[发明专利]一种云数据中心安全服务链的实现方法

权利要求书

1.一种云数据中心安全服务链的实现方法，其特征在于，包括：

步骤1，接收上一跳安全服务节点所对应的vSwitch通过交换网络发送的、携带有本地安全服务节点所对应的VLAN信息的流量；

步骤2，若在本地流表中查询到与所述流量的包头信息相匹配的访问控制策略，则对所述流量进行VLAN剥离，并通过虚拟网络端口将经过VLAN剥离后的所述流量发送至本地安全服务节点，以供所述本地安全服务节点进行安全检测；

步骤3，接收到本地安全服务节点发送的经过安全检测的流量后，根据所述匹配的访问控制策略中的策略动作将所述经过安全检测的流量的VLAN信息修改为下一跳安全服务节点所对应的VLAN信息，并通过交换网络发送VLAN信息修改后的所述经过安全检测的流量。

2.根据权利要求1所述的安全服务链的实现方法，其特征在于，步骤1还包括：若所述本地安全服务节点为第一跳安全服务节点，

接收源VM所对应的vSwitch通过交换网络发送的、携带有本地安全服务节点所对应的VLAN信息的流量。

3.根据权利要求1所述的安全服务链的实现方法，其特征在于，步骤3进一步包括：若所述本地安全服务节点为最后一跳安全服务节点，

根据所述匹配的访问控制策略中的策略动作将经过安全检测的流量的VLAN信息修改为目的VM所对应的VLAN信息；

通过交换网络发送VLAN信息修改后的所述经过安全检测的流量至目的VM所对应的vSwitch，以供目的VM所对应的vSwitch对所接收到的流量进行VLAN剥离并通过本地虚拟网络端口转发给目的VM。

4.根据权利要求1至3任一所述的安全服务链的实现方法，其特征在于，所述包头信息根据用户定义的安全规则确定，所述包头信息的类型包括：源端口号、目的端口号、协议类型、源IP地址和目的IP地址中的一种或多种。

5.根据权利要求1至3任一所述的安全服务链的实现方法，其特征在于，步骤2中，所述本地流表中包含至少一项访问控制策略，所述访问控制策略根据用户定义的安全规则确定，所述访问控制策略包括：第一匹配字段和第一策略动作；其中，所述第一匹配字段与所述包头信息相对应。

6.根据权利要求2所述的安全服务链的实现方法，其特征在于，步骤1中在所述接收源VM所对应的vSwitch通过交换网络发送的携带有本地安全服务节点所对应的VLAN信息的流量之前，还包括：

源VM所对应的vSwitch接收到源VM发送的多个流量后，对所述多个流量进行哈希处理；

源VM所对应的vSwitch根据哈希处理的结果，在本地流表中确认存在匹配的负载均衡策略，并根据所述负载均衡策略的策略动作，将源VM发出的多个流量分别转发给匹配的安全服务节点所对应的vSwitch。

7.根据权利要求6所述的安全服务链的实现方法，其特征在于，所述对所述多个流量进行哈希处理包括：对各流量包头信息中的特征字段的最后m位比特值进行掩码处理，其中，m为log₂N向上取整后的值，N为安全服务链的数目，所述特征字段包括：端口号字段、IP地址字段或协议类型字段。

8.根据权利要求6所述的安全服务链的实现方法，其特征在于，所述负载均衡策略包括：第二匹配字段和第二策略动作。