配置公网IP的方式为“浮动”式,因此下称浮动IP)地址的方式直达业务节点。因此传统上只能靠业务节点内部的安全软件对外网数据进行安全处理。而这种方式会造成很多计算资源浪费。尤其是当业务节点具有一定规模时,则需要对每个业务节点都要部署安全软件导致软件成本增加。
如图1所示,为解决上述问题,本发明提出一种安全引流方法,包括:
步骤S1、根据业务节点的内部网络地址所属的子网将进出所述业务节点的网络数据转发到与所述子网匹配的安全计算节点;
步骤S2、在所述安全计算节点对网络数据进行安全检查,响应于安全检查通过,将所述网络数据发送到所述业务节点或将网络数据发送到外部网络。
在本发明实施例中,在步骤S1中,本发明通过在路由器执行对应的路由策略实现将业务节点的数据转发到安全计算节点进行安全检查之后再将数据发送到业务节点或发送到外部网络。即在本发明中根据子网和对应的安全计算节点建立映射关系,并在路由器中判断网络数据所涉及的业务系统是否在对应的子网内,根据业务节点所属的子网将进出业务节点的网络数据转发到对应的安全计算节点进行安全检查处理。在确认安全后发送给业务节点或者是替业务节点将数据发送到外部网络。
具体地,在路由器中对于发送到业务节点的网络数据,如果是外部网络数据(即南向流量,南北为图5~6中按照上北下南的方式进行描述),则判断外部网络数据的访问的业务节点的目的IP(浮点IP)对应的内部IP是否属于指定的子网,如果属于指定的子网则将该网络数据转发到安全计算节点。
或者是如图6所示,由业务节点发出的北向流量,传统的实现方式上是直接发送到外部网络,而在本发明中同样在路由器上判断业务节点发出的网络数据,对应的业务节点在内部网络IP上所属的子网,如果发出该网络数据的业务节点的内部网络IP所属的子网为预定子网,则将该网络数据转发到安全计算节点。
进一步,在步骤S2中,在安全计算节点对安全计算节点收到的网络数据的内容部分进行安全检查,如果安全检查通过,安全计算节点将网络数据进行转发,即依然保持网络数据的目的网络地址,将网络数据转发出去。同样,路由器则目的网络地址将其转发到对应的业务节点或外部网络。即如果目的网络地址是业务节点,则将网络数据发送到业务节点,如果目的网络地址是外部网络,路由器将该网络数据发送到外部网络。
在本发明的一些实施方式中,根据业务节点的内部网络地址所属的子网将进出所述业务节点的网络数据转发到与所述子网匹配的安全计算节点包括:
判断所述网络数据的目的网络地址是否为预定子网内的网络地址;
响应于所述目的网络地址为预定子网内的网络地址,则判断所述网络数据的媒体存取控制位址是否为浮动网络地址对应的媒体存取控制位址;
响应于所述网络数据的媒体存取控制位址为所述浮动网络地址对应的媒体存取控制位址,将所述网络数据的下一跳的目的网络地址设置为所述安全计算节点的网络地址,并将发送给安全计算节点。
在本实施例中,如图5所示,本发明所提出的一种安全引流方法以路由策略的方式执行在路由器中。因此,对于南向流量的判断为:在路由器上,对于任意接收到的网络数据,首先判断网络数据的报文部分中的目的IP地址是否为预定子网的所属的IP地址,如果是预定子网的IP地址,则进一步判断该网络数据的中mac(Media Access Control Address,媒体存取控制地址)地址是否为浮动IP所对应的mac地址。如果mac地址的判断也匹配,则表示该网络数据是访问某业务节点的网络数据,则将该网络数据的下一跳的目的IP修改为安全计算节点的网络地址将该网络数据发送到安全计算节点。
在本发明的一些实施方式中,方法还包括:
响应于接收到所述网络数据,对所述网络数据的内容部分进行安全检查;
响应于所述安全检查通过,将所述网络数据的源媒体存取控制位址修改为所述安全计算节点的媒体存取控制位址,以及将所述目的媒体存取控制位址修改为所述业务节点的媒体存取控制位址并发送到所述业务节点。
在本实施例中,进一步当在安全计算节点对网络数据进行安全检查完成,并且未发现安全问题,则需要将该网络数据发送给业务节点。具体地,将该网络数据的源mac地址修改为安全计算节点的mac地址,并且将目的mac地址修改为业务节点的mac地址通过内部安全网络发送给业务节点。
在本发明的一些实施方式中,根据业务节点的内部网络地址所属的子网将进出所述业务节点的网络数据转发到与所述子网匹配的安全计算节点包括:
确定所述网络数据的目的网络地址,并根据所述目的网络地址确定所述网络数据的下一跳的网络地址;以及
判断所述网络数据的源网络地址是否为预定子网内的网络地址;
响应于所述网络数据的源网络地址为预定子网内的网络地址,则判断所述网络数据的目的媒体存取控制位址是否为所述预定子网网关的媒体存取控制位址;
响应于所述网络数据的目的媒体存取控制位址为所述预定子网网关的媒体存取控制位址,则判断所述网络数据的下一跳的网络地址是否为外部网络网关的网络地址;
响应于所述网络数据的下一跳的网络地址为外部网络网关的网络地址,则将所述网络数据的下一跳网络地址设置为安全计算节点的网络地址并将所述数据发送到所述安全计算节点。
在本实施例中,如图6所示,对于北向流量(业务节点发出),在路由器上同样在接收到任意的网络数据后,先判断网络数据的目的IP,并根据目的IP确定在路由表中的下一跳的IP地址。进一步判断网络数据的源IP地址是否为预定子网内的网络地址,如果网络数据的源IP地址为预定子网内的IP地址,则判断该网络数据的目的mac地址是否为预定子网的网关的mac地址。如果判断结果继续满足,即目的mac地址也是某子网的网关mac地址,则进一步判断之前获取的下一跳的IP地址是否为外部网关的IP地址。
当上述判断条件满足后,则认为该网络数据是由业务节点发出的数据,需要通过安全计算节点的检查。因此,对该网络数据的下一跳IP地址进行修改,从外部网关修改为安全计算节点的IP地址。
在本发明的一些实施方式中,方法还包括:
在所述安全计算节点对所述网络数据进行安全检查,响应于安全检查通过,将所述网络数据目的媒体存取控制位址修改为所述安全计算节点所在的子网的网关的目的媒体存取控制位址,以及将所述网络数据的源媒体存取控制位址为所述安全计算节点的媒体存取控制位址。
在本实施例中,进一步,如果在安全计算节点对网络数据的安全检查通过,则将该网络数据的目的mac地址修改为安全计算节点向外部发送数据的子网网关的目的mac地址,同时将该网络数据的源mac地址修改为该安全计算节点的mac地址。
在本发明的一些实施方式中,方法还包括:
为用户提供子网和安全计算节点进行匹配的输入接口,并将用户输入的子网和安全计算节点作为所述网络数据的转发规则下发到逻辑路由器。
在本发明的一些实施方式中,方法还包括:
监听用户绑定或解绑浮动网络地址的事件,并基于用户绑定或解绑的浮动网络地址对应的媒体存取控制位址更新所述网络数据的转发规则并下发到逻辑路由器。
进一步,在本实施例中,如图7所示,本发明对用户提供修改路由器路由策略的配置结构,用户可在界面输入指定的子网与对应的安全计算节点的匹配规则,即在安全计算节点不止一个的前提下,用户可以对业务节点进行绑定浮动IP以及设置对应的子网,并确定对该业务节点进行安全审查的安全计算节点的地址。进一步,本发明基于用户配置的匹配规则自动生成对应的路由器转发规则直接下发到对应的路由器当中。
实施例:
南北向安全服务注入方法和装置实现原理逻辑视图如附图5所示:
图5是分布式浮动ip场景下,对南向流量编排后的转发路径与编排前的转发路径对照图,其中黑色虚线为编排前的转发路径,红色实线为编排后的路径。对于编排后的转发路径,具体如下:
外部网络响应的报文进入云平台后,先经由业务网卡(flat或者vlan网络,即Eth0)到达路由器,策略路由匹配到报文的目的ip地址是指定子网的ip,目的mac是浮动ipmac,则进行重路由,将报文的下一跳目的设为安全网元并经由geneve(Eth1)网络转发到安全网元虚拟机。
报文到达安全网元后(安全计算节点,即图中Firewall),对报文内数据进行安全处理后,修改报文源mac和目的mac并转出到路由器,此时报文的目的mac为安全网元所在子网网关的mac。
报文到同节点(安全计算节点)的路由器后,策略路由匹配到目的ip地址为指定的业务子网内地址,按照目的ip进行转发,通过geneve网络到达目的虚拟机。
进一步,如图6所示,黑色虚线为没有注入安全服务的北向流量转发路径,红色实线为增加安全服务引流功能后的流量转发路径。具体转发流程如下:
虚拟机发出访问外部网络的报文到达路由器,路由器先根据目的ip进行路由,确定下一跳网关ip,然后进行策略路由匹配,具体为匹配源ip地址是否为指定的子网网段内的ip地址,目的mac是否为指定子网网关的mac,下一跳网关ip是不是外部网络网关ip,如果匹配中,则将报文的下一跳目的地址设为安全网元虚拟机的地址并进行转发。
报文经过geneve网络到达安全网元后,先对报文内数据进行安全处理,然后转出到同节点的虚拟路由器,安全网元不更改报文的目的ip和源ip,只改变报文源mac和目的mac,此时报文的源mac为安全网元的mac,目的mac为安全网元所在子网网关的mac。
路由器遵循路由规则经由业务网络(flat或vlan)将报文转发到外部网络。
此外,本发明对用户提供操作得api,对安全服务引流进行创建、删除、更新操作,对于用户发出的请求,处理流程如图7所示,包括:
创建安全服务引流:用户指定安全子网和安全网元创建安全服务引流服务,根据安全子网和安全网元的子网地址和ip地址生成策略路由,下发到逻辑路由器。
更新安全服务引流:用户修改安全服务引流中的安全子网或安全网元信息,处理单元基于更新后的信息生成新的策略路由下发路由器,覆盖旧的策略路由。
删除安全服务引流:用户删除安全服务引流,处理单元识别现有安全服务引流对应的策略路由,并做移除处理。
绑定浮动IP:监听用户绑定浮动ip的事件,并使用绑定的浮动ip的mac地址,生成策略路由并下发逻辑路由器。
解绑浮动ip:监听用户解绑浮动ip的事件,并使用浮动ip的mac地址,生成策略路由并从逻辑路由器移除。
通过本发明提出的一种安全引流方法,为分布式浮动ip场景下安全服务引流的实现方案,适用于控制面使用ovn(Open Virtual Switch,开源虚拟交换机)的openstack云环境,利用浮动ip相关南北向流量的特点,使用ovn的策略路由,将南北向流量导入安全网元虚拟机,从而实现安全网元注入的效果。可以允许云平台接入第三方的安全网元,保障南北向数据的安全性。
如图2所示,本发明的另一方面还提出一种安全引流系统,包括:
第一数据转发模块1,所述第一数据转发模块1配置用于根据业务节点的内部网络地址所属的子网将进出所述业务节点的网络数据转发到与所述子网匹配的安全计算节点;
第二数据转发模块2,所述第二数据转发模块2配置用于在所述安全计算节点对网络数据进行安全检查,响应于安全检查通过,将所述网络数据发送到所述业务节点或将网络数据发送到外部网络。
如图3所示,本发明的又一方面还提出一种计算机设备,包括:
至少一个处理器21;以及
存储器22,所述存储器22存储有可在所述处理器21上运行的计算机指令23,所述指令23由所述处理器21执行时实现一种安全引流方法,包括:
根据业务节点的内部网络地址所属的子网将进出所述业务节点的网络数据转发到与所述子网匹配的安全计算节点;
在所述安全计算节点对网络数据进行安全检查,响应于安全检查通过,将所述网络数据发送到所述业务节点或将网络数据发送到外部网络。
在本发明的一些实施方式中,根据业务节点的内部网络地址所属的子网将进出所述业务节点的网络数据转发到与所述子网匹配的安全计算节点包括:
判断所述网络数据的目的网络地址是否为预定子网内的网络地址;
响应于所述目的网络地址为预定子网内的网络地址,则判断所述网络数据的媒体存取控制位址是否为浮动网络地址对应的媒体存取控制位址;
响应于所述网络数据的媒体存取控制位址为所述浮动网络地址对应的媒体存取控制位址,将所述网络数据的下一跳的目的网络地址设置为所述安全计算节点的网络地址,并将发送给安全计算节点。
在本发明的一些实施方式中,方法还包括:
响应于接收到所述网络数据,对所述网络数据的内容部分进行安全检查;
响应于所述安全检查通过,将所述网络数据的源媒体存取控制位址修改为所述安全计算节点的媒体存取控制位址,以及将所述目的媒体存取控制位址修改为所述业务节点的媒体存取控制位址并发送到所述业务节点。
在本发明的一些实施方式中,根据业务节点的内部网络地址所属的子网将进出所述业务节点的网络数据转发到与所述子网匹配的安全计算节点包括:
确定所述网络数据的目的网络地址,并根据所述目的网络地址确定所述网络数据的下一跳的网络地址;以及
判断所述网络数据的源网络地址是否为预定子网内的网络地址;
响应于所述网络数据的源网络地址为预定子网内的网络地址,则判断所述网络数据的目的媒体存取控制位址是否为所述预定子网网关的媒体存取控制位址;
响应于所述网络数据的目的媒体存取控制位址为所述预定子网网关的媒体存取控制位址,则判断所述网络数据的下一跳的网络地址是否为外部网络网关的网络地址;
响应于所述网络数据的下一跳的网络地址为外部网络网关的网络地址,则将所述网络数据的下一跳网络地址设置为安全计算节点的网络地址并将所述数据发送到所述安全计算节点。
在本发明的一些实施方式中,方法还包括:
在所述安全计算节点对所述网络数据进行安全检查,响应于安全检查通过,将所述网络数据目的媒体存取控制位址修改为所述安全计算节点所在的子网的网关的目的媒体存取控制位址,以及将所述网络数据的源媒体存取控制位址为所述安全计算节点的媒体存取控制位址。
在本发明的一些实施方式中,方法还包括:
为用户提供子网和安全计算节点进行匹配的输入接口,并将用户输入的子网和安全计算节点作为所述网络数据的转发规则下发到逻辑路由器。
在本发明的一些实施方式中,方法还包括:
监听用户绑定或解绑浮动网络地址的事件,并基于用户绑定或解绑的浮动网络地址对应的媒体存取控制位址更新所述网络数据的转发规则并下发到逻辑路由器。
如图4所示,本发明的再一方面还提出一种计算机可读存储介质401,所述计算机可读存储介质401存储有计算机程序402,所述计算机程序402被处理器执行时实现一种安全引流方法,包括:
根据业务节点的内部网络地址所属的子网将进出所述业务节点的网络数据转发到与所述子网匹配的安全计算节点;
在所述安全计算节点对网络数据进行安全检查,响应于安全检查通过,将所述网络数据发送到所述业务节点或将网络数据发送到外部网络。
在本发明的一些实施方式中,根据业务节点的内部网络地址所属的子网将进出所述业务节点的网络数据转发到与所述子网匹配的安全计算节点包括:
判断所述网络数据的目的网络地址是否为预定子网内的网络地址;
响应于所述目的网络地址为预定子网内的网络地址,则判断所述网络数据的媒体存取控制位址是否为浮动网络地址对应的媒体存取控制位址;
响应于所述网络数据的媒体存取控制位址为所述浮动网络地址对应的媒体存取控制位址,将所述网络数据的下一跳的目的网络地址设置为所述安全计算节点的网络地址,并将发送给安全计算节点。
在本发明的一些实施方式中,方法还包括:
响应于接收到所述网络数据,对所述网络数据的内容部分进行安全检查;
响应于所述安全检查通过,将所述网络数据的源媒体存取控制位址修改为所述安全计算节点的媒体存取控制位址,以及将所述目的媒体存取控制位址修改为所述业务节点的媒体存取控制位址并发送到所述业务节点。
在本发明的一些实施方式中,根据业务节点的内部网络地址所属的子网将进出所述业务节点的网络数据转发到与所述子网匹配的安全计算节点包括:
确定所述网络数据的目的网络地址,并根据所述目的网络地址确定所述网络数据的下一跳的网络地址;以及
判断所述网络数据的源网络地址是否为预定子网内的网络地址;
响应于所述网络数据的源网络地址为预定子网内的网络地址,则判断所述网络数据的目的媒体存取控制位址是否为所述预定子网网关的媒体存取控制位址;
响应于所述网络数据的目的媒体存取控制位址为所述预定子网网关的媒体存取控制位址,则判断所述网络数据的下一跳的网络地址是否为外部网络网关的网络地址;
响应于所述网络数据的下一跳的网络地址为外部网络网关的网络地址,则将所述网络数据的下一跳网络地址设置为安全计算节点的网络地址并将所述数据发送到所述安全计算节点。
在本发明的一些实施方式中,方法还包括:
在所述安全计算节点对所述网络数据进行安全检查,响应于安全检查通过,将所述网络数据目的媒体存取控制位址修改为所述安全计算节点所在的子网的网关的目的媒体存取控制位址,以及将所述网络数据的源媒体存取控制位址为所述安全计算节点的媒体存取控制位址。
在本发明的一些实施方式中,方法还包括:
为用户提供子网和安全计算节点进行匹配的输入接口,并将用户输入的子网和安全计算节点作为所述网络数据的转发规则下发到逻辑路由器。
在本发明的一些实施方式中,方法还包括:
监听用户绑定或解绑浮动网络地址的事件,并基于用户绑定或解绑的浮动网络地址对应的媒体存取控制位址更新所述网络数据的转发规则并下发到逻辑路由器。
以上是本发明公开的示例性实施例,但是应当注意,在不背离权利要求限定的本发明实施例公开的范围的前提下,可以进行多种改变和修改。根据这里描述的公开实施例的方法权利要求的功能、步骤和/或动作不需以任何特定顺序执行。此外,尽管本发明实施例公开的元素可以以个体形式描述或要求,但除非明确限制为单数,也可以理解为多个。
应当理解的是,在本文中使用的,除非上下文清楚地支持例外情况,单数形式“一个”旨在也包括复数形式。还应当理解的是,在本文中使用的“和/或”是指包括一个或者一个以上相关联地列出的项目的任意和所有可能组合。
上述本发明实施例公开实施例序号仅仅为了描述,不代表实施例的优劣。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
所属领域的普通技术人员应当理解:以上任何实施例的讨论仅为示例性的,并非旨在暗示本发明实施例公开的范围(包括权利要求)被限于这些例子;在本发明实施例的思路下,以上实施例或者不同实施例中的技术特征之间也可以进行组合,并存在如上所述的本发明实施例的不同方面的许多其它变化,为了简明它们没有在细节中提供。因此,凡在本发明实施例的精神和原则之内,所做的任何省略、修改、等同替换、改进等,均应包含在本发明实施例的保护范围之内。

Claims (10)

1.一种安全引流方法,其特征在于,包括:
根据业务节点的内部网络地址所属的子网将进出所述业务节点的网络数据转发到与所述子网匹配的安全计算节点;
在所述安全计算节点对网络数据进行安全检查,响应于安全检查通过,将所述网络数据发送到所述业务节点或将网络数据发送到外部网络。
2.根据权利要求1所述的方法,其特征在于,所述根据业务节点的内部网络地址所属的子网将进出所述业务节点的网络数据转发到与所述子网匹配的安全计算节点包括:
判断所述网络数据的目的网络地址是否为预定子网内的网络地址;
响应于所述目的网络地址为预定子网内的网络地址,则判断所述网络数据的媒体存取控制位址是否为浮动网络地址对应的媒体存取控制位址;
响应于所述网络数据的媒体存取控制位址为所述浮动网络地址对应的媒体存取控制位址,将所述网络数据的下一跳的目的网络地址设置为所述安全计算节点的网络地址,并将发送给安全计算节点。
3.根据权利要求2所述的方法,其特征在于,还包括:
响应于接收到所述网络数据,对所述网络数据的内容部分进行安全检查;
响应于所述安全检查通过,将所述网络数据的源媒体存取控制位址修改为所述安全计算节点的媒体存取控制位址,以及将所述目的媒体存取控制位址修改为所述业务节点的媒体存取控制位址并发送到所述业务节点。
4.根据权利要求1所述的方法,其特征在于,所述根据业务节点的内部网络地址所属的子网将进出所述业务节点的网络数据转发到与所述子网匹配的安全计算节点包括:
确定所述网络数据的目的网络地址,并根据所述目的网络地址确定所述网络数据的下一跳的网络地址;以及
判断所述网络数据的源网络地址是否为预定子网内的网络地址;
响应于所述网络数据的源网络地址为预定子网内的网络地址,则判断所述网络数据的目的媒体存取控制位址是否为所述预定子网网关的媒体存取控制位址;
响应于所述网络数据的目的媒体存取控制位址为所述预定子网网关的媒体存取控制位址,则判断所述网络数据的下一跳的网络地址是否为外部网络网关的网络地址;
响应于所述网络数据的下一跳的网络地址为外部网络网关的网络地址,则将所述网络数据的下一跳网络地址设置为安全计算节点的网络地址并将所述数据发送到所述安全计算节点。
5.根据权利要求4所述的方法,其特征在于,还包括:
在所述安全计算节点对所述网络数据进行安全检查,响应于安全检查通过,将所述网络数据目的媒体存取控制位址修改为所述安全计算节点所在的子网的网关的目的媒体存取控制位址,以及将所述网络数据的源媒体存取控制位址为所述安全计算节点的媒体存取控制位址。
6.根据权利要求1所述的方法,其特征在于,还包括:
为用户提供子网和安全计算节点进行匹配的输入接口,并将用户输入的子网和安全计算节点作为所述网络数据的转发规则下发到逻辑路由器。
7.根据权利要求1所述的方法,其特征在于,还包括:
监听用户绑定或解绑浮动网络地址的事件,并基于用户绑定或解绑的浮动网络地址对应的媒体存取控制位址更新所述网络数据的转发规则并下发到逻辑路由器。
8.一种安全引流系统,其特征在于,包括:
第一数据转发模块,所述第一数据转发模块配置用于根据业务节点的内部网络地址所属的子网将进出所述业务节点的网络数据转发到与所述子网匹配的安全计算节点;
第二数据转发模块,所述第二数据转发模块配置用于在所述安全计算节点对网络数据进行安全检查,响应于安全检查通过,将所述网络数据发送到所述业务节点或将网络数据发送到外部网络。
9.一种计算机设备,其特征在于,包括:
至少一个处理器;以及
存储器,所述存储器存储有可在所述处理器上运行的计算机指令,所述指令由所述处理器执行时实现权利要求1-7任意一项所述方法的步骤。
10.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现权利要求1-7任意一项所述方法的步骤。
CN202310419477.2A 2023-04-14 2023-04-14 一种安全引流方法、系统、设备及介质 Pending CN116545665A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310419477.2A CN116545665A (zh) 2023-04-14 2023-04-14 一种安全引流方法、系统、设备及介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310419477.2A CN116545665A (zh) 2023-04-14 2023-04-14 一种安全引流方法、系统、设备及介质

Publications (1)

Publication Number Publication Date
CN116545665A true CN116545665A (zh) 2023-08-04

Family

ID=87451502

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310419477.2A Pending CN116545665A (zh) 2023-04-14 2023-04-14 一种安全引流方法、系统、设备及介质

Country Status (1)

Country Link
CN (1) CN116545665A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117040933A (zh) * 2023-10-09 2023-11-10 苏州元脑智能科技有限公司 跨区域的网络引流处理方法、安全处理方法、装置及设备

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117040933A (zh) * 2023-10-09 2023-11-10 苏州元脑智能科技有限公司 跨区域的网络引流处理方法、安全处理方法、装置及设备
CN117040933B (zh) * 2023-10-09 2024-02-13 苏州元脑智能科技有限公司 跨区域的网络引流处理方法、安全处理方法、装置及设备

Similar Documents

Publication Publication Date Title
CN112470436B (zh) 用于提供多云连通性的系统、方法、以及计算机可读介质
US12095733B2 (en) Firewall configuration method and apparatus and packet sending method and apparatus
US9979694B2 (en) Managing communications between virtual computing nodes in a substrate network
US8296459B1 (en) Custom routing decisions
US11522896B2 (en) Managing virtual computing testing
US9064121B2 (en) Network data transmission analysis
US9959132B2 (en) Managing virtual computing nodes using isolation and migration techniques
US8804745B1 (en) Virtualization mapping
US7826393B2 (en) Management computer and computer system for setting port configuration information
US9754297B1 (en) Network routing metering
US10445124B2 (en) Managing virtual computing nodes using isolation and migration techniques
US20140283045A1 (en) Managing virtual computing testing
WO2018050007A1 (zh) 用户终端访问本地网络的方法和装置和计算机存储介质
US20140230044A1 (en) Method and Related Apparatus for Authenticating Access of Virtual Private Cloud
WO2023056722A1 (zh) 一种分布式防火墙定义方法及系统
WO2015079284A1 (en) Methods and systems for processing internet protocol packets
US20190215191A1 (en) Deployment Of Virtual Extensible Local Area Network
CN116545665A (zh) 一种安全引流方法、系统、设备及介质
CN116260618A (zh) Ip地址的封堵处理方法、装置、电子设备及存储介质
CN109361602B (zh) 一种基于OpenStack云平台转发报文的方法和系统
US20210058371A1 (en) Method for data center network segmentation
CN112994928B (zh) 一种虚拟机的管理方法、装置及系统
CN112968879B (zh) 一种实现防火墙管理的方法及设备
CN111654558B (zh) Arp交互与内网流量转发方法、装置和设备
CN114978563A (zh) 一种封堵ip地址的方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination