WO2014154040A1

WO2014154040A1 - 访问控制方法及设备、系统

Info

Publication number: WO2014154040A1
Application number: PCT/CN2014/070715
Authority: WO
Inventors: 王雨晨
Original assignee: Huawei Technologies Co Ltd
Current assignee: Huawei Technologies Co Ltd
Priority date: 2013-03-26
Filing date: 2014-01-16
Publication date: 2014-10-02
Anticipated expiration: 2015-09-26
Also published as: CN103152361B; CN103152361A

Abstract

一种访问控制方法及设备、系统。访问控制方法包括：策略管理设备接收来自网络流量处理设备的网络数据流控制行为请求，从所述请求中获取所述网络数据流的属性值；根据网络数据流属性值确定网络数据流所属的安全域；根据安全域查找对应的基于网络数据流属性的控制策略，根据查找到的控制策略和网络数据流属性值，确定对网络数据流的控制行为；将控制行为发送给网络流量处理设备，以使网络流量处理设备根据控制行为对网络数据流进行处理。通过上述方式，本发明能够不再依赖于安全设备本身所支持的网络隔离技术的虚拟端口或者网络隔离技术，来实现多用户共用一个安全设备，分别应用各自的安全策略而互不影响。

Description

访问控制方法及设备、系统本申请要求于 2013 年 3 月 26 日提交中国专利局、申请号为 201310101301.9、发明名称为 "访问控制方法及设备、系统" 的中国专利申请的优先权，其全部内容通过引用结合在本申请中。技术领域

本发明涉及计算机及通信技术领域，尤其涉及一种访问控制方法及设备、系统。

背景技术安全设备的 "多实例"，是指在云计算等安全应用场景中，多个租户共用一个安全设备，每个租户都可以按照自己的需要设置自己所需的安全策略而不用担心与其它租户的安全策略相冲突的技术。

通常为了实现安全设备的 "多实例"，需要将一个物理安全设备划分为多个逻辑安全设备来使用。多个逻辑安全设备可以分别配置单独不同的安全策略，同时默认情况下，不同的逻辑安全设备的网络流量之间是默认隔离的。比如：对于防火墙系统接收到的数据流，系统会根据数据的虚拟局域网标识 (Virtual Local Area Network IDentity , Vlan ID)/ 多协议标签交换和虚拟专用网络标签 (； Multi-Protocol Label Switching Virtual Private Network , MPLS VPN ), 虚拟入接口来确定数据流所属的虚拟防火墙（即：此流量属于哪一个租户）。在各个虚拟防火墙系统中，数据流将根据各自系统的安全和转发策略完成处理。

目前的安全设备都于安全设备本身对网络隔离技术 (比如虚拟局域网 /虚拟专用网， VLAN/VPN)的支持来实现以上功能。比如防火墙设备大多基于 VLAN或者 VPN来实现 "多实例"，即：在防火墙设备上需要针对不同的 VLAN 或者 VPN设置虚拟端口，再针对每个虚拟端口设置对应的安全策略 (其中，安全策略包括数据流属性)，即将安全策略与虚拟端口进行绑定，因此，当防火墙接收到网络数据流后，根据数据流属性找到对应的安全策略，通过绑定的虚拟端口对数据流进行处理。

但是这种方式，受到安全设备中网络隔离技术的限制和设备虚拟端口数量的限制，应用具有一定的局限性。发明内容本申请实施例提供一种访问控制方法及设备、系统，用以避免现有技术实现多租户共用一个安全设备时，高度依赖于安全设备本身所支持的网络隔离技术的虚拟端口（如： VLAN虚拟端口）或者网络隔离技术 (如： VLAN/VPN 技术等)的问题。

有鉴于此，本申请提供一种访问控制方法及设备、系统，可以根据常规网络数据流属性来对应不同租户的安全策略，目的在于实现不再依赖于 VLAN/VPN等特定技术而解决多个租户共用一个安全设备而互不影响。

第一方面，提供一种访问控制方法，包括：网络流量处理设备接收到网络数据流后，向策略管理设备请求所述网络数据流对应的控制行为，所述控制行为包括允许网络数据流通过或阻断网络数据流；所述网络流量处理设备根据所述控制行为对所述网络数据流进行处理。

结合第一方面，在第一方面的第一种可能的实现方式中：所述向策略管理设备请求所述网络数据流对应的控制行为，具体包括：所述网络流量处理设备向所述策略管理设备发送所述数据流，接收所述策略管理设备返回的控制行为；或所述网络流量处理设备从所述网络数据流中提取所述网络数据流的属性值，向所述策略管理设备发送所述属性值，接收所述策略管理设备返回的控制行为，所述属性值包括源物理端口、虚拟局域网标识、源网络硬件地址、目标网络硬件地址、源 IP地址、目标 IP地址、源传输控制协议端口、目标传输控制协议端口中的至少一种属性值。

第二方面，提供一种访问控制方法，包括：策略管理设备接收来自网络流量处理设备的网络数据流控制行为请求，从所述请求中获取所述网络数据流的属性值，所述属性值包括源物理端口、虚拟局域网标识、源网络硬件地址、目标网络硬件地址、源 IP地址、目标 IP地址、源传输控制协议端口、目标传输控制协议端口中的至少一种属性值；根据所述网络数据流属性确定所述网络数据流所属的安全域，所述安全域是同一租户采用相同安全策略的网络或系统的集合，属于同一安全域的网络数据流共享一组相同的控制策略；根据所述安全域查找对应的基于网络数据流的控制策略，所述控制策略包括对属于该安全域的符合预设条件的网络数据流采用的控制行为，所述预设条件包括至少一种所述属性的属性值范围，所述控制行为包括允许网络数据流通过或阻断网络数据流；根据查找到的控制策略和所述网络数据流的属性值，确定对所述网络数据流采用的控制行为；将所述控制行为发送给所述网络流量处理设备，以使网络流量处理设备根据所述控制行为对所述网络数据流进行处理。

结合第二方面，在第二方面的第一种可能的实现方式中：所述策略管理设备接收来自网络流量处理设备的网络数据流控制行为请求，从所述请求中获取所述网络数据流的属性的步骤之前，还包括：策略管理设备根据各个租户的安全策略信息，生成每个安全域基于网络数据流属性的所述控制策略。

结合第二方面的第一种可能的实现方式，在第二方面的第二种可能的实现方式中：所述各个租户的安全策略信息至少包括安全域标识、安全域与网络数据流属性的对应关系以及安全域内的安全策略；所述根据所述网络数据流的属性值确定所述网络数据流所属的安全域，具体包括：根据所述安全域与网络数据流属性的对应关系，从所述网络数据流的属性值中提取安全域对应的属性值；将提取的属性值与各安全域对应的属性值进行匹配，确定所述网络数据流所属的安全域。

结合第二方面的第二种可能的实现方式，在第二方面的第三种可能的实现方式中：所述安全域与网络数据流属性的对应关系包括安全域与虚拟局域网标识、网络硬件地址集合、虚拟专用网隧道集合、源物理端口的集合中任一种或两种以上网络数据流属性值组合的对应关系。

结合第二方面或上述第四方面的任意一种可能的实现方式，在第二方面的第四种可能的实现方式中：所述网络流量处理设备为交换机，所述策略管理设备为控制器。

第三方面，提供一种网络流量处理设备，包括请求模块和处理模块，其中：所述请求模块用于接收到网络数据流后，向策略管理设备请求所述网络数据流对应的控制行为，所述控制行为包括允许网络数据流通过或阻断网络数据流；所述处理模块用于根据策略管理设备返回的所述控制行为对所述网络数据流进行处理。

结合第三方面，在第三方面的第一种可能的实现方式中：所述请求模块用于向所述策略管理设备发送所述网络数据流或从所述网络数据流中提取的网络数据流属性值，以向策略管理设备请求所述网络数据流对应的控制行为，所述属性值包括源物理端口、虚拟局域网标识、源网络硬件地址、目标网络硬件地址、源 IP地址、目标 IP地址、源传输控制协议端口、目标传输控制协议端口中的至少一种属性值。

第四方面，提供一种策略管理设备，包括接收模块、第一确定模块、查找模块、第二确定模块以及发送模块，其中：所述接收模块用于接收来自网络流量处理设备的网络数据流控制行为请求，从所述请求中获取所述网络数据流的属性值，并将所述属性值发送给所述确定模块，所述属性值包括源物理端口、虚拟局域网标识、源网络硬件地址、目标网络硬件地址、源 IP地址、目标 IP地址、源传输控制协议端口、目标传输控制协议端口中的至少一种属性值；所述第一确定模块用于根据所述网络数据流的属性值确定所述网络数据流所属的安全域，所述安全域是同一租户采用相同安全策略的网络或系统的集合，属于同一安全域的网络数据流共享一组相同的控制策略；所述查找模块用于根据所述确定模块确定出的所述安全域查找对应的基于网络数据流属性的控制策略，所述第二确定模块用于根据查找模块查找到的控制策略和所述网络数据流的属性值，确定对所述网络数据流采用的控制行为，将所述控制行为输出给所述发送模块 , 所述控制策略包括对属于该安全域的符合预设条件的网络数据流采用的控制行为，所述预设条件包括至少一种所述属性的属性值范围，所述控制行为包括允许网络数据流通过或阻断网络数据流；所述发送模块用于将所述查找模块得到的对所述网络数据流采用的控制行为发送给所述网络流量处理设备，以使所述网络流量处理设备根据所述控制行为对所述网络数据流进行处理。

结合第四方面，在第四方面的第一种可能的实现方式中：所述设备还包括策略生成模块，用于根据各个租户的安全策略信息，生成每个安全域基于网络数据流属性的所述控制策略。

结合第四方面的第一种可能的实现方式，在第四方面的第二种可能的实现方式中：所述各个租户的安全策略信息至少包括安全域标识、安全域与网络数据流属性的对应关系以及安全域内的安全策略。

结合第四方面的第二种可能的实现方式，在第四方面的第三种可能的实现方式中：所述安全域与网络数据流属性的对应关系包括安全域与虚拟局域网标识、网络硬件地址集合、虚拟专用网隧道集合、源物理端口的集合中任一种或两种以上网络数据流属性组合的对应关系。

第五方面，提供一种网络系统，包括上述第三方面或第三方面的任意一种可能的实现方式所述的网络流量处理设备以及上述第四方面或第四方面的任意一种可能的实现方式所述的策略管理设备。

本发明实施例的有益效果是：区别于现有技术的情况，本申请实施方式策略管理设备根据流经网络流量处理设备的网络数据流的属性，确定所述网络数据流所属的安全域，然后根据策略管理设备中所述安全域的基于网络数据流属性的控制策略以及所述网络数据流的属性值，确定对所述网络数据流采用的控制行为；所述网络流量处理设备根据所述控制行为对所述网络数据流进行处理。由于安全域是基于各个租户安全策略的作用范围而划分的。因此，通过这种方式，安全设备虚拟化的数量，可以不再受限于专业安全设备本身所支持的 "虚拟端口" 等与协议相关的虚拟设备的数量，而仅受安全设备本身处理能力的限制；安全设备虚拟化的技术也不再需要基于 VLAN/VPN 等特定技术实现；在安全设备虚拟化之后，多个租户可以共用一个安全设备而互不影响。附图说明图 1是本申请访问控制方法应用的网络系统一个实施方式的示意图；图 2是本申请访问控制方法一个实施方式的流程图；

图 3是本申请访问控制方法另一个实施方式的流程图

图 4是本申请网络流量处理设备一个实施方式的结构示意图；

图 5是本申请策略管理设备一个实施方式的结构示意图；

图 6是本申请网络流量处理设备另一个实施方式的结构示意图；图 7是本申请策略管理设备另一个实施方式的结构示意图。具体实施方式

参阅图 1 ,图 1为本申请访问控制方法应用的网络系统一个实施方式的示意图，网络系统包括网络流量处理设备 100、策略管理设备 200以及若干台虚拟机 300, 其中，同一个租户可能有几台虚拟机 300, 比如租户 1包括 A、 B、 C三台虚拟机，租户 2包括 1、 2、 3三台虚拟机。虚拟机 A、虚拟机 B和虚拟机 1位于宿主机 1中，虚拟机 2、虚拟机 3和虚拟机 C位于宿主机 2中。网络流量处理设备可以是虚拟交换机，也可以是物理交换机或防火墙。每个租户的虚拟机属于同一安全域。

某一租户的虚拟机之间进行数据访问时，会产生相应的网络数据流，网络流量处理设备 100接收网络数据流后，向策略管理设备 200请求其所接收的网络数据流的控制行为，策略管理设备 200根据数据流属性值，找到网络数据流所属的安全域，根据安全域查找到对应的基于网络数据流属性的控制策略，根据查找到的控制策略和网络数据流的属性值，确定网络数据流对应的控制行为，以使网络流量处理设备 100根据策略管理设备 200返回的控制行为对接收的网络数据流进行处理。

根据具体应用场景的不同，网络流量处理设备 100和策略管理设备 200 可以是单独设置于网络中的实体设备，也可以作为一个功能模块集成于现有网络设备中。例如，在局域网中，网络流量处理设备 100可以是宿主机中的虚拟交换机，普通物理交换机，也可以是防火墙设备，策略管理设备 200可以集成于局域网中的 DNS服务器或邮件服务器中；如果是应用在软件定义网络 (Software Defined Network, SDN)这一场景中，网络流量处理设备 100是交换机 (Switch, SW), 策略管理设备 200为控制器。

请参阅图 2, 图 2为本申请访问控制方法一个实施方式的流程图，本实施方式的访问控制方法是以上述的网络流量处理设备角度来描述，本实施方式的访问控制方法包括：

步骤 S101 : 网络流量处理设备接收到网络数据流后，向策略管理设备请求网络数据流对应的控制行为；

当虚拟机之间进行数据访问时，产生相应的网络数据流。网络流量处理设备接收到网络数据流之后，向策略管理设备发出请求，以获取该网络数据流对应的控制行为。其中，网络流量处理设备向策略管理设备发出请求，可以直接将网络数据流发送给策略管理设备，策略管理设备从网络数据流中提取网络数据流的属性值，这些属性值包括源物理端口、 Vlan ID、源网络硬件地址 (Media Access Control, MAC), 目标 MAC地址、源 IP地址、目标 IP地址、源传输控制协议 (Transmission Control Protocol, TCP)端口、目标 TCP端口中的至少一种属性值。当然，还可以包括其他的数据流属性值。

比如对于数据流 Flowl , 租户 1的 IP地址为 10.0.0.1虚拟机 A需要访问 IP地址为 10.0.0.2虚拟机 B的 80端口时，产生的相应的网络数据流的属性如表 1所示：（XX表示某个特定的值）；

表 1 : Flowl的数据流属性

数据流属性

源端 VLAN ID 源目标源 IP 目标 IP 协议源

a MAC MAC 类型 TCP 标

端口 TCP

端

他表其属性流

XX NULL MacA MacB 10.0.0.1 10.0.0.2 TCP XX 80

策略管理设备根据数据流的属性值，确定该条数据流属于哪个安全域，根据策略管理设备中每个安全域内基于网络数据流属性的控制策略以及网络数据流的属性值，确定对网络数据流采用的控制行为。

基于网络数据流属性的控制策略包括对属于该安全域的符合预设条件的网络数据流采用的控制行为 , 预设条件包括至少一种所述属性的属性值范围 , 控制行为包括对数据流可采用的各种处理方式，其中控制行为包括允许网络数据流通过或阻断网络数据流。控制行为还可以包括地址替换、地址翻译等各种处理方式，在这里不进行——列举。基于网络数据流属性的控制策略还可以包括网络数据流的一个或多个属性值。比如控制策略包括流表匹配域 (即上述的预设条件)和流表控制行为。流表匹配域是指网络数据流的属性值与控制策略中数据流属性的匹配结果，而流表控制行为是对一条网络数据流的具体处理方式，比如但不限于是允许网络数据流通过 ( "Accept" )或阻断网络数据流（"Drop" )等。策略管理设备将控制行为发送给网络流量处理设备。另外，网络流量处理设备也可以从网络数据流中提取出数据流的属性值，将提取的数据流属性值发送给策略管理设备以获取该数据流对应的控制行为。策略管理设备直接根据数据流属性值找到数据流所属的安全域，根据策略管理设备中每个安全域内基于网络数据流属性的控制策略以及网络数据流的属性值，确定对网络数据流采用的控制行为并发送给网络流量处理设备。

步骤 S102: 网络流量处理设备根据控制行为对网络数据流进行处理；网络流量处理设备接收策略管理设备返回的控制行为，根据控制行为对网络数据流进行处理。

请参阅图 3 , 图 3为本申请访问控制方法另一个实施方式的流程图，本实施方式的访问控制方法是以上述的策略管理设备角度来进行描述，本实施方法的访问控制方法包括：

步骤 S201：策略管理设备接收来自网络流量处理设备的网络数据流控制行为请求，从请求中获取网络数据流的属性值；

网络流量处理设备接收网络数据流后，向策略管理设备请求网络数据流的控制行为。策略管理设备接收该请求，请求中携带有网络数据流或网络数据流的属性值，策略管理设备从网络数据流中提取网络数据流的属性值或者是直接从请求中获取网络数据流的属性值。

网络数据流的属性值包括源物理端口、 Vlan ID、源 MAC地址、目标 MAC 地址、源 IP地址、目标 IP地址、源 TCP端口、目标 TCP端口中的一种或多种属性值。当然，还可以包括除此之外其他的属性值。

步骤 S202: 根据网络数据流属性值确定网络数据流所属的安全域；策略管理设备根据网络数据流属性值，确定该条网络数据流所属的安全域。安全域是同一租户采用相同安全策略的网络或系统的集合，相同安全域的数据流共享相同的控制策略。比如"租户 1"租用了 A,B,C三台计算机， "租户 2" 租用了 1、 2、 3三台计算机；可定义 "租户 Γ 的计算机属于 "安全域 1" , "租户 2" 的计算机属于 "安全域 2"。而区分不同租户，可以通过每个租户的 VLAN— ID、 MAC地址、 VPN隧道等等。比如以 MAC地址描述， "安全域 Γ 可以包括以下 MAC地址组合： MACA、 MACB、 MACC; "安全域 2" 可以包括以下 MAC地址组合： MAC1、 MAC2、 MAC3 , 依次类推。

本申请实施方式中，策略管理设备预先根据各个租户的安全策略信息，生成每个安全域基于网络数据流属性的控制策略。各个租户的安全策略信息至少包括安全域标识、安全域与网络数据流属性的对应关系以及安全域内的安全策略。所述安全域与网络数据流属性的对应关系用于描述通过网络数据流哪些属性来确定数据流所属的安全域。

比如 "安全域 Γ 由分布在不同 HOST上的 A、 B、 C三台虚拟机组成，各自的 MAC地址为 MacA, MacB, MacC, IP地址分别为 10.0.0.1 , 10.0.0.2, 10.0.0.3;

"安全域 2" 由分布在不同 HOST上的 1、 2、 3三台虚拟机组成，各自的 MAC地址为 Macl , Mac2, Mac3 , IP地址分别为 10.0.0.1 , 10.0.0.2, 10.0.0.3;

"安全域 Γ 对应 "租户 Γ , 设置如下安全策略： any to 10.0.0.2 -dport 80 -j Accept; (即该租户要求，防火墙允许所有主机通过任意端口向 IP地址为 10.0.0.2的 80端口发送^艮文。 )

"安全域 2" 对应 "租户 2" , 设置如下安全策略： any to 10.0.0.3 -dport 80 -j Drop; (即该租户要求，防火墙禁止任何主机通过任意端口发向 IP地址为 10.0.0.3主机的 80端口的报文通过。 )

关于租户的安全策略信息的部分举例可参见下表 2-5, 比如：

表 2: "租户 1" 的安全策略信息

其中， "安全域与网络数据流属性的对应关系" 可以有 4艮多种，可以是任意单一或多个网络流量的网络属性的组合。上述实施方式仅以一种对应关系为例。类似的对应关系还包括并不限于， VLAN ID对应 "安全域"、 MPLS VPN 标签对应 "安全域"、源物理端口的组合对应 "安全域" 等。

在实际应用过程中，具体使用多少种网络属性与安全域对应，可以根据用户对安全域的划分需求决定。比如对于比较简单的策略，可能就需要使用一个网络属性描述就能实现，如：假设用户要求所有使用 TCP协议通信的网络节点属于 "安全域 TCP" , 使用 UDP通信的设备都属于 "安全域 UDP" , 那么这种安全域划分方法的网络特征描述，就只需要 "协议类型" 一个属性与安全域对应即可。也就是说，网络属性描述的少，可划分的安全域就比较粗略，网络属性描述的多，可划分的安全域就能更加细化。

表 4: "租户 Γ 和租户 2" 的安全策略信息

"租户 Γ 和租户 2" 的安全策略信息

根据 "安全域与网络数据流属性的对应关系"，可以确定安全域是通过哪些网络数据流属性来描述的，从所述网络数据流的属性值中提取安全域对应的属性值（也就是用于描述安全域的属性的属性值）；将提取的属性值与各安全域对应的属性值进行匹配，进而确定网络数据流所属的安全域。

比如安全域是通过 MAC地址组合来描述，那么就从网络数据流中提取数据流的源 MAC、目标 MAC地址，通过数据流的 MAC地址组合的确定该数据流是属于哪个安全域。如果安全域是通过 VLAN— ID来描述，那么就从网络数据流中提取数据流的 VLAN— ID, 通过数据流的 VLAN— ID获知该数据流属于哪个安全 i或。

步骤 S203: 根据安全域查找对应的基于网络数据流属性的控制策略；策略管理设备确定一条数据流属于哪个安全域，查找该安全域内基于网络数据流属性的控制策略。

控制策略包括对属于该安全域的符合预设条件的网络数据流采用的控制行为。预设条件包括至少一种所述属性的属性值范围。比如控制策略包括流表匹配域和流表控制行为，流表匹配域是指网络数据流的属性与控制策略中数据流属性的匹配结果 (即上述的预设条件)，而流表控制行为是对一条网络数据流的具体处理方式，比如是允许网络数据流通过 "Accept"或阻断网络数据流 "Drop" 等。除此之外，控制行为还可以是其他任何对网络数据流的处理方式，比如地址交换等等。

以下举例说明每个安全域内基于网络数据流属性的控制策略：

比如 "安全域 Γ 对应的是 MAC Group 1 : MacA、 MacB、 MacC, 即由三台 MAC地址分别为 MacA、 MacB、 MacC的网络设备所组成的系统称为 "安全域 1" ;

"安全域 2" 对应的是 MAC Group2: Macl、 Mac2、 Mac3 , 即由三台 MAC地址分别为 Macl、 Mac2、 Mac3的网络设备所组成的系统称为 "安全域 2" ;

表 6: 安全域 1内基于网络数据流属性的控制策略

表 7: 安全域 2内基于网络数据流属性的控帝

行为源端 VLAN ID 源目标源 IP 目标 IP 协议源其

α MAC MAC 类型 TCP 标他

端口 TCP

表

a 属

性

Any NULL Any Any Any 10.0.0.3 TCP Any 80 Drop 步骤 S204, 根据查找到的控制策略和网络数据流的属性值，确定对网络数据流采用的控制行为；

在本申请实施方式中，每个安全域对应一个基于网络数据流属性的控制策略，策略管理设备只要确定网络数据流属于哪个安全域，就可以根据该条数据流所属的安全域查找到对应的基于网络数据流属性的控制策略，并将网络数据流的属性值与控制策略中的网络数据流属性值进行匹配而确定对该条网络数据流采用的控制行为，以指导网络流量处理设备对该条网络数据流进行相应的处理。

比如上述 Flowl , 通过获取该数据流的属性值，如上表 1所示， Flowl的源 MAC地址 MacA, 目标 MAC地址 MacB的组合，查表可知 Flowl属于 MAC Group 1 , 即：属于 "安全域 1" , 采用 "安全域 1" 的控制策略对 Flowl 进行处理。而 "安全域 1"基于网络数据流属性的控制策略如上表 6所示，可知对该安全域内的网络数据流 Flowl采用的控制行为为 "Accept" , 将该控制行为发送给网络流量处理设备。对于其他数据流的处理过程与上述方法相似，每条数据流都根据其流表属性确定其所属的安全域，根据安全域查找到对应网络数据流的控制行为。对于那些与预设的安全域的规则都不匹配的数据流，策略管理设备需要通过设置其他控制策略以指导网络流量处理设备进行处理，在此不——举例说明。

步骤 S205: 将控制行为发送给网络流量处理设备，以使网络流量处理设备根据控制行为对网络数据流进行处理。

策略管理设备将对应网络数据流的控制行为发送给网络流量处理设备，网络流量处理设备根据返回的控制行为对网络数据流进行处理。比如根据返回的针对 Flowl控制行为，获知对应于该 Flowl的流表控制行为应为 "Accept" , 决定对 Flowl进行 "Accept" 操作，允许数据流的正常访问。

值得一提的是，本申请访问控制方法的应用场景为 SDN系统时，上述提到的网络流量处理设备为交换机，策略管理设备为控制器 (controller), 当应用到 SDN系统以外的场景时，网络流量处理设备也可以是防火墙。为了更详细描述本申请访问控制方法，以下以访问控制方法在 SDN系统中的具体应用为例进行说明。

例 1 : 租户 1的 IP地址为 10.0.0.1的虚拟机 A访问 IP地址为 10.0.0.2的虚拟机 B的 80端口

交换机接收到一条数据流 Flowl ,如： Flowl ,即租户 1的 IP地址为 10.0.0.1 的虚拟机 A访问 IP地址为 10.0.0.2的虚拟机 B的 80端口的时候，获得该条数据流属性：（XX表示某个特定的值），具体见上述表 1的描述。

交换机会把上述 flowl 的属性发送给 Controller询问对这条流的处理办法。

另一种可选的方式，交换机直接将数据流 Flowl发送给 Controller询问对这条数据流的处理办法。

Controller接收到数据流或数据流的属性后，根据数据流的属性判断该条数据流属于哪个安全域。具体地， Controller通过 "安全域与网络数据流属性的对应关系 "，得知本实施方式中 "安全域"是通过 MAC grou 描述的；进而通过 Flowl中的源 MAC地址 MacA, 目标 MAC地址 MacB的组合，查表可知 Flowl属于 MAC Group 1 , 即：属于 "安全域 1"。

Controller在网络数据流所属 "安全域" 的 "控制策略" 下获得对此数据流的 "流表控制行为"。即 Controller通过 MAC Groupl下的 "控制策略" 与 Flowl本身的属性相匹配，上述表 1与上述表 6相匹配的结果见下表 8:

表 8: Flowl的属性与其所属安全域的控制策略匹配的结果

MAC MAC 议 TCP 标他

α 类 TCP

型 a 表

a 属

性

XX NULL MacA MacB 10.0.0.1 10.0.0.2 TCP XX 80 Accept

由上表可知，对应 Flow 1的 "流表控制行为" 应该是 "Accept" 交换机 SW根据 Controller返回的针对 Flowl的 "流表控制行为"决定对 Flowl进行 "Accept" 操作，允许数据流的正常访问。

例 2: 租户 2的 IP地址为 10.0.0.2的虚拟机 2访问 IP地址为 10.0.0.3的虚拟机 3的 80端口

交换机会接收到一条数据流 Flow2, 即租户 2的 IP地址为 10.0.0.2的虚拟机 2访问 IP地址为 10.0.0.3的虚拟机 3的 80端口的时候，获得如下数据流属性值（ XX表示某个特定的值）：

表 9 ： Flow2的数据流属性

交换机会把上述 flow2的属性值发送给 Controller询问对这条流的处理办法。

另一种可选的方式交换机直接将数据流 Flow2发送给 Controller询问对这条数据流的处理办法。

Controller接收到数据流或数据流的属性值后，根据数据流的属性值判断该条数据流属于哪个安全域。具体地， Controller通过 "安全域与网络数据流属性的对应关系"，得知本实施方式中 "安全域" 是通过 MAC group描述的；进而通过 Flow2中的源 MAC地址 Mac2, 目标 MAC地址 Mac3的组合，查表可知 Flow2属于 MAC Group2, 即：属于 "安全域 2"

Controller在网络数据流所属 "安全域" 的 "控制策略" 下获得对此数据流的 "流表控制行为"。即 Controller通过 MAC Group2下的 "控制策略" 与 Flow2本身的属性相匹配，上述表 9与上述表 7相匹配的结果见下表 10: 表 10: Flow2的属性与其所属安全域的控制策略匹配的结果

由上表可知，对应 Flow2的 "流表控制行为" 应该是 "Drop"„

交换机 SW根据 Controller返回的针对 Flow2的 "流表控制行为"决定对 Flow2进行 "Drop" 操作，禁止数据流的正常访问。

通过上述实施方式的描述，可以理解，本申请实施方式策略管理设备根据流经网络流量处理设备的网络数据流的属性，确定所述网络数据流所属的安全域，然后根据策略管理设备中每个安全域内基于网络数据流属性的控制策略以及所述网络数据流的属性值，确定对所述网络数据流采用的控制行为；所述网络流量处理设备根据所述控制行为对所述网络数据流进行处理。由于安全域是基于各个租户安全策略的作用范围而划分的。因此，通过这种方式，安全设备虚拟化的数量，可以不再受限于专业安全设备本身所支持的 "虚拟端口" 等与协议相关的虚拟设备的数量，而仅受安全设备本身处理能力的限制；安全设备虚拟化的技术也不再需要基于 VLAN/VPN等特定技术实现；在安全设备虚拟化之后，多个租户可以共用一个安全设备而互不影响，并且能在 SDN系统中使用不同租户的安全策略来实现安全功能。请参阅图 4,图 4为本申请网络流量处理设备一个实施方式的结构示意图，网络流量处理设备 100包括请求模块 11和处理模块 12, 其中：

请求模块 11用于接收到网络数据流后，向策略管理设备请求网络数据流对应的控制行为，控制行为包括允许网络数据流通过或阻断网络数据流通过；当虚拟机之间进行数据访问时，产生相应的网络数据流。请求模块 11接收到网络数据流之后，向策略管理设备发出请求，以获取该网络数据流对应的控制行为。

其中，请求模块 11向策略管理设备发出请求，可以直接将网络数据流发送给策略管理设备，策略管理设备从网络数据流中提取网络数据流的属性值，这些属性值包括源物理端口、 Vlan ID、源 MAC地址、目标 MAC地址、源 IP 地址、目标 IP地址、源 TCP端口、目标 TCP端口中的至少一种属性值。当然，还可以包括其他的数据流属性值。

请求模块 11也可以从网络数据流中提取出数据流的属性值，将提取的数据流属性值发送给策略管理设备以获取该数据流对应的控制行为。策略管理设备直接根据数据流属性值找到数据流所属的安全域，根据安全域找到基于网络数据流属性的控制策略，根据查找到的控制策略和所述网络数据流属性 , 确定对所述网络数据流的控制行为，并将所述控制行为发送给处理模块 12。

处理模块 12用于接收策略管理设备返回的控制行为，根据控制行为对网络数据流进行处理。

请参阅图 5, 图 5为本申请策略管理设备一个实施方式的结构示意图，策略管理设备 200包括接收模块 21、第一确定模块 22、查找模块 23、第一确定模块 24以及发送模块 25, 其中：

接收模块 21 用于接收来自网络流量处理设备的网络数据流控制行为请求，从请求中获取网络数据流的属性值，并将属性值发送给确定模块 22, 所述属性值包括源物理端口、虚拟局域网标识、源网络硬件地址、目标网络硬件地址、源 IP地址、目标 IP地址、源传输控制协议端口、目标传输控制协议端口中的至少一种属性；

网络流量处理设备接收网络数据流后，向策略管理设备请求网络数据流的控制行为。接收模块 21接收该请求，请求中携带有网络数据流或网络数据流的属性值，接收模块 21从网络数据流中提取网络数据流的属性值或者是直接从请求中获取网络数据流的属性值，将网络数据流的属性值发送给确定模块 22。

第一确定模块 22用于根据网络数据流属性值确定网络数据流所属的安全域，安全域是同一租户采用相同安全策略的网络或系统的集合，属于同一安全域的网络数据流共享一组相同的控制策略；

第一确定模块 22根据网络数据流属性值，确定该条网络数据流属于哪个安全域。

查找模块 23用于根据确定模块 22确定得到的安全域查找对应的基于网络数据流属性的控制策略；

第二确定模块 24用于根据查找模块 23查找到的控制策略和网络数据流的属性值，确定对应于网络数据流的控制行为，将控制行为输出给发送模块 25 , 控制策略包括属于该安全域的符合预设条件的网络数据流采用的控制行为，所述预设条件包括至少一种所述属性的属性值范围，所述控制行为包括允许网络数据流通过或阻断网络数据流；

第一确定模块 22确定网络数据流所属的安全域后，查找模块 23根据确定模块 22确定的网络数据流所属的安全域查找到对应的基于网络数据流属性的控制策略，即所属安全域对应的控制策略，根据查找到的控制策略和网络数据流的属性值，确定网络数据流对应的控制行为。

在本申请实施方式中，每个安全域对应一个基于网络数据流属性的控制策略，只要确定网络数据流属于哪个安全域，就可以根据该条数据流所属的安全域查找到对应的控制策略，第二确定模块 24根据查找到的控制策略和网络数据流属性，确定网络数据流对应的控制行为，以指导网络流量处理设备对该条网络数据流进行相应的处理。

发送模块 25用于将控制行为发送给网络流量处理设备，以使网络流量处理设备根据控制行为对网络数据流进行处理。

发送模块 25将对应网络数据流的控制行为发送给网络流量处理设备，网络流量处理设备根据返回的控制行为对网络数据流进行处理。用于根据各个租户的安全策略信息，生成每个安全域基于网络数据流属性的控制策略。

各个租户的安全策略信息至少包括安全域标识、安全域与网络数据流属性的对应关系以及安全域内的安全策略。所述安全域与网络数据流属性的对应关系用于描述通过网络数据流哪些属性来确定数据流所属的安全域。

其中， "安全域与网络数据流属性的对应关系" 可以有 4艮多种，可以是任意单一或多个网络流量的网络属性值的组合。上述实施方式仅以一种对应关系为例。类似的对应关系还包括并不限于， VLAN— ID对应 "安全域"、 MPLS VPN标签对应 "安全域"、源物理端口的组合对应 "安全域" 等。

在实际应用过程中，具体使用多少种网络数据流的属性值与安全域对应，可以根据用户对安全域的划分需求决定。比如对于比较简单的策略，可能就需要使用一个网络数据流属性值描述就能实现，如：假设用户要求所有使用 TCP协议通信的网络节点属于 "安全域 TCP" , 使用 UDP通信的设备都属于 "安全域 UDP" , 那么这种安全域划分方法的网络特征描述，就只需要 "协议类型" 一个属性与安全域对应即可。也就是说，网络数据流的属性值描述的少，可划分的安全域就比较粗略，网络数据流的属性值描述的多，可划分的安全域就能更加细化。

根据 "安全域与网络数据流属性的对应关系"，可以确定安全域是通过哪些网络数据流的属性值来描述的 , 接收模块 21在提取网络数据流属性值的时候，获取跟安全域有对应关系的网络数据流属性值进行匹配，第一确定模块 22进而确定网络数据流所属的安全域。

确定一条数据流属于哪个安全域，通过查找模块 23查找到对应的基于网络数据流属性的控制策略，第二确定模块 24根据查找到的控制策略和网络数据流的属性，确定网络数据流对应的控制行为。

控制策略包括安全域内符合预设条件的网络数据流的控制行为。比如控制策略包括流表匹配域 (即上述的预设条件)和流表控制行为。流表匹配域是指网络数据流的属性与控制策略中数据流属性的匹配结果，而流表控制行为是对一条网络数据流的具体控制行为，比如但不限于是 "Accept"或 "Drop"等。

针对于 SDN应用场景，上述实施方式的网络流量处理设备为交换机，策略管理设备为控制器。对于 SDN以外的应用场景，网络流量处理设备也可以是防火墙。

请参阅图 6,图 6为本申请网络流量处理设备另一个实施方式的结构示意图，本实施方式的网络流量处理设备 100包括处理器 31、接收器 32、发送器

33、随机存取存储器 34、只读存储器 35、总线 36以及网络接口单元 37。其中，处理器 31通过总线 36分别耦接接收器 32、发送器 33、随机存取存储器

34、只读存储器 35以及网络接口单元 37。其中，当需要运行网络流量处理设备时，通过固化在只读存储器 35中的基本输入输出系统或者嵌入式系统中的 bootloader引导系统进行启动，引导网络流量处理设备进入正常运行状态。在网络流量处理设备进入正常运行状态后，在随机存取存储器 34中运行应用程序和操作系统，从网络接收数据或者向网络发送数据，使得：

接收器 32接收需要处理的网络数据流。

处理器 31用于从网络数据流中提取数据流的属性值，其中，数据流的属性值包括源物理端口、 Vlan ID、源 MAC地址、目标 MAC地址、源 IP地址、目标 IP地址、源 TCP端口、目标 TCP端口中的至少一种属性值。当然，还可以包括其他的数据流属性值。

发送器 33用于将数据流或处理器 31提取得到的数据流的属性值发送给策略管理设备以获取网络数据流对应的控制行为。

处理器 31进一步根据策略管理设备返回的网络数据流对应的控制行为，对网络数据流进行处理。所述控制行为包括各种对网络数据流的具体处理方式。比如允许网络数据流通过或阻断网络数据流通过，还可以包括其他的处理方式，比如地址交换、地址翻译等。

本实施方式中，处理器 31可能是一个中央处理器 CPU, 或者是特定集成电路 ASIC ( Application Specific Integrated Circuit ), 或者是被配置成实施本申请实施方式的一个或多个集成电路。

请参阅图 7, 图 7为本申请策略管理设备另一个实施方式的结构示意图，本实施方式策略管理设备 200包括处理器 41、接收器 42、发送器 43、随机存取存储器 44、只读存储器 45以及总线 46。其中，处理器 41通过总线 46分别耦接接收器 42、发送器 43、随机存取存储器 44以及只读存储器 45。其中，当需要运行策略管理设备时，通过固化在只读存储器 45中的基本输入输出系统或者嵌入式系统中的 bootloader引导系统进行启动，引导策略管理设备进入正常运行状态。在策略管理设备进入正常运行状态后，在随机存取存储器 44 中运行应用程序和操作系统，并使得：

接收器 42从网络流量处理设备接收网络数据流的控制行为请求，请求中包括网络数据流或网络数据流的属性值。

处理器 41从控制行为请求中获取网络数据流的属性值，根据网络数据流的属性值，确定网络数据流所属的安全域，安全域是同一租户采用相同安全策略的网络或系统的集合，属于同一安全域的网络数据流共享一组相同的控制策略。比如 "租户 Γ租用了 A,B,C三台计算机， "租户 2" 租用了 1、 2、 3 三台计算机；可定义 "租户 Γ 的计算机属于 "安全域 1" , "租户 2" 的计算机属于 "安全域 2"。而区分不同租户，可以通过每个租户的 VLAN— ID、 MAC 地址、 VPN 隧道等等。比如以 MAC 地址描述， "安全域 Γ 可以包括以下 MAC地址组合： MACA、 MACB、 MACC; "安全域 2" 可以包括以下 MAC 地址组合： MAC1、 MAC2、 MAC3 , 依次类推。处理器 41进一步根据网络数据流所属的安全域，查找对应的基于网络数据流属性的控制策略，根据查找到的控制策略和网络数据流属性，确定网络数据流对应的控制行为，将该控制行为输出给所述发送器 43。

本申请实施方式中，处理器 41还用于预先根据各个租户的安全策略信息，生成每个安全域基于网络数据流属性的控制策略。

其中， "安全域与网络数据流属性的对应关系" 可以有 4艮多种，可以是任意单一或多个网络流量的网络属性值的组合。比如但不限于是 VLAN— ID对应 "安全域"、 MPLS VPN标签对应 "安全域"、源物理端口的组合对应 "安全域" 等。

在实际应用过程中，具体使用多少种网络数据流的属性值与安全域对应，可以根据用户对安全域的划分需求决定。比如对于比较简单的策略，可能就需要使用一个网络数据流的属性值描述就能实现，如：假设用户要求所有使用 TCP协议通信的网络节点属于 "安全域 TCP" , 使用 UDP通信的设备都属于 "安全域 UDP" , 那么这种安全域划分方法的网络特征描述，就只需要 "协议类型" 一个属性值与安全域对应即可。也就是说，网络数据流的属性值描述的少，可划分的安全域就比较粗略，网络数据流的属性值描述的多，可划分的安全域就能更加细化。

处理器 41 根据 "安全域与网络数据流属性的对应关系"，可以确定安全域是通过哪些网络数据流属性值来描述的，在提取网络数据流属性值的时候，获取跟安全域有对应关系的网络数据流属性值进行匹配，进而确定网络数据流所属的安全域。

确定一条数据流属于哪个安全域，查找到对应的控制策略即数据流所属的安全域的控制策略。

控制策略包括安全域内符合预设条件的网络数据流的控制行为。比如控制策略包括流表匹配域 (即上述预设条件)和流表控制行为。流表匹配域是指网络数据流的属性与控制策略中数据流属性的匹配结果，而流表控制行为是对网络数据流的具体控制行为，比如但不限于是 "Accept" 或 "Drop" 等。

本实施方式中，处理器 41可能是一个中央处理器 CPU, 或者是特定集成电路 ASIC ( Application Specific Integrated Circuit ), 或者是被配置成实施本申请实施方式的一个或多个集成电路。

发送器 43是将处理器 41得到的对应网络数据流的控制行为发送给网络流量处理设备，以使网络流量处理设备根据控制行为对网络数据流进行相应的处理。

根据上述网络流量处理设备以及策略管理设备，本申请还提供一种网络系统，网络系统包括网络流量处理设备 100以及策略管理设备 200, 其中网络流量处理设备 100以及策略管理设备 200之间实现通信，具体实现过程请参阅 1 以及相关描述，网络流量处理设备 100以及策略管理设备 200的具体功能实现请参与图 4-图 7相关实施方式的描述，在此不再贅述。

值得一提的是，本申请访问控制方法如果应用于 SDN场景中，上述实施方式提到的网络流量处理设备为交换机，策略管理设备为控制器。如果应用在 SDN以外的场景，网络流量处理设备也可以是防火墙。

上述技术方案，策略管理设备根据流经网络流量处理设备的网络数据流的属性，确定所述网络数据流所属的安全域，然后根据策略管理设备中每个安全域内基于网络数据流属性的控制策略以及所述网络数据流的属性值，确定对所述网络数据流采用的控制行为；所述网络流量处理设备根据所述控制行为对所述网络数据流进行处理。由于安全域是基于各个租户安全策略的作用范围而划分的。因此，通过这种方式，安全设备虚拟化的数量，可以不再受限于专业安全设备本身所支持的 "虚拟端口" 等与协议相关的虚拟设备的数量，而仅受安全设备本身处理能力的限制；安全设备虚拟化的技术也不再需要基于 VLAN/VPN等特定技术实现；在安全设备虚拟化之后，多个租户可以共用一个安全设备而互不影响，并且能在 SDN系统中使用不同租户的安全策略来实现安全功能。

在本申请所提供的几个实施方式中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施方式仅仅是示意性的，例如，所述模块或单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施方式方案的目的。

另外，在本申请各个实施方式中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备（可以是个人计算机，服务器，或者网络设备等）或处理器（processor )执行本申请各个实施方式所述方法的全部或部分步骤。而前述的存储介质包括： U盘、移动硬盘、只读存储器（ROM, Read-Only Memory ),随机存取存储器（RAM, Random Access Memory )、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述仅为本申请的实施方式，并非因此限制本申请的专利范围，凡是利用本申请说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本申请的专利保护范围内。

发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。

Claims

权利要求

1.一种访问控制方法，其特征在于，包括：

网络流量处理设备接收到网络数据流后，向策略管理设备请求所述网络数据流对应的控制行为，所述控制行为包括允许网络数据流通过或阻断网络数据流；

所述网络流量处理设备根据所述控制行为对所述网络数据流进行处理。

2.根据权利要求 1所述的方法，其特征在于，所述向策略管理设备请求所述网络数据流对应的控制行为，具体包括：

所述网络流量处理设备向所述策略管理设备发送所述数据流，接收所述策略管理设备返回的控制行为；或

所述网络流量处理设备从所述网络数据流中提取所述网络数据流的属性值，向所述策略管理设备发送所述属性值，接收所述策略管理设备返回的控制行为，所述属性值包括源物理端口、虚拟局域网标识、源网络硬件地址、目标网络硬件地址、源 IP地址、目标 IP地址、源传输控制协议端口、目标传输控制协议端口中的至少一种。

3.—种访问控制方法，其特征在于，包括：

策略管理设备接收来自网络流量处理设备的网络数据流控制行为请求，从所述请求中获取所述网络数据流的属性值，所述属性值包括源物理端口、虚拟局域网标识、源网络硬件地址、目标网络硬件地址、源 IP地址、目标 IP 地址、源传输控制协议端口、目标传输控制协议端口中的至少一种；

根据所述网络数据流的属性值确定所述网络数据流所属的安全域，所述安全域是同一租户采用相同安全策略的网络或系统的集合，属于同一安全域的网络数据流共享一组相同的控制策略；

根据所述安全域查找对应的基于网络数据流属性的控制策略，所述控制策略包括对属于该安全域的符合预设条件的网络数据流采用的控制行为，所述预设条件包括至少一种所述属性的属性值范围，所述控制行为包括允许网络数据流通过或阻断网络数据流；

根据查找到的控制策略和所述网络数据流的属性值，确定对所述网络数据流采用的控制行为；

将所述控制行为发送给所述网络流量处理设备，以使网络流量处理设备根据所述控制行为对所述网络数据流进行处理。

4.根据权利要求 3所述的方法，其特征在于，

所述策略管理设备接收来自网络流量处理设备的网络数据流控制行为请求，从所述请求中获取所述网络数据流的属性的步骤之前，还包括：

策略管理设备根据各个租户的安全策略信息，生成每个安全域基于网络数据流属性的所述控制策略。

5.根据权利要求 4所述的方法，其特征在于，

所述各个租户的安全策略信息至少包括安全域标识、安全域与网络数据流属性的对应关系以及安全域内的安全策略；

所述根据所述网络数据流的属性值确定所述网络数据流所属的安全域，具体包括：

根据所述安全域与网络数据流属性的对应关系，从所述网络数据流的属性值中提取安全域对应的属性值；

将提取的属性值与各安全域对应的属性值进行匹配，确定所述网络数据流所属的安全域。

6.根据权利要求 5所述的方法，其特征在于，

所述安全域与网络数据流属性的对应关系包括安全域与虚拟局域网标识、网络硬件地址集合、虚拟专用网隧道集合、源物理端口的集合中任一种或两种以上网络数据流属性组合的对应关系。

7.根据权利要求 3至 6任一所述的方法，其特征在于，

所述网络流量处理设备为交换机，所述策略管理设备为控制器。

8.—种网络流量处理设备，其特征在于，包括请求模块和处理模块，其中：所述请求模块用于接收到网络数据流后，向策略管理设备请求所述网络数据流对应的控制行为，所述控制行为包括允许网络数据流通过或阻断网络数据流；

所述处理模块用于根据策略管理设备返回的所述控制行为对所述网络数据流进行处理。

9.根据权利要求 8所述的设备，其特征在于，

所述请求模块用于向所述策略管理设备发送所述网络数据流或从所述网络数据流中提取的网络数据流属性值，以向策略管理设备请求所述网络数据流对应的控制行为，所述属性值包括源物理端口、虚拟局域网标识、源网络硬件地址、目标网络硬件地址、源 IP地址、目标 IP地址、源传输控制协议端口、目标传输控制协议端口中的至少一种属性值。

10.—种策略管理设备，其特征在于，包括接收模块、第一确定模块、查找模块、第二确定模块以及发送模块，其中：

所述接收模块用于接收来自网络流量处理设备的网络数据流控制行为请求，从所述请求中获取所述网络数据流的属性值，并将所述属性值发送给所述确定模块，所述属性值包括源物理端口、虚拟局域网标识、源网络硬件地址、目标网络硬件地址、源 IP地址、目标 IP地址、源传输控制协议端口、目标传输控制协议端口中的至少一种属性值；

所述第一确定模块用于根据所述网络数据流的属性值确定所述网络数据流所属的安全域，所述安全域是同一租户采用相同安全策略的网络或系统的集合，属于同一安全域的网络数据流共享一组相同的控制策略；

所述查找模块用于根据所述第一确定模块确定出的所述安全域，查找对应的基于网络数据流属性的控制策略，所述控制策略包括对属于该安全域的符合预设条件的网络数据流采用的控制行为，所述预设条件包括至少一种所述属性的属性值范围，所述控制行为包括允许网络数据流通过或阻断网络数据流；

所述第二确定模块用于根据所述查找模块查找到的控制策略和所述网络数据流的属性值，确定对所述网络数据流采用的控制行为，将所述控制行为输出给所述发送模块，

所述发送模块用于将所述第二确定模块得到的对所述网络数据流采用的控制行为发送给所述网络流量处理设备，以使所述网络流量处理设备根据所述控制行为对所述网络数据流进行处理。

11.根据权利要求 10所述的设备，其特征在于，

所述设备还包括策略生成模块，用于根据各个租户的安全策略信息，生成每个安全域基于网络数据流属性的控制策略，将所述每个安全域基于网络数据流属性的控制策略输出给所述确定模块和所述查找模块。

12.—种网络系统，其特征在于，包括权利要求 8-9任一项所述的网络流量处理设备以及权利要求 10-11任一项所述的策略管理设备。

13.—种网络流量处理设备，其特征在于，包括存储器、处理器、接收器和发送器，其中：所述存储器，用于存储程序代码；

所述接收器，用于接收需要处理的网络数据流；

所述处理器，用于读取所述存储器中存储的程序代码，执行：从所述网络数据流中提取数据流的属性值，其中，数据流的属性值包括源物理端口、

Vlan ID、源 MAC地址、目标 MAC地址、源 IP地址、目标 IP地址、源 TCP 端口、目标 TCP端口中的至少一种属性值；

所述发送器，用于将数据流或所述处理器提取得到的数据流的属性值发送给策略管理设备以获取网络数据流对应的控制行为；

所述处理器，还用于根据策略管理设备返回的网络数据流对应的控制行为，对网络数据流进行处理。

14.一种策略管理设备，其特征在于，包括处理器、存储器、接收器和发送器，其中：

所述存储器，用于存储程序代码；

所述接收器，用于接收网络数据流的控制行为请求，请求中包括网络数据流或网络数据流的属性值；

所述处理器，用于读取所述存储器中存储的程序代码，执行：从所述请求中获取所述网络数据流的属性值，所述属性值包括源物理端口、虚拟局域网标识、源网络硬件地址、目标网络硬件地址、源 IP地址、目标 IP地址、源传输控制协议端口、目标传输控制协议端口中的至少一种；

根据查找到的控制策略和所述网络数据流的属性值，确定对所述网络数据流采用的控制行为；将所述控制行为输出给发送器；

所述发送器，用于将所述处理器确定的所述控制行为发送给所述网络流量处理设备。