[发明专利]一种基于NFV的安全网络架构和网络安全管理方法

权利要求书

1.一种基于NFV的安全网络架构，其特征在于，包括：

网络功能虚拟化基础设施、虚拟化网络功能、网络功能虚拟化管理和编排、操作支持系统、业务支持系统以及安全编排器；

其中，所述安全编排器通过所述网络功能虚拟化管理和编排与所述虚拟化网络功能连接，用于对所述安全网络架构的数据流过程进行实时安全评估。

2.根据权利要求1所述的安全网络架构，其特征在于，所述安全编排器，包括：

应用商店层、编排引擎、安全控制器和虚拟安全设备管理平台；

其中，所述应用商店层用于提供web交互服务并生成编排策略；所述编排擎用于接收所述应用商店层发布的业务流程策略和业务流程服务模板，生成业务流程任务；所述安全控制器包括设备管理模块、资源调度模块和服务链模块，所述安全控制器用于接收编排引擎的资源调用请求，并从资源池中选择目标设备，通过所述资源调度模块执行网络安全保护任务；所述虚拟安全设备管理平台用于提供安全服务运行所需的计算、存储和网络资源。

3.根据权利要求2所述的安全网络架构，其特征在于，所述服务链模块与SDN控制平台接口连接。

4.根据权利要求2所述的安全网络架构，其特征在于，所述应用商店层的架构包括Web层，Rest服务平台，数据层和Docker层；

其中，所述Docker层用作底层操作环境，所述数据层实现数据持久性并保存已发布的编排策略信息，所述Rest服务平台用于实现业务逻辑的封装并以Rest和/或APP的形式开放，所述Web层用于提供用户界面。

5.根据权利要求2所述的安全网络架构，其特征在于，所述资源池由多个服务器节点构成，所述资源池的网络结构包括网络出口层、核心层、聚合层和网络访问层。

6.根据权利要求5所述的安全网络架构，其特征在于，与所述资源池连接的交换机上配置有虚拟局域网和虚拟转发路径。

7.根据权利要求2所述的安全网络架构，其特征在于，所述编排引擎包括REST应用程序接口模块、编排业务模块、数据库模块和安全服务驱动程序模块。

8.根据权利要求7所述的安全网络架构，其特征在于，所述编排业务模块包括业务流程策略分析子模块、安全设备模型和编排服务模板，其中，所述安全设备模型是所述编排引擎对每一种安全设备的抽象，所述编排服务模板定义应用程序之间的输入和输出的映射关系。

9.根据权利要求2所述的安全网络架构，其特征在于，所述虚拟安全设备管理平台的拓扑结构中包括分别连接到虚拟安全设备的管理端口、数据流入端口和数据流出端口的三个OVS网桥和连接到外部网络的网桥。

10.一种网络安全管理方法，通过权利要求1-9中任一所述的安全网络架构实施，其特征在于，所述方法包括：

获取用户资产信息并根据所述资产信息向用户推荐安全编排方案；

根据用户对所述安全编排方案的选择与设置确定相应的编排策略；

分析并执行所述编排策略，以保护网络安全。