一种基于SRv6编排调度器的云化安全能力引流方法与流程

本发明涉及一种云化安全能力引流方法，特别是一种基于srv6编排调度器的云化安全能力引流方法。

背景技术：

1、在通信专业，网络与信息安全领域，随着5g、ai、云计算、物联网、工业互联网等新型网络和业务的建设，要求安全能力可以敏捷响应业务的快速变化、快速部署、弹性伸缩，能够按需自动化的统一编排和调度，从而快速形成纵深防御能力应对新型攻击。而传统安全能力分散建设，设备种类众多，厂家众多，上线和配置缓慢，无法快速实现统一管理和编排调度。

2、自2020年以来各安全厂家均在向云化安全能力转型，对于部署在资源池中的流量型云化安全能力(如fw、ips、waf等)，被防护资产使用时必须将业务流量引入到云资源池，安全清洗后再将流量送回承载网络。然而，如图1所示，现有技术对于云化安全能力的引流方案具有诸多缺陷，多采用对网络分段配置(mpls、gre、pbr、openflow等)拼接组合的方式，技术方案复杂，基于每条业务流，依次在各个业务节点上逐跳配置，故障点多，配置修改繁琐，开通效率低，很难满足业务的动态安全防护需求。

3、srv6技术发展已经较为成熟，开源的linux操作系统、开源的vrouter以及承载网络中较多路由设备均可有效支持srv6功能。linux操作系统代表着端侧能力，vrouter代表着云侧能力，物理路由设备代表着网侧能力。如何创新使用基于云/网/端三方面对srv6的友好支持性，使得流量型云化安全能力在云侧、网侧、端侧的统一编排调度成为一个全新的课题。

技术实现思路

1、发明目的：本发明所要解决的技术问题是针对现有技术的不足，提供一种基于srv6编排调度器的云化安全能力引流方法。

2、为了解决上述技术问题，本发明公开了一种基于srv6编排调度器的云化安全能力引流方法；

3、其中，所述的srv6编排调度器，包括：云网安一体化编排器、网络资产测绘器、sdn适配器、云管适配器和安管适配器；

4、其中，云网安一体化编排器，用于进行服务编排和资源编排，实现协同联动，所述的编排任务通过对应的sdn适配器、云管适配器和安管适配器下发；

5、网络资产测绘器，用于扫描目标网络内的ip/it资产，感知目标网络并映射网络拓扑图，根据网络拓扑图寻找距离待防护源端最近的srv6设备；

6、sdn适配器、云管适配器和安管适配器，用于分别对接目标网络内的sdn控制器、云管平台和安全平台的北向api开放接口，规范适配不同接口协议和不同系统平台，实现对网络、云资源池和安全原子能力的调度控制。

7、进一步的，所述方法使用srv6编排调度器进行云化安全能力引流，具体方法包括以下步骤：

8、步骤1，云网安一体化编排器下发测绘任务至网络资产测绘器，网络资产测绘器通过网络探针扫描目标网络资源，识别各类ip/it资产，并映射成网络拓扑，得到测绘结果；

9、步骤2，云网安一体化编排器根据测绘结果，设计网络配置任务、云资源池配置任务和安全原子能力配置任务，并将上述任务分别通过sdn适配器、云管适配器和安管适配器下发到sdn网络控制器即sdn控制器、云资源管理平台即云管平台和安全能力管理平台即安管平台；

10、步骤3，云网安一体化编排器通过与上述适配器的协同联动，建立全服务链的srv6隧道，完成一次端到端的业务安全防护；

11、步骤4，如有配置告警或报错提醒，sdn控制器、云管平台和安管平台通过各自对应的适配器上报到云网安一体化编排器，云网安一体化编排器修改配置模板，重新下发，并重复步骤2到步骤3，直至端到端的安全防护任务完全成功，完成所述的基于srv6编排调度器的云化安全能力引流。

12、进一步的，步骤1所述的扫描目标网络资源，识别各类ip/it资产，具体包括：

13、使用探测工具对目标网络资源进行扫描，所述探测工具至少包括：nmap工具、zmap工具和masscan工具；

14、所述的识别各类ip/it资产，即通过探测工具，探测发现目标网络中在网设备的ipv4/ipv6地址，获取并展示上述地址的端口、服务、协议类型、banner和操作系统名称，对该在网设备进行产品设备级的分析和识别，具体包括：ip属性、mac属性、是否支持并开启srv6功能和产品信息等数据。

15、进一步的，步骤1所述的映射成网络拓扑图，具体包括：

16、利用探测到的各类ip/it资产的配置文件、路由表和ip路径，推演网络的路由拓扑，并确定离待防护源端最近且满足预设条件的srv6节点。

17、进一步的，步骤2所述的网络配置任务通过sdn适配器下发到sdn网络控制器，具体包括：

18、网络配置任务通过sdn适配器下发到sdn控制器，sdn控制器通过预设的网络协议对整个承载网络进行智能化控制，在网络各节点进行流量调度。

19、进一步的，步骤2所述的云资源池配置任务通过云管适配器下发到云资源管理平台，具体包括：

20、云资源池配置任务通过云管适配器下发到云管平台，创建安全原子能力所需的虚拟机资源，同时创建支持srv6的vrouter虚拟机资源。

21、其中，云管适配器支持基于openstack架构的云管平台；安全原子能力，至少包括：fw、ips、waf。

22、进一步的，步骤2所述的安全原子能力配置任务通过安管适配器下发到安全能力管理平台，具体包括：

23、安全原子能力配置任务通过安管适配器下发到安管平台，根据安全防护任务的要求，配备相应的安全原子能力。

24、进一步的，步骤3所述的建立安全服务链的srv6隧道，具体包括：

25、根据网络测绘结果和拓扑，将离源端最近且最优的srv6节点设为业务分类节点，该节点作为引流起点，在此识别业务并建立与云资源池内部的srv6隧道；其余网络设备作为普通转发节点，进行underlay ipv6转发。

26、进一步的，步骤3所述的完成一次端到端的业务安全防护，具体包括：

27、目标网络中的各节点根据收到的配置要求运行，通过转发节点，将待防护的业务流量通过srv6隧道引入到云资源池内的安全原子能力进行安全清洗，完成一次端到端的安全防护过程。

28、进一步的，步骤4所述的云网安一体化编排器修改配置模板，重新下发，具体包括：

29、如云网安一体化编排器收到sdn控制器的告警或报错提醒，则根据告警或报错内容修正网络配置任务模板，通过sdn适配器重新下发，直至无任何告警和报错；

30、如云网安一体化编排器收到云管平台的告警或报错提醒，根据告警或报错内容修正云资源池配置任务模板，通过云管适配器重新下发，直至无任何告警和报错；

31、如云网安一体化编排器收到安管平台的告警或报错提醒，根据告警或报错内容修正安全原子能力的配置任务模板，通过安管适配器重新下发，直至无任何告警和报错。

32、有益效果：

33、本发明基于srv6编排调度器全过程采用srv6技术，通过一次性的配置模板编排设计，端到端的实现引流安全防护。降低了配置复杂度和故障率，具体包括：

34、(1)通过srv6编排调度器一次性在网侧、云侧、安侧的规划配置模板，实现了单一技术(srv6)替代多种路由技术(mpls、gre、pbr、openflow等)逐跳配置组合的方式，简约高效，并支持动态调整。

35、(2)srv6编排调度器的内置sdn适配器、云管适配器、安管适配器，可直接与业界主流厂家的sdn控制器、云管平台、安管平台适配，从而支持自动编排调度云/网/安基础能力，快速实现端到端的业务引流防护。