[发明专利]安全服务部署系统、方法及装置

权利要求书

1.一种安全服务部署系统，其特征在于，包括：

防火墙插件，设置在云平台上，用于获取所述云平台的目标请求消息以及软件定义网络的控制器的控制消息，并将所述目标请求消息和所述控制消息预处理后发送至安全服务管理模块，其中，所述目标请求消息为请求管理所述云平台上的安全设备的请求；

所述安全服务管理模块，用于基于处理后的消息至少通过以下之一方式管理所述云平台上的安全设备：添加所述安全设备，删除所述安全设备以及配置所述安全设备，其中，所述云平台上的安全设备的功能由设置在所述云平台之外的目标安全设备承载；

所述防火墙插件包括：防火墙模块，用于接收所述云平台的防火墙的请求消息，并对所述防火墙的请求消息预处理后发送至所述安全服务管理模块；路由器代理模块，用于接收所述云平台的路由器的请求消息，并对所述路由器的请求消息预处理后发送至所述安全服务管理模块；软件定义网络代理模块，用于接收所述软件定义网络的控制器的所述控制消息，和/或通过所述软件定义网络的控制器的查询接口查询所述控制消息，并对所述控制消息预处理后发送至所述安全服务管理模块。

2.根据权利要求1所述的系统，其特征在于，所述软件定义网络通过软件定义网络网关设备与所述云平台上的各个子网对接，并通过扩展接口将所述软件定义网络的路由器与所述目标安全设备互联。

3.根据权利要求2所述的系统，其特征在于，所述目标安全设备为硬件防火墙设备，所述硬件防火墙设备包括承载在硬件设备上的多个虚拟系统，所述多个虚拟系统与所述云平台上的各个子网的防火墙之间存在映射关系，所述多个虚拟系统用于承载所述云平台上的各个子网的防火墙的功能。

4.根据权利要求3所述的系统，其特征在于，所述多个虚拟系统还用于承载所述云平台上的路由器网关的功能，所述路由器网关用于接收所述云平台上的各个子网的流量，并通过所述软件定义网络网关设备将所述各个子网的流量转发至所述目标安全设备。

5.根据权利要求4所述的系统，其特征在于，所述硬件防火墙设备还包括；

虚拟交换机，与所述多个虚拟系统连接，用于接收所述各个子网的流量；

虚拟路由器，与所述虚拟交换机连接，用于对所述各个子网的流量进行处理，并将处理后的流量转发至目标地址，其中，所述虚拟交换机用于接收所述各个子网的流量并进行处理，所述目标地址至少包括目标子网和/或所述云平台之外的网络。

6.根据权利要求2所述的系统，其特征在于，所述目标安全设备为虚拟防火墙设备，所述虚拟防火墙设备运行在所述云平台的计算节点中，多个所述虚拟防火墙设备通过物理网卡中的虚拟网卡与所述软件定义网络网关设备连接。

7.根据权利要求6所述的系统，其特征在于，多个所述虚拟防火墙设备为根据所述目标请求消息和所述控制消息从安全服务资源池中调度得到的设备，其中，所述安全服务资源池中包含所述安全服务管理模块创建的预设数量的所述虚拟防火墙设备。

8.一种安全服务部署方法，其特征在于，包括：

获取云平台的用户的操作请求消息以及软件定义网络的控制器的控制消息；

通过防火墙插件获取所述操作请求消息和所述控制消息，对所述操作请求消息和所述控制消息进行处理后发送至安全服务管理模块，其中，所述防火墙插件包括：防火墙模块，用于接收所述云平台的防火墙的请求消息，并对所述防火墙的请求消息预处理后发送至所述安全服务管理模块；路由器代理模块，用于接收所述云平台的路由器的请求消息，并对所述路由器的请求消息预处理后发送至所述安全服务管理模块；软件定义网络代理模块，用于接收所述软件定义网络的控制器的所述控制消息，和/或通过所述软件定义网络的控制器的查询接口查询所述控制消息，并对所述控制消息预处理后发送至所述安全服务管理模块；

所述安全服务管理模块基于处理后的消息至少通过以下之一方式管理所述云平台上的安全设备：添加所述安全设备，删除所述安全设备以及配置所述安全设备，其中，所述云平台上的安全设备的功能由设置在所述云平台之外的目标安全设备承载。