CN113709052B - 一种网络报文的处理方法、装置、电子设备和存储介质 - Google Patents
一种网络报文的处理方法、装置、电子设备和存储介质 Download PDFInfo
- Publication number
- CN113709052B CN113709052B CN202010437908.4A CN202010437908A CN113709052B CN 113709052 B CN113709052 B CN 113709052B CN 202010437908 A CN202010437908 A CN 202010437908A CN 113709052 B CN113709052 B CN 113709052B
- Authority
- CN
- China
- Prior art keywords
- network
- message
- network message
- target transmission
- processing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000003672 processing method Methods 0.000 title abstract description 14
- 230000005540 biological transmission Effects 0.000 claims abstract description 155
- 238000000034 method Methods 0.000 claims abstract description 41
- 230000015654 memory Effects 0.000 claims description 27
- 238000001914 filtration Methods 0.000 description 20
- 230000006870 function Effects 0.000 description 19
- 230000000875 corresponding effect Effects 0.000 description 18
- 230000008569 process Effects 0.000 description 11
- 238000006243 chemical reaction Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 230000005291 magnetic effect Effects 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 230000000295 complement effect Effects 0.000 description 2
- 230000001276 controlling effect Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 229910044991 metal oxide Inorganic materials 0.000 description 2
- 150000004706 metal oxides Chemical class 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000005457 optimization Methods 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 239000002360 explosive Substances 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 230000005294 ferromagnetic effect Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例公开了一种网络报文的处理方法、网络报文的处理装置、电子设备和计算机存储介质,方法包括:获得虚拟机网络接口传输的网络报文;从预设策略集合中查找与网络报文关联的目标传输策略,得到查找结果;基于查找结果,对网络报文进行处理。如此,无需对网络报文数据按照规则链进行规则逐条匹配方式,提高了网络报文匹配效率和转发效率,减少对虚拟化计算节点CPU性能的占用,提升了虚拟机网络吞吐性能以及减少网络抖动延时。
Description
技术领域
本申请涉及电子与信息技术领域,尤其是涉及一种网络报文的处理方法、网络报文的处理装置、电子设备和存储介质。
背景技术
近年来,随着全球数据量的爆炸式增长,云计算得到越来越多企业的关注和重视。云计算中的虚拟机安全组是一系列网络安全策略的集合,限定虚拟机通过的网络流量的类型和方向。因此,在云端设置虚拟机安全组提供类似虚拟防火墙功能,并对设置在安全组的单个或多个云服务器(Elastic Compute Service,ECS)实例的出方向和入方向进行网络控制尤为重要。
相关技术中对于虚拟机安全组规则通过linux操作系统中的Netfilter组件包含的Iptables组件实现对传输的网络报文连接请求均按照安全规则链中自上而下的规则进行逐条匹配方式,实现安全组功能,该方法导致网络报文转发效率低,消耗虚拟化计算节点CPU性能,虚拟机网络吞吐性能低以及网络抖动延时增大的问题。
发明内容
本申请实施例期望提供一种网络报文的处理方法、网络报文的处理装置、电子设备和存储介质,解决相关技术对网络报文转发效率低,易消耗虚拟化计算节点CPU性能,虚拟机网络吞吐性能低以及网络抖动延时增大的问题。
本申请的技术方案是这样实现的:
本申请实施例提供一种网络报文的处理方法,所述方法包括:
获得虚拟机网络接口传输的网络报文;
从预设策略集合中查找与所述网络报文关联的目标传输策略,得到查找结果;
基于所述查找结果,对所述网络报文进行处理。
可选的,所述基于所述查找结果,对所述网络报文进行处理,包括:
若所述查找结果表征所述预设策略集合中存在与所述网络报文关联的所述目标传输策略,基于所述目标传输策略对所述网络报文进行处理。
可选的,所述基于所述查找结果,对所述网络报文进行处理,包括:
若所述查找结果表征所述预设策略集合中不存在与所述网络报文关联的所述目标传输策略,提取所述网络报文中与所述虚拟机网络接口关联的报文信息;
基于所述报文信息,确定所述目标传输策略;
基于所述目标传输策略对所述网络报文进行处理。
可选的,所述基于所述报文信息,确定所述目标传输策略,包括:
基于所述报文信息,从预设的多个规则链中确定所述网络报文对应的目标规则链;
基于所述报文信息和所述目标规则链,确定所述目标传输策略。
可选的,所述基于所述报文信息和所述目标规则链,确定所述目标传输策略,包括:
若所述目标规则链关联的多个传输策略中存在与所述报文信息匹配的策略,确定所述匹配的策略为所述目标传输策略。
可选的,所述基于所述报文信息和所述目标规则链,确定所述目标传输策略,包括:
若所述目标规则链关联的多个传输策略中不存在与所述报文信息匹配的策略,生成用于丢弃所述网络报文的所述目标传输策略。
可选的,所述基于所述报文信息,确定所述目标传输策略之后,所述方法还包括:
将所述目标传输策略写入所述预设策略集合中。
本申请实施例提供一种网络报文的处理装置,所述装置包括:
获得单元,用于获得虚拟机网络接口传输的网络报文;
第一处理单元,用于从预设策略集合中查找与所述网络报文关联的目标传输策略,得到查找结果;
第二处理单元,用于基于所述查找结果,对所述网络报文进行处理。
本申请实施例提供一种电子设备,所述电子设备包括:
存储器,用于存储可执行指令;
处理器,用于执行所述存储器中存储的可执行指令,实现上述所述的网络报文的处理方法。
本申请实施例提供一种计算机存储介质,所述计算机存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现上述所述的网络报文的处理方法。
本申请提供一种网络报文的处理方法、网络报文的处理装置、电子设备和存储介质,其中,网络报文的处理方法包括获得虚拟机网络接口传输的网络报文;从预设策略集合中查找与网络报文关联的目标传输策略,得到查找结果;基于查找结果,对网络报文进行处理;也就是说,本申请中从预设策略集合中得到与虚拟机网络接口传输的网络报文存在关联关系的目标传输策略的查找结果,基于查找结果,对网络报文进行处理。如此,无需对网络报文数据按照规则链进行规则逐条匹配方式,提高了网络报文匹配效率和转发效率,减少对虚拟化计算节点CPU性能的占用,提升了虚拟机网络吞吐性能以及减少网络抖动延时,进一步地,还可以避免对虚拟机同一条规则连接的所有网络报文进行安全组规则过滤;且随着虚拟机安全组规则数量的增多,虚拟机网络吞吐性能将不受虚拟机安全组规则数量影响,面向连接的网络吞吐转发处理效率显著。
附图说明
图1为本申请实施例提供的一种网络报文的处理方法的流程示意图;
图2为本申请实施例提供的另一种网络报文的处理方法的流程示意图;
图3为本申请实施例提供的一种安全组规则变更的时序示意图;
图4为本申请实施例提供的又一种网络报文的处理方法的流程示意图;
图5为本申请实施例提供的一种网络报文的处理装置的结构示意图;
图6为本申请实施例提供的一种电子设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,这里,关于附图说明中提到的“另一种”或“又一种”并非指特定某个实施例,本申请的各个实施例可以在不冲突的情况下相互结合。
应理解,说明书通篇中提到的“本申请实施例”或“前述实施例”意味着与实施例有关的特定特征、结构或特性包括在本申请的至少一个实施例中。因此,在整个说明书各处出现的“本申请实施例中”或“在前述实施例中”未必一定指相同的实施例。此外,这些特定的特征、结构或特性可以任意适合的方式结合在一个或多个实施例中应用。在本申请的各种实施例中,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。
为了便于理解,首先对本申请实施例中的相关术语进行介绍。
OpenStack云计算管理平台虚拟网络Neutron组件通过在linux Iptables filter表FORWARD规则链添加针对虚拟机流量出向入向Iptables规则,实现虚拟机安全组功能。这里,OpenStack是一个开源的云计算管理平台,提供底层基础设施管理,涉及计算资源、网络资源、存储资源等。
Neutron,OpenStack提供的网络虚拟化功能组件,提供虚拟路由器、虚拟防火墙、虚拟负载均衡器、虚拟机安全组等虚拟网络功能。
Netfilter,linux内核子系统提供通用的、抽象的协议栈网络报文处理框架,提供一整套的HOOK函数的管理机制实现网络报文过滤、网络地址转换、连接跟踪等功能。
iptables:linux netfiler网络报文过滤防火墙规则命令行管理工具。通过iptables命令行管理工具配置linux netfilter防火墙规则。
HOOK,linux netfilter在内核协议栈的挂载点,实现网络报文过滤、网络地址转换、连接跟踪等功能模块加载。
虚拟机(Virtual Machine,VM)通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统。在实体计算机中能够完成的工作在虚拟机中都能够实现。在计算机科学中,每个虚拟机都有独立的互补金属氧化物半导体(ComplementaryMetal Oxide Semiconductor,CMOS)、硬盘和操作系统,可以像使用实体机一样对虚拟机进行操作。
安全组是一系列网络安全策略的集合,用于限定虚拟机通过的网络报文的类型和方向,以起到防火墙的作用。其中,安全组中的规则可以由用户定义,来实现对特定网络报文的过滤,本申请中将限制进出虚拟机的网络报文的规则统称为安全组规则。需要说明的是,安全组规则存储在安全规则链中。这里,neutron为虚拟化计算节点虚拟机提供出向入向的网络流量过滤功能.采用linux iptables/netfilter网络报文过滤防火墙功能实现虚拟机出向入向网络流量过滤。
具体的,以OpenStack云计算管理平台为例,该平台是一个开源的云计算管理平台项目,基于Linux操作系统提供底层基础设施管理涉及计算、网络、存储等资源;另外,该平台还提供网络虚拟化功能管理Neutron组件,主要实现虚拟路由器、虚拟防火墙、虚拟负载均衡器以及虚拟机安全组等虚拟网络功能配置编排管理。其中,Neutron组件安全组功能实现是由Netfilter组件和Iptables组件两部分完成的,Netfilter组件不仅可以实现防火墙的功能,还可以实现网络报文过滤、网络地址转换、连接跟踪等功能。Netfilter组件由一些信息包过滤表组成,表中设置有控制信息包过滤处理的安全组规则链,安全组规则链中包括用户设置的过滤规则,用于对数据包进行过滤操作。Iptables组件用于控制linux操作系统中Netfilter组件对网络报文过滤防火墙规则的命令行管理工具。通过Iptables命令行管理工具对Netfilter中的信息包过滤表中的安全组规则进行插入、修改和删除操作。
在Iptables组件中,主要包括四个安全规则表:filter表,Nat表,mangle表,raw表。其中,filter表是Linux内核集成的IP信息包过滤系统,其最大优点是基于连接跟踪机制实现有状态的防火墙规则配置。Iptables通过多个match即匹配、一个target即动作相结合的方式组成一条防火墙规则。需要说明的是,表是由一组预先定义的链组成,链包含若干条安全规则。默认的filter表包含INPUT链、OUTPUT链和FORWARD链三条内建的链,这三条链作用于数据包传输过程中不同的过滤点。默认情况下,任何链中都没有规则,用户可以向链中添加自己想用的规则。每一条规则包含对数据包的匹配条件和相应的动作(即该规则的目标)。只有当数据包满足所有的匹配条件时,Iptables组件才能根据由该规则的目标所指定的动作来处理该数据包。其中,对INPUT链、OUTPUT链、FORWARD链详细介绍如下:
1)对于流入的数据包:路由器确定数据包中的目的地址是否与本机地址对应,决定该数据包是到本地的还是需要转发的。
a、如果路由器确定数据包中的目的地址与本机地址对应,进而确定该数据包是到本地的,就经过INPUT链处理,比如过滤,然后发往上层协议。
b、如果路由器确定数据包中的目的地址与本机地址不对应,进而确定该数据包是需要转发的,就经过FORWARD链处理,比如过滤,然后经过路由处理,传输到网络上。
2)对于本地产生的数据包:先经过OUTPUT链处理,然后进行路由处理,传输到网络上。
本申请实施例提供了一种网络报文的处理方法,应用于电子设备,参照图1所示,该方法包括以下步骤:
步骤101、获得虚拟机网络接口传输的网络报文。
这里,虚拟机网络接口可以理解为虚拟机与宿主操作系统中的主机之间进行通信的接口;网络报文可以理解为在网络中进行交换与传输的数据单元,网络报文包括需要发送的完整的数据信息,其中,网络报文中的报文信息包括源地址、目的地址、源端口、目的端口、协议信息以及净载数据。
这里,虚拟机网络接口传输网络报文包括虚拟机网络接口发送网络报文和虚拟机网络接口接收网络报文。
本申请实施例中,虚拟机网络接口发送和/或接收网络报文后,电子设备获得虚拟机网络接口发送和/或接收的网络报文。
在实际应用中,以虚拟机网络接口为tapeb09265c-be接口、网络报文为网际控制报文协议(Internet Control Message Protocol,ICMP)为例,当虚拟机tapeb09265c-be网络接口发送ICMP网络报文后,电子设备获取ICMP网络报文。
步骤102、从预设策略集合中查找与网络报文关联的目标传输策略,得到查找结果。
这里,预设策略集合可以理解为预先存储在电子设备中的网络报文以及与网络报文存在关联关系的数据的集合;目标传输策略可以理解为网络报文与虚拟机网络接口的传输存在对应关系的策略。示例性的,目标传输策略可以为ACCEPT,目标传输策略还可以为DROP;其中,目标传输策略ACCEPT可以理解为虚拟机网络接口继续正常传输网络报文的策略;目标传输策略DROP可以理解虚拟机用于丢弃网络报文的策略;可以理解的,本申请对目标传输策略不做具体限定。
本申请实施例中,电子设备获取到虚拟机网络接口传输的网络报文后,通过查找预设策略集合,获取与网络报文存在关联关系的目标传输策略,基于目标传输策略,得到网络报文对应的查找结果。
在实际应用中,以虚拟机网络接口为tapeb09265c-be接口、网络报文为ICMP网络报文为例,为了对网络报文数据进行监控过滤,在Linux操作系统中安装的Netfilter组件中设置了HOOK函数,当虚拟机tapeb09265c-be网络接口发出的ICMP网络报文在经过Netfilter组件中的回调函数即HOOK函数后,可以通过查找预设策略集合,获取与ICMP网络报文存在关联关系的目标传输策略,基于目标传输策略,得到网络报文对应的查找结果。
步骤103、基于查找结果,对网络报文进行处理。
本申请实施例中,电子设备在预设策略集合中查找到与网络报文关联的目标传输策略,得到查找结果,根据查找结果,对虚拟机网络接口传输的网络报文进行处理。
本申请实施例所提供的一种网络报文的处理方法,获得虚拟机网络接口传输的网络报文;从预设策略集合中查找与网络报文关联的目标传输策略,得到查找结果;基于查找结果,对网络报文进行处理;也就是说,本申请实施例中,从预设策略集合中得到与虚拟机网络接口传输的网络报文存在关联关系的目标传输策略的查找结果,基于查找结果,对网络报文进行处理。如此,无需对网络报文数据按照规则链进行规则逐条匹配方式,提高了网络报文匹配效率和转发效率,减少对虚拟化计算节点CPU性能的占用,提升了虚拟机网络吞吐性能以及减少网络抖动延时。
本申请实施例提供了一种网络报文的处理方法,应用于电子设备,参照图2所示,该方法包括以下步骤:
步骤201、获得虚拟机网络接口传输的网络报文。
步骤202、从预设策略集合中查找与网络报文关联的目标传输策略,得到查找结果。
本申请实施例中,步骤202从预设策略集合中查找与网络报文关联的目标传输策略,得到查找结果之后,可以选择执行步骤203或步骤204至207。
步骤203、若查找结果表征预设策略集合中存在与网络报文关联的目标传输策略,基于目标传输策略对网络报文进行处理。
本申请实施例中,电子设备从预设在预设策略集合中查找到与网络报文关联的目标传输策略,得到查找结果,且查找结果表征预设策略集合中存在与网络报文关联的目标传输策略,电子设备基于目标传输策略对网络报文进行处理。
在实际应用中,以虚拟机网络接口为tapeb09265c-be接口、网络报文为ICMP网络报文为例,若电子设备在预设策略集合中查找到与ICMP网络报文关联的目标传输策略,得到的查找结果表征预设策略集合中存在与ICMP网络报文关联的目标传输策略,且目标传输策略为ACCEPT或者DROP。电子设备将基于目标传输策略为ACCEPT或者DROP,对ICMP网络报文进行处理。
步骤204、若查找结果表征预设策略集合中不存在与网络报文关联的目标传输策略,提取网络报文中与虚拟机网络接口关联的报文信息。
这里,报文信息可以理解为网络报文中所包含的信息,报文信息包括源地址、目的地址、源端口、目的端口、协议信息以及净载数据。
本申请实施例中,电子设备从预设策略集合中查找到与网络报文关联的目标传输策略,得到查找结果,且查找结果表征预设策略集合中不存在与网络报文关联的目标传输策略,电子设备提取网络报文中的报文信息,且报文信息与虚拟机网络接口存在关联关系。
步骤205、基于报文信息,确定目标传输策略。
本申请实施例中,电子设备基于获取的网络报文的报文信息,确定与网络报文的报文信息存在对应关系的目标传输策略。
本申请实施例中,步骤205基于报文信息,确定目标传输策略可以通过如下方式实现:
步骤205a、基于报文信息,从预设的多个规则链中确定网络报文对应的目标规则链。
本申请实施例中,预设的多个规则链包括INPUT规则链、FORWARD规则链和OUTPUT规则链;预设的多个规则链对网络报文的处理方式不同。其中,INPUT规则链可以理解为对输入的网络报文进行处理的链;FORWARD规则链可以理解为对转发的网络报文进行处理的链;OUTPUT规则链可以理解为对输出的网络报文进行处理的链。
本申请实施例中,目标规则链可以理解为网络报文流转在Linux操作系统中的逻辑位置所确定的规则链。
需要说明的是,电子设备基于网络报文的报文信息中,可以确定网络报文流转在Linux操作系统中的逻辑位置,进而从预设的多个规则链中确定进入到系统中的网络报文的目标规则链,按照目标规则链预先设定的规则进行匹配检查过滤。
本申请实施例中,若网络报文中的报文信息中的目的地址与虚拟机所在的宿主机的网络地址对应,电子设备确定网络报文需要发送到虚拟机的宿主机,则从预设的多个规则链中确定目标安全规则链为INPUT规则链。
本申请实施例中,若网络报文中的报文信息中的目的地址与虚拟机所在的宿主机的网络地址不对应,电子设备确定网络报文需要经过网桥转发,并通过虚拟机网络接口进出虚拟机,则从预设的多个规则链中确定目标安全规则链为FORWARD规则链。
本申请实施例中,若网络报文中的报文信息中的源地址与虚拟机所在的宿主机的网络地址对应,电子设备确定网络报文为虚拟机所在的宿主机产生的报文,需要将网络报文发送至虚拟机中,则从预设的多个规则链中确定目标安全规则链为OUTPUT规则链。
在实际应用中,以虚拟机网络接口为tapeb09265c-be接口、网络报文为ICMP网络报文为例,若电子设备确定ICMP网络报文中的目的地址与虚拟机所在的宿主机的网络地址不对应,电子设备确定ICMP网络报文需要经过网桥转发,并通过虚拟机网络接口tapeb09265c-be接口进/出虚拟机,则从预设的多个规则链中确定目标安全规则链为FORWARD规则链。
本申请实施例中,步骤205a基于报文信息,从预设的多个规则链中确定网络报文对应的目标规则链,可以选择执行步骤205a1或步骤205a2;
步骤205a1、若目标规则链关联的多个传输策略中存在与报文信息匹配的策略,确定匹配的策略为目标传输策略。
本申请实施例中,目标规则链中包含多条安全规则链,且每一规则链中包含多条安全规则。
这里,多个传输策略可以理解为与网络报文与虚拟机网络接口的传输存在关联关系的策略,多个传输策略包括ACCEPT和RETURN;其中,传输策略ACCEPT可以理解为虚拟机网络接口继续正常传输网络报文的策略;传输策略RETURN可以理解为网络报文与目标规则链中的任一安全规则链中的安全规则匹配成功,需返回至当前安全规则链中的上一级安全规则链进行匹配的策略。
本申请实施例中,网络报文基于目标规则链中所包含的多条规则链中的多条安全规则,自上而下通过逐级规则链进行安全规则的逐条匹配方式,进行安全组规则匹配,若目标规则链关联的多个安全规则与报文信息存在对应的规则,则从多个匹配结果即多个传输策略中得到与网络报文对应的匹配结果即匹配策略,确定匹配的策略为目标传输策略。
本申请其他实施例中,电子设备还可以修改目标规则链中所包含的安全规则,参考图3所示,电子设备通过dashboard界面配置更新虚拟机中的目标安全规则链中的安全组规则并向安全组件Neutron提交规则更新请求,Neutron组件接收规则请求后,将修改后的安全组规则更新至数据库同时通过远程过程调用(Remote Procedure Call,RPC)调用通知安全组规则更新至RabbitMQ消息队列。neutron-openvswitch-agent程序对从RabbitMQ消息队列获取安全组更新消息并将安全组更新至虚拟化计算节点Iptables安全组相关规则链,同时将虚拟机所有连接跟踪状态重置即要求进行安全组规则匹配,保障虚拟机安全组规则变更即时生效。
这里,通过改进虚拟机安全组规则匹配处理逻辑改进虚拟机网络连接所有网络报文进行安全组规则匹配的缺陷。虚拟机安全组规则更新重置连接跟踪匹配状态,实现安全组规则更新针对虚拟机连接重新进行安全组规则过滤虚拟机安全组规则更新即时生效。
步骤205a2、若目标规则链关联的多个传输策略中不存在与报文信息匹配的策略,生成用于丢弃网络报文的目标传输策略。
本申请实施例中,网络报文基于目标规则链中所包含的多条规则链中的多条安全规则,自上而下通过逐级规则链进行安全规则的逐条匹配方式,进行安全组规则匹配,若目标规则链关联的多个安全规则与报文信息不存在对应的规则,将网络报文与安全规则组用于丢弃网络报文的安全规则进行匹配,得到匹配的策略,确定匹配策略为目标传输策略。
在实际应用中,以虚拟机网络接口为tapeb09265c-be接口、网络报文为ICMP网络报文为例,若目标规则链关联的多个传输策略中不存在与ICMP网络报文信息匹配的策略,最终在最后一条规则neutron-openvswi-sg-fallback规则链中的安全规则确定规则匹配结果即目标传输策略为DROP。
步骤206、将目标传输策略写入预设策略集合中。
本申请实施例中,电子设备确定与网络报文对应的目标传输策略后,将目标传输策略写入预设策略集合,并进行存储。当网络报文再次虚拟机网络接口中,若预设策略集合中存储有网络报文的目标传输策略,可以直接获取网络报文存在关联关系的目标传输策略,基于目标传输策略对网络报文进行处理。
步骤207、基于目标传输策略对网络报文进行处理。
本申请实施例中,电子设备将目标传输策略存储到预设策略集合中,可以基于预设策略集合中存储的与网络报文存在关联关系的目标传输策略,对网络报文进行处理。
需要说明等额是,若电子设备对虚拟机中的Neutron组件所包含的安全组规则进行修改或删除等操作,存储在预设策略集合中的与网络报文存在关联关系的目标传输策略不再生效,需要将网络报文与虚拟机中设置的安全组规则进行重新匹配,得到重新匹配后的目标传输策略,基于重新匹配后的目标传输策略对网络报文进行处理。
本申请提供的网络报文的处理方法,至少具有如下有益效果:面对连接的虚拟机安全组规则匹配状态保存与匹配优化改进,避免对虚拟机同一条规则连接的所有网络报文进行安全组规则过滤。虚拟机安全组规则匹配优化改进简洁高效,既保留虚拟机安全组按规则链进行规则逐条匹配实现方式,又实现面向连接的虚拟机安全组规则匹配改进优化。虚拟机安全组按规则链进行规则逐条匹配实现方式,随着虚拟机安全组规则数量增多,虚拟机网络吞吐性能将受到影响。虚拟机安全组规则匹配优化改进后面向连接的虚拟机网络吞吐性能将不受虚拟机安全组规则数量影响,面向连接的网络吞吐转发处理效率显著。
需要说明的是,本实施例中与其它实施例中相同步骤和相同内容的说明,可以参照其它实施例中的描述,此处不再赘述。
基于前述实施例,以虚拟机tapeb09265c-be网络接口发出的ICMP网络报文为例,对本申请实施例所提供的网络报文的处理方法做出进一步说明,该方法应用于电子设备,参照图4所示,该方法包括以下步骤:
步骤301、获得虚拟机tapeb09265c-be网络接口传输的ICMP网络报文。
步骤302、从预设策略集合中查找与ICMP网络报文关联的目标传输策略,得到查找结果。
本申请实施例中,步骤302从预设策略集合中查找与ICMP网络报文关联的目标传输策略,得到查找结果之后,可以选择执行步骤303或步骤304至313。
步骤303、若查找结果表征预设策略集合中存在与ICMP网络报文关联的目标传输策略ACCEPT或DROP,返回目标传输策略ACCEPT或DROP,并基于目标传输策略ACCEPT或DROP对ICMP网络报文进行处理。
步骤304、若查找结果表征预设策略集合中不存在与ICMP网络报文关联的目标传输策略,提取ICMP网络报文中与虚拟机tapeb09265c-be网络接口关联的报文信息。
这里,报文信息可以理解为ICMP网络报文中所包含的信息,报文信息包括源地址、目的地址、源端口、目的端口、协议信息以及净载数据。
步骤305、基于报文信息中的目的地址,从预设的多个规则链中确定ICMP网络报文对应的目标规则链为FORWARD规则链。
本申请实施例中,电子设备确定ICMP网络报文中的目的地址与虚拟机所在的宿主机的网络地址不对应,进而确定ICMP网络报文需要经过网桥转发,则从预设的多个规则链中确定目标安全规则链为FORWARD规则链。
步骤306、基于FORWARD规则链中的安全规则,确定ICMP网络报文进入到neutron-openvswi-FORWARD规则链。
步骤307、基于neutron-openvswi-FORWARD规则链中的安全规则,确定ICMP网络报文进入neutron-openvswi-sg-chain规则链。
步骤308、基于neutron-openvswi-sg-chain规则链中的安全规则,确定ICMP网络报文是否匹配到与ICMP网络报文关联的第一目标安全规则,若ICMP网络报文匹配到与ICMP网络报文关联的第一目标安全规则,则执行步骤309;若ICMP网络报文未匹配到与ICMP网络报文关联的第一目标安全规则,则执行步骤310至313。
本申请实施例中,第一目标安全规则可以理解为neutron-openvswi-sg-chain规则链中与ICMP网络报文的目标传输策略存在关联的规则。
步骤309、返回与ICMP网络报文关联的目标传输策略ACCEPT,将目标传输策略ACCEPT写入预设策略集合中,基于目标传输策略ACCEPT对ICMP网络报文进行处理。
步骤310、确定ICMP网络报文进入到neutron-openvswi-oeb09265c-b规则链。
本申请实施例中,电子设备判断ICMP网络报文是从虚拟机tapeb09265c-be接口进入到网桥的网络报文,还是经过网桥从虚拟机tapeb09265c-be接口发送到虚拟机的报文。若ICMP网络报文是从虚拟机tapeb09265c-be接口进入到网桥的报文,则确定ICMP网络报文进入到neutron-openvswi-oeb09265c-b规则链。
步骤311、基于neutron-openvswi-oeb09265c-b规则链中的安全规则,确定ICMP网络报文是否匹配到与ICMP网络报文关联的第二目标安全规则,若ICMP网络报文匹配到与ICMP网络报文关联的第二目标安全规则,则执行步骤312;若ICMP网络报文未匹配到与ICMP网络报文关联的第二目标安全规则,则执行步骤313。
这里,第二目标安全规则可以理解为neutron-openvswi-oeb09265c-b规则链中与ICMP网络报文的传输策略存在关联的规则。
步骤312、返回与ICMP网络报文关联的传输策略RETURN,并将ICMP网络报文返回至上一级的neutron-openvswi-sg-chain规则链,继续将ICMP网络报文与neutron-openvswi-sg-chain规则链中其他安全规则进行匹配。
步骤313、将ICMP网络报文与neutron-openvswi-sg-fallback规则链中的安全规则进行匹配,返回与ICMP网络报文关联的目标传输策略DROP,将目标传输策略DROP写入预设策略集合中,基于目标传输策略DROP对ICMP网络报文进行处理。
由上述可知,本申请实施例提供的网络报文的处理方法,避免虚拟机同一条规则连接的所有网络报文进行安全组规则过滤;且随着虚拟机安全组规则数量的增多,虚拟机网络吞吐性能将不受虚拟机安全组规则数量影响,面向连接的网络吞吐转发处理效率显著。如此,无需对网络报文数据按照规则链进行规则逐条匹配方式,提高了网络报文匹配效率和转发效率,减少对虚拟化计算节点CPU性能的占用,提升了虚拟机网络吞吐性能以及减少网络抖动延时。
需要说明的是,本实施例中与其它实施例中相同步骤和相同内容的说明,可以参照其它实施例中的描述,此处不再赘述。
基于前述实施例,本申请实施例提供一种网络报文的处理装置,该网络报文的处理装置可以应用于图1、2对应的实施例提供的一种网络报文的处理方法中,参照图5所示,该网络报文的处理装置5包括:
获得单元51,用于获得虚拟机网络接口传输的网络报文;
第一处理单元52,用于从预设策略集合中查找与网络报文关联的目标传输策略,得到查找结果;
第二处理单元53,用于基于查找结果,对网络报文进行处理。
本申请其他实施例中,第二处理单元53,还用于若查找结果表征预设策略集合中存在与网络报文关联的目标传输策略,基于目标传输策略对网络报文进行处理。
本申请其他实施例中,第二处理单元53,还用于若查找结果表征预设策略集合中不存在与网络报文关联的目标传输策略,提取网络报文中与虚拟机网络接口关联的报文信息;基于报文信息,确定目标传输策略;基于目标传输策略对网络报文进行处理。
本申请其他实施例中,第二处理单元53,还用于基于报文信息,从预设的多个规则链中确定网络报文对应的目标规则链;基于报文信息和目标规则链,确定目标传输策略。
本申请其他实施例中,第二处理单元53,还用于若目标规则链关联的多个传输策略中存在与报文信息匹配的策略,确定匹配的策略为目标传输策略。
本申请其他实施例中,第二处理单元53,还用于若目标规则链关联的多个传输策略中不存在与报文信息匹配的策略,生成用于丢弃网络报文的目标传输策略。
本申请其他实施例中,第二处理单元53,还用于将目标传输策略写入预设策略集合中。
基于前述实施例,本申请实施例提供一种电子设备,该电子设备可以应用于图1、2对应的实施例提供的一种网络报文的处理方法中,参照图6所示,该电子设备6(图6中的电子设备6对应图5中的网络报文的处理装置5)包括:存储器61和处理器62,其中;处理器62用于执行存储器61中存储的网络报文的处理程序,电子设备6通过处理器62以实现以下步骤:
获得虚拟机网络接口传输的网络报文;
从预设策略集合中查找与网络报文关联的目标传输策略,得到查找结果;
基于查找结果,对网络报文进行处理。
在本申请其他实施例中,处理器62用于执行存储器61中存储的网络报文的处理程序,以实现以下步骤:
若查找结果表征预设策略集合中存在与网络报文关联的目标传输策略,基于目标传输策略对网络报文进行处理。
在本申请其他实施例中,处理器62用于执行存储器61中存储的网络报文的处理程序,以实现以下步骤:
若查找结果表征预设策略集合中不存在与网络报文关联的目标传输策略,提取网络报文中与虚拟机网络接口关联的报文信息;
基于报文信息,确定目标传输策略;
基于目标传输策略对网络报文进行处理。
在本申请其他实施例中,处理器62用于执行存储器61中存储的网络报文的处理程序,以实现以下步骤:
基于报文信息,从预设的多个规则链中确定网络报文对应的目标规则链;
基于报文信息和目标规则链,确定目标传输策略。
在本申请其他实施例中,处理器62用于执行存储器61中存储的网络报文的处理程序,以实现以下步骤:
若目标规则链关联的多个传输策略中存在与报文信息匹配的策略,确定匹配的策略为目标传输策略。
在本申请其他实施例中,处理器62用于执行存储器61中存储的网络报文的处理程序,以实现以下步骤:
若目标规则链关联的多个传输策略中不存在与报文信息匹配的策略,生成用于丢弃网络报文的目标传输策略。
在本申请其他实施例中,处理器62用于执行存储器61中存储的网络报文的处理程序,以实现以下步骤:
将目标传输策略写入预设策略集合中。
基于前述实施例,本发明的实施例提供一种计算机存储介质,该计算机存储介质存储有一个或者多个程序,该一个或者多个程序可被一个或者多个处理器执行,以实现如下步骤:
获得虚拟机网络接口传输的网络报文;
从预设策略集合中查找与网络报文关联的目标传输策略,得到查找结果;
基于查找结果,对网络报文进行处理。
在本发明的其他实施例中,该一个或者多个程序可被一个或者多个处理器执行,以实现以下步骤:
若查找结果表征预设策略集合中存在与网络报文关联的目标传输策略,基于目标传输策略对网络报文进行处理。
在本发明的其他实施例中,该一个或者多个程序可被一个或者多个处理器执行,以实现以下步骤:
若查找结果表征预设策略集合中不存在与网络报文关联的目标传输策略,提取网络报文中与虚拟机网络接口关联的报文信息;
基于报文信息,确定目标传输策略;
基于目标传输策略对网络报文进行处理。
在本发明的其他实施例中,该一个或者多个程序可被一个或者多个处理器执行,以实现以下步骤:
基于报文信息,从预设的多个规则链中确定网络报文对应的目标规则链;
基于报文信息和目标规则链,确定目标传输策略。
在本发明的其他实施例中,该一个或者多个程序可被一个或者多个处理器执行,以实现以下步骤:
若目标规则链关联的多个传输策略中存在与报文信息匹配的策略,确定匹配的策略为目标传输策略。
在本发明的其他实施例中,该一个或者多个程序可被一个或者多个处理器执行,以实现以下步骤:
若目标规则链关联的多个传输策略中不存在与报文信息匹配的策略,生成用于丢弃网络报文的目标传输策略。
在本发明的其他实施例中,该一个或者多个程序可被一个或者多个处理器执行,以实现以下步骤:
将目标传输策略写入预设策略集合中。
需要说明的是,本实施例中与其它实施例中相同步骤和相同内容的说明,可以参照其它实施例中的描述,此处不再赘述。
需要说明的是,上述计算机存储介质/存储器可以是只读存储器(Read OnlyMemory,ROM)、可编程只读存储器(Programmable Read-Only Memory,PROM)、可擦除可编程只读存储器(Erasable Programmable Read-Only Memory,EPROM)、电可擦除可编程只读存储器(Electrically Erasable Programmable Read-Only Memory,EEPROM)、磁性随机存取存储器(Ferromagnetic Random Access Memory,FRAM)、快闪存储器(Flash Memory)、磁表面存储器、光盘、或只读光盘(Compact Disc Read-Only Memory,CD-ROM)等存储器;也可以是包括上述存储器之一或任意组合的各种终端,如移动电话、计算机、平板设备、个人数字助理等。
在本申请所提供的几个实施例中,应该理解到,所揭露的设备和方法,可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个单元或组件可以结合,或可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性的、机械的或其它形式的。
上述作为分离部件说明的单元可以是、或也可以不是物理上分开的,作为单元显示的部件可以是、或也可以不是物理单元,即可以位于一个地方,也可以分布到多个网络单元上;可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
另外,在本申请各实施例中的各功能单元可以全部集成在一个处理模块中,也可以是各单元分别单独作为一个单元,也可以两个或两个以上单元集成在一个单元中;上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:移动存储设备、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
本申请所提供的几个方法实施例中所揭露的方法,在不冲突的情况下可以任意组合,得到新的方法实施例。
本申请所提供的几个产品实施例中所揭露的特征,在不冲突的情况下可以任意组合,得到新的产品实施例。
本申请所提供的几个方法或设备实施例中所揭露的特征,在不冲突的情况下可以任意组合,得到新的方法实施例或设备实施例。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。
Claims (7)
1.一种网络报文的处理方法,其特征在于,所述方法包括:
获得虚拟机网络接口传输的网络报文;
从预设策略集合中查找与所述网络报文关联的目标传输策略,得到查找结果;
基于所述查找结果,对所述网络报文进行处理;
所述基于所述查找结果,对所述网络报文进行处理,包括:
若所述查找结果表征所述预设策略集合中不存在与所述网络报文关联的所述目标传输策略,提取所述网络报文中与所述虚拟机网络接口关联的报文信息;
基于所述报文信息,确定所述目标传输策略;
基于所述目标传输策略对所述网络报文进行处理;
所述基于所述报文信息,确定所述目标传输策略,包括:
基于所述报文信息,从预设的多个规则链中确定所述网络报文对应的目标规则链;
基于所述报文信息和所述目标规则链,确定所述目标传输策略;
所述基于所述报文信息和所述目标规则链,确定所述目标传输策略,包括:
若所述目标规则链关联的多个传输策略中存在与所述报文信息匹配的策略,确定所述匹配的策略为所述目标传输策略。
2.根据权利要求1所述的网络报文的处理方法,其特征在于,所述基于所述查找结果,对所述网络报文进行处理,包括:
若所述查找结果表征所述预设策略集合中存在与所述网络报文关联的所述目标传输策略,基于所述目标传输策略对所述网络报文进行处理。
3.根据权利要求1所述的网络报文的处理方法,其特征在于,所述基于所述报文信息和所述目标规则链,确定所述目标传输策略,包括:
若所述目标规则链关联的多个传输策略中不存在与所述报文信息匹配的策略,生成用于丢弃所述网络报文的所述目标传输策略。
4.根据权利要求1至3中任一项所述的网络报文的处理方法,其特征在于,所述基于所述报文信息,确定所述目标传输策略之后,所述方法还包括:
将所述目标传输策略写入所述预设策略集合中。
5.一种网络报文的处理装置,其特征在于,所述装置包括:
获得单元,用于获得虚拟机网络接口传输的网络报文;
第一处理单元,用于从预设策略集合中查找与所述网络报文关联的目标传输策略,得到查找结果;
第二处理单元,用于基于所述查找结果,对所述网络报文进行处理;
所述第二处理单元,还用于若所述查找结果表征所述预设策略集合中不存在与所述网络报文关联的所述目标传输策略,提取所述网络报文中与所述虚拟机网络接口关联的报文信息;基于所述报文信息,确定所述目标传输策略;基于所述目标传输策略对所述网络报文进行处理;
所述第二处理单元,还用于基于所述报文信息,从预设的多个规则链中确定所述网络报文对应的目标规则链;基于所述报文信息和所述目标规则链,确定所述目标传输策略;
所述第二处理单元,还用于若所述目标规则链关联的多个传输策略中存在与所述报文信息匹配的策略,确定所述匹配的策略为所述目标传输策略。
6.一种电子设备,其特征在于,所述电子设备包括:
存储器,用于存储可执行指令;
处理器,用于执行所述存储器中存储的可执行指令,实现如权利要求1至4中任一项所述的网络报文的处理方法。
7.一种计算机存储介质,其特征在于,所述计算机存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现如权利要求1至4中任一项所述的网络报文的处理方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010437908.4A CN113709052B (zh) | 2020-05-21 | 2020-05-21 | 一种网络报文的处理方法、装置、电子设备和存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010437908.4A CN113709052B (zh) | 2020-05-21 | 2020-05-21 | 一种网络报文的处理方法、装置、电子设备和存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113709052A CN113709052A (zh) | 2021-11-26 |
CN113709052B true CN113709052B (zh) | 2024-02-27 |
Family
ID=78646227
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010437908.4A Active CN113709052B (zh) | 2020-05-21 | 2020-05-21 | 一种网络报文的处理方法、装置、电子设备和存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113709052B (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114189445B (zh) * | 2021-12-03 | 2023-03-10 | 威创集团股份有限公司 | 一种usb信号透传处理方法、装置、终端及存储介质 |
CN114528088B (zh) * | 2022-04-25 | 2022-07-12 | 北京航天驭星科技有限公司 | 卫星检测任务的处理方法、装置、电子设备及存储介质 |
CN116996332B (zh) * | 2023-09-28 | 2023-12-26 | 无锡沐创集成电路设计有限公司 | 一种网络报文过滤器、过滤方法及网络报文过滤器集 |
Citations (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2013020126A1 (en) * | 2011-08-04 | 2013-02-07 | Midokura Pte. Ltd. | System and method for implementing and managing virtual networks |
CN102932377A (zh) * | 2012-11-28 | 2013-02-13 | 成都卫士通信息产业股份有限公司 | 一种ip报文过滤方法及装置 |
CN103905383A (zh) * | 2012-12-26 | 2014-07-02 | 华为技术有限公司 | 一种数据报文转发方法、装置和系统 |
CN104067231A (zh) * | 2011-12-07 | 2014-09-24 | 西里克斯系统公司 | 使用虚拟交换代理控制网络接口 |
CN105530259A (zh) * | 2015-12-22 | 2016-04-27 | 华为技术有限公司 | 报文过滤方法及设备 |
WO2016095201A1 (zh) * | 2014-12-19 | 2016-06-23 | 华为技术有限公司 | 业务链的部署方法和装置 |
CN106533890A (zh) * | 2016-12-30 | 2017-03-22 | 华为技术有限公司 | 一种报文处理方法、装置及系统 |
CN106656815A (zh) * | 2015-10-30 | 2017-05-10 | 阿里巴巴集团控股有限公司 | 用于处理虚拟网络报文的方法与设备 |
WO2018028606A1 (zh) * | 2016-08-11 | 2018-02-15 | 新华三技术有限公司 | 转发策略配置 |
WO2018098633A1 (zh) * | 2016-11-29 | 2018-06-07 | 深圳前海达闼云端智能科技有限公司 | 数据传输方法、数据传输装置、电子设备和计算机程序产品 |
CN108199982A (zh) * | 2018-01-03 | 2018-06-22 | 腾讯科技(深圳)有限公司 | 报文处理方法、装置、存储介质和计算机设备 |
CN108471397A (zh) * | 2018-01-31 | 2018-08-31 | 华为技术有限公司 | 防火墙配置、报文发送方法和装置 |
CN109040125A (zh) * | 2018-09-18 | 2018-12-18 | 郑州云海信息技术有限公司 | 虚拟机中报文过滤方法和装置 |
CN110719215A (zh) * | 2019-10-21 | 2020-01-21 | 北京百度网讯科技有限公司 | 虚拟网络的流信息采集方法及装置 |
CN110808963A (zh) * | 2019-10-17 | 2020-02-18 | 新华三信息安全技术有限公司 | 安全策略规则匹配方法、装置及防火墙设备 |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8010990B2 (en) * | 2006-10-26 | 2011-08-30 | Intel Corporation | Acceleration of packet flow classification in a virtualized system |
US8059533B2 (en) * | 2007-10-24 | 2011-11-15 | Cisco Technology, Inc. | Packet flow optimization (PFO) policy management in a communications network by rule name |
US9860214B2 (en) * | 2015-09-10 | 2018-01-02 | International Business Machines Corporation | Interconnecting external networks with overlay networks in a shared computing environment |
US10848461B2 (en) * | 2018-01-26 | 2020-11-24 | Nicira, Inc. | Unified security policies across virtual private clouds with overlapping IP address blocks |
CN109413052A (zh) * | 2018-10-09 | 2019-03-01 | 郑州云海信息技术有限公司 | 虚拟机通信系统和虚拟机 |
CN109714238B (zh) * | 2018-12-11 | 2021-08-10 | 上海云轴信息科技有限公司 | 一种用于实现虚拟机间通信的方法及设备 |
CN110120942B (zh) * | 2019-04-17 | 2022-01-25 | 新华三信息安全技术有限公司 | 安全策略规则匹配方法及装置、防火墙设备及介质 |
-
2020
- 2020-05-21 CN CN202010437908.4A patent/CN113709052B/zh active Active
Patent Citations (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2013020126A1 (en) * | 2011-08-04 | 2013-02-07 | Midokura Pte. Ltd. | System and method for implementing and managing virtual networks |
CN104067231A (zh) * | 2011-12-07 | 2014-09-24 | 西里克斯系统公司 | 使用虚拟交换代理控制网络接口 |
CN102932377A (zh) * | 2012-11-28 | 2013-02-13 | 成都卫士通信息产业股份有限公司 | 一种ip报文过滤方法及装置 |
CN103905383A (zh) * | 2012-12-26 | 2014-07-02 | 华为技术有限公司 | 一种数据报文转发方法、装置和系统 |
WO2016095201A1 (zh) * | 2014-12-19 | 2016-06-23 | 华为技术有限公司 | 业务链的部署方法和装置 |
CN106656815A (zh) * | 2015-10-30 | 2017-05-10 | 阿里巴巴集团控股有限公司 | 用于处理虚拟网络报文的方法与设备 |
CN105530259A (zh) * | 2015-12-22 | 2016-04-27 | 华为技术有限公司 | 报文过滤方法及设备 |
WO2018028606A1 (zh) * | 2016-08-11 | 2018-02-15 | 新华三技术有限公司 | 转发策略配置 |
WO2018098633A1 (zh) * | 2016-11-29 | 2018-06-07 | 深圳前海达闼云端智能科技有限公司 | 数据传输方法、数据传输装置、电子设备和计算机程序产品 |
CN106533890A (zh) * | 2016-12-30 | 2017-03-22 | 华为技术有限公司 | 一种报文处理方法、装置及系统 |
CN108199982A (zh) * | 2018-01-03 | 2018-06-22 | 腾讯科技(深圳)有限公司 | 报文处理方法、装置、存储介质和计算机设备 |
CN108471397A (zh) * | 2018-01-31 | 2018-08-31 | 华为技术有限公司 | 防火墙配置、报文发送方法和装置 |
CN109040125A (zh) * | 2018-09-18 | 2018-12-18 | 郑州云海信息技术有限公司 | 虚拟机中报文过滤方法和装置 |
CN110808963A (zh) * | 2019-10-17 | 2020-02-18 | 新华三信息安全技术有限公司 | 安全策略规则匹配方法、装置及防火墙设备 |
CN110719215A (zh) * | 2019-10-21 | 2020-01-21 | 北京百度网讯科技有限公司 | 虚拟网络的流信息采集方法及装置 |
Non-Patent Citations (3)
Title |
---|
Iptables包过滤技术及其在机载网络上的实现;周斌;黄丝;赵彦斌;袁瑞阳;苏德虎;;现代电子技术(第09期);全文 * |
利用Iptables构建网络防火墙;张德杨;;河南科技(第19期);全文 * |
基于Linux的网络准入控制代理服务器的设计与实现;郭江平;;电脑知识与技术(第06期);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN113709052A (zh) | 2021-11-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN113709052B (zh) | 一种网络报文的处理方法、装置、电子设备和存储介质 | |
US10812378B2 (en) | System and method for improved service chaining | |
CN108965203B (zh) | 一种资源访问方法及服务器 | |
KR101969194B1 (ko) | 네트워킹 장치 가상화를 위한 패킷 처리 오프로딩 기법 | |
CN109547580B (zh) | 一种处理数据报文的方法和装置 | |
US11343187B2 (en) | Quantitative exact match distance in network flows | |
CN110784361A (zh) | 虚拟化云蜜网部署方法、装置、系统及计算机可读存储介质 | |
CN106878194B (zh) | 一种报文处理方法和装置 | |
EP2909780A1 (en) | Providing a virtual security appliance architecture to a virtual cloud infrastructure | |
US10243799B2 (en) | Method, apparatus and system for virtualizing a policy and charging rules function | |
CN114422367A (zh) | 报文处理方法及装置 | |
CN111835729B (zh) | 报文转发方法、系统、存储介质和电子设备 | |
US10181031B2 (en) | Control device, control system, control method, and control program | |
CN112003794B (zh) | 一种浮动ip限流方法、系统、终端及存储介质 | |
CN111294316B (zh) | 基于用户态协议栈虚拟路由器的网络隔离方法和装置 | |
CN115022333B (zh) | 负载均衡设备的报文转发方法、装置及电子设备 | |
US11422845B2 (en) | Native cloud live traffic migration to counter suspected harmful traffic | |
US11201887B1 (en) | Systems and methods for low latency stateful threat detection and mitigation | |
KR101493933B1 (ko) | 하드웨어 스위치 및 소프트웨어 스위치를 사용하여 가상 머신의 통신을 지원하기 위한 방법, 장치, 시스템 및 컴퓨터 판독 가능한 기록 매체 | |
US9519501B1 (en) | Hardware assisted flow acceleration and L2 SMAC management in a heterogeneous distributed multi-tenant virtualized clustered system | |
US11637812B2 (en) | Dynamic forward proxy chaining | |
WO2024113776A1 (zh) | 数据传输方法以及相关设备 | |
US9430300B2 (en) | Method and system for transparent network acceleration | |
US20230072491A1 (en) | Network processing using multi-level match action tables | |
US20230060132A1 (en) | Coordinating data packet processing between kernel space and user space |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |