一种基于服务功能链的网络安全融合网关系统的制作方法

本发明属于网络安全，尤其涉及一种基于服务功能链的网络安全融合网关系统。

背景技术：

1、网络安全的未来在云端。随着企业网络和业务架构逐渐演进至“云化”、“服务化”，传统的基于边界的“串糖葫芦式”的安全防御体系使得网络越来越复杂，管理维护难度越来越大，而且数据报文经多次重复解析和处理，对网络性能上造成衰减和延迟的增加，已无法适应“弹性扩展、动态服务化、高性能低延迟”等业务应用场景的安全防护需求。

2、而网络安全融合网关，作为一种新型单体网关类产品解决方案，目前大多采用“分流交换+网络流量处理”的设计架构，但仅仅是安全功能和网络功能的集约设计，并没有过多考虑安全服务的按需编排、动态重构等安全交付能力。

3、服务功能链作为一种网络服务构建技术，由ietf sfc工作组进行相关标准制定工作，对sfc相关架构进行了设计说明。其中rfc8754中提出了基于srv6的srh报头作为分段路由的控制包头实现可编程的流量控制。但该技术由于需要硬件网络设备芯片支持，因此该技术目前厂家应用不多，推广力度不大，在网络安全融合网关类应用领域更为鲜见。但随着ipv6的逐渐推广，以及安全流量更细粒度控制的应用要求，srv6应用推广势在必行。

技术实现思路

1、本发明的目的在于：为了解决现有单体类网关产品无法满足“智能化、灵活化、高性能”的“云+端”网络安全防御体系的安全防护需求，本发明提供了一种集“交换路由、网络安全、应用交付”为一体，采用“基于srv6的服务功能链”实现“安全服务的按需编排、动态重构”的智能网络安全融合网关系统。

2、本发明目的通过下述技术方案来实现：

3、一种基于服务功能链的网络安全融合网关系统，所述网络安全融合网关系统包括应用平面、控制平面和数据平面；

4、所述应用平面包括若干人机交互接口，并对外提供可视化操作管理界面，运维管理人员基于相应服务列表和预置编排模板开展运维管理；

5、所述控制平面包括网络控制器和安全控制器，实现业务需求与安全网元、安全网元和硬件资源之间的映射和关联，以对安全网元和虚拟资源的融合集中控制；

6、所述数据平面被配置为实现业务流量的数据转发和安全防护处理。

7、根据一个优选的实施方式，所述应用平面通过拖曳式画布实现服务链设置，能够对设备运行状态、资源占用状态、服务执行状态、日志告警信息等进行可视化展示。

8、根据一个优选的实施方式，于安全控制器中完成安全网元管理、安全服务编排和安全策略管理；

9、其中，所述安全网元管理指对各类虚拟化安全网元进行全生命周期管理，其中各类虚拟化安全网元包括安装、初始化、运行、扩缩容、升级、下线；

10、安全服务编排指通过服务链的形式将不同安全网元组合成网络安全服务，并管理网元与对应硬件资源的关联和映射关系；

11、安全策略管理指对安全防护策略、引流策略和服务链策略进行管理。

12、根据一个优选的实施方式，于网络控制器中完成拓扑管理、流表管理和硬件资源管理；

13、其中，拓扑管理指对设备中板卡形成的拓扑信息进行管理，用于形成服务链路径及完成数据交换命令；

14、流表管理指对流规则进行解析和下发，以及流表的维护；

15、硬件资源管理指对集成框架中所包含的计算、存储和网络资源进行监控、分配、统计等，提供给安全控制器调度使用。

16、根据一个优选的实施方式，所述数据平面包括分类节点sc、转发节点sff和服务节点sf；

17、其中，分类节点sc被配置为对用户流量进行分类，并对业务报文进行srv6封装，形成在服务功能链域内的传输通道，并将预设类型的业务流量引入到相应的sfc域；

18、转发节点sff被配置为将封装有对应逻辑服务功能链的数据报文进行逐跳转发，以实现流量重定向；

19、服务节点sf被配置为通过vnf实例化部署，实现不同的网络安全防护功能，用于处理收到的数据报文。

20、根据一个优选的实施方式，所述服务节点sf根据是否可以感知sfc封装，分为aware sf和unaware sf，针对unaware sf，通过sfc代理进行报文的加解封装。

21、根据一个优选的实施方式，所述服务节点sf根据是否可以识别srv6报文，定义两类sid类型：end.aw sid、end.nw sid，报文转发动作为：

22、对于可以识别srv6报文的业务服务节点sf来说，由于服务节点sf可以识别srv6报文，因此转发节点sff将报文直接转发给服务节点sf处理，服务节点sf在完成业务处理后直接将报文转发到转发节点sff上；

23、对于不能识别srv6报文的业务服务节点sf来说，由于不能识别srv6报文，转发节点sff将srv6报文先解封装后再将原始数据报文转发给服务节点sf处理，服务节点sf在完成业务处理后，将其转发回转发节点sff节点，由转发节点sff决定是否继续在srv6 sfc网络中转发报文。

24、根据一个优选的实施方式，针对end.aw sid，对应的报文转发动作为：

25、a、报文从转发节点sff到服务节点sf前，转发节点sff先将ipv6基本头中目的地址da修改为srh中第0个sid值，然后根据end.aw sid关联的出接口转发报文；

26、b、报文从服务节点sf到转发节点sff后，转发节点sff将ipv6基本头中目的地址da恢复为srh[sl],按照正常srv6报文转发流程进行报文转发。

27、根据一个优选的实施方式，针对end.nw sid，对应的报文转发动作为：

28、a、报文从转发节点sff到服务节点sf前，转发节点sff先解封装报文，然后根据end.nw sid关联的出接口转发报文；

29、b、报文从服务节点sf到转发节点sff后，转发节点sff根据报文的入接口或其关联的sid列表及其配置对报文进行重新封装srv6头。

30、前述本发明主方案及其各进一步选择方案可以自由组合以形成多个方案，均为本发明可采用并要求保护的方案。本领域技术人员在了解本发明方案后根据现有技术和公知常识可明了有多种组合，均为本发明所要保护的技术方案，在此不做穷举。

31、本发明的有益效果：

32、本发明能够应用到智能化网络安全融合网关类领域，结合了基于srv6的服务功能链封装方法，并对系统软硬件实现给出了设计参考，提供了一种集“交换路由、网络安全、应用交付”为一体的“云+端”安全防御系统，解决了单体网关类产品不能满足云化应用场景下“可弹性扩展、动态服务化”的问题；并通过自定义sid方式有效解决了现有安全防护产品的兼容性问题。

技术特征：

1.一种基于服务功能链的网络安全融合网关系统，其特征在于，所述网络安全融合网关系统包括应用平面、控制平面和数据平面；

2.如权利要求1所述的网络安全融合网关系统，其特征在于，所述应用平面通过拖曳式画布实现服务链设置，能够对设备运行状态、资源占用状态、服务执行状态、日志告警信息等进行可视化展示。

3.如权利要求1所述的网络安全融合网关系统，其特征在于，于安全控制器中完成安全网元管理、安全服务编排和安全策略管理；

4.如权利要求1所述的网络安全融合网关系统，其特征在于，于网络控制器中完成拓扑管理、流表管理和硬件资源管理；

5.如权利要求1所述的网络安全融合网关系统，其特征在于，所述数据平面包括分类节点sc、转发节点sff和服务节点sf；

6.如权利要求5所述的网络安全融合网关系统，其特征在于，所述服务节点sf根据是否可以感知sfc封装，分为aware sf和unaware sf，针对unaware sf，通过sfc代理进行报文的加解封装。

7.如权利要求5所述的网络安全融合网关系统，其特征在于，所述服务节点sf根据是否可以识别srv6报文，定义两类sid类型：end.aw sid、end.nw sid，报文转发动作为：

8.如权利要求7所述的网络安全融合网关系统，其特征在于，针对end.aw sid，对应的报文转发动作为：

9.如权利要求7所述的网络安全融合网关系统，其特征在于，针对end.nw sid，对应的报文转发动作为：

技术总结
本发明公开了一种基于服务功能链的网络安全融合网关系统，所述网络安全融合网关系统包括应用平面、控制平面和数据平面；所述应用平面包括若干人机交互接口，并对外提供可视化操作管理界面，运维管理人员基于相应服务列表和预置编排模板开展运维管理；所述控制平面包括网络控制器和安全控制器，实现业务需求与安全网元、安全网元和硬件资源之间的映射和关联，以对安全网元和虚拟资源的融合集中控制；所述数据平面被配置为实现业务流量的数据转发和安全防护处理。解决了单体网关类产品不能满足云化应用场景下“可弹性扩展、动态服务化”的问题；并通过自定义SID方式有效解决了现有安全防护产品的兼容性问题。

技术研发人员：郭志君,廖竣锴,陈果,付俊伟,余兴华,李镭
受保护的技术使用者：中国电子科技集团公司第三十研究所
技术研发日：
技术公布日：2024/3/31