CN111131198B - 网络安全策略配置的更新方法及装置 - Google Patents
网络安全策略配置的更新方法及装置 Download PDFInfo
- Publication number
- CN111131198B CN111131198B CN201911267085.9A CN201911267085A CN111131198B CN 111131198 B CN111131198 B CN 111131198B CN 201911267085 A CN201911267085 A CN 201911267085A CN 111131198 B CN111131198 B CN 111131198B
- Authority
- CN
- China
- Prior art keywords
- network security
- security policy
- policy configuration
- indication information
- value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种网络安全策略配置的更新方法及装置,方法包括:在获取到待更新的网络安全策略配置后,将待更新的网络安全策略配置由用户态发送到内核态;将预配置的报文转发指示信息置为第一值,其中,当报文转发指示信息为第一值时,表示不需要将待转发的报文与网络安全策略配置进行匹配,当报文转发指示信息为第二值时,表示需要将待转发的报文与网络安全策略配置进行匹配;利用待更新的网络安全策略配置更新内核态中现有的网络安全策略配置;在完成对内核态中现有的网络安全策略配置的更新后,将报文转发指示信息置为第二值。应用该方法,可以实现在网络安全策略配置的更新过程中避免出现系统延时。
Description
技术领域
本申请涉及网络通信技术领域,尤其涉及网络安全策略配置的更新方法及装置。
背景技术
随着计算机网络的飞速发展,互联网应用越来越广泛,为了保证互联网中信息的安全性、完整性、可靠性等,提供网络安全防护机制。在网络安全防护机制中,通过制定网络安全防护策略而提供一定级别的安全保护所必须遵守的规则。
同时,随着互联网应用越来越复杂,网络攻防活动与恶意流量的大批量涌出,网络安全策略也需要不断地升级、更新。目前,在网络设备更新网络安全策略配置的过程中,为了确保数据一致性,采用加锁机制,由此也就导致在更新网络安全策略配置的过程中,系统无法应用网络安全策略配置对待转发的数据流量进行匹配,只能待完成网络安全策略配置的更新之后,再处理待转发的数据流量。由此可见,现有技术中会造成系统延时,尤其是在网络安全策略较复杂,网络安全策略配置数据量较大的情形下,系统延时将更为明显。
发明内容
有鉴于此,本申请提供一种网络安全策略配置的更新的方法及装置,以实现在网络安全策略配置的更新过程中避免出现系统延时。
具体地,本申请是通过如下技术方案实现的:
根据本申请实施例的第一方面,提供一种网络安全策略配置的更新方法,所述方法应用于网络设备,包括:
在获取到待更新的网络安全策略配置后,将所述待更新的网络安全策略配置由用户态发送到内核态;
将预配置的报文转发指示信息置为第一值,所述报文转发指示信息用于指示是否需要将待转发的报文与网络安全策略配置进行匹配,其中,当所述报文转发指示信息为第一值时,表示不需要将待转发的报文与网络安全策略配置进行匹配,当所述报文转发指示信息为第二值时,表示需要将待转发的报文与网络安全策略配置进行匹配;
利用所述待更新的网络安全策略配置更新所述内核态中现有的网络安全策略配置;
在完成对所述内核态中现有的网络安全策略配置的更新后,将所述报文转发指示信息置为所述第二值。
可选的,在所述将预配置的报文转发指示信息置为第一值之后,所述方法进一步包括:
按照预设的检测周期检查所述报文转发指示信息;
当检查出所述报文转发指示信息为所述第一值时,将预配置的计数器做加一处理;
检查所述计数器的值是否达到设定阈值;如果是,则将所述报文转发指示信息从所述第一值置为所述第二值,并将所述计数器清零;如果否,则返回所述按照预设的检测周期检查所述报文转发指示信息的步骤;
当检查出所述报文转发指示信息为所述第二值时,将所述计数器清零。
可选的,所述方法进一步包括:
在接收到待转发的报文后,检查所述报文转发指示信息;
当检查出所述报文转发指示信息为所述第一值时,直接转发所述报文;
当检查出所述报文转发指示信息为所述第二值时,将所述待转发的报文与所述内核态中现有的网络安全策略配置进行匹配,根据匹配结果转发所述报文。
可选的,所述利用待更新的网络安全策略配置更新所述内核态中现有的网络安全策略配置,包括:
利用所述待更新的网络安全策略配置替换所述内核态中现有的网络安全策略配置,并以指定的数据存储格式在所述内核态中存储所述待更新的网络安全策略配置。
根据本申请实施例的第二方面,提供一种网络安全策略配置的更新装置,所述装置应用于网络设备,包括:
下发模块,用于在获取到待更新的网络安全策略配置后,将所述待更新的网络安全策略配置由用户态发送到内核态;
第一配置模块,用于将预配置的报文转发指示信息置为第一值,所述报文转发指示信息用于指示是否需要将待转发的报文与网络安全策略配置进行匹配,其中,当所述报文转发指示信息为第一值时,表示不需要将待转发的报文与网络安全策略配置进行匹配,当所述报文转发指示信息为第二值时,表示需要将待转发的报文与网络安全策略配置进行匹配;
更新模块,用于利用所述待更新的网络安全策略配置更新所述内核态中现有的网络安全策略配置;
第二配置模块,用于在完成对所述内核态中现有的网络安全策略配置的更新后,将所述报文转发指示信息置为所述第二值。
可选的,所述装置进一步包括:
第一检查模块,用于按照预设的检测周期检查所述报文转发指示信息;
第一处理模块,用于当检查出所述报文转发指示信息为所述第一值时,将预配置的计数器做加一处理;
第二检查模块,用于检查所述计数器的值是否达到设定阈值;
第二处理模块,用于如果所述计数器的值达到设定阈值,则将所述报文转发指示信息从所述第一值置为所述第二值,并将所述计数器清零;如果否,则返回所述第一检查模块所执行的按照预设的检测周期检查所述报文转发指示信息的步骤;
第三处理模块,用于当检查出所述报文转发指示信息为所述第二值时,将所述计数器清零。
可选的,所述装置进一步包括:
第三检查模块,用于在接收到待转发的报文后,检查所述报文转发指示信息;
第一转发模块,用于当检查出所述报文转发指示信息为所述第一值时,直接转发所述报文;
策略匹配模块,用于当检查出所述报文转发指示信息为所述第二值时,将所述待转发的报文与所述内核态中现有的网络安全策略配置进行匹配;
第二转发模块,用于根据匹配结果转发所述报文。
可选的,所述更新模块包括:
替换子模块,用于利用所述待更新的网络安全策略配置替换所述内核态中现有的网络安全策略配置;
存储子模块,用于以指定的数据存储格式在所述内核态中存储所述待更新的网络安全策略配置。
本实施例中,通过在获取到待更新的网络安全策略配置后,将待更新的网络安全策略配置由用户态发送到内核态,并将预配置的报文转发指示信息置为用于指示无需将待转发的报文与网络安全策略配置进行匹配的第一值,之后在完成利用待更新的网络安全策略配置对内核态中现有的网络安全策略配置的更新后,将报文转发指示信息置为用于指示需要将待转发的报文与网络安全策略配置进行匹配的第二值,由于在网络安全策略配置的更新过程中,无需将待转发的报文与网络安全策略配置进行匹配,从而可以避免系统延时,同时,由于在完成对网络安全策略配置的更新后,继续将当前待转发的报文与更新后的网络安全策略配置进行匹配,从而可以实现网络安全防护。
附图说明
图1为本申请一示例性实施例提供的一种网络安全策略配置的更新方法的实施例流程图;
图2为本申请一示例性实施例提供的一种步骤102之后的实现流程;
图3为本申请一示例性实施例提供的一种报文转发过程的实施例流程图;
图4为本申请网络安全策略配置的更新装置所在网络设备的一种硬件结构图;
图5为本申请一示例性实施例提供的一种网络安全策略配置的更新装置的实施例框图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
请参见图1,为本申请一示例性实施例提供的一种网络安全策略配置的更新方法的实施例流程图,该方法可应用于网络设备,包括以下步骤:
步骤101:在获取到待更新的网络安全策略配置后,将待更新的网络安全策略配置由用户态发送到内核态。
作为一个示例,网络设备可以从服务器侧获取待更新的网络安全策略配置,例如,服务器侧可将待更新的网络安全策略配置主动发送至网络设备,又例如,网络设备可以基于外界控制或某种触发条件下主动从服务器侧下载待更新的网络安全策略配置。
在应用中,网络设备获取到待更新的网络安全策略配置后,可将待更新的网络安全策略配置由用户态发送到内核态。例如,可通过系统调用机制将待更新的网络安全策略配置由用户态发送到内核态。
步骤102:将预配置的报文转发指示信息置为第一值。
在本申请实施例中,可以预配置一个报文转发指示信息,该报文转发指示信息用于指示是否需要将待转发的报文与网络安全策略配置进行匹配。基于此,报文转发指示信息可以包括两个值,其中一个值用于表示不需要将待转发的报文与网络安全策略配置进行匹配(以下简称第一值),另一个值用于表示需要将待转发的报文与网络安全策略配置进行匹配(以下简称第二值)。
作为一个示例,为了确保数据一致性,可以在更新网络安全策略配置的过程中,将上述报文转发指示信息置为第一值,通过该种处理,可以实现在更新网络安全策略配置的过程中,无需将待转发的报文与网络安全策略配置进行匹配,由此也就可以避免等待,避免系统延时。至于在本申请实施例中,内核态是如何基于报文转发指示信息处理报文的,下文中通过实施例举例示出,这里暂不赘述。
步骤103:利用待更新的网络安全策略配置更新内核态中现有的网络安全策略配置。
作为一个示例,可以利用待更新的网络安全策略配置替换掉内核态中现有的网络安全策略配置,并以指定的数据存储格式在内核态中存储待更新的网络安全策略配置。其中,该指定的数据存储格式是预先配置的,适合于内核态读取数据的数据存储格式,本申请对此不再赘述。
需要说明的是,上述示例中的更新方式仅仅作为举例,在实际应用中,还可以存在其他更新方式,例如,将待更新的网络安全策略配置以指定的数据存储格式存储在内核态中,与内核态中现有的网络安全策略配置共同形成更新后的网络安全策略配置。具体是采用何种更新方式,可以视具有应用情况而定,本申请对此不做限制。
步骤104:在完成对内核态中现有的网络安全策略配置的更新后,将报文转发指示信息置为第二值。
在本申请实施例中,在完成对内核态中现有的网络安全策略配置的更新后,可以将上述报文转发指示信息置为第二值,以指示需要将待转发的报文与网络安全策略配置进行匹配,由此也就可以实现网络安全防护。至于在本申请实施例中,内核态是如何基于报文转发指示信息处理报文的,下文中通过实施例举例示出,这里暂不赘述。
至此,完成图1所示流程的相关描述。
需要说明的是,图1所示流程中的步骤之间的顺序仅仅作为示例,在实际应用中,其他可以实现在网络安全策略配置的更新过程中,无需将待转发的报文与网络安全策略配置进行匹配的步骤顺序也是可行的,例如可以先执行上述步骤103,再执行步骤102,或者是同时执行步骤102和步骤103,本申请对此不做限制。
由上述实施例可见,通过在获取到待更新的网络安全策略配置后,将待更新的网络安全策略配置由用户态发送到内核态,并将预配置的报文转发指示信息置为用于指示无需将待转发的报文与网络安全策略配置进行匹配的第一值,之后在完成利用待更新的网络安全策略配置对内核态中现有的网络安全策略配置的更新后,将报文转发指示信息置为用于指示需要将待转发的报文与网络安全策略配置进行匹配的第二值,由于在网络安全策略配置的更新过程中,无需将待转发的报文与网络安全策略配置进行匹配,从而可以避免系统延时,同时,由于在完成对网络安全策略配置的更新后,继续将当前待转发的报文与更新后的网络安全策略配置进行匹配,从而可以实现网络安全防护。
进一步,考虑到在应用中,有可能会出现一些不可抗因素,例如在更新网络安全策略配置的过程中用户态进程异常退出,或者运行的代码逻辑出现bug等而导致在完成网络安全策略配置的更新之后,无法将上述报文转发指示信息从第一值置为第二值,在该种情况下,将出现系统长时间处于无安全防护的状态,不利于网络安全。
基于此,本申请提出,在执行完上述步骤102,将报文转发指示信息置为第一值之后,检查是否出现异常情况而导致报文转发指示信息长时间保持第一值不变,在出现异常情况时,及时将报文转发指示信息从第一值置为第二值,以及时确保系统恢复到网络安全防护状态。下面通过图2所示实施例对这一过程进行描述:
请参见图2,为本申请一示例性实施例提供的一种步骤102之后的实现流程,包括以下步骤:
步骤201:按照预设的检测周期检查报文转发指示信息,当检查出报文转发指示信息为第一值时,执行步骤202;当检查出报文转发指示信息为第二值时,执行步骤205。
步骤202:将预配置的计数器做加一处理。
步骤203:检查计数器的值是否达到设定阈值,如果是,则执行步骤204;如果否,则返回执行步骤201。
步骤204:将报文转发指示信息从第一值置为第二值。
步骤205:将计数器清零。
以下对步骤201至步骤205进行统一说明:
在本申请实施例中,可以按照预设的检测周期(通常为秒级)检查报文转发指示信息,当检查出报文转发指示信息为第一值时,将预配置的计数器做加一处理,其中,计数器的初始值为0,当检查出报文转发指示信息为第二值时,可将计数器做清零处理。由此可见,计数器的值可以表示报文转发指示信息保持第一值的检测周期数,进一步也就可以表示出报文转发指示信息保持第一值的持续时长(例如计数器的值与检测周期时长的乘积)。
进一步,在将预配置的计数器做加一处理之后,可以检查计数器的值是否达到设定阈值,如果是,则可以认为报文转发指示信息已长时间保持第一值,按照上述描述,在该种情况下,则可以将报文转发指示信息从第一值置为第二值,并将计数器清零,以实现系统恢复到网络安全防护状态。
需要说明的是,上述检测周期和设定阈值可以依赖于网络安全策略配置的更新时长设置,并使得在网络安全策略配置的更新过程中,报文转发指示信息保持在第一值,具体是如何设置检测周期和设定阈值的,本申请则不再赘述。
此外,在执行完步骤203,检查出计数器的值达到设定阈值之后,还可以清除本次网络安全策略配置的更新过程中产生的临时数据,通过该种处理,可以节省系统存储空间。
至此,完成图2所示流程的相关描述。
通过图2所示实施例,由于在将报文转发指示信息置为第一值之后,检查报文转发指示信息是否长时间保持在第一值,并在检查出报文转发指示信息长时间保持在第一值时,将报文转发指示信息置为第二值,从而可以实现在异常情况而导致报文转发指示信息长时间保持在第一值时,及时将系统恢复到网络安全防护状态。
下面通过图3所示流程,对内核态是如何基于报文转发指示信息处理报文的进行详细说明:
请参见图3,为本申请一示例性实施例提供的一种报文转发过程的实施例流程图,包括以下步骤:
步骤301:在接收到待转发的报文后,检查报文转发指示信息,当检查出报文转发指示信息为第一值时,执行步骤302;当检查出报文转发指示信息为第二值时,执行步骤303。
步骤302:直接转发报文,结束流程。
步骤303:将待转发的报文与内核态中现有的网络安全策略配置进行匹配。
步骤304:根据匹配结果转发报文。
以下对步骤301至步骤304进行统一说明:
在本申请实施例中,内核态在接收到待转发的报文后,首先检查报文转发指示信息,当检查出报文转发指示信息为第一值时,可以认为无需将待转发的报文与网络安全策略配置进行匹配,可直接转发该报文。反之,当检查出报文转发指示信息为第二值时,则可以将待转发的报文与内核态中现有的网络安全策略配置进行匹配,根据匹配结果转发报文,实现网络安全防护。
通过图3所示实施例,由于在检查出报文转发指示信息为第一值时,直接转发报文,因此可以实现在网络安全策略配置的更新过程中,不再“读取”网络安全策略配置,不仅可以有效地保证数据一致性,还可以及时实现报文的转发,避免系统延时。
与前述网络安全策略配置的更新方法的实施例相对应,本申请还提供了网络安全策略配置的更新装置的实施例。
本申请网络安全策略配置的更新装置的实施例可以应用在网络设备上。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在网络设备的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言,如图4所示,为本申请网络安全策略配置的更新装置所在网络设备的一种硬件结构图,除了图4所示的处理器41、内存42、网络接口43、非易失性存储器44,以及内部总线45之外,实施例中装置所在的网络设备通常根据该网络设备的实际功能,还可以包括其他硬件,对此不再赘述。
请参考图5,为本申请一示例性实施例提供的一种网络安全策略配置的更新装置的实施例框图,该装置可以包括:下发模块51、第一配置模块52、更新模块53,以及第二配置模块54。
其中,下发模块51,用于在获取到待更新的网络安全策略配置后,将所述待更新的网络安全策略配置由用户态发送到内核态;
第一配置模块52,用于将预配置的报文转发指示信息置为第一值,所述报文转发指示信息用于指示是否需要将待转发的报文与网络安全策略配置进行匹配,其中,当所述报文转发指示信息为第一值时,表示不需要将待转发的报文与网络安全策略配置进行匹配,当所述报文转发指示信息为第二值时,表示需要将待转发的报文与网络安全策略配置进行匹配;
更新模块53,用于利用所述待更新的网络安全策略配置更新所述内核态中现有的网络安全策略配置;
第二配置模块54,用于在完成对所述内核态中现有的网络安全策略配置的更新后,将所述报文转发指示信息置为所述第二值。
在一实施例中,所述装置进一步包括(图5中未示出):
第一检查模块,用于按照预设的检测周期检查所述报文转发指示信息;
第一处理模块,用于当检查出所述报文转发指示信息为所述第一值时,将预配置的计数器做加一处理;
第二检查模块,用于检查所述计数器的值是否达到设定阈值;
第二处理模块,用于如果所述计数器的值达到设定阈值,则将所述报文转发指示信息从所述第一值置为所述第二值,并将所述计数器清零;如果否,则返回所述第一检查模块所执行的按照预设的检测周期检查所述报文转发指示信息的步骤;
第三处理模块,用于当检查出所述报文转发指示信息为所述第二值时,将所述计数器清零。
在一实施例中,所述装置进一步包括(图5中未示出):
第三检查模块,用于在接收到待转发的报文后,检查所述报文转发指示信息;
第一转发模块,用于当检查出所述报文转发指示信息为所述第一值时,直接转发所述报文;
策略匹配模块,用于当检查出所述报文转发指示信息为所述第二值时,将所述待转发的报文与所述内核态中现有的网络安全策略配置进行匹配;
第二转发模块,用于根据匹配结果转发所述报文。
在一实施例中,所述更新模块53包括(图5中未示出):
替换子模块,用于利用所述待更新的网络安全策略配置替换所述内核态中现有的网络安全策略配置;
存储子模块,用于以指定的数据存储格式在所述内核态中存储所述待更新的网络安全策略配置。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (8)
1.一种网络安全策略配置的更新方法,其特征在于,所述方法应用于网络设备,所述方法包括:
在获取到待更新的网络安全策略配置后,将所述待更新的网络安全策略配置由用户态发送到内核态;
将预配置的报文转发指示信息置为第一值,所述报文转发指示信息用于指示是否需要将待转发的报文与网络安全策略配置进行匹配,其中,当所述报文转发指示信息为第一值时,表示不需要将待转发的报文与网络安全策略配置进行匹配,当所述报文转发指示信息为第二值时,表示需要将待转发的报文与网络安全策略配置进行匹配;
利用所述待更新的网络安全策略配置更新所述内核态中现有的网络安全策略配置;
在完成对所述内核态中现有的网络安全策略配置的更新后,将所述报文转发指示信息置为所述第二值。
2.根据权利要求1所述的方法,其特征在于,在所述将预配置的报文转发指示信息置为第一值之后,所述方法进一步包括:
按照预设的检测周期检查所述报文转发指示信息;
当检查出所述报文转发指示信息为所述第一值时,将预配置的计数器做加一处理;
检查所述计数器的值是否达到设定阈值;如果是,则将所述报文转发指示信息从所述第一值置为所述第二值,并将所述计数器清零;如果否,则返回所述按照预设的检测周期检查所述报文转发指示信息的步骤;
当检查出所述报文转发指示信息为所述第二值时,将所述计数器清零。
3.根据权利要求1所述的方法,其特征在于,所述方法进一步包括:
在接收到待转发的报文后,检查所述报文转发指示信息;
当检查出所述报文转发指示信息为所述第一值时,直接转发所述报文;
当检查出所述报文转发指示信息为所述第二值时,将所述待转发的报文与所述内核态中现有的网络安全策略配置进行匹配,根据匹配结果转发所述报文。
4.根据权利要求1所述的方法,其特征在于,所述利用待更新的网络安全策略配置更新所述内核态中现有的网络安全策略配置,包括:
利用所述待更新的网络安全策略配置替换所述内核态中现有的网络安全策略配置,并以指定的数据存储格式在所述内核态中存储所述待更新的网络安全策略配置。
5.一种网络安全策略配置的更新装置,其特征在于,所述装置应用于网络设备,所述装置包括:
下发模块,用于在获取到待更新的网络安全策略配置后,将所述待更新的网络安全策略配置由用户态发送到内核态;
第一配置模块,用于将预配置的报文转发指示信息置为第一值,所述报文转发指示信息用于指示是否需要将待转发的报文与网络安全策略配置进行匹配,其中,当所述报文转发指示信息为第一值时,表示不需要将待转发的报文与网络安全策略配置进行匹配,当所述报文转发指示信息为第二值时,表示需要将待转发的报文与网络安全策略配置进行匹配;
更新模块,用于利用所述待更新的网络安全策略配置更新所述内核态中现有的网络安全策略配置;
第二配置模块,用于在完成对所述内核态中现有的网络安全策略配置的更新后,将所述报文转发指示信息置为所述第二值。
6.根据权利要求5所述的装置,其特征在于,所述装置进一步包括:
第一检查模块,用于按照预设的检测周期检查所述报文转发指示信息;
第一处理模块,用于当检查出所述报文转发指示信息为所述第一值时,将预配置的计数器做加一处理;
第二检查模块,用于检查所述计数器的值是否达到设定阈值;
第二处理模块,用于如果所述计数器的值达到设定阈值,则将所述报文转发指示信息从所述第一值置为所述第二值,并将所述计数器清零;如果否,则返回所述第一检查模块所执行的按照预设的检测周期检查所述报文转发指示信息的步骤;
第三处理模块,用于当检查出所述报文转发指示信息为所述第二值时,将所述计数器清零。
7.根据权利要求5所述的装置,其特征在于,所述装置进一步包括:
第三检查模块,用于在接收到待转发的报文后,检查所述报文转发指示信息;
第一转发模块,用于当检查出所述报文转发指示信息为所述第一值时,直接转发所述报文;
策略匹配模块,用于当检查出所述报文转发指示信息为所述第二值时,将所述待转发的报文与所述内核态中现有的网络安全策略配置进行匹配;
第二转发模块,用于根据匹配结果转发所述报文。
8.根据权利要求5所述的装置,其特征在于,所述更新模块包括:
替换子模块,用于利用所述待更新的网络安全策略配置替换所述内核态中现有的网络安全策略配置;
存储子模块,用于以指定的数据存储格式在所述内核态中存储所述待更新的网络安全策略配置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911267085.9A CN111131198B (zh) | 2019-12-11 | 2019-12-11 | 网络安全策略配置的更新方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911267085.9A CN111131198B (zh) | 2019-12-11 | 2019-12-11 | 网络安全策略配置的更新方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111131198A CN111131198A (zh) | 2020-05-08 |
| CN111131198B true CN111131198B (zh) | 2022-04-26 |
Family
ID=70498728
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911267085.9A Active CN111131198B (zh) | 2019-12-11 | 2019-12-11 | 网络安全策略配置的更新方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111131198B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111683109B (zh) * | 2020-08-17 | 2020-11-13 | 烽火通信科技股份有限公司 | 一种微服务系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106254379A (zh) * | 2016-09-09 | 2016-12-21 | 上海携程商务有限公司 | 网络安全策略的处理系统及处理方法 |
| CN106254346A (zh) * | 2016-08-03 | 2016-12-21 | 广州唯品会信息科技有限公司 | 安全策略更新方法及系统 |
| CN108462676A (zh) * | 2017-02-20 | 2018-08-28 | 中兴通讯股份有限公司 | 网络安全设备的管理方法及装置 |
| CN108768948A (zh) * | 2018-04-28 | 2018-11-06 | 努比亚技术有限公司 | 一种访问权限管理方法、服务器及计算机可读存储介质 |
-
2019
- 2019-12-11 CN CN201911267085.9A patent/CN111131198B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106254346A (zh) * | 2016-08-03 | 2016-12-21 | 广州唯品会信息科技有限公司 | 安全策略更新方法及系统 |
| CN106254379A (zh) * | 2016-09-09 | 2016-12-21 | 上海携程商务有限公司 | 网络安全策略的处理系统及处理方法 |
| CN108462676A (zh) * | 2017-02-20 | 2018-08-28 | 中兴通讯股份有限公司 | 网络安全设备的管理方法及装置 |
| CN108768948A (zh) * | 2018-04-28 | 2018-11-06 | 努比亚技术有限公司 | 一种访问权限管理方法、服务器及计算机可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111131198A (zh) | 2020-05-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10225145B2 (en) | Method and device for updating client | |
| CN109802941A (zh) | 一种登录验证方法、装置、存储介质和服务器 | |
| US20200364342A1 (en) | Detecting security threats by monitoring chains of configuration changes made to basic input/output system (bios) or unified extensible firmware interface (uefi) attributes | |
| CN112672357B (zh) | 处理业务系统中用户账号的方法、装置及计算机设备 | |
| CN106502814B (zh) | 一种记录pcie设备错误信息的方法及装置 | |
| CN114257551A (zh) | 一种分布式限流的方法及系统、存储介质 | |
| CN105656684B (zh) | 故障模拟方法及装置 | |
| CN110874231A (zh) | 终端版本更新的方法、设备和存储介质 | |
| CN108509322B (zh) | 避免过度回访的方法、电子装置及计算机可读存储介质 | |
| CN111131198B (zh) | 网络安全策略配置的更新方法及装置 | |
| CN113037774B (zh) | 一种安全管理方法、装置、设备及机器可读存储介质 | |
| CN114430894A (zh) | 通过扫描规则引擎最小化生产中断 | |
| CN111597093B (zh) | 一种异常处理方法、装置及其设备 | |
| CN111046377A (zh) | 加载动态链接库的方法、装置、电子设备及存储介质 | |
| CN113595797B (zh) | 告警信息的处理方法、装置、电子设备及存储介质 | |
| CN112738264B (zh) | 消息中间件消息传输方法、装置、计算机设备和存储介质 | |
| CN111125771B (zh) | 保护设备隐私的方法及装置、电子设备、存储介质 | |
| CN107678928B (zh) | 应用程序的处理方法及服务器 | |
| CN113238893A (zh) | 多数据中心的容灾系统、方法、计算机设备及介质 | |
| CN115905271B (zh) | 一种病毒库更新方法、装置及多引擎检测系统 | |
| CN117155977B (zh) | 一种基于区块链的数据交易权益分配方法和装置 | |
| CN113840009B (zh) | Profile文件的分段传输方法、装置、设备及介质 | |
| CN112995988B (zh) | 一种基于无线网络设备多网口的网口分配方法及装置 | |
| CN113364764B (zh) | 基于大数据的信息安全防护方法及装置 | |
| CN113835621B (zh) | Ip仲裁进程数量管控方法、系统、终端及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |