CN111953748A - 会话记录生成方法、装置及存储介质 - Google Patents
会话记录生成方法、装置及存储介质 Download PDFInfo
- Publication number
- CN111953748A CN111953748A CN202010740184.0A CN202010740184A CN111953748A CN 111953748 A CN111953748 A CN 111953748A CN 202010740184 A CN202010740184 A CN 202010740184A CN 111953748 A CN111953748 A CN 111953748A
- Authority
- CN
- China
- Prior art keywords
- firewall
- flow
- mirror image
- session
- session record
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 49
- 230000003044 adaptive effect Effects 0.000 abstract description 3
- 238000012545 processing Methods 0.000 description 15
- 238000004891 communication Methods 0.000 description 10
- 230000005540 biological transmission Effects 0.000 description 7
- 230000006399 behavior Effects 0.000 description 6
- 230000006870 function Effects 0.000 description 6
- 230000006855 networking Effects 0.000 description 6
- 238000010586 diagram Methods 0.000 description 5
- 230000008569 process Effects 0.000 description 5
- 230000003287 optical effect Effects 0.000 description 4
- 238000012216 screening Methods 0.000 description 4
- 238000001914 filtration Methods 0.000 description 3
- 238000007726 management method Methods 0.000 description 3
- 230000004888 barrier function Effects 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 238000003672 processing method Methods 0.000 description 2
- 101001094649 Homo sapiens Popeye domain-containing protein 3 Proteins 0.000 description 1
- 101000608234 Homo sapiens Pyrin domain-containing protein 5 Proteins 0.000 description 1
- 101000578693 Homo sapiens Target of rapamycin complex subunit LST8 Proteins 0.000 description 1
- 101000597193 Homo sapiens Telethonin Proteins 0.000 description 1
- 102100039889 Pyrin domain-containing protein 5 Human genes 0.000 description 1
- 102100035155 Telethonin Human genes 0.000 description 1
- 241000700605 Viruses Species 0.000 description 1
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000005111 flow chemistry technique Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 230000002441 reversible effect Effects 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1095—Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了会话记录生成方法、装置及存储介质,所述会话记录生成方法包括获取业务数据流的镜像流量;将所述镜像流量传输至防火墙,以使得所述防火墙基于所述镜像流量生成会话记录,所述镜像流量中的数据包包括五元组信息;其中,所述防火墙用于当所述镜像流量中的数据包未被会话表命中,并且被允许通过所述防火墙时,为所述数据包生成会话记录;将所述会话记录存入所述会话表中。本发明通过镜像流量的方式触发防火墙生成会话记录,从而纵使镜像流量对应的原始的业务数据流并未通过所述防火墙,所述防火墙依然可以针对所述业务数据流得到适配的会话记录,不需要进行会话记录同步,绕过了现有技术的会话记录共享障碍。
Description
技术领域
本发明涉及通信安全领域,尤其涉及会话记录生成方法、装置及存储介质。
背景技术
随着产业互联网、数字化的迅速发展,各行各业的内部数据都面临安全威胁,因此网络安全越来越重要,现有技术通常需要在网络边界部署防火墙,从而保障公司内部网络不被外部轻易入侵。为了适应业务流量较大的场景,现有技术中可以使用防火墙集群来增加对内外网的安全隔离,其中,每个防火墙可以基于会话表对于经过防火墙的网络流量进行过滤,数据包如果被记录在会话表中的会话记录命中,则防火墙允许所述数据包通过,而未被会话表中的会话记录命中的数据包,防火墙可能对其进行再分析甚至阻断,从而达到维护网络安全的目的。
通常情况下,只有在数据包被防火墙允许通过的情景中,才触发防火墙生成一条会话记录,这在防火墙集群中可能带来会话记录的共享障碍。数据包A流经防火墙A在防火墙A的会话表中可以生成一条会话记录,因此,防火墙A可以根据所述会话记录快速得到与数据包A具有相同会话记录的其它数据包的通行决策;但是防火墙集群中除去防火墙A之外的其它防火墙难以得到所述会话记录,因此无法基于会话表直接得到对于与数据包A具有相同会话记录的其它数据包的通行决策。
当然,为了实现会话记录的共享,现有技术也可以基于私有协议在不同的防火墙之间对会话记录进行交互,但是私有协议不具有普适性,并且使用成本过高,也对防火墙组网带来了新的障碍。
发明内容
为了在业务数据流不经过防火墙的场景下,不依赖于防火墙同步模式同样能够使得防火墙针对并没有实际流经所述防火墙的业务数据流生成会话记录,本发明实施例提供会话记录生成方法、装置及存储介质。
一方面,本发明提供了一种会话记录生成方法,所述方法包括:
获取业务数据流的镜像流量;
将所述镜像流量传输至防火墙,以使得所述防火墙基于所述镜像流量生成会话记录,所述镜像流量中的数据包包括五元组信息;其中,所述防火墙用于当所述镜像流量中的数据包未被会话表命中,并且被允许通过所述防火墙时,为所述数据包生成会话记录;
将所述会话记录存入所述会话表中。
另一方面,本发明提供一种会话记录生成装置,所述装置包括:
镜像流量获取模块,用于获取业务数据流的镜像流量;
镜像流量发送模块,用于将所述镜像流量传输至防火墙,以使得所述防火墙基于所述镜像流量生成会话记录,所述镜像流量中的数据包包括五元组信息;其中,所述防火墙用于当所述镜像流量中的数据包未被会话表命中,并且被允许通过所述防火墙时,为所述数据包生成会话记录;
会话记录管理模块,用于将所述会话记录存入所述会话表中。
另一方面,本发明提供了一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有至少一条指令或至少一段程序,所述至少一条指令或至少一段程序由处理器加载并执行以实现上述的会话记录生成方法。
本发明提供了会话记录生成方法、装置及存储介质。本发明通过镜像流量的方式触发防火墙生成会话记录,将这种会话记录存储在会话表中。从而纵使镜像流量对应的原始的业务数据流并未通过所述防火墙,所述防火墙依然可以针对所述业务数据流得到适配的会话记录,不需要所述镜像流量对应的原始的业务数据流流经的其它防火墙向所述防火墙进行会话记录同步,绕过了现有技术的会话记录共享障碍。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案和优点,下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它附图。
图1是本发明提供的一种会话记录生成方法进行数据处理的方法的实施环境示意图;
图2是本发明提供的一种会话记录生成方法流程图;
图3是本发明提供的基于设备支持得到镜像流量的流程图;
图4是本发明提供的将所述镜像流量传输至防火墙,以使得所述防火墙基于所述镜像流量生成会话记录的流程图;
图5是本发明提供的根据所述五元组信息生成会话记录流程图;
图6是本发明提供的一种基于会话记录进行数据处理的方法流程图;
图7是本发明提供的一种会话记录生成装置框图;
图8是本发明提供的数据处理相关模块的框图;
图9是本发明提供的一种用于实现本发明实施例所提供的方法的设备的硬件结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或服务器不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
为了使本发明实施例公开的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明实施例进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本发明实施例,并不用于限定本发明实施例。
以下,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。在本实施例的描述中,除非另有说明,“多个”的含义是两个或两个以上。为了便于理解本发明实施例所述的技术方案及其产生的技术效果,本发明实施例首先对于相关专业名词进行解释:
防火墙:防火墙是指架设在企业内网与外部网络之间的一种安全设备,对两个网络之间互访流量进行安全检查,保障企业内网安全。
防火墙策略:指防火墙上配置的允许或禁止数据包通过的规则,也可以被理解为数据包的通行策略,所述防火墙策略规则可以匹配数据包的多个属性,包括但不限于源IP、目的IP、协议、端口号等内容。
会话(session):当数据包流经防火墙,被所述防火墙策略允许通过后,防火墙可以根据所述数据包的相关信息生成一条会话记录,所述会话记录被存储在会话表中进行管理,所述会话表可以被配置为白名单,若流经所述防火墙的数据包被所述会话表命中,则可以顺利通过所述防火墙。
镜像流量:是指将流经某个设备的流量基于预设条件按需完整复制或截取部分信息,并输送到其他指定接收设备上做流量处理的流量。比如,可以从端口、VLAN等维度对流量进行复制或截取从而得到镜像流量,本发明实施例中也将其称之为镜像数据流。
VLAN:虚拟局域网(Virtual Local Area Network)是一组逻辑上的设备和用户,这些设备和用户并不受物理位置的限制,可以根据功能、部门及应用等因素将它们组织起来,相互之间的通信就好像它们在同一个网段中一样。VLAN工作在开放式系统互联(OSI模型)的第2层和第3层,一个VLAN就是一个广播域,VLAN之间的通信是通过第3层的路由器来完成的。在计算机网络中,一个二层网络可以被划分为多个不同的广播域,默认情况下这些不同的广播域是相互隔离的。不同的广播域之间想要通信,需要通过一个或多个路由器。这样的一个广播域就称为VLAN。
IP:本实施例中IP指IP地址(Internet Protocol Address)是指互联网协议地址,是IP协议提供的一种统一的地址格式,它为互联网上的每一个网络和每一台主机分配一个逻辑地址,以此来屏蔽物理地址的差异。
本实施例中术语“逻辑”包括用于执行任务的任何物理和有形功能。例如,流程图中所示的每个操作对应于用于执行该操作的逻辑组件。可以使用例如在计算机设备上运行的软件、硬件(例如,芯片实现的逻辑功能)等、和/或其任何组合来执行操作。当由计算设备实现时,逻辑组件表示作为无论以何种方式实现的计算机系统的物理部分的电组件。
本实施例中术语“配置为”或者短语“被配置为”包括可以构造任何种类的物理和有形的功能以执行标识的操作的任何方式。功能可以被配置为使用例如在计算机设备上运行的软件、硬件(例如,芯片实现的逻辑功能)等、和/或其任何组合来执行操作。
本实施例中术语“流量”在本实施例中为基于用户在某一种输入计算机系统可识别的操作指令并通过无线网络、有线网络、Internet访问能够响应用户发起的访问请求,以建立会话关系的过程中在对端之间所形成的数据流,此种数据流既可以是报文(Message)在目的端(Destination)与源端(Source)之间的转发所形成,也可以基于特定的数据块或者文件在对端之间所形成的数据流。
现有技术中,通常在真实的业务数据流经过防火墙后才能在防火墙生成会话记录,业务数据流未经过的防火墙则无法生成会话记录。在实际的组网环境中,为了实现业务容灾,很多场景中需要部署多台或多套防火墙,这个场景下无论将防火墙配置为主备模式(正常只有主墙工作,故障时切换为备墙工作),还是双活模式(两台防火墙同时工作),一条业务数据流都会只经过一台防火墙A,只有防火墙A能自动生成针对所述业务数据流的会话记录,其它防火墙B无法自动生成所述业务数据流相关的会话记录,为了使得其它防火墙B可以共享防火墙A的会话记录,现有技术中只能够通过设置防火墙同步模式来达到目的。防火墙同步模式,需要设置两台防火墙之间专用心跳线,采用私有协议进行通信,这显然受制于防火墙的厂商,无法实现不同厂商的防火墙混合使用,从而带来了会话记录的共享障碍。
为了在业务数据流不经过防火墙的场景下,不依赖于防火墙同步模式同样能够使得防火墙针对并没有实际流经所述防火墙的业务数据流生成会话记录,本发明实施例提供一种会话记录生成方法方法。
首先,本发明实施例公开了在一个可行的实施例中所述一种会话记录生成方法的实施环境。
本发明实施例中的一种会话记录生成方法可以被广泛应用于云安全场景之中,云安全(Cloud Security)是指基于云计算商业模式应用的安全软件、硬件、用户、机构、安全云平台的总称。云安全融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,可以通过网状的大量客户端对网络中软件行为和异常流量的异常监测。
参见图1,该实施环境包括:内网环境01、防火墙03和外网环境05。
所述防火墙03设置于内网环境01和外网环境05之间,所述防火墙03可以接收第一业务数据流,和/或,第二业务数据流对应的镜像流量,根据接收到的数据流和镜像流量生成会话记录,进而实施数据过滤,从而维护内网环境01的安全。本发明实施例不限定第一业务数据流和第二业务数据流的数量以及流向,将流经所述防火墙03的数据流确定为第一业务数据流,将不流经所述防火墙03并且其镜像流量流经所述防火墙03的数据流确定为第二业务数据流。
本发明实施例并不限定内网环境01和外网环境05的组网模式,其可以通过交换机、路由器、网关等常用组网组件进行组网。
本发明实施例提供一种会话记录生成方法,如图2所示,所述方法包括:
S101.获取业务数据流的镜像流量。
为了降低镜像流量的传输成本,以使得镜像流量适应防火墙生成会话记录的实际需求,在一个实施例中,可以对数据流进行截取,所述获取业务数据流的镜像流量,包括:截取所述业务数据流中各个数据包的报文头,基于所述报文头形成的数据流得到镜像流量。
在一个可行的实施例中,可以基于分光模式获取业务数据流的镜像流量。在大带宽通信场景下可以使用光通信传输数据,光信号中携带数据信息,通过分光实现数据的分发,比如使用Y型分光器,将携带业务数据的光路一分为二,其中一路沿原始光路被传送至目标接收设备,一路作为镜像数据流被传输至镜像流量的接收设备,从而将业务数据按照1:1镜像复制了一份到镜像流量的接收设备。
在一个实施场景中,在第一网络设备和第二网络设备的之间设置网络分光器,所述第一网络设备的业务数据流流入第二网络设备,所述第一网络设备和第二网络设备可以是服务器、路由器、交换机、网关或集线器,本发明实施例对此不作限定。
网络分光器用于对通过光纤传输的数据进行复制,即原来的业务数据流正常流通,同时将途径所述网络分光器的流量复制出来作为镜像流量传输至步骤S103中的防火墙。
在一个可行的实施例中,还可以基于设备支持得到镜像流量。具体地,所述获取业务数据流的镜像流量,如图3所示,包括:
在预设网络设备上配置镜像流量参数,所述镜像流量参数包括镜像流量生成参数和镜像流量流向参数;以使得所述预设网络设备根据所述镜像流量生成参数和所述业务数据流生成镜像流量,将所述镜像流量传输至所述镜像流量流向参数指向的防火墙。
在一个实施例中,可以通过设置镜像流量生成参数限定镜像流量生成规则,从而达到对业务数据流进行筛选,根据筛选结果生成镜像流量的目的,通过数据过滤屏蔽掉无用数据,可以显著降低镜像流量传输成本,也减轻了步骤S103中防火墙的负担。
具体地,所述镜像流量生成规则可以是一条规则,也可以由多条规则组成;可以设定满足所有规则或是一定数量的规则;在具体实现中,还可以采用任意适用的规则,本申请对此并不做限制。
在一个实施例中,所述镜像流量生成规则可以包括数据五元组筛选规则、特征数据筛选规则、特征数据行为特征筛选规则中的一个或其组合。
所述数据五元组指源IP地址,源端口,目的IP地址,目的端口和通信协议,本发明实施例可以对五元组进行筛选。
所述特征数据筛选规则可以通过判断数据中是否存在特征数据,来进行筛选;
所述特征数据行为特征筛选规则可以通过判断数据中的特征数据的行为特征是否满足预设条件,来进行筛选;所述行为特征包括出现次数、出现频率、出现密集程度等,本发明实施例对此不作限定。
具体地,可以基于抓包工具的支持得到镜像流量,所述抓包工具可以对协议进行筛选,所述协议包括但不限于Ethernet、IPv4、IPv6、UDP、TCP、SCTP、ARP、RARP、DHCP、DHCPv6、ICMP、ICMPv6、IGMP、DNS、LLDP、RSVP、FTP、NETBIOS、GRE、IMAP、POP3、RTCP、RTP、SSH、TELNET、NTP、LDAP、XMPP、VLAN、VXLAN、BGP、OSPF、SMB3、iSCSI、OpenFlow、SIP、SDP、MSRP、MGCP、H.245、H.323、Q.931/H.225、SCCP、SCMG、SS7 ISUP、TCAP、GSM、M2UA、M2PA、CAPWAP、IEEE 802.11。
S103.将所述镜像流量传输至防火墙,以使得所述防火墙基于所述镜像流量生成会话记录;其中,所述防火墙用于当所述镜像流量中的数据包未被会话表命中,并且被允许通过所述防火墙时,为所述数据包生成会话记录。
在一个实施例中,所述将所述镜像流量传输至防火墙,以使得所述防火墙基于所述镜像流量生成会话记录,如图4所示,包括:
S1031.获取所述镜像流量中的数据,所述数据包括五元组信息。
在一个实施例中,镜像流量中的数据仅仅包括业务数据流中的数据的报文头,报文头中包括五元组信息,而报文体并不被镜像,从而为防火墙进行减负,降低冗余数据占用的流量。
S1033.根据所述五元组信息查看会话表,得到查看结果;所述会话表用于存储会话记录,被所述会话记录命中的数据则被允许通过所述防火墙。
S1035.若所述查看结果表征所述会话表中不存在与所述五元组信息匹配的会话记录,则根据预设的防火墙策略判断所述数据是否符合通行条件。
若所述查看结果表征所述会话表中存在与所述五元组信息匹配的会话记录,则表征所述数据被防火墙允许通过。但是所述数据是镜像流量中的数据,事实上并不需要通过防火墙,防火墙也可以将其丢弃。
在一个可行的实施例中,所述会话表包括超时时间,若所述查看结果表征所述会话表中存在与所述五元组信息匹配的会话记录,则刷新所述会话记录中的超时时间。
S1037.若符合,则根据所述五元组信息生成会话记录。
若不符合,则表征所述数据不符合通行条件,直接丢弃所述数据即可。
本发明实施例中,不论所述数据被允许通过防火墙还是不被允许通过防火墙,所述数据都被丢弃,镜像流量中的数据被丢弃不会影响对原始的业务数据流的处理。但是不同的是,未被会话记录命中并且被允许通过防火墙的数据的五元组会触发生成会话记录。
在一个实施例中,所述根据所述五元组信息生成会话记录,如图5所示,包括:
S10371.根据所述五元组信息中的源IP地址和布设在防火墙上的路由表确定所述源IP地址指向的源域属性。
S10373.根据所述五元组信息中的目的IP地址和布设在防火墙上的路由表确定所述目的IP地址指向的目的域属性。
S10375.根据所述五元组信息、源域属性和目的域属性生成会话记录。
具体地,在一个实施例中,所述会话记录还包括超时时间以及数据流向,所述数据流向根据所述源域属性和目的域属性唯一确定。
具体地,所述源域属性包括信任域或非信任域,所述目的域属性也包括信任域或非信任域。
表1为路由表的节选示例,若源IP地址为200.100.0.0,则源域属性为untrust,即非信任域;若目的IP地址为10.1.0.0,则目的域属性为trust,即信任域,则数据流向即为非信任域流向信任域。
表1
| 目的IP网段 | 掩码 | 下一跳IP | 安全域 |
| 200.100.0.0 | 255.255.0.0 | 10.0.0.1 | untrust |
| 10.1.0.0 | 255.255.0.0 | 10.0.0.6 | trust |
本发明实施例中由于镜像流量中的数据仅仅包括业务数据流中数据包的报文头,因此可能造成部分属性的丢失,但是五元组信息是完备的,因此在防火墙可以通过路由表反向分析得到域属性以及数据流向等信息,从而生成属性较为完备的会话记录,既降低了流量传输成本和数据处理成本,又兼顾了会话记录的生成质量。本发明实施例以五元组信息作为生成会话记录的基础信息,可以被广泛适用于数据流经防火墙时五元组信息不发生变动的场景之中。
S105.将所述会话记录存入所述会话表中。
本发明提供的一种会话记录生成方法,可以通过镜像流量的方式触发防火墙生成会话记录,将这种会话记录存储在会话表中。从而纵使镜像流量对应的原始的业务数据流并未通过所述防火墙,所述防火墙依然可以针对所述业务数据流得到适配的会话记录,不需要所述镜像流量对应的原始的业务数据流流经的其它防火墙向所述防火墙进行会话记录同步,绕过了现有技术的会话记录共享障碍。这种技术方案可以在不需要在防火墙之间进行会话记录共享的前提下实现会话记录的同步,从而可以支持不同品牌不同型号的防火墙的自由组网。
当然,还可以通过优化防火墙的接口,使得调用所述防火墙的接口的上一级逻辑可以实现会话表的共享,或者待行业内多防火墙厂商可以基于会话记录共享提供具备兼容性的协议,也有可能解决会话记录同步时的共享障碍问题。
本发明实施例还进一步地可以根据会话记录进行数据处理,如图6所示,包括:
S201.获取待转发业务数据流。
本发明实施例中可以将真实的待转发业务数据流称为第一业务数据流,将产生镜像流量的数据流称之为第二业务镜像数据流,本发明实施例中不限定第一业务数据流和第二业务镜像数据流的数量,所述第二业务镜像数据流对应的第二业务数据流并未通过所述防火墙,可以通过其它防火墙访问内网环境或外网环境,所述第一业务数据流为通过所述防火墙的真实的业务数据流。
S203.查询所述待转发业务数据流中的数据是否被所述会话表命中。
具体地,所述会话表中的全部或部分会话记录可以基于所述第一业务数据流和所述第二业务镜像数据流触发产生。
具体地,会话表中产生会话记录的方式可以参考前文所述,在此不再赘言。
S205.若被命中,则转发所述待转发业务数据流中的数据。
进一步地,若被命中,还包括,刷新目标会话记录中的超时时间,所述目标会话记录为所述会话表中命中所述数据的会话记录。
若未被命中,则根据预设的防火墙策略判断所述数据是否符合通行条件,若不符合,则直接丢弃所述数据,若符合,则转发所述数据,并根据所述数据生成会话记录,将所述会话记录添加至所述会话表之中。
具体地会话记录生成方法可以参考前文所述,在此不再赘言。
本发明实施例公开的数据处理方法可以基于会话表对数据进行处理,而会话表可以基于真实的业务数据和镜像数据而得到,从而可以使得防火墙的会话表包括更多的白名单信息,提升防火墙对于数据的过滤能力。
本发明实施例进一步公开了一种会话记录生成装置,如图7所示,所述装置包括:
镜像流量获取模块301,用于获取业务数据流的镜像流量;
镜像流量发送模块303,用于将所述镜像流量传输至防火墙,以使得所述防火墙基于所述镜像流量生成会话记录;其中,所述防火墙用于当所述镜像流量中的数据包未被会话表命中,并且被允许通过所述防火墙时,为所述数据包生成会话记录;
会话记录管理模块305,用于将所述会话记录存入所述会话表中。
如图8所示,所述装置还包括:
待转发业务数据流获取模块307,用于获取待转发业务数据流;
查询模块309,用于查询所述待转发业务数据流中的数据是否被所述会话表命中;
转发模块3011,用于转发所述待转发业务数据流中的数据。
具体地,本发明实施例公开一种会话记录生成装置与上述对应的方法实施例均基于相同发明构思。详情请参见方法实施例,在此不再赘述。
本发明实施例还提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行上述会话记录生成方法。
本发明实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质可以存储有多条指令。所述指令可以适于由处理器加载并执行本发明实施例所述的会话记录生成方法。
进一步地,图9示出了一种用于实现本发明实施例所提供的方法的设备的硬件结构示意图,所述设备可以参与构成或包含本发明实施例所提供的装置或系统。如图9所示,设备10可以包括一个或多个(图中采用102a、102b,……,102n来示出)处理器102(处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)、用于存储数据的存储器104、以及用于通信功能的传输装置106。除此以外,还可以包括:显示器、输入/输出接口(I/O接口)、通用串行总线(USB)端口(可以作为I/O接口的端口中的一个端口被包括)、网络接口、电源和/或相机。本领域普通技术人员可以理解,图9所示的结构仅为示意,其并不对上述电子装置的结构造成限定。例如,设备10还可包括比图9中所示更多或者更少的组件,或者具有与图9所示不同的配置。
应当注意到的是上述一个或多个处理器102和/或其他数据处理电路在本文中通常可以被称为“数据处理电路”。该数据处理电路可以全部或部分的体现为软件、硬件、固件或其他任意组合。此外,数据处理电路可为单个独立的处理模块,或全部或部分的结合到设备10(或移动设备)中的其他元件中的任意一个内。如本申请实施例中所涉及到的,该数据处理电路作为一种处理器控制(例如与接口连接的可变电阻终端路径的选择)。
存储器104可用于存储应用软件的软件程序以及模块,如本发明实施例中所述的方法对应的程序指令/数据存储装置,处理器102通过运行存储在存储器104内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的会话记录生成方法。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器102远程设置的存储器,这些远程存储器可以通过网络连接至设备10。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输装置106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括设备10的通信供应商提供的无线网络。在一个实例中,传输装置106包括一个网络适配器(NetworkInterfaceController,NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输装置106可以为射频(RadioFrequency,RF)模块,其用于通过无线方式与互联网进行通讯。
显示器可以例如触摸屏式的液晶显示器(LCD),该液晶显示器可使得用户能够与设备10(或移动设备)的用户界面进行交互。
需要说明的是:上述本发明实施例先后顺序仅仅为了描述,不代表实施例的优劣。且上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置和服务器实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种会话记录生成方法,其特征在于,所述方法包括:
获取业务数据流的镜像流量;
将所述镜像流量传输至防火墙,以使得所述防火墙基于所述镜像流量生成会话记录,所述镜像流量中的数据包包括五元组信息;其中,所述防火墙用于当所述镜像流量中的数据包未被会话表命中,并且被允许通过所述防火墙时,为所述数据包生成会话记录;
将所述会话记录存入所述会话表中。
2.根据权利要求1所述的方法,其特征在于:
所述获取业务数据流的镜像流量,包括:截取所述业务数据流中各个数据包的报文头,基于所述报文头形成的数据流得到镜像流量。
3.根据权利要求1或2所述的方法,其特征在于:
基于分光模式获取业务数据流的镜像流量,或,基于设备支持得到镜像流量;
所述基于设备支持得到镜像流量,包括:在预设网络设备上配置镜像流量参数,所述镜像流量参数包括镜像流量生成参数和镜像流量流向参数;以使得所述预设网络设备根据所述镜像流量生成参数和所述业务数据流生成镜像流量,将所述镜像流量传输至所述镜像流量流向参数指向的防火墙。
4.根据权利要求1或2所述的方法,其特征在于,所述将所述镜像流量传输至防火墙,以使得所述防火墙基于所述镜像流量生成会话记录,包括:
获取所述镜像流量中的数据,所述数据包括五元组信息;
根据所述五元组信息查看会话表,得到查看结果;所述会话表用于存储会话记录,被所述会话记录命中的数据则被允许通过所述防火墙;
若所述查看结果表征所述会话表中不存在与所述五元组信息匹配的会话记录,则根据预设的防火墙策略判断所述数据是否符合通行条件;
若符合,则根据所述五元组信息生成会话记录。
5.根据权利要求4所述的方法,其特征在于,所述根据所述五元组信息生成会话记录,包括:
根据所述五元组信息中的源IP地址和布设在防火墙上的路由表确定所述源IP地址指向的源域属性;
根据所述五元组信息中的目的IP地址和布设在防火墙上的路由表确定所述目的IP地址指向的目的域属性;
根据所述五元组信息、源域属性和目的域属性生成会话记录。
6.根据权利要求4所述的方法,其特征在于,在所述根据所述五元组信息查看会话表,得到查看结果之后,还包括:
若所述查看结果表征所述会话表中存在与所述五元组信息匹配的会话记录,则直接丢弃所述数据;
所述数据符合或不符合所述通行条件,均丢弃所述数据。
7.根据权利要求1所述的方法,其特征在于,还包括:
获取待转发业务数据流;
查询所述待转发业务数据流中的数据是否被所述会话表命中;
若被命中,则转发所述待转发业务数据流中的数据。
8.一种会话记录生成装置,其特征在于,所装置包括:
镜像流量获取模块,用于获取业务数据流的镜像流量;
镜像流量发送模块,用于将所述镜像流量传输至防火墙,以使得所述防火墙基于所述镜像流量生成会话记录,所述镜像流量中的数据包包括五元组信息;其中,所述防火墙用于当所述镜像流量中的数据包未被会话表命中,并且被允许通过所述防火墙时,为所述数据包生成会话记录;
会话记录管理模块,用于将所述会话记录存入所述会话表中。
9.根据权利要求8所述的装置,其特征在于,所述装置还包括:
待转发业务数据流获取模块,用于获取待转发业务数据流;
查询模块,用于查询所述待转发业务数据流中的数据是否被所述会话表命中;
转发模块,用于转发所述待转发业务数据流中的数据。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有至少一条指令或至少一段程序,所述至少一条指令或至少一段程序由处理器加载并执行以实现如权利要求1所述一种会话记录生成方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010740184.0A CN111953748B (zh) | 2020-07-28 | 2020-07-28 | 会话记录生成方法、装置及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010740184.0A CN111953748B (zh) | 2020-07-28 | 2020-07-28 | 会话记录生成方法、装置及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111953748A true CN111953748A (zh) | 2020-11-17 |
| CN111953748B CN111953748B (zh) | 2024-03-19 |
Family
ID=73338733
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010740184.0A Active CN111953748B (zh) | 2020-07-28 | 2020-07-28 | 会话记录生成方法、装置及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111953748B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113076462A (zh) * | 2021-03-25 | 2021-07-06 | 恒安嘉新(北京)科技股份公司 | 网络会话数据查询方法、装置、设备及介质 |
| CN113922984A (zh) * | 2021-09-02 | 2022-01-11 | 成都安恒信息技术有限公司 | 一种客户端应用的网络访问识别和管控方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060195896A1 (en) * | 2004-12-22 | 2006-08-31 | Wake Forest University | Method, systems, and computer program products for implementing function-parallel network firewall |
| US9641485B1 (en) * | 2015-06-30 | 2017-05-02 | PacketViper LLC | System and method for out-of-band network firewall |
| CN110995768A (zh) * | 2019-12-31 | 2020-04-10 | 奇安信科技集团股份有限公司 | 构建及生成防火墙方法、装置、设备、介质及程序产品 |
-
2020
- 2020-07-28 CN CN202010740184.0A patent/CN111953748B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060195896A1 (en) * | 2004-12-22 | 2006-08-31 | Wake Forest University | Method, systems, and computer program products for implementing function-parallel network firewall |
| US9641485B1 (en) * | 2015-06-30 | 2017-05-02 | PacketViper LLC | System and method for out-of-band network firewall |
| CN110995768A (zh) * | 2019-12-31 | 2020-04-10 | 奇安信科技集团股份有限公司 | 构建及生成防火墙方法、装置、设备、介质及程序产品 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113076462A (zh) * | 2021-03-25 | 2021-07-06 | 恒安嘉新(北京)科技股份公司 | 网络会话数据查询方法、装置、设备及介质 |
| CN113076462B (zh) * | 2021-03-25 | 2024-04-30 | 恒安嘉新(北京)科技股份公司 | 网络会话数据查询方法、装置、设备及介质 |
| CN113922984A (zh) * | 2021-09-02 | 2022-01-11 | 成都安恒信息技术有限公司 | 一种客户端应用的网络访问识别和管控方法 |
| CN113922984B (zh) * | 2021-09-02 | 2024-02-02 | 成都安恒信息技术有限公司 | 一种客户端应用的网络访问识别和管控方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111953748B (zh) | 2024-03-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10075393B2 (en) | Packet routing using a software-defined networking (SDN) switch | |
| US9825868B2 (en) | Incremental application of resources to network traffic flows based on heuristics and business policies | |
| US7937755B1 (en) | Identification of network policy violations | |
| US7769851B1 (en) | Application-layer monitoring and profiling network traffic | |
| US8117301B2 (en) | Determining connectivity status for unnumbered interfaces of a target network device | |
| CN111371740B (zh) | 一种报文流量监控方法、系统及电子设备 | |
| US11115309B1 (en) | External network route advertisement validation | |
| CN111953748B (zh) | 会话记录生成方法、装置及存储介质 | |
| CN107637053B (zh) | 网络环境中可扩展的网络地址转换 | |
| di Lallo et al. | How to handle ARP in a software-defined network | |
| CN108353027B (zh) | 一种用于检测端口故障的软件定义网络系统及方法 | |
| Bonola et al. | StreaMon: A data-plane programming abstraction for software-defined stream monitoring | |
| US10756966B2 (en) | Containerized software architecture for configuration management on network devices | |
| US11134099B2 (en) | Threat response in a multi-router environment | |
| Pawar et al. | Segmented proactive flow rule injection for service chaining using SDN | |
| CN110351159B (zh) | 一种跨内网的网络性能测试方法及装置 | |
| Cisco | debug aaa - debug ip | |
| Cisco | Debug Commands | |
| Cisco | Debug Commands | |
| Cisco | Debug Commands | |
| Cisco | Debug Commands | |
| Cisco | Debug Commands | |
| Cisco | Debug Commands | |
| Cisco | Debug Commands | |
| Cisco | debug aaa - debug ip |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |