CN108092971A - 一种处理业务报文的方法及装置 - Google Patents
一种处理业务报文的方法及装置 Download PDFInfo
- Publication number
- CN108092971A CN108092971A CN201711330620.1A CN201711330620A CN108092971A CN 108092971 A CN108092971 A CN 108092971A CN 201711330620 A CN201711330620 A CN 201711330620A CN 108092971 A CN108092971 A CN 108092971A
- Authority
- CN
- China
- Prior art keywords
- gateway equipment
- state information
- load state
- matched rule
- load
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1001—Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
- H04L67/1004—Server selection for load balancing
- H04L67/1008—Server selection for load balancing based on parameters of servers, e.g. available memory or workload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1001—Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
- H04L67/1036—Load balancing of requests to servers for services different from user content provisioning, e.g. load balancing across domain name servers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请实施例提供了一种处理业务报文的方法,属于通信技术领域。所述方法包括:第一网闸设备获取本地的第一负载状态信息和第二网闸设备的第二负载状态信息;如果第一负载状态信息满足预设过载条件且第二负载状态信息满足预设分担条件,第一网闸设备确定需要第二网闸设备分担的第一匹配规则;第一网闸设备将第一匹配规则、需要通过第一匹配规则进行匹配检测的业务报文的有效数据发送给第二网闸设备;第二网闸设备根据第一匹配规则对有效数据进行安全检测,并将安全检测结果发送给第一网闸设备;第一网闸设备根据安全检测结果,对业务报文进行安全控制处理。采用本发明,可以避免由于某一个网闸设备的负载较高而导致业务报文丢失的情况。
Description
技术领域
本申请涉及通信技术领域,特别是涉及一种处理业务报文的方法及装置。
背景技术
现有技术中,通常需要利用网闸系统来实现在电路上切断网络之间的链路层连接,实现两个网络在链路层断开,从而达到断开两个网络的连接。网闸系统常常包括一个连接第一网络(例如内网)的第一网闸设备和一个连接第二网络(例如外网)的第二网闸设备,第一网闸设备和第二网闸设备通过隔离硬件连接。
其中,网闸设备用于实现业务报文的安全检测以及网络协议的对接,并且,内网中的网络设备向外网发送的业务报文、以及外网的网络设备向内网发送的业务报文需要网闸设备进行处理。例如:第一网闸设备和第二网闸设备中分别存储有用于进行安全检测的多个策略集,内网的网络设备将业务报文发送至第一网闸设备,第一网闸设备对该业务报文中的有效数据进行提取,比如可以提取传输层以下的数据,或提取应用层数据,第一网闸设备可以通过本地存储策略集,对该有效数据进行安全检测,如果检测通过,则可以通过隔离硬件将有效数据发送到第二网闸设备,再由第二网闸设备将该有效数据发送给外网的网络设备,如果检测未通过,则可以丢弃该业务报文。
然而,第一网闸设备和第二网闸设备需要处理的应用报文数、以及存储的策略集的数目不同,因此,会出现第一网闸设备和第二网闸设备的负载不均衡的情况,这时,负载较高的网闸设备中会出现业务报文丢失的情况。
发明内容
本申请实施例的目的在于提供一种处理业务报文的方法和装置,以解决网闸设备中由于负载较高而导致业务报文丢失的问题。具体技术方案如下:
第一方面,提供了一种处理业务报文的方法,所述方法应用于网闸系统中的第一网闸设备,所述第一网闸设备与第一网络连接,所述网闸系统还包括与第二网络连接的第二网闸设备,所述方法包括:
获取本地的第一负载状态信息和所述第二网闸设备的第二负载状态信息;
如果所述第一负载状态信息满足预设过载条件且所述第二负载状态信息满足预设分担条件,确定需要所述第二网闸设备分担的第一匹配规则;
将所述第一匹配规则、需要通过所述第一匹配规则进行匹配检测的业务报文的有效数据发送给所述第二网闸设备,以使所述第二网闸设备根据所述第一匹配规则对所述有效数据进行安全检测;
接收所述第二网闸设备发送的安全检测结果,根据所述安全检测结果,对所述业务报文进行安全控制处理。
第二方面,提供了一种处理业务报文的装置,其特征在于,所述装置应用于网闸系统中的第一网闸设备,所述第一网闸设备与第一网络连接,所述网闸系统还包括与第二网络连接的第二网闸设备,所述装置包括:
获取模块,用于获取本地的第一负载状态信息和所述第二网闸设备的第二负载状态信息;
确定模块,用于如果所述第一负载状态信息满足预设过载条件且所述第二负载状态信息满足预设分担条件,确定需要所述第二网闸设备分担的第一匹配规则;
第一发送模块,用于将所述第一匹配规则、需要通过所述第一匹配规则进行匹配检测的业务报文的有效数据发送给所述第二网闸设备,以使所述第二网闸设备根据所述第一匹配规则对所述有效数据进行安全检测;
处理模块,用于接收所述第二网闸设备发送的安全检测结果,根据所述安全检测结果,对所述业务报文进行安全控制处理。
本申请实施例提供的一种处理业务报文的方法即装置,可以应用于网闸系统中的第一网闸设备,第一网闸设备与第一网络连接,网闸系统还包括与第二网络连接的第二网闸设备,第一网闸设备获取本地的第一负载状态信息和第二网闸设备的第二负载状态信息,如果第一负载状态信息满足预设过载条件且第二负载状态信息满足预设分担条件,第一网闸设备确定需要第二网闸设备分担的第一匹配规则,第一网闸设备将第一匹配规则、需要通过第一匹配规则进行匹配检测的业务报文的有效数据发送给第二网闸设备,第二网闸设备根据第一匹配规则对有效数据进行安全检测,并将安全检测结果发送给第一网闸设备,第一网闸设备根据安全检测结果,对业务报文进行安全控制处理。基于本方案,当网闸系统中的一个网闸设备过载时,可以由另一网闸设备作为代理设备,代理执行该网闸设备的安全检测,从而避免由于某一个网闸设备的负载较高而导致业务报文丢失的情况。
当然,实施本申请的任一产品或方法必不一定需要同时达到以上所述的所有优点。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种系统框架图;
图2为本发明实施例提供的一种处理业务报文的方法流程图;
图3为本发明实施例提供的一种处理业务报文的方法流程图;
图4为本发明实施例提供的一种处理业务报文的装置示意图;
图5为本发明实施例提供的一种网闸设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本发明实施例提供了一种处理业务报文的方法,该方法可以应用于网闸系统中的第一网闸设备,第一网闸设备与第一网络(例如内网)连接,网闸系统还包括与第二网络(例如外网)连接的第二网闸设备,第一网闸设备和第二网闸设备通过隔离硬件连接,隔离硬件可以集成在第一网闸设备或第二网闸设备中。其中,第一网络可以是外网,第二网络是内网;或者,第一网络是外网,第二网络是内网,本发明实施例不做限定。为了便于说明,本发明实施例以第一网络是外网、第二网络是内网,且外端机(即第一网闸设备)的负载高于内端机(即第二网闸设备)的负载为例进行说明,其他情况与之类似,不再赘述。
如图1所示,为本发明实施例提供的系统框架图,包括网闸系统、外网中的多个用户终端(即user1、user2…usern)和内网中的多台服务器(即sever1、sever2…severn),其中,第一网闸设备与多个用户终端连接,第二网闸设备与多台服务器连接。
第一网闸设备和第二网闸设备中分别存储有用于进行安全检测的多个匹配规则,在网闸系统的运行过程中,当外网向内网发送数据时,外网的网络设备将业务报文发送至第一网闸设备,第一网闸设备对该业务报文中的有效数据进行提取,比如可以提取传输层以下的数据,或提取应用层数据,然后通过本地存储的匹配规则,对该有效数据(可称为数据载荷)进行安全检测。如果检测通过,第一网闸设备则可以通过隔离硬件将数据载荷发送到第二网闸设备,再由第二网闸设备将该数据载荷发送给外网的网络设备,如果检测未通过,第一网闸设备则可以丢弃该业务报文。内网向外网发送数据的过程与之类似。本发明实施例中,当第一网闸设备负载高于第二网闸设备的负载时,第一网闸设备会将本地一些的安全策略和需要处理的数据载荷发送给第二网闸设备,由第二网闸设备代理处理,从而避免了因第一网闸设备负载过高而导致业务报文丢失的情况。
为了便于说明,首先对本方案中网闸系统的配置过程及所涉及的数据格式进行说明。
网闸系统启动后,技术人员可以登录该网闸系统的配置界面,然后可以在该配置界面中,配置第一网闸设备和第二网闸设备中的匹配规则,并且,技术人员还可以设置匹配规则的分担属性,该分担属性可以反映该匹配规则是否可以由其他设备代理执行。例如,技术人员将某匹配规则的分担属性置1,则该匹配规则可以由其他设备代理执行;如果置0,则该匹配规则不能由其他设备代理执行。需要说明的,网闸设备可以存储有多个策略集,每个策略集中包括多个匹配规则,技术人员可以对设置策略集的分担属性,或者,也可以分别设置每个匹配规则的分担属性,本实施例不做限定。
技术人员还可以根据外(内)端机的入端口IP(Internet Protocol,互联网协议)地址、内(外)端机的出端口IP地址、源IP、目的IP和目的端口,在网闸系统中创建对应的网闸通道(可称为Tunnel),一个网闸系统中可以创建多个Tunnel。网闸系统中可以存储如下对应关系:tunnel的标识、入端口IP、出端口IP、源IP、目的IP和目的端口的对应关系。技术人员还可以配置每个Tunnel对应的匹配规则(或策略集),后续当外(内)端机接收到业务报文时,可以根据该报文的入端口IP地址、出端口IP地址、源IP、目的IP和目的端口,确定该业务报文对应的Tunnel,并通过该Tunnel对应的匹配规则(或策略集),对该业务报文进行安全检测。本实施例以每个Tunnel中设置有一个或多个策略集、技术人员针对各策略集设置分担属性为例进行说明。
另外,对于每个Tunnel,网闸系统还可以根据预设的虚拟接口建立规则,在内端机和外端机分别建立该Tunnel对应的虚拟接口,例如:外端机建立虚拟接口vi_Oi,内端机上建立虚拟接口vi_Ii。两个接口成对出现,用于安全策略控制任务的分担处理。其中,Vi_Oi和Vi_Ii具有相同的、且在该网闸系统中唯一的接口ID(identification,身份标识),该接口ID可以唯一标识对应的Tunnel。
外端机和内端机中,每个虚拟接口中都可以维护有3个队列:策略集队列、消息和结果队列和数据载荷队列,以下对这三个队列分别进行介绍。
1、策略集队列
策略集队列是用于存储需要代理执行的策略集的队列。格式如下:
| 策略集单元1 | 策略集单元2 | 策略集单元3 | 策略集单元4 | 策略集单元5 |
策略集单元格式如下:
| 虚拟接口ID | 策略集ID | 策略集内容 |
其中,虚拟接口ID是该策略集队列所属的虚拟接口的ID号;策略集ID是预设的策略集的ID号;策略集内容是该策略集的具体内容,以便内端机根据该具体内容进行安全检测。需要说明的是,网闸设备也可以只代理执行策略集中的部分匹配规则,相应的,策略集单元中还会存储匹配规则的ID,策略集内容中会存储需要代理执行的匹配规则的内容。
2、消息和结果队列
消息和结果队列是用于存储数据载荷进行安全检测后的得到的安全检测结果的队列;消息和结果队列还可以用于存储虚拟端口之间的交互消息,消息和结果队列中的每个成员的格式如下:
| 虚拟接口ID | 类型 | 数据载荷ID | 消息内容或结果内容 |
其中,虚拟接口ID是该消息和结果队列所属的虚拟接口ID号;类型用于标识该条数据所传输的内容类型,例如,类型的值为0时,表示传递消息,这时,报文载荷ID没有意义,类型的值为1时,表示传递代理设备进行安全检测后的安全检测结果;数据载荷ID是进行安全检测的数据载荷ID号;消息内容或结果内容是指,当类型的值为0时,该部分为消息内容,用于描述在内外端机的虚拟端口Vi之间传递消息,当类型的值为1,该部分为结果内容,用于描述安全检测结果,比如丢弃或者放行等。
3、数据载荷队列
数据载荷队列用于存储进行安全检测的数据载荷对应的数据单元。每个数据单元的格式如下:
| 虚拟接口ID | 数据载荷ID | 数据载荷长度Len | 数据载荷内容 |
其中,虚拟接口ID是该数据载荷队列所属的虚拟接口ID号;数据载荷ID用于标识数据载荷,该数据载荷ID可以由发送数据载荷的设备(本实施例为外端机,即第一网闸设备)来分配;数据载荷长度用于描述数据载荷的长度;数据载荷内容用于存储数据载荷的具体的数据内容。
下面对本发明实施例提供的一种处理业务报文的方法进行说明,如图2所示,该方法可以包括以下步骤:
步骤201,第一网闸设备获取本地的第一负载状态信息和第二网闸设备的第二负载状态信息。
在实施中,第一网闸设备和第二网闸设备可以周期性的检测本设备当前的负载状态信息,并可以将检测到的负载状态信息发送给对方。其中,负载状态信息可以包括CPU利用率,还可以包括存储使用率等。这样,第一网闸设备和第二网闸设备可以实时获取到自身和对方设备的负载情况,以便进行后续处理。
步骤202,如果第一负载状态信息满足预设过载条件且第二负载状态信息满足预设分担条件,第一网闸设备确定需要第二网闸设备分担的第一匹配规则。
在实施中,第一网闸设备和第二网闸设备都可以根据本地的负载状态信息和对方的负载状态信息,判断是否满足分担处理的触发条件。以第一网闸设备为例,具体的处理过程如下:
第一网闸设备中可以存储预设的负载阈值,第一网闸设备获取到本地的第一负载状态信息和第二网闸设备的第二负载状态信息后,可以分别判断第一负载状态信息和第二负载状态信息是否超过该负载阈值,如果第一负载状态信息大于或等于该负载阈值、且第二负载状态信息小于该负载阈值,则说明第一网闸设备过载(即满足预设过载条件)、第二网闸设备轻载(即满足预设分担条件),第一网闸设备可以在预设的代理属性为1的匹配规则中,确定需要第二网闸设备分担的第一匹配规则;如果第一负载状态信息小于该负载阈值、且第二负载状态信息大于或等于该负载阈值,则说明第一网闸设备轻载,第二网闸设备过载,第一网闸设备判定需要代理执行第二网闸设备的匹配规则;如果第一负载状态信息小于该负载阈值、且第二负载状态信息小于该负载阈值,则说明第一网闸设备和第二网闸设备均轻载,第一网闸设备无需进行处理;如果第一负载状态信息大于或等于该负载阈值、且第二负载状态信息大于或等于该负载阈值,则说明第一网闸设备和第二网闸设备均过载,第一网闸设备无需进行处理。第二网闸设备的判断过程与之类似,不再赘述。
例如,负载阈值为70%,第一网闸设备的CPU利用率为90%,第二网闸设备的CPU利用率为50%,则第一网闸设备判定可以由第二网闸设备分担执行部分匹配规则,第一网闸设备可以确定需要第二网闸设备分担的第一匹配规则。
可选的,可以在第一网闸设备和第二网闸设备的负载差值较大时,触发代理执行匹配规则,相应的处理过程可以如下:如果第一负载状态信息大于预设的负载阈值,则第一网闸设备判定第一负载状态信息满足预设过载条件;如果第二负载状态信息小于负载阈值且第一负载状态信息和第二负载状态信息的差值大于预设的差值阈值,则第一网闸设备判定第二负载状态信息满足预设分担条件。
在实施中,第一网闸设备和第二网闸设备中还可以存储预设的差值阈值,如果第一网闸设备判定第一负载状态信息大于或等于负载阈值(即满足预设过载条件)、且第二负载状态信息小于该负载阈值,则可以计算第一负载状态信息和第二负载状态信息的差值,进而判断该差值是否大于或等于预设的差值阈值,如果是,则判定第二负载状态信息满足预设分担条件,然后可以在预设的代理属性为1的匹配规则中,确定需要第二网闸设备分担的第一匹配规则。
例如,负载阈值为70%,差值阈值为20%,如果第一网闸设备的CPU利用率为90%,第二网闸设备的CPU利用率为50%,由于90%>70%,50%<70%,且90%-50%=40%>20%,则第一网闸设备判定第一负载状态信息满足预设过载条件且第二负载状态信息满足预设分担条件;如果第一网闸设备的CPU利用率为80%,第二网闸设备的CPU利用率为65%,由于80%>70%,65%<70%,且80%-65%=15%<20%,则第一网闸设备判定第一负载状态信息满足预设过载条件,但第二负载状态信息不满足预设分担条件。
可选的,第一网闸设备确定第二网闸设备需要分担的第一匹配规则的具体过程可以为:第一网闸设备根据预先存储的分担数目和差值的对应关系,确定第一负载状态信息和第二负载状态信息的差值对应的目标分担数目;第一网闸设备根据目标分担数目,确定需要第二网闸设备分担的第一匹配规则。
在实施中,第一网闸设备中可以预先存储的分担数目和差值的对应关系,差值越大,对应的分担数目越大。第一网闸设备确定第一负载状态信息和第二负载状态信息的差值后,可以从上述对应关系中,查找该差值对应的目标分担数目,然后可以根据目标分担数目,在本地预先设置多个可以分担的匹配规则中,选择第一匹配规则。第一网闸设备可以逐个选择匹配规则,该情况下,分担数目为需要分担的匹配规则的数目;或者,也可以以策略集为单位进行选择,策略集包括一个或多个匹配规则,本实施例以策略集为单位选择匹配规则为例进行说明,该情况下,分担数目为需要分担的策略集的数目。
第一网闸设备选择策略集的方式是多种多样的,例如,第一网闸设备可以随机选择目标分担数目个策略集;或者,第一网闸设备中也可以预先设置各规则集的优先级,然后选择优先级最高的目标分担数目个策略集。
步骤203,第一网闸设备将第一匹配规则、需要通过第一匹配规则进行匹配检测的业务报文的有效数据发送给第二网闸设备。
在实施中,当第一网闸设备确定第一匹配规则后,可以确定该第一匹配规则对应的Tunnel。针对确定出的每一个Tunnel,第一网闸设备将该第一匹配规则和该Tunnel的虚拟接口(即Vi_Oi)的ID,添加到该虚拟接口的策略集队列中,然后通过隔离硬件发送到第二网闸设备中对应的虚拟接口(即Vi_Ii)的策略集队列。
当第一网闸设备接收到业务报文时,可以对该业务报文进行解析,根据该报文的入端口IP地址、出端口IP地址、源IP、目的IP和目的端口,确定该业务报文对应的Tunnel。第一网闸设备还可以获取与该Tunnel匹配的业务报文,将该业务报文的有效数据和该Tunnel的虚拟接口的ID,添加到该Tunnel对应的虚拟接口的数据载荷队列中,然后通过隔离硬件发送到第二网闸设备中对应的虚拟接口(即Vi_Ii)的数据载荷队列。
可选的,第一网闸设备可以在接收到第二网闸设备的确认消息后,再把数据载荷发送给第二网闸设备,相应的,步骤203的处理过程为:第一网闸设备将第一匹配规则发送给第二网闸设备;第二网闸设备向第一网闸设备发送对应第一匹配规则的确认消息;第一网闸设备将需要通过第一匹配规则进行匹配检测的业务报文的有效数据发送给第二网闸设备。
在实施中,第二网闸设备的虚拟接口(即Vi_Ii)收到代理执行的匹配规则后,第二网闸设备可以通过接收到策略集单元中的虚拟接口ID,将该策略集加入到对应该虚拟接口对应的策略集队列中,然后检测本地是否可以代理执行该策略集(比如本设备当前是否正常运行、该代理执行功能是否开启等),如果是,则可以向第一网闸设备发送对应第一匹配规则的确认消息。确认消息可以通过该虚拟接口(即Vi_Ii)的消息和结果队列,发送到第一网闸设备中对应的虚拟接口(即Vi_Oi)的消息和结果队列中。第一网闸设备的虚拟接口(即Vi_Oi)收到确认消息后,第一网闸设备可以将第一匹配规则对应的策略集的状态设置为半使能状态,表示该策略集为代理执行。
当第一网闸设备接收到业务报文时,可以对该业务报文进行解析,根据该报文的入端口IP地址、出端口IP地址、源IP、目的IP和目的端口,确定该业务报文对应的Tunnel。然后可以判断该Tunnel中是否存在半使能的策略集,如果存在,则可以根据该业务报文的有效数据、该Tunnel的虚拟接口的ID、为该有效数据分配的数据载荷ID,生成数据载荷单元,然后将该数据载荷单元加入到该虚拟端口(即Vi_Oi)的数据载荷队列中,进而通过隔离硬件发送到第二网闸设备。第二网闸设备可以根据该数据载荷单元的虚拟接口的ID,将该数据载荷单元加入到对应的虚拟接口(即Vi_Ii)的数据队列中。
步骤204,第二网闸设备根据第一匹配规则对有效数据进行安全检测,并将安全检测结果发送给第一网闸设备。
在实施中,第二网闸设备可以对虚拟端口(即Vi_Ii)的数据载荷队列进行轮询,当发现该数据载荷队列中待读取的数据载荷时,可以提取该数据载荷,然后,第二网闸设备可以在该虚拟端口的策略集队列中,提取所有的策略集,进而用提取出的策略集,依次对该数据载荷进行匹配检测(即安全检测),得到安全检测结果。第二网闸设备得到该数据载荷的安全检测结果后,可以将该数据载荷ID和安全检测结果放入消息和结果队列中,以便通过隔离硬件发送到第一网闸设备中对应的虚拟接口(即Vi_Oi)的消息和结果队列。另外,第二网闸设备得到该数据载荷的安全检测结果后,还可以从本地的数据载荷队列中删除该数据载荷对应的数据单元。
步骤205,第一网闸设备根据安全检测结果,对业务报文进行安全控制处理。
在实施中,第一网闸设备可以实时监控各Tunnel的虚拟接口,当检测到某个虚拟接口的消息和结果队列中存在待读取的安全检测结果时,读取该安全检测结果。第二网闸设备将安全检测结果发送给第一网闸设备后,第一网闸设备则会检测到虚拟接口Vi_Oi的消息&结果队列中存在待读取的安全检测结果,然后可以获取该安全检测结果和对应的数据载荷ID,进而可以根据该安全检测结果对该数据载荷ID对应的业务报文进行安全控制处理。例如,如果安全检测结果为丢弃,则丢弃该业务报文;如果安全检测结果为放行,则第一网闸设备可以进一步判断该虚拟端口对应的Tunnel中,是否还存在其他待匹配的匹配规则,如果不存在,则将该业务报文的有效数据发送给第二网闸设备,以便第二网闸设备将该有效数据发送给内网中的网络设备。如果存在,则根据其他待匹配的匹配规则对该有效数据继续进行安全检测,进而根据得到的检测结果对该业务报文进行安全控制处理。
本发明实施例还提供了一种处理业务报文的方法的示例,以负载状态信息为CPU利用率、外端机的CPU利用率高于内端机的CPU利用率为例,如图3所示,该方法可以包括以下步骤:
步骤301,外端机获取本地的CPU利用率和内端机的CPU利用率。
步骤302,外端机检测到本地的CPU利用率是大于负载阈值,内端机的CPU利用率小于负载阈值,且二者差值大于差值阈值,确定需要内端机分担的第一匹配规则。
步骤303,外端机将第一匹配规则发送给内端机。
步骤304,判断是否接收到确认消息。
如果是,执行步骤305,否则结束。
步骤305,外端机将该策略集设置为半使能状态。
步骤306,外端机确定接收到的业务报文对应的Tunnel_i。
其中,Tunnel_i在外端机对应的虚拟端口为Vi_Oi,在内端机对应的虚拟端口为Vi_Ii。
步骤307,外端机判断该Tunnel中的策略集是否为半使能状态
如果是,执行步骤308~步骤309,否则,执行步骤310。
步骤308,外端机将该业务报文的有效数据添加到Vi_Oi的数据载荷队列中。
步骤309,外端机接收内端机发送的安全检测结果。
步骤310,外端机根据该Tunnel中的策略集,对该业务报文进行安全检测。
步骤311,外端机根据安全检测结果对该业务报文进行安全控制处理。
本发明实施例中,第一网闸设备获取本地的第一负载状态信息和第二网闸设备的第二负载状态信息,如果第一负载状态信息满足预设过载条件且第二负载状态信息满足预设分担条件,第一网闸设备确定需要第二网闸设备分担的第一匹配规则,第一网闸设备将第一匹配规则、需要通过第一匹配规则进行匹配检测的业务报文的有效数据发送给第二网闸设备,第二网闸设备根据第一匹配规则对有效数据进行安全检测,并将安全检测结果发送给第一网闸设备,第一网闸设备根据安全检测结果,对业务报文进行安全控制处理。基于本方案,当网闸系统中的一个网闸设备过载时,可以由另一网闸设备作为代理设备,代理执行该网闸设备的安全检测,从而避免由于某一个网闸设备的负载较高而导致业务报文丢失的情况。
基于相同的技术构思,本发明施例还提供了一种处理业务报文的装置,该装置可以应用于网闸系统中的第一网闸设备,所述第一网闸设备与第一网络连接,所述网闸系统还包括与第二网络连接的第二网闸设备,如图4所示,所述装置包括:
获取模块410,用于获取本地的第一负载状态信息和所述第二网闸设备的第二负载状态信息;
确定模块420,用于如果所述第一负载状态信息满足预设过载条件且所述第二负载状态信息满足预设分担条件,确定需要所述第二网闸设备分担的第一匹配规则;
第一发送模块430,用于将所述第一匹配规则、需要通过所述第一匹配规则进行匹配检测的业务报文的有效数据发送给所述第二网闸设备,以使所述第二网闸设备根据所述第一匹配规则对所述有效数据进行安全检测;
处理模块440,用于接收所述第二网闸设备发送的安全检测结果,根据所述安全检测结果,对所述业务报文进行安全控制处理。
可选的,所述确定模块420,还用于:
如果所述第一负载状态信息大于预设的负载阈值,则判定所述第一负载状态信息满足预设过载条件;
如果所述第二负载状态信息小于所述负载阈值且所述第一负载状态信息和所述第二负载状态信息的差值大于预设的差值阈值,则判定所述第二负载状态信息满足预设分担条件。
可选的,所述确定模块420,还用于:
根据预先存储的分担数目和差值的对应关系,确定所述第一负载状态信息和所述第二负载状态信息的差值对应的目标分担数目;
根据所述目标分担数目,确定需要所述第二网闸设备分担的第一匹配规则。
可选的,所述处理模块440,还用于:
将所述第一匹配规则发送给所述第二网闸设备;
当接收到所述第二网闸设备发送对应所述第一匹配规则的确认消息后,将需要通过所述第一匹配规则进行匹配检测的业务报文的有效数据发送给所述第二网闸设备。
可选的,所述装置还包括:
接收模块,用于如果所述第二负载状态信息满足预设过载条件且所述第一负载状态信息满足预设分担条件,接收所述第二网闸设备发送的所述第二匹配规则、需要通过所述第二匹配规则进行安全检测的业务报文的有效数据;
第二发送模块,用于根据所述第二匹配规则对所述有效数据进行安全检测,将检测结果发送给所述第二网闸设备。
本发明实施例中,第一网闸设备获取本地的第一负载状态信息和第二网闸设备的第二负载状态信息,如果第一负载状态信息满足预设过载条件且第二负载状态信息满足预设分担条件,第一网闸设备确定需要第二网闸设备分担的第一匹配规则,第一网闸设备将第一匹配规则、需要通过第一匹配规则进行匹配检测的业务报文的有效数据发送给第二网闸设备,第二网闸设备根据第一匹配规则对有效数据进行安全检测,并将安全检测结果发送给第一网闸设备,第一网闸设备根据安全检测结果,对业务报文进行安全控制处理。基于本方案,当网闸系统中的一个网闸设备过载时,可以由另一网闸设备作为代理设备,代理执行该网闸设备的安全检测,从而避免由于某一个网闸设备的负载较高而导致业务报文丢失的情况。
本申请实施例还提供了一种网闸设备,如图5所示,包括处理器501、通信接口502、存储器503和通信总线504,其中,处理器501,通信接口502,存储器503通过通信总线504完成相互间的通信,
存储器503,用于存放计算机程序;
处理器501,用于执行存储器503上所存放的程序时,以使该监控端设备执行如下步骤:
获取本地的第一负载状态信息和所述第二网闸设备的第二负载状态信息;
如果所述第一负载状态信息满足预设过载条件且所述第二负载状态信息满足预设分担条件,确定需要所述第二网闸设备分担的第一匹配规则;
将所述第一匹配规则、需要通过所述第一匹配规则进行匹配检测的业务报文的有效数据发送给所述第二网闸设备,以使所述第二网闸设备根据所述第一匹配规则对所述有效数据进行安全检测;
接收所述第二网闸设备发送的安全检测结果,根据所述安全检测结果,对所述业务报文进行安全控制处理。
可选的,所述方法还包括:
如果所述第一负载状态信息大于预设的负载阈值,则判定所述第一负载状态信息满足预设过载条件;
如果所述第二负载状态信息小于所述负载阈值且所述第一负载状态信息和所述第二负载状态信息的差值大于预设的差值阈值,则判定所述第二负载状态信息满足预设分担条件。
可选的,所述确定所述第二网闸设备需要分担的第一匹配规则,包括:
根据预先存储的分担数目和差值的对应关系,确定所述第一负载状态信息和所述第二负载状态信息的差值对应的目标分担数目;
根据所述目标分担数目,确定需要所述第二网闸设备分担的第一匹配规则。
可选的,所述将所述第一匹配规则、需要通过所述第一匹配规则进行匹配检测的业务报文的有效数据发送给所述第二网闸设备,包括:
将所述第一匹配规则发送给所述第二网闸设备;
当接收到所述第二网闸设备发送对应所述第一匹配规则的确认消息后,将需要通过所述第一匹配规则进行匹配检测的业务报文的有效数据发送给所述第二网闸设备。
可选的,所述方法还包括:
如果所述第二负载状态信息满足预设过载条件且所述第一负载状态信息满足预设分担条件,接收所述第二网闸设备发送的所述第二匹配规则、需要通过所述第二匹配规则进行安全检测的业务报文的有效数据;
根据所述第二匹配规则对所述有效数据进行安全检测,将检测结果发送给所述第二网闸设备。
机器可读存储介质可以包括RAM(Random Access Memory,随机存取存储器),也可以包括NVM(Non-Volatile Memory,非易失性存储器),例如至少一个磁盘存储器。另外,机器可读存储介质还可以是至少一个位于远离前述处理器的存储装置。
上述处理器可以是通用处理器,包括CPU(Central Processing Unit,中央处理器)、NP(Network Processor,网络处理器)等;还可以是DSP(Digital Signal Processing,数字信号处理器)、ASIC(Application Specific Integrated Circuit,专用集成电路)、FPGA(Field-Programmable Gate Array,现场可编程门阵列)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
本发明实施例中,第一网闸设备获取本地的第一负载状态信息和第二网闸设备的第二负载状态信息,如果第一负载状态信息满足预设过载条件且第二负载状态信息满足预设分担条件,第一网闸设备确定需要第二网闸设备分担的第一匹配规则,第一网闸设备将第一匹配规则、需要通过第一匹配规则进行匹配检测的业务报文的有效数据发送给第二网闸设备,第二网闸设备根据第一匹配规则对有效数据进行安全检测,并将安全检测结果发送给第一网闸设备,第一网闸设备根据安全检测结果,对业务报文进行安全控制处理。基于本方案,当网闸系统中的一个网闸设备过载时,可以由另一网闸设备作为代理设备,代理执行该网闸设备的安全检测,从而避免由于某一个网闸设备的负载较高而导致业务报文丢失的情况。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本申请的较佳实施例而已,并非用于限定本申请的保护范围。凡在本申请的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本申请的保护范围内。
Claims (10)
1.一种处理业务报文的方法,其特征在于,所述方法应用于网闸系统中的第一网闸设备,所述第一网闸设备与第一网络连接,所述网闸系统还包括与第二网络连接的第二网闸设备,所述方法包括:
获取本地的第一负载状态信息和所述第二网闸设备的第二负载状态信息;
如果所述第一负载状态信息满足预设过载条件且所述第二负载状态信息满足预设分担条件,确定需要所述第二网闸设备分担的第一匹配规则;
将所述第一匹配规则、需要通过所述第一匹配规则进行匹配检测的业务报文的有效数据发送给所述第二网闸设备,以使所述第二网闸设备根据所述第一匹配规则对所述有效数据进行安全检测;
接收所述第二网闸设备发送的安全检测结果,根据所述安全检测结果,对所述业务报文进行安全控制处理。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
如果所述第一负载状态信息大于预设的负载阈值,则判定所述第一负载状态信息满足预设过载条件;
如果所述第二负载状态信息小于所述负载阈值且所述第一负载状态信息和所述第二负载状态信息的差值大于预设的差值阈值,则判定所述第二负载状态信息满足预设分担条件。
3.根据权利要求1或2所述的方法,其特征在于,所述确定所述第二网闸设备需要分担的第一匹配规则,包括:
根据预先存储的分担数目和差值的对应关系,确定所述第一负载状态信息和所述第二负载状态信息的差值对应的目标分担数目;
根据所述目标分担数目,确定需要所述第二网闸设备分担的第一匹配规则。
4.根据权利要求1所述的方法,其特征在于,所述将所述第一匹配规则、需要通过所述第一匹配规则进行匹配检测的业务报文的有效数据发送给所述第二网闸设备,包括:
将所述第一匹配规则发送给所述第二网闸设备;
当接收到所述第二网闸设备发送对应所述第一匹配规则的确认消息后,将需要通过所述第一匹配规则进行匹配检测的业务报文的有效数据发送给所述第二网闸设备。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
如果所述第二负载状态信息满足预设过载条件且所述第一负载状态信息满足预设分担条件,接收所述第二网闸设备发送的所述第二匹配规则、需要通过所述第二匹配规则进行安全检测的业务报文的有效数据;
根据所述第二匹配规则对所述有效数据进行安全检测,将检测结果发送给所述第二网闸设备。
6.一种处理业务报文的装置,其特征在于,所述装置应用于网闸系统中的第一网闸设备,所述第一网闸设备与第一网络连接,所述网闸系统还包括与第二网络连接的第二网闸设备,其中:
获取模块,用于获取本地的第一负载状态信息和所述第二网闸设备的第二负载状态信息;
确定模块,用于如果所述第一负载状态信息满足预设过载条件且所述第二负载状态信息满足预设分担条件,确定需要所述第二网闸设备分担的第一匹配规则;
第一发送模块,用于将所述第一匹配规则、需要通过所述第一匹配规则进行匹配检测的业务报文的有效数据发送给所述第二网闸设备,以使所述第二网闸设备根据所述第一匹配规则对所述有效数据进行安全检测;
处理模块,用于接收所述第二网闸设备发送的安全检测结果,根据所述安全检测结果,对所述业务报文进行安全控制处理。
7.根据权利要求6所述的装置,其特征在于,所述确定模块,还用于:
如果所述第一负载状态信息大于预设的负载阈值,则判定所述第一负载状态信息满足预设过载条件;
如果所述第二负载状态信息小于所述负载阈值且所述第一负载状态信息和所述第二负载状态信息的差值大于预设的差值阈值,则判定所述第二负载状态信息满足预设分担条件。
8.根据权利要求6或7所述的装置,其特征在于,所述确定模块,还用于:
根据预先存储的分担数目和差值的对应关系,确定所述第一负载状态信息和所述第二负载状态信息的差值对应的目标分担数目;
根据所述目标分担数目,确定需要所述第二网闸设备分担的第一匹配规则。
9.根据权利要求6所述的装置,其特征在于,所述处理模块,还用于:
将所述第一匹配规则发送给所述第二网闸设备;
当接收到所述第二网闸设备发送对应所述第一匹配规则的确认消息后,将需要通过所述第一匹配规则进行匹配检测的业务报文的有效数据发送给所述第二网闸设备。
10.根据权利要求6所述的装置,其特征在于,所述装置还包括:
接收模块,用于如果所述第二负载状态信息满足预设过载条件且所述第一负载状态信息满足预设分担条件,接收所述第二网闸设备发送的所述第二匹配规则、需要通过所述第二匹配规则进行安全检测的业务报文的有效数据;
第二发送模块,用于根据所述第二匹配规则对所述有效数据进行安全检测,将检测结果发送给所述第二网闸设备。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711330620.1A CN108092971A (zh) | 2017-12-13 | 2017-12-13 | 一种处理业务报文的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711330620.1A CN108092971A (zh) | 2017-12-13 | 2017-12-13 | 一种处理业务报文的方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN108092971A true CN108092971A (zh) | 2018-05-29 |
Family
ID=62175579
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711330620.1A Pending CN108092971A (zh) | 2017-12-13 | 2017-12-13 | 一种处理业务报文的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108092971A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110213318A (zh) * | 2018-09-21 | 2019-09-06 | 腾讯科技(深圳)有限公司 | 一种数据传输控制的方法、设备及存储介质 |
| CN112492001A (zh) * | 2020-11-18 | 2021-03-12 | 深圳市商汤科技有限公司 | 一种数据传输方法、装置、设备及计算机存储介质 |
| CN112866351A (zh) * | 2020-12-31 | 2021-05-28 | 成都佳华物链云科技有限公司 | 数据交互方法、装置、服务器及存储介质 |
| CN114979036A (zh) * | 2022-05-31 | 2022-08-30 | 山东中网云安智能科技有限公司 | 一种基于心跳和隔离交换矩阵的网闸的双机热备系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101447956A (zh) * | 2009-01-13 | 2009-06-03 | 杭州华三通信技术有限公司 | 一种跨网闸的通信方法和通信系统 |
| CN101697528A (zh) * | 2009-10-30 | 2010-04-21 | 杭州华三通信技术有限公司 | 一种nat网关设备之间的负载分担方法和设备 |
| CN101741912A (zh) * | 2009-12-30 | 2010-06-16 | 中兴通讯股份有限公司 | 一种处理计算任务的方法、网络设备及分布式网络系统 |
| CN101909067A (zh) * | 2010-08-26 | 2010-12-08 | 北京天融信科技有限公司 | 安全网关集群防病毒的方法及系统 |
| CN105490957A (zh) * | 2014-10-11 | 2016-04-13 | 华为技术有限公司 | 一种负载分担方法及装置 |
-
2017
- 2017-12-13 CN CN201711330620.1A patent/CN108092971A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101447956A (zh) * | 2009-01-13 | 2009-06-03 | 杭州华三通信技术有限公司 | 一种跨网闸的通信方法和通信系统 |
| CN101697528A (zh) * | 2009-10-30 | 2010-04-21 | 杭州华三通信技术有限公司 | 一种nat网关设备之间的负载分担方法和设备 |
| CN101741912A (zh) * | 2009-12-30 | 2010-06-16 | 中兴通讯股份有限公司 | 一种处理计算任务的方法、网络设备及分布式网络系统 |
| CN101909067A (zh) * | 2010-08-26 | 2010-12-08 | 北京天融信科技有限公司 | 安全网关集群防病毒的方法及系统 |
| CN105490957A (zh) * | 2014-10-11 | 2016-04-13 | 华为技术有限公司 | 一种负载分担方法及装置 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110213318A (zh) * | 2018-09-21 | 2019-09-06 | 腾讯科技(深圳)有限公司 | 一种数据传输控制的方法、设备及存储介质 |
| CN110213318B (zh) * | 2018-09-21 | 2021-09-28 | 腾讯科技(深圳)有限公司 | 一种数据传输控制的方法、设备及存储介质 |
| CN112492001A (zh) * | 2020-11-18 | 2021-03-12 | 深圳市商汤科技有限公司 | 一种数据传输方法、装置、设备及计算机存储介质 |
| CN112866351A (zh) * | 2020-12-31 | 2021-05-28 | 成都佳华物链云科技有限公司 | 数据交互方法、装置、服务器及存储介质 |
| CN112866351B (zh) * | 2020-12-31 | 2023-08-04 | 成都佳华物链云科技有限公司 | 数据交互方法、装置、服务器及存储介质 |
| CN114979036A (zh) * | 2022-05-31 | 2022-08-30 | 山东中网云安智能科技有限公司 | 一种基于心跳和隔离交换矩阵的网闸的双机热备系统 |
| CN114979036B (zh) * | 2022-05-31 | 2024-05-10 | 山东中网云安智能科技有限公司 | 一种基于心跳和隔离交换矩阵的网闸的双机热备系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108092971A (zh) | 一种处理业务报文的方法及装置 | |
| EP3720075B1 (en) | Data transmission method and virtual switch | |
| CN108123824A (zh) | 一种网络故障检测方法及装置 | |
| CN106936661A (zh) | 一种网络监测方法、装置及系统 | |
| CN105991412A (zh) | 消息推送方法及装置 | |
| CN108255725A (zh) | 测试方法及装置 | |
| CN107852415A (zh) | 用于在网络之间无反作用地传输数据的方法和装置 | |
| CN105939297A (zh) | 一种tcp报文重组方法和装置 | |
| CN107735987A (zh) | 中继装置、网络监视系统和程序 | |
| JP2005184792A (ja) | 帯域制御装置、帯域制御方法及び帯域制御プログラム | |
| US20070008971A1 (en) | Systems and methods for passing network traffic data | |
| CN108989084A (zh) | 异常数据监控方法、装置及系统 | |
| CN105812405B (zh) | 一种处理消息的方法、装置及系统 | |
| CN103109497B (zh) | 用于测量网络中性能特性的互连设备的动态配置 | |
| CN108173810A (zh) | 一种传输网络数据的方法及装置 | |
| CN106685760A (zh) | 链路状态的探测方法及装置 | |
| CN108769016A (zh) | 一种业务报文的处理方法及装置 | |
| CN107579792A (zh) | 多型号在轨卫星工程参数并行解析方法 | |
| CN106982127B (zh) | 一种融合计费中消息检测及分流方法及汇接代理装置 | |
| CN105188062B (zh) | 泄密防护方法和装置 | |
| CN115720181B (zh) | 裸金属节点的控制方法、系统、电子设备及可读存储介质 | |
| CN106506265A (zh) | 检测fpga芯片挂死的方法及装置 | |
| CN104104555B (zh) | 监控方法、系统、控制端及执行端 | |
| US11818580B1 (en) | Detecting unauthorized access points in a network | |
| CN112153027B (zh) | 仿冒行为识别方法、装置、设备及计算机可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180529 |
|
| RJ01 | Rejection of invention patent application after publication |