流量安全处理方法及安全虚拟化系统转让专利
申请号 : CN201710283091.8
文献号 : CN106911723B
文献日 : 2020-03-03
发明人 : 杨松松 , 杨聪毅 , 文光轶 , 张志博
申请人 : 北京启明星辰信息安全技术有限公司 , 启明星辰信息技术集团股份有限公司
摘要 :
本发明公开了一种流量安全处理方法和一种安全虚拟化系统,智能管理层通过采集获取网络信息和虚拟安全产品运行参数,自动调整虚拟安全产品的数量,以适应用户的具体安全需求。当网络流量发生变化时,智能管理层按照设置规则调整虚拟安全产品数量来调整安全处理能力,以适应当前网络流量安全处理的需求。所述流量安全处理方法和安全虚拟化系统将安全处理能力固化的传统硬件安全产品变为安全处理能力可根据需求弹性可变的虚拟安全产品,贴合用户的实际需求,避免了安全产品的处理能力不足或处理资源过剩而浪费的问题。
权利要求 :
1.一种流量安全处理方法,其特征在于,包括:
智能管理层获取流管理层采集的网络信息和虚拟安全产品管理层采集的虚拟安全产品的运行数据,所述虚拟安全产品运行数据包括CPU利用率和/或内存利用率;
所述智能管理层根据所述虚拟安全产品的CPU利用率和/或内存利用率与预设阈值的比较结果,控制所述虚拟安全产品管理层增加或删除虚拟安全产品;
所述智能管理层根据所述增加或删除的虚拟安全产品的配置信息控制所述流管理层调度流量至虚拟安全产品。
2.根据权利要求1所述的流量安全处理方法,其特征在于,所述智能管理层根据所述虚拟安全产品的CPU利用率和/或内存利用率与预设阈值的比较结果,控制所述虚拟安全产品管理层增加或删除虚拟安全产品,包括:在所述虚拟安全产品的CPU利用率和/或内存利用率超过第一预设阈值时,所述智能管理层根据网络信息及预设的配置规则生成虚拟安全产品参数;
所述智能管理层将所述虚拟安全产品参数发送给所述虚拟安全产品管理层,以控制所述虚拟安全产品管理层根据所述虚拟安全产品参数创建新的虚拟安全产品。
3.根据权利要求1所述的流量安全处理方法,其特征在于,所述智能管理层根据所述虚拟安全产品的CPU利用率和/或内存利用率与预设阈值的比较结果,控制所述虚拟安全产品管理层增加或删除虚拟安全产品,包括:在所述虚拟安全产品的CPU利用率和/或内存利用率低于第二预设阈值时,所述智能管理层根据网络信息及预设的配置规则确定需要删除或关闭的虚拟安全产品;
所述智能管理层将所述需要删除或关闭的虚拟安全产品的配置信息发送给所述虚拟安全产品管理层,以控制所述虚拟安全产品管理层根据所述配置信息删除或关闭对应的虚拟安全产品。
4.根据权利要求1所述的流量安全处理方法,其特征在于,所述智能管理层获取流管理层采集的网络信息和虚拟安全产品管理层采集的虚拟安全产品的运行数据,包括:智能管理层通过用户接口层获取流管理层采集的网络信息和虚拟安全产品管理层采集的虚拟安全产品的运行数据。
5.根据权利要求1所述的流量安全处理方法,其特征在于,所述根据所述增加或删除的虚拟安全产品的配置信息控制所述流管理层调度流量至虚拟安全产品,包括:根据所述增加的虚拟安全产品的配置信息控制所述流管理层为新创建的虚拟安全产品转发流量;
或/根据所述删除的虚拟安全产品的配置信息控制所述流管理层停止向已删除或关闭的虚拟安全产品转发流量。
6.一种安全虚拟化系统,其特征在于,包括:流管理层、虚拟安全产品管理层和智能管理层;
所述智能管理层用于获取所述流管理层采集到的网络信息和所述虚拟安全产品管理层采集到的虚拟安全产品的运行数据,并根据所述虚拟安全产品的CPU利用率和/或内存利用率与预设阈值的比较结果,控制所述虚拟安全产品管理层增加或删除虚拟安全产品,并控制所述流管理层根据所述增加或删除的虚拟安全产品的配置信息调度流量,所述虚拟安全产品运行数据包括CPU利用率和/或内存利用率;
所述流管理层用于采集网络信息,并接收所述智能管理层发送的所述增加或删除的虚拟安全产品的配置信息,根据所述配置信息生成流表规则调整网络流量的转发路径;
所述虚拟安全产品管理层用于采集虚拟安全产品的运行数据,根据所述智能管理层发送的命令增加或删除虚拟安全产品。
7.根据权利要求6所述的安全虚拟化系统,其特征在于,还包括:用户接口层,用于负责所述智能管理层分别与所述流管理层和所述虚拟安全产品管理层之间的数据交互与传输。
8.根据权利要求6所述的安全虚拟化系统,其特征在于,所述流管理层包括:控制平面,用于将数据转发平面上的控制权分离出并集中在所述控制平面实现对所述数据转发平面的统一管理和控制;
数据转发平面,用于根据所述控制平面发送的转发规则转发网络流量至虚拟安全产品;
监控分析模块,用于采集监控网络信息,并对采集到的所述网络信息进行分析存储。
9.根据权利要求6所述的安全虚拟化系统,其特征在于,所述虚拟安全产品管理层包括:虚拟安全产品,用于对所述流管理层转发来的网络流量进行安全检查处理;
虚拟安全产品管理模块,用于对虚拟安全产品进行创建、编辑、删除、开机、关机、暂停、迁移和/或备份;
监控分析模块,用于采集监控虚拟安全产品的运行数据,并对采集到的所述虚拟安全产品的运行数据进行分析存储。
10.根据权利要求6所述的安全虚拟化系统,其特征在于,所述智能管理层控制所述流管理层根据所述增加或删除的虚拟安全产品的配置信息调度流量,包括:智能管理层根据所述配置信息控制所述流管理层为新创建的虚拟安全产品转发流量;
或
智能管理层根据所述配置信息控制所述流管理层停止向已删除或关闭的虚拟安全产品转发流量。
说明书 :
流量安全处理方法及安全虚拟化系统
技术领域
[0001] 本发明涉及信息安全技术领域,更具体的说,是涉及一种流量安全处理方法及安全虚拟化系统。
背景技术
[0002] 随着互联网以及信息技术的迅速发展,用户对网络安全的需求也越来越高,随即各类网络安全产品也陆续被开发并应用到用户的日常网络工作和网络生活中。
[0003] 传统的IT网络架构中,安全产品被部署上线后,安全产品的安全处理能力就固定下来。而用户使用互联网产生的数据流量是随着时间的不同也不断发生变化的,在网络数据流量很大时,安全产品的安全处理能力不足,在网络数据流量很小时,安全产品又会出现安全处理资源过剩而浪费的情况。
发明内容
[0004] 有鉴于此,本发明提供了一种流量安全处理方法及安全虚拟化系统,以克服现有技术中,由于传统的网络安全产品的安全处理能力固化而导致的,安全产品的处理能力不足或处理资源过剩而浪费的问题。
[0005] 为实现上述目的,本发明提供如下技术方案:
[0006] 一种流量安全处理方法,包括:
[0007] 智能管理层获取流管理层采集的网络信息和虚拟安全产品管理层采集的虚拟安全产品的运行数据;
[0008] 所述智能管理层根据所述网络信息、所述虚拟安全产品的运行数据以及预设的配置规则,控制所述虚拟安全产品管理层增加或删除虚拟安全产品;
[0009] 所述智能管理层根据所述增加或删除的虚拟安全产品的配置信息控制所述流管理层调度流量至虚拟安全产品。
[0010] 可选的,所述虚拟安全产品运行数据包括CPU利用率和/或内存利用率,则所述智能管理层根据所述网络信息、所述虚拟安全产品的运行数据以及预设的配置规则,控制所述虚拟安全产品管理层增加或删除虚拟安全产品,包括:
[0011] 在所述虚拟安全产品的CPU利用率和/或内存利用率超过第一预设阈值时,所述智能管理层根据网络信息及预设的配置规则生成虚拟安全产品参数;
[0012] 所述智能管理层将所述虚拟安全产品参数发送给所述虚拟安全产品管理层,以控制所述虚拟安全产品管理层根据所述虚拟安全产品参数创建新的虚拟安全产品。
[0013] 可选的,所述虚拟安全产品运行数据包括CPU利用率和/或内存利用率,则所述智能管理层根据所述网络信息、所述虚拟安全产品的运行数据以及预设的配置规则,控制所述虚拟安全产品管理层增加或删除虚拟安全产品,包括:
[0014] 在所述虚拟安全产品的CPU利用率和/或内存利用率低于第二预设阈值时,所述智能管理层根据网络信息及预设的配置规则确定需要删除或关闭的虚拟安全产品;
[0015] 所述智能管理层将所述需要删除或关闭的虚拟安全产品的配置信息发送给所述虚拟安全产品管理层,以控制所述虚拟安全产品管理层根据所述配置信息删除或关闭对应的虚拟安全产品。
[0016] 可选的,所述智能管理层获取流管理层采集的网络信息和虚拟安全产品管理层采集的虚拟安全产品的运行数据,包括:
[0017] 智能管理层通过用户接口层获取流管理层采集的网络信息和虚拟安全产品管理层采集的虚拟安全产品的运行数据。
[0018] 可选的,所述根据所述增加或删除的虚拟安全产品的配置信息控制所述流管理层调度流量至虚拟安全产品,包括:
[0019] 根据所述增加的虚拟安全产品的配置信息控制所述流管理层为新创建的虚拟安全产品转发流量;
[0020] 或/根据所述删除的虚拟安全产品的配置信息控制所述流管理层停止向已删除或关闭的虚拟安全产品转发流量。
[0021] 一种安全虚拟化系统,包括:流管理层、虚拟安全产品管理层和智能管理层;
[0022] 所述智能管理层用于获取所述流管理层采集到的网络信息和所述虚拟安全产品管理层采集到的虚拟安全产品的运行数据,并根据所述网络信息、所述虚拟安全产品的运行数据以及预设的配置规则,控制所述虚拟安全产品管理层增加或删除虚拟安全产品,并控制所述流管理层根据所述增加或删除的虚拟安全产品的配置信息调度流量;
[0023] 所述流管理层用于采集网络信息,并接收所述智能管理层发送的所述增加或删除的虚拟安全产品的配置信息,根据所述配置信息生成流表规则调整网络流量的转发路径;
[0024] 所述虚拟安全产品管理层用于采集虚拟安全产品的运行数据,根据所述智能管理层发送的命令增加或删除虚拟安全产品。
[0025] 可选的,还包括:
[0026] 用户接口层,用于负责所述智能管理层分别与所述流管理层和所述虚拟安全产品管理层之间的数据交互与传输。
[0027] 可选的,所述流管理层包括:
[0028] 控制平面,用于将数据转发平面上的控制权分离出并集中在所述控制平面实现对所述数据转发平面的统一管理和控制;
[0029] 数据转发平面,用于根据所述控制平面发送的转发规则转发网络流量至虚拟安全产品;
[0030] 监控分析模块,用于采集监控网络信息,并对采集到的所述网络信息进行分析存储。
[0031] 可选的,所述虚拟安全产品管理层包括:
[0032] 虚拟安全产品,用于对所述流管理层转发来的网络流量进行安全检查处理;
[0033] 虚拟安全产品管理模块,用于对虚拟安全产品进行创建、编辑、删除、开机、关机、暂停、迁移和/或备份;
[0034] 监控分析模块,用于采集监控虚拟安全产品的运行数据,并对采集到的所述虚拟安全产品的运行数据进行分析存储。
[0035] 可选的,所述智能管理层控制所述流管理层根据所述增加或删除的虚拟安全产品的配置信息调度流量,包括:
[0036] 智能管理层根据所述配置信息控制所述流管理层为新创建的虚拟安全产品转发流量;
[0037] 或
[0038] 智能管理层根据所述配置信息控制所述流管理层停止向已删除或关闭的虚拟安全产品转发流量。
[0039] 经由上述的技术方案可知,与现有技术相比,本发明实施例公开了一种流量安全处理方法和一种安全虚拟化系统,智能管理层通过采集获取网络信息和虚拟安全产品运行参数,自动调整虚拟安全产品的数量,以适应用户的具体安全需求。当网络流量发生变化时,智能管理层按照设置规则调整虚拟安全产品数量来调整安全处理能力,以适应当前网络流量安全处理的需求。所述流量安全处理方法和安全虚拟化系统将安全处理能力固化的传统硬件安全产品变为安全处理能力可根据需求弹性可变的虚拟安全产品,贴合用户的实际需求,避免了安全产品的处理能力不足或处理资源过剩而浪费的问题。
附图说明
[0040] 为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
[0041] 图1为本发明实施例公开的流量安全处理方法的流程图;
[0042] 图2为本发明实施例公开的控制虚拟安全产品管理层的第一流程图;
[0043] 图3为本发明实施例公开的控制虚拟安全产品管理层的第二流程图;
[0044] 图4为本发明实施例公开的安全虚拟化系统的第一结构示意图;
[0045] 图5为本发明实施例公开的流管理层的结构示意图;
[0046] 图6为本发明实施例公开的虚拟安全产品管理层的结构示意图;
[0047] 图7为本发明实施例公开的安全虚拟化系统的第二结构示意图。
具体实施方式
[0048] 下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0049] 请参阅附图1,为本发明公开的流量安全处理方法的流程图,如图1所示,所述流量安全处理方法可以包括:
[0050] 步骤101:智能管理层获取流管理层采集的网络信息和虚拟安全产品管理层采集的虚拟安全产品的运行数据。
[0051] 所述智能管理层获取所述流管理层和所述虚拟安全产品管理层的监控数据,也即网络信息和虚拟安全产品的运行数据,后续可以根据用户设置规则以及获取的数据生成控制或指示所述流管理层和所述虚拟安全产品管理层动作的消息。
[0052] 其中,所述网络信息可以包括但不限制为:网络报文的丢包率、收包数和转发数。所述虚拟安全产品的运行数据可以但不限制为包括:CPU利用率、内存使用率、磁盘使用率、网卡状态等。
[0053] 所述智能管理层可以接收用户配置规则,并采集所述流管理层和所述虚拟安全产品管理层的监控数据,根据所述配置规则调用虚拟安全产品管理层和流管理层的内部处理方法调整虚拟安全产品和网络流量路径。
[0054] 所述流管理层可以包括控制平面、数据转发平面和监控分析模块。其中,所述控制平面可以将数据转发平面上的控制权分离出来集中到控制平面实现统一管理,并将智能管理层下发的或用户配置的配置信息转化为相应的数据结构,将转化后的配置信息发送给所述数据转发平面。所述数据转发平面可以包含虚拟机形态或硬件形态的支持OpenFlow协议的交换机,并支持接收所述控制平面下发的配置信息,可以根据所述控制平面发送的配置信息,即转发规则,转发网络流量至虚拟安全产品。所述监控分析模块可以采集网络信息,并对采集到的所述网络信息进行分析和存储。
[0055] 所述虚拟安全产品管理层可以包括虚拟安全产品、虚拟安全产品管理模块和监控分析模块。所述虚拟安全产品用于对所述流管理层中所述数据转发平面转发来的网络流量进行安全检查处理。所述虚拟安全产品管理模块可以管理虚拟安全产品的创建、编辑、删除、开机、关机、暂停、迁移、备份等。所述监控分析模块可以采集监控虚拟安全产品的运行数据,并对采集到的所述虚拟安全产品的运行数据进行分析存储。
[0056] 步骤102:所述智能管理层根据所述网络信息、所述虚拟安全产品的运行数据以及预设的配置规则,控制所述虚拟安全产品管理层增加或删除虚拟安全产品数量。
[0057] 在一个示意性的示例中,所述虚拟安全产品运行数据包括CPU利用率和/或内存利用率,步骤102的具体过程可以参见图2,图2为本发明实施例公开的控制虚拟安全产品管理层的第一流程图,如图2所示,可以包括:
[0058] 步骤201:在所述虚拟安全产品的CPU利用率和/或内存利用率超过第一预设阈值时,所述智能管理层根据网络信息及预设的配置规则生成虚拟安全产品参数。
[0059] 步骤202:所述智能管理层将所述虚拟安全产品参数发送给所述虚拟安全产品管理层,以控制所述虚拟安全产品管理层根据所述虚拟安全产品参数创建新的虚拟安全产品。
[0060] 所述智能管理层采集虚拟安全产品的CPU利用率、内存利用率等性能指标,当这些指标超过第一预设阈值时,则判断当前的虚拟安全产品的处理能力不足,通知虚拟安全产品管理层根据配置规则下发的虚拟安全产品参数创建新的虚拟安全产品(安虚拟全产品的配置信息可以与当前运行产品一致),智能管理层收到虚拟安全产品管理层操作成功的信息后,可进一步通知所述流管理层并发送新创建的所述虚拟安全产品的参数信息,所述流管理层可以根据接收到的所述虚拟安全产品的配置信息把网络流量负载至新的虚拟安全产品。
[0061] 在另一个示意性的示例中,所述虚拟安全产品运行数据包括CPU利用率和/或内存利用率,步骤102的具体过程可以参见图3,图3为本发明实施例公开的控制虚拟安全产品管理层的第二流程图,如图3所示,可以包括:
[0062] 步骤301:在所述虚拟安全产品的CPU利用率和/或内存利用率低于第二预设阈值时,所述智能管理层根据网络信息及预设的配置规则确定需要删除或关闭的虚拟安全产品。
[0063] 步骤302:所述智能管理层将所述需要删除或关闭的虚拟安全产品的配置信息发送给所述虚拟安全产品管理层,以控制所述虚拟安全产品管理层根据所述配置信息删除或关闭对应的虚拟安全产品。
[0064] 所述智能管理层采集虚拟安全产品CPU利用率、内存利用率等性能指标,当所述性能指标低于第二预设阈值时,则判断当前的所述虚拟安全产品处理能力过剩,所述智能管理层可以根据定义规则计算获得需要关闭的虚拟安全产品,然后把需要关闭的所述虚拟安全产品网络配置信息通知所述流管理层,以使得所述流管理层生成流表规则调整网络流量。然后通知虚拟安全产品管理层关闭虚拟安全产品释放资源。
[0065] 步骤102后,进入步骤103。
[0066] 步骤103:所述智能管理层根据所述增加或删除的虚拟安全产品的配置信息控制所述流管理层调度流量至虚拟安全产品。
[0067] 具体来说,所述智能管理层采集到的网络流量信息触发模块内部预设的配置规则,做到自动调整虚拟安全产品和网络流量转发路径,所述流管理层的数据转发平面负责转发流量,其转发流量依据的网络流量匹配规则的匹配条件包括但不限于流量源IP地址、目的IP地址、源端口、目的端口、WLAN编号、源MAC、目的MAC等。所述数据转发平面根据规则转发流量,转发方式包括直接转发和负载均衡。
[0068] 所述虚拟安全产品管理层在虚拟安全产品状态发生变化时,可以通过调用流管理层内部方法下发的配置调整网络流量转发路径,配置信息可以包含请求类型、网络流量匹配规则、虚拟安全产品网络配置等。
[0069] 如果所述虚拟安全产品管理层发送的配置信息中请求类型是直接转发,所述流管理层根据所述网络流量匹配规则生成内部数据结构下发至数据转发平面,由所述数据转发平面转发网络流量至虚拟安全产品。如果所述虚拟安全产品管理层发送的配置信息中请求类型是负载均衡,所述流管理层根据所述网络流量匹配规则生成内部数据结构下发至数据转发平面,所述数据转发平面根据所述虚拟安全产品的网络配置负载网络流量到所述虚拟安全产品。
[0070] 具体的,步骤103根据所述增加或删除的虚拟安全产品的配置信息控制所述流管理层调度流量至虚拟安全产品,可以是:根据所述增加的虚拟安全产品的配置信息控制所述流管理层为新创建的虚拟安全产品转发流量。或/根据所述删除的虚拟安全产品的配置信息控制所述流管理层停止向已删除或关闭的虚拟安全产品转发流量。
[0071] 本实施例中,所述流量的安全处理方法可以基于软件定义网络来实现。
[0072] 本实施例中,所述流量安全处理方法通过采集获取网络信息和虚拟安全产品运行参数,自动调整虚拟安全产品的数量,以适应用户的具体安全需求。当网络流量发生变化时,智能管理层按照设置规则调整虚拟安全产品数量来调整安全处理能力,以适应当前网络流量安全处理的需求。所述流量安全处理方法将安全处理能力固化的传统硬件安全产品变为安全处理能力可根据需求弹性可变的虚拟安全产品,贴合用户的实际需求,避免了安全产品的处理能力不足或处理资源过剩而浪费的问题。
[0073] 在其他的实施例中,所述智能管理层获取流管理层采集的网络信息和虚拟安全产品管理层采集的虚拟安全产品的运行数据,可以包括:智能管理层通过用户接口层获取流管理层采集的网络信息和虚拟安全产品管理层采集的虚拟安全产品的运行数据。
[0074] 其中,所述用户接口层可以提供统一对外接口,可以调用所述流管理层、虚拟安全产品管理层和所述智能管理层的内部方法,并对方法进行封装提供给外部系统调用。由此,本实施例中,所述流管理层、虚拟安全产品管理层和所述智能管理层之间的任何交互以及数据传送,都可以通过所述用户接口层来实现。
[0075] 由此,所述流管理层也可以接收所述用户接口层下发的配置信息,该配置信息可以是所述智能管理层生成并下发给所述用户接口层,所述流管理层在接收到所述用户接口层下发的所述配置信息后,可以根据所述配置信息生成不同流表规则,并将生成的流表规则下发到所述数据转发平面,控制用户网络流量路径。
[0076] 通过所述用户接口层,还可以配置虚拟安全产品规则,下发到所述虚拟产品管理层下的虚拟安全产品,使得所述虚拟安全产品根据所述规则对网络流量进行安全处理。
[0077] 对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本发明所必须的。
[0078] 本发明实施例还公开了一种安全虚拟化系统。图4为本发明实施例公开的安全虚拟化系统的第一结构示意图,如图4所示,所述安全虚拟化系统40可以包括:流管理层401、虚拟安全产品管理层402和智能管理层403。
[0079] 其中,所述智能管理层403用于获取所述流管理层401采集到的网络信息和所述虚拟安全产品管理层402采集到的虚拟安全产品的运行数据,并根据所述网络信息、所述虚拟安全产品的运行数据以及预设的配置规则,控制所述虚拟安全产品管理层402增加或删除虚拟安全产品,并控制所述流管理层401根据所述增加或删除的虚拟安全产品的配置信息调度流量。
[0080] 所述智能管理层403获取所述流管理层401和所述虚拟安全产品管理层402的监控数据,也即网络信息和虚拟安全产品的运行数据,后续可以根据用户设置规则以及获取的数据生成控制或指示所述流管理层401和所述虚拟安全产品管理层402动作的消息。
[0081] 其中,所述网络信息可以包括但不限制为:网络报文的丢包率、收包数和转发数。所述虚拟安全产品的运行数据可以但不限制为包括:CPU利用率、内存使用率、磁盘使用率、网卡状态等。
[0082] 所述智能管理层403可以接收用户配置规则,并采集所述流管理层401和所述虚拟安全产品管理层402的监控数据,根据所述配置规则调用虚拟安全产品管理层和流管理层的内部处理方法调整虚拟安全产品和网络流量路径。
[0083] 所述流管理层401用于采集网络信息,并接收所述智能管理层403发送的所述增加或删除的虚拟安全产品的配置信息,根据所述配置信息生成流表规则调整网络流量的转发路径。
[0084] 图5为本发明实施例公开的流管理层的结构示意图,如图5所示,所述流管理层401可以包括:
[0085] 控制平面501,用于将数据转发平面上的控制权分离出并集中在所述控制平面实现对所述数据转发平面的统一管理和控制;
[0086] 数据转发平面502,用于根据所述控制平面501发送的转发规则转发网络流量至虚拟安全产品;
[0087] 监控分析模块503,用于采集监控网络信息,并对采集到的所述网络信息进行分析存储。
[0088] 所述虚拟安全产品管理层402用于采集虚拟安全产品的运行数据,根据所述智能管理层403发送的命令增加或删除虚拟安全产品。
[0089] 其中,所述控制平面501可以将数据转发平面502上的控制权分离出来集中到控制平面501实现统一管理,并将智能管理层403下发的或用户配置的配置信息转化为相应的数据结构,将转化后的配置信息发送给所述数据转发平面502。所述数据转发平面502可以包含虚拟机形态或硬件形态的支持OpenFlow协议的交换机,并支持接收所述控制平面501下发的配置信息,可以根据所述控制平面501发送的配置信息,即转发规则,转发网络流量至虚拟安全产品。所述监控分析模块503可以采集网络信息,并对采集到的所述网络信息进行分析和存储。
[0090] 图6为本发明实施例公开的虚拟安全产品管理层的结构示意图,如图6所示,所述虚拟安全产品管理层402可以包括:
[0091] 虚拟安全产品601,用于对所述流管理层转发来的网络流量进行安全检查处理;
[0092] 虚拟安全产品管理模块602,用于对虚拟安全产品601进行创建、编辑、删除、开机、关机、暂停、迁移和/或备份;
[0093] 监控分析模块603,用于采集监控虚拟安全产品601的运行数据,并对采集到的所述虚拟安全产品601的运行数据进行分析存储。
[0094] 在一个示例中,所述智能管理层403采集虚拟安全产品601的CPU利用率、内存利用率等性能指标,当这些指标超过第一预设阈值时,则判断当前的虚拟安全产品601的处理能力不足,通知虚拟安全产品管理层402根据配置规则下发的虚拟安全产品参数创建新的虚拟安全产品(安虚拟全产品的配置信息可以与当前运行产品一致),智能管理层403收到虚拟安全产品管理层402操作成功的信息后,可进一步通知所述流管理层401并发送新创建的所述虚拟安全产品601的参数信息,所述流管理层401可以根据接收到的所述虚拟安全产品601的配置信息把网络流量负载至新的虚拟安全产品。
[0095] 在另一个示例中,所述智能管理层403采集虚拟安全产品601的CPU利用率、内存利用率等性能指标,当所述性能指标低于第二预设阈值时,则判断当前的所述虚拟安全产品601处理能力过剩,所述智能管理层403可以根据定义规则计算获得需要关闭的虚拟安全产品601,然后把需要关闭的所述虚拟安全产品601的网络配置信息通知所述流管理层401,以使得所述流管理层401生成流表规则调整网络流量。然后通知虚拟安全产品管理层402关闭虚拟安全产品释放资源。
[0096] 因此,所述智能管理层403控制所述流管理层401根据所述增加或删除的虚拟安全产品的配置信息调度流量,可以包括:智能管理层根据所述配置信息控制所述流管理层401为新创建的虚拟安全产品转发流量;或,智能管理层根据所述配置信息控制所述流管理层401停止向已删除或关闭的虚拟安全产品转发流量。
[0097] 具体来说,所述智能管理层403采集到的网络流量信息触发模块内部预设的配置规则,做到自动调整虚拟安全产品601和网络流量转发路径,所述流管理层401的数据转发平面502负责转发流量,其转发流量依据的网络流量匹配规则的匹配条件包括但不限于流量源IP地址、目的IP地址、源端口、目的端口、WLAN编号、源MAC、目的MAC等。所述数据转发平面502根据规则转发流量,转发方式包括直接转发和负载均衡。
[0098] 所述虚拟安全产品管理层402在虚拟安全产品601状态发生变化时,可以通过调用流管理层401内部方法下发的配置调整网络流量转发路径,配置信息可以包含请求类型、网络流量匹配规则、虚拟安全产品网络配置等。
[0099] 如果所述虚拟安全产品管理层402发送的配置信息中请求类型是直接转发,所述流管理层401根据所述网络流量匹配规则生成内部数据结构下发至数据转发平面502,由所述数据转发平面502转发网络流量至虚拟安全产品601。如果所述虚拟安全产品管理层发送的配置信息中请求类型是负载均衡,所述流管理层401根据所述网络流量匹配规则生成内部数据结构下发至数据转发平面502,所述数据转发平面502根据所述虚拟安全产品601的网络配置负载网络流量到所述虚拟安全产品601。
[0100] 本实施例中,所述安全虚拟化系统可以基于软件定义网络来实现。
[0101] 本实施例中,所述安全虚拟化系统通过采集获取网络信息和虚拟安全产品运行参数,自动调整虚拟安全产品的数量,以适应用户的具体安全需求。当网络流量发生变化时,智能管理层按照设置规则调整虚拟安全产品数量来调整安全处理能力,以适应当前网络流量安全处理的需求。所述安全虚拟系统将安全处理能力固化的传统硬件安全产品变为安全处理能力可根据需求弹性可变的虚拟安全产品,贴合用户的实际需求,避免了安全产品的处理能力不足或处理资源过剩而浪费的问题。
[0102] 图7为本发明实施例公开的安全虚拟化系统的第二结构示意图,如图7所示,除了流管理层401、虚拟安全产品管理层402和智能管理层403外,所述安全虚拟化系统70还可以包括用户接口层701。
[0103] 所述用户接口层701可以用于负责所述智能管理层403分别与所述流管理层401和所述虚拟安全产品管理层402之间的数据交互与传输。由此,所述智能管理层403可以通过用户接口层701获取所述流管理层401采集的网络信息和所述虚拟安全产品管理层402采集的虚拟安全产品的运行数据。
[0104] 其中,所述用户接口层701可以提供统一对外接口,可以调用所述流管理层401、虚拟安全产品管理层402和所述智能管理层403的内部方法,并对方法进行封装提供给外部系统调用。由此,本实施例中,所述流管理层401、虚拟安全产品管理层402和所述智能管理层403之间的任何交互以及数据传送,都可以通过所述用户接口层701来实现。
[0105] 所述流管理层401也可以接收所述用户接口层701下发的配置信息,该配置信息可以是所述智能管理层403生成并下发给所述用户接口层701,所述流管理层401在接收到所述用户接口层701下发的所述配置信息后,可以根据所述配置信息生成不同流表规则,并将生成的流表规则下发到所述数据转发平面502,控制用户网络流量路径。
[0106] 通过所述用户接口层701,还可以配置虚拟安全产品规则,下发到所述虚拟产品管理层402下的虚拟安全产品601,使得所述虚拟安全产品601根据所述规则对网络流量进行安全处理。
[0107] 本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
[0108] 还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
[0109] 结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
[0110] 对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。