一种安全网元的处理方法、装置及介质制造方法及图纸

本发明专利技术公开了一种安全网元的处理方法、装置及介质，适用于计算机技术领域。利用南北向流量数据经过路由器的特点，将对应的报文数据进行解析得到地址数据，在地址数据满足策略路由的预设条件时，使用策略路由将南北向流量引入至确定好的安全服务链中，该安全服务链是通过地址数据与策略路由对应的安全网元地址数据和单双臂模式确定，经过安全服务链中的安全网元处理后转发至外部网络，或者由外部网络进入云平台的流量同样经过安全服务链汇总安全网元的处理，以提供自定义网元排列顺序，实现节省人工成本，降低安全网元的处理编排复杂性，同时提高数据的传输安全性。同时提高数据的传输安全性。同时提高数据的传输安全性。

【技术实现步骤摘要】
一种安全网元的处理方法、装置及介质


[0001]本专利技术涉及计算机
，特别是涉及一种安全网元的处理方法、装置及介质。

技术介绍

[0002]随着云计算技术的发展，越来越多的企业选择构建自己的云环境，作为内部办公平台的基础。云平台上运行的业务不仅连接外部网络，获取相关信息为内部用户提供服务，对于异地办公，云环境需要跨越广域网也需要云平台与外部网络进行通信，以上情况由于接入了互联网，各个局域网就面临着安全风险。
[0003]为了应对安全风险问题，现有的安全设备厂家为网络提供用于安全服务的物理硬件设备和软件安全设备，针对于物理硬件设备在应用于普通云环境运行任务较少且吞吐要求较低的场景时，采购成本和维护费用较高，反而不适用。针对于软件安全设备，虽节省了安全网元的使用成本，维护方式较为灵活，但是仍对专业技术人员的技能要求较高，需要对安全网元进行人工配置和管理，在面对较多的安全网元时，安全网元的编排较为复杂。
[0004]因此，寻求一种安全网元的编排方式以降低操作复杂度是本领域技术人员亟需要解决的。

技术实现思路

[0005]本专利技术的目的是提供一种安全网元的处理方法、装置及介质，提供自定义网元排列顺序，实现节省人工成本，降低安全网元的处理编排复杂性，同时提高数据的传输安全性。
[0006]为解决上述技术问题，本专利技术提供一种安全网元的处理方法，包括：
[0007]获取当前南北向流量数据对应的报文数据，其中所述当前南北向流量数据为虚拟机与外部网络之间传输的数据；
>[0008]将所述报文数据进行解析处理得到地址数据；
[0009]当所述地址数据满足策略路由的预设条件时，根据所述地址数据与所述策略路由对应的安全网元地址数据和单双臂模式确定安全服务链；
[0010]根据所述安全服务链将所述当前南北向流量数据传输至目标子网，其中所述目标子网为所述虚拟机或所述外部网络对应的子网。
[0011]优选地，所述策略路由的路由方式数量与所述安全网元的数量相同，且所述安全网元的数量至少为一个。
[0012]优选地，所述地址数据至少包括目的互联网协议地址、源互联网协议地址、目的媒体访问控制地址和源媒体访问控制地址，当所述当前南北向流量数据为北向流量数据、所述安全网元的数量为两个且所述两个安全网元均为所述单双臂模式的双臂模式时，所述预设条件包括第一预设条件和第二预设条件，所述第一预设条件为所述源互联网协议地址为第一子网互联网协议地址且所述目的媒体访问控制地址为所述第一子网所在的子网网关媒体访问控制地址，所述第二预设条件为所述源互联网协议地址为所述第一子网互联网协
议地址且所述目的媒体访问控制地址为第一安全子网所在的子网网关媒体访问控制地址，所述根据所述地址数据与所述策略路由对应的安全网元地址数据和单双臂模式确定安全服务链，包括：
[0013]获取所述第一子网对应的所述虚拟机的所述第一子网互联网协议地址与所述第一子网所在的子网网关媒体访问控制地址以及所述第一安全子网所在的子网网关媒体访问控制地址，其中所述安全网元地址数据包含所述第一安全子网和第二安全子网对应的地址数据；
[0014]判断所述源互联网协议地址与所述目的媒体访问控制地址是否分别为所述第一子网互联网协议地址和所述第一子网所在的子网网关媒体访问控制地址；
[0015]若是，确定满足所述第一预设条件；
[0016]将所述北向流量数据导入至第一安全子网以便于所述第一安全子网处理所述地址信息以得到第一地址信息，并将所述第一地址信息转入至所述路由器；
[0017]判断经过所述第一安全子网后的所述源互联网协议地址与所述目的媒体访问控制地址是否分别为所述第一子网互联网协议地址和所述第一安全子网所在的子网网关媒体访问控制地址；
[0018]若是，确定满足所述第二预设条件；
[0019]将所述北向流量数据导入至所述第二安全子网以便于所述第二安全子网处理所述第一地址信息以得到第二地址信息，并将所述第二地址信息转入至所述路由器；
[0020]根据所述北向流量数据导入所述第一子网、所述第一安全子网、所述第二安全子网和所述第二子网的导入顺序路径作为所述安全服务链。
[0021]优选地，当所述当前南向流量数据为南向流量数据时，所述预设条件包括第三预设条件和第四预设条件，所述第三预设条件为所述目的互联网协议地址为所述第一子网的目的互联网协议地址且所述目的媒体访问控制地址为所述第二子网所在的子网网关媒体访问控制地址，所述第四预设条件为所述目的互联网协议地址为所述第一子网目的互联网协议地址且所述目的媒体访问控制地址为所述第二安全子网所在的子网网关媒体访问控制地址，所述根据所述地址数据与所述策略路由对应的安全网元地址数据和单双臂模式确定安全服务链，包括：
[0022]获取所述第一子网的目的互联网协议地址、所述第二子网对应的所述外部网络所在的子网网关媒体访问控制地址和所述第二安全子网所在的子网网关媒体访问控制地址；
[0023]判断所述目的互联网协议地址与所述目的媒体访问控制地址是否分别为所述第一子网的目的互联网协议地址和所述第二子网所在的子网网关媒体访问控制地址；
[0024]若是，确定满足所述第三预设条件；
[0025]将所述南向流量数据导入至所述第二安全子网以便于所述第二安全子网处理所述地址信息以得到第三地址信息，并将所述第三地址信息转入至所述路由器；
[0026]判断经过所述第二安全子网后的所述目的互联网协议地址与所述目的媒体访问控制地址是否分别为所述第一子网的目的互联网协议地址和所述第二安全子网所在的子网网关媒体访问控制地址；
[0027]若是，确定满足所述第四预设条件；
[0028]将所述南向流量数据导入至所述第一安全子网以便于所述第一安全子网处理所
述第三地址信息以得到第四地址信息，并将所述第四地址信息转入至所述路由器；
[0029]根据所述南向流量数据导入所述第二子网、所述第二安全子网、所述第一安全子网和所述第一子网的导入顺序路径作为所述安全服务链。
[0030]优选地，所述当前南向流量数据为所述南向流量数据且所述两个安全网元中存在一个单臂模式，所述预设条件为所述目的互联网协议地址为所述第一子网的目的互联网协议地址且所述目的媒体访问控制地址为所述第二子网所在的子网网关媒体访问控制地址，所述根据所述地址数据与所述策略路由对应的安全网元地址数据和单双臂模式确定安全服务链，包括：
[0031]获取所述第一子网的目的互联网协议地址、所述第二子网对应的所述外部网络所在的子网网关媒体访问控制地址；
[0032]判断所述目的互联网协议地址与所述目的媒体访问控制地址是否分别为所述第一子网目的互联网协议地址和所述第二子网所在的子网网关媒体访问控制地址；
[0033]若是，确定满足所述预设条件；
[0034]将所述南向流量数据导入至除所述单臂模式对应的安全网元之外的其他安全网元对应的目标安全本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种安全网元的处理方法，其特征在于，包括：获取当前南北向流量数据对应的报文数据，其中所述当前南北向流量数据为虚拟机与外部网络之间传输的数据；将所述报文数据进行解析处理得到地址数据；当所述地址数据满足策略路由的预设条件时，根据所述地址数据与所述策略路由对应的安全网元地址数据和单双臂模式确定安全服务链；根据所述安全服务链将所述当前南北向流量数据传输至目标子网，其中所述目标子网为所述虚拟机或所述外部网络对应的子网。2.根据权利要求1所述的安全网元的处理方法，其特征在于，所述策略路由的路由方式数量与所述安全网元的数量相同，且所述安全网元的数量至少为一个。3.根据权利要求2所述的安全网元的处理方法，其特征在于，所述地址数据至少包括目的互联网协议地址、源互联网协议地址、目的媒体访问控制地址和源媒体访问控制地址，当所述当前南北向流量数据为北向流量数据、所述安全网元的数量为两个且所述两个安全网元均为所述单双臂模式的双臂模式时，所述预设条件包括第一预设条件和第二预设条件，所述第一预设条件为所述源互联网协议地址为第一子网互联网协议地址且所述目的媒体访问控制地址为所述第一子网所在的子网网关媒体访问控制地址，所述第二预设条件为所述源互联网协议地址为所述第一子网互联网协议地址且所述目的媒体访问控制地址为第一安全子网所在的子网网关媒体访问控制地址，所述根据所述地址数据与所述策略路由对应的安全网元地址数据和单双臂模式确定安全服务链，包括：获取所述第一子网对应的所述虚拟机的所述第一子网互联网协议地址与所述第一子网所在的子网网关媒体访问控制地址以及所述第一安全子网所在的子网网关媒体访问控制地址，其中所述安全网元地址数据包含所述第一安全子网和第二安全子网对应的地址数据；判断所述源互联网协议地址与所述目的媒体访问控制地址是否分别为所述第一子网互联网协议地址和所述第一子网所在的子网网关媒体访问控制地址；若是，确定满足所述第一预设条件；将所述北向流量数据导入至第一安全子网以便于所述第一安全子网处理所述地址信息以得到第一地址信息，并将所述第一地址信息转入至所述路由器；判断经过所述第一安全子网后的所述源互联网协议地址与所述目的媒体访问控制地址是否分别为所述第一子网互联网协议地址和所述第一安全子网所在的子网网关媒体访问控制地址；若是，确定满足所述第二预设条件；将所述北向流量数据导入至所述第二安全子网以便于所述第二安全子网处理所述第一地址信息以得到第二地址信息，并将所述第二地址信息转入至所述路由器；根据所述北向流量数据导入所述第一子网、所述第一安全子网、所述第二安全子网和所述第二子网的导入顺序路径作为所述安全服务链。4.根据权利要求3所述的安全网元的处理方法，其特征在于，当所述当前南向流量数据为南向流量数据时，所述预设条件包括第三预设条件和第四预设条件，所述第三预设条件为所述目的互联网协议地址为所述第一子网的目的互联网协议地址且所述目的媒体访问
控制地址为所述第二子网所在的子网网关媒体访问控制地址，所述第四预设条件为所述目的互联网协议地址为所述第一子网目的互联网协议地址且所述目的媒体访问控制地址为所述第二安全子网所在的子网网关媒体访问控制地址，所述根据所述地址数据与所述策略路由对应的安全网元地址数据和单双臂模式确定安全服务链，包括：获取所述第一子网的目的互联网协议地址、所述第二子网对应的所述外部网络所在的子网网关媒体访问控制地址和所述第二安全子网所在的子网网关媒体访问控制地址；判断所述目的互联网协议地址与所述目的媒体访问控制地...

【专利技术属性】
技术研发人员：马良义，秦海中，
申请(专利权)人：济南浪潮数据技术有限公司，
类型：发明
国别省市：