[发明专利]一种云数据中心安全服务链的实现方法

说明书

本发明提供一种云数据中心安全服务链的实现方法，所述方法包括：接收携带有本地安全服务节点所对应的VLAN信息的流量；若在本地流表中查询到与所述流量的包头信息相匹配的访问控制策略，则对所述流量进行VLAN剥离并发送至本地安全服务节点，以供所述本地安全服务节点进行安全检测；根据所述匹配的访问控制策略中的策略动作将经过安全检测的流量的VLAN修改为下一跳安全服务节点的VLAN信息并通过交换网络发送出去。本发明提供的一种云数据中心安全服务链的实现方法，基于VLAN协议来实现安全服务链，设计简单、性能良好且运维成本低。

技术领域

本发明涉及网络安全领域，更具体地，涉及一种云数据中心安全服务链的实现方法。

背景技术

云数据中心是利用云计算技术，自动化地按需提供各类云计算服务的新一代数据中心。云数据中心的业务特性与传统数据中心的业务特性差异巨大，且随着软件定义网络、网络虚拟化及网络功能虚拟化等新技术的迅猛发展和规模应用，云数据中心网络相较于传统数据中心网络而言，面临着新的安全挑战：云数据中心越来越依赖上述虚拟化技术来提供更高效和灵活的业务部署，使得安全边界难以界定，逻辑网络拓扑根据业务的需求随时可变，传统的基于物理边界防护的安全架构无法对其进行有效的安全防护；云数据中心业务场景更为复杂，对网络和信息安全的个性化需求更为强烈，而传统安全硬件设备将软件与硬件绑定，对外提供固定安全功能，管理员只能通过手工操作界面对其进行简单配置，无法根据业务应用场景进行灵活的功能调整和定制，不能满足业务的弹性扩展和安全需求。

为了应对这些安全挑战，目前云数据中心主要通过采用安全服务链来实现安全防护。安全服务链基于Overlay(覆盖)网络构建集中的安全能力资源池，通过集中的控制器将需要进行安全防护的业务流量引流到安全服务节点进行检测和防护，并根据业务的安全策略需求编排安全服务节点的防护顺序，这些安全服务节点包括FW(Firewall,防火墙)、IDS(Intrusion Detection System，入侵检测系统)、IPS(Intrusion Prevention System,入侵防御系统)或反病毒设备等。如图1所示为基于VXLAN(Virtual Extensible LAN，可扩展虚拟局域网)构建的安全服务链模型，该安全服务链的各安全服务节点可位于相同或者不同的安全能力资源池，通过面向租户或面向应用的安全服务链编排界面，控制器自动下发引流策略到各服务链节点，服务链节点匹配引流策略之后的处理流程如下：源VM(VirtualMachine,虚拟机)所对应的VTEP(VXLAN Tunnel End Point,VXLAN隧道端点)对源VM发出的流量进行VXLAN封装并将封装后的报文转发到第一个安全服务节点所对应的VTEP；第一个安全服务节点所对应的VTEP在接收到封装后的报文后对该报文进行解封装，然后将解封装后得到的报文，即源VM发出的流量转发给第一个安全服务节点；第一个安全服务节点对流量进行安全业务处理，再将该流量发送给VTEP；VTEP查找下一跳安全服务节点并将该报文重新进行封装后转发给下一跳安全服务节点所对应的VTEP；重复上述操作，直到进行完所有的安全业务处理后，最后一个安全服务节点所对应的VTEP根据目的VM所对应的VTEP的IP地址对报文进行封装并转发出去；目的VM所对应的VTEP接收到报文后，对该报文进行解封装，然后发送给目的VM。源VM发出的流量穿过这些安全服务节点到达目的VM，从而实现了所需要的安全业务。

目前安全服务链的实现方法除了基于上述提到的VXLAN技术，还包括：NVGRE(Network Virtualization using Generic Routing Encapsulation，使用通用路由封装的网络虚拟化)以及GENEVE(Generic Network Virtualization Encapsulation，通用网络虚拟封装)等技术。这些技术全是隧道封装技术，对于虚拟化服务器，隧道的封装和解封装会非常消耗服务器的CPU资源，造成服务器的性能非常低，这对于几乎跑满线速的东西向流量意味着通过安全服务链的处理可能会产生丢包现象。不仅如此，虚拟化服务器上还需要额外配置隧道端点的接口，用于根据配置来检查哪些报文需要进入隧道并判断对检查通过的报文做怎样的处理，导致运维非常复杂。