云数据安全防护方法和装置与流程

本申请涉及网络完全防护技术领域，尤其涉及一种云数据安全防护方法和装置。

背景技术：

云服务器是一种处理能力可弹性伸缩的计算服务。其中，私有云服务器是只允许部分用户访问的云服务器，公有云服务器是所有用户均可访问的云服务器(有时需要满足一定条件才可访问)。随着云服务的发展，用户对网络安全防护的要求越来越高。若云服务器无法识别某些病毒时，终端将得不到安全保护，从而可能会丢失重要数据，给用户造成损失。因此，如何进一步提高终端安全是当今一大难题。

在网络安全场景中，私有云通过在三层路由设备中部署网络功能虚拟化(networkfunctionvirtualization，nfv)技术的安全服务，从而对用户的流量进行过滤。nfv技术时在三层路由设备部署相应的软件设备，从而对通过该三册路由设备的所有流量进行过滤。但是，目前nfv技术提供的安全功能，虽然灵活性上能满足需求，但是对于病毒过滤的性能和针对不同用户的个性化过滤需求还不能得到满足。

技术实现要素：

为了解决上述技术问题，本申请具体实施例提供一种云数据安全防护方法和装置，从而根据云服务上租户的需求，灵活的对不同租户实现安全防护，保证租户流量的网络安全。

本申请是通过如下方式实现的：

第一方面，本申请具体实施例提供一种云数据安全服务方法，该方法包括：

安全服务设备获取租户发送的安全防护请求，安全防护请求包括租户的标识信息；

安全服务设备根据安全防护请求中包括的租户的标识信息，确定该租户的网段地址；

安全服务设备根据安全防护请求向三层网络设备发送配置指令，配置指令用于指示三层网络设备将网段地址的流量向安全防护设备发送，配置指令包括租户的网段地址。

在一个可能的设计中，该方法还包括：

安全服务设备根据安全防护请求向安全防护设备发送配置指令，配置指令用于指示安全防护设备将指定网段地址的流量经过过滤后向三层网络设备发送，配置指令包括指定的网段地址。

在一个可能的设计中，安全服务设备获取租户发送的安全防护请求前，该方法还包括：

安全服务设备向三层网络设备发送第一数据转发配置指令，第一数据转发配置指令包括安全防护设备的标识，第一数据转发配置指令用于指示三层网络设备将指定网段地址的流量向安全防护设备发送以及对指定安全防护设备发送的流量进行接收。

在一个可能的设计中，第一数据转发配置指令还包括验证信息，验证信息用于使三层网络设备确定验证信息与三层网络设备对应时根据第一数据转发配置指令执行。

在一个可能的设计中，安全服务设备获取租户发送的安全防护请求前，该方法还包括：

安全服务设备向安全防护设备发送第二数据转发配置指令，第二数据转发配置指令包括三层网络设备的标识和向三层网络设备发送消息的接口，第二数据转发配置指令用于指定安全防护设备将过滤后的流量通过指定的接口号向指定地址的三层网络设备发送。

第二方面，本申请具体实施例提供一种云数据安全防护方法，该方法包括：

安全防护设备获取安全服务设备发送的配置指令，配置指令包括指定的网段地址；

安全防护设备根据配置指令对指定网段地址的流量进行过滤；

安全防护设备根据配置指令将经过过滤的流量向三层网络设备发送。

在一个可能的设计中，安全防护设备获取安全服务设备发送的配置指令前，该方法还包括：

安全防护设备获取第二数据转发配置指令，第二数据转发配置指令包括三层网络设备的标识、接收三层网络设备发送的流量的接口和向三层网络设备发送消息的接口；

安全防护设备执行第二数据转发配置指令，执行第二数据转发配置指令包括对指定网段地址的流量进行过滤并将过滤后的流量通过接口向三层网络设备发送。

在一个可能的设计中，安全防护设备执行第二数据转发配置指令前，该方法还包括：

安全防护设备为租户配置相应的用户名和密码，使租户根据该用户名和密码登录到安全防护设备并对该安全防护设备中对租户对应的网段地址的流量进行过滤时过滤规则进行配置；

安全防护设备根据配置指令对指定网段地址的流量进行过滤，具体包括：根据流量中包括的网段地址对应的租户配置的过滤规则对流量进行过滤。

第三方面，本申请具体实施例提供一种云数据安全服务装置，包括：

获取单元，用于获取租户发送的安全防护请求，安全防护请求包括租户的标识信息；

处理单元，用于根据安全防护请求中包括的租户的标识信息，确定该租户的网段地址；

发送单元，用于根据安全防护请求向三层网络设备发送配置指令，配置指令用于指示三层网络设备将网段地址的流量向安全防护设备发送，配置指令包括租户的网段地址。

在一个可能的设计中，发送单元，根据安全防护请求向安全防护设备发送配置指令，配置指令用于指示安全防护设备将指定网段地址的流量经过过滤后向三层网络设备发送，配置指令包括指定的网段地址。

在一个可能的设计中，获取单元，获取租户发送的安全防护请求前，还包括：

发送单元，用于向三层网络设备发送第一数据转发配置指令，第一数据转发配置指令包括安全防护设备的标识，第一数据转发配置指令用于指示三层网络设备将指定网段地址的流量向安全防护设备发送以及对发送到指定安全防护设备的流量进行接收。

在一个可能的设计中，发送单元向三层网络设备发送的第一数据转发配置指令还包括验证信息，验证信息用于使三层网络设备确定验证信息与三层网络设备对应时根据第一数据转发配置指令执行。

在一个可能的设计中，获取单元，用于获取租户发送的安全防护请求前，还包括：

发送单元，用于向安全防护设备发送第二数据转发配置指令，第二数据转发配置指令包括三层网络设备的标识和向三层网络设备发送消息的接口，第二数据转发配置指令用于指定安全防护设备将过滤后的流量通过指定的接口号向指定地址的三层网络设备发送。

第四方面，本申请具体实施例提供一种云数据安全防护装置，还包括：

获取单元，用于获取安全服务设备发送的配置指令，配置指令包括指定的网段地址；

处理单元，用于根据配置指令对指定网段地址的流量进行过滤；

发送单元，用于根据配置指令将经过过滤的流量向三层网络设备发送。

在一个可能的设计中，获取单元，获取安全服务设备发送的配置指令前，还包括：

获取单元，用于获取第二数据转发配置指令，第二数据转发配置指令包括三层网络设备的标识、接收三层网络设备发送的流量的接口和向三层网络设备发送消息的接口；

处理单元，用于执行第二数据转发配置指令，执行第二数据转发配置指令包括对指定网段地址的流量进行过滤并将过滤后的流量通过接口向三层网络设备发送。

在一个可能的设计中，处理单元，用于执行第二数据转发配置指令前，包括：

处理单元，用于为租户配置相应的用户名和密码，使租户根据该用户名和密码登录到安全防护设备并对该安全防护设备中对租户对应的网段地址的流量进行过滤时过滤规则进行配置；

处理单元，用于根据配置指令对指定网段地址的流量进行过滤，具体包括：根据流量中包括的网段地址对应的租户配置的过滤规则对流量进行过滤。

第五方面，本申请实施例提供一种云数据安全服务装置，包括：处理器和存储器，其中，存储器内存储有处理器能够执行的操作指令，处理器读取存储器内的操作指令用于实现第一方面以及任意一项可能的方法。

第六方面，本申请实施例提供一种计算机可读存储介质，包括指令，当其在计算机上运行时，使得计算机执行如第一方面以及任意一项可能的方法。

第七方面，本申请实施例提供一种私有云安全防护装置，包括：处理器和存储器，其中，存储器内存储有处理器能够执行的操作指令，处理器读取存储器内的操作指令用于实现第二方面以及任意一项可能的方法。

第八方面，本申请实施例提供一种计算机可读存储介质，包括指令，当其在计算机上运行时，使得计算机执行如第二方面以及任意一项可能的方法。

第九方面，本申请实施例提供本申请具体实施例提供一种私有云安全防护系统，该系统包括安全服务设备和安全防护设备；

该安全服务设备用于执行第一方面以及任意一项可能的方法；

该安全防护设备用于执行第二方面以及任意一项可能的方法。

本申请具体实施例提供一种云数据安全防护方法和装置，包括安全服务装置和安全防护装置，安全防护装置旁路的设置在三层网络设备上。安全服务装置用于对安全防护装置和三层网络设备进行配置。使三层网络设备对在接收到指定网段地址的流量时，向安全防护装置发送；使安全防护装置对接收的指定网段地址的流量进行过滤，并将过滤后的流量向该三层网络设备发送。

附图说明

此处所说明的附图用来提供对本申请的进一步理解，构成本申请的一部分，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。在附图中：

图1为本申请具体实施例提供的一种虚拟化后的云服务网络连接系统；

图2为本申请具体实施例提供的一种通过安全服务装置对三层网络设备和安全防护装置的配置流程图；

图3为本申请具体实施例提供的一种虚拟化网络安全服务方法；

图4为本申请具体实施例提供的一种云数据安全服务装置；

图5为本申请具体实施例提供的一种云数据安全防护装置；

图6为本申请实施例提供的一种安全服务设备结构示意图；

图7为本申请实施例提供的一种安全防护设备结构示意图。

具体实施方式

为使本申请的目的、技术方案和优点更加清楚，下面将结合本申请具体实施例及相应的附图对本申请技术方案进行清楚、完整地描述。显然，所描述的实施例仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

以下结合附图，详细说明本申请各实施例提供的技术方案。

本申请具体实施例用于对云服务中的各个租户进行安全防护。安全防护与安全防护设备中采用的具体的防护方法有关，本申请对安全防护设备怎样进行安全防护不进行限定。该云服务包括公有云或私有云。在本申请的具体实施例中，以私有云为例进行具体说明，但是，本申请实施例中的方法、装置也可以运用在公有云中。

图1为本申请具体实施例提供的一种虚拟化后的私有云网络连接系统。如图1所示，包括计算节点和三层网络设备，所示计算节点为虚拟化后的私有云。在本申请的具体实施中，该三层网络设备可以是网络交换机，该安全防护设备可以是web应用防火墙。

计算节点可以包括多个虚拟机和对多个虚拟机进行管理的管理员。虚拟机是管理员在计算节点划分的一个具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统。该管理员可以根据需求为租户创建一个或多个虚拟机并将其分配给租户使用。

管理员创建租户后，还需要为租户创建租户网络。租户的网络和物理网络的vlan是一一对应的，因此创建网络时需要指明vlanid。该计算节点中还包括虚拟网桥，通过该虚拟网桥将不同租户的消息进行转发。此外还需要在三层网络设备中，为租户网络创建网关。租户网络中的虚拟机能够通过vlanid转发到三层网络设备中，由三层网络设备实现最终的三层路由功能。

为租户创建租户网络还包括在三层网络设备中为每个租户创建相对应的网关。当一个租户的流量发送到该三层网络设备时，通过与该租户相对应的网关将流量转发到计算节点的虚拟网桥。再通过虚拟网桥将流量向具体的租户转发。当租户发出流量时，通过物理网桥，带vlanid到达三层网络设备，三层网络设备通过与该vlanid相对应的虚拟网关将流量向目的地址转发。

在本申请的具体实施了中，还包括安全防护设备和安全服务设备。所示安全服务设备用于对租户的流量进行安全防护配置。从而使三层网络设备将指定租户的流量转发到安全防护设备，通过该安全防护设备对租户的流量进行过滤。安全防护设备再将过滤后的流量向安全服务设备发送。

在本申请的具体实施例中，该web应用防火墙对流量进行过滤的方法与现有技术相同本申请对此不进行限定。

由于web应用防火墙旁路在三层网络设备下。三层网络设备按租户需求，将特定租户的流量牵引至web应用防火墙中，经过清洗后再回注到三层网络设备中进行正常转发，由此实现高性能的防火墙服务。

下面。通过具体的实施例对本申请中虚拟化后的私有云网络安全防护方法进行具体的说明。该虚拟化后的私有云网络安全防护方法包括通过安全服务装置对三层网络设备和安全防护装置的配置和通过安全防护装置对三层网络设备中指定租户的流量进行过滤两个部分。

下面通过一个具体的流程对安全服务装置对三层网络设备和安全防护装置的配置进行具体说明。

图2为本申请具体实施例提供的一种通过安全服务装置对三层网络设备和安全防护装置的配置流程图。如图2所示，所示方法包括：

s201、安全服务设备向三层网络设备发送第一数据转发配置指令。

安全服务设备在确定对一个计算节点开通网络安全防护时，向该计算节点对应的三层网络设备发送第一数据转发配置指令。该第一数据转发配置指令用于指示三层网络设备对指定网段地址的流量向该指定网段地址的租户发送前，将该指定网段地址的流量向安全防护设备发送；以及，接收该安全防护设备返回的该指定网段地址的流量。

在一个具体的例子中，该安全服务设备向三层网络设备发送第一数据转发配置指令是根据三层网络设备中的netconf协议进行发送。

其中，该安全服务设备中可以包括至少一个验证信息，每个验证信息分别与一个计算节点相对应。安全服务设备确定对一个计算节点开通网络安全防护时，根据该计算节点的标识，确定与该节点对应的验证信息。

可选的，该验证信息可以是公钥。

具体的，该第一数据转发配置指令包括该三层网络设备的验证信息。该三层网络设备的验证信息用于使该三层网络设备确定执行该设备发送的指令。

s202、三层网络设备确定第一数据转发配置指令中包括的验证信息正确，根据第一数据转发配置指令对指定的地址的流量向安全防护设备发送以及对发送的指定地址的流量进行接收。

三层网络设备在接收到安全服务装置发送的第一数据转换发配置指令时，将对第一数据转发配置指令中包括的验证信息进行验证。当三层网络设备验证该验证信息错误时，向安全服务设备返回错误信息，通过安全服务设备对三层网络设备和安全防护设备的网络安全防护停止执行。当三层网络设备验证该验证信息正确时，三层网络设备对安全服务设备发送的第一数据转发配置指令进行执行。

s203、三层网络设备确定接收该指定地址的流量的接口。

三层网络设备在确定安全服务设备发送的第一数据转发配置指令后，还需要确定接收该指定地址的流量的接口。从而使安全防护设备根据该指定的接口将指定地址的流量向三层网络设备返回。

该三层网络设备确定接收该指定地址的流量的接口为三层网络设备根据netconf协议或其他协议、规则确定，本申请对此不进行限定。

s204、三层网络设备向安全服务设备返回确定的接收指定地址的流量的接口。

该三层网络设备在确定接收指定地址的流量的接口时，还将该接口向安全服务设备发送。三层网络设备向安全服务设备发送确定的接口时，还包括指示安全服务设备配置三层网络设备对网络安全防护配置完成。

s205、安全服务设备向安全防护设备发送第二数据转发配置指令。

安全服务设备在接收到三层网络设备返回的接收指定地址的流量的接口时，还向安全防护设备发送第二数据转发配置指令。第二数据转发配置指令用于指示安全防护设备对接收的指定网段地址的流量进行过滤，并将过滤后的流量通过指定的接口向三层网络设备发送。该第二数据转发配置指令中包括该指定的接口和三层网络设备的标识。该第二数据转发配置指令包括三层网络设备的标识、接收该三层网络设备发送的流量的接口和向该三层网络设备发送消息的接口

s206、安全防护设备确定对接收的流量进行过滤并将滤后的流量通过指定的接口号向指定地址的三层网络设备发送。

安全防护设备在接收到安全服务设备发送的第二数据转发配置指令时，将根据该第二数据转发配置指令执行。将接收的指定网段地址的流量进行过滤，该安全防护设备对流量过滤的方法与现有技术中流量过滤的方法相同，本申请对此不进行限定。该安全防护设备将过滤后的流量通过第二数据转发配置指令中指定的接口将过滤后的流量向该第二数据转发配置指令中包括的三层网络设备发送。

s207、返回确定信息。

安全防护设备在完成相应的配置后，将该配置完成的信息向安全服务设备发送。从而使安全服务设备确定对安全防护设备的网络安全防护配置完成。

在本申请的具体实施例中，安全防护设备在接收安全服务设备发送的第二数据转发配置指令时，还将为该租户创建相应的授权。该为该租户创建相应的授权包括为租户创建用户名和密码，以及为该用户分配能够自由配置防护策略的权限。安全防护设备向安全服务设备返回的确定信息中还包括安全防护设备为该租户创建的用户名和密码。该租户通过该用户名和密码能够直接对安全防护设备进行访问，并配置相应的防护策略。安全防护设备对与该租户相对应网段地址的流量进行过滤时，根据用户配置的防护策略进行过滤。

下面对本申请具体实施例中通过安全防护装置对三层网络设备中指定租户的流量进行过滤做出具体说明。

图3为本申请具体实施例提供的一种虚拟化网络安全服务方法。如图3所示，所示方法包括：

s301、安全服务设备获取租户发送的安全防护请求，该安全防护请求包括租户的标识信息。

该安全服务设备在获取租户发送安全服务请求前，还包括租户向计算节点发送用于安全防护的请求。计算节点根据租户发送的安全防护的请求确定租户的网段地址。计算节点根据租户发送的安全防护的请求向安全服务设备发送安全服务请求，该安全服务请求包括请求进行安全防护的租户的网段地址。

s302、安全服务设备根据安全防护请求向三层网络设备发送配置指令，配置指令包括租户的网段地址。

安全服务设备接收计算节点发送的安全服务请求。安全服务设备基于该安全服务请求确定该计算节点对应的三层网络设备是否能够进行网络安全防护。

当该三层网络设备不能进行网络安全防护时，三层网络设备向计算节点返回请求失败。当该三层网络设备能够进行网络安全防护时，安全服务设备向该三次网络设备发送配置指令。

s303、三层网络设备根据配置指令，对该网段地址的流量在向该租户进行转发前向安全防护设备发送。

在一个例子中，该三层网络设备包括网络安全防护信息表，该网络安全防护信息表中包括多个租户以及与该多个租户的网段地址。三层网络设备接收该配置指令时，将在该网络安全防护信息表中添加新的租户以及该租户的网段地址。

三层网络设备接收一个流量后，判断该流量转发的地址是否与网络安全防护信息表中包括的一个网段地址相同。当接收的流量的网段地址与网络安全防护信息表中的一个网段地址相同时，将该流量向安全防护设备转发。当接收的流量的网段地址与网络安全防护信息表中的每个网段地址都不相同时，将该流量向该网段地址对应的租户发送。

s304、安全防护设备对接收的流量进行过滤。

安全防护设备在三层网络设备向其发送流量时对该流量进行接收并对接收的流量进行过滤。安全防护设备对流量进行过滤的方法与现有技术中流量过滤的方法相同，本申请对此不进行限定。

s305、安全防护设备将过滤后的流量通过指定地址向三层网络设备发送。

s306、三层网络设备将该租户经过过滤后的流量向该租户发送。

三层网络设备通过制定接口接收到安全防护设备发送的流量时，确定该流量完成了防护，并将该流量向与该网段地址对应的租户发送。

图4为本申请具体实施例提供的一种私有云安全服务装置。如图4所示，该装置包括：获取单元401处理单元402和发送单元403。

获取单元401，用于获取租户发送的安全防护请求，该安全防护请求包括租户的标识信息。

处理单元402，用于根据该安全防护请求中包括的租户的标识信息，确定该租户的网段地址。

发送单元403，用于根据该安全防护请求向三层网络设备发送配置指令，该配置指令用于指示该三层网络设备将该网段地址的流量向安全防护设备发送，该配置指令包括该租户的网段地址。

可选的，发送单元403，根据该安全防护请求向该安全防护设备发送配置指令，该配置指令用于指示该安全防护设备将指定网段地址的流量经过过滤后向三该层网络设备发送，该配置指令包括该指定的网段地址。

可选的，获取单元401获取租户发送的安全防护请求前，还包括，发送单元402，

用于向三层网络设备发送第一数据转发配置指令，该第一数据转发配置指令包括安全防护设备的标识，该第一数据转发配置指令用于指示三层网络设备将指定网段地址的流量向该安全防护设备发送以及对发送到指定安全防护设备的流量进行接收。

可选的，发送单元403，用于向三层网络设备发送的第一数据转发配置指令还包括验证信息，该验证信息用于使该三层网络设备确定该验证信息与该三层网络设备对应时根据该第一数据转发配置指令执行。

可选的，获取单元401获取租户发送的安全防护请求前，还包括，发送单元402，用于向安全防护设备发送第二数据转发配置指令，该第二数据转发配置指令包括三层网络设备的标识和向该三层网络设备发送消息的接口，该第二数据转发配置指令用于指定安全防护设备将过滤后的流量通过指定的接口号向指定地址的三层网络设备发送。

当然，上述一种私有云安全服务装置及该装置包括的获取单元401和发送单元402仅为本申请具体实施例的限定。所示一种私有云安全服务装置及该装置包括的获取单元401、处理单元402和发送单元40403还可以执行图2、图3中安全服务设备执行的任意一种方法。

图5为本申请具体实施例提供的一种私有云安全防护装置。如图5所示，该装置包括：获取单元501、处理单元502和发送单元503。

获取单元501，用于获取安全服务设备发送的配置指令，配置指令包括指定的网段地址。

处理单元502，用于根据配置指令对指定网段地址的流量进行过滤。

发送单元503，用于根据配置指令将经过过滤的流量向三层网络设备发送。

可选的，获取单元501，获取安全服务设备发送的配置指令前，还包括：

获取单元501，用于获取第二数据转发配置指令，第二数据转发配置指令包括三层网络设备的标识、接收三层网络设备发送的流量的接口和向三层网络设备发送消息的接口。处理单元502，用于执行第二数据转发配置指令，执行第二数据转发配置指令包括对指定网段地址的流量进行过滤并将过滤后的流量通过接口向三层网络设备发送。

可选的，获取单元获取三层网络设备转发的流量前，还包括，处理单元502，用于为租户配置相应的用户名和密码，使租户根据该用户名和密码登录到安全防护设备并对该安全防护设备中对租户对应的网段地址的流量进行过滤时过滤规则进行配置。处理单元502，用于根据配置指令对指定网段地址的流量进行过滤，具体包括：根据流量中包括的网段地址对应的租户配置的过滤规则对流量进行过滤。

图6为本申请实施例提供的一种安全服务设备结构示意图。

如图6所示，该安全服务设备包括：处理器601、存储器602、通信接口603。

处理器601可以采用通用的中央处理器(centralprocessingunit，cpu)，微处理器，应用专用集成电路(applicationspecificintegratedcircuit，asic)，或者一个或多个集成电路，用于执行相关程序，以实现前述本发明方法实施例所提供的技术方案。

存储器602可以是只读存储器(readonlymemory，rom)，静态存储设备，动态存储设备或者随机存取存储器(randomaccessmemory，ram)。存储器602可以存储应用程序。在通过软件或者固件来实现本发明实施例提供的技术方案时，用于实现本发明前述方法实施例提供的任一可选技术方案的程序代码保存在存储器602中，并由处理器601来执行。

通信接口603与安全防护设备、计算节点和三层网络设备发送。

具体的，通信接口603获取租户发送的安全防护请求，安全防护请求包括租户的标识信息；处理器601根据安全防护请求中包括的租户的标识信息，确定该租户的网段地址；通信接口603，根据安全防护请求向三层网络设备发送配置指令，配置指令用于指示三层网络设备将网段地址的流量向安全防护设备发送，配置指令包括租户的网段地址。

通信接口603，根据安全防护请求向安全防护设备发送配置指令，配置指令用于指示安全防护设备将指定网段地址的流量经过过滤后向三层网络设备发送，配置指令包括指定的网段地址。

通信接口603，获取租户发送的安全防护请求前，获取租户发送的安全防护请求前，通信接口603向三层网络设备发送第一数据转发配置指令，第一数据转发配置指令包括安全防护设备的标识，第一数据转发配置指令用于指示三层网络设备将指定网段地址的流量向安全防护设备发送以及对发送到指定安全防护设备的流量进行接收。

第一数据转发配置指令还包括验证信息，验证信息用于使三层网络设备确定验证信息与三层网络设备对应时根据第一数据转发配置指令执行。

通信接口1103获取租户发送的安全防护请求前，通信接口603向安全防护设备发送第二数据转发配置指令，第二数据转发配置指令包括三层网络设备的标识和向三层网络设备发送消息的接口，第二数据转发配置指令用于指定安全防护设备将过滤后的流量通过指定的接口号向指定地址的三层网络设备发送。。

图7为本申请实施例提供的一种安全防护设备结构示意图。

如图7所示，该安全防护设备包括处理器701、存储器702、通信接口703。

处理器701可以采用通用的中央处理器(centralprocessingunit，cpu)，微处理器，应用专用集成电路(applicationspecificintegratedcircuit，asic)，或者一个或多个集成电路，用于执行相关程序，以实现前述本发明方法实施例所提供的技术方案。

存储器702可以是只读存储器(readonlymemory，rom)，静态存储设备，动态存储设备或者随机存取存储器(randomaccessmemory，ram)。存储器702可以存储应用程序。在通过软件或者固件来实现本发明实施例提供的技术方案时，用于实现本发明前述方法实施例提供的任一可选技术方案的程序代码保存在存储器702中，并由处理器701来执行。

通信接口703与安全服务设备、计算节点和三层网络设备发送。

通信接口703，获取安全服务设备发送的配置指令，配置指令包括指定的网段地址。

处理器701，根据配置指令对指定网段地址的流量进行过滤。

通信接口703，根据配置指令将经过过滤的流量向三层网络设备发送。

可选的，通信接口703，获取安全服务设备发送的配置指令前，还包括通信接口703，获取第二数据转发配置指令，第二数据转发配置指令包括三层网络设备的标识、接收三层网络设备发送的流量的接口和向三层网络设备发送消息的接口。处理器701第二数据转发配置指令，执行第二数据转发配置指令包括对指定网段地址的流量进行过滤并将过滤后的流量通过接口向三层网络设备发送。

可选的，处理器701执行第二数据转发配置指令前，还包括为租户配置相应的用户名和密码，使租户根据该用户名和密码登录到安全防护设备并对该安全防护设备中对租户对应的网段地址的流量进行过滤时过滤规则进行配置。处理器701根据配置指令对指定网段地址的流量进行过滤，具体包括：根据流量中包括的网段地址对应的租户配置的过滤规则对流量进行过滤。

本申请具体实施例提供一种计算机可读存储介质，该计算机可读存储介质存储一个或多个程序，一个或多个程序包括指令，指令当被包括多个应用程序的电子设备执行时，使得所示电子设备执行图2-图3所示的方法流程。

本申请的具体实施例中还提出了一种计算机程序产品，该计算机程序产品可用于路由设备运行。当该计算机程序产品在路由设备上运行时，使得路由设备执行如图2-图3任一项的流程。

需要说明的是，本申请提供实施例只是本申请所介绍的可选实施例，本领域技术人员在此基础上，完全可以设计出更多的实施例，因此不在此处赘述。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或40组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)或处理器(processor)执行本申请各个实施例方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、磁碟或者光盘等各种可以存储程序代码的介质。

以上，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以权利要求的保护范围为准。