CN110391988A - 网络流量控制方法、系统及安全防护装置 - Google Patents
网络流量控制方法、系统及安全防护装置 Download PDFInfo
- Publication number
- CN110391988A CN110391988A CN201810338692.9A CN201810338692A CN110391988A CN 110391988 A CN110391988 A CN 110391988A CN 201810338692 A CN201810338692 A CN 201810338692A CN 110391988 A CN110391988 A CN 110391988A
- Authority
- CN
- China
- Prior art keywords
- firewall
- network
- stream
- information
- characteristic information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
- H04L63/0218—Distributed architectures, e.g. distributed firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/12—Avoiding congestion; Recovering from congestion
- H04L47/125—Avoiding congestion; Recovering from congestion by balancing the load, e.g. traffic engineering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0254—Stateful filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种网络流量控制方法、系统及安全防护装置。其中,该方法包括:接收防火墙上报的流特征信息;分析流特征信息和/或由流特征信息确定的网络行为信息,得到分析结果;根据分析结果确定向防火墙下发的控制指令,其中,控制指令用于控制流经防火墙的网络流量。本申请解决了现有的防火墙模式对网络流量的防护效果较差的技术问题。
Description
技术领域
本申请涉及计算机网络领域,具体而言,涉及一种网络流量控制方法、系统及安全防护装置。
背景技术
防火墙是一种保护计算机网络安全的技术性措施,通过在网络边界上建立相应的网络通信监控系统来隔离内部网与外部网,以阻挡来自外部的网络入侵。图1是根据现有技术的一种可选的防火墙的防护架构示意图,如图1所示,当因特网服务器提供商(InternetService Provider,ISP)侧的运营商流量进入路由器后,通过路由器的负载均衡策略,将流量分散在防火墙集群内部。防火墙将流经自己节点的流量进行检查过滤后,将流量转发给交换机转发给最终的业务服务器。
目前,现有的防火墙防护架构存在如下两个问题:①路由器的负载均衡策略会干扰防火墙运行。由于路由器的负载均衡策略相对固定,如果按照IP层进行负载均衡,IPhash攻击容易造成某台防火墙设备成为热点从而影响处理效果甚至引起防火墙宕机;如果按照TCP层进行负载均衡,那么基于IP层的策略会根据防火墙集群数量的增加成倍数上涨,单台防火墙设备无法看到某个IP流量的全貌,进而影响处理。②现有设备中,防火墙多半不具备多节点水平扩展能力。一般的应用场景中,多使用两台为单位进行负载均衡,无法进行任意水平扩展。因此防火墙工作的带宽容量上限容易成为业务处理的瓶颈。
针对上述现有的防火墙模式对网络流量的防护效果较差的问题,目前尚未提出有效的解决方案。
发明内容
本发明实施例提供了一种网络流量控制方法、系统及安全防护装置,以至少解决现有的防火墙模式对网络流量的防护效果较差的技术问题。
根据本发明实施例的一个方面,提供了一种网络流量控制方法,包括:接收防火墙上报的流特征信息;分析流特征信息和/或由流特征信息确定的网络行为信息,得到分析结果;根据分析结果确定向防火墙下发的控制指令,其中,控制指令用于控制流经防火墙的网络流量。
根据本发明实施例的另一方面,还提供了一种网络流量控制系统,包括:防火墙,位于第一设备与第二设备之间,用于提取第一设备与第二设备之间通信的网络流量的流特征信息;防火墙分析装置,与防火墙通信,用于接收防火墙上报的流特征信息,分析流特征信息和/或由流特征信息确定的网络行为信息得到分析结果,并根据分析结果确定向防火墙下发的控制指令,其中,控制指令用于控制流经防火墙的网络流量。
根据本发明实施例的另一方面,还提供了一种安全防护装置,包括:防火墙,用于获取网络流量,并提取网络流量的流特征信息;防火墙分析装置,与防火墙通信,用于接收防火墙上报的流特征信息,分析流特征信息和/或由流特征信息确定的网络行为信息得到分析结果,并根据分析结果确定向防火墙下发的控制指令,其中,控制指令用于控制流经防火墙的网络流量。
根据本发明实施例的另一方面,还提供了一种存储介质,存储介质包括存储的程序,其中,在程序运行时控制存储介质所在设备执行如下处理步骤的指令:接收防火墙上报的流特征信息;分析流特征信息和/或由流特征信息确定的网络行为信息,得到分析结果;根据分析结果确定向防火墙下发的控制指令,其中,控制指令用于控制流经防火墙的网络流量。
根据本发明实施例的另一方面,还提供了一种处理器,处理器用于运行程序,其中,程序运行时执行如下处理步骤的指令:接收防火墙上报的流特征信息;分析流特征信息和/或由流特征信息确定的网络行为信息,得到分析结果;根据分析结果确定向防火墙下发的控制指令,其中,控制指令用于控制流经防火墙的网络流量。
根据本发明实施例的另一方面,还提供了一种网络流量控制方法系统,包括:处理器;以及存储器,与处理器连接,用于为处理器提供处理以下处理步骤的指令:接收防火墙上报的流特征信息;分析流特征信息和/或由流特征信息确定的网络行为信息,得到分析结果;根据分析结果确定向防火墙下发的控制指令,其中,控制指令用于控制流经防火墙的网络流量。
根据本发明实施例的另一方面,还提供了一种数据处理方法,包括:接收来自第一网络设备的流特征信息;分析流特征信息和/或由流特征信息确定的网络行为信息,得到分析结果;根据分析结果,确定向第一网络设备发送的控制指令,其中,控制指令用于控制流经第一网络设备的网络流量。
在本发明实施例中,采用分布式部署防火墙的方式,通过接收防火墙上报的流特征信息;分析流特征信息和/或由流特征信息确定的网络行为信息,得到分析结果;根据分析结果确定向防火墙下发的控制指令,其中,控制指令用于控制流经防火墙的网络流量,达到了将网络流量分散多个防火墙进行限制以突破带宽限制,并对网络流量进行综合分析以克服网络攻击的目的,从而实现了提高网络防护效果的技术效果,进而解决了现有的防火墙模式对网络流量的防护效果较差的技术问题。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是根据现有技术的一种可选的防火墙的防护架构示意图;
图2是根据本申请实施例的一种可选的网络流量控制系统示意图;
图3是根据本申请实施例的一种可选的采用分布式部署的多个防火墙构成的网络流量控制系统架构示意图;
图4是根据本申请实施例的一种可选的网络流量控制系统示意图;
图5是根据本申请实施例的一种可选的防火墙分析装置结构示意图;
图6是根据本申请实施例的一种可选的防火墙结构示意图;
图7是根据本申请实施例的一种网络流量控制方法流程图;
图8是根据本申请实施例的一种可选的防火墙的防护架构示意图;
图9是根据本申请实施例的一种可选的网络流量控制方法流程图;
图10是根据本申请实施例的一种可选的网络流量控制方法流程图;
图11是根据本申请实施例的一种可选的网络流量控制方法流程图;
图12是根据本申请实施例的一种可选的网络流量控制方法流程图;
图13是根据本申请实施例的一种网络流量控制装置示意图;
图14是根据本申请实施例的一种安全防护装置示意图;
图15是根据本申请实施例的一种计算机终端的硬件结构框图;以及
图16是根据本申请实施例的一种数据处理方法流程图。
具体实施方式
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
首先,在对本申请实施例进行描述的过程中出现的部分名词或术语适用于如下解释:
防火墙,也称防火墙,可以是一个由软件和硬件设备组合而成,在内部网与外部网、专用网与公共网之间的界面上构造的保护屏障,也可以是计算机与其所连接的网络之间的软件或硬件,该计算机流入流出的所有数据包均要经过防火墙,从而保护内部网、专用网或计算机免受非法用户的入侵。流防火墙,分布式部署的用于对网络流量进行分散检查、过滤并防护的软件或硬件。其形式可以是软件(例如,各种代理服务器提供的软件)、硬件(例如,专用防火墙设备)或固件(例如,嵌入路由器以进行数据包过滤的固件)。
实施例1
根据本申请实施例,提供了一种网络流量控制系统实施例,可以应用于内部网络与外部网络、专用网络与公共网络、计算机与其连接的网络之间的网络安全防护。
由于互联网的开放性,互联网在给人们的生活和工作带来便利的同时,信息安全越来越受到人们的重视。防火墙作为一种隔离技术,可以对两个网络(包括但不限于两个内网、内网与外网)之间,或终端设备(包括但不限于手机、笔记本电脑、计算机、平板电脑等任意一种可以连网的设备)与网络之间的网络通信流量进行检查、过滤和限制,以阻止未经授权的访问,从而保障内网或终端设备的安全。
随着各种宽带业务(例如,网络视频、IPTV、P2P业务)的发展,传统单一的防火墙已经成为限制网络带宽增长的瓶颈,极大地制约了网络的实际应用,同时也降低了网络性能和可扩展性。单一的防火墙不仅存在单点接入,网络性能受防火墙带宽限制的问题,还存在单点故障的问题,目前,大多数防火墙厂商采用双机热备的方式,来解决单点故障问题。在双机热备系统中,一台防火墙节点处于活动工作状态,成为活动防火墙,另一台防火墙节点作为备用机,处于热等待监控状态,可以看出,双机热备的方式,并没有解决单点接入的问题。
进一步地,为了解决单点接入问题,现有技术中采用多个防火墙并行连接,构成防火墙集群,防火墙集群中的多个防火墙协同工作来实现传统单一防火墙的功能,以获得更好的性能。例如,图1所示的防火墙架构,当网络流量进入路由器后,通过路由器的负载均衡,将流量分散在多个防火墙,使得每个防火墙只能检查并过滤流经自己的流量。
由图1可以看出,单台防火墙只能看到流经自己的网络流量,无法看到整个IP流量的全貌,容易受到基于IP的网络攻击。另外,由于防火墙不具备节点水平扩展能力,无法进行任意水平节点的扩展,现有技术中,一般使用两台防火墙进行负载均衡,仍然存在带宽容量限制的问题。
发明人经研究发现,如果采用分布式部署的方式,采用多个分布式部署的防火墙来实现传统单一防火墙的功能,不仅可以解决带宽容量限制的问题,而且,采用分布式架构,可以将多个防火墙监测到的网络流量进行综合分析,以克服基于IP的网络攻击。由此,本申请实施例提供了一种分布式部署的基于流的防火墙系统,以实现网络流量的控制。
需要说明的是,本申请实施例提供的网络流量控制系统可以应用于任意一种基于防火墙的网络安全系统,可以作为硬件形式存在,也可以作为软件形式存在,可选地,还可以是内嵌于其他设备(例如,路由器)中的一种固件。
此外,还需要说明的是,本申请实施例提供的网络流量控制系统可以用于网络层的防护,也可以用于应用层的防护,其中,在进行网络层防护的情况下,监测的网络流量中包含的信息包括但不限于源地址、目的地址、应用、协议以及每个数据包的端口,以便根据这些信息来确定对网络流量内容执行的操作,例如,转发、丢弃或拦截;在进行应用层防护的情况下,监测的网络流量中还可以包含网络流量的具体内容,以便根据这些信息来实现较为复杂的访问控制。容易注意的是,应用层的防护要比网络层的防护更加安全,但是执行效率不如网络层的防护。
作为一种可选的实施例,图2是根据本申请实施例的一种可选的网络流量控制系统示意图,如图2所示,该系统包括:防火墙201和防火墙分析装置203。
其中,防火墙201,位于第一设备205与第二设备207之间,用于提取第一设备与第二设备之间通信的网络流量的流特征信息。
可选地,上述第一设备与第二设备可以是一个相对的概念,第一设备和第二设备可以是两个均未接入网络的设备,也可以是一个接入网络、另一个未接入网络的设备,还可以是两个均接入网的设备。在第一设备与第二设备为两个均接入网络的设备的情况下,第一设备与第二设备可以是位于两个不同局域网的设备,也可以是一个位于局域网,另一个位于互联网的设备;作为一种可选的实施方式,第一设备与第二设备中的任意一个设备可以是处于内网或专用网的设备,另一个是处于外网或公网的设备。
需要说明的是,由于第一设备与第二设备之间通信的数据均会流经防火墙,因而,防火墙可以获取第一设备与第二设备之间通信的网络流量,并提取网络流量的流特征信息,以便根据提取到的流特征信息确定该网络流量是否允许通过该防火墙。
防火墙分析装置203,与防火墙201通信,用于接收防火墙上报的流特征信息,分析流特征信息和/或由流特征信息确定的网络行为信息得到分析结果,并根据分析结果确定向防火墙下发的控制指令,其中,控制指令用于控制流经防火墙的网络流量。
可选地,上述防火墙分析装置与上述防火墙可以位于同一设备上,也可以位于不同的设备上,容易注意的是,上述防火墙分析装置和防火墙均可以以软件或硬件形式存在,因而,上述防火墙分析装置与防火墙所实现的功能也可以由软件或硬件的形式实现。
需要说明的是,上述防火墙可以是一个,也可以是多个,也即,上述防火墙分析装置可以与单独的一个防火墙通信,也可以与多个防火墙通信,当上述防火墙装置与多个防火墙通信的情况下,防火墙分析装置可以接收多个防火墙上报的流特征信息,并对接收到的多个防火墙的流特征信息进行汇总分析(包括但不限于对流特征信息以及由流特征信息确定的网络行为信息进行汇总分析),得到汇总分析结果,并根据汇总分析结果确定向每个防火墙下发的控制指令,以便每个防火墙根据接收到的控制指令控制流经其的网络流量。
下面,本申请各个实施例以分布式部署的多个防火墙为例来进行说明,图3是根据本申请实施例的一种可选的采用分布式部署的多个防火墙构成的网络流量控制系统架构示意图,如图3所示,防火墙包括:分布式部署的多个防火墙,分别与防火墙分析装置通信。
容易注意的是,由于本申请实施例中,分布式部署的多个防火墙用于分散第一设备与第二设备之间传输的网络流量,为了与现有的防火墙区分,本申请将分布式部署的防火墙称为流防火墙。
与现有技术不同的是,本申请实施例提供的网络流量控制系统中,每个流防火墙将流经自己的网络流量的流特征信息上报给防火墙分析装置,以便防火墙分析装置对接收到的来自多个流防火墙的网络流量进行汇总分析(包括但不限于对流特征信息以及由流特征信息确定的网络行为信息进行汇总分析),得到汇总分析结果,以便根据汇总分析结果来确定向每个防火墙下发的用于控制流经每个防火墙的网络流量的控制指令,从而解决了单个防火墙无法获知来自同一网络地址(例如,IP地址)的所有网络流量,容易受到基于IP的网络攻击的问题。
以第一设备是待保护的设备为例,一种可选的实施例中,如图4所示,上述系统还可以包括:路由器209,连接于每个防火墙与第二设备之间,用于传输第二设备与每个防火墙之间的网络流量;交换机211,连接于每个防火墙与第一设备之间,用于传输每个防火墙与第一设备之间的网络流量。
具体地,在上述实施例中,上述第一设备为待保护的设备,可以是未接入网的设备,或者位于内网或专用网内的设备;当第一设备可以为位于公网、外网或与第一设备不同网络的设备。例如,第一设备可以是图3所示的内网服务器,第二设备可以是位于公网的因特网(互联网)服务提供商的服务器。
为了实现上述防火墙分析装置的功能,一种可选的实施例中,如图6所示,上述防火墙分析装置可以包括如下模块:流信息接收模块,用于接收至少一个防火墙上报的流特征信息;第一流特征计算决策模块,与流信息接收模块连接,用于通过分析至少一个防火墙上报的流特征信息得到分析结果,并根据分析结果确定向每个防火墙下发的控制指令;流信息决策发送模块,与第一流特征计算决策模块连接,用于将控制指令下发到对应的防火墙。
具体地,通过上述流信息接收模块接收由流防火墙发送过来的流特征信息,并交给第一流特征计算决策模块进行处理。通过流特征计算决策模块按照流特征提取模块采集的数据,计算流中的源IP的通信频率,通信数据包头相似度、信息返回相似度等行为信息,以便根据预先配置的流规则和流行为进行后续动作。在确定对网络流量执行的预设动作后,可以通过流信息决策发送模块将网络流量的决策行为下发给对应流防火墙装置,对特定流进行干预。
容易注意的是,第一流特征计算决策模块的内部结构是一系列的规则检测和匹配模块。其中,流规则可以包括流收发包频率限制,流收发报数据大小限制,流头部特征载荷限制,流内容特征匹配等。流行为包括流拦截,流丢弃,源IP拦截,源IP+源端口拦截等对流行为。
为了实现上述防火墙提取流特征信息的功能,一种可选的实施例中,上述防火墙可以包括:流过滤引擎模块,用于在获取流经每个防火墙的网络数据包的情况下,基于每个防火墙的过滤规则,对网络数据包的内容进行检查,并过滤检查结果得到通过检查的网络数据包;流特征提取模块,与流过滤引擎模块连接,提取通过检查的网络数据包的流特征信息。
具体地,如图5所示,针对流经防火墙的网络流量的方向不同,可以将第一设备(待保护的设备)向第二设备发送数据的方向称为入方向,将第二设备向第一设备发送数据的方向称为出方向,则上述防火墙的流过滤引擎模块可以包括:入方向流过滤引擎模块和出方向流过滤引擎模块,其中,入方向流过滤引擎模块用于对第一设备向第二设备发送的流内容进行检查和过滤;出方向流过滤引擎模块用于对第二设备向第一设备发送的流内容进行检查和过滤。上述防火墙的流特征提取模块可以包括:入方向流特征提取模块和出方向流特征提取模块,其中,入方向流特征提取模块用于提取第一设备向第二设备发送的网络流量的流特征信息;出方向流特征提取模块用于对第二设备向第一设备发送的网络流量的流特征信息。
进一步,当防火墙通过流过滤引擎模块获取到流经该防火墙的网络流量,并通过流特征提取模块提取到流特征信息后,可以根据在防火墙内部配置的流规则和流行为确定对流经该防火墙的网络流内容执行相应的操作,由此,基于上述实施例,作为一种可选的实施方式,上述防火墙还可以包括:第二流特征计算决策模块,与流特征提取模块连接,用于根据通过流过滤引擎模块过滤得到的网络数据包的流特征信息确定每个防火墙对流经防火墙的网络数据包执行的预设操作;流信息收发模块(流信息收发模块),分别与第二流特征计算决策模块和防火墙分析装置的流信息接收模块连接,用于将通过第二流特征计算决策模块的网络数据包的流特征信息发送至防火墙分析装置的流信息接收模块。
具体地,上述预设操作包括但不限于如下至少之一:转发网络数据包、丢弃网络数据包、拦截网络数据包;上述第二流特征计算决策模块按照流特征提取模块采集的数据,计算流中的源IP的通信频率,通信数据包头相似度、信息返回相似度等行为信息。根据预先配置的流规则和流行为进行后续动作。其内部结构是一系列的规则检测和匹配模块。其中,流规则可以包括流收发包频率限制,流收发报数据大小限制,流头部特征载荷限制,流内容特征匹配等。流行为包括流拦截,流丢弃,源IP拦截,源IP+源端口拦截等对流行为。
通过上述实施方式,分布式部署的每个防火墙可以根据内部配置的流规则和流行为对网络流内容进行初步筛选操作,以便将不符合流规则的网络数据包丢弃或拦截,仅将通过每个防火墙决策的网络数据包通过流信息收发模块发送到防火墙分析装置的第一流特征计算决策模块,从而减轻防火墙分析装置的处理负担,提高工作效率。
作为一种可选的实施例,上述防火墙还可以包括:转发回源模块,与第一流特征计算决策模块连接,用于转发第一流特征计算决策模块允许防火墙转发的网络数据包;流信息转发管理模块,与转发回源模块连接,用于向转发回源模块提供通过防火墙的网络数据包的目的网络地址和目的端口信息。
具体地,在将第一设备(待保护的设别)向第二设备发送数据的方向称为入方向,将第二设备向第一设备发送数据的方向称为出方向的情况下,上述转发回源模块可以包括:入转发回源模块和出转发回源模块,其中,当数据包到达入转发回源模块时,入转发回源模块会用目的端口信息向流信息转发管理模块查询回源配置(需要提前进行配置,即配置转发映射关系),并最终将流量转发给预先配置的指定IP地址。此时会将转发用到的源IP和源端口信息发送给流信息转发管理模块进行保存,供出方向的流进行查询;当数据包达到出转发回源模块时,出转发回源模块会用源IP和源端口信息向流信息转发管理模块查询原始的入流量信息,并按照源路径返回数据包。
实施例2
根据本申请实施例,还提供了一种网络流量控制方法实施例,本实施例可以应用于实施例1中的网络流量控制系统中,包括但不限于实施例1中场景。需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
由于现有技术采用多个防火墙并行连接,构成防火墙集群,来实现传统单一防火墙的功能,虽然克服单台防火墙接入使得网络业务或应用受防火墙带宽影响的问题,但是,由于网络流量分散流经多个防火墙,每个防火墙只能检查并过滤流经自己的流量,无法获知整个IP流量的全貌,这种防火墙模式无法监测基于IP的网络攻击。
为了解决上述问题,本申请提供了一种网络流量控制方法实施例,图7是根据本申请实施例的一种网络流量控制方法流程图,如图7所示,包括如下步骤:
步骤S702,接收防火墙上报的流特征信息。
具体地,上述防火墙可以是但不限于内部网络与外部网络、专用网络与公共网络、用户终端(包括但不限于手机、笔记本电脑、计算机、平板电脑等任意一种可以连网的设备)与其连接的网络之间进行网络安全防护的防火墙。可选地,上述防火墙可以是一个,也可以是多个,当上述防火墙为多个的情况下,上述流特征信息可以是多个多个防火墙上报的流特征信息。
可选地,上述流特征信息包括但不限于如下至少之一:发送网络数据包的源网络地址和源端口信息、接收网络数据包的目的网络地址和目的端口信息、网络数据包的大小信息、网络数据包的头部信息、网络数据包的协议标记信息、网络数据包的发送时间、网络数据包的接收时间。
作为一种可选的实施例,可以通过防火墙分析装置接收分布式部署的多个防火墙上报的流特征信息。图8是根据本申请实施例的一种可选的防火墙的防护架构示意图,如图8所示,当因特网服务器提供商(Internet Service Provider,ISP)侧的运营商流量进入路由器后,通过路由器将网络流量分散到分布式部署的多个防火墙上,防火墙分析装置可以接收每个防火墙上报的流特征信息。
步骤S704,分析流特征信息和/或由流特征信息确定的网络行为信息,得到分析结果。
具体地,在通过步骤S702接收到每个防火墙上报的流经自己的网络流量的流特征信息后,可以通过上述步骤S704综合分析所有防火墙的流特征信息和/或由流特征信息确定的网络行为信息,得到相应的分析结果。可选地,可以只对防火墙上报的流特征信息进行分析,也可以根据防火墙上报的流特征信息确定相应的网络行为信息,并对网络行为信息进行分析,还可以对流特征信息和网络行为信息进行综合考虑分析。进一步地,在防火墙为多个的情况下,可以对多个防火墙的流特征信息和/或对应的网络行为信息进行汇总分析,以便根据汇总分析结果确定下发的控制指令。
仍以图8所示的防护架构为例,当防火墙分析装置接收到每个防火墙上报的流特征信息,综合分析所有防火墙的流特征信息,并得到相应的分析结果。
步骤S706,根据分析结果确定向防火墙下发的控制指令,其中,控制指令用于控制流经防火墙的网络流量。
具体地,由于每个防火墙只能获知流经各自防火墙的网络流量,如果是将某一IP的网络流量分散到多个防火墙进行防护的情况下,仅依靠每个防火墙防护各自的网络流量存在安全隐患。而通过上述步骤S702接收每个防火墙上报的流特征信息,并根据上述步骤S704综合分析每个防火墙的流特征信息,并通过上述步骤S706根据步骤S704得到的分析结果,确定向每个防火墙下发的控制指令,才能准确地控制防火墙执行相应的操作。
例如,当防火墙过滤的规则为来自同一IP地址的数据包的数量不超过N个,则可以顺利通过防火墙,而如果某一IP地址的数据包通过三个防火墙来进行防护,如果每个防火墙监测到的网络数据包的数量为0.5N个,则该IP地址的网络数据包将顺利通过每个防火墙。但实际上,如果综合分析三个防火墙的网络数据包的话,可以确定来自该IP地址的网络数据包的数量为1.5N个,已经超过预设数量N个,因而,应该控制防火墙拦截或丢弃来自该IP地址的网络数据包。
需要说明的是,上述控制指令用于控制防护墙执行但不限于括如下至少一种预设操作:转发网络数据包、丢弃网络数据包、拦截网络数据包。即通过防火墙流规则的网络数据包可以由防火墙转发出去,而未通过防火墙流规则的网络数据包将被防火墙丢弃或拦截。
由上可知,在本申请上述实施例2公开的方案中,通过接收每个防火墙上报的流特征信息,并对每个防火墙上报的流特征信息进行分析,得到分析结果,以便根据分析结果确定向每个防火墙下发的用于控制流经防火墙的网络流量的控制指令。
容易注意的是,上述防火墙可以是一个,也可以是多个,在防火墙为多个的情况下,采用分布式的方式部署多个防火墙,达到了将网络流量分散多个防火墙进行限制以突破带宽限制,并对网络流量进行综合分析以克服网络攻击的目的,从而实现了提高网络防护效果的技术效果。
由此,本申请提供的上述实施例2的方案解决了现有的防火墙模式对网络流量的防护效果较差的技术问题。
在一种可选的实施例中,如图9所示,在接收防火墙上报的流特征信息之前,上述方法可以包括如下步骤:
步骤S902,获取流经防火墙的网络数据包,其中,网络数据包包括如下至少之一:流入内网的入网数据包、流出内网的出网数据包。
具体地,在上述步骤中,防火墙分析装置在接收每个防火墙上报的网络数据包的流特征信息之前,也即,每个防火墙在上报各自的网络数据包的流特征信息之前,每个防火墙需要获取流经各自的网络数据包,可选地,每个防火墙可以获取流入内网服务器的数据包(即入数据包),也可以获取流出内网服务器的数据包(即出网数据包)。
步骤S904,基于防火墙的过滤规则,对网络数据包的内容进行检查。
具体地,上述过滤规则可以是预先配置在每个防火墙中的流规则,用于每个防火墙对流经各自的网络数据包进行筛选过滤,以将不符合规则或存在安全隐患的网络数据包丢弃或拦截,可选地,可以对流经防火墙的网络数据包的内容进行检查,包括但不限于如下信息:流收发包频率限制,流收发报数据大小限制,流头部特征载荷限制,流内容特征匹配等。对应地,在配置每个防火墙的流规则的时候,可以配置控制防火墙执行的行为,包括但不限于如下任意一种:拦截或丢弃数据包,拦截或丢弃来自源IP的数据包,拦截或丢弃来自源IP地址和源端口信息的数据包。
步骤S906,过滤检查结果,得到通过检查的网络数据包。
具体地,当每个防火墙获取到流经各自的网络数据包后,可以基于每个防火墙的过滤规则,对网络数据包的内容进行检查,并过滤检查结果,过滤出通过防火墙检查的网络数据,可选地,未通过防火墙检查的数据包可以丢弃或拦截。
步骤S908,提取通过检查的网络数据包的流特征信息。
具体地,每个防火墙在基于预先配置的过滤规则对流经的网络数据包进行检查斌过滤之后,仅提取通过每个防火墙检查的网络数据包的流特征信息,以便防火墙分析装置仅对通过防火墙检查的网络数据包进行汇总分析。
通过上述实施例,每个防火墙可以提取通过防火墙检查的网络数据包的流量特征信息,以便防火墙分析装置仅对通过每个防火墙检查的网络数据包进行检查并决策,提高防火墙的处理效率。
作为一种可选的实施例,在防火墙为多个的情况下,接收多个防火墙上报的流特征信息,其中,流特征信息为通过每个防火墙检查的网络数据包的流特征信息。
基于上述实施例,作为一种可选的实施方式,如图10所示,分析流特征信息和/或由流特征信息确定的网络行为信息,得到分析结果,根据分析结果确定向防火墙下发的控制指令,可以包括:
步骤S102,将多个防火墙上报的流特征信息和/或由多个防火墙上报的流特征信息确定的网络行为信息进行汇总分析,得到汇总分析结果;
步骤S104,根据汇总分析结果确定向多个防火墙下发的控制指令。
具体地,在上述实施例中,防火墙分析装置可以接收多个防火墙上报的流特征信息,并对接收到的多个防火墙的流特征信息进行汇总分析,或者,根据多个防火墙上报的流特征信息确定对应的网络行为信息,并对由多个防火墙上报的流特征信息确定的网络行为信息进行汇总分析,得到汇总分析结果,并根据汇总分析结果确定向每个防火墙下发的控制指令,以便每个防火墙根据接收到的控制指令控制流经其的网络流量
一种可选的实施方案中,根据汇总分析结果确定向多个防火墙下发的控制指令,包括:判断通过每个防火墙检查的网络数据包的流特征信息是否与预设流特征匹配;在通过每个防火墙检查的网络数据包的流特征信息与预设流特征匹配的情况下,向对应的防火墙下发控制指令,其中,控制指令用于控制防火墙对流经防火墙的网络数据包执行与预设流特征对应的预设操作。
可选地,上述预设流特征包括但不限于如下至少之一:收发网络数据包的频率、网络数据包的大小、网络数据包的头部信息载荷限制、网络数据包的内容匹配程度。其中,预设操作包括但不限于如下至少之一:转发网络数据包、丢弃网络数据包、拦截网络数据包。
另一种可选的实施方案中,根据汇总分析结果确定向多个防火墙下发的控制指令,包括:根据通过每个防火墙检查的网络数据包的流特征信息确定通过每个防火墙检查的网络数据包的网络行为信息;判断通过每个防火墙检查的网络数据包的网络行为信息是否符合预设网络行为规则;在通过每个防火墙检查的网络数据包的网络行为信息符合预设网络行为规则的情况下,向对应的防火墙下发控制指令,其中,控制指令用于控制防火墙对流经防火墙的网络数据包执行与预设网络行为规则对应的预设操作。
可选地,上述预设网络行为规则用于限定如下至少一种信息:收发网络数据包的频率、网络数据包的大小、网络数据包的头部信息相似度、网络数据包的内容匹配程度。其中,预设操作包括但不限于如下至少之一:转发网络数据包、丢弃网络数据包、拦截网络数据包。
基于上述任意一种可选的实施例,作为一种可选的实施方式,在接收多个防火墙上报的流特征信息之前,可以包括:判断通过每个防火墙检查的网络数据包的流特征信息是否与预设流特征匹配;在通过每个防火墙检查的网络数据包的流特征信息与预设流特征匹配的情况下,控制每个防火墙对流经防火墙的网络数据包执行与预设流特征对应的预设操作。其中,预设流特征包括但如下至少之一:收发网络数据包的频率、网络数据包的大小、网络数据包的头部信息载荷限制、网络数据包的内容匹配程度。预设操作包括如下至少之一:转发网络数据包、丢弃网络数据包、拦截网络数据包。
基于上述任意一种可选的实施例,作为另一种可选的实施方式,在接收多个防火墙上报的流特征信息之前,可以包括:根据通过每个防火墙检查的网络数据包的流特征信息,确定通过每个防火墙检查的网络数据包的网络行为信息;判断通过每个防火墙检查的网络数据包的网络行为信息是否符合预设网络行为规则;在网络行为信息符合预设网络行为规则的情况下,控制每个防火墙对流经防火墙的网络数据包执行与预设网络行为规则对应的预设操作。其中,预设网络行为规则用于限定如下至少一种信息:收发网络数据包的频率、网络数据包的大小、网络数据包的头部信息相似度、网络数据包的内容匹配程度。预设操作包括如下至少之一:转发网络数据包、丢弃网络数据包、拦截网络数据包。
根据上述任意一种可选的实施例,作为一种可选的实施例,在预设操作为转发网络数据包的情况下,如图11所示,上述方法还可以包括:
步骤S112,如果网络数据包为入网数据包,则控制对应的防火墙基于预先配置的目的网络地址和端口信息,将入网数据包转发至内网;
步骤S114,如果网络数据包为出网数据包,则控制对应的防火墙基于内网接收到的网络数据包中包含的源网络地址和源端口信息,将出网数据包转发出去。
具体地,在上述实施例中,如果入网数据包通过防火墙分析装置的检查,则可以基于预先配置的目的网络地址和端口信息,将入网数据包转发至内网对应的设备;如果出网数据包通过防火墙分析装置的检查,可以基于内网接收网络数据包时存储的网络数据包的源网络地址和源端口信息,将出网数据包转发到外网对应的设备。例如,图6所示的防火墙的流信息转发管理模块,用于管理出入方向流的转发目的地址。其中入方向转发需要提前配置方可完成映射,出方向转发配置依赖入转发回源模块提供。
例如,当用户侧的设备发送某一应用服务的请求包(例如,QQ登录请求)后,提供该应用服务的服务器可以根据请求包中包含的源IP地址和源端口号,将应用服务器根据请求包返回的响应包发送到发送请求包的源IP地址和源端口号。
根据上述任意一种可选的实施例,作为一种可选的实施例,在预设操作为拦截网络数据包的情况下,如图12所示,上述方法还可以包括:
步骤S122,在控制防火墙拦截向目的网络地址或目的端口信息发送的网络数据包的情况下,控制防火墙拦截来自目的网络地址或目的端口信息的网络数据包;
步骤S124,在控制防火墙拦截来自源网络地址或源端口信息发送的网络数据包的情况下,控制防火墙拦截发送至源网络地址或源端口信息的网络数据包。
通过上述步骤S122,当防火墙分析装置根据多个防火墙上报的流特征信息向对应的防火墙下发拦截向某一目的网络地址或目的端口信息发送的网络数据包的控制指令的情况下,可以通过该防火墙分析装置向该防火墙下发用于拦截来自该目的网络地址或目的端口信息发送的网络数据包,以实现对流控制的目的;或者,当防火墙基于预先配置的流规则确定防火墙需要拦截向某一目的网络地址或目的端口信息发送的网络数据包的情况下,可以同时控制防火墙拦截来自该目的网络地址或目的端口信息发送的网络数据包,以实现对流控制的目的。
通过上述步骤S124,当防火墙分析装置根据多个防火墙上报的流特征信息向对应的防火墙下发拦截来自某一源网络地址或源端口信息发送的网络数据包的控制指令的情况下,可以通过该防火墙分析装置向该防火墙下发用于拦截向该源网络地址或源端口信息发送的网络数据包,以实现对流控制的目的;或者,当防火墙基于预先配置的流规则确定防火墙需要拦截来自某一源网络地址或源端口信息发送的网络数据包的情况下,可以同时控制防火墙拦截向该源网络地址或源端口信息发送的网络数据包,以实现对流控制的目的。
以图5所示的防火墙分析装置、图6所示的防火墙为例,本申请实施例提供的网络流量控制方法应用于具体业务时,防火墙的业务处理流程包括如下两方面:
(1)入方向处理流程:入方向流过滤引擎模块接收从ISP侧过来的数据包,开始进行流信息过滤。通过流过滤引擎模块检查的数据包进而进入入流特征提取模块进行特征提取,反之则按照过滤器中配置的行为进行后续动作处理(如丢弃,断开流等)。流特征提取模块将数据包中的流信心进行提取后,交给流特征计算决策模块进行处理。如果匹配本地流特征或者命中流规则,则流特征计算决策模块向入方向流过滤引擎模块和出方向流过滤引擎模块添加规则和动作对指定流进行干预。当流特征计算决策模块完成处理后,将汇总后的数据交给流信息收发模块,由该模块转发给防火墙流分析装置进行集中决策。最后通过检查的流信息进入入转发回源模块,通过查询流信息转发管理模块配置找到最终的转发目的地址进行流信息转发。
(2)出方向处理流程:出方向流流过滤引擎模块接收从服务器侧过来的数据包,开始进行流信息过滤。通过流过滤引起检查的数据包进而进入出流特征提取模块进行特征提取,反之则按照过滤器中配置的行为进行后续动作处理(如丢弃,断开流等)。流特征提取模块将数据包中的流信息进行提取后,交给流特征计算决策模块进行处理。如果匹配本地流特征或者命中流规则,则流特征计算决策模块向出方向流流过滤引擎模块和人方向流过滤引擎模块添加规则和动作对指定流进行干预。当流特征计算决策模块完成处理后,将汇总后的数据交给流信息收发模块,由该模块转发给防火墙流分析装置进行集中决策。最后通过检查的流信息进入出转发回源模块,通过查询流信息转发锅里模块配置找到数据入方向的返回目的地进行流信息转发。
防火墙流分析装置干预流行为过程为:当流信息接收模块收到流信息后,便启动流分析工作。当发现流特征命中流特征计算决策模块中相应规则后,则通知流信息决策发送模块向对应流防火墙装置发送指定流特征和针对该流的动作信息。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本申请并不受所描述的动作顺序的限制,因为依据本申请,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本申请所必须的。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的网络流量控制方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本申请各个实施例所述的方法。
实施例3
根据本申请实施例,还提供了一种用于实现上述网络流量控制方法的装置实施例,图13是根据本申请实施例的一种网络流量控制装置示意图,如图13所示,该装置包括:接收单元131、分析单元133和第一确定单元135。
其中,接收单元131,用于接收防火墙上报的流特征信息;
分析单元133,用于分析流特征信息和/或由流特征信息确定的网络行为信息,得到分析结果;
第一确定单元135,用于根据分析结果确定向防火墙下发的控制指令,其中,控制指令用于控制流经防火墙的网络流量。
此处需要说明的是,上述接收单元131、分析单元133和第一确定单元135应于实施例2中的步骤S702至S706,上述模块与对应的步骤所实现的示例和应用场景相同,但不限于上述实施例2所公开的内容。需要说明的是,上述模块作为装置的一部分可以在诸如一组计算机可执行指令的计算机系统中执行。
由上可知,在本申请上述实施例3公开的方案中,通过接收单元131接收每个防火墙上报的流特征信息,并通过分析单元133对每个防火墙上报的流特征信息进行分析,得到分析结果,以便通过第一确定单元135根据分析结果确定向每个防火墙下发的用于控制流经防火墙的网络流量的控制指令。
容易注意的是,上述防火墙可以是一个,也可以是多个,在防火墙为多个的情况下,采用分布式的方式部署多个防火墙,达到了将网络流量分散多个防火墙进行限制以突破带宽限制,并对网络流量进行综合分析以克服网络攻击的目的,从而实现了提高网络防护效果的技术效果。
由此,本申请提供的上述实施例3的方案解决了现有的防火墙模式对网络流量的防护效果较差的技术问题。
在一种可选的实施例中,上述装置还可以包括:获取单元,用于获取流经防火墙的网络数据包,其中,网络数据包包括如下至少之一:流入内网的入网数据包、流出内网的出网数据包;检查单元,用于基于防火墙的过滤规则,对网络数据包的内容进行检查;过滤单元,用于过滤检查结果,得到通过检查的网络数据包;提取单元,用于提取通过检查的网络数据包的流特征信息。
在一种可选的实施例中,上述流特征信息可以包括如下至少之一:发送网络数据包的源网络地址和源端口信息、接收网络数据包的目的网络地址和目的端口信息、网络数据包的大小信息、网络数据包的头部信息、网络数据包的协议标记信息、网络数据包的发送时间、网络数据包的接收时间。
在一种可选的实施例中,上述接收单元还用于在防火墙为多个的情况下,接收多个防火墙上报的流特征信息,其中,流特征信息为通过每个防火墙检查的网络数据包的流特征信息。
在一种可选的实施例中,上述分析单元还用于将多个防火墙上报的流特征信息和/或由多个防火墙上报的流特征信息确定的网络行为信息进行汇总分析,得到汇总分析结果;上述第一确定单元还用于根据汇总分析结果确定向多个防火墙下发的控制指令。
在一种可选的实施例中,上述第一确定单元可以包括:第一判断模块,用于判断通过每个防火墙检查的网络数据包的流特征信息是否与预设流特征匹配;第一执行模块,用于在通过每个防火墙检查的网络数据包的流特征信息与预设流特征匹配的情况下,向对应的防火墙下发控制指令,其中,控制指令用于控制防火墙对流经防火墙的网络数据包执行与预设流特征对应的预设操作。
在一种可选的实施例中,上述第一确定单元可以包括:确定模块,用于根据通过每个防火墙检查的网络数据包的流特征信息确定通过每个防火墙检查的网络数据包的网络行为信息;第二判断模块,用于判断通过每个防火墙检查的网络数据包的网络行为信息是否符合预设网络行为规则;第二执行模块,用于在通过每个防火墙检查的网络数据包的网络行为信息符合预设网络行为规则的情况下,向对应的防火墙下发控制指令,其中,控制指令用于控制防火墙对流经防火墙的网络数据包执行与预设网络行为规则对应的预设操作。
在一种可选的实施例中,上述装置还可以包括:第一判断单元,用于判断通过每个防火墙检查的网络数据包的流特征信息是否与预设流特征匹配;第一控制单元,用于在通过每个防火墙检查的网络数据包的流特征信息与预设流特征匹配的情况下,控制每个防火墙对流经防火墙的网络数据包执行与预设流特征对应的预设操作。
在一种可选的实施例中,上述装置还可以包括:第二确定单元,用于根据通过每个防火墙检查的网络数据包的流特征信息,确定通过每个防火墙检查的网络数据包的网络行为信息;第二判断单元,用于判断通过每个防火墙检查的网络数据包的网络行为信息是否符合预设网络行为规则;第二控制单元,用于在网络行为信息符合预设网络行为规则的情况下,控制每个防火墙对流经防火墙的网络数据包执行与预设网络行为规则对应的预设操作。
作为一种可选的实施例,上述预设流特征可以包括如下至少之一:收发网络数据包的频率、网络数据包的大小、网络数据包的头部信息载荷限制、网络数据包的内容匹配程度。
作为一种可选的实施例,上述预设网络行可以为规则用于限定如下至少一种信息:收发网络数据包的频率、网络数据包的大小、网络数据包的头部信息相似度、网络数据包的内容匹配程度。
作为一种可选的实施例,上述预设操作可以包括如下至少之一:转发网络数据包、丢弃网络数据包、拦截网络数据包。
在一种可选的实施例中,在预设操作为转发网络数据包的情况下,上述装置还可以包括:第三控制单元,用于如果网络数据包为入网数据包,则控制对应的防火墙基于预先配置的目的网络地址和端口信息,将入网数据包转发至内网;第四控制单元,用于如果网络数据包为出网数据包,则控制对应的防火墙基于内网接收到的网络数据包中包含的源网络地址和源端口信息,将出网数据包转发出去。
在一种可选的实施例中,在预设操作为拦截网络数据包的情况下,上述装置还可以包括:第五控制单元,用于在控制防火墙拦截向目的网络地址或目的端口信息发送的网络数据包的情况下,控制防火墙拦截来自目的网络地址或目的端口信息的网络数据包;第六控制单元,用于在控制防火墙拦截来自源网络地址或源端口信息发送的网络数据包的情况下,控制防火墙拦截发送至源网络地址或源端口信息的网络数据包。
实施例4
根据本申请实施例,还提供了一种用于实现上述网络流量控制方法的安全防护装置实施例,图14是根据本申请实施例的一种安全防护装置示意图,如图14所示,该安全防护装置包括:防火墙141和防火墙分析装置143。
其中,防火墙141,用于获取网络流量,并提取网络流量的流特征信息;
防火墙分析装置143,与防火墙通信,用于接收防火墙上报的流特征信息,分析流特征信息和/或由流特征信息确定的网络行为信息得到分析结果,并根据分析结果确定向防火墙下发的控制指令,其中,控制指令用于控制流经防火墙的网络流量。
可选地,上述防火墙可以包括但不限于图6所示的各个功能模块,上述防火墙分析装置143可以包括但不限于图5所示的各个功能模块。
由上可知,在本申请上述实施例4公开的方案中,通过防火墙141接收每个防火墙上报的流特征信息,并通过防火墙分析装置143对每个防火墙上报的流特征信息进行分析,得到分析结果,以便根据分析结果确定向每个防火墙下发的用于控制流经防火墙的网络流量的控制指令。
容易注意的是,上述防火墙可以是一个,也可以是多个,在防火墙为多个的情况下,采用分布式的方式部署多个防火墙,达到了将网络流量分散多个防火墙进行限制以突破带宽限制,并对网络流量进行综合分析以克服网络攻击的目的,从而实现了提高网络防护效果的技术效果。
由此,本申请提供的上述实施例4的方案解决了现有的防火墙模式对网络流量的防护效果较差的技术问题。
实施例5
本申请的实施例可以提供一种计算机设备,该计算机设备可以是计算机设备群中的任意一个计算机设备。可选地,在本实施例中,上述计算机设备也可以替换为计算机设备等终端设备。
可选地,在本实施例中,上述计算机设备可以位于计算机网络的多个网络设备中的至少一个访问设备。
图15示出了一种计算机设备的硬件结构框图。如图15所示,计算机设备15可以包括一个或多个(图中采用152a、152b,……,152n来示出)处理器152(处理器152可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)、用于存储数据的存储器154、以及用于通信功能的传输装置156。除此以外,还可以包括:显示器、输入/输出接口(I/O接口)、通用串行总线(USB)端口(可以作为I/O接口的端口中的一个端口被包括)、网络接口、电源和/或相机。本领域普通技术人员可以理解,图15所示的结构仅为示意,其并不对上述电子装置的结构造成限定。例如,计算机设备15还可包括比图15中所示更多或者更少的组件,或者具有与图15所示不同的配置。
应当注意到的是上述一个或多个处理器152和/或其他数据处理电路在本文中通常可以被称为“数据处理电路”。该数据处理电路可以全部或部分的体现为软件、硬件、固件或其他任意组合。此外,数据处理电路可为单个独立的处理模块,或全部或部分的结合到计算机设备15中的其他元件中的任意一个内。如本申请实施例中所涉及到的,该数据处理电路作为一种处理器控制(例如与接口连接的可变电阻终端路径的选择)。
处理器152可以通过传输装置调用存储器存储的信息及应用程序,以执行下述步骤:接收防火墙上报的流特征信息;分析流特征信息和/或由流特征信息确定的网络行为信息,得到分析结果;根据分析结果确定向防火墙下发的控制指令,其中,控制指令用于控制流经防火墙的网络流量。
存储器154可用于存储应用软件的软件程序以及模块,如本申请实施例中的网络流量控制方法对应的程序指令/数据存储装置,处理器152通过运行存储在存储器154内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的应用程序的网络流量控制方法。存储器154可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器154可进一步包括相对于处理器152远程设置的存储器,这些远程存储器可以通过网络连接至计算机设备15。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输装置156用于经由一个网络接收或者发送数据。上述的网络具体实例可包括计算机设备15的通信供应商提供的无线网络。在一个实例中,传输装置156包括一个网络适配器(Network Interface Controller,NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输装置156可以为射频(Radio Frequency,RF)模块,其用于通过无线方式与互联网进行通讯。
显示器可以例如触摸屏式的液晶显示器(LCD),该液晶显示器可使得用户能够与计算机设备15的用户界面进行交互。
此处需要说明的是,在一些可选实施例中,上述图15所示的计算机设备15可以包括硬件元件(包括电路)、软件元件(包括存储在计算机可读介质上的计算机代码)、或硬件元件和软件元件两者的结合。应当指出的是,图15仅为特定具体实例的一个实例,并且旨在示出可存在于上述计算机设备15中的部件的类型。
此处需要说明的是,在一些实施例中,上述图15所示的计算机设备具有触摸显示器(也被称为“触摸屏”或“触摸显示屏”)。在一些实施例中,上述图15所示的计算机设备具有图像用户界面(GUI),用户可以通过触摸触敏表面上的手指接触和/或手势来与GUI进行人机交互,此处的人机交互功能可选的包括如下交互:创建网页、绘图、文字处理、制作电子文档、游戏、视频会议、即时通信、收发电子邮件、通话界面、播放数字视频、播放数字音乐和/或网络浏览等、用于执行上述人机交互功能的可执行指令被配置/存储在一个或多个处理器可执行的计算机程序产品或可读存储介质中。
在本实施例中,上述计算机设备15可以执行应用程序的网络流量控制方法中以下步骤的程序代码:接收防火墙上报的流特征信息;分析流特征信息和/或由流特征信息确定的网络行为信息,得到分析结果;根据分析结果确定向防火墙下发的控制指令,其中,控制指令用于控制流经防火墙的网络流量。
可选的,上述处理器还可以执行如下步骤的程序代码:接收防火墙上报的流特征信息;分析流特征信息和/或由流特征信息确定的网络行为信息,得到分析结果;根据分析结果确定向防火墙下发的控制指令,其中,控制指令用于控制流经防火墙的网络流量。
可选的,上述处理器还可以执行如下步骤的程序代码:获取流经防火墙的网络数据包,其中,网络数据包包括如下至少之一:流入内网的入网数据包、流出内网的出网数据包;基于防火墙的过滤规则,对网络数据包的内容进行检查;过滤检查结果,得到通过检查的网络数据包;提取通过检查的网络数据包的流特征信息。
可选的,上述流特征信息包括如下至少之一:发送网络数据包的源网络地址和源端口信息、接收网络数据包的目的网络地址和目的端口信息、网络数据包的大小信息、网络数据包的头部信息、网络数据包的协议标记信息、网络数据包的发送时间、网络数据包的接收时间。
可选的,上述处理器还可以执行如下步骤的程序代码:在防火墙为多个的情况下,接收多个防火墙上报的流特征信息,其中,流特征信息为通过每个防火墙检查的网络数据包的流特征信息。
可选的,上述处理器还可以执行如下步骤的程序代码:将多个防火墙上报的流特征信息和/或由多个防火墙上报的流特征信息确定的网络行为信息进行汇总分析,得到汇总分析结果;根据汇总分析结果确定向多个防火墙下发的控制指令。
可选的,上述处理器还可以执行如下步骤的程序代码:判断通过每个防火墙检查的网络数据包的流特征信息是否与预设流特征匹配;
在通过每个防火墙检查的网络数据包的流特征信息与预设流特征匹配的情况下,向对应的防火墙下发控制指令,其中,控制指令用于控制防火墙对流经防火墙的网络数据包执行与预设流特征对应的预设操作。
可选的,上述处理器还可以执行如下步骤的程序代码:根据通过每个防火墙检查的网络数据包的流特征信息确定通过每个防火墙检查的网络数据包的网络行为信息;判断通过每个防火墙检查的网络数据包的网络行为信息是否符合预设网络行为规则;在通过每个防火墙检查的网络数据包的网络行为信息符合预设网络行为规则的情况下,向对应的防火墙下发控制指令,其中,控制指令用于控制防火墙对流经防火墙的网络数据包执行与预设网络行为规则对应的预设操作。
可选的,上述处理器还可以执行如下步骤的程序代码:判断通过每个防火墙检查的网络数据包的流特征信息是否与预设流特征匹配;在通过每个防火墙检查的网络数据包的流特征信息与预设流特征匹配的情况下,控制每个防火墙对流经防火墙的网络数据包执行与预设流特征对应的预设操作。
可选的,上述处理器还可以执行如下步骤的程序代码:根据通过每个防火墙检查的网络数据包的流特征信息,确定通过每个防火墙检查的网络数据包的网络行为信息;判断通过每个防火墙检查的网络数据包的网络行为信息是否符合预设网络行为规则;在网络行为信息符合预设网络行为规则的情况下,控制每个防火墙对流经防火墙的网络数据包执行与预设网络行为规则对应的预设操作。
可选的,上述预设流特征包括如下至少之一:收发网络数据包的频率、网络数据包的大小、网络数据包的头部信息载荷限制、网络数据包的内容匹配程度。
可选的,上述预设网络行为规则用于限定如下至少一种信息:收发网络数据包的频率、网络数据包的大小、网络数据包的头部信息相似度、网络数据包的内容匹配程度。
可选的,上述预设操作包括如下至少之一:转发网络数据包、丢弃网络数据包、拦截网络数据包。
可选的,上述处理器还可以执行如下步骤的程序代码:如果网络数据包为入网数据包,则控制对应的防火墙基于预先配置的目的网络地址和端口信息,将入网数据包转发至内网;如果网络数据包为出网数据包,则控制对应的防火墙基于内网接收到的网络数据包中包含的源网络地址和源端口信息,将出网数据包转发出去。
可选的,上述处理器还可以执行如下步骤的程序代码:在控制防火墙拦截向目的网络地址或目的端口信息发送的网络数据包的情况下,控制防火墙拦截来自目的网络地址或目的端口信息的网络数据包;在控制防火墙拦截来自源网络地址或源端口信息发送的网络数据包的情况下,控制防火墙拦截发送至源网络地址或源端口信息的网络数据包。
本领域普通技术人员可以理解,图15所示的结构仅为示意,计算机设备也可以是智能手机(如Android手机、iOS手机等)、平板电脑、掌声电脑以及移动互联网设备(MobileInternet Devices,MID)、PAD等终端设备。图15其并不对上述电子装置的结构造成限定。例如,计算机设备15还可包括比图15中所示更多或者更少的组件(如网络接口、显示装置等),或者具有与图15所示不同的配置。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令终端设备相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:闪存盘、只读存储器(Read-Only Memory,ROM)、随机存取器(RandomAccess Memory,RAM)、磁盘或光盘等。
实施例6
本申请的实施例还提供了一种存储介质。可选的,在本实施例中,上述存储介质可以用于保存上述实施例所提供的网络流量控制方法所执行的程序代码,其中,在程序运行时控制存储介质所在设备执行实施例中任意一项的可选的或优选的网络流量控制方法。
可选的,在本实施例中,上述存储介质可以位于计算机网络中移动终端群中的任意一个移动终端中,或者位于移动终端群中的任意一个移动终端中。
可选的,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:接收防火墙上报的流特征信息;分析流特征信息和/或由流特征信息确定的网络行为信息,得到分析结果;根据分析结果确定向防火墙下发的控制指令,其中,控制指令用于控制流经防火墙的网络流量。
可选的,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:获取流经防火墙的网络数据包,其中,网络数据包包括如下至少之一:流入内网的入网数据包、流出内网的出网数据包;基于防火墙的过滤规则,对网络数据包的内容进行检查;过滤检查结果,得到通过检查的网络数据包;提取通过检查的网络数据包的流特征信息。
可选的,上述流特征信息包括如下至少之一:发送网络数据包的源网络地址和源端口信息、接收网络数据包的目的网络地址和目的端口信息、网络数据包的大小信息、网络数据包的头部信息、网络数据包的协议标记信息、网络数据包的发送时间、网络数据包的接收时间。
可选的,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:在防火墙为多个的情况下,接收多个防火墙上报的流特征信息,其中,流特征信息为通过每个防火墙检查的网络数据包的流特征信息。
可选的,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:将多个防火墙上报的流特征信息和/或由多个防火墙上报的流特征信息确定的网络行为信息进行汇总分析,得到汇总分析结果;根据汇总分析结果确定向多个防火墙下发的控制指令。
可选的,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:判断通过每个防火墙检查的网络数据包的流特征信息是否与预设流特征匹配;在通过每个防火墙检查的网络数据包的流特征信息与预设流特征匹配的情况下,向对应的防火墙下发控制指令,其中,控制指令用于控制防火墙对流经防火墙的网络数据包执行与预设流特征对应的预设操作。
可选的,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:根据通过每个防火墙检查的网络数据包的流特征信息确定通过每个防火墙检查的网络数据包的网络行为信息;判断通过每个防火墙检查的网络数据包的网络行为信息是否符合预设网络行为规则;在通过每个防火墙检查的网络数据包的网络行为信息符合预设网络行为规则的情况下,向对应的防火墙下发控制指令,其中,控制指令用于控制防火墙对流经防火墙的网络数据包执行与预设网络行为规则对应的预设操作。
可选的,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:判断通过每个防火墙检查的网络数据包的流特征信息是否与预设流特征匹配;在通过每个防火墙检查的网络数据包的流特征信息与预设流特征匹配的情况下,控制每个防火墙对流经防火墙的网络数据包执行与预设流特征对应的预设操作。
可选的,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:根据通过每个防火墙检查的网络数据包的流特征信息,确定通过每个防火墙检查的网络数据包的网络行为信息;判断通过每个防火墙检查的网络数据包的网络行为信息是否符合预设网络行为规则;在网络行为信息符合预设网络行为规则的情况下,控制每个防火墙对流经防火墙的网络数据包执行与预设网络行为规则对应的预设操作。
可选的,上述预设流特征包括如下至少之一:收发网络数据包的频率、网络数据包的大小、网络数据包的头部信息载荷限制、网络数据包的内容匹配程度。
可选的,上述预设网络行为规则用于限定如下至少一种信息:收发网络数据包的频率、网络数据包的大小、网络数据包的头部信息相似度、网络数据包的内容匹配程度。
可选的,上述预设操作包括如下至少之一:转发网络数据包、丢弃网络数据包、拦截网络数据包。
可选的,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:如果网络数据包为入网数据包,则控制对应的防火墙基于预先配置的目的网络地址和端口信息,将入网数据包转发至内网;如果网络数据包为出网数据包,则控制对应的防火墙基于内网接收到的网络数据包中包含的源网络地址和源端口信息,将出网数据包转发出去。
可选的,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:在控制防火墙拦截向目的网络地址或目的端口信息发送的网络数据包的情况下,控制防火墙拦截来自目的网络地址或目的端口信息的网络数据包;在控制防火墙拦截来自源网络地址或源端口信息发送的网络数据包的情况下,控制防火墙拦截发送至源网络地址或源端口信息的网络数据包。
实施例7
本申请的实施例还提供了一种确定对象实体的系统,包括:处理器;以及存储器,与处理器连接,用于为处理器提供处理以下处理步骤的指令:接收防火墙上报的流特征信息;分析流特征信息和/或由流特征信息确定的网络行为信息,得到分析结果;根据分析结果确定向防火墙下发的控制指令,其中,控制指令用于控制流经防火墙的网络流量。
由上可知,在本申请上述实施例7公开的方案中,通过接收每个防火墙上报的流特征信息,并对每个防火墙上报的流特征信息进行分析,得到分析结果,以便根据分析结果确定向每个防火墙下发的用于控制流经防火墙的网络流量的控制指令。
容易注意的是,上述防火墙可以是一个,也可以是多个,在防火墙为多个的情况下,采用分布式的方式部署多个防火墙,达到了将网络流量分散多个防火墙进行限制以突破带宽限制,并对网络流量进行综合分析以克服网络攻击的目的,从而实现了提高网络防护效果的技术效果。
由此,本申请提供的上述实施例7的方案解决了现有的防火墙模式对网络流量的防护效果较差的技术问题。
实施例8
根据本申请实施例,还提供了一种数据处理方法实施例,本实施例可以应用于实施例1中的网络流量控制系统中,包括但不限于实施例1中场景。需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
本申请提供了一种数据处理方法实施例,图16是根据本申请实施例的一种数据处理方法流程图,如图16所示,包括如下步骤:
步骤S1602,接收来自第一网络设备的流特征信息。
具体的,上述第一网络设备可以为但不限于防火墙。上述防火墙可以是但不限于内部网络与外部网络、专用网络与公共网络、用户终端(包括但不限于手机、笔记本电脑、计算机、平板电脑等任意一种可以连网的设备)与其连接的网络之间进行网络安全防护的防火墙。可选地,上述防火墙可以是一个,也可以是多个,当上述防火墙为多个的情况下,上述流特征信息可以是多个多个防火墙上报的流特征信息。
可选地,上述流特征信息包括但不限于如下至少之一:发送网络数据包的源网络地址和源端口信息、接收网络数据包的目的网络地址和目的端口信息、网络数据包的大小信息、网络数据包的头部信息、网络数据包的协议标记信息、网络数据包的发送时间、网络数据包的接收时间。
步骤S1604,分析流特征信息和/或由流特征信息确定的网络行为信息,得到分析结果。
具体地,在通过步骤S1602接收到每个防火墙上报的流经自己的网络流量的流特征信息后,可以通过上述步骤S1604综合分析所有防火墙的流特征信息和/或由流特征信息确定的网络行为信息,得到相应的分析结果。可选地,可以只对防火墙上报的流特征信息进行分析,也可以根据防火墙上报的流特征信息确定相应的网络行为信息,并对网络行为信息进行分析,还可以对流特征信息和网络行为信息进行综合考虑分析。进一步地,在防火墙为多个的情况下,可以对多个防火墙的流特征信息和/或对应的网络行为信息进行汇总分析,以便根据汇总分析结果确定下发的控制指令。
步骤S1606,根据分析结果,确定向第一网络设备发送的控制指令,其中,控制指令用于控制流经第一网络设备的网络流量。
具体地,由于每个防火墙只能获知流经各自防火墙的网络流量,如果是将某一IP的网络流量分散到多个防火墙进行防护的情况下,仅依靠每个防火墙防护各自的网络流量存在安全隐患。而通过上述步骤S1602接收每个防火墙上报的流特征信息,并根据上述步骤S1604综合分析每个防火墙的流特征信息,并通过上述步骤S1606根据步骤S1604得到的分析结果,确定向每个防火墙下发的控制指令,才能准确地控制防火墙执行相应的操作。
例如,当防火墙过滤的规则为来自同一IP地址的数据包的数量不超过N个,则可以顺利通过防火墙,而如果某一IP地址的数据包通过三个防火墙来进行防护,如果每个防火墙监测到的网络数据包的数量为0.5N个,则该IP地址的网络数据包将顺利通过每个防火墙。但实际上,如果综合分析三个防火墙的网络数据包的话,可以确定来自该IP地址的网络数据包的数量为1.5N个,已经超过预设数量N个,因而,应该控制防火墙拦截或丢弃来自该IP地址的网络数据包。
需要说明的是,上述控制指令用于控制防护墙执行但不限于括如下至少一种预设操作:转发网络数据包、丢弃网络数据包、拦截网络数据包。即通过防火墙流规则的网络数据包可以由防火墙转发出去,而未通过防火墙流规则的网络数据包将被防火墙丢弃或拦截。
由上可知,在本申请上述实施例8公开的方案中,通过接收来自第一网络设备的流特征信息,并分析流特征信息和/或由流特征信息确定的网络行为信息,得到分析结果,然后根据分析结果,确定向第一网络设备发送的控制指令,其中,控制指令用于控制流经第一网络设备的网络流量。
容易注意的是,上述防火墙可以是一个,也可以是多个,在防火墙为多个的情况下,采用分布式的方式部署多个防火墙,达到了将网络流量分散多个防火墙进行限制以突破带宽限制,并对网络流量进行综合分析以克服网络攻击的目的,从而实现了提高网络防护效果的技术效果。
由此,本申请提供的上述实施例8的方案解决了现有的防火墙模式对网络流量的防护效果较差的技术问题。
上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。
在本申请的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅是本申请的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本申请的保护范围。
Claims (26)
1.一种网络流量控制系统,其特征在于,包括:
防火墙,位于第一设备与第二设备之间,用于提取所述第一设备与所述第二设备之间通信的网络流量的流特征信息;
防火墙分析装置,与所述防火墙通信,用于接收所述防火墙上报的流特征信息,分析所述流特征信息和/或由所述流特征信息确定的网络行为信息得到分析结果,并根据所述分析结果确定向所述防火墙下发的控制指令,其中,所述控制指令用于控制流经所述防火墙的网络流量。
2.根据权利要求1所述的系统,其特征在于,所述防火墙包括:分布式部署的多个防火墙,分别与所述防火墙分析装置通信。
3.根据权利要求2所述的系统,其特征在于,所述系统还包括:
路由器,连接于每个防火墙与所述第二设备之间,用于传输所述第二设备与所述每个防火墙之间的网络流量;
交换机,连接于所述每个防火墙与所述第一设备之间,用于传输所述每个防火墙与所述第一设备之间的网络流量。
4.根据权利要求2所述的系统,其特征在于,所述防火墙分析装置包括:
流信息接收模块,用于接收至少一个防火墙上报的流特征信息;
第一流特征计算决策模块,与所述流信息接收模块连接,用于通过分析所述至少一个防火墙上报的流特征信息得到所述分析结果,并根据所述分析结果确定向每个防火墙下发的控制指令;
流信息决策发送模块,与所述第一流特征计算决策模块连接,用于将所述控制指令下发到对应的防火墙。
5.根据权利要求4所述的系统,其特征在于,所述防火墙包括:
流过滤引擎模块,用于在获取流经所述每个防火墙的网络数据包的情况下,基于所述每个防火墙的过滤规则,对所述网络数据包的内容进行检查,并过滤检查结果得到通过检查的网络数据包;
流特征提取模块,与所述流过滤引擎模块连接,提取所述通过检查的网络数据包的流特征信息。
6.根据权利要求5所述的系统,其特征在于,所述防火墙还包括:
第二流特征计算决策模块,与所述流特征提取模块连接,用于根据通过所述流过滤引擎模块过滤得到的网络数据包的流特征信息确定所述每个防火墙对流经所述防火墙的网络数据包执行的预设操作;
流信息收发模块,分别与所述第二流特征计算决策模块和所述防火墙分析装置的流信息接收模块连接,用于将所述第二流特征计算决策模块决策通过所述防火墙的网络数据包的流特征信息发送至所述防火墙分析装置的流信息接收模块。
7.根据权利要求6所述的系统,其特征在于,所述防火墙还包括:
转发回源模块,与所述第一流特征计算决策模块连接,用于转发所述第一流特征计算决策模块决策通过所述防火墙的网络数据包;
流信息转发管理模块,与所述转发回源模块连接,用于向所述转发回源模块提供通过防火墙的网络数据包的目的网络地址和目的端口信息。
8.一种网络流量控制方法,其特征在于,包括:
接收防火墙上报的流特征信息;
分析所述流特征信息和/或由所述流特征信息确定的网络行为信息,得到分析结果;
根据所述分析结果确定向所述防火墙下发的控制指令,其中,所述控制指令用于控制流经所述防火墙的网络流量。
9.根据权利要求8所述的方法,其特征在于,在接收防火墙上报的流特征信息之前,所述方法包括:
获取流经所述防火墙的网络数据包,其中,所述网络数据包包括如下至少之一:流入内网的入网数据包、流出内网的出网数据包;
基于所述防火墙的过滤规则,对所述网络数据包的内容进行检查;
过滤检查结果,得到通过检查的网络数据包;
提取所述通过检查的网络数据包的流特征信息。
10.根据权利要求9所述的方法,其特征在于,所述流特征信息包括如下至少之一:发送网络数据包的源网络地址和源端口信息、接收网络数据包的目的网络地址和目的端口信息、网络数据包的大小信息、网络数据包的头部信息、网络数据包的协议标记信息、网络数据包的发送时间、网络数据包的接收时间。
11.根据权利要求10所述的方法,其特征在于,在所述防火墙为多个的情况下,接收多个防火墙上报的流特征信息,其中,所述流特征信息为通过每个防火墙检查的网络数据包的流特征信息。
12.根据权利要求11所述的方法,其特征在于,分析所述流特征信息和/或由所述流特征信息确定的网络行为信息,得到分析结果,根据所述分析结果确定向所述防火墙下发的控制指令,包括:
将所述多个防火墙上报的流特征信息和/或由所述多个防火墙上报的流特征信息确定的网络行为信息进行汇总分析,得到汇总分析结果;
根据所述汇总分析结果确定向所述多个防火墙下发的控制指令。
13.根据权利要求12所述的方法,其特征在于,根据所述汇总分析结果确定向所述多个防火墙下发的控制指令,包括:
判断通过所述每个防火墙检查的网络数据包的流特征信息是否与预设流特征匹配;
在通过所述每个防火墙检查的网络数据包的流特征信息与所述预设流特征匹配的情况下,向对应的防火墙下发所述控制指令,其中,所述控制指令用于控制所述防火墙对流经所述防火墙的网络数据包执行与所述预设流特征对应的预设操作。
14.根据权利要求12所述的方法,其特征在于,根据所述汇总分析结果确定向所述多个防火墙下发的控制指令,包括:
根据通过所述每个防火墙检查的网络数据包的流特征信息确定通过所述每个防火墙检查的网络数据包的网络行为信息;
判断通过所述每个防火墙检查的网络数据包的网络行为信息是否符合预设网络行为规则;
在通过所述每个防火墙检查的网络数据包的网络行为信息符合预设网络行为规则的情况下,向对应的防火墙下发所述控制指令,其中,所述控制指令用于控制所述防火墙对流经所述防火墙的网络数据包执行与所述预设网络行为规则对应的预设操作。
15.根据权利要求11所述的方法,其特征在于,在接收所述多个防火墙上报的流特征信息之前,包括:
判断通过所述每个防火墙检查的网络数据包的流特征信息是否与预设流特征匹配;
在通过所述每个防火墙检查的网络数据包的流特征信息与所述预设流特征匹配的情况下,控制所述每个防火墙对流经所述防火墙的网络数据包执行与所述预设流特征对应的预设操作。
16.根据权利要求11所述的方法,其特征在于,在接收所述多个防火墙上报的流特征信息之前,包括:
根据通过所述每个防火墙检查的网络数据包的流特征信息,确定通过所述每个防火墙检查的网络数据包的网络行为信息;
判断通过所述每个防火墙检查的网络数据包的网络行为信息是否符合预设网络行为规则;
在所述网络行为信息符合所述预设网络行为规则的情况下,控制所述每个防火墙对流经所述防火墙的网络数据包执行与所述预设网络行为规则对应的预设操作。
17.根据权利要求13或15所述的方法,其特征在于,所述预设流特征包括如下至少之一:收发网络数据包的频率、网络数据包的大小、网络数据包的头部信息载荷限制、网络数据包的内容匹配程度。
18.根据权利要求14或16所述的方法,其特征在于,所述预设网络行为规则用于限定如下至少一种信息:收发网络数据包的频率、网络数据包的大小、网络数据包的头部信息相似度、网络数据包的内容匹配程度。
19.根据权利要求13至15中任意一项所述的方法,其特征在于,所述预设操作包括如下至少之一:转发网络数据包、丢弃网络数据包、拦截网络数据包。
20.根据权利要求19所述的方法,其特征在于,在所述预设操作为转发网络数据包的情况下,所述方法还包括:
如果所述网络数据包为入网数据包,则控制对应的防火墙基于预先配置的目的网络地址和端口信息,将所述入网数据包转发至所述内网;
如果所述网络数据包为出网数据包,则控制对应的防火墙基于所述内网接收到的网络数据包中包含的源网络地址和源端口信息,将所述出网数据包转发出去。
21.根据权利要求19所述的方法,其特征在于,在所述预设操作为拦截网络数据包的情况下,所述方法还包括:
在控制所述防火墙拦截向目的网络地址或目的端口信息发送的网络数据包的情况下,控制所述防火墙拦截来自所述目的网络地址或目的端口信息的网络数据包;
在控制所述防火墙拦截来自源网络地址或源端口信息发送的网络数据包的情况下,控制所述防火墙拦截发送至所述源网络地址或源端口信息的网络数据包。
22.一种安全防护装置,其特征在于,包括:
防火墙,用于获取网络流量,并提取所述网络流量的流特征信息;
防火墙分析装置,与所述防火墙通信,用于接收所述防火墙上报的流特征信息,分析所述流特征信息和/或由所述流特征信息确定的网络行为信息得到分析结果,并根据所述分析结果确定向所述防火墙下发的控制指令,其中,所述控制指令用于控制流经所述防火墙的网络流量。
23.一种存储介质,其特征在于,所述存储介质包括存储的程序,其中,在所述程序运行时控制所述存储介质所在设备执行如下处理步骤的指令:
接收防火墙上报的流特征信息;
分析所述流特征信息和/或由所述流特征信息确定的网络行为信息,得到分析结果;
根据所述分析结果确定向所述防火墙下发的控制指令,其中,所述控制指令用于控制流经所述防火墙的网络流量。
24.一种计算机设备,其特征在于,包括:处理器,所述处理器用于运行程序,其中,所述程序运行时执行如下处理步骤的指令:
接收防火墙上报的流特征信息;
分析所述流特征信息和/或由所述流特征信息确定的网络行为信息,得到分析结果;
根据所述分析结果确定向所述防火墙下发的控制指令,其中,所述控制指令用于控制流经所述防火墙的网络流量。
25.一种网络流量控制方法系统,其特征在于,包括:
处理器;以及
存储器,与所述处理器连接,用于为所述处理器提供处理以下处理步骤的指令:
接收防火墙上报的流特征信息;
分析所述流特征信息和/或由所述流特征信息确定的网络行为信息,得到分析结果;
根据所述分析结果确定向所述防火墙下发的控制指令,其中,所述控制指令用于控制流经所述防火墙的网络流量。
26.一种数据处理方法,其特征在于,包括:
接收来自第一网络设备的流特征信息;
分析所述流特征信息和/或由所述流特征信息确定的网络行为信息,得到分析结果;
根据所述分析结果,确定向所述第一网络设备发送的控制指令,其中,所述控制指令用于控制流经所述第一网络设备的网络流量。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810338692.9A CN110391988B (zh) | 2018-04-16 | 2018-04-16 | 网络流量控制方法、系统及安全防护装置 |
| TW108107224A TW201944763A (zh) | 2018-04-16 | 2019-03-05 | 網路流量控制方法、系統及安全防護裝置 |
| PCT/US2019/027654 WO2019204293A1 (en) | 2018-04-16 | 2019-04-16 | Network data control method, system and security protection device |
| US16/385,321 US20190319923A1 (en) | 2018-04-16 | 2019-04-16 | Network data control method, system and security protection device |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810338692.9A CN110391988B (zh) | 2018-04-16 | 2018-04-16 | 网络流量控制方法、系统及安全防护装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110391988A true CN110391988A (zh) | 2019-10-29 |
| CN110391988B CN110391988B (zh) | 2023-05-02 |
Family
ID=68160603
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810338692.9A Active CN110391988B (zh) | 2018-04-16 | 2018-04-16 | 网络流量控制方法、系统及安全防护装置 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20190319923A1 (zh) |
| CN (1) | CN110391988B (zh) |
| TW (1) | TW201944763A (zh) |
| WO (1) | WO2019204293A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112822211A (zh) * | 2021-02-06 | 2021-05-18 | 西安热工研究院有限公司 | 电力工控便携式自学习工业防火墙系统、装置及使用方法 |
| CN116471338A (zh) * | 2023-06-20 | 2023-07-21 | 中国电信股份有限公司江西分公司 | 一种基于SPACE6的协议转换技术的IPv6云转换平台 |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111010409B (zh) * | 2020-01-07 | 2021-08-17 | 南京林业大学 | 加密攻击网络流量检测方法 |
| CN115733721A (zh) * | 2021-08-31 | 2023-03-03 | 台湾联想环球科技股份有限公司 | 网络管理设备、网络管理系统及网络管理方法 |
| CN114301842B (zh) * | 2021-12-30 | 2024-03-15 | 山石网科通信技术股份有限公司 | 路由查找方法及装置、存储介质和处理器、网络系统 |
| CN115134291B (zh) * | 2022-06-28 | 2024-05-28 | 联想(北京)有限公司 | 数据的传输控制方法、装置、传输设备及系统 |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030088529A1 (en) * | 2001-11-02 | 2003-05-08 | Netvmg, Inc. | Data network controller |
| US20050210291A1 (en) * | 2004-03-22 | 2005-09-22 | Toui Miyawaki | Storage area network system using internet protocol, security system, security management program and storage device |
| US20150365328A1 (en) * | 2014-06-17 | 2015-12-17 | Comcast Cable Communications, Llc | Flow-based load balancing |
| US20170093797A1 (en) * | 2015-09-28 | 2017-03-30 | Fujitsu Limited | Firewall control device, method and firewall device |
| CN106603471A (zh) * | 2015-10-16 | 2017-04-26 | 北京启明星辰信息安全技术有限公司 | 一种防火墙策略检测方法及装置 |
| CN106713332A (zh) * | 2016-12-30 | 2017-05-24 | 山石网科通信技术有限公司 | 网络数据的处理方法、装置和系统 |
| CN107135187A (zh) * | 2016-02-29 | 2017-09-05 | 阿里巴巴集团控股有限公司 | 网络攻击的防控方法、装置及系统 |
| CN107566359A (zh) * | 2017-08-25 | 2018-01-09 | 郑州云海信息技术有限公司 | 一种智能防火墙系统及防护方法 |
| CN107612839A (zh) * | 2017-11-02 | 2018-01-19 | 广东天网安全信息科技有限公司 | 一种基于防火墙设备的流量分配方法 |
| CN107689992A (zh) * | 2017-08-24 | 2018-02-13 | 南京南瑞集团公司 | 一种高性能的防火墙集群实现方法 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TW200618565A (en) * | 2004-07-29 | 2006-06-01 | Intelli7 Inc | System and method of characterizing and managing electronic traffic |
| JP2012226680A (ja) * | 2011-04-22 | 2012-11-15 | Internatl Business Mach Corp <Ibm> | 産業制御システムを管理する管理システム、管理方法および管理プログラム |
| US8955097B2 (en) * | 2011-12-13 | 2015-02-10 | Mcafee, Inc. | Timing management in a large firewall cluster |
-
2018
- 2018-04-16 CN CN201810338692.9A patent/CN110391988B/zh active Active
-
2019
- 2019-03-05 TW TW108107224A patent/TW201944763A/zh unknown
- 2019-04-16 WO PCT/US2019/027654 patent/WO2019204293A1/en active Application Filing
- 2019-04-16 US US16/385,321 patent/US20190319923A1/en not_active Abandoned
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030088529A1 (en) * | 2001-11-02 | 2003-05-08 | Netvmg, Inc. | Data network controller |
| US20050210291A1 (en) * | 2004-03-22 | 2005-09-22 | Toui Miyawaki | Storage area network system using internet protocol, security system, security management program and storage device |
| US20150365328A1 (en) * | 2014-06-17 | 2015-12-17 | Comcast Cable Communications, Llc | Flow-based load balancing |
| US20170093797A1 (en) * | 2015-09-28 | 2017-03-30 | Fujitsu Limited | Firewall control device, method and firewall device |
| CN106603471A (zh) * | 2015-10-16 | 2017-04-26 | 北京启明星辰信息安全技术有限公司 | 一种防火墙策略检测方法及装置 |
| CN107135187A (zh) * | 2016-02-29 | 2017-09-05 | 阿里巴巴集团控股有限公司 | 网络攻击的防控方法、装置及系统 |
| CN106713332A (zh) * | 2016-12-30 | 2017-05-24 | 山石网科通信技术有限公司 | 网络数据的处理方法、装置和系统 |
| CN107689992A (zh) * | 2017-08-24 | 2018-02-13 | 南京南瑞集团公司 | 一种高性能的防火墙集群实现方法 |
| CN107566359A (zh) * | 2017-08-25 | 2018-01-09 | 郑州云海信息技术有限公司 | 一种智能防火墙系统及防护方法 |
| CN107612839A (zh) * | 2017-11-02 | 2018-01-19 | 广东天网安全信息科技有限公司 | 一种基于防火墙设备的流量分配方法 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112822211A (zh) * | 2021-02-06 | 2021-05-18 | 西安热工研究院有限公司 | 电力工控便携式自学习工业防火墙系统、装置及使用方法 |
| CN116471338A (zh) * | 2023-06-20 | 2023-07-21 | 中国电信股份有限公司江西分公司 | 一种基于SPACE6的协议转换技术的IPv6云转换平台 |
| CN116471338B (zh) * | 2023-06-20 | 2023-09-05 | 中国电信股份有限公司江西分公司 | 一种基于SPACE6的协议转换技术的IPv6云转换平台 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2019204293A1 (en) | 2019-10-24 |
| TW201944763A (zh) | 2019-11-16 |
| CN110391988B (zh) | 2023-05-02 |
| US20190319923A1 (en) | 2019-10-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110391988A (zh) | 网络流量控制方法、系统及安全防护装置 | |
| US10341389B2 (en) | Policy based on a requested behavior | |
| US10009286B2 (en) | Communications hub | |
| US9591011B2 (en) | Techniques for separating the processing of clients' traffic to different zones in software defined networks | |
| US9825868B2 (en) | Incremental application of resources to network traffic flows based on heuristics and business policies | |
| EP3449600B1 (en) | A data driven intent based networking approach using a light weight distributed sdn controller for delivering intelligent consumer experiences | |
| US8903964B2 (en) | Auto-configuration of network captured traffic device | |
| US20190166013A1 (en) | A data driven intent based networking approach using a light weight distributed SDN controller for delivering intelligent consumer experience | |
| CN106911778A (zh) | 一种流量引导方法和系统 | |
| CN108322417A (zh) | 网络攻击的处理方法、装置和系统及安全设备 | |
| CN114531263B (zh) | 网络与安全服务的安全功能之间的流元数据交换的方法、系统与介质 | |
| WO2018044657A1 (en) | Communications hub | |
| CN102857388A (zh) | 云探安全管理审计系统 | |
| CN109327342A (zh) | 一种基于任务驱动的自适应sdn仿真系统及仿真平台 | |
| CN114363242A (zh) | 基于云网融合技术的动态多路径优化方法、系统以及设备 | |
| Durante et al. | A model for the analysis of security policies in service function chains | |
| WO2018046985A1 (en) | Techniques for policy-controlled analytic data collection in large-scale systems | |
| CN107147585B (zh) | 一种流量控制方法及装置 | |
| JP2008219149A (ja) | トラヒック制御システムおよびトラヒック制御方法 | |
| CN103685310B (zh) | 一种用于虚拟专用拨号网中动态数据注入的装置及其方法 | |
| KR20220130022A (ko) | 네트워크 보안 및 성능 모니터링 장치, 시스템 및 방법 | |
| CN105812274B (zh) | 一种业务数据的处理方法和相关设备 | |
| Feamster | Implications of the software defined networking revolution for technology policy | |
| Aleem et al. | A review of the security architecture for SDN in light of its security issues | |
| CN115514637A (zh) | 远程网关调整方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 40016199 Country of ref document: HK |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |