CN105262766B - 多重安全策略组的芯片实现方法 - Google Patents
多重安全策略组的芯片实现方法 Download PDFInfo
- Publication number
- CN105262766B CN105262766B CN201510733851.1A CN201510733851A CN105262766B CN 105262766 B CN105262766 B CN 105262766B CN 201510733851 A CN201510733851 A CN 201510733851A CN 105262766 B CN105262766 B CN 105262766B
- Authority
- CN
- China
- Prior art keywords
- values
- priority
- chip
- security strategy
- rank
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明揭示了一种多重安全策略组的芯片实现方法,包括:第一查找得到N个级别的源SG值及它对应的优先级;第二次查找得到N个级别的目的SG值及它对应的优先级;对于不同位置得到的同一级别的源SG值或目的SG值,取最高优先级的值;第三次查找根据得到的源SG值加目的SG值作为特征值,得到N个级别的安全策略结果及每个级别的优先级;将得到的N个级别的安全策略结果,相同优先级中按或策略合并,取最高优先级的合并结果作为最终的安全策略结果。本发明可以实现更灵活的安全策略部署,用户可以从多个层面对业务流量进行管控。
Description
技术领域
本发明涉及一种多重安全策略组技术,尤其是涉及一种多重安全策略组的芯片实现方法。
背景技术
交换路由设备上最常见的安全策略功能为接入访问控制列表(ACL),即通过配置安全准入条目来控制数据流的行为。对于使用芯片转发的交换路由设备来说,ACL功能需要转发芯片支持。最简单的ACL功能,在芯片中表现为一次查找,该查找使用一些特征字段,比如IP五元组,查找结果中包含了对报文的处理动作,一般为通过或丢弃。
然而,对于特定应用场景,比如web服务器和存储服务器通信的场景,如图1所示,若存在以下要求:1、允许web服务器和存储服务器互相通信;2、允许存储服务器间互相通信;3、不允许web服务器间互相通信。如果web服务器和存储服务器的数目较大,则需要配置大量的ACL条目,去禁止任意两台web服务器间的通信。如存在n台web服务器,则需要配置n*(n-1)条条目。
针对上述现有技术一的缺点,提出了安全策略组(简称为SG)的概念,对流量按照源划分源SG,按目的划分目的SG,在“源SG+目的SG”的基础上使用ACL策略,这样就能有效解决技术一的不足。对于SG技术来说,在芯片中表现为三次查找,查找A使用源信息作为特征值,比如IPSA,查找结果中得到源SG值,此处标为SRC_SG;查找B使用目的信息作为特征值,比如IPDA,查找结果中得到目的SG值,此处标为DST_SG;查找C使用“SRC_SG+DST_SG”作为特征值进行查找,查找结果中得到对应策略。对于上述web服务器和存储服务器间通信的要求,若采用安全策略组实现,则最终只需要2n+2条条目,大大减少了表项条目的使用,但是现有这种安全策略的概念过于单一,对于特定的流量,SRC_SG和DST_SG只能有一个,如在上述场景中在服务器类型这个属性的基础上,增加服务器归属这一属性,或者增加更多地域、国别、用户权限级别以及其他用户自定义的属性,则现有的安全策略组技术就不足以满足日益复杂的网络需求。
发明内容
本发明的目的在于克服现有技术的缺陷,提供一种多重安全策略组的芯片实现方法,从芯片层面提供多重安全策略组方案,以实现更灵活的安全策略部署。
为实现上述目的,本发明提出如下技术方案:一种多重安全策略组的芯片实现方法,包括:在芯片的报文入方向或出方向上,
根据源SG值作为特征值,进行N次并行的第一次查找,同时得到N个级别的源SG值及所述源SG值的优先级;
根据目的SG值作为特征值,进行N次并行的第二次查找,同时得到N个级别的目的SG值及所述目的SG值的优先级;
对于不同位置得到的同一级别的源SG值或目的SG值,取最高优先级的值;
根据得到的源SG值加目的SG值作为特征值,进行N次并行的第三次查找,同时得到N个级别的安全策略结果及每个级别的优先级;
将得到的所述N个级别的安全策略结果,相同优先级中按或策略合并,即有一个结果为丢弃,结果即为丢弃;
取最高优先级的合并结果作为最终的安全策略结果。
优选地,在芯片的报文入方向上,在进行第一次查找之前,先在芯片的入端口、入VLAN和入三层接口上均配置N个级别的源SG值,以及所述源SG值的优先级;在报文的入方向上,转发表的查找结果中,配置N个级别的目的SG值,以及所述目的SG值的优先级。
优选地,在芯片的报文入方向上,对于不同位置得到的同一级别的源SG值,取最高优先级的值,且在每次得到新值时,将其优先级和原值的优先级进行比较,优先级高,则替换原值,否则维持原值。
优选地,在芯片的报文入方向上,对于不同位置得到的同一级别的目的SG值,将同级的目的SG值进行合并,取最高优先级的值。
优选地,在芯片的报文入方向上,将最终的N个级别的源SG值和其对应的优先级、目的SG值和其对应的优先级写入动态表中。
优选地,在芯片的报文出方向上,首先将入方向最后得到的N个级别的源SG值和其对应的优先级、目的SG值和其对应的优先级从所述动态表读出。
优选地,在芯片的报文出方向上,在进行第一次查找之前,先在芯片的出端口、出VLAN和出三层接口上以及报文编辑中均配置N个级别的目的SG值,以及所述目的SG值的优先级。
优选地,在芯片的报文出方向上,对于不同位置得到的同一级别的源SG值,取最高优先级的值,且在每次得到新值时,将其优先级和原值的优先级进行比较,优先级高,则替换原值,否则维持原值。
优选地,在芯片的报文出方向上,对于不同位置得到的同一级别的目的SG值,取最高优先级的值,且在每次得到新值时,将其优先级和原值的优先级进行比较,优先级高,则替换原值,否则维持原值。
优选地,在芯片的报文入方向或出方向上最终得到的安全策略结果相互独立。
与现有技术相比,本发明的有益效果是:本发明在交换路由芯片中实现多重安全策略组,使得交换芯片可以支持多个不同属性的安全策略组,从而可以实现更灵活的安全策略部署,用户可以从多个层面对业务流量进行管控。
附图说明
图1是web服务器和存储服务器间通信的场景示意图;
图2是本发明多重安全策略组的芯片实现方法的流程示意图;
图3是本发明在芯片的报文入方向和出方向处理的流程示意图。
具体实施方式
下面将结合本发明的附图,对本发明实施例的技术方案进行清楚、完整的描述。
结合图2和图3所示,本发明实施例所揭示的一种多重安全策略组的芯片实现方法,包括:
在芯片的报文入方向处理上:
1,在芯片的入端口、入VLAN上、入三层接口上均配置8个级别(level)的SRC_SG值,以及SRC_SG的优先级(priority)。
2,在报文的入方向上,根据SRC_SG值作为特征值,进行8次并行的第一次查找(查找A1),可同时得到8个级别各自的SRC_SG值,以及SRC_SG的优先级。
3,在报文的入方向上,转发表的查找结果中,可以配置出8个级别的DST_SG值,以及DST_SG的优先级。
4,在报文的入方向上,根据目的SG值作为特征值,进行8次并行的第一次查找(查找B1),可同时得到8个级别的DST_SG值,以及DST_SG的优先级。
5,以上不同位置得到的同一级别的SRC_SG值,取最高优先级的值。且每次得到新值时,将其优先级和原值的优先级进行比较,优先级高则替换原值,否则维持原值。
6,以上不同位置得到的同一级别的DST_SG值,取最高优先级(priority)的值。由于入方向上两个得到DST_SG值的方式为并行查找,对其结果在“SG值同级合并”中进行合并,即将同级的DST_SG值进行合并,取优先级高的值。
7,在报文的入方向上,根据得到的源SG值加目的SG值作为特征值,进行8次并行的第三次查找(查找C1),可同时得到8个级别的安全策略结果,以及每个级别的优先级。
8,对于入方向上得到的8个级别的安全策略结果,按优先级进行合并。相同优先级中,合并策略为或策略,即只要有一个结果为丢弃,结果即为丢弃。
9,最终的安全策略结果只取最高优先级的合并结果。
10,入方向处理引擎(IPE)最后将8个级别的SRC_SG、DST_SG的值和它们对应的优先级写入动态表。
在芯片的报文出方向处理上:
1,出方向处理引擎(EPE)一开始将IPE最后得到的8个级别的SRC_SG、DST_SG的值和优先级从动态表读出。
2,在芯片的出端口上、出VLAN上、出三层接口上以及报文编辑中均可以配置8个级别的DST_SG值,以及DST_SG的优先级。
3,在报文的出方向上,根据源SG值作为特征值,进行8次并行的第一次查找(查找A2),可同时得到8个级别的SRC_SG值,以及SRC_SG的优先级。
4,在报文的出方向上,根据目的SG值作为特征值,进行8次并行的第二次查找(查找B2),可同时得到8个级别的DST_SG值,以及DST_SG的优先级。
5,以上不同位置得到的同一级别的SRC_SG值,取最高优先级的值。每次得到新值时,将其优先级和原值的优先级进行比较,优先级高则替换原值,否则维持原值。
6,以上不同位置得到的同一级别的DST_SG值,取最高优先级的值。每次得到新值时,将其优先级和原值的优先级进行比较,优先级高则替换原值,否则维持原值。
7,在报文的出方向上,根据得到的源SG值加目的SG值作为特征值,进行8次并行的第三次查找(查找C2),可同时得到8个级别的安全策略结果,以及每个级别的优先级。
8,对于出方向上得到的8个级别的安全策略结果,按优先级进行合并。相同优先级中,合并策略为或策略,即只要有一个结果为丢弃,结果即为丢弃。
9,最终的安全策略结果只取最高优先级的合并结果。
上述芯片EPE的安全策略结果与IPE的安全策略结果是相互独立的。
本发明实施例以图1中web服务器和存储服务器间通信的场景,存在以下要求为例,来说明本发明的实施原理:
1、不允许web服务器间互相通信;
2、允许存储服务器间互相通信;
3、允许web服务器和存储服务器互相通信,但仅限于同一个分支机构的服务器间。
对于所有的web服务器,可按照其IP地址在交换路由芯片中配置IPSA到SRC_SG的映射和IPDA到DST_SG的映射,按下面的方式部署:
1,查找A1的表项中,在级别1(level 1)配置
IPSA=IP(web服务器1)→SRC_SG(level1_1)
IPSA=IP(web服务器2)→SRC_SG(level1_1)
IPSA=IP(web服务器3)→SRC_SG(level1_1)
IPSA=IP(web服务器4)→SRC_SG(level1_1)
2,查找B1的表项中,在level 1配置
IPDA=IP(web服务器1)→DST_SG(level1_1)
IPDA=IP(web服务器2)→DST_SG(level1_1)
IPDA=IP(web服务器3)→DST_SG(level1_1)
IPDA=IP(web服务器4)→DST_SG(level1_1)
3,查找C1的表项中,在level 1配置
SRC_SG=SRC_SG(level1_1)且DST_SG=DST_SG(level1_1)→安全策略(丢弃)
默认条目→安全策略(通过)
4,查找A1的表项中,在level 2配置
IPSA=IP(web服务器1)→SRC_SG(level2_1)
IPSA=IP(web服务器2)→SRC_SG(level2_1)
IPSA=IP(web服务器3)→SRC_SG(level2_2)
IPSA=IP(web服务器4)→SRC_SG(level2_2)
IPSA=IP(存储服务器1)→SRC_SG(level2_1)
IPSA=IP(存储服务器2)→SRC_SG(level2_1)
IPSA=IP(存储服务器3)→SRC_SG(level2_2)
IPSA=IP(存储服务器4)→SRC_SG(level2_2)
5,查找B1的表项中,在level 2配置
IPDA=IP(web服务器1)→DST_SG(level2_1)
IPDA=IP(web服务器2)→DST_SG(level2_1)
IPDA=IP(web服务器3)→DST_SG(level2_2)
IPDA=IP(web服务器4)→DST_SG(level2_2)
IPDA=IP(存储服务器1)→DST_SG(level2_1)
IPDA=IP(存储服务器2)→DST_SG(level2_1)
IPDA=IP(存储服务器3)→DST_SG(level2_2)
IPDA=IP(存储服务器4)→DST_SG(level2_2)
6,查找C1的表项中,在level 2配置
SRC_SG=SRC_SG(level2_1)并且DST_SG=DST_SG(level2_1)→安全策略(通过)
SRC_SG=SRC_SG(level2_2)并且DST_SG=DST_SG(level2_2)→安全策略(通过)
默认条目→安全策略(丢弃)
所有SG优先级和各个级别的优先级,均设为默认值0,即优先级相同。
按上述方法配置后,对于WEB服务器间的流量,会在level1置丢弃;对于跨分支机构的流量,会在level2置丢弃;level1和level2也可能同时置丢弃。对于最终结果,只要有任何一个level置了丢弃,报文就会被丢弃。
当然,上述第一次、第二次和第三次查找的次数并不限于本实施例中提及的8次,可以延伸进行N次并行的查找,对应查找出N个级别的SRC_SG、DST_SG的值和N个级别的安全策略结果,其中,只要满足N为大于1的整数即可,具体处理过程可参照上述实施例中介绍的原理。
本发明将SRC_SG和DST_SG划分为多级,同级内的SRC_SG和DST_SG可以从多种途径得到,并按优先级取最终值;查找C的结果也分多级,每级的结果中包含优先级,得到所有结果后,按优先级进行合并,各优先级间取最高优先级的合并结果;同一优先级中的多个结果按“或”原则进行合并,即只要任意结果产生丢弃,即丢弃报文。这样,本发明从交换路由芯片层面提供多重安全策略组方案,可以实现更灵活的安全策略部署,用户可以从多个层面对业务流量进行管控。
本发明的技术内容及技术特征已揭示如上,然而熟悉本领域的技术人员仍可能基于本发明的教示及揭示而作种种不背离本发明精神的替换及修饰,因此,本发明保护范围应不限于实施例所揭示的内容,而应包括各种不背离本发明的替换及修饰,并为本专利申请权利要求所涵盖。
Claims (10)
1.一种多重安全策略组的芯片实现方法,其特征在于,包括:在芯片的报文入方向或出方向上,
根据源SG值作为特征值,进行N次并行的第一次查找,同时得到N个级别的源SG值及所述源SG值的优先级;
根据目的SG值作为特征值,进行N次并行的第二次查找,同时得到N个级别的目的SG值及所述目的SG值的优先级;
对于不同位置得到的同一级别的源SG值或目的SG值,取最高优先级的值;
根据得到的源SG值加目的SG值作为特征值,进行N次并行的第三次查找,同时得到N个级别的安全策略结果及每个级别的优先级;
将得到的所述N个级别的安全策略结果,相同优先级中按或策略合并,即有一个结果为丢弃,结果即为丢弃;
取最高优先级的合并结果作为最终的安全策略结果,其中,N为大于1的整数;
其中,SG为安全策略组。
2.根据权利要求1所述的多重安全策略组的芯片实现方法,其特征在于,在芯片的报文入方向上,在进行第一次查找之前,先在芯片的入端口、入VLAN和入三层接口上均配置N个级别的源SG值,以及所述源SG值的优先级;在报文的入方向上,转发表的查找结果中,配置N个级别的目的SG值,以及所述目的SG值的优先级。
3.根据权利要求1所述的多重安全策略组的芯片实现方法,其特征在于,在芯片的报文入方向上,对于不同位置得到的同一级别的源SG值,取最高优先级的值,且在每次得到新值时,将其优先级和原值的优先级进行比较,优先级高,则替换原值,否则维持原值。
4.根据权利要求1所述的多重安全策略组的芯片实现方法,其特征在于,在芯片的报文入方向上,对于不同位置得到的同一级别的目的SG值,将同级的目的SG值进行合并,取最高优先级的值。
5.根据权利要求1所述的多重安全策略组的芯片实现方法,其特征在于,在芯片的报文入方向上,将最终的N个级别的源SG值和其对应的优先级、目的SG值和其对应的优先级写入动态表中。
6.根据权利要求5所述的多重安全策略组的芯片实现方法,其特征在于,在芯片的报文出方向上,首先将入方向最后得到的N个级别的源SG值和其对应的优先级、目的SG值和其对应的优先级从所述动态表读出。
7.根据权利要求1所述的多重安全策略组的芯片实现方法,其特征在于,在芯片的报文出方向上,在进行第一次查找之前,先在芯片的出端口、出VLAN和出三层接口上以及报文编辑中均配置N个级别的目的SG值,以及所述目的SG值的优先级。
8.根据权利要求1所述的多重安全策略组的芯片实现方法,其特征在于,在芯片的报文出方向上,对于不同位置得到的同一级别的源SG值,取最高优先级的值,且在每次得到新值时,将其优先级和原值的优先级进行比较,优先级高,则替换原值,否则维持原值。
9.根据权利要求1所述的多重安全策略组的芯片实现方法,其特征在于,在芯片的报文出方向上,对于不同位置得到的同一级别的目的SG值,取最高优先级的值,且在每次得到新值时,将其优先级和原值的优先级进行比较,优先级高,则替换原值,否则维持原值。
10.根据权利要求1所述的多重安全策略组的芯片实现方法,其特征在于,在芯片的报文入方向或出方向上最终得到的安全策略结果相互独立。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510733851.1A CN105262766B (zh) | 2015-11-03 | 2015-11-03 | 多重安全策略组的芯片实现方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510733851.1A CN105262766B (zh) | 2015-11-03 | 2015-11-03 | 多重安全策略组的芯片实现方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105262766A CN105262766A (zh) | 2016-01-20 |
CN105262766B true CN105262766B (zh) | 2018-09-11 |
Family
ID=55102271
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510733851.1A Active CN105262766B (zh) | 2015-11-03 | 2015-11-03 | 多重安全策略组的芯片实现方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105262766B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108768879B (zh) * | 2018-04-26 | 2022-04-22 | 新华三信息安全技术有限公司 | 一种策略优先级调整方法和装置 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1625149A (zh) * | 2003-12-02 | 2005-06-08 | 四川南山之桥微电子有限公司 | 一种访问控制列表的方法 |
US7236493B1 (en) * | 2002-06-13 | 2007-06-26 | Cisco Technology, Inc. | Incremental compilation for classification and filtering rules |
CN101296168A (zh) * | 2007-04-25 | 2008-10-29 | 北京天融信网络安全技术有限公司 | 芯片内部连接表支持策略路由的方法 |
CN101465807A (zh) * | 2008-12-17 | 2009-06-24 | 成都市华为赛门铁克科技有限公司 | 一种数据流控制方法和装置 |
CN104579940A (zh) * | 2013-10-10 | 2015-04-29 | 杭州华三通信技术有限公司 | 查找访问控制列表的方法及装置 |
-
2015
- 2015-11-03 CN CN201510733851.1A patent/CN105262766B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7236493B1 (en) * | 2002-06-13 | 2007-06-26 | Cisco Technology, Inc. | Incremental compilation for classification and filtering rules |
CN1625149A (zh) * | 2003-12-02 | 2005-06-08 | 四川南山之桥微电子有限公司 | 一种访问控制列表的方法 |
CN101296168A (zh) * | 2007-04-25 | 2008-10-29 | 北京天融信网络安全技术有限公司 | 芯片内部连接表支持策略路由的方法 |
CN101465807A (zh) * | 2008-12-17 | 2009-06-24 | 成都市华为赛门铁克科技有限公司 | 一种数据流控制方法和装置 |
CN104579940A (zh) * | 2013-10-10 | 2015-04-29 | 杭州华三通信技术有限公司 | 查找访问控制列表的方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN105262766A (zh) | 2016-01-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Kogan et al. | SAX-PAC (scalable and expressive packet classification) | |
CN108234318A (zh) | 报文转发隧道的选取方法及装置 | |
US10447600B2 (en) | Load balancing method, device and system for service function chain | |
CN100433715C (zh) | 给数据流提供不同的服务质量策略的方法 | |
US20170187649A1 (en) | Ruled-based network traffic interception and distribution scheme | |
US20050083935A1 (en) | Method and apparatus for two-stage packet classification using most specific filter matching and transport level sharing | |
CN104320358A (zh) | 一种电力通信网中的QoS业务控制方法 | |
CN105379218A (zh) | 业务流的处理方法、装置及设备 | |
CN104580027A (zh) | 一种OpenFlow报文转发方法及设备 | |
CN103220255B (zh) | 一种实现单播反向路径转发urpf检查的方法及装置 | |
CN105763454B (zh) | 基于二维路由策略的数据报文转发方法及装置 | |
CN101635702B (zh) | 应用安全策略的数据包转发方法 | |
CN101094185A (zh) | 基于多链路的报文转发方法和装置 | |
CN108173982A (zh) | 跨板报文的nat处理方法及装置 | |
CN100488174C (zh) | 流分类中基于硬件的差异化组织方法 | |
CN107222496B (zh) | 基于现场层设备的报文的安全策略匹配方法和现场层设备 | |
CN106921572A (zh) | 一种传播QoS策略的方法、装置及系统 | |
CN102711181B (zh) | 一种移动终端利用多链路实现网络分流的方法 | |
CN101471880B (zh) | 数据处理方法与系统、路由装置 | |
CN112272145A (zh) | 一种报文处理方法、装置、设备及机器可读存储介质 | |
CN103780630B (zh) | 虚拟局域网端口隔离方法及系统 | |
CN105262766B (zh) | 多重安全策略组的芯片实现方法 | |
CN105745874A (zh) | 一种确定服务功能路径的方法及装置 | |
CN106941457A (zh) | 基于多核处理器的ip报文分片重组的方法及装置 | |
CN103442096B (zh) | 基于移动互联网的nat转换方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CP01 | Change in the name or title of a patent holder |
Address after: 215000 unit 13 / 16, 4th floor, building B, No.5 Xinghan street, Suzhou Industrial Park, Jiangsu Province Patentee after: Suzhou Shengke Communication Co.,Ltd. Address before: 215000 unit 13 / 16, 4th floor, building B, No.5 Xinghan street, Suzhou Industrial Park, Jiangsu Province Patentee before: CENTEC NETWORKS (SU ZHOU) Co.,Ltd. |
|
CP01 | Change in the name or title of a patent holder |