CN102801659A - 一种基于流策略的安全网关实现方法及装置 - Google Patents
一种基于流策略的安全网关实现方法及装置 Download PDFInfo
- Publication number
- CN102801659A CN102801659A CN201210288862XA CN201210288862A CN102801659A CN 102801659 A CN102801659 A CN 102801659A CN 201210288862X A CN201210288862X A CN 201210288862XA CN 201210288862 A CN201210288862 A CN 201210288862A CN 102801659 A CN102801659 A CN 102801659A
- Authority
- CN
- China
- Prior art keywords
- data message
- flow policy
- address
- safety function
- flow
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及数据通信领域,尤其涉及一种基于流策略的一体化多功能安全网关实现方法及装置。提供一种基于流策略的一体化多功能安全网关实现方法,旨在解决现有技术中数据报文的处理效率和处理器特别是多核处理器的利用效率都非常低的问题。本发明通过按照五元组并结合地址掩码和端口范围对数据流进行统一的策略设置,对数据报文进行一次性的流策略匹配并根据匹配结果按需调度相关的安全功能模块,提升多安全功能模块并存时流策略的查询效率。本发明主要应用于数据通信领域。
Description
技术领域
本发明涉及数据通信领域,尤其涉及一种基于流策略的一体化多功能安全网关实现方法及装置。
背景技术
目前,市场上的UTM(Unified Threat Management,网络安全产品方面)等多功能安全网关设备通常采用的是各安全功能分别配置和查询安全策略的软件处理流程,且各安全功能只能串行处理数据报文,不能并行处理,一个数据报文在整个系统中要经过很多次的策略检索和处理,效率很低,功能越多实际处理效果越差,其处理模型如图1所示:
网卡接收到数据报文之后,要经过多个安全功能模块的层层拦截处理,每次都要提取数据报文的五元组(源与目的IP地址、传输层的源与目的端口、传输层协议号)信息,遍历该安全功能对应的策略列表,结合地址掩码和端口范围进行匹配操作,一个数据报文从进入系统到离开系统,有很多这样的重复动作。
现有的这种多安全功能策略查询与处理方法,基本工作在串行模式,很多非常雷同的策略匹配操作,并行性差,重复量大,造成数据报文的处理效率和处理器特别是多核处理器的利用效率都非常低,需要占用很多的内存资源和中央处理器的开销。
发明内容
本发明的目的在于:提供一种基于流策略的一体化多功能安全网关实现方法,旨在解决现有技术中各安全功能模块各自进行策略查询与匹配,导致并行性差,重复量大,造成数据报文的处理效率和处理器特别是多核处理器的利用效率都非常低的问题。
本发明采用的技术方案如下:
一种基于流策略的安全网关实现方法,其特征在于包括
步骤1:处理器根据五元组、地址掩码与端口范围定义数据流,并对数据流配置多个安全功能标志位,形成流策略,所述多个流策略形成流策略列表;
步骤2:处理器启动多个安全功能检测线程,各个安全功能检测线程分别实现安全功能检测;
步骤3:处理器对网卡接收到数据报文与所述流策略列表进行流策略匹配,根据匹配结果,采用位图方式为每个数据报文加载位图标签;
步骤4:根据数据报文加载的位图标签调度安全功能检测线程,实现对数据报文不同的安全功能检测处理,根据安全功能检测结果处理数据报文;
步骤5:所述安全功能检测处理结果若其中一个为“丢弃”则该数据报文应该丢弃。
所述步骤1中所述流策略列表包括多个流策略,所述流策略是不同五元组信息、不同地址掩码、不同端口范围及多个安全功能标志位的流策略。
所述步骤3中对网卡接收到的数据报文与所述流策略列表进行流策略匹配的具体过程是:
步骤31:通过将网卡接收的数据报文的源IP地址与数据报文的目的IP地址分别与流策略的地址掩码进行与运算,若与运算结果与流策略中的源IP地址与流策略目的IP地址相同,则数据报文的源IP地址与数据报文目的IP地址符合条件,否则该数据报文视为不匹配该策略;
步骤32:通过判断网卡接收的数据报文的源端口地址与网卡接收的数据报文的目的端口地址分别对应属于流策略的源端口范围与流策略的目的端口范围,则数据报文的源端口地址与数据报文的目的端口地址符合条件,否则该数据报文视为不匹配该策略;
步骤33:通过将网卡接收的数据报文的协议号与流策略列表中传输层协议号相同,则数据报文的协议号符合条件,否则该数据报文视为不匹配该策略;
步骤34:将所述的流策略包括的安全功能标志位形成位图标签加载到所述数据报文中。
所述步骤3中位图标签由多个“0”或“1”组成的数组,所述位图标签中“1”表示需要进行安全功能检测的处理,所述位图标签中“0”表示该数据报文无需进行安全功能检测的处理。
所述步骤4中调度的安全功能检测线程是并行处理同一数据报文或者不同数据报文。
所述步骤4中安全功能检测结果包括通过、报警或丢弃,若是安全功能检测结果其中一个为“丢弃”,则该数据报文将被丢弃;若安全功能检测结果均为“通过”,则该数据报文通过网卡转发;若安全功能检测结果为“报警”,则只是记录报警日志并通过邮件、短信等方式通知管理员,对该数据报文仍可进行“通过”或“丢弃”处理。
所述步骤1之前还包括启动若干线程,分别运行实现各安全功能模块的线程;并初始化统一的流策略列表,加载流策略的步骤。
一种基于流策略的安全网关实现装置,其特征在于包括初始化模块,用于初始化安全功能模块,根据五元组、地址掩码及数据范围对数据流进行流策略加载,形成流策略,并进一步形成流策略列表;策略匹配模块,用于将网卡接受到数据报文与流策略列表进行查询匹配,根据匹配结果为数据报文加载位图标签;数据处理模块,用于根据数据报文加载的位图标签调度安全功能模块,对数据报文进行处理; 数据发送模块,用于根据安全功能模块的处理结果处理数据报文。
所述流策略列表是包括多个流策略,流策略是不同地址掩码、端口范围及多个安全功能标志位的流策略。
策略匹配模块将网卡接受到数据报文与流策略列表进行查询匹配具体过程是:
步骤31:通过将网卡接收的数据报文的源IP地址与数据报文的目的IP地址分别与每个流策略的地址掩码进行与运算,若与运算结果与流策略中的源IP地址与流策略目的IP地址相同,则数据报文的源IP地址与数据报文目的IP地址符合条件,该数据报文视为不匹配该策略;
步骤32:通过判断网卡接收的数据报文的源端口地址与网卡接收的数据报文的目的端口地址分别对应属于流策略的源端口范围与流策略的目的端口范围,则数据报文的源端口地址与数据报文的目的端口地址符合条件,否则该数据报文视为不匹配该策略;
步骤33:通过将网卡接收的数据报文的协议号与流策略列表中传输层协议号相同,则数据报文的协议号符合条件,否则该数据报文视为不匹配该策略;
步骤34:将所述的流策略包括的安全功能标志位形成位图标签加载到所述数据报文中,位图标签比特位为“1”表示需要进行安全功能检测的处理,位图标签比特位是“0”则表示该数据报文无需进行安全功能检测的处理;所述数据处理模块调度的安全功能模块时并行处理同一数据报文或者不同数据报文;所述数据发送模块处理结果包括通过、报警或丢弃,数据发送模块处理结果若是其中一个为“丢弃”,则该数据报文将被丢弃;若安全检测结果均为“通过”,则该数据报文才能正常转发,安全功能检测结果,若安全功能检测结果为“报警”,则只是记录报警日志并通过邮件、短信方式通知管理员,对该数据报文进行“通过”或“丢弃”处理。
综上所述,由于采用了上述技术方案,本发明的有益效果是:本发明采用的技术方案如下:本发明通过按照五元组并结合地址掩码和端口范围对数据流进行统一的策略设置,对数据报文进行一次性的流策略匹配并根据匹配结果按需调度相关的安全功能模块,从而可以极大地提升多安全功能模块并提高流策略的查询效率,并可提高多个安全功能模块运行的并行度,实现数据报文的处理效率及处理器特别是多核处理器利用效率的大幅提高。
附图说明
本发明将通过例子并参照附图的方式说明,其中:
图1是现有技术中一体化多功能安全网关(UTM等)处理模型;
图2是本发明基于流策略的一体化多功能安全网关的实现流程图;
图3是本发明基于流策略的一体化多功能安全网关实现模型;
图4是本发明基于流策略的一体化多功能安全网关装置的结构图。
具体实施方式
本说明书中公开的所有特征,或公开的所有方法或过程中的步骤,除了互相排斥的特征和/或步骤以外,均可以以任何方式组合。
本说明书(包括任何附加权利要求、摘要和附图)中公开的任一特征,除非特别叙述,均可被其他等效或具有类似目的的替代特征加以替换。即,除非特别叙述,每个特征只是一系列等效或类似特征中的一个例子而已。
本设计相关术语定义
五元组信息:通信术语。通常是指由源IP地址,源端口,目的IP地址,目的端口,和传输层协议号这五个量组成的一个集合;
数据报文包含源端口号、目的端口号、源IP地址、目的IP地址、协议号;
流策略列表:包括多个流策略,所述流策略是不同五元组、地址掩码、端口范围及多个安全功能标志位的流策略。每个流策略是只为所匹配数据流的数据报文配置涵盖安全功能检测的流策略;每条数据报文所要进行的安全功能检测内容是不同的,因此在设置流策略时,若数据报文需要进行某个安全功能检测,则设置相应标志位,若数据报文不需要进行某个功能检测,则不设置对应标志位,为后续形成位图标签提供基础;
地址掩码:(Address mask),也叫子网掩码,网络掩码。它是一种用来指明一个IP地址的哪些位标识的是主机所在的子网以及哪些位标识的是主机的位掩码。子网掩码不能单独存在,它必须结合IP地址一起使用。子网掩码只有一个作用,就是将某个IP地址划分成网络地址和主机地址两部分。在使用ping、netstat等工具时,会出现Address masks;
安全功能(通过安全功能模块1、安全功能模块2……安全功能模块n实现各个安全功能)包括防火墙功能检测、病毒过滤检测、入侵防御检测、垃圾邮件过滤检测、应用识别与控制检测、网页防篡改检测、抗DoS攻击检测、流量控制检测等与网络应用相关的安全功能;
位图标签:是以8比特字节为单位的数组,数组长度L取决于需要进行安全功能检测的数目N,L= 
,这个公式表示N的长度是L长度的8倍,位图标签是由N个“0”或“1”组成的数组。
实施例一:如图2所示,本发明实施例提供的基于流策略的一体化多功能安全网关实现方法的实施流程,详述如下:
在步骤1中,处理器按照五元组并结合地址掩码与端口范围定义数据流,并对该数据流进行统一的策略设置,只为该数据流配置一条涵盖特定安全功能的流策略,多个流策略形成流策略列表;
在步骤2中,处理器启动多个安全功能检测线程,分别实现各安全功能,在多核平台上可由不同的处理器核运行不同的功能线程,使各功能模块达到最大的并行度。
在步骤3中,处理器对网卡接收到的数据报文与流策略列表中的每个流策略进行查询匹配,根据查询匹配的结果,采用位图的方式为每个数据报文打上位图标签。
在步骤4中,处理器根据数据报文加载的位图标签按需调度相应各安全功能模块的实现线程对该数据报文进行相应的多个不同安全功能的处理,根据安全功能检测结果处理数据报文,从而可以极大地提升多安全功能模块并存时流策略的查询效率,提高多安全功能模块运行的并行度,实现数据报文的处理效率及处理器特别是多核处理器利用效率的大幅提高。
实施例二:在实施例一基础上,所述步骤1流策略列表包括多个流策略,所述流策略是不同五元组信息、不同地址掩码、不同端口范围及多个安全功能标志位组成的流策略。
实施例三:在实施例一或二基础上,如图3所示,所述步骤3中网卡接收到的数据报文与流策略列表中每个流策略进行查询匹配具体过程,详述如下:
步骤31:通过将网卡接收的数据报文的源IP地址与数据报文的目的IP地址分别与每个流策略的地址掩码进行与运算,若与运算结果与流策略中的源IP地址与流策略目的IP地址相同,则数据报文的源IP地址与数据报文目的IP地址符合条件,否则该数据报文视为不匹配该策略;
步骤32:通过判断网卡接收的数据报文的源端口地址与网卡接收的数据报文的目的端口地址分别对应属于流策略的源端口范围与流策略的目的端口范围,则数据报文的源端口地址与数据报文的目的端口地址符合条件,否则该数据报文视为不匹配该策略;
步骤33:通过将网卡接收的数据报文的协议号与流策略列表中传输层协议号相同,则数据报文的协议号符合条件,否则该数据报文视为不匹配该策略;
步骤34:将所述的流策略包括的安全功能标志位形成对应的位图标签加载到所述数据报文中,若流策略中包括对应的安全功能标志位,则位图标签比特位设置为“1”,若流策略中不包括对应的安全功能标志位,则位图标签比特位设置为“0”,即位图标签比特位是“1”表示需要进行该位所对应安全功能的处理,位图标签比特位是“0”则表示该数据报文无需进行该位所对应安全功能的处理。
举例说明:对于网卡接收到的数据报文源IP地址(Sip-A)、目的IP地址(Dip-A)、源端口地址(Sport-A)、目的端口地址(Dport-A)、协议格式(Protocol-A),流策略列表中的流策略源IP地址掩码(Smask-1)、目的IP地址掩码(Dmask-2)、源端口范围(Sport_range-1)、目的端口范围(Dport_range-1),若此数据报文需要与流策略列表中某一个流策略进行查询匹配需要满足以下条件:Sip-A&Smask-1=Sip-1, Dip-A&Dmask-2=Dip-2, Protocol-A=Protocol-1,Sport-A在Sport_range-1之内,Dport-A在 Dport_range-1之内。每个数据报文在匹配完流策略之后都会带上一个位图标签,设备支持N种安全功能,位图就有N位,位图对应位置“1“表示需要采用该安全功能对该数据报文进行处理,位图对应位置”0“表示需要不采用该安全功能对该数据报文进行处理。。
实施例四:在实施例一、二或三基础上,所述步骤3中位图标签由多个“0”或“1”组成的数组,所述位图标签比特位中“1”表示需要进行该位所对应安全功能的处理,所述位图标签比特位中“0”表示该数据报文无需进行该位所对应安全功能的处理。
实施例五:在实施例一至四之一的基础上,所述步骤4中在多核硬件环境下,承载各安全功能检测线程可以实现并行处理。对于同一条数据流,同一时间可以由不同的功能线程处理不同的数据报文,同一数据报文按接受顺序一一处理,从而形成流水线处理机制;也可以通过指针传递,各功能线程同时处理同一个数据报文(前提条件是不改变数据报文的内容),两种方式都可以达到较高的处理效率和数据吞吐率。
实施例六:在实施例一至五之一基础上,所述步骤4中安全功能检测结果包括通过网卡转发、报警或丢弃,若是安全功能检测结果其中一个为“丢弃”,则该数据报文将被丢弃;若安全功能检测结果均为“通过”,则该数据报文才能正常转发; 若安全功能检测结果为“报警”,则只是记录报警日志并通过邮件、短信等方式通知管理员,对该数据报文仍可进行“通过”或“丢弃”处理。
实施例七:在实施例一至六之一的基础上,步骤1之前还包括启动若干线程,分别运行实现各安全功能模块的程序;并初始化统一的流策略列表,加载流策略的步骤。
图4则示出了本发明实施例提供的基于流策略的一体化多功能安全网关实现装置42,为了便于说明,仅示出了与本发明实施例相关的部分,这些部分可以是软件、硬件或软硬件结合的模块:
实施例十一:本装置42包括初始模块421、策略匹配模块422、数据处理模块423以及数据发送模块424。
其中,初始化模块421用于初始化安全功能模块,根据五元组、地址掩码及数据范围对数据流进行流策略加载,形成流策略,并进一步通过多个流策略形成流策略列表。
策略匹配模块422用于将网卡接受到数据报文与初始化模块中的流策略列表进行查询匹配,根据匹配的结果为数据报文加载位图标签,位图标签比特位置“1”表示需要进行该位所对应安全功能的处理,置“0”则表示该数据报文无需进行该位所对应安全功能的处理,然后将加载位图标签的数据报文传递给数据处理模块。
数据处理模块423根据数据报文所加载的位图标签按需调度相应各安全功能模块的实现线程,对数据报文进行处理。
数据发送模块424,根据各安全功能模块的处理结果,决定数据报文的最终去向,或者在路由或网桥寻路之后通过网卡转发,或者重定向到其他安全设备,或者报警并记录日志,或者直接丢弃数据报文等等。
实施例十二:在实施例十一基础上,所述流策略列表是包括多个流策略,流策略是不同地址掩码、端口范围及需要进行安全功能标志位的流策略。
实施例十三:在实施例十一或十二基础上,所述策略匹配模块,用于将网卡接受到数据报文与流策略列表进行匹配具体过程,详述如下:
步骤31:通过将网卡接收的数据报文的源IP地址与数据报文的目的IP地址分别与每个流策略的地址掩码进行与运算,若与运算结果与流策略中的源IP地址与流策略目的IP地址相同,则数据报文的源IP地址与数据报文目的IP地址符合条件,否则该数据报文视为不匹配该策略;
步骤32:通过判断网卡接收的数据报文的源端口地址与网卡接收的数据报文的目的端口地址分别对应属于流策略的源端口范围与流策略的目的端口范围,则数据报文的源端口地址与数据报文的目的端口地址符合条件,否则该数据报文视为不匹配该策略;
步骤33:通过将网卡接收的数据报文的协议号与流策略列表中传输层协议号相同,则数据报文的协议号符合条件,否则该数据报文视为不匹配该策略;
步骤34:将所述的流策略包括的安全功能标志位形成对应的位图标签加载到所述数据报文中,若流策略中包括对应的安全功能标志位,则位图标签比特位设置为“1”,若流策略中不包括对应的安全功能标志位,则位图标签比特位设置为“0”,即位图比特位置“1”表示需要进行该位所对应安全功能的处理,置“0”则表示该数据报文无需进行该位所对应安全功能的处理。
实施例十四:在实施例十一、十二或十三基础上,数据处理模块调度的安全功能模块时并行处理同一数据报文或者不同数据报文,各安全功能检测线程可以实现并行处理。对于同一条数据流,同一时间可以由不同的功能线程处理不同的数据报文,同一数据报文按接受顺序一一处理,从而形成流水线处理机制;也可以通过指针传递,各功能线程同时处理同一个数据报文(前提条件是不改变数据报文的内容),两种方式都可以达到较高的处理效率和数据吞吐率。
实施例十五:在实施例十一至实施例十四基础上,数据发送模块处理结果包括通过、报警或丢弃,数据发送模块处理结果若是其中一个为“丢弃”,则该数据报文将被丢弃;若安全检测结果均为“通过”,则该数据报文才能正常转发,安全检测结果,若安全功能检测结果为“报警”,则只是记录报警日志并通过邮件、短信等方式通知管理员,对该数据报文仍可进行“通过”或“丢弃”处理。。
本发明并不局限于前述的具体实施方式。本发明扩展到任何在本说明书中披露的新特征或任何新的组合,以及披露的任一新的方法或过程的步骤或任何新的组合。
Claims (10)
1.一种基于流策略的安全网关实现方法,其特征在于包括
步骤1:处理器根据五元组、地址掩码与端口范围定义数据流,并对数据流配置多个安全功能标志位,形成流策略,所述多个流策略形成流策略列表;
步骤2:处理器启动多个安全功能检测线程,各个安全功能检测线程分别实现安全功能检测;
步骤3:处理器对网卡接收到数据报文与所述流策略列表进行流策略匹配,根据匹配结果,采用位图方式为每个数据报文加载位图标签;
步骤4:处理器根据数据报文加载的位图标签调度安全功能检测线程,实现对数据报文不同的安全功能检测处理,根据安全功能检测结果处理数据报文。
2.根据权利要求1所述的一种基于流策略的安全网关实现方法,其特征在于所述步骤1中所述流策略列表包括多个流策略,所述流策略是不同五元组信息、不同地址掩码、不同端口范围及多个安全功能标志位的流策略。
3.根据权利要求2所述的一种基于流策略的安全网关实现方法,其特征在于所述步骤3中对网卡接收到的数据报文与所述流策略列表进行流策略匹配的具体过程是:
步骤31:通过将网卡接收的数据报文的源IP地址与数据报文的目的IP地址分别与流策略的地址掩码进行与运算,若与运算结果与流策略中的源IP地址与流策略目的IP地址相同,则数据报文的源IP地址与数据报文目的IP地址符合条件,否则该数据报文视为不匹配该策略;
步骤32:通过判断网卡接收的数据报文的源端口地址与网卡接收的数据报文的目的端口地址分别对应属于流策略的源端口范围与流策略的目的端口范围,则数据报文的源端口地址与数据报文的目的端口地址符合条件,否则该数据报文视为不匹配该策略;
步骤33:通过将网卡接收的数据报文的协议号与流策略列表中传输层协议号相同,则数据报文的协议号符合条件,否则该数据报文视为不匹配该策略;
步骤34:将所述的流策略包括的安全功能标志位形成位图标签加载到所述数据报文中。
4.根据权利要求3所述的一种基于流策略的安全网关实现方法,其特征在于所述步骤3中位图标签由多个“0”或“1”组成的数组,所述位图标签中“1”表示需要进行安全功能检测的处理,所述位图标签中“0”表示该数据报文无需进行安全功能检测的处理。
5.根据权利要求4所述的一种基于流策略的安全网关实现方法,其特征在于所述步骤4中调度的安全功能检测线程是并行处理同一数据报文或者不同数据报文。
6.根据权利要求1至5之一所述的一种基于流策略的安全网关实现方法,其特征在于所述步骤4中安全功能检测结果包括通过、报警或丢弃,若是安全功能检测结果其中一个为“丢弃”,则该数据报文将被丢弃;若安全功能检测结果均为“通过”,则该数据报文通过网卡转发;若安全功能检测结果为“报警”,则只是记录报警日志并通过邮件、短信等方式通知管理员,对该数据报文仍可进行“通过”或“丢弃”处理。
7.根据权利要求6所述的一种基于流策略的安全网关实现方法,其特征在于所述步骤1之前还包括启动若干线程,分别运行实现各安全功能模块的线程;并初始化统一的流策略列表,加载流策略的步骤。
8.根据权利要求1所述的一种基于流策略的安全网关实现装置,其特征在于包括
初始化模块,用于初始化安全功能模块,根据五元组、地址掩码及数据范围对数据流进行流策略加载,形成流策略,并形成流策略列表;
策略匹配模块,用于将网卡接受到数据报文与流策略列表进行查询匹配,根据匹配结果为数据报文加载位图标签;
数据处理模块,用于根据数据报文加载的位图标签调度安全功能模块,对数据报文进行处理;
数据发送模块,用于根据安全功能模块的处理结果处理数据报文。
9.根据权利要求8所述的一种基于流策略的安全网关实现装置,其特征在于所述流策略列表是包括多个流策略,流策略是不同地址掩码、端口范围及多个安全功能标志位的流策略。
10.根据权利要求9所述的一种基于流策略的安全网关实现装置,其特征在于策略匹配模块将网卡接受到数据报文与流策略列表进行查询匹配具体过程是:
步骤31:通过将网卡接收的数据报文的源IP地址与数据报文的目的IP地址分别与每个流策略的地址掩码进行与运算,若与运算结果与流策略中的源IP地址与流策略目的IP地址相同,则数据报文的源IP地址与数据报文目的IP地址符合条件,该数据报文视为不匹配该策略;
步骤32:通过判断网卡接收的数据报文的源端口地址与网卡接收的数据报文的目的端口地址分别对应属于流策略的源端口范围与流策略的目的端口范围,则数据报文的源端口地址与数据报文的目的端口地址符合条件,否则该数据报文视为不匹配该策略;
步骤33:通过将网卡接收的数据报文的协议号与流策略列表中传输层协议号相同,则数据报文的协议号符合条件,否则该数据报文视为不匹配该策略;
步骤34:将所述的流策略包括的安全功能标志位形成位图标签加载到所述数据报文中,位图标签比特位为“1”表示需要进行安全功能检测的处理,位图标签比特位是“0”则表示该数据报文无需进行安全功能检测的处理;所述数据处理模块调度的安全功能模块时并行处理同一数据报文或者不同数据报文;所述数据发送模块处理结果包括通过、报警或丢弃,数据发送模块处理结果若是其中一个为“丢弃”,则该数据报文将被丢弃;若安全检测结果均为“通过”,则该数据报文才能正常转发,安全功能检测结果,若安全功能检测结果为“报警”,则只是记录报警日志并通过邮件、短信方式通知管理员,对该数据报文进行“通过”或“丢弃”处理。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210288862.XA CN102801659B (zh) | 2012-08-15 | 2012-08-15 | 一种基于流策略的安全网关实现方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210288862.XA CN102801659B (zh) | 2012-08-15 | 2012-08-15 | 一种基于流策略的安全网关实现方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102801659A true CN102801659A (zh) | 2012-11-28 |
| CN102801659B CN102801659B (zh) | 2016-03-30 |
Family
ID=47200627
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210288862.XA Expired - Fee Related CN102801659B (zh) | 2012-08-15 | 2012-08-15 | 一种基于流策略的安全网关实现方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102801659B (zh) |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103414556A (zh) * | 2013-08-16 | 2013-11-27 | 成都卫士通信息产业股份有限公司 | 一种ike密钥协商策略查找方法 |
| CN105939284A (zh) * | 2016-01-08 | 2016-09-14 | 杭州迪普科技有限公司 | 报文控制策略的匹配方法及装置 |
| CN107959682A (zh) * | 2017-12-07 | 2018-04-24 | 中盈优创资讯科技有限公司 | 多安全业务的并行防护方法及装置 |
| CN108400938A (zh) * | 2018-01-25 | 2018-08-14 | 济南浪潮高新科技投资发展有限公司 | 一种数据流处理方法和装置 |
| CN109495504A (zh) * | 2018-12-21 | 2019-03-19 | 东软集团股份有限公司 | 一种防火墙设备及其报文处理方法以及介质 |
| CN109902204A (zh) * | 2019-01-16 | 2019-06-18 | 北京左江科技股份有限公司 | 一种内容模糊查找方法 |
| CN110620785A (zh) * | 2019-09-30 | 2019-12-27 | 深圳市永达电子信息股份有限公司 | 一种基于报文标记数据流的并行检测方法、系统及存储介质 |
| CN111835709A (zh) * | 2020-05-29 | 2020-10-27 | 深圳市风云实业有限公司 | 一种基于可控数据流向的网络安全监控系统及方法 |
| CN112311731A (zh) * | 2019-07-29 | 2021-02-02 | 联合汽车电子有限公司 | 车载处理器、车载控制器及通信方法 |
| CN114143083A (zh) * | 2021-11-30 | 2022-03-04 | 北京天融信网络安全技术有限公司 | 黑名单策略匹配方法、装置、电子设备及存储介质 |
| CN116582362A (zh) * | 2023-07-11 | 2023-08-11 | 建信金融科技有限责任公司 | 网络访问的控制方法、装置、电子设备及存储介质 |
| CN117640503A (zh) * | 2024-01-22 | 2024-03-01 | 北京天维信通科技股份有限公司 | 融合BRouter技术与智能路径技术的流量优化方法和装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1703046A (zh) * | 2005-06-03 | 2005-11-30 | 重庆邮电学院 | 工业控制网络的信息安全方法及安全功能块 |
| CN101051891A (zh) * | 2007-05-22 | 2007-10-10 | 网御神州科技(北京)有限公司 | 一种安全网关中进行安全策略统一处理的方法及装置 |
| CN102045247A (zh) * | 2009-10-12 | 2011-05-04 | 曙光信息产业(北京)有限公司 | 基于Snort规则集的报文处理方法和装置 |
-
2012
- 2012-08-15 CN CN201210288862.XA patent/CN102801659B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1703046A (zh) * | 2005-06-03 | 2005-11-30 | 重庆邮电学院 | 工业控制网络的信息安全方法及安全功能块 |
| CN101051891A (zh) * | 2007-05-22 | 2007-10-10 | 网御神州科技(北京)有限公司 | 一种安全网关中进行安全策略统一处理的方法及装置 |
| CN102045247A (zh) * | 2009-10-12 | 2011-05-04 | 曙光信息产业(北京)有限公司 | 基于Snort规则集的报文处理方法和装置 |
Cited By (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103414556B (zh) * | 2013-08-16 | 2016-06-01 | 成都卫士通信息产业股份有限公司 | 一种ike密钥协商策略查找方法 |
| CN103414556A (zh) * | 2013-08-16 | 2013-11-27 | 成都卫士通信息产业股份有限公司 | 一种ike密钥协商策略查找方法 |
| CN105939284A (zh) * | 2016-01-08 | 2016-09-14 | 杭州迪普科技有限公司 | 报文控制策略的匹配方法及装置 |
| CN105939284B (zh) * | 2016-01-08 | 2019-01-25 | 杭州迪普科技股份有限公司 | 报文控制策略的匹配方法及装置 |
| CN107959682A (zh) * | 2017-12-07 | 2018-04-24 | 中盈优创资讯科技有限公司 | 多安全业务的并行防护方法及装置 |
| CN108400938A (zh) * | 2018-01-25 | 2018-08-14 | 济南浪潮高新科技投资发展有限公司 | 一种数据流处理方法和装置 |
| CN109495504A (zh) * | 2018-12-21 | 2019-03-19 | 东软集团股份有限公司 | 一种防火墙设备及其报文处理方法以及介质 |
| CN109902204A (zh) * | 2019-01-16 | 2019-06-18 | 北京左江科技股份有限公司 | 一种内容模糊查找方法 |
| CN112311731A (zh) * | 2019-07-29 | 2021-02-02 | 联合汽车电子有限公司 | 车载处理器、车载控制器及通信方法 |
| CN110620785A (zh) * | 2019-09-30 | 2019-12-27 | 深圳市永达电子信息股份有限公司 | 一种基于报文标记数据流的并行检测方法、系统及存储介质 |
| CN111835709A (zh) * | 2020-05-29 | 2020-10-27 | 深圳市风云实业有限公司 | 一种基于可控数据流向的网络安全监控系统及方法 |
| CN114143083A (zh) * | 2021-11-30 | 2022-03-04 | 北京天融信网络安全技术有限公司 | 黑名单策略匹配方法、装置、电子设备及存储介质 |
| CN114143083B (zh) * | 2021-11-30 | 2023-11-14 | 北京天融信网络安全技术有限公司 | 黑名单策略匹配方法、装置、电子设备及存储介质 |
| CN116582362A (zh) * | 2023-07-11 | 2023-08-11 | 建信金融科技有限责任公司 | 网络访问的控制方法、装置、电子设备及存储介质 |
| CN116582362B (zh) * | 2023-07-11 | 2023-09-26 | 建信金融科技有限责任公司 | 网络访问的控制方法、装置、电子设备及存储介质 |
| CN117640503A (zh) * | 2024-01-22 | 2024-03-01 | 北京天维信通科技股份有限公司 | 融合BRouter技术与智能路径技术的流量优化方法和装置 |
| CN117640503B (zh) * | 2024-01-22 | 2024-04-30 | 北京天维信通科技股份有限公司 | 融合BRouter技术与智能路径技术的流量优化方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102801659B (zh) | 2016-03-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102801659A (zh) | 一种基于流策略的安全网关实现方法及装置 | |
| US11899786B2 (en) | Detecting security-violation-associated event data | |
| US11392689B2 (en) | Computer-security violation detection using coordinate vectors | |
| CN103929334B (zh) | 网络异常通知方法和装置 | |
| US8990938B2 (en) | Analyzing response traffic to detect a malicious source | |
| CN102739473A (zh) | 一种应用智能网卡的网络检测方法 | |
| CN103875214A (zh) | 用于以太网网络的具有安全检测的智能phy | |
| US7333430B2 (en) | Systems and methods for passing network traffic data | |
| CN102316087A (zh) | 网络应用攻击的检测方法 | |
| CN103475653A (zh) | 网络数据包的检测方法 | |
| CN106612335B (zh) | 采用Docker容器实现IoT的信息交换和通信的方法 | |
| US20210226988A1 (en) | Techniques for disaggregated detection and mitigation of distributed denial-of-service attacks | |
| CN104394163A (zh) | 一种基于Web应用的安全检测方法 | |
| CN107547430A (zh) | 一种报文发送方法及装置 | |
| CN102497297A (zh) | 基于多核多线程的深度报文检测技术的实现系统和方法 | |
| Van et al. | An anomaly-based intrusion detection architecture integrated on openflow switch | |
| CN109309649A (zh) | 一种攻击预警方法及系统 | |
| CN101815015B (zh) | 面向内容的网络流量快速安检引擎 | |
| US20120110665A1 (en) | Intrusion Detection Within a Distributed Processing System | |
| CN106656656A (zh) | 一种网络设备抓包方法及装置 | |
| EP2929472B1 (en) | Apparatus, system and method for enhanced network monitoring, data reporting, and data processing | |
| Hu et al. | Intrusion detection for wsn based on kernel fisher discriminant and svm | |
| CN108366053A (zh) | 一种基于朴素贝叶斯的mqtt异常流量检测方法 | |
| US11973773B2 (en) | Detecting and mitigating zero-day attacks | |
| CN113572700A (zh) | 流量检测方法、系统、装置及计算机可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20160330 Termination date: 20210815 |