本發明涉及網絡業務安全，尤其涉及srv6?sfc技術與安全資源池結合的安全防護方法。

背景技術：

1、目前對于網絡的安全防護，大多通過sf（service?function）服務節點提供安全服務，服務節點包括但不限于防火墻（fw）、入侵防御系統（ips）、負載均衡（lb）設備和地址轉換（nat）設備等，實現網安全防護的需求。但多個服務節點采用不同的安全設備，且所用安全設備的組合固定，而網絡業務時多種多樣的，采用單一組合的安全設備顯然無法滿足所有網絡業務的需求，以最高需求搭建安全設備組合時，面對低需求業務時，造成安全設備的浪費，以平均需求搭建安全設備組合時，面對低需求業務時，造成安全設備的浪費的同時，也不能滿足高需求的網絡業務需求，同時，存在不易統一管理統一運營的缺陷，該缺陷在行業場景中，多種類、多數量的安全防護節點在統一管理和統一運維的缺陷尤為明顯。

2、現有技術中，存在基于網絡虛擬化技術的安全防護方法，但現有方法在進行安全防護的過程中，依賴于對路由表的查詢和額外協議的隧道封裝解封裝操作，在面對大規模網絡擴展和復雜安全需求時，需要進行較大的架構調整和資源投入，不能夠適應快速更迭的網絡環境，具有局限性。

技術實現思路

1、有鑒于此，本發明提供了一種srv6?sfc技術與安全資源池結合的安全防護方法，用于解決現有技術中網絡業務的安全防護缺乏針對性，針對安全設備缺乏統一管理的問題。

2、第一方面，本發明實施例提供了一種srv6?sfc技術與安全資源池結合的安全防護方法，方法包括：

3、獲取目標網絡業務的防護功能需求、數據傳輸節點和數據流轉信息；

4、根據所述防護功能需求在預設安全資源池內選擇目標防護組件，并通過虛擬化編排網絡對所述目標防護組件進行sfc編排，生成安全功能轉發節點；

5、通過srv6技術，根據所述數據流轉信息、所述數據傳輸節點和安全功能轉發節點構建srv6?sfc的業務功能鏈，并按所述srv6?sfc的業務功能鏈傳輸所述目標網絡業務的業務數據；

6、所述按所述srv6?sfc的業務功能鏈傳輸所述目標網絡業務的業務數據的步驟，包括：

7、在所述srv6網絡的頭節點對所述業務數據的原始ipv6報文添加srv6?te?policy的路徑信息，并在所述原始ipv6報文中增加srh擴展頭，得到新報文，所述srh擴展頭存儲segment?list信息；

8、按所述路徑信息控制所述業務數據和所述新報文經過所述頭節點的下一個節點；

9、當所述頭節點的下一個節點對應所述安全功能轉發節點，則控制所述安全功能轉發節點匹配目的ipv6地址；

10、若所述新報文命中所述安全功能轉發節點的本地sid，則對所述業務數據執行本地sid對應的動作，得到目標業務數據，并將所述目標業務數據按所述路徑信息進行轉發；將所述屬性數據與隧道內檢測策略進行匹配，若匹配通過，則將所述業務數據送往隧道內檢測模塊，進行防護檢測；

11、若所述新報文未命中所述安全功能轉發節點的本地sid，則提取所述新報文的屬性數據，將所述屬性數據與隧道內檢測策略進行匹配；若匹配不通過，則將所述業務數據和所述新報文按所述路徑信息進行轉發；

12、對與隧道內檢測策略進行匹配后的所述業務數據和所述新報文進行解封裝處理，得到剔除所述srh擴展頭的ipv6報文，并識別剔除所述srh擴展頭的ipv6報文的報文類型，若剔除所述srh擴展頭的ipv6報文的報文類型仍為隧道報文，則對所述srh擴展頭的ipv6報文繼續進行解封裝處理，直至得到業務報文；

13、所述若所述新報文命中所述安全功能轉發節點的本地sid，則對所述業務數據執行本地sid對應的動作，得到目標業務數據的步驟，包括：

14、將所述業務數據發送至所述安全功能轉發節點內本地sid對應的第一個目標防護組件，以使所述第一個目標防護組件對所述業務數據執行本地sid對應的動作，得到初級業務數據；

15、將所述初級業務數據發送至所述安全功能轉發節點，并將所述初級業務數據發送至所述安全功能轉發節點內執行本地sid對應第二個目標防護組件，以使所述第二個目標防護組件對所述初級業務數據執行本地sid對應的動作，得到次級業務數據，直至所述安全功能轉發節點內最后一個目標防護組件完成對所述業務數據的安全防護，得到目標業務數據。

16、可選地，所述獲取目標網絡業務的防護功能需求的步驟，包括：

17、根據所述數據流轉信息確定所述數據傳輸節點及不同數據傳輸節點間的數據傳輸關系；

18、基于所述數據傳輸關系確定不同數據傳輸節點間的基礎防護需求數據；

19、獲取用戶針對不同數據傳輸節點間的預設防護需求數據，將所述預設防護需求數據和所述基礎防護需求數據進行整合，得到不同數據傳輸節點間的防護功能需求。

20、可選地，在所述根據所述防護功能需求在預設安全資源池內選擇目標防護組件的步驟之前，還包括：

21、通過openstack架構對預設防護組件進行解耦，得到與所述預設防護組件對應的底層防護組件資源，所述預設防護組件包括實體網絡安全設備和虛擬網絡安全設備；

22、通過軟件編程的方式構建用于管理所述底層防護組件資源的資源管理平臺；

23、基于所述資源管理平臺和所述底層防護組件資源搭建所述預設安全資源池。

24、可選地，所述根據所述防護功能需求在預設安全資源池內選擇目標防護組件，并通過虛擬化編排網絡對所述目標防護組件進行sfc編排，生成安全功能轉發節點的步驟，包括：

25、在預設安全資源池內選擇能夠滿足所述防護功能需求的預設組件，作為所述目標防護組件；

26、基于所述目標防護組件和不同目標防護組件間的邏輯順序創建針對所述目標網絡業務的sfc，所述邏輯順序根據所述目標防護組件的功能確定；

27、通過虛擬化編排網絡，按所述sfc對所述目標防護組件進行編排，生成包含至少一個目標防護組件的安全功能轉發節點，以使所述業務數據按所述邏輯順序流經各個目標防護組件。

28、可選地，所述通過srv6技術，根據所述數據流轉信息、所述數據傳輸節點和安全功能轉發節點構建srv6?sfc的業務功能鏈的步驟，包括：

29、根據所述數據流轉信息，將所述數據傳輸節點的地址和安全功能轉發節點的地址進行連接，得到不同網段；

30、按預設協議，通過預設路由使各個網段路由可達，并通過srv6技術對所述預設路由和網絡編排器進行srv6?sid規劃，得到規劃后的預設路由和規劃后的安全功能轉發節點，以使規劃后的預設路由和規劃后的安全功能轉發節點支持srv6?sfc功能；

31、通過igp方式動態在規劃后的安全功能轉發節點中宣告srv6locator的路由；

32、根據所述數據流轉信息配置srv6locator的路由的te-policy，構建srv6?sfc的業務功能鏈。

33、可選地，所述按所述srv6?sfc的業務功能鏈傳輸所述目標網絡業務的業務數據的步驟，包括：

34、在所述srv6網絡的頭節點對所述業務數據的原始ipv6報文添加srv6?te?policy的路徑信息，并在所述原始ipv6報文中增加srh擴展頭，得到新報文，所述srh擴展頭存儲segment?list信息；

35、按所述路徑信息控制所述業務數據和所述新報文經過所述頭節點的下一個節點；

36、當所述頭節點的下一個節點對應所述安全功能轉發節點，則控制所述安全功能轉發節點匹配目的ipv6地址；

37、若所述新報文命中所述安全功能轉發節點的本地sid，則對所述業務數據執行本地sid對應的動作，得到目標業務數據，并將所述目標業務數據按所述路徑信息進行轉發；將所述屬性數據與隧道內檢測策略進行匹配，若匹配通過，則將所述業務數據送往隧道內檢測模塊，進行防護檢測；

38、若所述新報文未命中所述安全功能轉發節點的本地sid，則提取所述新報文的屬性數據，將所述屬性數據與隧道內檢測策略進行匹配；若匹配不通過，則將所述業務數據和所述新報文按所述路徑信息進行轉發；

39、對與隧道內檢測策略進行匹配后的所述業務數據和所述新報文進行解封裝處理，得到剔除所述srh擴展頭的ipv6報文，并識別剔除所述srh擴展頭的ipv6報文的報文類型，若剔除所述srh擴展頭的ipv6報文的報文類型仍為隧道報文，則對所述srh擴展頭的ipv6報文繼續進行解封裝處理，直至得到業務報文。

40、可選地，所述若所述新報文命中所述安全功能轉發節點的本地sid，則對所述業務數據執行本地sid對應的動作，得到目標業務數據的步驟，包括：

41、將所述業務數據發送至所述安全功能轉發節點內本地sid對應的第一個目標防護組件，以使所述第一個目標防護組件對所述業務數據執行本地sid對應的動作，得到初級業務數據；

42、將所述初級業務數據發送至所述安全功能轉發節點，并將所述初級業務數據發送至所述安全功能轉發節點內執行本地sid對應第二個目標防護組件，以使所述第二個目標防護組件對所述初級業務數據執行本地sid對應的動作，得到次級業務數據，直至所述安全功能轉發節點內最后一個目標防護組件完成對所述業務數據的安全防護，得到目標業務數據。

43、第二方面，本發明實施例還提供了一種電子設備，所述電子設備包括：

44、一個或者多個處理器；

45、存儲裝置，用于存儲一個或者多個程序；

46、當所述一個或者多個程序被所述一個或者多個處理器執行，使得所述一個或者多個處理器實現如本發明任一所述實施例中的srv6?sfc技術與安全資源池結合的安全防護方法。

47、第三方面，本發明實施例還提供了一種包含計算機可執行指令的存儲介質，所述計算機可執行指令在由計算機處理器執行時用于執行如本發明任一所述實施例中的srv6sfc技術與安全資源池結合的安全防護方法。

48、本發明實施例的技術方案，通過將srv6?sfc技術與安全資源池結合，能夠在規劃業務數據傳輸路徑時靈活調整安全防護功能，對不同的業務數據進行針對性的防護，同時，srv6技術在網絡可編程性和靈活性方面的獨特優勢，在進行數據傳輸時不依賴于額外協議的隧道封裝，對于大規模網絡的場景具有更好的適應性、靈活性和可擴展性。而安全資源池能夠對通過不同的安全組件進行統一管理，同時，還可以根據不同需求靈活地搭建不同的安全組件組合，即，搭建出針對具體網絡業務的安全組件組合，在滿足網絡業務需要的前提下，節省成本，具體的，還可以根據實際的網絡安全需求，將安全組件分配到最需要的網絡業務，提高資源利用率，通過安全資源池能夠更迅速滿足網絡業務安全的需求。