业务流量的编排方法、装置、应用交付设备及介质制造方法及图纸

本发明专利技术公开了业务流量的编排方法、装置、应用交付设备及介质，方法包括：接收来自终端设备的业务流量；当确定需要对业务流量进行安全防护时，根据业务流量生成安全服务链；安全服务链用于指示业务流量按照预设的顺序经过一个或多个目标安全资源池，每个目标安全资源池包括具有相同的安全功能的至少一个安全功能组件；将业务流量引到安全服务链对应的目标安全资源池进行处理；通过上述方式，业务流量每经过一个目标安全资源池进行处理后会流回到应用交付设备，再由应用交付设备将其转发至下一个节点的安全资源池，改变了现有的安全功能组件串行模式，能够为不同的业务流量配置不同的安全服务链，灵活性较强，避免安全功能组件消耗不必要的性能。件消耗不必要的性能。件消耗不必要的性能。

【技术实现步骤摘要】
业务流量的编排方法、装置、应用交付设备及介质


[0001]本专利技术涉及网络安全
，尤其涉及一种业务流量的编排方法、装置、应用交付设备及介质。

技术介绍

[0002]用户侧的终端设备发送的业务流量在被应用服务器接收之前，需要经过安全功能组件的处理，其中，安全功能组件的功能可以包括防火墙、VPN、负载均衡、广域网加速、上网行为控制、堡垒机以及入侵检测/防御等。现有技术中，不同安全功能的安全功能组件被串联部署，请参阅图1所示，在图示安全架构中，不同类型的业务流量均需要依次经过所有的安全功能组件，灵活性较差，导致安全功能组件消耗了不必要的性能，带来资源浪费。另外，当其中一个安全功能组件出现故障时，需要进行更换，影响业务流量的处理。

技术实现思路

[0003]本专利技术的目的在于提供一种业务流量的编排方法、装置、应用交付设备及介质，以解决现有技术中无法针对不同的业务流量提供不同的安全服务链的技术问题。
[0004]本专利技术的技术方案如下：提供一种业务流量的编排方法，包括：
[0005]接收来自终端设备的业务流量；
[0006]当确定需要对所述业务流量进行安全防护时，根据所述业务流量生成对应的安全服务链；所述安全服务链用于指示所述业务流量按照预设的顺序经过一个或多个不同的目标安全资源池，每个所述目标安全资源池包括具有相同的安全功能的至少一个安全功能组件；所述一个或多个不同的目标安全资源池为全部安全资源池中的至少一部分；
[0007]将所述业务流量引到所述安全服务链对应的目标安全资源池进行处理。
[0008]本专利技术的另一技术方案如下：提供一种业务流量的编排装置，包括：
[0009]接收模块，用于接收来自终端设备的业务流量；
[0010]生成模块，用于当确定需要对所述业务流量进行安全防护时，根据所述业务流量生成对应的安全服务链；所述安全服务链用于指示所述业务流量按照预设的顺序经过一个或多个不同的目标安全资源池，每个所述目标安全资源池包括具有相同的安全功能的至少一个安全功能组件；所述一个或多个不同的目标安全资源池为全部安全资源池中的至少一部分；
[0011]编排模块，用于将所述业务流量引到所述安全服务链对应的目标安全资源池进行处理。
[0012]本专利技术的另一技术方案如下：提供一种应用交付设备，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述业务流量的编排方法的步骤。
[0013]本专利技术的另一技术方案如下：提供一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现上述业务流量的编排方法
的步骤。
[0014]本专利技术的业务流量的编排方法、装置、应用交付设备及介质，接收来自终端设备的业务流量；当确定需要对所述业务流量进行安全防护时，根据所述业务流量生成对应的安全服务链；所述安全服务链用于指示所述业务流量按照预设的顺序经过一个或多个不同的目标安全资源池，每个所述安全资源池包括具有相同的安全功能的至少一个安全功能组件；所述一个或多个的目标安全资源池为全部安全资源池中的至少一部分；将所述业务流量引到所述安全服务链对应的目标安全资源池进行处理；通过上述方式，业务流量每经过一个安全资源池进行处理后会流回到应用交付设备，再由应用交付设备将其转发至下一个节点的安全资源池，改变了现有的安全功能组件串行模式，能够为不同的业务流量配置不同的安全服务链，灵活性较强，避免安全功能组件消耗不必要的性能。
附图说明
[0015]图1为现有技术中流量编排的原理示意图；
[0016]图2为本专利技术的业务流量的编排方法的应用环境图；
[0017]图3为本专利技术第一实施例的业务流量的编排方法的流程示意图；
[0018]图4为本专利技术第二实施例的业务流量的编排方法的流程示意图；
[0019]图5为本专利技术第二实施例的业务流量的编排方法的应用示例图；
[0020]图6为本专利技术第三实施例的业务流量的编排装置的结构示意图；
[0021]图7为本专利技术第四实施例的应用交付设备的结构示意图；
[0022]图8为本专利技术第五实施例的计算机可读存储介质的结构示意图。
具体实施方式
[0023]下面结合附图和实施方式对本专利技术作进一步说明。
[0024]本专利技术提供的业务流量的编排方法可以应用在如图2所示的应用环境的应用交付设备中，本专利技术中一个应用交付设备可以对应一个服务端设备，也可以对应多个服务端设备，其中，该应用交付设备分别与该终端设备和该服务端设备通过网络进行通信。其中，该终端设备可以但不限于各种个人计算机、笔记本电脑、智能手机、平板电脑和便携式可穿戴设备。该应用交付设备可以用独立的服务器或者是多个服务器组成的服务器集群来实现，该服务端设备也可以用独立的应用服务器或者是多个应用服务器组成的应用服务器集群来实现。上述的网络可以是外网或内网。
[0025]该应用交付设备同时与多个安全资源池进行通信，与现有技术中将各安全资源池按照一定的顺序串接于终端设备与服务端设备之间的网络中不同，在本专利技术中各安全资源池采用旁路部署(又称为旁挂)的方式，安全资源池没有直接设于终端设备与服务端设备之间的网络中，多个安全资源池通过旁路部署的方式接入终端设备与服务端设备之间的网络，在图2所示的可选应用场景中，该应用交付设备设于终端设备与服务端设备之间，各安全资源池通过与应用交付设备之间建立传输链路的方式接入终端设备与服务端设备之间的网络。不同的安全资源池对应不同的安全功能，每个安全资源池包括具有相同的安全功能的至少一个安全功能组件，安全资源池是对一种安全能力的抽象，每一个安全设备资源池都代表一种安全能力，可以将多个具有相同安全功能的安全功能组件统一纳管起来，安
全资源池中的安全功能组件可以为物理的安全功能组件或虚拟的安全功能组件。例如，将具有FW(Firewall，防火墙)功能的安全功能组件形成FW安全资源池；将具有WAF(Web Application Firewall，Web应用防护系统)功能的安全功能组件形成WAF安全资源池，其中，WAF为通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的系统；将具有IPS(Intrusion Prevention System，入侵防御系统)功能的安全功能组件形成IPS安全资源池，其中，IPS是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备，能够及时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。
[0026]应用交付设备，又称为AD(Application Delivery)设备或负载均衡设备，其解决方案可以是对应用数据进行端到端的分析、调度、保护、加密和优化。
[0027]图3是本专利技术一实施例的业务流量的编排方法的流程示意图。需注意的是，若有实质上相同的结果，本专利技术的方法并不以图3所示的流程顺序为限。本实施例以该方法应用本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种业务流量的编排方法，其特征在于，包括：接收来自终端设备的业务流量；当确定需要对所述业务流量进行安全防护时，根据所述业务流量生成对应的安全服务链；所述安全服务链用于指示所述业务流量按照预设的顺序经过一个或多个不同的目标安全资源池，每个所述目标安全资源池包括具有相同的安全功能的至少一个安全功能组件；所述一个或多个不同的目标安全资源池为全部安全资源池中的至少一部分；将所述业务流量引到所述安全服务链对应的目标安全资源池进行处理。2.根据权利要求1所述的业务流量的编排方法，其特征在于，所述当需要对所述业务流量进行安全防护时，根据所述业务流量生成对应的安全服务链之前，还包括：基于预设的服务链匹配策略确定是否需要对所述业务流量进行安全防护，所述服务链匹配策略包括业务流量的请求特征与安全资源池之间的匹配关系。3.根据权利要求1所述的业务流量的编排方法，其特征在于，所述全部安全资源池以旁路部署的方式接入网络。4.根据权利要求1所述的业务流量的编排方法，其特征在于，所述将所述业务流量引到所述安全服务链对应的目标安全资源池进行处理，包括：通过对应的传输链路将所述业务流量发送到所述目标安全资源池；所述目标安全资源池用于选择其纳管的至少一个安全组件对所述业务流量进行处理；通过所述传输链路接收经过所述目标安全资源池处理的业务流量。5.根据权利要求4所述的业务流量的编排方法，其特征在于，所述通过所述传输链路接收经过所述目标安全资源池处理的业务流量之后，还包括：将经过所述安全服务链中全部所述目标安全资源池处理的业务流量发送至服务端设备。6.根据权利要求4所述的业务流量的编排方法，其特征在于，所述接收来自终端设备的业务流量，包括：通过预设的用户链路接收终端设备发送的业务流量；相应地，所述通过对应的传输链路将所述业务流量发送到所述目标安全资源池，包括：根据所述安全服务链以及接收链路确定所述业务流量的当前节点的目标安全资源池，所述接收链路为所述用户链路或所述传输链路；将所述业务流量发送至所述当前节点的目标安全资源池，以使所述当前节点的目标安全资源池对所述业务流量进行处理。7.根据权利要求6所述的业务流量的编排方法，其特征在于，所述通过预设的用户链路接收终端设备发送的业务流量，包括：通过预设的用户链路接收终端设备发送的具有新连接信息的业务流量时，建立与所述业务流量关联的会话，根据所述新连接信息以及所述用户链路的链路信息对所述会话进行标记；相应地，所述根据所述业务流量生成对应的安全服务链，包括：根据所述新连接信息生成对应的安全服务链，根据所述安全服务链对所述会话进行标记；相应地，所述通过所述传输链路接收经过所述目标安全资源池处理的业务流量之后，
还包括：当确定与所述业务流量关联的所述会话不具有与所述传输链路匹配的子会话时，建立所述会话的子会话，根据所述传输链路的链路信息对所述子会话进行标记。8.根据权利要求7所述的业务流量的编排方法，其特征在于，所述根据所述安全服务链以及接收链路确定所述业务流量的当前节点的目标安全资源池之后，还包括：根据所述当前节点的目标安全资源池的设备信息对所述业务流量的当前会话进行标记，所述当前会话为与所述业务流量的连接信息以及所述接收链路匹配的所述会话或所述子会话。9.根据权利要求8所述的业务流量的编排方法，其特征在于，所述方法还包括：通过预设的用户链路接收终端设备发送的业务流量，根据所述业务流量的...

【专利技术属性】
技术研发人员：杨皓，
申请(专利权)人：深信服科技股份有限公司，
类型：发明
国别省市：