本申請涉及網絡技術，特別涉及一種安全服務交付方法及系統(tǒng)。

背景技術：

隨著云計算技術的發(fā)展，用戶可以使用云中的網絡安全資源處理自己的業(yè)務流量，不同的租戶共享云計算的基礎設施(例如，服務器、網關等設備)；同時，由于不同租戶的業(yè)務應用對于安全防護有不同的需求，導致租戶在選擇定義云安全服務時也存在個性化差異，例如，有的租戶應用需要使用防火墻，有的租戶應用需要使用負載均衡等，此時需要一套科學的流程和方法來定義這種安全即服務的自動化交付模型。

技術實現要素：

本申請?zhí)峁┮环N安全服務交付方法及系統(tǒng)，以實現安全服務的自動化部署。

具體地，本申請是通過如下技術方案實現的：

第一方面，提供一種安全服務交付系統(tǒng)，包括：安全云服務模塊，安全控制中心模塊和設備配置模塊；

所述安全云服務模塊，用于接收對目標流量提供安全服務的服務請求，所述服務請求攜帶安全服務信息，并將所述安全服務信息發(fā)送至所述安全控制中心模塊；

所述安全控制中心模塊，用于根據所述安全服務信息確定為所述目標流量提供安全服務的安全設備，并分別確定所述安全設備中的各安全設備的第一服務配置信息及下一跳信息，將所述各安全設備的第一服務配置信息及下一跳信 息發(fā)送至所述設備配置模塊；

所述設備配置模塊，用于將所述各安全設備的第一服務配置信息及下一跳信息分別配置到對應的安全設備，以使所述各安全設備根據自身配置的第一服務配置信息為所述目標流量提供安全服務，根據自身配置的下一跳信息轉發(fā)所述目標流量。

第二方面，提供一種安全服務交付方法，包括：

接收對目標流量提供安全服務的服務請求，所述服務請求攜帶安全服務信息；

根據所述安全服務信息，確定為所述目標流量提供安全服務的安全設備，并分別確定所述安全設備中的各安全設備的第一服務配置信息及下一跳信息；

將所述各安全設備的第一服務配置信息及下一跳信息分別配置到對應的安全設備，以使得所述各安全設備根據自身配置的第一服務配置信息為所述目標流量提供安全服務，根據自身配置的下一跳信息轉發(fā)所述目標流量。

本申請實施例的安全服務交付方法及系統(tǒng)，通過由安全控制中心模塊根據安全云服務模塊接收的安全服務信息生成安全設備的配置信息，并通過設備配置模塊將該配置信息下發(fā)到安全設備，使得定制安全服務的用戶只需要在安全云服務模塊定義自己所需的服務即可，該安全服務交付系統(tǒng)就能夠實現用戶定制的安全服務的交付，從而實現了安全服務的自動化部署。

附圖說明

圖1是一個例子中安全服務交付系統(tǒng)的架構圖；

圖2是一個例子中安全云服務模塊的顯示界面示意圖；

圖3是另一個例子中安全服務交付系統(tǒng)的架構圖；

圖4是一個例子中安全服務交付方法的流程圖。

具體實施方式

本申請實施例提供了一種安全服務交付系統(tǒng)，該系統(tǒng)將“安全”作為一 種服務提供給用戶，是一種安全即服務(security-as-a-service，SaaS)的提供系統(tǒng)，用戶在通過該系統(tǒng)為自己的業(yè)務應用流量定制安全服務時，只需要定義安全服務的服務類型、服務的帶寬資源保障以及個性化的安全防護策略等安全服務信息，而不必關心提供該安全服務的設備部署。

圖1示例了該安全服務交付系統(tǒng)的架構圖，如圖1所示，該系統(tǒng)可以包括：安全云服務模塊11、安全控制中心模塊12和設備配置模塊13。而為本實施例的安全服務交付系統(tǒng)提供底層物理支撐的是安全設備14，圖1所示的安全設備14可以包括多種類型和多個數量的設備，這些設備能夠提供安全功能，例如，網關、轉發(fā)器、智能終端等，比如，可以在網關上進行安全配置使其具有安全功能。本實施例所述的安全設備可以是物理設備，也可以是虛擬設備(例如，虛擬機)；各個設備也可以分散部署在不同的位置。如圖1所示，這些設備的配置可以由設備配置模塊13統(tǒng)一管理，配置過程后續(xù)實施例將描述；可以將設備配置模塊13及安全設備14統(tǒng)稱為“安全資源池”。

其中，安全云服務模塊11，用于接收對目標流量提供安全服務的服務請求，該服務請求包括：安全服務信息，并將該安全服務信息傳輸至安全控制中心模塊12；

例如，安全云服務模塊11相當于安全服務交付系統(tǒng)的門戶，用戶可以在該門戶上定制自己所需要的安全服務的類型、策略等信息。參見圖2的示例，例如，用戶可以在終端設備(比如，電腦)上輸入一個預定的站點地址www.cloudsecurity.com，進入到安全云服務模塊11。圖2僅是示例了該安全云服務模塊可以顯示的一部分內容，具體實施中的界面顯示方式和內容可以自定義設定。例如，以三種類型的安全服務為例，界面中可以顯示防火墻模塊FW(Fire Wall)、負載均衡模塊LB(Load Balancing)、以及入侵防御IPS(Intrusion Prevention System)，供用戶選擇。例如，云計算的租戶在申請公有云服務時，如果需要增加安全服務，則可以通過該安全云服務模塊11對目標流量定制所需的云安全服務的安全服務信息。

在一個例子中，安全服務作為一種增值服務，用戶可以靈活選擇目標流 量的范圍，例如，用戶可以對自己的全部業(yè)務流量都定制該安全服務；或者，用戶也可以針對自己的某部分業(yè)務流量申請云安全服務。

在另一個例子中，用戶所定制的安全服務的安全服務信息，例如可以包括：安全服務的類型。比如，用戶可以通過圖2所示的站點界面，選擇FW服務，或者選擇“FW和LB”服務，或者選擇“IPS”服務，等，用戶可以自由選擇需要的安全服務的類型。又例如，對于某一類型的安全服務，用戶還可以進一步細化該安全服務的服務策略。仍以防火墻服務為例，假設用戶選擇了FW服務，參見圖2，當用戶點擊該服務模塊時，界面中可以進一步顯示該模塊對應的內容，比如，該安全服務交付系統(tǒng)可以為FW服務提供三種可供用戶選擇的選項，包括：1G(吞吐量)/10萬(并發(fā)量)/30條(策略數量)；2G/50萬/60條；10G吞吐/100萬并發(fā)會話/100條安全策略。例如，用戶選擇了第三項即10G/100萬/100條，則界面將進一步顯示出供用戶自定義策略的部分，該部分可以用于對上述“第三項策略”進行自定義，比如，用戶可以設定防火墻對地址段(IP1-IP2)的報文拒絕通過，另一個地址段(IP3-IP4)的報文允許通過。此外，該FW模塊還可以顯示一些服務的資費信息，比如10G/100萬/100條的服務如何收費。

在又一個例子中，用戶所定制的安全服務的安全服務信息，可以包括：至少兩個安全服務類型、各安全服務類型對應的服務策略以及該至少兩個安全服務類型對應的服務順序。例如，用戶可以申請“FW和LB”服務，或者“FW、LB和IPS”服務，以用戶同時申請上述三種安全服務為例，除了上面描述中提到的各安全服務的具體內容之外，用戶還可以指定對目標流量執(zhí)行各安全服務類型的服務順序，比如先對目標流量進行FW，再執(zhí)行LB，最后執(zhí)行IPS；或者，先對目標流量執(zhí)行LB，再執(zhí)行FW，然后執(zhí)行IPS。即用戶可以自定義目標流量享受各個安全服務的順序。

具體實施中，安全云服務模塊11接收的安全服務的安全服務信息，不局限于上述提及到的內容，可以根據實際提供的安全服務的類型靈活設定。在安全云服務模塊11接收服務信息之后，可以將該服務信息傳輸至安全控制中 心模塊12，例如，可以通過Restful消息傳輸服務信息。

安全控制中心模塊12，用于根據安全服務信息，確定為目標流量提供安全服務的安全設備，并分別確定為目標流量提供安全服務的各安全設備的第一服務配置信息及下一跳信息；安全控制中心模塊12還將確定的為目標流量提供安全服務的各安全設備的第一服務配置信息及下一跳信息發(fā)送至設備配置模塊13。

安全控制中心模塊12相當于本實施例的安全服務交付系統(tǒng)的核心管理模塊，其可以為用戶在安全云服務模塊11定制的安全服務，分配安全設備，確定各分配的安全設備的第一服務配置信息，并設計對應的流量轉發(fā)路徑。

需要說明的是，由于業(yè)務流量都會經過組網中的匯聚設備或核心設備，因此可在目標流量到達匯聚設備或核心設備時，將目標流量引流至安全設備。相應的，安全控制中心模塊12還需要確定匯聚設備或核心設備的下一跳信息，該下一跳信息用于指示目標流量的下一跳為第一個需要經過的安全設備。另外，在目標流量經過最后一個安全設備后，可以返回匯聚設備或核心設備，也可以返回目標流量原有路徑上的下一跳設備，因此安全控制中心模塊12確定目標流量經過的最后一個安全設備的下一跳信息用于指示目標流量的下一跳為匯聚設備或核心設備或目標流量原有路徑上的下一跳設備。

例如，用戶要求10G吞吐/100萬并發(fā)會話/100條安全策略的FW服務，100M/10萬并發(fā)的IPS服務，1G吞吐/50個VIP虛服務的LB服務，未指定服務順序，那么安全控制中心模塊12在接收到對應于上述要求的安全服務信息后，查看哪些安全設備具有提供該用戶要求的服務的能力。

假設安全控制中心模塊12確定設備A可提供100M/10萬并發(fā)的IPS服務，設備B可提供10G吞吐/100萬并發(fā)會話/100條安全策略的FW服務，設備C提供1G吞吐/50個VIP虛服務的LB服務，則確定目標流量要流經的設備包括：設備A、設備B和設備C。由于用戶未指定服務順序，因此安全控制中心模塊12可以任意確定服務順序，或根據預設的規(guī)則確定服務順序。假定安全設備只是目標流量的流量路徑中的其中一部分設備，比如目標流量的 整體的流量路徑為“設備F——設備D——設備C——設備A——設備B——設備G——設備W”，在這個路徑中，設備A、設備B和設備C為安全資源池中的安全設備，其他設備為非安全設備，其中，設備D為匯聚設備或核心設備。為了將目標流量引導至設備C，安全控制中心模塊12可以確定路徑上位于設備C的前一個設備(即設備D)的下一跳信息用于指示目標流量的下一跳為設備C；設備C的下一跳信息指示目標流量的下一跳為設備A；設備C的第一服務配置信息包括：LB相關的配置信息；設備A的下一跳信息用于指示目標流量的下一跳為設備B；設備A的第一服務配置信息包括：IPS相關的配置信息；設備B的下一跳信息用于指示目標流量的下一跳為設備G或設備D；設備A的第一服務配置信息包括：IPS相關的配置信息。即在下一跳信息和第一服務配置信息配置到各安全設備上之后，就可以引導用戶的目標流量依次流經安全資源池中的各個安全設備，享受到安全設備提供的安全服務。各個安全設備例如可以通過隧道技術將目標流量引導至下一跳設備。

在另一例子中，安全控制中心模塊12在確定目標流量的流量路徑時，還可以結合考慮安全云服務模塊11接收到的多種安全服務的提供順序，設定符合該提供順序限定的流量路徑。比如，當安全云服務模塊11接收到的安全服務信息包括：至少兩個安全服務類型、各安全服務類型對應的服務策略以及至少兩個安全服務類型對應的服務順序時，安全控制中心模塊12可以按照如下方式進行：首先可以根據至少兩個安全服務類型、各安全服務類型對應的服務策略確定為目標流量提供安全服務的安全設備以及各安全設備的第一服務配置信息，比如確定在設備A提供IPS，在設備B提供FW，在設備C提供LB；接著，根據服務順序以及上述確定的各安全設備的第一服務配置信息確定各安全設備的下一跳信息，假設用戶指定的服務順序是“FW——IPS——LB”，并結合上述確定的“在設備A提供IPS，在設備B提供FW，在設備C提供LB”，則可以確定流量路徑為“目標流量先經過設備B，再經過設備A，最后流經設備C”，即設備B的下一跳信息用于指示目標流量的下一跳是設備A，設備A的下一跳信息用于指示目標流量的下一跳是設備C。 此外，用于引導目標流量至安全設備的匯聚設備或核心設備的下一跳信息及路徑上最后一個安全設備(即設備A)的下一跳信息的確定過程，可以參見上面例子。

此外，由于安全云服務模塊11接收到的安全服務信息，可能是文本字符串或XML格式的信息，比如圖2中界面示例的信息樣式，這些信息不能直接配置到安全設備上，安全設備通常會具有自己的服務配置標準接口。因此，安全控制中心模塊12還用于根據安全服務信息進行格式轉換，轉換成用于配置安全設備提供安全服務的第一服務配置信息。例如，假設安全控制中心模塊12接收到的服務信息中包括：FW服務要配置的其中一條策略，IP1-IP2的報文拒絕，則可以將該信息轉換成安全設備適用的標準配置格式，例如Set Rule＝f(IP1,IP2,deny)，這里僅是舉例，具體的格式轉換根據不同設備的規(guī)范執(zhí)行。

安全控制中心模塊12可以將確定的各個安全設備的第一服務配置信息和下一跳信息，通過Netconf消息的格式，傳輸至設備配置模塊13。安全控制中心模塊12可以將確定的匯聚設備或核心設備的下一跳信息，通過Netconf消息的格式，傳輸至設備配置模塊13。

設備配置模塊13用于將各安全設備的第一服務配置信息和下一跳信息分別配置到對應的安全設備上，以使得安全設備根據第一服務配置信息為目標流量提供安全服務，并根據下一跳信息進行目標流量引導。例如，設備配置模塊13可以通過XML消息的格式下發(fā)到設備。

設備配置模塊13還用于核心設備的下一跳信息配置到核心設備，以使核心設備根據核心設備的下一跳信息將目標流量發(fā)送至確定的安全設備；或者，將匯聚設備的下一跳信息配置到匯聚設備，以使匯聚設備根據匯聚設備的下一跳信息將目標流量發(fā)送至確定的安全設備。

在一個例子中，本實施例的安全服務交付系統(tǒng)還可以包括：安全云中心模塊；參見圖3的示例，系統(tǒng)還包括安全云中心模塊15。安全設備在對目標流量提供安全服務時，可能會獲得一部分未知流量，例如，安全設備通常是 按照一些預定的規(guī)則來對報文進行處理，比如匹配某規(guī)則的報文允許通過，該規(guī)則即上述的以第一服務配置信息的方式下發(fā)到設備上，當安全設備找不到與報文匹配的規(guī)則時，該報文就屬于未知流量，安全設備可以將該未知流量上送到安全云中心模塊15，進行安全分析。

安全云中心模塊15，可以對未知流量進行安全分析，例如可以依據安全云中心模塊從云中的各個設備獲取到的大數據(安全分析相關的數據，從中發(fā)現潛在的安全風險)，分析該流量是否安全。如果該流量的分析結果具有漏洞利用風險，則可以根據分析結果更新特征庫，該特征庫中例如包括IPS服務所依據的特征(匹配特定特征的報文進行對應的處理)，以使得提供IPS的安全設備根據該更新的特征庫為目標流量提供安全服務。例如，安全云中心模塊15可以將特征庫的更新特征下發(fā)至安全設備，或者安全設備去安全云中心模塊15獲取。

在另一個例子中，安全云中心模塊15對安全設備上報的未知流量分析后，可能會發(fā)現該流量存在高危安全風險，可能會導致嚴重的安全問題，如圖4所示，則安全云中心模塊15可以提取高風險流量的關鍵信息如IP地址來源等并生成安全策略(例如，該高風險流量的源IP段的報文不允許通過)，并將該安全策略傳輸至安全控制中心模塊12，由安全控制中心模塊12將其下發(fā)到安全設備。

安全云中心模塊15生成的安全策略，是經過大數據分析之后發(fā)現的安全風險，這些安全風險轉化的安全策略，這些策略可以與安全云服務模塊11接收的用戶自定義的策略一起保護目標流量。此外，由于這是安全云中心模塊15生成的全局風險策略，因此可以配置到所有的安全設備上(當然，各個安全設備也可以選擇是否接收，如果安全設備選擇不接受，那么安全云中心模塊14可以不用下發(fā)到該設備)，配置的方式同第一服務配置信息，這里可以是將安全策略轉換成第二服務配置信息，再由設備配置模塊13下發(fā)到安全設備。用戶也可以選擇不接受上述的安全云中心模塊15生成的安全策略，比如可以通過安全云服務模塊11指示，則安全控制中心模塊12就不會將安全 云中心模塊15生成的安全策略轉換成第二服務配置信息發(fā)送到設備配置模塊13。

本實施例的安全服務交付系統(tǒng)，實現了“安全”服務由申請到配置的自動化流程，只要用戶在門戶的安全云服務模塊定制了自己所需的安全服務，該系統(tǒng)就可以自動根據服務信息配置到安全設備上，從而引導用戶指定的要求提供安全服務的目標流量流經安全資源池中的各個安全設備。這種方式提高了安全服務的交付效率，相對于運維人員根據服務信息分別配置各個安全設備，大大減少了運維人員的工作量。此外，本實施例的安全服務交付系統(tǒng)的架構具有較好的開放性，例如，不同廠商的安全設備只要符合標準協(xié)議就可以納入安全資源池，該系統(tǒng)也可以靈活增加多種類型的安全服務，并展示給用戶供用戶選擇。

圖4示例了本申請實施例的安全服務交付系統(tǒng)執(zhí)行的服務提供方法，如圖4所示，可以包括：

401、接收對于目標流量提供安全服務的服務請求，所述服務請求攜帶安全服務信息；

402、根據所述安全服務信息，確定為所述目標流量提供安全服務的安全設備，并分別確定所述安全設備中的各安全設備的第一服務配置信息及下一跳信息；

403、將所述各安全設備的第一服務配置信息及下一跳信息分別配置到對應的安全設備，以使得所述各安全設備根據自身配置的第一服務配置信息為所述目標流量提供安全服務，根據自身配置的下一跳信息轉發(fā)所述目標流量。

該方法的詳細流程可以參見上述的實施例，通過該服務提供方法可以實現安全服務的自動交付。

以上所述僅為本申請的較佳實施例而已，并不用以限制本申請，凡在本申請的精神和原則之內，所做的任何修改、等同替換、改進等，均應包含在本申請保護的范圍之內。