CN109450940A - 一种实现网络流量封堵的装置和方法 - Google Patents

一种实现网络流量封堵的装置和方法 Download PDF

Info

Publication number
CN109450940A
CN109450940A CN201811588432.3A CN201811588432A CN109450940A CN 109450940 A CN109450940 A CN 109450940A CN 201811588432 A CN201811588432 A CN 201811588432A CN 109450940 A CN109450940 A CN 109450940A
Authority
CN
China
Prior art keywords
message
module
cavium
rule
port
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201811588432.3A
Other languages
English (en)
Other versions
CN109450940B (zh
Inventor
糜靖峰
孙浩
李建昂
仝国利
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nanjing Sinovatio Technology LLC
Original Assignee
Nanjing Sinovatio Technology LLC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nanjing Sinovatio Technology LLC filed Critical Nanjing Sinovatio Technology LLC
Priority to CN201811588432.3A priority Critical patent/CN109450940B/zh
Publication of CN109450940A publication Critical patent/CN109450940A/zh
Application granted granted Critical
Publication of CN109450940B publication Critical patent/CN109450940B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/12Network monitoring probes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种实现网络流量封堵的装置和方法,装置包括:数据接收与发送模块、交换模块、控制模块、报文解析与规则匹配模块、构建封堵包模块;方法包括如下步骤:数据接收与发送模块通过提供的接口接入分光下来的网络流量;交换模块将收到的报文上送到Cavium芯片以及转发Cavium芯片构建的封堵包;控制模块负责端口类型的切换以及规则的下发;报文解析与规则匹配模块通过Cavium处理器对报文进行解析,提取报文的五元组信息,规则的匹配通过Cavium处理器提取的报文信息与规则表中预先写入的规则进行比较,得出匹配结果;构建封堵包模块通过Cavium处理器构造匹配规则报文对于的TcpRest报文,用于终结此连接。本发明能够降低网络阻断的时延,降低装置的成本。

Description

一种实现网络流量封堵的装置和方法
技术领域
本发明涉及网络安全和数据中心技术领域,尤其是一种实现网络流量封堵的装置和方法。
背景技术
目前主流的网络流量封堵系统,其系统主要由数据采集设备、后台分析服务器以及规则服务器组成。数据采集设备负责分光的网络流量的接入,并进行负载均衡的分发给后台分析服务器。后台分析服务器负载对采集设备采集的流量进行分析,判断是否有需要阻断的连接请求,若发现有需要阻断的连接,则发送一个模拟应答信息来关闭请求方的请求连接。规则服务器负载存储和下发规则,即需要阻断的网络的请求报文的五元组等信息以及相应的应答策略。
其数据面的流程为:客户端发起一个连接请求,经过中心交换机或路由器访问互联网。在经过中心交换机或路由器之后,对其进行分光,一份流量继续去访问相应的互联网服务器,另一份流量接入到数据采集设备;数据采集设备收到流量后,对流量进行负载均衡后,分发给后台分析服务器;后台分析服务器对流量进行分析,若发现有需要阻断的请求连接,则构建一个伪造的响应报文,发给数据采集设备,然后有数据采集设备送给前端路由器,再有路由器发给客户端,客户端收到此报文后,以为是对端服务器回的报文,则终结此连接,从而达到了网络流量阻断的效果。
由于其不是一体化的设备,需要借助后台分析服务器进行流量的解析,以及封堵包的构建,此外还需要借助规则服务器进行封堵规则的下发。由此可以发现,其节点较多,必然会造成较大的时延,有穿透的风险。
此外,后台分析服务器的包处理能力一般,单服务器只能有40Gbps的处理能力,且功耗较大,芯片的成本高,因此需要部署多台服务器才可以完成大流量情况下的网络封堵,这样势必会造成成本的增加以及增大机房空间的占用。
发明内容
本发明所要解决的技术问题在于,提供一种实现网络流量封堵的装置和方法,能够降低网络阻断的时延,提高装置的处理性能,降低装置的成本。
为解决上述技术问题,本发明提供一种实现网络流量封堵的装置,包括:数据接收与发送模块、交换模块、控制模块、报文解析与规则匹配模块、构建封堵包模块和指令解析模块;数据接收与发送模块通过提供的接口接入分光下来的网络流量及输出阻断报文;交换模块将数据接收模与发送模块收到的报文上送到Cavium芯片以及接收并转发Cavium芯片构建的封堵包;控制模块负责端口类型的切换以及规则的下发;指令解析模块对下发的指令进行解析,从而下发端口切换的消息给驱动模块进行端口的切换,以及规则消息给Cavium处理器进行规则表的建立;报文解析与规则匹配模块通过Cavium处理器对报文进行解析,提取报文的源目的IP、源目地端口五元组信息,规则的匹配通过Cavium处理器提取的报文信息与规则表中预先写入的规则进行比较,得出匹配结果;构建封堵包模块通过Cavium处理器构造匹配规则报文对于的TcpRest报文,用户终结此连接。
优选的,数据接收与发送模块提供32XGE或32GE或8XGE+16GE或8XGEW+16XGE接口类型。
相应的,一种实现网络流量封堵的方法,包括如下步骤:
(1)数据接收与发送模块通过提供的接口接入分光下来的网络流量;
(2)交换模块将数据接收与发送模块收到的报文上送到Cavium芯片以及转发Cavium芯片构建的封堵包;
(3)控制模块负责端口类型的切换以及规则的下发;
(4)指令解析模块对下发的指令进行解析,从而下发端口切换的消息给驱动模块进行端口的切换,以及规则消息给Cavium处理器进行规则表的建立;
(5)报文解析与规则匹配模块通过Cavium处理器对报文进行解析,提取报文的源目的IP、源目地端口等五元组信息;
(6)规则的匹配通过Cavium处理器提取的报文信息与规则表中预先写入的规则进行比较,得出匹配结果;规则表为控制模块下发给芯片的匹配规则;
(7)构建封堵包模块通过Cavium处理器构造匹配规则报文对于的TcpRest报文,用于终结此连接。
优选的,步骤(1)中,端口类型支持32XGE、32GE、8XGE+16GE和8XGEW+16XGE。
优选的,步骤(3)中,控制模块下发切换端口的指令,指令有多种;指令解析模块收到指令后对其解析,得到需要切换的端口类型,然后下发端口切换消息给芯片驱动,芯片对端口进行切换;若下发的是32XGE的端口类型,则将端口切换成32个10G Lan口;若下发的是32GE的端口类型,则将端口切换从32个1GE口;若下发的是8XGE+16GE,则将端口切换成8个10GE Lan口和16个GE;若下发的是8XGEW+16GE,则将端口切换成8个10G Wan口和16个GE口。
优选的,步骤(4)中,Cavium公司提供一款64位的MIPS架构网络处理器,单槽位具有160Gbps的处理性能,10微秒的包处理延时。
本发明的有益效果为:本发明将数据采集、数据分析、以及阻断集于一体,采用高性能、低成本的Cavium处理器作为数据分析以及发送阻断报文的处理器,使用发送TCP第一次连接请求相对应的TcpReset报文的方法实现流量封堵,大大降低了网络阻断的时延,提高了装置的处理性能,降低了装置的成本。
附图说明
图1为本发明的装置结构示意图。
图2为本发明的方法流程示意图。
具体实施方式
如图1所示,一种实现网络流量封堵的装置,包括数据接收与发送模块、交换模块、控制模块、报文解析与规则匹配模块、构建封堵包模块,所述数据接收与发送模块通过提供的接口接入分光下来的网络流量及输出阻断报文;所述交换模块将数据接收模块收到的报文上送到Cavium芯片以及接收并转发Cavium芯片构建的封堵包;所述控制模块负责端口类型的切换以及规则的下发;所述报文解析通过Cavium处理器对报文进行解析,提取报文的源目的IP,源目地端口等五元组信息;所述规则的匹配通过Cavium处理器提取的报文信息与规则表中预先写入的规则进行比较,得出匹配结果;所述封堵包构建通过Cavium处理器构造匹配规则报文对于的TcpRest报文,用户终结此连接;根据上述的设置与配置,实现了一种基于高性能Cavium处理器结合TcpReset报文阻断网络流量的方法的集分析,阻断于一体的高性能、低延时、低成本的装置。
如图2所示,一种实现网络流量封堵的方法,该方法包括以下步骤:
S1.所述数据接收与发送模块通过提供的接口接入分光下来的网络流量及输出阻断报文;其中所述端口类型支持32XGE,32GE,8XGE+16GE,8XGEW+16XGE;
S2.所述交换模块将数据接收模块收到的报文上送到Cavium芯片以及接收并转发Cavium芯片构建的封堵包;
S3.所述控制模块负责端口类型的切换以及规则的下发;
S4.所述报文解析通过Cavium处理器对报文进行解析,提取报文的源目的IP,源目地端口等五元组信息;其中所述Cavium公司的一款64位的MIPS架构的高性能,低延时,低功耗的网络处理器,单槽位具有160Gbps的处理性能,10微秒的包处理延时;
S5.所述规则的匹配通过Cavium处理器提取的报文信息与规则表中预先写入的规则进行比较,得出匹配结果;其中所述规则表为控制模块下发给芯片的匹配规则;
S6.所述封堵包构建通过Cavium处理器构造匹配规则报文对应的TcpRest报文,用于终结此连接;其中所述TcpReset报文是TCP协议中用于终结连接的报文。
控制面流程如下:
控制模块下发切换端口的指令,指令可能有多种;
指令解析模块收到指令后对其解析,得到需要切换的端口类型,然后下发端口切换消息给芯片驱动,芯片对端口进行切换;
若下发的是32XGE的端口类型,则将端口切换成32个10G Lan口;
若下发的是32GE的端口类型,则将端口切换从32个1GE口;
若下发的是8XGE+16GE,则将端口切换成8个10GE Lan口和16个GE;
若下发的是8XGEW+16GE,则将端口切换成8个10G Wan口和16个GE口;
控制模块下发相应的封堵规则,并对规则进行保存管理;
规则解析模块对规则进行解析,提取源目地IP,源目地端口等五元组等信息,并下发给Cavium芯片驱动,对Cavium芯片进行封堵规则写表操作。
Cavium芯片解析接入的报文,提取报文的五元组等信息,并与封堵规则表进行匹配;若匹配,则构造相应的TcpReset报文,发回到前端路由器或交换机,实现流量的封堵;对于没有匹配规则的流量,进行丢弃的操作。
数据面转发流程如下:
设备的接口接入分光下来的流量,经过交换模块,由交换模块将流量上送到Cavium处理器进行处理。
Cavium处理器对报文进行解析与规则的匹配,未匹配规则的报文直接进行丢弃的操作,对于匹配规则的报文,构造相应的TcpRest报文发回给交换模块,再由交换模块发给前端的路由器或者交换机。

Claims (6)

1.一种实现网络流量封堵的装置,其特征在于,包括:数据接收与发送模块、交换模块、控制模块、报文解析与规则匹配模块、构建封堵包模块和指令解析模块;数据接收与发送模块通过提供的接口接入分光下来的网络流量及输出阻断报文;交换模块将数据接收模与发送模块收到的报文上送到Cavium芯片以及接收并转发Cavium芯片构建的封堵包;控制模块负责端口类型的切换以及规则的下发;指令解析模块对下发的指令进行解析,从而下发端口切换的消息给驱动模块进行端口的切换,以及规则消息给Cavium处理器进行规则表的建立;报文解析与规则匹配模块通过Cavium处理器对报文进行解析,提取报文的源目的IP、源目地端口五元组信息,规则的匹配通过Cavium处理器提取的报文信息与规则表中预先写入的规则进行比较,得出匹配结果;构建封堵包模块通过Cavium处理器构造匹配规则报文对于的TcpRest报文,用户终结此连接。
2.如权利要求1所述的实现网络流量封堵的装置,其特征在于,数据接收与发送模块提供32XGE或32GE或8XGE+16GE或8XGEW+16XGE接口类型。
3.一种实现网络流量封堵的方法,其特征在于,包括如下步骤:
(1)数据接收与发送模块通过提供的接口接入分光下来的网络流量;
(2)交换模块将数据接收与发送模块收到的报文上送到Cavium芯片以及转发Cavium芯片构建的封堵包;
(3)控制模块负责端口类型的切换以及规则的下发;
(4)指令解析模块对下发的指令进行解析,从而下发端口切换的消息给驱动模块进行端口的切换,以及规则消息给Cavium处理器进行规则表的建立;
(5)报文解析与规则匹配模块通过Cavium处理器对报文进行解析,提取报文的源目的IP、源目地端口等五元组信息;
(6)规则的匹配通过Cavium处理器提取的报文信息与规则表中预先写入的规则进行比较,得出匹配结果;规则表为控制模块下发给芯片的匹配规则;
(7)构建封堵包模块通过Cavium处理器构造匹配规则报文对于的TcpRest报文,用于终结此连接。
4.如权利要求3所述的实现网络流量封堵的方法,其特征在于,步骤(1)中,端口类型支持32XGE、32GE、8XGE+16GE和8XGEW+16XGE。
5.如权利要求3所述的实现网络流量封堵的方法,其特征在于,步骤(3)中,控制模块下发切换端口的指令,指令有多种;指令解析模块收到指令后对其解析,得到需要切换的端口类型,然后下发端口切换消息给芯片驱动,芯片对端口进行切换;若下发的是32XGE的端口类型,则将端口切换成32个10G Lan口;若下发的是32GE的端口类型,则将端口切换从32个1GE口;若下发的是8XGE+16GE,则将端口切换成8个10GE Lan口和16个GE;若下发的是8XGEW+16GE,则将端口切换成8个10G Wan口和16个GE口。
6.如权利要求3所述的实现网络流量封堵的方法,其特征在于,步骤(4)中,Cavium公司提供一款64位的MIPS架构网络处理器,单槽位具有160Gbps的处理性能,10微秒的包处理延时。
CN201811588432.3A 2018-12-25 2018-12-25 一种实现网络流量封堵的装置和方法 Active CN109450940B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811588432.3A CN109450940B (zh) 2018-12-25 2018-12-25 一种实现网络流量封堵的装置和方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811588432.3A CN109450940B (zh) 2018-12-25 2018-12-25 一种实现网络流量封堵的装置和方法

Publications (2)

Publication Number Publication Date
CN109450940A true CN109450940A (zh) 2019-03-08
CN109450940B CN109450940B (zh) 2021-04-02

Family

ID=65535419

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811588432.3A Active CN109450940B (zh) 2018-12-25 2018-12-25 一种实现网络流量封堵的装置和方法

Country Status (1)

Country Link
CN (1) CN109450940B (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110572380A (zh) * 2019-08-30 2019-12-13 北京亚鸿世纪科技发展有限公司 一种tcp回注封堵的方法及装置
CN111741127A (zh) * 2020-07-23 2020-10-02 杭州海康威视数字技术股份有限公司 通信连接阻断方法、装置、电子设备及存储介质
CN112491901A (zh) * 2020-11-30 2021-03-12 北京锐驰信安技术有限公司 一种网络流量精细化筛选装置及方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101399770A (zh) * 2007-09-27 2009-04-01 国际商业机器公司 在数据中心以太网中的流量控制管理方法、系统和设备
US20120257892A1 (en) * 2011-04-05 2012-10-11 Broadcom Corporation Method for Sub-Rating an Ethernet Passive Optical Network (EPON) Medium Access Control (MAC) Based Communication Link
CN107920047A (zh) * 2016-10-11 2018-04-17 中国科学院声学研究所 一种提高ssl数据传输性能的系统及方法
CN108540350A (zh) * 2018-04-20 2018-09-14 济南浪潮高新科技投资发展有限公司 一种基于fpga的网络流量预处理方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101399770A (zh) * 2007-09-27 2009-04-01 国际商业机器公司 在数据中心以太网中的流量控制管理方法、系统和设备
US20120257892A1 (en) * 2011-04-05 2012-10-11 Broadcom Corporation Method for Sub-Rating an Ethernet Passive Optical Network (EPON) Medium Access Control (MAC) Based Communication Link
CN107920047A (zh) * 2016-10-11 2018-04-17 中国科学院声学研究所 一种提高ssl数据传输性能的系统及方法
CN108540350A (zh) * 2018-04-20 2018-09-14 济南浪潮高新科技投资发展有限公司 一种基于fpga的网络流量预处理方法

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110572380A (zh) * 2019-08-30 2019-12-13 北京亚鸿世纪科技发展有限公司 一种tcp回注封堵的方法及装置
CN111741127A (zh) * 2020-07-23 2020-10-02 杭州海康威视数字技术股份有限公司 通信连接阻断方法、装置、电子设备及存储介质
CN111741127B (zh) * 2020-07-23 2020-11-13 杭州海康威视数字技术股份有限公司 通信连接阻断方法、装置、电子设备及存储介质
CN112491901A (zh) * 2020-11-30 2021-03-12 北京锐驰信安技术有限公司 一种网络流量精细化筛选装置及方法
CN112491901B (zh) * 2020-11-30 2023-03-24 北京锐驰信安技术有限公司 一种网络流量精细化筛选装置及方法

Also Published As

Publication number Publication date
CN109450940B (zh) 2021-04-02

Similar Documents

Publication Publication Date Title
DE102015119893B4 (de) Multiplexen von vielen Client-Datenströmen über eine einzige Verbindung
CN109450940A (zh) 一种实现网络流量封堵的装置和方法
CN105430113B (zh) Sdn网络arp报文处理方法、系统、控制器及交换机
EP3499815A1 (en) Packet transmission
CN104168257B (zh) 基于非网络方式的数据隔离装置的数据隔离方法与系统
CN103532672B (zh) 一种sdn网络中分片报文乱序的处理方法及应用
CN101325497B (zh) 在不存在自动协商标准的接口上的自动协商
CN103391296B (zh) 一种控制器、转发器及通道建立方法和系统
EP2773073B1 (en) Entry generation method, message receiving method, and corresponding device and system
KR101938623B1 (ko) 오픈 플로우 통신 방법, 시스템, 제어기 및 서비스 게이트웨이
CN102685177A (zh) 资源的透明代理缓存
CN105871719A (zh) 路由状态和/或策略信息的处理方法及装置
CN104202322B (zh) 一种基于OpenFlow协议的OpenFlow交换机报文安全监控方法
CN204089858U (zh) 一种安全隔离应用层网关
CN104702509B (zh) 一种隔离sdn协议报文和数据报文的方法及装置
WO2013120416A1 (en) Path maximum transmission unit learning
CN104272676A (zh) 通信系统、访问控制装置、交换机、网络控制方法及程序
EP2913964A1 (en) Software-defined networking event distribution method, control device, and processor
CN108259378A (zh) 一种报文处理方法及装置
CN103841189A (zh) 控制云计算中心服务器之间数据通信的方法
CN104965810B (zh) 多核模式下快速处理数据报文的方法及装置
US10230647B2 (en) Data packet processing method and device
US20220150107A1 (en) Packet loss positioning method, apparatus, and system, and computer storage medium
CN105284083A (zh) OpenFlow设备与IP网络设备通信的方法、装置和系统
AR037786A1 (es) Metodo para insertar una instancia de filtro en una pila de filtros sin interrumpir la operacion de las pilas de protocolos asociadas de manera de conservar los recursos de procesador y de red, metodo para eliminar una instancia de filtro en una pila de filtros sin interrumpir la operacion de las pi

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant