[发明专利]服务链部署方法、装置、安全池网关及安全编排器

权利要求书

1.一种服务链部署方法，其特征在于，所述方法包括：

安全池网关接收来自安全编排器的服务链部署消息；所述服务链部署消息用于指示所述安全池网关部署安全池服务链；所述安全池服务链由所述安全编排器根据目标设备的设备信息配置；所述目标设备的设备信息包括设备标识、业务标识以及源地址中的至少一项；所述安全池服务链的首节点和尾节点均为安全池网关；所述安全池服务链用于进行业务流量传输；

所述安全池网关响应于所述服务链部署消息部署所述安全池服务链。

2.根据权利要求1所述的方法，其特征在于，所述安全池服务链还包括安全代理节点；所述安全代理节点用于对接收到的业务流量进行安全检测。

3.根据权利要求1或2所述的方法，其特征在于，所述服务链部署消息包括第一路径信息以及第二路径信息；所述第一路径信息用于指示转发从所述目标设备到网络侧设备的业务流量的节点路径；所述第二路径信息用于指示转发从网络侧设备到所述目标设备的业务流量的节点路径。

4.根据权利要求3所述的方法，其特征在于，所述安全池网关响应于所述服务链部署消息部署安全池服务链，包括：

所述安全池网关根据所述第一路径信息生成第一入链表项以及第一出链表项；所述第一入链表项包括入链表项标识和目的地址匹配值；所述第一出链表项包括出链表项标识和业务标识；

所述安全池网关根据所述第二路径信息生成第二入链表项以及第二出链表项；所述第二入链表项包括入链表项标识和源地址匹配值；所述第二出链表项包括出链表项标识和载荷匹配类型。

5.根据权利要求4所述的方法，其特征在于，所述方法还包括：

当接收到从所述目标设备到所述网络侧设备的第一业务流量时，所述安全池网关检测所述第一业务流量的目的地址是否为所述第一入链表项中的目的地址匹配值；

在所述第一业务流量的目的地址为所述第一入链表项中的目的地址匹配值的情况下，所述安全池网关根据所述第一路径信息将所述第一业务流量转发至下一个节点；

所述安全池网关根据所述第一出链表项中的业务标识向所述网络侧设备转发所述第一业务流量。

6.根据权利要求4所述的方法，其特征在于，所述方法还包括：

当接收到从所述网络侧设备到所述目标设备的第二业务流量时，所述安全池网关检测所述第二业务流量的源地址是否为所述第二入链表项中的源地址匹配值；

在所述第二业务流量的源地址为所述第二入链表项中的源地址匹配值的情况下，所述安全池网关根据所述第二路径信息将所述第二业务流量转发至下一个节点；

所述安全池网关根据所述第二出链表项中载荷匹配类型匹配的目的地址向所述目标设备转发所述第二业务流量。

7.一种服务链部署方法，其特征在于，所述方法包括：

安全编排器获取目标设备的设备信息；所述目标设备的设备信息包括设备标识、业务标识以及源地址中的至少一项；

所述安全编排器根据所述目标设备的设备信息配置安全池服务链；所述安全池服务链的首节点和尾节点均为安全池网关；所述安全池服务链用于进行业务流量传输；

所述安全编排器向所述安全池网关发送服务链部署消息；所述服务链部署消息用于指示所述安全池网关部署所述安全池服务链；

所述安全编排器指示所述目标设备通过所述安全池服务链进行业务流量传输。

8.根据权利要求7所述的方法，其特征在于，所述安全池服务链还包括安全代理节点；所述安全代理节点用于对接收到的业务流量进行安全检测。

9.根据权利要求7或8所述的方法，其特征在于，所述服务链部署消息包括第一路径信息以及第二路径信息；所述第一路径信息用于指示转发从所述目标设备到网络侧设备的业务流量的节点路径；所述第二路径信息用于指示转发从网络侧设备到所述目标设备的业务流量的节点路径。