CN113949537A - 一种基于eBPF的防火墙管理方法和系统 - Google Patents

一种基于eBPF的防火墙管理方法和系统 Download PDF

Info

Publication number
CN113949537A
CN113949537A CN202111130739.0A CN202111130739A CN113949537A CN 113949537 A CN113949537 A CN 113949537A CN 202111130739 A CN202111130739 A CN 202111130739A CN 113949537 A CN113949537 A CN 113949537A
Authority
CN
China
Prior art keywords
data
ebpf
container
firewall
label
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202111130739.0A
Other languages
English (en)
Other versions
CN113949537B (zh
Inventor
应金挺
徐运元
王翱宇
沈宏杰
张魁
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou Harmonycloud Technology Co Ltd
Original Assignee
Hangzhou Harmonycloud Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou Harmonycloud Technology Co Ltd filed Critical Hangzhou Harmonycloud Technology Co Ltd
Priority to CN202111130739.0A priority Critical patent/CN113949537B/zh
Publication of CN113949537A publication Critical patent/CN113949537A/zh
Application granted granted Critical
Publication of CN113949537B publication Critical patent/CN113949537B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于eBPF的防火墙管理方法和系统,所述防火墙管理方法包括:根据监控的集群资源对象,生成聚合数据,所述聚合数据包括容器的数据和网络配置;将所述聚合数据发送到节点;根据所述聚合数据,在所述节点的容器内建立eBPF应用,并生成防火墙的策略数据;所述eBPF应用根据所述策略数据进行防火墙管理。通过对集群资源对象的监控或监测,实时更新容器的网络信息和网络配置,生成聚合数据后,通过节点构建容器eBPF应用和策略数据,并结合聚合数据动态生成防火墙的策略数据,作到自动配置防火墙的策略数据,保证容器及服务的安全性;基于eBPF在容器的内核中通过eBPF应用对防火墙进行管理,有效减少对物理防火墙的依赖,符合云原生的设计思想。

Description

一种基于eBPF的防火墙管理方法和系统
技术领域
本发明涉及安全技术领域,具体涉及一种基于eBPF的防火墙管理方法和系统。
背景技术
云防火墙是云上网络安全防护产品,可提供流量管控与安全防护,包括结合情报的实时入侵防护、全流量可视化分析、智能化访问控制、日志溯源分析等能力。云原生(CloudNative)通常是指从设计之初即考虑到云的环境,原生为云而设计,在云上以最佳姿势运行,充分利用和发挥云平台的弹性+分布式优势。
随着容器化的日益广泛,不同容器网络模型也层出不穷,云原生通用的防火墙已是云原生路上刻不容缓的诉求。在企业内部进行容器化规划阶段,在对自身网络诉求上规划中,除了对网络模型确立的关注,也越来越注意网络安全相关策略。当前容器网络安全主要依赖网络设备防火墙配置,在容器动态迁移的场景下,容器IP以及Mac相关网络信息变更,导致现有的防火墙策略仅生效在局部节点上,无法进行细粒度精细化管理,从而导致一定程度上的安全隐患;并且防火墙管理的整体流程繁琐又麻烦,依靠运维人员与网络设备防火墙配置,很难灵活且全面控制集群或多集群的防火墙策略,并也无法将多集群网络防火墙规则统一整合;并且不符合云原生思想。因此需要一种在容器侧直接建立和管理防火墙的方法,且完全符合云原生,以摆脱对网络模型的依赖。
发明内容
针对现有技术中存在的上述技术问题,本发明提供一种基于eBPF的防火墙管理方法和系统,完全符合云原生,以摆脱对网络模型的依赖,并提升网络性能。
本发明公开了一种基于eBPF的防火墙管理方法,所述防火墙管理方法包括:根据监控的集群资源对象,生成聚合数据,所述聚合数据包括容器的数据和网络配置;将所述聚合数据发送到节点;根据所述聚合数据,在所述节点的容器内建立eBPF应用,并生成防火墙的策略数据;所述eBPF应用根据所述策略数据进行防火墙管理。
优选的,本发明的方法还包括通过标签进行防火墙管理的方法:
所述容器的数据包括容器的标签策略,将所述标签策略保存在eBPF Map中;
判断出入所述容器的流量数据是否满足标签策略;
若满足,对所述流量数据打标签后,转发到服务端;
所述服务端判断所述流量数据是否具有相应的标签;
若具有,放行所述流量数据。
优选的,通过标签标记服务进行防火墙管理的方法包括:
第一容器接收来自第一服务的流入流量;
根据标签策略,第一容器将所述流入流量相应的流出流量打上第一标签,并转发第二容器;
所述第二容器的标签策略为:放行第一标签的流量;
判断所述第二容器的输入流量是否具有第一标签;
若具有第一标签,放行所述第二容器的输入流量。
优选的,所述容器的数据包括局部策略,所述局部策略包括流量入口策略和流量出口策略。
优选的,所述局部策略包括CIDR策略,
拦截并丢弃流入或流出的第一流量数据,所述第一流量数据不属于CIDR白名单。
优选的,本发明的防火墙管理方法还包括验证聚合数据的方法:
所述节点将接收到的聚合数据与当前已保存的聚合数据进行对比,获得对比数据;
根据对比数据,判断所述聚合数据是否准确或及时;
若准确或及时,接收所述聚合数据;
若不准确或不及时,向聚合数据的发送方反馈异常信息。
本发明还提供一种用于实现上述防火墙管理方法的系统,其特征在于,包括eBPF控制器、eBPF代理组件和eBPF应用;
所述eBPF控制器用于根据监控的集群资源对象,生成聚合数据;并将所述聚合数据发送到节点的代理组件;
部署在所述节点的eBPF代理组件用于根据所述聚合数据,在容器内建立eBPF应用,并生成防火墙的策略数据;
所述eBPF应用用于根据所述策略数据进行防火墙管理。
优选的,所述容器包括第一容器和第二容器,
所述eBPF控制器所生成的聚合数据包括标签策略;
所述eBPF代理组件将所述标签策略保存在eBPF MAP中;
所述第一容器的eBPF应用根据eBPF MAP中的标签策略为出入所述容器的流量数据打标签,并将所述流量数据转发到第二容器;
所述第二容器的eBPF应用根据所述标签放行或丢弃所述流量数据。
优选的,所述eBPF代理组件还用于验证聚合数据:
所述eBPF代理组件接收到的聚合数据与当前已保存的聚合数据进行对比,获得对比数据;
根据对比数据,判断所述聚合数据是否准确或及时;
若不准确或不及时,向所述eBPF控制器反馈异常信息。
优选的,本发明的系统还包括规则配置模块,所述规则配置模块用于修改或生成防火墙配置策略;
所述eBPF控制器根据所述防火墙配置策略和集群资源对象的监控数据生成聚合数据。
本发明还提供一种装置,包括处理器和存储器,所述存储器用于保存程序,所述程序包括用于实现上述防火墙管理方法的指令,所述处理器用于执行所述指令。
与现有技术相比,本发明的有益效果为:通过对集群资源对象的监控或监测,实时更新容器的网络信息和网络配置,生成聚合数据后,通过节点构建容器eBPF应用和策略数据,并结合聚合数据动态生成防火墙的策略数据,作到自动配置防火墙的策略数据,保证容器及服务的安全性;基于eBPF在容器的内核中通过eBPF应用对防火墙进行管理,有效减少对物理防火墙的依赖,符合云原生的设计思想。
附图说明
图1是本发明的基于eBPF的防火墙管理方法的流程图;
图2是本发明的系统逻辑框图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
下面结合附图对本发明做进一步的详细描述:
一种基于eBPF的防火墙管理方法,如图1所示,所述方法包括:
步骤101:根据监控的集群资源对象,生成聚合数据,所述聚合数据包括容器的数据和网络配置。集群资源对象包括服务和容器,例如监控或监测容器服务飘移、扩容、缩容和更新等情况,此时容器IP以及Mac相关网络信息变更,监测方法为现有技术,例如从集群管理平台中获得,本申请中不再赘述。
步骤102:将所述聚合数据发送到节点。
步骤103:根据所述聚合数据,在所述节点的容器内建立eBPF应用,并生成防火墙的策略数据。建立eBPF应用的方法为现有技术,本申请不中再赘述。
步骤104:所述eBPF应用根据所述策略数据进行防火墙管理。
通过对集群资源对象的监控或监测,实时更新容器的网络信息和网络配置,生成聚合数据后,通过节点构建容器eBPF应用和策略数据,并结合聚合数据动态生成防火墙的策略数据,作到自动配置防火墙的策略数据,保证容器及服务的安全性;基于eBPF在容器的内核中通过eBPF应用对防火墙进行管理,有效减少对物理防火墙的依赖,符合云原生的设计思想。
本发明的方法还包括通过标签进行防火墙管理的方法:
步骤201:所述容器的数据包括容器的标签策略,将所述标签策略保存在eBPF Map中。可以将标签策略下发到节点,并通过节点将将所述标签策略保存在eBPF Map中。eBPFMap是以键/值方式存储在内核中的数据结构,可以被eBPF应用和用户态的程序访问,通常设置在环形缓冲区或循环缓冲区中(Ring buffer)。
步骤202:判断出入所述容器的流量数据是否满足标签策略,在一个具体实施例中,标签策略包括为符合条件的流量数据打标签。
若满足,执行步骤202:对所述流量数据打标签后,转发到服务端,执行步骤203。其中服务端可以是执行另一服务的容器或程序。
若不满足,则不打标签。
步骤203:所述服务端判断所述流量数据是否具有相应的标签。
若具有,执行步骤204:放行(pass)所述流量数据。
若不具有,执行步骤205:丢弃(drop)或拦截所述流量数据。
在上游容器中,为流量数据打标签,用于标记流量数据,下游服务端根据标签对流量数据进行过滤,起到防火墙管理的作用。即将该标签加入到白名单中,并用以标签值进行流量数据的筛选。
在一个具体实施例中,第一容器接收到来自第一服务A的流入流量(ingress);所述第一容器的标签策略为:为第一服务的流量打第一标签,根据标签策略,第一容器为所述流入流量或其相应的流出流量打上第一标签,并转发第二容器;所述第二容器的标签策略为:放行具有第一标签的流量或将第一标签加入白名单,判断所述第二容器的输入流量是否具有第一标签;若具有第一标签,放行所述第二容器的输入流量。第二容器中,来自第三服务C的注入流量由于缺少标签,而被丢弃,从而起到防火墙管理的作用。其中一个或多个第二容器可以用于执行服务B,第一服务也可以由多个同一批的容器进行执行,这一批的容器可以分别对其提供的第一服务的流量进行打标签,实现服务标记的作用,实现服务与服务的隔离。
步骤101中的容器的数据或步骤104中的策略数据可以包括局部策略和/或全局策略。局部策略包括流量入口策略和流量出口策略,用于局部单一容器的流量数据管理;全局策略用于容器间流量数据的管理,例如用标签标记流量。其中,局部策略可以包括CIDR策略:拦截并丢弃流入或流出的第一流量数据,所述第一流量数据不属于CIDR白名单。无类域间路由CIDR(Classless InterDomain Routing),主要是一个按位的、基于前缀的,用于解释IP地址的标准,通过把多个地址块组合到一个路由表表项而使得路由更加方便。拦截并丢弃不符合CIDR的流量数据,起到防火墙管理的作用。
在另一个具体实施例中,所述策略数据包括IP白名单或IP黑名单,通过服务或流量数据的IP进行流量过滤。
步骤103中,所述节点还可以对聚合数据进行验证:
步骤301:所述节点将接收到的聚合数据与当前已保存的聚合数据进行对比,获得对比数据。即将当前接收到聚合数据与当前已保存的进行对比。
步骤302:根据对比数据,判断所述聚合数据是否准确或及时。可以根据数据的时间戳判断是否及时。
若准确或及时,执行步骤303:接收所述聚合数据,并根据聚合数据部署eBPF应用或更新eBPF MAP中的策略数据。
若不准确或不及时,执行步骤304:向聚合数据的发送方反馈异常信息。
如图2所示,本发明还提供一种用于实现上述防火墙管理方法的系统,其特征在于包括eBPF控制器11、eBPF代理组件21和eBPF应用33;
eBPF控制器11用于根据监控的集群资源对象,生成聚合数据;并将所述聚合数据发送到节点2的代理组件;
部署在节点2的eBPF代理组件21用于根据所述聚合数据,在容器3内建立eBPF应用33,并生成防火墙的策略数据;
eBPF应用33用于根据所述策略数据进行防火墙管理,即流量数据的管理。
其中,容器3包括第一容器31和第二容器32,eBPF控制器11所生成的聚合数据包括标签策略;eBPF代理组件21将所述标签策略保存在eBPF MAP中;第一容器31的eBPF应用根据eBPF MAP中的标签策略为出入所述容器的流量数据打标签,并将所述流量数据转发到第二容器;第二容器32的eBPF应用根据所述标签放行或丢弃所述流量数据。
其中,第一容器31和第二容器32上分别部署有相应的标签策略。
eBPF代理组件21还用于验证聚合数据:
eBPF代理组件21接收到的聚合数据与当前已保存的聚合数据进行对比,获得对比数据;
根据对比数据,判断所述聚合数据是否准确或及时;
若不准确或不及时,向eBPF控制器11反馈异常信息。
本发明的系统还包括规则配置模块4,规则配置模块4用于通过防火墙策略接口生成或修改防火墙配置策略;所述eBPF控制器根据所述防火墙配置策略和集群资源对象的监控数据生成聚合数据。例如,监控或监测到容器服务飘移、扩容、缩容和更新等情况时,容器的地址变更,则根据防火墙配置策略生存相应的聚合数据,并将聚合数据下发到容器相应节点的eBPF代理组件21中。运维人员可以通过规则配置模块生成或修改防火墙配置策略。
应当指出的是节点的服务器应当支持eBPF,通常需要内核版本在3.18以上。本发明的eBPF控制器可以通过对接云原生集群接口,实现对多个集群的集群资源对象进行监控,以实现多集群多维度的网络防火墙管理,并且适用于应用系统上线前、业务增长期和设配运维过程中的网络安全管理,在保障了应用性能的前提下,也合理规划制定了网络安全。
在另一个具体实施例中,eBPF控制器(ebpf-controller)作为系统组件运行在云原生集群中,eBPF代理组件(ebpf agent)在云原生集群中的每个节点上部署。ebpf agent在初始化阶段,向ebpf-controller进行注册,订阅容器聚合数据以及防火墙策略规则,ebpf agent与ebpf控制器构建起长连接维持,保持数据传输。在初始化阶段,也会对当前所在节点上进行容器的网络命名空间进行初始化配置。ebpf-controller会维护与ebpfagent的连接池,保证与ebpf agent连接不中断。ebpf agent会将聚合数据保留在内部缓存中,并将内部缓存作为声明式标准,为ebpf agent后续进行操作提供参考模版;ebpf agent确定当前节点上的容器情况,并为其配置ebpf应用。
以上仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (10)

1.一种基于eBPF的防火墙管理方法,其特征在于,所述防火墙管理方法包括:
根据监控的集群资源对象,生成聚合数据,所述聚合数据包括容器的数据和网络配置;
将所述聚合数据发送到节点;
根据所述聚合数据,在所述节点的容器内建立eBPF应用,并生成防火墙的策略数据;
所述eBPF应用根据所述策略数据进行防火墙管理。
2.根据权利要求1所述的防火墙管理方法,其特征在于,还包括通过标签进行防火墙管理的方法:
所述容器的数据包括容器的标签策略,将所述标签策略保存在eBPF Map中;
判断出入所述容器的流量数据是否满足标签策略;
若满足,对所述流量数据打标签后,转发到服务端;
所述服务端判断所述流量数据是否具有相应的标签;
若具有,放行所述流量数据。
3.根据权利要求2所述的防火墙管理方法,其特征在于,通过标签标记服务进行防火墙管理的方法包括:
第一容器接收来自第一服务的流入流量;
根据标签策略,第一容器将所述流入流量相应的流出流量打上第一标签,并转发第二容器;
所述第二容器的标签策略为:放行第一标签的流量;
判断所述第二容器的输入流量是否具有第一标签;
若具有第一标签,放行所述第二容器的输入流量。
4.根据权利要求1所述的防火墙管理方法,其特征在于,所述容器的数据包括局部策略,所述局部策略包括流量入口策略和流量出口策略。
5.根据权利要求3所述的防火墙管理方法,其特征在于,所述局部策略包括CIDR策略,
拦截并丢弃流入或流出的第一流量数据,所述第一流量数据不属于CIDR白名单。
6.根据权利要求1所述的防火墙管理方法,其特征在于,还包括验证聚合数据的方法:
所述节点将接收到的聚合数据与当前已保存的聚合数据进行对比,获得对比数据;
根据对比数据,判断所述聚合数据是否准确或及时;
若准确或及时,接收所述聚合数据;
若不准确或不及时,向聚合数据的发送方反馈异常信息。
7.一种用于实现如权利要求1-6任一项所述防火墙管理方法的系统,其特征在于,包括eBPF控制器、eBPF代理组件和eBPF应用;
所述eBPF控制器用于根据监控的集群资源对象,生成聚合数据;并将所述聚合数据发送到节点的代理组件;
部署在所述节点的eBPF代理组件用于根据所述聚合数据,在容器内建立eBPF应用,并生成防火墙的策略数据;
所述eBPF应用用于根据所述策略数据进行防火墙管理。
8.根据权利要求7所述的系统,其特征在于,所述容器包括第一容器和第二容器,
所述eBPF控制器所生成的聚合数据包括标签策略;
所述eBPF代理组件将所述标签策略保存在eBPF MAP中;
所述第一容器的eBPF应用根据eBPF MAP中的标签策略为出入所述容器的流量数据打标签,并将所述流量数据转发到第二容器;
所述第二容器的eBPF应用根据所述标签放行或丢弃所述流量数据。
9.根据权利要求7所述的系统,其特征在于,所述eBPF代理组件还用于验证聚合数据:
所述eBPF代理组件接收到的聚合数据与当前已保存的聚合数据进行对比,获得对比数据;
根据对比数据,判断所述聚合数据是否准确或及时;
若不准确或不及时,向所述eBPF控制器反馈异常信息。
10.根据权利要求7所述的系统,其特征在于,还包括规则配置模块,所述规则配置模块用于修改或生成防火墙配置策略;
所述eBPF控制器根据所述防火墙配置策略和集群资源对象的监控数据生成聚合数据。
CN202111130739.0A 2021-09-26 2021-09-26 一种基于eBPF的防火墙管理方法和系统 Active CN113949537B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111130739.0A CN113949537B (zh) 2021-09-26 2021-09-26 一种基于eBPF的防火墙管理方法和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111130739.0A CN113949537B (zh) 2021-09-26 2021-09-26 一种基于eBPF的防火墙管理方法和系统

Publications (2)

Publication Number Publication Date
CN113949537A true CN113949537A (zh) 2022-01-18
CN113949537B CN113949537B (zh) 2023-11-21

Family

ID=79328756

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111130739.0A Active CN113949537B (zh) 2021-09-26 2021-09-26 一种基于eBPF的防火墙管理方法和系统

Country Status (1)

Country Link
CN (1) CN113949537B (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115277042A (zh) * 2022-05-11 2022-11-01 北京中安星云软件技术有限公司 一种基于xdp技术的数据库防火墙实现方法及系统
CN115712545A (zh) * 2023-01-09 2023-02-24 苏州浪潮智能科技有限公司 一种实现集群的服务拓扑感知的方法、装置、设备及介质
CN117395058A (zh) * 2023-11-02 2024-01-12 江苏润和软件股份有限公司 一种基于eBPF技术的动态终端系统网络防护的方法

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106027569A (zh) * 2016-07-19 2016-10-12 浪潮电子信息产业股份有限公司 一种防火墙管理方法、主节点、从节点及集群
CN108040055A (zh) * 2017-12-14 2018-05-15 广东天网安全信息科技有限公司 一种防火墙组合策略及云服务安全防护
WO2019204725A1 (en) * 2018-04-20 2019-10-24 Draios Inc. Programmatic container monitoring
US10623309B1 (en) * 2016-12-19 2020-04-14 International Business Machines Corporation Rule processing of packets
US20200274852A1 (en) * 2019-02-26 2020-08-27 Juniper Networks, Inc. Automatic configuration of perimeter firewalls based on security group information of sdn virtual firewalls
US20200403905A1 (en) * 2019-06-24 2020-12-24 Amazon Technologies, Inc. Serverless packet processing service with isolated virtual network integration
CN112564967A (zh) * 2020-12-02 2021-03-26 杭州谐云科技有限公司 基于eBPF的云服务拓扑自发现方法及系统、电子设备、存储介质
CN112615856A (zh) * 2020-12-16 2021-04-06 上海道客网络科技有限公司 一种多集群网络安全策略管控方法和系统

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106027569A (zh) * 2016-07-19 2016-10-12 浪潮电子信息产业股份有限公司 一种防火墙管理方法、主节点、从节点及集群
US10623309B1 (en) * 2016-12-19 2020-04-14 International Business Machines Corporation Rule processing of packets
CN108040055A (zh) * 2017-12-14 2018-05-15 广东天网安全信息科技有限公司 一种防火墙组合策略及云服务安全防护
WO2019204725A1 (en) * 2018-04-20 2019-10-24 Draios Inc. Programmatic container monitoring
US20200274852A1 (en) * 2019-02-26 2020-08-27 Juniper Networks, Inc. Automatic configuration of perimeter firewalls based on security group information of sdn virtual firewalls
US20200403905A1 (en) * 2019-06-24 2020-12-24 Amazon Technologies, Inc. Serverless packet processing service with isolated virtual network integration
CN112564967A (zh) * 2020-12-02 2021-03-26 杭州谐云科技有限公司 基于eBPF的云服务拓扑自发现方法及系统、电子设备、存储介质
CN112615856A (zh) * 2020-12-16 2021-04-06 上海道客网络科技有限公司 一种多集群网络安全策略管控方法和系统

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
DOMINIK SCHOLZ; DANIEL RAUMER; PAUL EMMERICH; ALEXANDER KURTZ; KRZYSZTOF LESIAK; GEORG CARLE: "Performance Implications of Packet Filtering with Linux eBPF", 2018 30TH INTERNATIONAL TELETRAFFIC CONGRESS (ITC 30), pages 209 - 217 *
于波: "基于eBPF的网络安全应用研究", 中国优秀硕士学位论文全文数据库信息科技辑》, pages 139 - 78 *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115277042A (zh) * 2022-05-11 2022-11-01 北京中安星云软件技术有限公司 一种基于xdp技术的数据库防火墙实现方法及系统
CN115712545A (zh) * 2023-01-09 2023-02-24 苏州浪潮智能科技有限公司 一种实现集群的服务拓扑感知的方法、装置、设备及介质
CN117395058A (zh) * 2023-11-02 2024-01-12 江苏润和软件股份有限公司 一种基于eBPF技术的动态终端系统网络防护的方法

Also Published As

Publication number Publication date
CN113949537B (zh) 2023-11-21

Similar Documents

Publication Publication Date Title
US11115300B2 (en) Anomaly detection and reporting in a network assurance appliance
CN113949537B (zh) 一种基于eBPF的防火墙管理方法和系统
US11700237B2 (en) Intent-based policy generation for virtual networks
CN110754064B (zh) 网络结构中的路由信息的验证
CN110612702B (zh) 针对不一致的意图规范检查
US20200356918A1 (en) System and method for designing and executing control loops in a cloud environment
CN111034122B (zh) 分析网络节点内存利用率的系统、方法和计算机可读介质
US11303531B2 (en) Generation of counter examples for network intent formal equivalence failures
US10554477B2 (en) Network assurance event aggregator
US10530740B2 (en) Systems and methods for facilitating closed loop processing using machine learning
CN110741603A (zh) 拓扑探测器
US20200204432A1 (en) Event clustering for a network assurance platform
CN110785963B (zh) 从网络收集网络模型和节点信息
CN110710161A (zh) 生成网络的设备级逻辑模型
US10623271B2 (en) Intra-priority class ordering of rules corresponding to a model of network intents
US11095518B2 (en) Determining violation of a network invariant
CN110741602A (zh) 响应于网络意图形式对等性失败的事件生成
CN114041276A (zh) 屏蔽外部源地址的网络架构的安全策略实施和可见性
US20200004742A1 (en) Epoch comparison for network policy differences
KR101846193B1 (ko) It 서비스 관리 방법 및 이를 실행하는 장치
US11526426B2 (en) Memory leak detection using real-time memory growth pattern analysis
CN111970158B (zh) 边缘接入的处理系统、方法、装置及设备
US20070036165A1 (en) Method and Network Element Configured for Limiting the Number of Virtual Local Area Networks Creatable by GVRP
US7957325B2 (en) Method and network element configured for limiting the number virtual local area networks creatable by GVRP
US12081438B2 (en) Automatic policy engine selection

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant