CN111835729B - 报文转发方法、系统、存储介质和电子设备 - Google Patents

报文转发方法、系统、存储介质和电子设备 Download PDF

Info

Publication number
CN111835729B
CN111835729B CN202010546384.2A CN202010546384A CN111835729B CN 111835729 B CN111835729 B CN 111835729B CN 202010546384 A CN202010546384 A CN 202010546384A CN 111835729 B CN111835729 B CN 111835729B
Authority
CN
China
Prior art keywords
policy
target
forwarding
core
strategy
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010546384.2A
Other languages
English (en)
Other versions
CN111835729A (zh
Inventor
刘健男
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Neusoft Corp
Original Assignee
Neusoft Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Neusoft Corp filed Critical Neusoft Corp
Priority to CN202010546384.2A priority Critical patent/CN111835729B/zh
Publication of CN111835729A publication Critical patent/CN111835729A/zh
Application granted granted Critical
Publication of CN111835729B publication Critical patent/CN111835729B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/54Interprogram communication
    • G06F9/545Interprogram communication where tasks reside in different layers, e.g. user- and kernel-space
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/14Routing performance; Theoretical aspects
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/32Flow control; Congestion control by discarding or delaying data units, e.g. packets or frames

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本公开涉及一种报文转发方法、系统、存储介质和电子设备,所述方法应用于报文转发系统,报文转发系统中包括多个转发核和与每一转发核对应的处理核,所述方法包括:转发核从网卡接收到目标报文,查询目标报文对应的会话表;在未查询到会话表的情况下,根据目标报文的五元组和转发核的局部策略表,确定局部策略表中是否存在与五元组匹配的拒绝策略;在确定局部策略表中存在与五元组匹配的拒绝策略的情况下,丢弃目标报文。由此,在接收到海量攻击报文时,转发核可以根据其局部策略表对目标报文进行匹配,可以有效避免对转发核与处理核之间的通信通道的占用,有效保证对正常流量的转发,提高报文转发的效率和稳定性。

Description

报文转发方法、系统、存储介质和电子设备
技术领域
本公开涉及网络技术领域,具体地,涉及一种报文转发方法、系统、存储介质和电子设备。
背景技术
随着计算机技术的发展,越来越多的防火墙采用多核处理机制。现今对网络的安全性和健壮性的要求越来越高,对于异构平台而言,报文转发架构通常由用户态和内核态中的CPU组成,通过用户态CPU和内核态CPU进行协议完成报文转发。现有技术中,在海量的攻击到来时,该攻击则会迅速堵塞内核态CPU和用户态CPU之间的通信通道,难以保证对正常报文的转发,容易造成转发系统瘫痪。
发明内容
本公开的目的是提供一种高稳定性的报文转发方法、系统、存储介质及电子设备。
为了实现上述目的,根据本公开的第一方面,提供一种报文转发方法,应用于报文转发系统,所述报文转发系统中包括多个转发核和与每一所述转发核对应的处理核,所述方法包括:
所述转发核从网卡接收到目标报文,查询所述目标报文对应的会话表;
在未查询到所述会话表的情况下,根据所述目标报文的五元组和所述转发核的局部策略表,确定所述局部策略表中是否存在与所述五元组匹配的拒绝策略,其中,所述局部策略表存储在所述转发核,所述局部策略表为根据所述处理核对应的总策略表生成的,所述局部策略表中包含多条拒绝策略,所述拒绝策略用于拒绝报文转发;
在确定所述局部策略表中存在与所述五元组匹配的拒绝策略的情况下,丢弃所述目标报文。
可选地,所述方法还包括:
所述处理核接收策略配置指令,其中,所述策略配置指令中包含用于所述处理核对报文进行匹配的目标策略;
在确定所述目标策略的类型为拒绝类型,且所述目标策略为对应于IP地址或端口的策略的情况下,向配置转发核发送所述目标策略,其中,所述配置转发核为所述多个转发核中的一者;
所述配置转发核根据所述目标策略和每一所述转发核的局部策略表,确定所述目标策略是否待更新;
在所述目标策略待更新的情况下,确定所述目标策略中的待更新策略,其中所述待更新策略为所述目标策略中与所述拒绝策略不重合的策略;
确定所述待更新策略对应的目标转发核;
在所述目标转发核与所述配置转发核不同的情况下,向所述目标转发核发送所述待更新策略;
所述目标转发核基于所述待更新策略更新所述目标转发核的局部策略表。
可选地,所述确定所述待更新策略对应的目标转发核,包括:
获取全局策略表,其中,所述全局策略表中包含每一所述转发核的局部策略表中的任一拒绝策略;
在根据所述全局策略表,确定出与所述待更新策略进行合并的拒绝策略情况下,将该拒绝策略所属的局部策略表对应的转发核确定为所述目标转发核;
所述向所述目标转发核发送所述待更新策略,包括:
确定所述待更新策略中进行合并的可合并策略部分,并向所述目标转发核发送所述可合并策略部分。
可选地,在所述待更新策略中存在不可合并策略部分的情况下,所述确定所述待更新策略对应的目标转发核,还包括:
根据每一所述转发核的局部策略表中的拒绝策略的数量,确定所述不可合并策略部分对应的目标转发核;
所述向所述目标转发核发送所述待更新策略,还包括:
向所述不可合并策略部分对应的目标转发核发送所述不可合并策略部分。
可选地,所述配置转发核根据所述目标策略和每一所述转发核的局部策略表,确定所述目标策略是否待更新,包括:
将所述目标策略与各个所述转发核的所述局部策略表中的拒绝策略进行匹配;
在确定所述目标策略不属于任一所述拒绝策略的情况下,确定所述目标策略待更新。
可选地,所述方法还包括:
所述配置转发核根据所述待更新策略更新全局策略表,其中,所述全局策略表中包含每一所述转发核的局部策略表中的任一拒绝策略。
可选地,在所述目标转发核基于所述待更新策略更新所述目标转发核的局部策略表之后,所述方法还包括:
所述目标转发核根据更新后的所述局部策略表,更新所述网卡中与所述目标转发核对应的网卡队列与五元组信息的对应关系,其中,所述网卡队列与所述多个转发核一一对应。
可选地,所述方法还包括:
在确定所述局部策略表中不存在与所述五元组匹配的拒绝策略的情况下,将所述五元组与全局策略表进行匹配,其中,所述全局策略表中包含每一所述转发核的局部策略表中的任一拒绝策略;
在确定所述全局策略表中存在与所述五元组匹配的拒绝策略的情况下,将所述目标报文丢弃;
在确定所述全局策略表中不存在与所述五元组匹配的拒绝策略的情况下,向处理核转发所述目标报文。
根据本公开的第二方面,提供一种报文转发系统,所述报文转发系统中包括多个转发核和与每一所述转发核对应的处理核,所述转发核包括:
查询模块,用于所述转发核从网卡接收到目标报文,查询所述目标报文对应的会话表;
确定模块,用于在未查询到所述会话表的情况下,根据所述目标报文的五元组和所述转发核的局部策略表,确定所述局部策略表中是否存在与所述五元组匹配的拒绝策略,其中,所述局部策略表存储在所述转发核,所述局部策略表为根据所述处理核对应的总策略表生成的,所述局部策略表中包含多条拒绝策略,所述拒绝策略用于拒绝报文转发;
第一处理模块,用于在确定所述局部策略表中存在与所述五元组匹配的拒绝策略的情况下,丢弃所述目标报文。
可选地,所述处理核包括:
接收模块,用于所述处理核接收策略配置指令,其中,所述策略配置指令中包含用于所述处理核对报文进行匹配的目标策略;
第一发送模块,用于在确定所述目标策略的类型为拒绝类型,且所述目标策略为对应于IP地址或端口的策略的情况下,向配置转发核发送所述目标策略,其中,所述配置转发核为所述多个转发核中的一者;
所述转发核包括:
第一确定模块,用于所述配置转发核根据所述目标策略和每一所述转发核的局部策略表,确定所述目标策略是否待更新;
第二确定模块,用于在所述目标策略待更新的情况下,确定所述目标策略中的待更新策略,其中所述待更新策略为所述目标策略中与所述拒绝策略不重合的策略;
第三确定模块,用于确定所述待更新策略对应的目标转发核;
第二发送模块,用于在所述目标转发核与所述配置转发核不同的情况下,向所述目标转发核发送所述待更新策略;
第一更新模块,用于所述目标转发核基于所述待更新策略更新所述目标转发核的局部策略表。
可选地,所述第三确定模块包括:
获取子模块,用于获取全局策略表,其中,所述全局策略表中包含每一所述转发核的局部策略表中的任一拒绝策略;
第一确定子模块,用于在根据所述全局策略表,确定出与所述待更新策略进行合并的拒绝策略情况下,将该拒绝策略所属的局部策略表对应的转发核确定为所述目标转发核;
所述第二发送模块包括:
第一发送子模块,用于确定所述待更新策略中进行合并的可合并策略部分,并向所述目标转发核发送所述可合并策略部分。
可选地,所述第三确定模块还包括:
第二确定子模块,用于在所述待更新策略中存在不可合并策略部分的情况下,根据每一所述转发核的局部策略表中的拒绝策略的数量,确定所述不可合并策略部分对应的目标转发核;
所述第二发送模块还包括:
第二发送子模块,用于向所述不可合并策略部分对应的目标转发核发送所述不可合并策略部分。
可选地,所述第一确定模块包括:
匹配子模块,用于将所述目标策略与各个所述转发核的所述局部策略表中的拒绝策略进行匹配;
第三确定子模块,用于在确定所述目标策略不属于任一所述拒绝策略的情况下,确定所述目标策略待更新。
可选地,所述转发核还包括:
更新子模块,用于所述配置转发核根据所述待更新策略更新全局策略表,其中,所述全局策略表中包含每一所述转发核的局部策略表中的任一拒绝策略。
可选地,在所述目标转发核基于所述待更新策略更新所述目标转发核的局部策略表之后,所述转发核还包括:
第二更新模块,用于所述目标转发核根据更新后的所述局部策略表,更新所述网卡中与所述目标转发核对应的网卡队列与五元组信息的对应关系,其中,所述网卡队列与所述多个转发核一一对应。
可选地,所述转发核还包括:
匹配模块,用于在确定所述局部策略表中不存在与所述五元组匹配的拒绝策略的情况下,将所述五元组与全局策略表进行匹配,其中,所述全局策略表中包含每一所述转发核的局部策略表中的任一拒绝策略;
第二处理模块,用于在确定所述全局策略表中存在与所述五元组匹配的拒绝策略的情况下,将所述目标报文丢弃;
第三发送模块,用于在确定所述全局策略表中不存在与所述五元组匹配的拒绝策略的情况下,向处理核转发所述目标报文。
根据本公开的第三方面,提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现第一方面任一所述方法的步骤。
根据本公开的第四方面,提供一种电子设备,包括:
存储器,其上存储有计算机程序;
处理器,用于执行所述存储器中的所述计算机程序,以实现第一方面任一所述方法的步骤。
在上述技术方案中,转发核从网卡接收到目标报文,查询所述目标报文对应的会话表;在未查询到所述会话表的情况下,根据所述目标报文的五元组和所述转发核的局部策略表,确定所述局部策略表中是否存在与所述五元组匹配的拒绝策略,则可以在确定所述局部策略表中存在与所述五元组匹配的拒绝策略的情况下,丢弃所述目标报文。由此,通过上述技术方案,在接收到海量攻击报文时,转发核可以根据其局部策略表对目标报文进行匹配,由此成功匹配的目标报文可以直接由转发核进行丢弃,无需发送至处理核进行匹配,从而可以有效避免对转发核与处理核之间的通信通道的占用,有效保证对正常流量的转发,提高报文转发的效率和稳定性。
本公开的其他特征和优点将在随后的具体实施方式部分予以详细说明。
附图说明
附图是用来提供对本公开的进一步理解,并且构成说明书的一部分,与下面的具体实施方式一起用于解释本公开,但并不构成对本公开的限制。在附图中:
图1是根据本公开的一种实施方式提供的报文转发系统的示意图;
图2是为根据本公开的一种实施方式提供的报文转发方法的流程图;
图3是根据一示例性实施例示出的一种电子设备的框图;
图4是根据一示例性实施例示出的一种电子设备的框图。
具体实施方式
以下结合附图对本公开的具体实施方式进行详细说明。应当理解的是,此处所描述的具体实施方式仅用于说明和解释本公开,并不用于限制本公开。
如背景技术中所述,在海量攻击报文到来时,由于需要内核态CPU确定是否需要针对该报文创建会话表以进行转发,则用户态CPU会将该报文通过内核态与用户态之间的通信通道向内核态CPU发送该大量的报文,从而导致内核态与用户态之间的通信通道堵塞,影响整个报文转发系统中正常流量的转发。另外,部分场景下可以通过增加缓存队列的方式应对通信通道的堵塞,然而在海量攻击报文到来时,仍会出现通信通道堵塞的问题。
基于此,本公开提供一种报文转发系统,如图1所示,为根据本公开的一种实施方式提供的报文转发系统的示意图。其中,该报文转发系统中可以包括网卡10、转发核20和处理核30,其中,网卡10用于接收报文,并将报文转发至对应的转发核20,所述转发核20运行在用户态,用于接收报文,对报文进行初步策略匹配以确定是否拒绝该报文,以及对正常报文进行转发。所述处理核30运行在内核态,用于根据策略对接收到的报文进行匹配,以确定是否根据该报文创建会话表,以及向转发核配置初步策略。以下,结合具体实施例对本公开提供的报文转发方法进行详细说明。
如图2所示,为根据本公开的一种实施方式提供的报文转发方法的流程图,应用于报文转发系统,所述报文转发系统中包括多个转发核和与每一所述转发核对应的处理核,如图2所示,所述方法包括:
在步骤11中,转发核从网卡接收到目标报文,查询目标报文对应的会话表。
其中,转发核在对接收到的报文进行转发时,需要基于该报文对应的会话表进行转发,则在报文对应的会话表尚未创建时,需要根据该报文的五元组创建会话表,从而基于该会话表对该报文进行转发。示例地,该五元组表示如下:(sip,sport,dip,dport,protocol),其中,sip表示报文的五元组的源IP地址;sport表示报文的五元组的源端口号;dip表示报文的五元组的目的IP地址;dport表示报文的五元组的目的端口号;protocol表示报文对应的通信协议。因此,在转发核接收到目标报文时,可以先根据该目标报文的五元组确定是否存在对应的会话表,若存在对应的会话表,则可以直接基于该会话表对目标报文进行转发,若不存在对应的会话表,则需要确定是否需要创建该目标报文对应的会话表。
在步骤12中,在未查询到会话表的情况下,根据目标报文的五元组和转发核的局部策略表,确定局部策略表中是否存在与五元组匹配的拒绝策略,其中,所述局部策略表存储在所述转发核,所述局部策略表为根据所述处理核对应的总策略表生成的,所述局部策略表中包含多条拒绝策略,所述拒绝策略用于拒绝报文转发。
在未查询到会话表的情况下,则表示需要判断是否需要根据该目标报文的五元组创建对应的会话表。现有技术中,通常是需要将该目标报文发送至处理核,从而在处理核根据其对应的总策略表对该目标报文进行策略匹配,以确定是否需要根据该目标报文的五元组确定对应的会话表。而通过上述方式,在接收到大量的攻击报文时,由于需要将该大量的攻击报文发送至处理核进行策略匹配,则会快速堵塞转发核与处理核之间的通信通道,并且大量占用处理核的资源,从而严重影响正常报文转发的效率。
其中,所述局部策略表为根据所述处理核对应的总策略表生成的。其中,多个处理核对应于一个总策略表,该总策略表中包含处理核需要进行匹配的每一策略。在本公开提供的实施例中,每一转发核内存储有局部策略表,该局部策略表中包含多条用于拒绝报文转发的拒绝策略,即在转发核中,可以根据该处理核对应的总策略表生成其对应的局部策略表,以在转发核中进行部分策略匹配。因此,在该步骤中,在未查询到会话表的情况下,不是直接将目标报文发送至处理核,而是基于该局部策略表在转发核中进行初步策略匹配。通过在转发核中对目标报文进行初步处理,以避免大量的报文堵塞转发核和处理核之间的通信通道。
在步骤13中,在确定局部策略表中存在与五元组匹配的拒绝策略的情况下,丢弃目标报文。
其中,拒绝策略用于拒绝报文转发,示例地,该拒绝策略为“sip为(1.1.1.0)网段,netmask为(255.255.255.0)的报文设置不允许访问”,因此,若目标报文的sip为1.1.1.123,则在根据该目标报文的五元组与局部策略表进行匹配时,则该目标报文的五元组与该拒绝策略匹配,此时无需对该目标报文进行转发,即无需根据该目标报文的五元组创建对应的会话表,则可以直接丢弃该目标报文。由此,可以直接在转发核确定对目标报文进行处理。
在上述技术方案中,转发核从网卡接收到目标报文,查询所述目标报文对应的会话表;在未查询到所述会话表的情况下,根据所述目标报文的五元组和所述转发核的局部策略表,确定所述局部策略表中是否存在与所述五元组匹配的拒绝策略,则可以在确定所述局部策略表中存在与所述五元组匹配的拒绝策略的情况下,丢弃所述目标报文。由此,通过上述技术方案,在接收到海量攻击报文时,转发核可以根据其局部策略表对目标报文进行匹配,由此成功匹配的目标报文可以直接由转发核进行丢弃,无需发送至处理核进行匹配,从而可以有效避免对转发核与处理核之间的通信通道的占用,有效保证对正常流量的转发,提高报文转发的效率和稳定性。
其中,在本公开提供的实施例中,在转发核中存储有局部策略表,从而可以基于该局部策略表在转发核中对接收到的报文进行初步校验,保证转发系统的稳定性。为了使本领域技术人员更加理解本发明实施例提供的技术方案,下面对上述局部策略表的设置方式进行详细的说明。
可选地,所述方法还包括:
处理核接收策略配置指令,其中,所述策略配置指令中包含用于所述处理核对报文进行匹配的目标策略。
其中,用户可以通过可视化设置界面触发该策略配置指令,或者可以直接通过代码指令生成该策略配置指令。
在确定所述目标策略的类型为拒绝类型,且所述目标策略为对应于IP地址或端口的策略的情况下,向配置转发核发送所述目标策略,其中,所述配置转发核为所述多个转发核中的一者。
在本公开实施例中,处理核可以将部分策略发送至转发核,以由转发核进行策略的初步匹配。其中,转发核可以直接获取报文的五元组信息,同时为了保证转发核的处理效率,可以将对应于IP地址或端口的拒绝策略由转发核进行匹配。
示例地,初始情况下,可以人工设置每一转发核的局部策略表,以将处理核中的部分策略发送至转发核。其中,不同转发核的局部策略表不重合,每一转发核进行策略匹配时无需加锁,因此针对同一拒绝策略的报文可以由同一转发核进行处理,有效提高多核处理系统的并发处理性能,并且减少报文需要进行匹配的策略个数,进一步提升报文转发方法的效率。
之后,所述配置转发核根据所述目标策略和每一所述转发核的局部策略表,确定所述目标策略是否待更新。
可选地,所述配置转发核根据所述目标策略和每一所述转发核的局部策略表,确定所述目标策略是否待更新的示例性实现方式如下,该步骤可以包括:
将所述目标策略与各个所述转发核的所述局部策略表中的拒绝策略进行匹配。其中,各个转发核的局部策略表中的拒绝策略可以形成一全局策略表,示例地,该全局策略表可以由任一转发核访问。
在确定所述目标策略不属于任一所述拒绝策略的情况下,确定所述目标策略待更新。
其中,示例地,目标策略为sip为1.1.2.1,sport属于512-1024的报文拒绝访问,若全局策略表中存在sip为1.1.2.1,sport属于512-2048的报文拒绝访问的拒绝策略A,则可以确定该目标策略属于该拒绝策略,即该目标策略与现有的拒绝策略完全重合,此时可以直接忽略该目标策略。
在确定目标策略不属于任一拒绝策略的情况下,即该目标策略中的全部或部分没有在全局策略表中,此时则需要根据该没有在全局策略表中的部分进行更新,此时可以确定该目标策略待更新。示例地,若目标策略为sip为1.1.2.1,sport属于256-1024的报文拒绝访问,则该目标策略与该拒绝策略A存在部分重合,不属于该拒绝策略A;若目标策略为sip为1.1.2.1,sport属于0-256的报文拒绝访问,则该目标策略与该拒绝策略A完全不重合,不属于该拒绝策略A,在该目标策略与全局策略表中的其他策略也并不完全重合的情况下,则可以确定该目标策略待更新。由此,可以快速确定出需要进行更新的目标策略,避免目标策略更新出现的数据冗余,同时也可以有效提高策略表的更新效率。
在所述目标策略待更新的情况下,确定所述目标策略中的待更新策略,其中所述待更新策略为所述目标策略中与所述拒绝策略不重合的策略。
示例地,接上述示例,若目标策略为sip为1.1.2.1,sport属于256-1024的报文拒绝访问,则该目标策略中的待更新策略为sip为1.1.2.1,sport属于256-512的报文拒绝访问;若目标策略为sip为1.1.2.1,sport属于0-256的报文拒绝访问,则该目标策略中的待更新策略为sip为1.1.2.1,sport属于0-256的报文拒绝访问。
确定所述待更新策略对应的目标转发核,其中,所述目标转发核即为基于该待更新策略进行策略更新的转发核。
在所述目标转发核与所述配置转发核不同的情况下,向所述目标转发核发送所述待更新策略。
所述目标转发核基于所述待更新策略更新所述目标转发核的局部策略表。
作为示例,若目标转发核与配置转发核相同,则表示是由该配置转发核基于该待更新策略进行策略更新,此时可以直接由该配置转发核处理该待更新策略,即基于该待更新策略更新该配置转发核的局部策略表。作为另一示例,该目标转发核与该配置转发核不同,表示需要由其他的转发核处理该待更新策略,此时,则可以将该待更新策略发送至目标转发核,以由所述目标转发核进行处理基于所述待更新策略更新所述目标转发核的局部策略表。
由此,通过上述技术方案,处理核在接收到新的策略时,可以通过分析该策略以确定该策略是否可以在转发核中进行匹配。在确定出可以在转发核中进行匹配的策略时,将该策略发送至配置转发核以由配置转发核基于该策略对局部策略表进行更新。由此,可以将匹配的策略配置在转发核中,以便于在转发核中直接对接收到的报文进行匹配,提高报文处理的效率,并且为保证报文转发的稳定性提供技术支持。
其中,在处理核将目标策略发送至配置转发核后,可以将该目标策略从处理核的策略中删除,以避免后续由处理核进行策略匹配时进行重复的策略匹配。
可选地,所述确定所述待更新策略对应的目标转发核的示例性实现方式如下,该步骤可以包括:
获取全局策略表,其中,所述全局策略表中包含每一所述转发核的局部策略表中的任一拒绝策略,该全局策略表可以存储在用户态存储空间中,可以由各个转发核共享访问。可选地,所述全局策略表中还可以包括每一拒绝策略所属的局部策略表对应的转发核标识,从而可以根据该转发核标识直接确定该拒绝策略所在的转发核。
之后根据所述全局策略表,确定是否存在与所述待更新策略进行合并的拒绝策略,若确定出与所述待更新策略进行合并的拒绝策略,将该拒绝策略所属的局部策略表对应的转发核确定为所述目标转发核。
示例地,可以将该待更新策略与该全局策略表中的每一拒绝策略进行合并判断,在确定可合并时,则将该拒绝策略确定为与所述待更新策略进行合并的拒绝策略,并停止合并判断。
其中,可以通过确定待更新策略与拒绝策略中的IP地址和/或端口是否可合并,以确定待更新策略与拒绝策略是否可合并。示例地,若待更新策略为sip:1.1.1.1,sport:1024-2048,拒绝策略B为sip:1.1.1.1,sport:2048-4096,此时,待更新策略和拒绝策略B中的sip相同,且sport连续,则sip和sport均可以合并,此时则可以将该待更新策略与该拒绝策略B进行合并,以实现策略的更新。又例如,该待更新策略为sip:2.2.2.5的报文不允许访问,则可以确定进行合并的拒绝策略时,可以只根据该sip进行合并判定。其中,上述实施例仅为示例性说明,不对本公开进行限定。
因此,在该实施例中,可以确定出该拒绝策略B属于的局部策略表对应的转发核,如转发核CPU1,则可以将该转发核CPU1确定为目标转发核。其中,在确定出可合并的拒绝策略后,可以根据该拒绝策略确定其所属的局部策略表,从而确定该局部策略表对应的转发核。作为另一示例,全局策略表中可以包括每一拒绝策略所在的转发核标识,则在确定出该拒绝策略B之后,可以直接基于该全局策略表确定出该拒绝策略B对应的转发核标识,从而可以快速确定出其对应的转发核。
所述向所述目标转发核发送所述待更新策略,包括:
确定所述待更新策略中进行合并的可合并策略部分,并向所述目标转发核发送所述可合并策略部分。
如上述示例,确定出的待更新策略中的可合并策略部分为sip:1.1.1.1,sport:1024-2048,则可以向CPU1发送该可合并策略部分。目标转发核CPU1在接收到该可合并策略部分之后,则可以将该可合并策略部分与其局部策略表中的拒绝策略B进行合并,示例地,合并后获取的拒绝策略B’为sip:1.1.1.1,sport:1024-4096。
由此,通过上述技术方案,可以将目标策略与转发核中的已有的拒绝策略进行合并,并将该拒绝策略对应的转发核确定该待合并策略对应的目标转发核,可以保证多个转发核之间拒绝策略的独立性,避免出现多核之间的资源竞争,为提高多核系统的并发性能提供支持。同时,也可以提高转发核中局部策略表的实时性和全面性。
可选地,在所述待更新策略中存在不可合并策略部分的情况下,所述确定所述待更新策略对应的目标转发核的另一种示例性实现方式如下,该步骤还可以包括:
根据每一所述转发核的局部策略表中的拒绝策略的数量,确定所述不可合并策略部分对应的目标转发核;
所述向所述目标转发核发送所述待更新策略,还包括:
向所述不可合并策略部分对应的目标转发核发送所述不可合并策略部分。
示例地,若待更新策略为sip:1.1.1.1-12(表示1.1.1.1~1.1.1.12对应的网段),sport:1024-2048,拒绝策略为sip:1.1.1.1,sport:2048-4096,则可以确定待更新策略中的可合并策略部分为sip:1.1.1.1,sport:1024-2048,该待更新策略中的不可合并策略部分为sip:1.1.1.2-12,sport:1024-2048。通过上文所述步骤,可以将可合并策略部分发送至CPU1,以进行更新,在此不再赘述。
针对该不可合并部分,则可以获取每一转发核的局部策略表中的拒绝策略的数量,按照从小到大的顺序将排序第一的转发核确定为目标转发核,从而可以在一定程度上保证每一转发核的负载均衡,提高转发系统和报文转发方法的稳定性和效率。之后,若该目标转发核与该配置转发核相同,则可以直接由该配置转发核直接处理该不可合并策略部分,若目标转发核与配置转发核不同,则需要将该不可合并策略部分发送至目标转发核,以由目标转发核处理该不可合并策略部分。
作为另一示例,在根据所述全局策略表,未确定出与所述待更新策略进行合并的拒绝策略情况下,则将该待更新策略全部确定不可合并策略部分,其中,针对所述不可合并策略部分的实施例已在上文进行详述,在此不再赘述。
由此,通过上述技术方案,在所述待更新策略中存在不可合并策略部分的情况下,可以根据每一转发核中的拒绝策略的数量确定该报文转发系统中创建该不可合并策略部分的拒绝策略的转发核,可以保证该报文转发系统中的多核负载均衡,有效保证报文转发方法的效率。同时,可以对待更新策略进行准确的更新,保证局部策略表的准确性和实时性,从而便于转发核对接收到的报文的准确匹配和处理。
可选地,所述方法还包括:
所述配置转发核根据所述待更新策略更新全局策略表,其中,所述全局策略表中包含每一所述转发核的局部策略表中的任一拒绝策略。
其中,配置转发核根据待更新策略更新该全局策略表与上文所述更新局部策略表的方式相似,配置转发核在确定出与该待更新策略对应的可合并的拒绝策略时,则将该待更新策略中的可合并策略部分与该拒绝策略进行合并;针对待更新策略中的不可合并策略部分,则可以创建一新的拒绝策略,并更新该新创建的拒绝策略对应的转发核。其中,上述更新拒绝策略的具体实现方式已在上文进行详述,在此不再赘述。
由此,通过上述技术方案,一方面可以保证全局策略表的实时性和全面性,保证该全局策略表和各个局部策略表的同步。另一方面,也便于基于该全局策略表提高待更新策略进行合并及更新的确定效率,简化报文转发方法的流程,提高报文处理效率。
可选地,在所述目标转发核基于所述待更新策略更新所述目标转发核的局部策略表之后,所述方法还包括:
所述目标转发核根据更新后的所述局部策略表,更新所述网卡中与所述目标转发核对应的网卡队列与五元组信息的对应关系,其中,所述网卡队列与所述多个转发核一一对应。
其中,在本公开提供的实施例中,可以根据每一转发核的局部策略表设置该转发核对应的网卡队列与五元组信息的对应关系。示例地,转发核CPU1对应的网卡队列为Q1,可以将转发核CPU1的局部策略表中的包含的五元组信息确定为网卡队列Q1对应的五元组信息,因此,在网卡接收到报文时,可以根据该报文的五元组确定将该报文发送至哪一网卡队列,从而实现报文至转发核的定向发送。
作为示例,所述目标转发核可以从其更新后的局部策略表中的更新的拒绝策略发送至各个网卡,以使得每一网卡在该目标转发核对应的网卡队列中增加该拒绝策略对应的五元组信息。因此在网卡接收到报文时,可以根据报文的五元组确定与该拒绝策略对应的五元组信息是否配置,并在匹配时将该报文发送至目标转发核对应的网卡队列,以由该目标转发核从网卡接收到该报文。
其中,针对不满足拒绝策略的报文,网卡可以基于RSS(Receive Side Scaling)算法对该报文进行分发,从而在一定程度上保证各网卡队列中报文的均衡,为保证各个转发核的负载均衡提供数据支持。
因此,通过上述技术方案,可以结合网卡硬件将接收到的报文分发至需要对该报文进行策略匹配的转发核中,使得在转发核进行策略匹配时,其接收到的报文与其局部策略表中的拒绝策略相匹配,不仅可以有效减少报文匹配的次数,也可以有效降低报文在不同转发核之间切换倒核的开销,提升报文转发系统的整体性能。
可选地,所述方法还包括:
在确定所述局部策略表中不存在与所述五元组匹配的拒绝策略的情况下,将所述五元组与全局策略表进行匹配,其中,所述全局策略表中包含每一所述转发核的局部策略表中的任一拒绝策略;
在确定所述全局策略表中存在与所述五元组匹配的拒绝策略的情况下,将所述目标报文丢弃;
在确定所述全局策略表中不存在与所述五元组匹配的拒绝策略的情况下,向处理核转发所述目标报文。
其中,在本公开实施例中,拒绝策略中可以只对五元组中的部分信息设置拒绝策略,则针对一报文其可能会存在可匹配的多个拒绝策略,因此,在该实施例中,在确定局部策略表中不存在与所述五元组匹配的拒绝策略的情况下,将所述五元组与全局策略表进行匹配,以进一步确定该报文是否需要丢弃,保证报文处理过程中策略匹配的准确性和全面性,有效降低攻击报文发送至处理核对通信通道和转发核处理性能的影响。
在确定所述全局策略表中不存在与所述五元组匹配的拒绝策略的情况下,则可以向处理核转发所述目标报文,以由处理核对该目标报文进行匹配,以进一步确定是否可以根据该目标报文创建会话表,并进行转发。
由此,通过上述技术方案,一方面可以保证对目标报文进行初步策略匹配的全面性,从而可以提高报文处理的准确性,另一方面,在遭到攻击时,也可以有效降低攻击报文进入处理核的可能性,从而保证对正常报文的转发,提高报文转发系统的稳定性和健壮性。
本公开还提供一种报文转发系统,所述报文转发系统中包括多个转发核和与每一所述转发核对应的处理核,所述转发核包括:
查询模块,用于所述转发核从网卡接收到目标报文,查询所述目标报文对应的会话表;
确定模块,用于在未查询到所述会话表的情况下,根据所述目标报文的五元组和所述转发核的局部策略表,确定所述局部策略表中是否存在与所述五元组匹配的拒绝策略,其中,所述局部策略表存储在所述转发核,所述局部策略表为根据所述处理核对应的总策略表生成的,所述局部策略表中包含多条拒绝策略,所述拒绝策略用于拒绝报文转发;
第一处理模块,用于在确定所述局部策略表中存在与所述五元组匹配的拒绝策略的情况下,丢弃所述目标报文。
可选地,所述处理核包括:
接收模块,用于所述处理核接收策略配置指令,其中,所述策略配置指令中包含用于所述处理核对报文进行匹配的目标策略;
第一发送模块,用于在确定所述目标策略的类型为拒绝类型,且所述目标策略为对应于IP地址或端口的策略的情况下,向配置转发核发送所述目标策略,其中,所述配置转发核为所述多个转发核中的一者;
所述转发核包括:
第一确定模块,用于所述配置转发核根据所述目标策略和每一所述转发核的局部策略表,确定所述目标策略是否待更新;
第二确定模块,用于在所述目标策略待更新的情况下,确定所述目标策略中的待更新策略,其中所述待更新策略为所述目标策略中与所述拒绝策略不重合的策略;
第三确定模块,用于确定所述待更新策略对应的目标转发核;
第二发送模块,用于在所述目标转发核与所述配置转发核不同的情况下,向所述目标转发核发送所述待更新策略;
第一更新模块,用于所述目标转发核基于所述待更新策略更新所述目标转发核的局部策略表。
可选地,所述第三确定模块包括:
获取子模块,用于获取全局策略表,其中,所述全局策略表中包含每一所述转发核的局部策略表中的任一拒绝策略;
第一确定子模块,用于在根据所述全局策略表,确定出与所述待更新策略进行合并的拒绝策略情况下,将该拒绝策略所属的局部策略表对应的转发核确定为所述目标转发核;
所述第二发送模块包括:
第一发送子模块,用于确定所述待更新策略中进行合并的可合并策略部分,并向所述目标转发核发送所述可合并策略部分。
可选地,所述第三确定模块还包括:
第二确定子模块,用于在所述待更新策略中存在不可合并策略部分的情况下,根据每一所述转发核的局部策略表中的拒绝策略的数量,确定所述不可合并策略部分对应的目标转发核;
所述第二发送模块还包括:
第二发送子模块,用于向所述不可合并策略部分对应的目标转发核发送所述不可合并策略部分。
可选地,所述第一确定模块包括:
匹配子模块,用于将所述目标策略与各个所述转发核的所述局部策略表中的拒绝策略进行匹配;
第三确定子模块,用于在确定所述目标策略不属于任一所述拒绝策略的情况下,确定所述目标策略待更新。
可选地,所述转发核还包括:
更新子模块,用于所述配置转发核根据所述待更新策略更新全局策略表,其中,所述全局策略表中包含每一所述转发核的局部策略表中的任一拒绝策略。
可选地,在所述目标转发核基于所述待更新策略更新所述目标转发核的局部策略表之后,所述转发核还包括:
第二更新模块,用于所述目标转发核根据更新后的所述局部策略表,更新所述网卡中与所述目标转发核对应的网卡队列与五元组信息的对应关系,其中,所述网卡队列与所述多个转发核一一对应。
可选地,所述转发核还包括:
匹配模块,用于在确定所述局部策略表中不存在与所述五元组匹配的拒绝策略的情况下,将所述五元组与全局策略表进行匹配,其中,所述全局策略表中包含每一所述转发核的局部策略表中的任一拒绝策略;
第二处理模块,用于在确定所述全局策略表中存在与所述五元组匹配的拒绝策略的情况下,将所述目标报文丢弃;
第三发送模块,用于在确定所述全局策略表中不存在与所述五元组匹配的拒绝策略的情况下,向处理核转发所述目标报文。
关于上述实施例中的装置,其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
图3是根据一示例性实施例示出的一种电子设备700的框图。如图3所示,该电子设备700可以包括:处理器701,存储器702。该电子设备700还可以包括多媒体组件703,输入/输出(I/O)接口704,以及通信组件705中的一者或多者。
其中,处理器701用于控制该电子设备700的整体操作,以完成上述的报文转发方法中的全部或部分步骤。存储器702用于存储各种类型的数据以支持在该电子设备700的操作,这些数据例如可以包括用于在该电子设备700上操作的任何应用程序或方法的指令,以及应用程序相关的数据,例如联系人数据、收发的消息、图片、音频、视频等等。该存储器702可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,例如静态随机存取存储器(Static Random Access Memory,简称SRAM),电可擦除可编程只读存储器(Electrically Erasable Programmable Read-Only Memory,简称EEPROM),可擦除可编程只读存储器(Erasable Programmable Read-Only Memory,简称EPROM),可编程只读存储器(Programmable Read-Only Memory,简称PROM),只读存储器(Read-Only Memory,简称ROM),磁存储器,快闪存储器,磁盘或光盘。多媒体组件703可以包括屏幕和音频组件。其中屏幕例如可以是触摸屏,音频组件用于输出和/或输入音频信号。例如,音频组件可以包括一个麦克风,麦克风用于接收外部音频信号。所接收的音频信号可以被进一步存储在存储器702或通过通信组件705发送。音频组件还包括至少一个扬声器,用于输出音频信号。I/O接口704为处理器701和其他接口模块之间提供接口,上述其他接口模块可以是键盘,鼠标,按钮等。这些按钮可以是虚拟按钮或者实体按钮。通信组件705用于该电子设备700与其他设备之间进行有线或无线通信。无线通信,例如Wi-Fi,蓝牙,近场通信(Near FieldCommunication,简称NFC),2G、3G、4G、NB-IOT、eMTC、或其他5G等等,或它们中的一种或几种的组合,在此不做限定。因此相应的该通信组件705可以包括:Wi-Fi模块,蓝牙模块,NFC模块等等。
在一示例性实施例中,电子设备700可以被一个或多个应用专用集成电路(Application Specific Integrated Circuit,简称ASIC)、数字信号处理器(DigitalSignal Processor,简称DSP)、数字信号处理设备(Digital Signal Processing Device,简称DSPD)、可编程逻辑器件(Programmable Logic Device,简称PLD)、现场可编程门阵列(Field Programmable Gate Array,简称FPGA)、控制器、微控制器、微处理器或其他电子元件实现,用于执行上述的报文转发方法。
在另一示例性实施例中,还提供了一种包括程序指令的计算机可读存储介质,该程序指令被处理器执行时实现上述的报文转发方法的步骤。例如,该计算机可读存储介质可以为上述包括程序指令的存储器702,上述程序指令可由电子设备700的处理器701执行以完成上述的报文转发方法。
图4是根据一示例性实施例示出的一种电子设备1900的框图。例如,电子设备1900可以被提供为一服务器。参照图4,电子设备1900包括处理器1922,其数量可以为一个或多个,以及存储器1932,用于存储可由处理器1922执行的计算机程序。存储器1932中存储的计算机程序可以包括一个或一个以上的每一个对应于一组指令的模块。此外,处理器1922可以被配置为执行该计算机程序,以执行上述的报文转发方法。
另外,电子设备1900还可以包括电源组件1926和通信组件1950,该电源组件1926可以被配置为执行电子设备1900的电源管理,该通信组件1950可以被配置为实现电子设备1900的通信,例如,有线或无线通信。此外,该电子设备1900还可以包括输入/输出(I/O)接口1958。电子设备1900可以操作基于存储在存储器1932的操作系统,例如WindowsServerTM,Mac OS XTM,UnixTM,LinuxTM等等。
在另一示例性实施例中,还提供了一种包括程序指令的计算机可读存储介质,该程序指令被处理器执行时实现上述的报文转发方法的步骤。例如,该计算机可读存储介质可以为上述包括程序指令的存储器1932,上述程序指令可由电子设备1900的处理器1922执行以完成上述的报文转发方法。
在另一示例性实施例中,还提供一种计算机程序产品,该计算机程序产品包含能够由可编程的装置执行的计算机程序,该计算机程序具有当由该可编程的装置执行时用于执行上述的报文转发方法的代码部分。
以上结合附图详细描述了本公开的优选实施方式,但是,本公开并不限于上述实施方式中的具体细节,在本公开的技术构思范围内,可以对本公开的技术方案进行多种简单变型,这些简单变型均属于本公开的保护范围。
另外需要说明的是,在上述具体实施方式中所描述的各个具体技术特征,在不矛盾的情况下,可以通过任何合适的方式进行组合。为了避免不必要的重复,本公开对各种可能的组合方式不再另行说明。
此外,本公开的各种不同的实施方式之间也可以进行任意组合,只要其不违背本公开的思想,其同样应当视为本公开所公开的内容。

Claims (10)

1.一种报文转发方法,其特征在于,应用于报文转发系统,所述报文转发系统中包括多个转发核和与每一所述转发核对应的处理核,所述方法包括:
所述转发核从网卡接收到目标报文,查询所述目标报文对应的会话表;
在未查询到所述会话表的情况下,根据所述目标报文的五元组和所述转发核的局部策略表,确定所述局部策略表中是否存在与所述五元组匹配的拒绝策略,其中,所述局部策略表存储在所述转发核,所述局部策略表为根据所述处理核对应的总策略表生成的,所述局部策略表中包含多条拒绝策略,所述拒绝策略用于拒绝报文转发;
在确定所述局部策略表中存在与所述五元组匹配的拒绝策略的情况下,丢弃所述目标报文;
所述方法还包括:
所述处理核接收策略配置指令,其中,所述策略配置指令中包含用于所述处理核对报文进行匹配的目标策略;
在确定所述目标策略的类型为拒绝类型,且所述目标策略为对应于IP地址或端口的策略的情况下,向配置转发核发送所述目标策略,其中,所述配置转发核为所述多个转发核中的一者;
所述配置转发核根据所述目标策略和每一所述转发核的局部策略表,确定所述目标策略是否待更新;
在所述目标策略待更新的情况下,确定所述目标策略中的待更新策略,其中所述待更新策略为所述目标策略中与所述拒绝策略不重合的策略;
确定所述待更新策略对应的目标转发核;
在所述目标转发核与所述配置转发核不同的情况下,向所述目标转发核发送所述待更新策略;
所述目标转发核基于所述待更新策略更新所述目标转发核的局部策略表。
2.根据权利要求1所述的方法,其特征在于,所述确定所述待更新策略对应的目标转发核,包括:
获取全局策略表,其中,所述全局策略表中包含每一所述转发核的局部策略表中的任一拒绝策略;
在根据所述全局策略表,确定出与所述待更新策略进行合并的拒绝策略情况下,将该拒绝策略所属的局部策略表对应的转发核确定为所述目标转发核;
所述向所述目标转发核发送所述待更新策略,包括:
确定所述待更新策略中进行合并的可合并策略部分,并向所述目标转发核发送所述可合并策略部分。
3.根据权利要求2所述的方法,其特征在于,在所述待更新策略中存在不可合并策略部分的情况下,所述确定所述待更新策略对应的目标转发核,还包括:
根据每一所述转发核的局部策略表中的拒绝策略的数量,确定所述不可合并策略部分对应的目标转发核;
所述向所述目标转发核发送所述待更新策略,还包括:
向所述不可合并策略部分对应的目标转发核发送所述不可合并策略部分。
4.根据权利要求1所述的方法,其特征在于,所述配置转发核根据所述目标策略和每一所述转发核的局部策略表,确定所述目标策略是否待更新,包括:
将所述目标策略与各个所述转发核的所述局部策略表中的拒绝策略进行匹配;
在确定所述目标策略不属于任一所述拒绝策略的情况下,确定所述目标策略待更新。
5.根据权利要求1-4中任一项所述的方法,其特征在于,所述方法还包括:
所述配置转发核根据所述待更新策略更新全局策略表,其中,所述全局策略表中包含每一所述转发核的局部策略表中的任一拒绝策略。
6.根据权利要求1所述的方法,其特征在于,在所述目标转发核基于所述待更新策略更新所述目标转发核的局部策略表之后,所述方法还包括:
所述目标转发核根据更新后的所述局部策略表,更新所述网卡中与所述目标转发核对应的网卡队列与五元组信息的对应关系,其中,所述网卡队列与所述多个转发核一一对应。
7.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在确定所述局部策略表中不存在与所述五元组匹配的拒绝策略的情况下,将所述五元组与全局策略表进行匹配,其中,所述全局策略表中包含每一所述转发核的局部策略表中的任一拒绝策略;
在确定所述全局策略表中存在与所述五元组匹配的拒绝策略的情况下,将所述目标报文丢弃;
在确定所述全局策略表中不存在与所述五元组匹配的拒绝策略的情况下,向处理核转发所述目标报文。
8.一种报文转发系统,其特征在于,所述报文转发系统中包括多个转发核和与每一所述转发核对应的处理核,所述转发核包括:
查询模块,用于所述转发核从网卡接收到目标报文,查询所述目标报文对应的会话表;
确定模块,用于在未查询到所述会话表的情况下,根据所述目标报文的五元组和所述转发核的局部策略表,确定所述局部策略表中是否存在与所述五元组匹配的拒绝策略,其中,所述局部策略表存储在所述转发核,所述局部策略表为根据所述处理核对应的总策略表生成的,所述局部策略表中包含多条拒绝策略,所述拒绝策略用于拒绝报文转发;
第一处理模块,用于在确定所述局部策略表中存在与所述五元组匹配的拒绝策略的情况下,丢弃所述目标报文;
所述处理核包括:
接收模块,用于所述处理核接收策略配置指令,其中,所述策略配置指令中包含用于所述处理核对报文进行匹配的目标策略;
第一发送模块,用于在确定所述目标策略的类型为拒绝类型,且所述目标策略为对应于IP地址或端口的策略的情况下,向配置转发核发送所述目标策略,其中,所述配置转发核为所述多个转发核中的一者;
所述转发核包括:
第一确定模块,用于所述配置转发核根据所述目标策略和每一所述转发核的局部策略表,确定所述目标策略是否待更新;
第二确定模块,用于在所述目标策略待更新的情况下,确定所述目标策略中的待更新策略,其中所述待更新策略为所述目标策略中与所述拒绝策略不重合的策略;
第三确定模块,用于确定所述待更新策略对应的目标转发核;
第二发送模块,用于在所述目标转发核与所述配置转发核不同的情况下,向所述目标转发核发送所述待更新策略;
第一更新模块,用于所述目标转发核基于所述待更新策略更新所述目标转发核的局部策略表。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现权利要求1-7中任一项所述方法的步骤。
10.一种电子设备,其特征在于,包括:
存储器,其上存储有计算机程序;
处理器,用于执行所述存储器中的所述计算机程序,以实现权利要求1-7中任一项所述方法的步骤。
CN202010546384.2A 2020-06-15 2020-06-15 报文转发方法、系统、存储介质和电子设备 Active CN111835729B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010546384.2A CN111835729B (zh) 2020-06-15 2020-06-15 报文转发方法、系统、存储介质和电子设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010546384.2A CN111835729B (zh) 2020-06-15 2020-06-15 报文转发方法、系统、存储介质和电子设备

Publications (2)

Publication Number Publication Date
CN111835729A CN111835729A (zh) 2020-10-27
CN111835729B true CN111835729B (zh) 2022-08-02

Family

ID=72898824

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010546384.2A Active CN111835729B (zh) 2020-06-15 2020-06-15 报文转发方法、系统、存储介质和电子设备

Country Status (1)

Country Link
CN (1) CN111835729B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112383480B (zh) * 2020-10-29 2022-11-04 曙光网络科技有限公司 流表的处理方法、装置、监管设备和存储介质
CN112558948A (zh) * 2020-12-16 2021-03-26 武汉绿色网络信息服务有限责任公司 一种海量流量下报文识别的方法和装置
CN113992754B (zh) * 2021-10-25 2023-12-22 北京恒安嘉新安全技术有限公司 深度报文检测设备的策略更新方法、装置、设备和介质

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103237039A (zh) * 2013-05-10 2013-08-07 汉柏科技有限公司 一种报文转发方法及设备
CN106209852A (zh) * 2016-07-13 2016-12-07 成都知道创宇信息技术有限公司 一种基于dpdk的dns拒绝服务攻击防御方法
CN106789617A (zh) * 2016-12-22 2017-05-31 东软集团股份有限公司 一种报文转发方法及装置
CN107864156A (zh) * 2017-12-18 2018-03-30 东软集团股份有限公司 Syn攻击防御方法和装置、存储介质
EP3355514A1 (en) * 2016-03-29 2018-08-01 Huawei Technologies Co., Ltd. Method and device for transmitting network attack defense policy and method and device for defending against network attack
CN108667730A (zh) * 2018-04-17 2018-10-16 东软集团股份有限公司 基于负载均衡的报文转发方法、装置、存储介质和设备

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8719926B2 (en) * 2011-02-11 2014-05-06 Verizon Patent And Licensing Inc. Denial of service detection and prevention using dialog level filtering

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103237039A (zh) * 2013-05-10 2013-08-07 汉柏科技有限公司 一种报文转发方法及设备
EP3355514A1 (en) * 2016-03-29 2018-08-01 Huawei Technologies Co., Ltd. Method and device for transmitting network attack defense policy and method and device for defending against network attack
CN106209852A (zh) * 2016-07-13 2016-12-07 成都知道创宇信息技术有限公司 一种基于dpdk的dns拒绝服务攻击防御方法
CN106789617A (zh) * 2016-12-22 2017-05-31 东软集团股份有限公司 一种报文转发方法及装置
CN107864156A (zh) * 2017-12-18 2018-03-30 东软集团股份有限公司 Syn攻击防御方法和装置、存储介质
CN108667730A (zh) * 2018-04-17 2018-10-16 东软集团股份有限公司 基于负载均衡的报文转发方法、装置、存储介质和设备

Also Published As

Publication number Publication date
CN111835729A (zh) 2020-10-27

Similar Documents

Publication Publication Date Title
CN111835729B (zh) 报文转发方法、系统、存储介质和电子设备
US11824962B2 (en) Methods and apparatus for sharing and arbitration of host stack information with user space communication stacks
US11962501B2 (en) Extensible control plane for network management in a virtual infrastructure environment
US11258667B2 (en) Network management method and related device
WO2018023499A1 (zh) 网络接口卡、计算设备以及数据包处理方法
EP1853025A1 (en) Packet routing with payload analysis, encapsulation and service module vectoring
WO2015096513A1 (zh) 报文处理方法、节点及系统
US20140112130A1 (en) Method for setting packet forwarding rule and control apparatus using the method
CN107888500B (zh) 报文转发方法及装置、存储介质、电子设备
CN107800626B (zh) 数据报文的处理方法、装置及设备
CN115486046A (zh) 基于开放虚拟软交换机ovs的数据包处理方法及设备
CN113709052B (zh) 一种网络报文的处理方法、装置、电子设备和存储介质
US20140068637A1 (en) Method and Apparatus for Data Linkage between Heterogeneous Platforms
CN109547350B (zh) 一种路由学习方法及网关设备
CN114025000B (zh) 网络访问关系的建立方法、装置、设备及存储介质
US11012542B2 (en) Data processing method and apparatus
US10498637B2 (en) Switch processing method, controller, switch, and switch processing system
CN107528929B (zh) Arp条目的处理方法及装置
US10104018B2 (en) Method, apparatus, and system for controlling forwarding of service data in virtual network
US20230216798A1 (en) Data Steering Method and Apparatus
CN112165430B (zh) 数据路由方法、装置、设备以及存储介质
US20220358055A1 (en) Method and apparatus for acquiring device information, storage medium and electronic device
CN109005120B (zh) 一种报文处理方法及网络设备
US20180332101A1 (en) Control apparatus, computer readable medium, and equipment control system
US20230370938A1 (en) Traffic sending method, apparatus, and system, and storage medium

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant