CN108156117A - 一种进行安全控制的方法、交换机以及过滤设备 - Google Patents

一种进行安全控制的方法、交换机以及过滤设备 Download PDF

Info

Publication number
CN108156117A
CN108156117A CN201611103939.6A CN201611103939A CN108156117A CN 108156117 A CN108156117 A CN 108156117A CN 201611103939 A CN201611103939 A CN 201611103939A CN 108156117 A CN108156117 A CN 108156117A
Authority
CN
China
Prior art keywords
data packet
information
safety regulation
interchanger
field mark
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201611103939.6A
Other languages
English (en)
Other versions
CN108156117B (zh
Inventor
董文英
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Mobile Communications Group Co Ltd
China Mobile Communications Co Ltd
Original Assignee
China Mobile Communications Group Co Ltd
China Mobile Communications Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Mobile Communications Group Co Ltd, China Mobile Communications Co Ltd filed Critical China Mobile Communications Group Co Ltd
Priority to CN201611103939.6A priority Critical patent/CN108156117B/zh
Publication of CN108156117A publication Critical patent/CN108156117A/zh
Application granted granted Critical
Publication of CN108156117B publication Critical patent/CN108156117B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种进行安全控制的方法、交换机以及过滤设备。本发明提供的安全控制的方法,包括:交换机判断接收到的数据包的信息是否符合第一安全规则;若数据包的信息不符合第一安全规则,则交换机将数据包转发至过滤设备,以使过滤设备在确定数据包的信息不符合第二安全规则后丢弃该数据包。本发明由于无需在交换机下外挂额外的虚拟防火墙就能够实现对数据包的安全控制,从而减轻了由于外挂虚拟防火墙对交换机产生的资源负担。

Description

一种进行安全控制的方法、交换机以及过滤设备
技术领域
本发明涉及互联网技术领域,特别涉及一种进行安全控制的方法、交换机以及过滤设备。
背景技术
云计算平台中必须提供安全组功能以保护虚拟机网络安全。该功能把具有相同安全需求的虚拟机划分到同一个安全组,并且在该安全组内依据安全需求设定一条或多条安全规则。云计算平台实例应用SDN(Software Defined Network,软件定义网络)技术把安全需求转化成具体的五元组(源/目的IP(Internet Protocol,网际协议)地址、源/目的端口、协议类型)规则、并在合适的虚拟或物理网元上部署安全规则,实现针对虚拟机网络数据包进行过滤和保护的目标。
目前使用SDN技术转化安全规则的实现方式包括,使用虚拟机安装交换机的虚拟实例并使用访问控制列表进行安全控制,例如,通过防火墙需要在第一虚拟交换机下挂虚拟防火墙,匹配第一流表的数据包被转发给虚拟防火墙执行安全校验,其中虚拟防火墙对数据包的校验需要占用第一虚拟交换机的资源。由于此种方式需要在SDN控制器和SDN额外挂载虚拟防火墙,并通过虚拟防火墙进行数据包的校验以及安全控制,因此对虚拟交换机造成了额外的资源负担。
综上,目前基于SDN技术的安全控制方法需要在虚拟交换机上外挂额外的虚拟防火墙进行数据包的校验,由于虚拟防火墙占用了虚拟交换机的资源,从而对虚拟交换机造成资源负担。
发明内容
本发明提供一种进行安全控制的方法、交换机以及过滤设备,用以解决现有技术中存在的基于SDN技术的安全控制方法需要在虚拟交换机上外挂额外的虚拟防火墙进行数据包的校验,由于虚拟防火墙占用了虚拟交换机的资源,从而对虚拟交换机造成资源负担的问题。
本发明提供的一种进行安全控制的方法,包括:
交换机判断接收到的数据包的信息是否符合第一安全规则;
若数据包的信息不符合第一安全规则,则交换机将数据包转发至过滤设备,以使过滤设备在确定数据包的信息不符合第二安全规则后丢弃该数据包。
可选地,第二安全规则中包括第一安全规则。
可选地,交换机判断数据包的信息是否符合第一安全规则,包括:
交换机判断是否能够根据数据包的信息与安全域标记的对应关系确定接收到的数据包的信息对应的安全域标记;
如果能够确定接收到的数据包的信息对应的安全域标记,则将确定的安全域标记置于数据包中,并判断第一安全规则中的安全域标记集合是否有数据包的信息对应的安全域标记,如果有,则确定数据包的信息符合第一安全规则;否则,确定数据包的信息不符合第一安全规则;
如果无法确定接收到的数据包的信息对应的安全域标记,则交换机确定数据包的信息不符合第一安全规则。
本发明提供的一种进行安全控制的方法,包括:
过滤设备判断数据包的信息是否符合预设的第二安全规则,其中数据包的信息是交换机在确定接收到的数据包的信息不符合第一安全规则后发送的;
若数据包的信息不符合第二安全规则,则过滤设备丢弃数据包。
可选地,第二安全规则包括第一安全规则。
可选地,该方法还包括:
若数据包的信息符合第二安全规则,则过滤设备将数据包发送至交换机,以使交换机对数据包进行转发。
可选地,过滤设备判断数据包的信息是否符合预设的第二安全规则,包括:
过滤设备判断接收到的数据包是否具有与数据包的信息对应的安全域标记;
如果能够确定接收到的数据包具有与数据包的信息对应的安全域标记,则过滤设备判断第二安全规则中的安全域标记集合是否有数据包的信息对应的安全域标记,如果有,则确定数据包的信息符合第二安全规则;否则,确定数据包的信息不符合第二安全规则;
如果无法确定接收到的数据包具有与数据包的信息对应的安全域标记,则过滤设备判断数据包的信息是否符合第二安全规则中的默认规则,如果是,则确定数据包的信息符合第二安全规则;否则,确定数据包的信息不符合第二安全规则。
可选地,在过滤设备判断数据包的信息是否符合预设的第二安全规则之后,还包括:
过滤设备将判断的结果信息上报给SDN控制器,以使SDN控制器根据结果信息更新配置在交换机上的第一安全规则。
本发明提供的一种进行安全控制的交换机,包括:
第一判断模块,用于判断接收到的数据包的信息是否符合第一安全规则;
第一处理模块,用于在数据包的信息不符合第一安全规则后,将数据包转发至过滤设备,以使过滤设备在确定数据包的信息不符合第二安全规则后丢弃该数据包。
可选地,第二安全规则中包括第一安全规则。
可选地,第一判断模块具体用于:
判断是否能够根据数据包的信息与安全域标记的对应关系确定接收到的数据包的信息对应的安全域标记;
在能够确定接收到的数据包的信息对应的安全域标记后,将确定的安全域标记置于数据包中,并判断第一安全规则中的安全域标记集合是否有数据包的信息对应的安全域标记,如果有,则确定数据包的信息符合第一安全规则;否则,确定数据包的信息不符合第一安全规则;
在无法确定接收到的数据包的信息对应的安全域标记后,确定数据包的信息不符合第一安全规则。
本发明提供的一种进行安全控制的过滤设备,包括:
第二判断模块,判断数据包的信息是否符合预设的第二安全规则,其中数据包的信息是交换机在确定接收到的数据包的信息不符合第一安全规则后发送的;
第二处理模块,在数据包的信息不符合第二安全规则后,丢弃数据包。
可选地,第二安全规则包括第一安全规则。
可选地,第二处理模块还用于:
在数据包的信息符合第二安全规则后,将数据包发送至交换机,以使交换机对数据包进行转发。
可选地,第二判断模块具体用于:
判断接收到的数据包是否具有与数据包的信息对应的安全域标记;
在能够确定接收到的数据包具有与数据包的信息对应的安全域标记后,判断第二安全规则中的安全域标记集合是否有数据包的信息对应的安全域标记,如果有,则确定数据包的信息符合第二安全规则;否则,确定数据包的信息不符合第二安全规则;
在无法确定接收到的数据包具有与数据包的信息对应的安全域标记后,判断数据包的信息是否符合第二安全规则中的默认规则,如果是,则确定数据包的信息符合第二安全规则;否则,确定数据包的信息不符合第二安全规则。
可选地,第二处理模块还用于:
在判断数据包的信息是否符合预设的第二安全规则之后,将判断的结果信息上报给SDN控制器,以使SDN控制器根据结果信息更新配置在交换机上的第一安全规则。
本发明实施例中,交换机能够选择符合预设的第一安全规则的数据包进行正常的转发,并将不符合第一安全规则的数据包发送至过滤设备,使过滤设备进一步根据第二安全规则对数据包进行审核并丢弃不符合第二安全规则的数据包,以此实现对数据包的安全控制。由于本发明实施例由于能够在SDN控制器的控制下,通过交换机以及过滤设备对数据包进行安全控制,因此无需在交换机下外挂额外的虚拟防火墙就能够实现对数据包的安全控制,从而减轻了由于外挂虚拟防火墙对交换机产生的资源负担,减少了安全控制过程中交换机的资源消耗。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种进行安全控制的方法的示意图(一);
图2为本发明实施例提供的SDN控制系统的结构示意图;
图3为本发明实施例提供的设置来源安全域标记的方法的步骤示意图;
图4为本发明实施例提供的设置目的安全域标记的方法的步骤示意图;
图5为本发明实施例提供的判断数据包的信息是否符合第一安全规则的方法的步骤示意图;
图6为本发明实施例提供的一种进行安全控制的方法的示意图(二);
图7为本发明实施例提供的根据一种进行安全控制的方法判断数据包是否符合第二安全规则的步骤示意图;
图8为本发明实施例提供的一种进行安全控制的方法的具体流程图;
图9为本发明实施例提供的一种进行安全控制的交换机的结构示意图;
图10为本发明实施例提供的一种进行安全控制的过滤设备的结构示意图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
如图1所示,本发明实施例提供的一种进行安全控制的方法包括以下步骤:
步骤101:交换机判断接收到的数据包的信息是否符合第一安全规则;
步骤102:若数据包的信息不符合第一安全规则,则交换机将数据包转发至过滤设备,以使过滤设备在确定数据包的信息不符合第二安全规则后丢弃该数据包。
其中,数据包在转发时会携带有表示数据包的来源IP、目的IP、来源端口、目的端口等的信息,本发明实施例中的交换机将根据数据包的上述信息判断数据包是否符合预设的第一安全规则。
可选地,本发明实施例中的交换机可以是Openflow交换机;过滤设备可以是配置了第二安全规则的Openflow安全交换机,也可以是其他能够根据第二安全规则对数据包的信息进行校验的设备。
其中,交换机负责数据包的转发、发挥交换机的网络功能以及根据第一安全规则对数据包进行校验;过滤设备支持多级table(表)的流表结构,并且配置有第二安全规则,使得过滤设备能够根据第二安全规则对数据包进行筛选过滤。
本发明实施例应用的SDN控制系统如图2所示,其中交换机202在SDN控制器201的控制下转发数据包;交换机202根据SDN控制器201设置的第一安全规则判断数据的信息是否符合该第一安全规则,如果数据包的信息不符合第一安全规则,则交换机202将数据包转发至过滤设备203。其中,交换机202与过滤设备203之间能够进行数据包的双向传输;交换机202只能单向接收SDN控制器201发送的信息;过滤设备203能够与SDN控制器201进行双向交互。
本发明实施例中的安全规则,是指由数据包被允许的安全来源和安全目的等信息构成的数据包转发规则的集合。例如,某些应用场景只允许数据包从来源MAC(MediumAccess Control,媒体访问控制)地址A发送至目的MAC地址B,则此时安全规则既包括来源信息也包括目的信息,并且允许的数据包发送方向为由MAC地址A到MAC地址B;又如某些应用场景允许来源为MAC地址A的数据包进行转发,或者允许目的为MAC地址B的数据包进行转发,此时的安全规则只包括来源信息或者目的信息;另外,可能存在不针对某一个来源信息或者目的信息的安全规则,例如,安全规则允许或者禁止全部数据包的转发。
本发明实施例中,交换机在接收数据包后,需要确定数据包的来源和目的等信息,并根据数据包的信息判断该数据包是否符合第一安全规则,如果数据包的信息不符合第一安全规则,交换机将数据包转发至过滤设备,以使过滤设备判断数据包的信息是否符合预设的第二安全规则。
例如,交换机识别到某一数据包M携带的来源信息为MAC地址A,目的信息为MAC地址B,假设当前第一安全规则允许数据包由来源MAC地址A转发至目的节点C,则交换机判断该数据包M携带的信息与第一安全规则不符,交换机进一步将该数据包M转发至过滤设备,以使过滤设备判断该数据包M的信息是否符合预设的第二安全规则。
可选地,若数据包的信息符合第一安全规则,交换机对数据包进行转发操作。其中,转发操作包括基于MAC地址的二层转发、基于IP地址的三层转发。
本发明实施例中,交换机在接收数据包后,需要确定数据包的来源和目的等信息,并根据数据包的信息判断该数据包是否符合第一安全规则,如果数据包的信息符合第一安全规则,则交换机执行数据包的转发操作。
例如,交换机识别到某一数据包M携带的来源信息为MAC地址A,目的信息为MAC地址B,假设当前第一安全规则允许数据包由来源MAC地址A转发至目的MAC地址B,则交换机判断该数据包M携带的信息与第一安全规则相符合,交换机对该数据包M进行转发操作。
可选地,第二安全规则中包括第一安全规则。
本发明实施例中,由于交换机除了判断数据包是否符合第一安全规则以外,还需要承担转发数据包的工作,因此在交换机上不能布置过于复杂的安全规则,可选择将第二安全规则的一部分规则布置于交换机,以使交换机根据第二安全规则的一部分规则进行安全控制,另外将第二安全规则布置于过滤设备,以使过滤设备根据第二安全规则判断数据包是否符合安全要求。
例如,在第二安全规则中设置N条安全规则,将其中的n条安全规则作为第一安全规则,由SDN控制器布置于交换机,使得交换机根据第一安全规则判断数据包是否符合安全规则,其中n、N均为正整数,N>n。
可选地,交换机判断数据包的信息是否符合第一安全规则,包括:交换机判断是否能够根据数据包的信息与安全域标记的对应关系确定接收到的数据包的信息对应的安全域标记;如果能够确定接收到的数据包的信息对应的安全域标记,则将确定的安全域标记置于数据包中,并判断第一安全规则中的安全域标记集合是否有数据包的信息对应的安全域标记,如果有,则确定数据包的信息符合第一安全规则;否则,确定数据包的信息不符合第一安全规则;如果无法确定接收到的数据包的信息对应的安全域标记,则交换机确定数据包的信息不符合第一安全规则。
本发明实施例中,交换机在接收到数据包后,需要确定是否能够根据数据包的信息与安全域标记的对应关系确定接收到的数据包的信息对应的安全域标记,如果能够确定接收到的数据包的信息对应的安全域标记,则需要将确定的安全域标记置于数据包中,并进一步判断第一安全规则中的安全域标记集合是否有数据包的信息对应的安全域标记;如果无法确定接收到的数据包的信息对应的安全域标记,则交换机确定数据包的信息不符合第一安全规则。
例如,交换机接收到某一数据包M,根据数据包M的信息,交换机能够确定数据包M的来源安全域标记以及目的安全域标记分别为“来源1”以及“目的1”,则交换机进一步需要确定第一安全规则的安全域标记集合中是否包含有“来源1”以及“目的1”;如果交换机根据数据包M的信息无法确定数据包M的来源信息对应的来源安全域标记以及数据包M的目的信息对应的目的安全域标记,则交换机确定数据包M的信息不符合第一安全规则。
本发明实施例中,如果交换机能够确定接收到的数据包的信息对应的安全域标记,则交换机需要进一步判断第一安全规则中的安全域标记集合是否有数据包的信息对应的安全域标记,如果第一安全规则中的安全域标记集合有数据包的信息对应的安全域标记,则交换机确定数据包的信息符合第一安全规则,否则交换机确定数据包的信息不符合第一安全规则。
例如,交换机接收到某一数据包M,根据数据包M的信息,交换机确定数据包M的来源信息对应的来源安全域标记以及目的信息对应的目的安全域标记分别为“来源1”以及“目的1”,假设当前的第一安全规则允许的来源安全域标记以及目的安全域标记分别为“来源1”以及“目的1”,则第一安全规则中的安全域标记集合有数据包M的来源信息对应的来源安全域标记以及目的信息对应的目的安全域标记,因此交换机确定数据包M符合第一安全规则;假设当前的第一安全规则允许的来源安全域标记以及目的安全域标记分别为“来源2”以及“目的2”,则第一安全规则中的安全域标记集合没有数据包M的来源信息对应的来源安全域标记以及数据包M的目的信息对应的目的安全域标记,因此交换机确定数据包M不符合第一安全规则。
可选地,数据包的信息,包括但不限于下例中的部分或者全部:Openflow的输入端口信息;数据包的源MAC地址信息;数据包的源IP地址信息;数据包的源端口信息;数据包的目的MAC地址信息;数据包的目的IP地址信息;数据包的目的端口信息;Openflow的输出端口信息。
其中,交换机根据数据包的Openflow的输入端口信息、数据包的源MAC地址信息、数据包的源IP地址信息以及数据包的源端口信息中的部分或者全部确定数据包的来源安全域标记;以及交换机根据数据包的目的MAC地址信息、数据包的目的IP地址信息、数据包的目的端口信息以及Openflow的输出端口信息中的部分或者全部确定数据包的目的安全域标记。
表1数据包信息与安全域标记对应关系
例如,根据表1所示的数据包信息与安全域标记的对应关系,交换机确定某一来源MAC地址为A并且来源端口为S端口的数据包的来源安全域标记为“来源2”;以及交换机确定某一目的MAC地址为A并且目的端口为S端口的数据包的来源安全域标记为“目的2”。
下面以图3说明本发明实施例中的交换机根据数据包的来源信息设置来源安全域标记的步骤:
步骤301:交换机获取接收的数据包的来源信息;
步骤302:交换机判断是否能够根据数据包的来源信息与来源安全域标记的对应关系确定接收到的数据包的来源信息对应的来源安全域标记,若是则执行步骤303,否则执行步骤304;
步骤303:交换机将确定的来源安全域标记置于数据包中;
步骤304;交换机忽略对该数据包设置来源安全域标记。
下面以图4说明本发明实施例中的交换机根据数据包的目的信息设置目的安全域标记的步骤:
步骤401:交换机获取接收的数据包的目的信息;
步骤402:交换机判断是否能够根据数据包的目的信息与目的安全域标记的对应关系确定接收到的数据包的目的信息对应的目的安全域标记,若是则执行步骤403,否则执行步骤404;
步骤403:交换机将确定的目的安全域标记置于数据包中;
步骤404;交换机忽略对该数据包设置目的安全域标记。
在本发明实施例中,交换机设置来源安全域标记以及目的安全域标记的过程并没有时序上严格的限制,在实施中交换机可以先判断是否需要设置来源安全域标记后判断是否需要设置目的安全域标记,也可以先判断是否需要设置目的安全域标记后判断是否需要设置来源安全域标记。
下面以图5说明本发明实施例交换机判断数据包是否符合第一安全规则的步骤:
步骤501:交换机获取接收的数据包的信息;
步骤502:交换机判断是否能够根据数据包的信息与安全域标记的对应关系确定接收到的数据包的信息对应的安全域标记,如果是,则执行步骤503,否则执行步骤504;
步骤503:交换机将确定的安全域标记置于数据包中;
步骤504:交换机忽略对该数据包设置安全域标记,并执行步骤507;
步骤505:交换机判断第一安全规则中的安全域标记集合是否有数据包的信息对应的安全域标记,如果有,则执行步骤506,否则执行步骤507;
步骤506:交换机确定数据包的信息符合第一安全规则;
步骤507:交换机确定数据包的信息不符合第一安全规则。
如图6所示,本发明实施例提供的一种进行安全控制的方法包括以下步骤:
步骤601:过滤设备判断数据包的信息是否符合预设的第二安全规则,其中数据包的信息是交换机在确定接收到的数据包的信息不符合第一安全规则后发送的;
步骤602:若数据包的信息不符合第二安全规则,则过滤设备丢弃数据包。
本发明实施例中,过滤设备在收到交换机转发的数据包后,将判断数据包的信息是否符合第二安全规则,若数据包的信息不符合第二安全规则,则过滤设备丢弃数据包,其中,数据包的信息是交换机在确定接收到的数据包的信息不符合第一安全规则后发送的。
例如,交换机确定某一数据包M不符合第一安全规则后,将数据包M发送至过滤设备,过滤设备识别到数据包M携带的来源信息为MAC地址A,目的信息为MAC地址B,假设第二安全规则允许数据包由来源MAC地址A转发至目的MAC地址C,则过滤设备会判断数据包M携带的信息不符合第二安全规则,进一步过滤设备将丢弃该数据包M。
可选地,若数据包的信息符合第二安全规则,则过滤设备将数据包发送至交换机,以使交换机对数据包进行转发。
本发明实施例中,若过滤设备判断数据包的信息符合第二安全规则,则过滤设备将数据包发送至交换机,交换机在收到过滤设备发送的数据包后可以直接对数据包进行转发,不需要再次判断该数据包是否符合第一安全规则。
可选地,过滤设备判断数据包的信息是否符合预设的第二安全规则,包括:过滤设备判断接收到的数据包是否具有与数据包的信息对应的安全域标记;
如果能够确定接收到的数据包具有与数据包的信息对应的安全域标记,则过滤设备判断第二安全规则中的安全域标记集合是否有数据包的信息对应的安全域标记,如果有,则确定数据包的信息符合第二安全规则;否则,确定数据包的信息不符合第二安全规则;
如果无法确定接收到的数据包具有与数据包的信息对应的安全域标记,则过滤设备根据第二安全规则中的默认规则判断数据包的信息是否符合第二安全规则,如果是,则确定数据包的信息符合第二安全规则;否则,确定数据包的信息不符合第二安全规则。
本发明实施例中,过滤设备在接收到数据包后,需要确定数据包是否具有与数据包的信息对应的安全域标记,如果能够确定数据包具有与数据包的信息对应的安全域标记,则需要进一步判断第二安全规则中的安全域标记集合是否有数据包的信息对应的安全域标记;如果过滤设备无法确定数据包具有与数据包的信息对应的安全域标记,则需要进一步判断数据包的信息是否符合第二安全规则中的默认规则。
其中,第二安全规则中的默认安全域规则是与数据包的来源信息以及目的信息无关的安全规则,例如默认安全域规则可以是确定全部数据包符合第二安全域规则,或者是确定全部数据包都不符合第二安全域规则。
例如,过滤设备接收到某一数据包M,过滤设备首先会判断数据包M是否携带有安全域标记,假设数据包M具有来源安全域标记“来源1”,则过滤设备进一步需要判断第二安全规则中的来源安全域标记集合是否有“来源1”的来源安全域标记;假设数据包M不具有安全域标记,则过滤设备进一步需要判断数据包的信息是否符合第二安全规则中的默认规则,假设当前默认规则中禁止不包含安全域标记的数据包的转发,则过滤设备确定数据包M不符合第二安全规则。
本发明实施例中,如果过滤设备能够确定数据包具有与数据包的信息对应的安全域标记,则过滤设备需要进一步判断第二安全规则中的安全域标记集合是否有数据包的信息对应的安全域标记,如果第二安全规则中的安全域标记集合有数据包的信息对应的安全域标记,则确定数据包的信息符合第二安全规则;否则,确定数据包的信息不符合第二安全规则。
例如,过滤设备接收到某一数据包M,过滤设备首先会判断数据包M是否携带有安全域标记,假设数据包M具有来源安全域标记“来源1”,则过滤设备进一步需要判断第二安全规则中的来源安全域标记集合是否有“来源1”的来源安全域标记;假设当前的第二安全规则允许来自“来源1”的数据包进行转发,即第二安全规则中的安全域标记集合包括“来源1”的来源安全域标记,则过滤设备确定数据包M符合第二安全规则;假设当前的第二安全规则不允许来自“来源1”的数据包进行转发,集第二安全规则中的安全域标记集合不包括“来源1”的来源安全域标记,则过滤设备确定数据包M不符合第二安全规则。
可选地,过滤设备根据流表判断数据包的安全域标记是否属于预设的第二安全规则中的安全域标记的集合。
本发明实施例中,可以通过流表判断数据包的安全域标记是否符合第二安全规则,其中流表包含一个或者多个安全域标记组成的安全域标记集合,还包含与安全域标记对应的判断结果。在进行判断时需要判断数据包的安全域标记是否属于流表中的安全域标记集合,如果属于,则进一步确定与该安全域标记对应的判断结果。
表2安全域标记与判断结果对应表
例如,表2为预设的安全域标记与判断结果对应表,可见,“来源1”属于表2中来源安全域的集合,与“来源1”的安全域标记对应的判断结果为符合第二安全域规则,而与“来源2”对应的判断结果为不符合第二安全域规则;若数据包携带的来源安全域标记为“来源2”,由于表2中该来源安全域标记对应的判断结果为“不符合”,则“来源2”的判断结果为不符合第二安全域规则。
可选地,可以预设多个流表,分别对应安全域标记的每一个类型。
例如,针对来源安全域标记设置来源安全域标记判断流表,用于判断来源安全域标记是否符合第二安全规则;同时针对目的安全域标记设置目的安全域标记判断流表,用于判断目的安全域标记是否符合第二安全规则。
可选地,设置包含第二安全规则中的默认安全规则的流表,在数据包的信息符合默认安全规则时,过滤设备确定该数据包符合第二安全规则中的默认安全规则;在数据包的信息不符合默认安全规则时,过滤设备确定该数据包不符合第二安全规则中的默认安全规则。
例如,针对既不包含来源安全域标记,也不包含目的安全域标记的数据包预设默认流表,如设置流表的内容为确定全部既不包含来源安全域标记也不包含目的安全域标记的数据包不符合(或者符合)第二安全规则。
可选地,过滤设备判断数据包的每一个安全域标记是否属于第二安全规则的安全域标记的集合之后,确定全部安全域标记都符合第二安全规则的数据包的信息符合第二安全规则;以及确定没有全部安全域标记都符合第二安全规则的数据包的信息不符合第二安全规则。
例如,数据包M可能包含多个安全域标记分别为来源安全域标记“来源1”以及目的安全域标记“目的1”,则过滤设备需要分别判断“来源1”以及“目的1”是否属于第二安全规则中来源安全域集合以及目的安全域集合,以及在“来源1”属于第二安全规则的来源安全域集合,以及“目的1”属于第二安全规则的目的安全域集合的情况下,确定数据包M的信息符合第二安全规则;以及在“来源1”不属于第二安全规则的来源安全域集合,或者“目的1”不属于第二安全规则的目的安全域集合的情况下,确定数据包M的信息不符合第二安全规则。
其中,可以在判断数据包的每一个安全域标记后,将每一次判断结果写入数据包,例如可以通过在数据包中写入判断标记的方式。例如,过滤设备在判断来源安全域标记是否属于第二安全域规则的来源安全域集合之后,将表示来源安全域标记属于或者不属于第二安全域规则的来源安全域集合的来源标记写入数据包,以及在判断目的安全域标记是否属于第二安全域规则的目的安全域集合之后,将表示目的安全域标记属于或者不属于第二安全域规则的目的安全域集合的目的标记写入数据包,如果数据包同时具备来源标记以及目的标记,则过滤设备确定数据包符合第二安全规则。
可选地,在过滤设备判断数据包的信息是否符合预设的第二安全规则之后,过滤设备将判断的结果信息上报给SDN控制器,以使SDN控制器根据结果信息更新第一安全规则,以使交换机判断数据包的信息是否符合更新后的第一安全规则。
本发明实施例中,过滤设备能够将判断数据包是否符合第二安全规则的结果信息上报给SDN控制器,以使SDN控制器根据结果信息更新第一安全规则。由于过滤设备只在交换机确认数据包的信息不符合第一安全规则的前提下对该数据包进行判断,因此本发明实施例能够根据过滤设备的判断结果调整第一安全规则,实现第一安全规则的动态调整。
其中,上报的信息包括数据包的信息以及判断的结果或者数据包的安全域标记以及判断的结果;其中数据包的信息包括但不限于:数据包的源MAC地址信息、数据包的目的MAC地址信息、数据包的源IP地址信息、数据包的目的IP地址信息、数据包的源端口信息、数据包的目的端口信息以及发送数据包协议的类型等。
例如,过滤设备判断数据包M携带“来源1”以及“目的1”的安全域标记,假设“来源1”以及“目的1”符合第二安全规则,则过滤设备在判断数据包M符合第二安全规则以后,会将数据包M的信息或者安全域标记以及判断结果上报至SDN控制器,以使SDN控制器根据“来源1”以及“目的1”符合第二安全规则的信息更新第一安全规则,更新后的第一安全规则将认为包含“来源1”以及“目的1”的数据包M符合第一安全规则。
下面以图7说明本发明实施例中过滤设备判断接收的数据包是否符合第二安全规则的步骤:
步骤701:过滤设备接收数据包;
步骤702:过滤设备判断接收到的数据包是否具有与数据包的信息对应的安全域标记,若是,则执行步骤703,否则执行步骤704;
步骤703:过滤设备判断第二安全规则中的安全域标记集合是否有数据包的信息对应的全部安全域标记,若是,则执行步骤705,否则执行步骤706;
步骤704:过滤设备判断所述数据包的信息是否符合第二安全规则中的默认规则,若是,则执行步骤705,否则执行步骤706;
步骤705:过滤设备确定数据包的信息符合第二安全规则;
步骤706:过滤设备确定数据包的信息不符合第二安全规则。
可选地,SDN控制器在接收过滤设备上报的结果信息后,根据所述结果信息更新配置在交换机上的第一安全规则。
本发明实施例中,SDN控制器能够根据接收的结果信息对第一安全规则进行反馈调整,例如当前第一安全规则认为包含“来源1”以及“目的1”两个安全域标记的数据包M不符合第一安全规则,但经过过滤设备根据第二安全规则的判断,包含“来源1”以及“目的1”两个安全域标记的数据包M符合第二安全规则,则SDN控制器在收到过滤设备发送的包含“来源1”以及“目的1”两个安全域标记的数据包M符合第二安全规则的信息后更新第一安全规则,以使交换机按照更新后的第一安全规则判断“来源1”以及“目的1”的数据包符合第一安全规则。
下面以图8说明本发明实施例进行安全控制方法:
步骤801:交换机获取接收到的数据包的信息;
步骤802:交换机判断是否能够根据数据包的信息与安全域标记的对应关系确定接收到的数据包的信息对应的安全域标记,若是,则执行步骤803,否则执行步骤804;
步骤803:交换机将确定的安全域标记置于数据包中;
步骤804:交换机忽略对该数据包设置安全域标记;
步骤805:交换机判断第一安全规则中的安全域标记集合是否有数据包的信息对应的全部安全域标记,若是,则执行步骤806,否则执行步骤807;
步骤806:交换机确定数据包的信息符合第一安全规则;
步骤807:交换机确定数据包的信息不符合第一安全规则;
步骤808:交换机将数据包发送至过滤设备;
步骤809:过滤设备判断接收到的数据包是否具有与数据包的信息对应的安全域标记,若是,则执行步骤810,否则执行步骤811;
步骤810:过滤设备判断第二安全规则中的安全域标记集合是否有数据包的信息对应的全部安全域标记,若是,则执行步骤812,否则执行步骤813;
步骤811:过滤设备判断数据包的信息是否符合第二安全规则中的默认规则,若是,则执行步骤812,否则执行步骤813;
步骤812:过滤设备确定数据包的信息符合第二安全规则,并执行步骤815;
步骤813:过滤设备确定数据包的信息不符合第二安全规则;
步骤814:过滤设备将数据包发送至交换机,并执行步骤816;
步骤815:过滤设备丢弃数据包;
步骤816:交换机收到过滤设备发送的数据包后,转发该数据包。
基于同一发明构思,本发明实施例还提供了一种进行安全控制的交换机和过滤设备。由于该交换机和过滤设备解决问题的原理与本发明实施例相似,因此该终端的实施可以参见本发明方法的实施,重复之处不在赘述。
如图9所示,本发明提供的一种进行安全控制的交换机,包括:
第一判断模块901,用于判断接收到的数据包的信息是否符合第一安全规则;
第一处理模块902,用于在数据包的信息不符合第一安全规则后,将数据包转发至过滤设备,以使过滤设备在确定数据包的信息不符合第二安全规则后丢弃该数据包。
可选地,第二安全规则中包括第一安全规则。
可选地,第一判断模块901具体用于:
判断是否能够根据数据包的信息与安全域标记的对应关系确定接收到的数据包的信息对应的安全域标记;
在能够确定接收到的数据包的信息对应的安全域标记后,将确定的安全域标记置于数据包中,并判断第一安全规则中的安全域标记集合是否有数据包的信息对应的安全域标记,如果有,则确定数据包的信息符合第一安全规则;否则,确定数据包的信息不符合第一安全规则;
在无法确定接收到的数据包的信息对应的安全域标记后,确定数据包的信息不符合第一安全规则。
在本发明中,交换机可以是Openflow交换机。
如图10所示,本发明提供的一种进行安全控制的过滤设备,包括:
第二判断模块1001,判断数据包的信息是否符合预设的第二安全规则,其中数据包的信息是交换机在确定接收到的数据包的信息不符合第一安全规则后发送的;
第二处理模块1002,在数据包的信息不符合第二安全规则后,丢弃数据包。
可选地,第二安全规则包括第一安全规则。
可选地,第二处理模块1002还用于:
在数据包的信息符合第二安全规则后,将数据包发送至交换机,以使交换机对数据包进行转发。
可选地,第二判断模块1001具体用于:
判断接收到的数据包是否具有与数据包的信息对应的安全域标记;
在能够确定接收到的数据包具有与数据包的信息对应的安全域标记后,判断第二安全规则中的安全域标记集合是否有数据包的信息对应的安全域标记,如果有,则确定数据包的信息符合第二安全规则;否则,确定数据包的信息不符合第二安全规则;
在无法确定接收到的数据包具有与数据包的信息对应的安全域标记后,判断数据包的信息是否符合第二安全规则中的默认规则,如果是,则确定数据包的信息符合第二安全规则;否则,确定数据包的信息不符合第二安全规则。
可选地,第二处理模块1002还用于:
在判断数据包的信息是否符合预设的第二安全规则之后,将判断的结果信息上报给SDN控制器,以使SDN控制器根据结果信息更新配置在交换机上的第一安全规则。
在本发明中,过滤设备可以是Openflow安全交换机。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。

Claims (16)

1.一种进行安全控制的方法,其特征在于,该方法包括:
交换机判断接收到的数据包的信息是否符合第一安全规则;
若所述数据包的信息不符合所述第一安全规则,则所述交换机将所述数据包转发至过滤设备,以使所述过滤设备在确定所述数据包的信息不符合第二安全规则后丢弃该数据包。
2.如权利要求1所述的方法,其特征在于,所述第二安全规则中包括所述第一安全规则。
3.如权利要求1所述的方法,其特征在于,所述交换机判断数据包的信息是否符合第一安全规则,包括:
所述交换机判断是否能够根据数据包的信息与安全域标记的对应关系确定接收到的数据包的信息对应的安全域标记;
如果能够确定接收到的数据包的信息对应的安全域标记,则将确定的安全域标记置于数据包中,并判断所述第一安全规则中的安全域标记集合是否有所述数据包的信息对应的安全域标记,如果有,则确定数据包的信息符合第一安全规则;否则,确定数据包的信息不符合第一安全规则;
如果无法确定接收到的数据包的信息对应的安全域标记,则所述交换机确定数据包的信息不符合第一安全规则。
4.一种进行安全控制的方法,其特征在于,该方法包括:
过滤设备判断数据包的信息是否符合预设的第二安全规则,其中所述数据包的信息是交换机在确定接收到的数据包的信息不符合第一安全规则后发送的;
若所述数据包的信息不符合所述第二安全规则,则所述过滤设备丢弃所述数据包。
5.如权利要求4所述的方法,其特征在于,所述第二安全规则包括所述第一安全规则。
6.如权利要求4所述的方法,其特征在于,该方法还包括:
若所述数据包的信息符合所述第二安全规则,则所述过滤设备将所述数据包发送至交换机,以使所述交换机对所述数据包进行转发。
7.如权利要求4所述的方法,其特征在于,所述过滤设备判断所述数据包的信息是否符合预设的第二安全规则,包括:
所述过滤设备判断接收到的数据包是否具有与数据包的信息对应的安全域标记;
如果能够确定接收到的数据包具有与数据包的信息对应的安全域标记,则所述过滤设备判断所述第二安全规则中的安全域标记集合是否有所述数据包的信息对应的安全域标记,如果有,则确定数据包的信息符合第二安全规则;否则,确定数据包的信息不符合第二安全规则;
如果无法确定接收到的数据包具有与数据包的信息对应的安全域标记,则所述过滤设备判断所述数据包的信息是否符合第二安全规则中的默认规则,如果是,则确定数据包的信息符合第二安全规则;否则,确定数据包的信息不符合第二安全规则。
8.如权利要求4所述的方法,其特征在于,在所述过滤设备判断所述数据包的信息是否符合预设的第二安全规则之后,还包括:
所述过滤设备将判断的结果信息上报给SDN控制器,以使所述SDN控制器根据所述结果信息更新配置在交换机上的第一安全规则。
9.一种进行安全控制的交换机,其特征在于,该交换机包括:
第一判断模块,用于判断接收到的数据包的信息是否符合第一安全规则;
第一处理模块,用于在所述数据包的信息不符合所述第一安全规则后,将所述数据包转发至过滤设备,以使所述过滤设备在确定所述数据包的信息不符合第二安全规则后丢弃该数据包。
10.如权利要求9所述的交换机,其特征在于,所述第二安全规则中包括所述第一安全规则。
11.如权利要求9所述的交换机,其特征在于,所述第一判断模块具体用于:
判断是否能够根据数据包的信息与安全域标记的对应关系确定接收到的数据包的信息对应的安全域标记;
在能够确定接收到的数据包的信息对应的安全域标记后,将确定的安全域标记置于数据包中,并判断所述第一安全规则中的安全域标记集合是否有所述数据包的信息对应的安全域标记,如果有,则确定数据包的信息符合第一安全规则;否则,确定数据包的信息不符合第一安全规则;
在无法确定接收到的数据包的信息对应的安全域标记后,确定数据包的信息不符合第一安全规则。
12.一种进行安全控制的过滤设备,其特征在于,该过滤设备包括:
第二判断模块,判断数据包的信息是否符合预设的第二安全规则,其中所述数据包的信息是交换机在确定接收到的数据包的信息不符合第一安全规则后发送的;
第二处理模块,在所述数据包的信息不符合所述第二安全规则后,丢弃所述数据包。
13.如权利要求12所述的过滤设备,其特征在于,所述第二安全规则包括所述第一安全规则。
14.如权利要求12所述的过滤设备,其特征在于,所述第二处理模块还用于:
在所述数据包的信息符合所述第二安全规则后,将所述数据包发送至交换机,以使所述交换机对所述数据包进行转发。
15.如权利要求12所述的过滤设备,其特征在于,所述第二判断模块具体用于:
判断接收到的数据包是否具有与数据包的信息对应的安全域标记;
在能够确定接收到的数据包具有与数据包的信息对应的安全域标记后,判断所述第二安全规则中的安全域标记集合是否有所述数据包的信息对应的安全域标记,如果有,则确定数据包的信息符合第二安全规则;否则,确定数据包的信息不符合第二安全规则;
在无法确定接收到的数据包具有与数据包的信息对应的安全域标记后,判断所述数据包的信息是否符合第二安全规则中的默认规则,如果是,则确定数据包的信息符合第二安全规则;否则,确定数据包的信息不符合第二安全规则。
16.如权利要求12所述的过滤设备,其特征在于,所述第二处理模块还用于:
在判断所述数据包的信息是否符合预设的第二安全规则之后,将判断的结果信息上报给SDN控制器,以使所述SDN控制器根据所述结果信息更新配置在交换机上的第一安全规则。
CN201611103939.6A 2016-12-05 2016-12-05 一种进行安全控制的方法、交换机以及过滤设备 Active CN108156117B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201611103939.6A CN108156117B (zh) 2016-12-05 2016-12-05 一种进行安全控制的方法、交换机以及过滤设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201611103939.6A CN108156117B (zh) 2016-12-05 2016-12-05 一种进行安全控制的方法、交换机以及过滤设备

Publications (2)

Publication Number Publication Date
CN108156117A true CN108156117A (zh) 2018-06-12
CN108156117B CN108156117B (zh) 2021-04-27

Family

ID=62469962

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201611103939.6A Active CN108156117B (zh) 2016-12-05 2016-12-05 一种进行安全控制的方法、交换机以及过滤设备

Country Status (1)

Country Link
CN (1) CN108156117B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114120474A (zh) * 2021-11-29 2022-03-01 广东九联科技股份有限公司 违规车辆自动报警系统

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103051557A (zh) * 2012-12-27 2013-04-17 华为技术有限公司 数据流处理方法及系统、控制器、交换设备
CN103152361A (zh) * 2013-03-26 2013-06-12 华为技术有限公司 访问控制方法及设备、系统
CN103763309A (zh) * 2013-12-31 2014-04-30 曙光云计算技术有限公司 基于虚拟网络的安全域控制方法和系统
CN104348819A (zh) * 2013-08-07 2015-02-11 上海宽带技术及应用工程研究中心 一种软件定义网络中的防火墙系统及其实现方法
US20160065452A1 (en) * 2014-08-08 2016-03-03 Empire Technology Development Llc Protection against rule map update attacks

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103051557A (zh) * 2012-12-27 2013-04-17 华为技术有限公司 数据流处理方法及系统、控制器、交换设备
CN103152361A (zh) * 2013-03-26 2013-06-12 华为技术有限公司 访问控制方法及设备、系统
CN104348819A (zh) * 2013-08-07 2015-02-11 上海宽带技术及应用工程研究中心 一种软件定义网络中的防火墙系统及其实现方法
CN103763309A (zh) * 2013-12-31 2014-04-30 曙光云计算技术有限公司 基于虚拟网络的安全域控制方法和系统
US20160065452A1 (en) * 2014-08-08 2016-03-03 Empire Technology Development Llc Protection against rule map update attacks

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114120474A (zh) * 2021-11-29 2022-03-01 广东九联科技股份有限公司 违规车辆自动报警系统
CN114120474B (zh) * 2021-11-29 2024-06-07 广东九联科技股份有限公司 违规车辆自动报警系统

Also Published As

Publication number Publication date
CN108156117B (zh) 2021-04-27

Similar Documents

Publication Publication Date Title
CN103428094B (zh) 开放流OpenFlow系统中的报文转发方法及装置
US9110703B2 (en) Virtual machine packet processing
US6490276B1 (en) Stackable switch port collapse mechanism
CN105959254B (zh) 处理报文的方法和装置
CN104869125B (zh) 基于sdn的动态防mac地址欺骗方法
CN105379218A (zh) 业务流的处理方法、装置及设备
CN1856163B (zh) 一种具有会话边界控制器的通信系统及其传输信令的方法
CA2555545A1 (en) Interface bundles in virtual network devices
CN103650430A (zh) 报文处理方法、装置、主机和网络系统
CN105991444A (zh) 业务处理的方法和装置
CN104320502B (zh) 终端网关ip地址分配方法、数据传输的方法、mme及系统
CN104734953B (zh) 基于vlan实现报文二层隔离的方法、装置及交换机
CN108259635A (zh) 一种arp表项学习方法和dr设备
CN105939240A (zh) 负载均衡方法及装置
CN107181812A (zh) 一种加速代理设备、加速代理方法以及一种内容管理系统
CN107710634B (zh) 基于光网络系统的通信方法与设备
CN103812746B (zh) 基于linux操作系统的桥接设备及其通信方法
CN107645458B (zh) 三层报文引流方法及控制器
CN101340370B (zh) 链路选择方法和链路选择装置
CN103179044A (zh) 流量管理的实现方法、设备和系统
CN108156117A (zh) 一种进行安全控制的方法、交换机以及过滤设备
CN106507148B (zh) 显示控制方法和装置
CN104539752B (zh) 多级域平台间的访问方法及系统
CN105591903B (zh) 报文转发方法和装置
KR101629089B1 (ko) 레거시 네트워크 프로토콜 기능과 sdn 기능이 하이브리드하게 동작하는 오픈플로우 동작 방법

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant