CN105099825B - 一种外置Bypass的安全保护方法及装置 - Google Patents
一种外置Bypass的安全保护方法及装置 Download PDFInfo
- Publication number
- CN105099825B CN105099825B CN201510505253.9A CN201510505253A CN105099825B CN 105099825 B CN105099825 B CN 105099825B CN 201510505253 A CN201510505253 A CN 201510505253A CN 105099825 B CN105099825 B CN 105099825B
- Authority
- CN
- China
- Prior art keywords
- primary circuit
- safety guard
- extension wire
- boundary port
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Maintenance And Management Of Digital Transmission (AREA)
Abstract
本发明公开了一种外置Bypass的安全保护方法及装置,以降低当网络主线路故障时强制或人为的切换到主线路时导致网络业务被中断的风险。该方法为,当检测到主用线路上的IPS设备故障时,将当前网络从主用线路切换到备用线路,周期性向主用线路发送连通性检测报文检测主用线路是否恢复正常,在连续的设定时长内检测到主用线路为正常后,将当前网络从备用线路切换到主用线路,这样不仅解决了IPS设备的端口故障或者整机故障通过切换外置bypass到备用线路进行保护的问题,同时也解决了切换到备用线路后关闭主用线路工作端口,在强制或者人为的切回到主用线路时导致网络业务存在被中断风险的问题。
Description
技术领域
本发明涉及网络安全领域,尤其涉及一种外置Bypass的安全保护方法及装置。
背景技术
随着网络应用越来越广泛,暴露出的网络安全方面的问题也越来越多,网络安全检测产品也越来越多的被部署到现有的网络中去,增加一个节点,意味着给现有网络的稳定性增加一份风险,为了减小安全检测产品本身突发故障对网络的影响,现有技术是通过增加一台旁路功能(Bypass)交换机和安全产品共同组合成一套保护方案,当网络主线路上的入侵防护系统(Intrusion Prevention System,IPS)接口或者整机故障时通过外置Bypass切换到备用线路以对网络进行保护。
但是,现有技术中切换到备用线路后,会关闭(down)主用线路工作端口,不能对原主用线路进行实时检测,这样会导致在强制或者人为的由备用线路切回到主线路时,并不清楚主用线路是否正常,导致网络切回主线路时网络业务存在被中断的严重风险,影响网络业务的完成。
发明内容
本发明的目的是提供一种外置Bypass的安全保护方法及装置,以降低当网络主线路故障时强制或人为的切换到主线路时导致网络业务被中断的风险。
本发明的目的是通过以下技术方案实现的:
一种外置Bypass的安全保护方法,包括:
当检测到主用线路上的入侵防护系统IPS设备故障时,将当前网络从所述主用线路切换到备用线路;
周期性向所述主用线路发送连通性检测报文检测所述主用线路是否恢复正常,在连续的设定时长内检测到所述主用线路为正常后,将当前网络从所述备用线路切换到所述主用线路。
这样不仅解决了现有技术中安全检测设备的端口故障或者整机故障通过切换外置bypass到备用线路进行保护的问题,同时也解决了现有技术中切换到备用线路后关闭主用线路工作端口,不对主用线路进行实时检测,在强制或者人为的切回到主用线路时,并不清楚主用线路是否正常,而导致网络业务切回主线路时存在被中断风险的问题。
可选的,进一步包括:
在预配置阶段,配置第一网络设备和第二网络设备之间的主用线路和备用线路,其中,
采用所述主用线路,能够通过第一网络设备依次经安全保护装置的第一边界端口、安全保护装置的第一非边界端口、IPS设备、安全保护装置的第二边界端口、安全保护装置的第三边界端口向第二网络设备发送业务报文;
采用所述备用线路,能够通过所述第一网络设备依次经安全保护装置的第一边界端口、安全保护装置的第三边界端口向所述第二网络设备发送业务报文;
其中,通过所述边界端口能够发送并响应连通性检测报文,通过所述非边界端口能够直接透传所述连通性检测报文。
可选的,当检测到主用线路上的IPS设备故障时,将当前网络从所述主用线路切换到备用线路,具体包括:
当不能按预设条件接收到主用线路上的IPS设备发送的心跳检测报文时,确定主用线路上的IPS设备故障,通过将安全保护装置的第三边界端口连接到安全保护装置的第一边界端口将当前网络从所述主用线路切换到备用线路。
可选的,将当前网络从所述主用线路切换到备用线路之后,进一步包括:
接收所述IPS设备发送的心跳检测报文,确定接收到的所述心跳检测报文符合预设条件时,周期性向所述主用线路发送连通性检测报文。
可选的,周期性向所述主用线路发送连通性检测报文检测所述主用线路是否恢复正常,具体包括:
周期性通过安全保护装置的第一边界端口向所述主用线路上安全保护装置的第一非边界端口发送连通性检测报文,判断安全保护装置的第一边界端口是否能够接收到安全保护装置的第二边界端口反馈的连通性响应,若是,则确定所述主用线路恢复正常;否则,确定所述主用线路未恢复正常。
可选的,在连续的设定时长内检测到所述主用线路为正常后,将当前网络从所述备用线路切换到所述主用线路,具体包括:
在连续的设定时长内检测到所述主用线路为正常后,通过将安全保护装置的第三边界端口连接到安全保护装置的第二边界端口将当前网络从所述备用线路切换到所述主用线路,并停止向所述主用线路发送连通性检测报文。
一种外置Bypass的安全保护装置,包括:
控制单元,用于检测到主用线路上的入侵防护系统IPS设备故障时,通知处理单元将当前网络从所述主用线路切换到备用线路;
所述控制单元,还用于周期性向所述主用线路发送连通性检测报文检测所述主用线路是否恢复正常,在连续的设定时长内检测到所述主用线路为正常后,通知所述处理单元将当前网络从所述备用线路切换到所述主用线路。
这样不仅解决了现有技术中安全检测设备的端口故障或者整机故障通过切换外置bypass到备用线路进行保护的问题,同时也解决了现有技术中切换到备用线路后关闭主用线路工作端口,不对主用线路进行实时检测,在强制或者人为的切回到主用线路时,并不清楚主用线路是否正常,而导致网络业务切回主线路时存在被中断风险的问题。
可选的,所述控制单元进一步用于:
在预配置阶段,配置第一网络设备和第二网络设备之间的主用线路和备用线路,其中,
采用所述主用线路,能够通过第一网络设备依次经安全保护装置的第一边界端口、安全保护装置的第一非边界端口、IPS设备、安全保护装置的第二边界端口、安全保护装置的第三边界端口向第二网络设备发送业务报文;
采用所述备用线路,能够通过所述第一网络设备依次经安全保护装置的第一边界端口、安全保护装置的第三边界端口向所述第二网络设备发送业务报文;
其中,所述控制单元通过所述边界端口能够发送并响应连通性检测报文,通过所述非边界端口能够直接透传所述连通性检测报文。
可选的,当检测到主用线路上的IPS设备故障,将当前网络从所述主用线路切换到备用线路时,所述处理单元具体用于:
当所述控制单元不能按预设条件接收到主用线路上的IPS设备发送的心跳检测报文时,确定主用线路上的IPS设备故障,所述处理单元通过将安全保护装置的第三边界端口连接到安全保护装置的第一边界端口将当前网络从所述主用线路切换到备用线路。
可选的,将当前网络从所述主用线路切换到备用线路之后,所述控制单元进一步用于:
接收所述IPS设备发送的心跳检测报文,确定接收到的所述心跳检测报文符合预设条件时,周期性向所述主用线路发送连通性检测报文。
可选的,周期性向所述主用线路发送连通性检测报文检测所述主用线路是否恢复正常时,所述控制单元具体用于:
周期性通过安全保护装置的第一边界端口向所述主用线路上安全保护装置的第一非边界端口发送连通性检测报文,判断安全保护装置的第一边界端口是否能够接收到安全保护装置的第二边界端口反馈的连通性响应,若是,则确定所述主用线路恢复正常;否则,确定所述主用线路未恢复正常。
可选的,在连续的设定时长内所述控制单元检测到所述主用线路为正常后,将当前网络从所述备用线路切换到所述主用线路时,所述处理单元具体用于:
在连续的设定时长内所述控制单元检测到所述主用线路为正常后,所述处理单元通过将安全保护装置的第三边界端口连接到安全保护装置的第二边界端口将当前网络从所述备用线路切换到所述主用线路,令所述控制单元停止向所述主用线路发送连通性检测报文。
附图说明
图1为本发明实施例中外置Bypass的安全保护方法流程示意图;
图2为本发明实施例中安全保护装置与各网络设备间的连接示意图;
图3A为本发明实施例中第一网络设备和第二网络设备间的主用线路连接示意图;
图3B为本发明实施例中第一网络设备和第二网络设备间的备用线路连接示意图;
图4为本发明实施例中从主用线路切换到备用线路的流程示意图;
图5为本发明实施例中从备用线路切换到主用线路的流程示意图;
图6为本发明实施例中外置Bypass的安全保护装置结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,并不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
针对现有技术的这些缺点和不足,本发明不仅解决了现有技术中安全保护装置或设备的端口故障或者整机故障通过切换外置bypass到备用线路进行保护的问题,同时也解决了现有技术中切换到备用线路后,关闭主用线路工作端口,不对主用线路进行实时检测,强制或者人为的切回到主线路时,由于并不清楚主用线路是否正常,而导致网络业务切回主线路时存在被中断的风险的问题。
参阅图1所示,本发明实施例提供一种外置Bypass的安全保护方法,具体流程如下:
步骤100:当检测到主用线路上的IPS设备故障时,将当前网络从主用线路切换到备用线路。
进一步的,在预配置阶段,配置第一网络设备和第二网络设备之间的主用线路和备用线路,其中,主用线路通过第一网络设备依次流经安全保护装置的第一边界端口、安全保护装置的第一非边界端口、IPS设备、安全保护装置的第二边界端口、安全保护装置的第三边界端口向第二网络设备发送业务报文,备用线路通过第一网络设备依次流经安全保护装置的第一边界端口、安全保护装置的第三边界端口向第二网络设备发送业务报文,边界端口用于发送并响应连通性检测报文,非边界端口用于直接透传上述连通性检测报文。
下面以图2为例来说明安全保护装置与各网络设备间的连接示意图,其中安全保护装置的第一边界端口为Port2、第一非边界端口为Port3、第二边界端口为Port6、第三边界端口为Port7,IPS设备包括两个端口分别为Port4和Port5,第一网络设备的端口为Port1,第二网络设备的端口为Port8,由此可知,第一网络设备和第二网络设备之间的主用线路A的路径为:Port1→port2→port3→port4→port5→port6→port7→port8,具体可参阅图3A所示,此时,Port2往触点4与port3相连线路上发送业务报文。备用线路B路径如为:Port1→port2→port7→port8,具体可参阅图3B所示,此时port2直接往通过触点3与port7相连线路上发送业务,Port2往通过触点4与port3相连的线路上发送连通性检测报文。此外,port2的4触点与port3是固定相接,不会受主备线路切换影响,主备线路切换直接通过控制器开关完成,控制器包括控制单元和处理单元。控制单元,根据是否接收到对端(即IPS设备)发送过来的心跳信息,通知处理单元完成对应的动作。处理单元,根据接收到控制单元下的动作命令,完成对应的动作。
具体的,当检测到主用线路上的IPS设备故障时,将当前网络从主用线路切换到备用线路,具体过程为:当不能按预设条件接收到主用线路上的IPS设备发送的心跳检测报文时,确定主用线路上的IPS设备故障,通过将安全保护装置的第三边界端口连接到安全保护装置的第一边界端口将当前网络从主用线路切换到备用线路。
例如,图2所示主用线路中A的外接IPS设备宕机或者接口port4、port5关闭或故障后,停止往心跳线发送心跳报文,此时,安全保护装置的控制器的控制单元接收不到对端(即IPS设备)心跳信息报文,则认为IPS设备故障,当检测到主用线路上的IPS设备故障时,将安全保护装置port7的开关触点从port6的2触点切换到port2的1触点完成从主用线路A切换到备用线路B。具体的,从主用线路切换到备用线路的流程可参阅图4所示。
S401:检测是否能按预设条件收到IPS设备发送的心跳检测报文,如果不能按预设条件收到IPS设备发送的心跳检测报文,则向下执行S402;否则维持不变,继续在主用线路工作。
S402:上报控制器的控制单元,控制单元通知处理单元完成主用线路A到备用线路B的切换,即将安全保护装置port7的开关触点从port6的2触点切换到port2的1触点。
S403:工作于备用线路B,此时port2直接通过触点3往与port7相连的线路B上发送业务报文,并向主用线路A发送连通性检测报文,即通过边界端口port2开始往触点4与port3相连的主用线路A发送连通性检测报文。
步骤101:周期性向主用线路发送连通性检测报文检测主用线路是否恢复正常,在连续的设定时长内检测到主用线路为正常后,将当前网络从备用线路切换到主用线路。
其中,连通性检测报文的发送周期可以根据安全保护装置的设备性能情况做适当调整,建议检测周期为1S/次。
进一步的,将当前网络从所述主用线路切换到备用线路之后,接收所述IPS设备发送的心跳检测报文,确定接收到的心跳检测报文符合预设条件时,才会周期性向主用线路发送连通性检测报文。
具体的,周期性向主用线路发送连通性检测报文检测主用线路是否恢复正常,具体过程为:周期性通过安全保护装置的第一边界端口向主用线路上安全保护装置的第一非边界端口发送连通性检测报文,判断安全保护装置的第一边界端口是否能够接收到安全保护装置的第二边界端口反馈的连通性响应,若是,则确定主用线路恢复正常;否则,确定主用线路未恢复正常。
具体的,在连续的设定时长内检测到主用线路为正常后,将当前网络从备用线路切换到主用线路,具体过程为:在连续的设定时长内检测到主用线路为正常后,通过将安全保护装置的第三边界端口连接到安全保护装置的第二边界端口将当前网络从备用线路切换到主用线路,并停止向所述主用线路发送连通性检测报文。
例如,能按预期收到IPS设备发送的心跳检测报文后,通过边界端口port2往主用线路A发送连通性检测报文,非边界端口port3收到该连通性检测报文后不作任何响应,直接转发该报文到IPS设备的port4,而边界端口port6收到从IPS设备的port5发往自己的连通性检测报文后,会立刻返回一个响应报文。如果边界端口port2收到port6返回的连通性检测响应报文后,会认为主用线路A已经恢复正常;如果在连续的设定时长(建议5S)内检测到该主用线路A都正常,则认为可以从备用线路B切回主用线路A,则上报控制器的控制单元,控制单元通知处理单元将开关完成从备用线路B到主用线路A的切换,并停止向主用线路A发送连通性检测报文。如果边界端口port2收不到port6返回的响应报文,则认为主用线路A还没恢复正常,继续工作在备用线路B上,具体的,从备用线路切换到主用线路的流程可参阅图5所示。
S501:默认断电时,工作在备用线路B,上电后,进入等待状态,准备接收对端(即IPS设备)发送过来的心跳报文
S502:检测是否能按期收到对端发送过来的心跳检测报文,如果能按期收到对端发送过来的心跳检测报文,则向下执行S503,否则返回S501;
S503:通过边界端口port2开启向主用线路A发送连通性检测报文,并向下执行S504;
S504:判断边界端口port2是否能按预期接收到另外一个边界端口port6返回的连通性检测响应报文,如果收到则向下执行S505,否则返回S503;
S505:上报控制器的控制单元,控制单元通知处理单元完成备用线路B到主用线路A的动作切换,即将安全保护装置port7的开关触点从port2的1触点切换到port6的2触点,并向下执行S506;
S506:工作于主用线路A,此时通过port2直接往触点4与port3相连的主线路A上发送业务报文,并停止向主用线路A发送连通性检测报文。
基于上述技术方案,参阅图6所示,本发明实施例还提供一种外置Bypass的安全保护装置,包括:控制单元60和处理单元61,其中:
控制单元60,用于检测到主用线路上的入侵防护系统IPS设备故障时,通知处理单元61将当前网络从所述主用线路切换到备用线路;
所述控制单元60,还用于周期性向所述主用线路发送连通性检测报文检测所述主用线路是否恢复正常,在连续的设定时长内检测到所述主用线路为正常后,通知所述处理单元61将当前网络从所述备用线路切换到所述主用线路。
可选的,所述控制单元60进一步用于:
在预配置阶段,配置第一网络设备和第二网络设备之间的主用线路和备用线路,其中,
采用所述主用线路,能够通过第一网络设备依次经安全保护装置的第一边界端口、安全保护装置的第一非边界端口、IPS设备、安全保护装置的第二边界端口、安全保护装置的第三边界端口向第二网络设备发送业务报文;
采用所述备用线路,能够通过所述第一网络设备依次经安全保护装置的第一边界端口、安全保护装置的第三边界端口向所述第二网络设备发送业务报文;
其中,所述控制单元60通过所述边界端口能够发送并响应连通性检测报文,通过所述非边界端口能够直接透传所述连通性检测报文。
可选的,当检测到主用线路上的IPS设备故障,将当前网络从所述主用线路切换到备用线路时,所述处理单元61具体用于:
当所述控制单元60不能按预设条件接收到主用线路上的IPS设备发送的心跳检测报文时,确定主用线路上的IPS设备故障,所述处理单元61通过将安全保护装置的第三边界端口连接到安全保护装置的第一边界端口将当前网络从所述主用线路切换到备用线路。
可选的,将当前网络从所述主用线路切换到备用线路之后,所述控制单元60进一步用于:
接收所述IPS设备发送的心跳检测报文,确定接收到的所述心跳检测报文符合预设条件时,周期性向所述主用线路发送连通性检测报文。
可选的,周期性向所述主用线路发送连通性检测报文检测所述主用线路是否恢复正常时,所述控制单元60具体用于:
周期性通过安全保护装置的第一边界端口向所述主用线路上安全保护装置的第一非边界端口发送连通性检测报文,判断安全保护装置的第一边界端口是否能够接收到安全保护装置的第二边界端口反馈的连通性响应,若是,则确定所述主用线路恢复正常;否则,确定所述主用线路未恢复正常。
可选的,在连续的设定时长内所述控制单元60检测到所述主用线路为正常后,将当前网络从所述备用线路切换到所述主用线路时,所述处理单元61具体用于:
在连续的设定时长内所述控制单元60检测到所述主用线路为正常后,所述处理单元61通过将安全保护装置的第三边界端口连接到安全保护装置的第二边界端口将当前网络从所述备用线路切换到所述主用线路,令所述控制单元60停止向所述主用线路发送连通性检测报文。
综上所述,本发明实施例中当检测到主用线路上的IPS设备故障时,将当前网络从主用线路切换到备用线路,周期性向主用线路发送连通性检测报文检测主用线路是否恢复正常,在连续的设定时长内检测到主用线路为正常后,将当前网络从备用线路切换到主用线路,这样不仅解决了现有技术中安全检测设备的端口故障或者整机故障通过切换外置bypass到备用线路进行保护的问题,同时也解决了现有技术中切换到备用线路后关闭主用线路工作端口,不对主用线路进行实时检测,在强制或者人为的切回到主用线路时,并不清楚主用线路是否正常,而导致网络业务切回主线路时存在被中断风险的问题。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明实施例进行各种改动和变型而不脱离本发明实施例的精神和范围。这样,倘若本发明实施例的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (10)
1.一种外置旁路功能Bypass的安全保护方法,其特征在于,包括:
当检测到主用线路上的入侵防护系统IPS设备故障时,将当前网络从所述主用线路切换到备用线路;
周期性向所述主用线路发送连通性检测报文检测所述主用线路是否恢复正常,在连续的设定时长内检测到所述主用线路为正常后,将当前网络从所述备用线路切换到所述主用线路;
其中,在预配置阶段,配置第一网络设备和第二网络设备之间的主用线路和备用线路,其中,采用所述主用线路,能够通过第一网络设备依次经安全保护装置的第一边界端口、安全保护装置的第一非边界端口、IPS设备、安全保护装置的第二边界端口、安全保护装置的第三边界端口向第二网络设备发送业务报文;采用所述备用线路,能够通过所述第一网络设备依次经安全保护装置的第一边界端口、安全保护装置的第三边界端口向所述第二网络设备发送业务报文;其中,通过所述边界端口能够发送并响应连通性检测报文,通过所述非边界端口能够直接透传所述连通性检测报文。
2.如权利要求1所述的方法,其特征在于,当检测到主用线路上的IPS设备故障时,将当前网络从所述主用线路切换到备用线路,具体包括:
当不能按预设条件接收到主用线路上的IPS设备发送的心跳检测报文时,确定主用线路上的IPS设备故障,通过将安全保护装置的第三边界端口连接到安全保护装置的第一边界端口将当前网络从所述主用线路切换到备用线路。
3.如权利要求1所述的方法,其特征在于,将当前网络从所述主用线路切换到备用线路之后,进一步包括:
接收所述IPS设备发送的心跳检测报文,确定接收到的所述心跳检测报文符合预设条件时,周期性向所述主用线路发送连通性检测报文。
4.如权利要求1或2所述的方法,其特征在于,周期性向所述主用线路发送连通性检测报文检测所述主用线路是否恢复正常,具体包括:
周期性通过安全保护装置的第一边界端口向所述主用线路上安全保护装置的第一非边界端口发送连通性检测报文,判断安全保护装置的第一边界端口是否能够接收到安全保护装置的第二边界端口反馈的连通性响应,若是,则确定所述主用线路恢复正常;否则,确定所述主用线路未恢复正常。
5.如权利要求4所述的方法,其特征在于,在连续的设定时长内检测到所述主用线路为正常后,将当前网络从所述备用线路切换到所述主用线路,具体包括:
在连续的设定时长内检测到所述主用线路为正常后,通过将安全保护装置的第三边界端口连接到安全保护装置的第二边界端口将当前网络从所述备用线路切换到所述主用线路,并停止向所述主用线路发送连通性检测报文。
6.一种外置旁路功能Bypass的安全保护装置,其特征在于,包括:
控制单元,用于检测到主用线路上的入侵防护系统IPS设备故障时,通知处理单元将当前网络从所述主用线路切换到备用线路;
所述控制单元,还用于周期性向所述主用线路发送连通性检测报文检测所述主用线路是否恢复正常,在连续的设定时长内检测到所述主用线路为正常后,通知所述处理单元将当前网络从所述备用线路切换到所述主用线路;
所述控制单元进一步用于:
在预配置阶段,配置第一网络设备和第二网络设备之间的主用线路和备用线路,其中,
采用所述主用线路,能够通过第一网络设备依次经安全保护装置的第一边界端口、安全保护装置的第一非边界端口、IPS设备、安全保护装置的第二边界端口、安全保护装置的第三边界端口向第二网络设备发送业务报文;
采用所述备用线路,能够通过所述第一网络设备依次经安全保护装置的第一边界端口、安全保护装置的第三边界端口向所述第二网络设备发送业务报文;
其中,所述控制单元通过所述边界端口能够发送并响应连通性检测报文,通过所述非边界端口能够直接透传所述连通性检测报文。
7.如权利要求6所述的装置,其特征在于,当检测到主用线路上的IPS设备故障,将当前网络从所述主用线路切换到备用线路时,所述处理单元具体用于:
当所述控制单元不能按预设条件接收到主用线路上的IPS设备发送的心跳检测报文时,确定主用线路上的IPS设备故障,所述处理单元通过将安全保护装置的第三边界端口连接到安全保护装置的第一边界端口将当前网络从所述主用线路切换到备用线路。
8.如权利要求6所述的装置,其特征在于,将当前网络从所述主用线路切换到备用线路之后,所述控制单元进一步用于:
接收所述IPS设备发送的心跳检测报文,确定接收到的所述心跳检测报文符合预设条件时,周期性向所述主用线路发送连通性检测报文。
9.如权利要求6或7所述的装置,其特征在于,周期性向所述主用线路发送连通性检测报文检测所述主用线路是否恢复正常时,所述控制单元具体用于:
周期性通过安全保护装置的第一边界端口向所述主用线路上安全保护装置的第一非边界端口发送连通性检测报文,判断安全保护装置的第一边界端口是否能够接收到安全保护装置的第二边界端口反馈的连通性响应,若是,则确定所述主用线路恢复正常;否则,确定所述主用线路未恢复正常。
10.如权利要求9所述的装置,其特征在于,在连续的设定时长内所述控制单元检测到所述主用线路为正常后,将当前网络从所述备用线路切换到所述主用线路时,所述处理单元具体用于:
在连续的设定时长内所述控制单元检测到所述主用线路为正常后,所述处理单元通过将安全保护装置的第三边界端口连接到安全保护装置的第二边界端口将当前网络从所述备用线路切换到所述主用线路,令所述控制单元停止向所述主用线路发送连通性检测报文。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510505253.9A CN105099825B (zh) | 2015-08-17 | 2015-08-17 | 一种外置Bypass的安全保护方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510505253.9A CN105099825B (zh) | 2015-08-17 | 2015-08-17 | 一种外置Bypass的安全保护方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105099825A CN105099825A (zh) | 2015-11-25 |
| CN105099825B true CN105099825B (zh) | 2018-10-02 |
Family
ID=54579436
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510505253.9A Active CN105099825B (zh) | 2015-08-17 | 2015-08-17 | 一种外置Bypass的安全保护方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105099825B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108924044B (zh) * | 2018-06-22 | 2020-12-11 | 迈普通信技术股份有限公司 | 链路维持方法、pe设备及可读存储介质 |
| CN109039825B (zh) * | 2018-08-30 | 2021-12-21 | 湖北微源卓越科技有限公司 | 一种网络数据保护设备及方法 |
| CN109862042A (zh) * | 2019-03-27 | 2019-06-07 | 泰萍科技(杭州)有限公司 | 一种同质异构的网络安全加固方法及装置 |
| CN110535860A (zh) * | 2019-08-30 | 2019-12-03 | 杭州迪普信息技术有限公司 | 一种网络安全设备重启时阻断流量的方法及网络安全设备 |
| CN111277567B (zh) * | 2020-01-09 | 2022-10-25 | 奇安信科技集团股份有限公司 | 入侵防御处理方法及装置 |
| CN112887016B (zh) * | 2021-01-29 | 2022-07-12 | 中国人民解放军战略支援部队信息工程大学 | 针对光纤接入atca系统场景的业务主备用处理装置与方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5825850A (en) * | 1996-10-02 | 1998-10-20 | Time Warner Entertainment Co. L.P. | Automatic bypass switch for signal conductor |
| CN101296064A (zh) * | 2008-06-18 | 2008-10-29 | 杭州华三通信技术有限公司 | 一种旁路切换的方法、系统和旁路设备 |
| CN103209099A (zh) * | 2013-05-03 | 2013-07-17 | 广州市成格信息技术有限公司 | 一种节点间的网络通信线路的自动切换保护方法 |
| CN104601362A (zh) * | 2014-12-02 | 2015-05-06 | 重庆晴彩科技有限公司 | 一种网络物理链路切换心跳信号检测方法 |
| CN104796329A (zh) * | 2014-01-16 | 2015-07-22 | 中国移动通信集团北京有限公司 | 一种链路自动切换方法及装置 |
-
2015
- 2015-08-17 CN CN201510505253.9A patent/CN105099825B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5825850A (en) * | 1996-10-02 | 1998-10-20 | Time Warner Entertainment Co. L.P. | Automatic bypass switch for signal conductor |
| CN101296064A (zh) * | 2008-06-18 | 2008-10-29 | 杭州华三通信技术有限公司 | 一种旁路切换的方法、系统和旁路设备 |
| CN103209099A (zh) * | 2013-05-03 | 2013-07-17 | 广州市成格信息技术有限公司 | 一种节点间的网络通信线路的自动切换保护方法 |
| CN104796329A (zh) * | 2014-01-16 | 2015-07-22 | 中国移动通信集团北京有限公司 | 一种链路自动切换方法及装置 |
| CN104601362A (zh) * | 2014-12-02 | 2015-05-06 | 重庆晴彩科技有限公司 | 一种网络物理链路切换心跳信号检测方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105099825A (zh) | 2015-11-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105099825B (zh) | 一种外置Bypass的安全保护方法及装置 | |
| CN103298012B (zh) | 一种ap故障检测方法和设备 | |
| CN106789264B (zh) | 一种链路聚合组通道快速切换的方法和装置 | |
| WO2019094522A1 (en) | Method and system of a high availability enhancements to a computer network | |
| CN107735784A (zh) | 软件定义网络中的通信链路故障检测 | |
| CN105049348B (zh) | 中继系统以及交换机装置 | |
| CN105306605B (zh) | 一种双主机服务器系统 | |
| CN109218107A (zh) | 链路切换方法、装置、网络设备及网络系统 | |
| CN104518936B (zh) | 链路动态聚合方法和装置 | |
| CN103730951B (zh) | 一种电源管理系统及其方法 | |
| EP3145118A1 (en) | Link backup and power source backup method, device and system, and storage medium | |
| CN103944153A (zh) | 一种应用于含有高渗透率分布式电源的配电网的自适应智能保护方法 | |
| CN113726556B (zh) | 边缘物联代理节点运维方法、系统、存储介质及计算设备 | |
| CN105379201A (zh) | 路径切换的方法和设备 | |
| CN109921942A (zh) | 云平台切换控制方法、装置、系统及电子设备 | |
| CN105530115A (zh) | 一种实现操作管理维护功能的方法及装置 | |
| CN105991315A (zh) | 一种sdn中的链路保护方法、交换设备及网络控制器 | |
| EP2858302A1 (en) | Connectivity check method of service stream link, related apparatus and system | |
| US9521091B2 (en) | Relay system and switching device | |
| CN107948000B (zh) | 一种主备通道的切换方法、装置及系统 | |
| CN110417761A (zh) | 基于双机冗余的通信方法及装置 | |
| CN104038355B (zh) | 一种通信设备及其主备倒换方法 | |
| US8631174B2 (en) | Systems, methods, and apparatus for facilitating communications between an external controller and fieldbus devices | |
| CN106534399B (zh) | Vsm分裂的检测方法和装置 | |
| CN104796287A (zh) | 一种epon环网故障检测方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 100089 Beijing city Haidian District Road No. 4 North wa Yitai three storey building Patentee after: NSFOCUS Technologies Group Co.,Ltd. Patentee after: NSFOCUS TECHNOLOGIES Inc. Address before: 100089 Beijing city Haidian District Road No. 4 North wa Yitai three storey building Patentee before: NSFOCUS INFORMATION TECHNOLOGY Co.,Ltd. Patentee before: NSFOCUS TECHNOLOGIES Inc. |