CN114070639B - 一种报文安全转发方法、装置及网络安全设备 - Google Patents
一种报文安全转发方法、装置及网络安全设备 Download PDFInfo
- Publication number
- CN114070639B CN114070639B CN202111401807.2A CN202111401807A CN114070639B CN 114070639 B CN114070639 B CN 114070639B CN 202111401807 A CN202111401807 A CN 202111401807A CN 114070639 B CN114070639 B CN 114070639B
- Authority
- CN
- China
- Prior art keywords
- flow message
- session control
- message
- flow
- service chain
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 63
- 238000012360 testing method Methods 0.000 claims abstract description 134
- 230000001133 acceleration Effects 0.000 claims abstract description 110
- 238000012545 processing Methods 0.000 claims abstract description 33
- 238000001514 detection method Methods 0.000 claims description 7
- 238000004590 computer program Methods 0.000 claims description 3
- 230000002155 anti-virotic effect Effects 0.000 description 23
- 230000008569 process Effects 0.000 description 11
- 238000004891 communication Methods 0.000 description 5
- 230000009471 action Effects 0.000 description 3
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000001914 filtration Methods 0.000 description 2
- 230000006872 improvement Effects 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 239000007787 solid Substances 0.000 description 2
- 238000012550 audit Methods 0.000 description 1
- 238000012512 characterization method Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000010998 test method Methods 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/146—Markers for unambiguous identification of a particular session, e.g. session cookie or URL-encoding
Abstract
本申请提供一种报文安全转发方法、装置及网络安全设备。该方法包括:当FPGA加速网卡接收到第一流量报文后,将第一流量报文发送至处理器;处理器调用DPDK驱动程序,根据预设的OVS网桥配置,将第一流量报文传输至安全服务链中进行测试;当第一流量报文在安全服务链的所有网元中均测试通过后,将第一流量报文发送至FPGA加速网卡,以使FPGA加速网卡将第一流量报文发送至与第一流量报文所对应的终端设备。与现有技术中通过内核态实现的方式相比,能够节约处理流程,提高转发效率,同时该方式也能够提高处理器与FPGA加速网卡的之间的报文转发速率,进而提高网络设备整体性能。
Description
技术领域
本申请涉及通信技术领域,具体而言,涉及一种报文安全转发方法、装置及网络安全设备。
背景技术
安全服务链技术是一种服务链技术,其可以根据客户需求,灵活自由的配置安全服务(虚拟安全网元),从而实现网络安全、网络性能的提高及便捷管理。虚拟安全网元是传统安全设备的虚拟化演变,每个安全网元相当于独立的一台安全防护设备,可以分别提供防火墙、IPS(Intrusion Prevention System,入侵防御系统)、WAF(Web ApplicationFirewall,应用防护系统)、防病毒、审计等安全防护能力。
现有的安全服务链技术基于Netfilter的conntrack(连接跟踪)模块实现。Netfilter是Linux(操作系统)内核中进行数据包过滤、连接跟踪、地址转换等的主要实现框架。Netfilter中可完成过滤特定的数据包或者将需要修改数据包的内容发送出去。发明人在实际的研究中发现,现有配置安全服务链的网络设备报文转发速率较低、网络设备整体性能低。
发明内容
本申请实施例的目的在于提供一种报文安全转发方法、装置及网络安全设备,以提高网络安全设备的报文转发速率及网络设备整体性能。
本发明是这样实现的:
第一方面,本申请实施例提供一种报文安全转发方法,应用于网络安全设备,所述方法包括:当FPGA加速网卡接收到第一流量报文后,将所述第一流量报文发送至处理器;所述处理器调用DPDK驱动程序,根据预设的OVS网桥配置,将所述第一流量报文传输至安全服务链中进行测试;当所述第一流量报文在所述安全服务链的所有网元中均测试通过后,将所述第一流量报文发送至所述FPGA加速网卡,以使所述FPGA加速网卡将所述第一流量报文发送至与所述第一流量报文所对应的终端设备。
在本申请实施例中,处理器通过调用DPDK驱动程序,然后根据预设的OVS网桥配置,将第一流量报文传输至安全服务链中进行测试,也即,该方式通过处理器的用户态实现安全服务链的测试,与现有技术中通过内核态实现的方式相比,能够节约处理流程,提高转发效率,同时该方式也能够提高处理器与FPGA加速网卡的之间的报文转发速率,进而提高网络设备整体性能。此外,采用FPGA加速网卡,能够实现报文在硬件层次的快速转发,相比于报文通过软件形式的转发速率更快。
结合上述第一方面提供的技术方案,在一些可能的实现方式中,所述OVS网桥配置中包括网元流表;所述网元流表包括所述安全服务链中的各网元的测试顺序;所述根据预设的OVS网桥配置,将所述第一流量报文传输至安全服务链中进行测试,包括:基于所述网元流表,将所述第一流量报文依次发送至所述安全服务链的网元中进行测试;其中,当所述第一流量报文通过当前网元的测试后,则进行下一网元的测试,当所述第一流量报文未通过当前网元的测试,则将所述第一流量报文进行丢弃。
在本申请实施例中,OVS网桥配置中包括网元流表,以便于根据预先配制的各网元的测试顺序依次对第一流量报文进行测试,避免遗漏某个网元对第一流量报文的测试,且用户可以根据网元的特性进行灵活的配置。
结合上述第一方面提供的技术方案,在一些可能的实现方式中,所述OVS网桥配置中还包括:会话控制表;所述会话控制表包括会话控制标识项和安全服务链标识项;所述根据预设的OVS网桥配置,将所述第一流量报文传输至安全服务链中进行测试,包括:基于所述第一流量报文的五元组信息生成目标会话控制标识;判断所述会话控制标识项中是否包含所述目标会话控制标识;若否,则将所述目标会话控制标识添加至所述会话控制标识项中,以及在与所述目标会话控制标识对应的安全服务链标识项中设置初始服务链标识;再基于所述网元流表,将所述第一流量报文依次发送至所述安全服务链的网元中进行测试;当所述第一流量报文通过当前网元的测试后,则进行下一网元的测试,且将所述初始服务链标识中与当前网元对应的标识数据进行更新,当所述第一流量报文未通过当前网元的测试,则将所述第一流量报文进行丢弃。
在本申请实施例中,OVS网桥配置中还包括会话控制表,采用会话控制表可以基于各报文的五元组所生成的会话控制标识对各报文的测试结果进行统计与管理。
结合上述第一方面提供的技术方案,在一些可能的实现方式中,在判断所述会话控制标识项中是否包含所述目标会话控制标识之后,所述方法还包括:若是,则根据与所述目标会话控制标识对应的安全服务链标识确定所述第一流量报文的处理操作;其中,当与所述目标会话控制标识对应的安全服务链标识中的标识数据表征通过所有网元测试后,则所述第一流量报文的处理操作为将所述第一流量报文直接发送至所述FPGA加速网卡,以使所述FPGA加速网卡将所述第一流量报文发送至与所述第一流量报文所对应的终端设备;当与所述目标会话控制标识对应的安全服务链标识标志中的标识数据存在表征未通过网元检测的数据,则所述第一流量报文的处理操作为将所述第一流量报文丢弃。
在本申请实施例中,若会话控制标识项中包含目标会话控制标识,则直接根据与目标会话控制标识对应的安全服务链标识确定第一流量报文的处理操作,通过该方式,可以无需将每个报文都传输至安全服务链中进行测试,进而进一步地提高报文安全转发的处理速度。
结合上述第一方面提供的技术方案,在一些可能的实现方式中,在所述第一流量报文经所述安全服务链中的所有网元测试通过后,所述方法还包括:将所述目标会话控制标识发送至所述FPGA加速网卡;相应的,在所述FPGA加速网卡接收到第二流量报文时,所述方法还包括:所述FPGA加速网卡基于所述第二流量报文的五元组信息生成对应的会话控制标识;当所述第二流量报文的五元组信息对应的会话控制标识与所述目标会话控制标识相同时,直接将所述第二流量报文发送至与所述第二流量报文对应的终端设备。
在本申请实施例中,处理器还用于将所有网元测试通过的报文所对应的会话控制标识发送至FPGA加速网卡,进而使得FPGA加速网卡在下次接收到报文后,可以自身将报文与会话控制标识进行匹配,若匹配成功,则直接转发,通过该方式,使得报文无需再经过处理器的处理,直接基于FPGA加速网卡中就可以实现安全报文的转发,进一步地提高报文转发的速率,同时也进一步地提高了网络安全设备的性能。
结合上述第一方面提供的技术方案,在一些可能的实现方式中,所述将所述目标会话控制标识发送至所述FPGA加速网卡,包括:将所述目标会话控制标识通过链表或哈希表进行缓存;将缓存后的目标会话控制标识发送至所述FPGA加速网卡。
在本申请实施例中,通过将目标会话控制标识通过链表或哈希表进行缓存可以避免过多的会话控制标识同时下发至FPGA加速网卡,影响网络安全设备的性能。
第二方面,本申请实施例提供一种报文安全转发方法,应用于网络安全设备中的FPGA加速网卡,所述方法包括:当接收到第一流量报文后,将所述第一流量报文发送至所述网络安全设备中的处理器;以使所述处理器调用DPDK驱动程序,根据预设的OVS网桥配置,将所述第一流量报文传输至安全服务链中进行测试;接收所述处理器发送的所述第一流量报文,并将所述第一流量报文发送至与所述第一流量报文所对应的终端设备;其中,当所述FPGA加速网卡接收到所述处理器发送的所述第一流量报文,则表征所述第一流量报文在所述安全服务链的所有网元中均测试通过。
结合上述第二方面提供的技术方案,在一些可能的实现方式中,所述方法还包括:接收所述处理器发送的目标会话控制标识;其中,所述目标会话控制标识基于所述第一流量报文的五元组信息生成;当所述FPGA加速网卡接收到所述处理器发送的所述目标会话控制标识,则表征所述目标会话控制标识对应的报文在所述安全服务链的所有网元中均测试通过;当接收到第二流量报文时,基于所述第二流量报文的五元组信息生成对应的会话控制标识;当所述第二流量报文的五元组信息对应的会话控制标识与所述目标会话控制标识相同时,直接将所述第二流量报文发送至与所述第二流量报文对应的终端设备。
第三方面,本申请实施例提供一种报文安全转发装置,应用于网络安全设备中的FPGA加速网卡,所述装置包括:第一发送模块,用于当接收到第一流量报文后,将所述第一流量报文发送至所述网络安全设备中的处理器;以使所述处理器调用DPDK驱动程序,根据预设的OVS网桥配置,将所述第一流量报文传输至安全服务链中进行测试;第二发送模块,用于接收所述处理器发送的所述第一流量报文,并将所述第一流量报文发送至与所述第一流量报文所对应的终端设备;其中,当所述FPGA加速网卡接收到所述处理器发送的所述第一流量报文,则表征所述第一流量报文在所述安全服务链的所有网元中均测试通过。
第四方面,本申请实施例提供一种网络安全设备,包括:FPGA加速网卡及处理器;所述FPGA加速网卡,用于接收到第一流量报文后,将所述第一流量报文发送至所述处理器;所述处理器用于调用DPDK驱动程序,根据预设的OVS网桥配置,将所述第一流量报文传输至安全服务链中进行测试;当所述第一流量报文在所述安全服务链的所有网元中均测试通过后,将所述第一流量报文发送至所述FPGA加速网卡,以使所述FPGA加速网卡将所述第一流量报文发送至与所述第一流量报文所对应的终端设备。
第五方面,本申请实施例提供一种FPGA加速网卡,其上存储有计算机程序,所述计算机程序在被处理器运行时执行如上述第一方面实施例和/或结合上述第一方面实施例的一些可能的实现方式提供的方法。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一种网络安全设备的模块框图。
图2为本申请实施例提供的一种应用于网络安全设备的报文安全转发方法的流程图。
图3为本申请实施例提供的一种报文安全转发的流程示意图。
图4为本申请实施例提供的另一种报文安全转发方法的流程图。
图5为本申请实施例提供的另一种报文安全转发的流程示意图。
图6为本申请实施例提供的一种应用于FPGA加速网卡的报文安全转发方法的流程图。
图标:10-网络安全设备;100-处理器;200-FPGA加速网卡。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
请参阅图1,图1为本申请实施例提供一种应用报文安全转发方法的网络安全设备10的示意性结构框图。在本申请实施例中,网络安全设备10可以是但不限于个人计算机(Personal Computer,PC)、服务器、网关设备等。当然,上述列举的设备仅用于便于理解本申请实施例,其不应作为对本实施例的限定。
在结构上。网络安全设备10包括处理器100及FPGA(Field Programmable GateArray,现场可编程逻辑门阵列)加速网卡200。
处理器100与FPGA加速网卡200直接或间接地电性连接,以实现数据的传输或交互,例如,这些元件相互之间可通过一条或多条通讯总线或信号线实现电性连接。
网络安全设备10主要用于接收FPGA加速网卡200发送的第一流量报文,然后调用DPDK驱动程序,根据预设的OVS网桥配置,将第一流量报文传输至安全服务链中进行测试;当第一流量报文在安全服务链的所有网元中均测试通过后,将第一流量报文发送至FPGA加速网卡。
处理器100可以是一种集成电路芯片,具有信号处理能力。处理器100也可以是通用处理器,例如,可以是中央处理器(Central Processing Unit,CPU)、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific IntegratedCircuit,ASIC)、分立门或晶体管逻辑器件、分立硬件组件,可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。此外,通用处理器可以是微处理器或者任何常规处理器等。
FPGA加速网卡200主要用于接收外部发送的第一流量报文后,将第一流量报文发送至处理器100,以及当接收到处理器100返回的第一流量报文后,将第一流量报文发送至与第一流量报文所对应的终端设备。
需要说明的是,当FPGA加速网卡200接收到处理器100返回的第一流量报文,则表征第一流量报文在安全服务链的所有网元中均测试通过。
FPGA加速网卡200为一种基于FPGA实现的智能网卡。通过FPGA加速网卡200可以实现报文在硬件上实现快速转发。由于FPGA加速网卡200已为本领域所熟知的技术,对此,本申请不作过多说明。
此外,本申请实施例所提供的网络安全设备10还包括存储器。处理器100与存储器直接或间接地电性连接,以实现数据的传输或交互。存储器可以是,但不限于,随机存取存储器(Random Access Memory,RAM)、只读存储器(Read Only Memory,ROM)、可编程只读存储器(Programmable Read-Only Memory,PROM)、可擦可编程序只读存储器(ErasableProgrammable Read-Only Memory,EPROM),以及电可擦编程只读存储器(ElectricErasable Programmable Read-Only Memory,EEPROM)。存储器用于存储程序,处理器100在接收到执行指令后,执行该程序。
需要说明的是,图1所示的结构仅为示意,本申请实施例提供的网络安全设备10还可以具有比图1更少或更多的组件,或是具有与图1所示不同的配置。此外,图1所示的各组件可以通过软件、硬件或其组合实现。
请参阅图2,图2为本申请实施例提供的报文安全转发方法的流程图,该方法应用于图1所示的网络安全设备10。需要说明的是,本申请实施例提供的报文安全转发方法不以图2及以下所示的顺序为限制,该方法包括:步骤S101~步骤S105。
步骤S101:FPGA加速网卡接收第一流量报文。
此处,FPGA加速网卡所接收到的第一流量报文为网络安全设备外部的其他终端设备所发送的报文。
示例性的,假设终端设备A需要发送第一流量报文至终端设备B,则从终端设备A发出的第一流量报文会先经过网络安全设备,若网络安全设备对第一流量报文测试通过,则第一流量报文再从网络安全设备发送至终端设备B。
终端设备A、终端设备B可以是但不限于个人计算机、笔记本电脑、手机等。
步骤S102:FPGA加速网卡将第一流量报文发送至处理器。
FPGA加速网卡在接收到第一流量报文之后,将其传输至网络安全设备的处理器中,以使其对第一流量报文进行安全测试。
步骤103:处理器调用DPDK(Data Plane Development Kit,数据平面开发套件)驱动程序,根据预设的OVS(openvswitch,虚拟网桥)网桥配置,将第一流量报文传输至安全服务链中进行测试。
需要说明的是,DPDK是一种用户态网卡驱动,支持轮询模式,极大提高了数据处理性能和吞吐量,提高数据平面应用程序的转发效率。OVS是一种虚拟网桥,主要负责流量的分配,在本申请实施例中,通过OVS可以使得第一流量报文传输至不同的网元,或根据用户配置,将不同的流量流经对应的网元。安全服务链(Service Function Chain,SFC)中配置有不同的网元。网元是一个单独的网络元素,每个网元相当于独立的一台虚拟安全设备,可以独立完成某个物理安全设备的全部功能。根据用户的不同配置需求,可以将不同的网元组合成一条安全服务链,完成用户需要的安全测试需求。
上述的DPDK驱动程序、预设的OVS网桥配置,安全服务链中均预先配制在安全网络设备中,进而使得处理器在用户态下执行对应的安全测试流程。
也即,在上述步骤中当处理器接收到FPGA加速网卡传输的第一流量报文后,则调用DPDK驱动程序,然后在该驱动程序下,根据预设的OVS网桥配置,将第一流量报文传输至安全服务链中通过对应的网元进行测试。
步骤104:当第一流量报文在安全服务链的所有网元中均测试通过后,处理器将第一流量报文发送至FPGA加速网卡。
当第一流量报文在安全服务链的所有网元中均测试通过后,处理器将第一流量报文发送至FPGA加速网卡。而当第一流量报文在安全服务链的任一网元中测试未通过时,则表征第一流量报文存在安全风险,此时,处理器将第一流量报文丢弃,进而使得终端设备A发送第一流量报文不会传输至终端设备B。
步骤105:FPGA加速网卡将第一流量报文发送至与第一流量报文所对应的终端设备。
当FPGA加速网卡接收到处理器发送的第一流量报文,则表征第一流量报文在安全服务链的所有网元中均测试通过。此时,FPGA加速网卡可以将第一流量报文发送至与第一流量报文所对应的终端设备。示例性的,与第一流量报文所对应的目的终端设备为终端设备B,则FPGA加速网卡可以将第一流量报文发送至终端设备B。需要说明的是,可以通过流量报文所携带的五元组信息确定报文的源地址和目的地址。
下面以一个完整的示例对上述步骤进行说明。请参阅图3,假设终端设备A要向终端设备B发送第一流量报文。则终端设备A发送的第一流量报文会先到达网络安全设备10,由网络安全设备10的FPGA加速网卡200接收。FPGA加速网卡200在接收到第一流量报文后,将第一流量报文传输至网络安全设备10的处理器100中。然后处理器100调用DPDK驱动程序,根据预设的OVS网桥配置,将第一流量报文传输至安全服务链中进行测试。当第一流量报文在安全服务链的所有网元中均测试通过后,处理器100会将第一流量报文发送至FPGA加速网卡200。而当第一流量报文在安全服务链的任一网元中测试未通过时,则表征第一流量报文存在安全风险,此时,处理器100直接将第一流量报文丢弃,进而使得终端设备A发送第一流量报文不会传输至终端设备B。当FPGA加速网卡200接收到处理器100发送的第一流量报文,则表征第一流量报文在安全服务链的所有网元中均测试通过。此时,FPGA加速网卡200将第一流量报文发送至终端设备B。
综上,在本申请实施例中,处理器100通过调用DPDK驱动程序,然后根据预设的OVS网桥配置,将第一流量报文传输至安全服务链中进行测试,也即,该方式通过处理器100的用户态实现安全服务链的测试,与现有技术中通过内核态实现的方式相比,能够节约处理流程,提高转发效率,同时该方式也能够提高处理器100与FPGA加速网卡200的之间的报文转发速率,进而提高网络设备整体性能。此外,采用FPGA加速网卡200,能够实现报文在硬件层次的快速转发,相比于报文通过软件形式的转发速率更快。
下面对处理器的处理过程进行说明。
作为一种实施方式,OVS网桥配置中包括网元流表。网元流表包括安全服务链中的各网元的测试顺序。
示例性的,用户配置的网元可以包括NGFW(Next generation firewall、下一代防火墙)网元、IPS网元及AV(Anti Virus,反病毒)网元。用户配置的各网元的测试顺序可以为NGFW网元、IPS网元、AV网元。
以上网元的种类、数量、顺序仅为示例,并不作为本申请的限定。
相应的,上述步骤103中根据预设的OVS网桥配置,将第一流量报文传输至安全服务链中进行测试,包括:基于网元流表,将第一流量报文依次发送至安全服务链的网元中进行测试。
需要说明的是,当第一流量报文通过当前网元的测试后,则进行下一网元的测试,当第一流量报文未通过当前网元的测试,则将第一流量报文进行丢弃。
示例性的,根据网元流表顺序,处理器中的OVS虚拟网桥先将第一流量报文发送至NGFW网元;NGFW网元根据配置的策略对第一流量报文进行处理,如果NGFW网元配置的策略允许第一流量报文通过,那么NGFW网元将第一流量报文返回至OVS虚拟网桥,然后OVS虚拟网桥再将第一流量报文发送至IPS网元。IPS网元也根据配置的策略对第一流量报文进行处理,如果IPS网元配置的策略也允许第一流量报文通过,那么IPS网元将第一流量报文返回至OVS虚拟网桥,然后OVS虚拟网桥再将第一流量报文发送至AV网元。AV网元也根据配置的策略对第一流量报文进行处理,如果AV网元配置的策略允许第一流量报文通过,那么AV网元将第一流量报文返回至OVS虚拟网桥。至此,完成整个安全服务链的测试。
而当NGFW网元、IPS网元、AV网元中任一网元配置的策略不允许第一流量报文通过,则表征第一流量报文存在安全风险,此时直接将第一流量报文丢弃。
可见,在本申请实施例中,OVS网桥配置中包括网元流表,以便于根据预先配制的各网元的测试顺序依次对第一流量报文进行测试,避免遗漏某个网元对第一流量报文的测试,且用户可以根据网元的特性进行灵活的配置。
进一步地,在一些实施例中,OVS网桥配置中还可以包括会话控制表。会话控制表包括会话控制标识项和安全服务链标识项。
其中,会话控制标识项包括各报文基于五元组信息所生成的会话控制标识。会话控制标识项中为不同的会话控制标识。安全服务链标识项中包括安全服务链标识;安全服务链标识为一个预设比特的数字(如8比特),用于标识各网元是否允许该会话控制标识对应的流量报文通过。继续以上述三个网元为例,每个网元占用1个比特位,如NGFW网元占用bit0,IPS网元占用bit1,AV网元占用bit2。如果各网元的比特位置的数值为1,则表示流量报文未通过该网元的测试。如果各网元的比特位置的数值为0,则表示流量报文已通过该网元的测试。在初始时,每个比特位填充的位置的数值为1,则初始安全服务链标识为0x111。其中0x表示其他的比特位未对应网元,而三个1表示流量报文未通过三个网元的测试。又比如,一个安全服务链标识为0x100,则表示该流量报文未通过AV网元的测试,但通过了NGFW网元和IPS网元的测试。
示例性的,会话控制表可以参考表一。
表一
会话控制标识项 | 安全服务链标识项 |
session1 | 0x111 |
session2 | 0x100 |
表一中,session1和session2为会话控制标识项中的两个不同的会话控制标识。
请参阅图4,相应的,上述步骤根据预设的OVS网桥配置,将第一流量报文传输至安全服务链中进行测试还可以具体包括:步骤S201~步骤S204。
步骤S201:基于第一流量报文的五元组信息生成目标会话控制标识。
处理器在接收到第一流量报文后,基于第一流量报文的五元组信息生成目标会话控制标识。此部分可以由配置的OVS虚拟网桥执行。如基于第一流量报文的五元组信息生成目标会话控制标识session1。
步骤S202:判断会话控制标识项中是否包含目标会话控制标识。
OVS虚拟网桥判断会话控制标识项是否包含目标会话控制标识session1。若会话控制标识项中未包含目标会话控制标识session1,则执行步骤S203。若会话控制标识项中包含目标会话控制标识session1,则执行步骤S204。
步骤S203:将目标会话控制标识添加至会话控制标识项中,以及在与目标会话控制标识对应的安全服务链标识项中设置初始服务链标识;再基于网元流表,将第一流量报文依次发送至安全服务链的网元中进行测试。
也即,在OVS虚拟网桥首次接收到目标会话控制标识session1对应的第一流量报文时,将目标会话控制标识session1添加至会话控制标识项,然后将其对应的安全服务链标识项中设置初始服务链标识,如设置0x111。接着,根据网元流表的顺序,依次将第一流量报文发送至对应的网元进行测试。
需要说明的是,当第一流量报文通过当前网元的测试后,则进行下一网元的测试,且将初始服务链标识中与当前网元对应的标识数据进行更新,当第一流量报文未通过当前网元的测试,则将第一流量报文进行丢弃。
示例性的,根据网元流表顺序,OVS虚拟网桥先将第一流量报文发送至NGFW网元;NGFW网元根据配置的策略对第一流量报文进行处理,如果NGFW网元配置的策略允许第一流量报文通过,NGFW网元将第一流量报文返回至OVS虚拟网桥,此时OVS虚拟网桥将NGFW网元对应的标识数据进行更新,更新后的服务链标识为0x110,然后OVS虚拟网桥再将第一流量报文发送至IPS网元。IPS网元也根据配置的策略对第一流量报文进行处理,如果IPS网元配置的策略也允许第一流量报文通过。IPS网元将第一流量报文返回至OVS虚拟网桥,此时OVS虚拟网桥将IPS网元对应的标识数据进行更新,更新后的服务链标识为0x100。然后OVS虚拟网桥再将第一流量报文发送至AV网元。AV网元也根据配置的策略对第一流量报文进行处理,如果AV网元配置的策略允许第一流量报文通过,AV网元再将第一流量报文返回至OVS虚拟网桥,OVS虚拟网桥再将AV网元对应的标识数据进行更新,更新后的服务链标识为0x000。至此,完成整个安全服务链的测试。
而当NGFW网元、IPS网元、AV网元中任一网元配置的策略不允许第一流量报文通过,则表征第一流量报文存在安全风险,此时直接将第一流量报文丢弃。但是,会话控制表仍保留第一流量报文的会话控制标识及与之对应的安全服务链标识(此时的安全服务链标识中包含未通过的网元测试对应的标识数据)。
可见,在本申请实施例中,OVS网桥配置中还包括会话控制表,采用会话控制表可以基于各报文的五元组所生成的会话控制标识对各报文的测试结果进行统计与管理。
步骤S204:根据与目标会话控制标识对应的安全服务链标识确定第一流量报文的处理操作。
若会话控制标识项中包含目标会话控制标识,则表征目标会话控制标识所对应的流量报文已经经过网元的测试了。此时,根据其对应的安全服务链标识即可确定第一流量报文是否通过所有网元测试,进而直接根据测试结果执行对应的处理操作。
其中,当与目标会话控制标识对应的安全服务链标识中的标识数据表征通过所有网元测试后,则第一流量报文的处理操作为将第一流量报文直接发送至FPGA加速网卡,以使FPGA加速网卡将第一流量报文发送至与第一流量报文所对应的终端设备。
示例性的,当目标会话控制标识对应的安全服务链标识为0x000。则将第一流量报文直接发送至FPGA加速网卡。
当与目标会话控制标识对应的安全服务链标识标志中的标识数据存在表征未通过网元检测的数据,则第一流量报文的处理操作为将第一流量报文丢弃。
示例性的,当目标会话控制标识对应的安全服务链标识为0x110。则将第一流量报文直接丢弃。
可见,若会话控制标识项中包含目标会话控制标识,则直接根据与目标会话控制标识对应的安全服务链标识确定第一流量报文的处理操作,通过该方式,可以无需将每个报文都传输至安全服务链中进行测试,进而进一步地提高报文安全转发的处理速度。
进一步地,当在第一流量报文经安全服务链中的所有网元测试通过后,该方法还包括:将目标会话控制标识发送至FPGA加速网卡。
相应的,当FPGA加速网卡接收到第二流量报文时,该方法还包括:FPGA加速网卡基于第二流量报文的五元组信息生成对应的会话控制标识;当第二流量报文的五元组信息对应的会话控制标识与目标会话控制标识相同时,直接将第二流量报文发送至与第二流量报文对应的终端设备。
可见,在本申请实施例中,处理器还用于将所有网元测试通过的报文所对应的会话控制标识发送到FPGA加速网卡,进而使得FPGA加速网卡在下次接收到报文后,可以自身将报文与会话控制标识进行匹配,若匹配成功,则直接转发,通过该方式,使得报文无需再经过处理器的处理,直接基于FPGA加速网卡中就可以实现安全报文的转发,进一步地提高报文转发的速率,同时也进一步地提高了网络安全设备的性能。
可选地,上述将目标会话控制标识发送至FPGA加速网卡可以具体包括:将目标会话控制标识通过链表或哈希表进行缓存;将缓存后的目标会话控制标识发送至FPGA加速网卡。
由于通过链表或哈希表进行缓存的方式为本领域所熟知,本申请不作过程阐述。
在本申请实施例中,通过将目标会话控制标识通过链表或哈希表进行缓存可以避免过多的会话控制标识同时下发至FPGA加速网卡,影响网络安全设备的性能。
下面以一个完整的示例对上述步骤进行说明。请参阅图5,假设终端设备A要向终端设备B发送第一流量报文。则终端设备A发送的第一流量报文会先到达网络安全设备,由网络安全设备的FPGA加速网卡接收。FPGA加速网卡在接收到第一流量报文后,会基于第一流量报文的五元组信息生成目标会话控制标识。然后和预先从OVS虚拟网桥接收到的会话控制标识进行匹配,若匹配到了相同的会话控制标识。则FPGA加速网卡直接将第一流量报文发送至终端设备B(对应的图5中的线路为1-11-12-13)。如果未匹配到相同的会话控制标识,则通过图5中的线路2将第一流量报文发送至处理器。然后处理器调用DPDK驱动程序,根据预设的OVS网桥配置,将第一流量报文传输至安全服务链中进行测试。
具体的,处理器中OVS虚拟网桥在接收到第一流量报文后,基于第一流量报文的五元组信息生成目标会话控制标识。然后判断会话控制标识项中是否包含目标会话控制标识。若否,将目标会话控制标识添加至会话控制标识项,然后将其对应的安全服务链标识项中设置为初始服务链标识,如设置0x111。然后,根据网元流表的顺序,依次将第一流量报文发送至对应的网元进行测试。根据网元流表顺序,OVS虚拟网桥先将第一流量报文发送至NGFW网元(如线路3);NGFW网元根据配置的策略对第一流量报文进行处理,如果NGFW网元配置的策略允许第一流量报文通过,NGFW网元将第一流量报文返回至OVS虚拟网桥(如线路4),此时将NGFW网元对应的标识数据进行更新,更新后的服务链标识为0x110,然后OVS虚拟网桥再将第一流量报文发送至IPS网元(如线路5)。IPS网元也根据配置的策略对第一流量报文进行处理,如果IPS网元配置的策略也允许第一流量报文通过。IPS网元将第一流量报文返回至OVS虚拟网桥(如线路6),此时将IPS网元对应的标识数据进行更新,更新后的服务链标识为0x100。然后OVS虚拟网桥再将第一流量报文发送至AV网元(如线路7)。AV网元也根据配置的策略对第一流量报文进行处理,如果AV网元配置的策略允许第一流量报文通过,AV网元再将第一流量报文返回至OVS虚拟网桥(如线路8),OVS虚拟网桥再将AV网元对应的标识数据进行更新,更新后的服务链标识为0x000。至此,完成整个安全服务链的测试。OVS虚拟网桥在确定第一流量报文经过所有网元的测试,且测试通过后。将第一流量报文直接发送至FPGA加速网卡(如线路9)。而当NGFW网元、IPS网元、AV网元中任一网元配置的策略不允许第一流量报文通过,则表征第一流量报文存在安全风险,此时直接将第一流量报文丢弃。但是,会话控制表仍保留第一流量报文的会话控制标识及与之对应的安全服务链标识(此时的安全服务链标识中包含未通过的网元测试对应的标识数据)。
而若会话控制标识项中包含目标会话控制标识,则表征目标会话控制标识所对应的流量报文已经经过网元的测试了。此时,根据其对应的安全服务链标识即可确定第一流量报文是否通过网元测试,进而直接根据测试结果执行对应的处理操作。当与目标会话控制标识对应的安全服务链标识中的标识数据表征通过所有网元测试后,则第一流量报文的处理操作为将第一流量报文直接发送至FPGA加速网卡(如线路9)。当与目标会话控制标识对应的安全服务链标识标志中的标识数据存在表征未通过网元检测的数据,则第一流量报文的处理操作为将第一流量报文丢弃。
此外,当第一流量报文经安全服务链中的所有网元测试通过后,OVS虚拟网桥还会将目标会话控制标识发送至FPGA加速网卡(如线路10)。
当FPGA加速网卡200接收到处理器100发送的第一流量报文,则表征第一流量报文在安全服务链的所有网元中均测试通过。此时,FPGA加速网卡将第一流量报文发送至终端设备B(如线路13)。
请参阅图6,基于同一发明构思,本申请实施例还提供一种报文安全转发方法。该方法应用于网络安全设备中的FPGA加速网卡。该方法包括:步骤S301~步骤S302。
步骤S301:当接收到第一流量报文后,将第一流量报文发送至网络安全设备中的处理器;以使处理器调用DPDK驱动程序,根据预设的OVS网桥配置,将第一流量报文传输至安全服务链中进行测试。
步骤S302:接收处理器发送的第一流量报文,并将第一流量报文发送至与第一流量报文所对应的终端设备;其中,当FPGA加速网卡接收到处理器发送的第一流量报文,则表征第一流量报文在安全服务链的所有网元中均测试通过。
可选地,该方法包括:接收处理器发送的目标会话控制标识;其中,目标会话控制标识基于第一流量报文的五元组信息生成;当FPGA加速网卡接收到处理器发送的目标会话控制标识,则表征目标会话控制标识对应的报文在安全服务链的所有网元中均测试通过;当接收到第二流量报文时,基于第二流量报文的五元组信息生成对应的会话控制标识;当第二流量报文的五元组信息对应的会话控制标识与目标会话控制标识相同时,直接将第二流量报文发送至与第二流量报文对应的终端设备。
需要说明的是,由于上述步骤在前述实施例中均已有说明,为了避免累赘,此处不作赘述,相同部分互相参考即可。
基于同一发明构思,本申请实施例还提供一种报文安全转发装置,该装置包括:
第一发送模块,用于当接收到第一流量报文后,将所述第一流量报文发送至所述网络安全设备中的处理器;以使所述处理器调用DPDK驱动程序,根据预设的OVS网桥配置,将所述第一流量报文传输至安全服务链中进行测试。
第二发送模块,用于接收所述处理器发送的所述第一流量报文,并将所述第一流量报文发送至与所述第一流量报文所对应的终端设备;其中,当所述FPGA加速网卡接收到所述处理器发送的所述第一流量报文,则表征所述第一流量报文在所述安全服务链的所有网元中均测试通过。
可选地,该装置还包括接收模块和生成模块。
接收模块用于接收所述处理器发送的目标会话控制标识;其中,所述目标会话控制标识基于所述第一流量报文的五元组信息生成;当所述FPGA加速网卡接收到所述处理器发送的所述目标会话控制标识,则表征所述目标会话控制标识对应的报文在所述安全服务链的所有网元中均测试通过。
生成模块用于当接收到第二流量报文时,基于所述第二流量报文的五元组信息生成对应的会话控制标识。
相应的,第二发送模块还具体用于当所述第二流量报文的五元组信息对应的会话控制标识与所述目标会话控制标识相同时,直接将所述第二流量报文发送至与所述第二流量报文对应的终端设备。
需要说明的是,由于所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
基于同一发明构思,本申请实施例还提供一种计算机可读存储介质,其上存储有计算机程序,计算机程序在被运行时执行上述实施例中提供的方法。
该存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如软盘、硬盘、磁带)、光介质(例如DVD)、或者半导体介质(例如固态硬盘Solid State Disk(SSD))等。
在本申请所提供的实施例中,应该理解到,所揭露装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
再者,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (6)
1.一种报文安全转发方法,其特征在于,应用于网络安全设备,所述方法包括:
当FPGA加速网卡接收到第一流量报文后,将所述第一流量报文发送至处理器;
所述处理器调用DPDK驱动程序,根据预设的OVS网桥配置,将所述第一流量报文传输至安全服务链中进行测试;当所述第一流量报文在所述安全服务链的所有网元中均测试通过后,将所述第一流量报文发送至所述FPGA加速网卡,以使所述FPGA加速网卡将所述第一流量报文发送至与所述第一流量报文所对应的终端设备;FPGA加速网卡所接收到的第一流量报文为网络安全设备外部的其他终端设备所发送的报文;
所述OVS网桥配置中包括网元流表;所述网元流表包括所述安全服务链中的各网元的测试顺序;所述OVS网桥配置中还包括:会话控制表;所述会话控制表包括会话控制标识项和安全服务链标识项;
其中,所述根据预设的OVS网桥配置,将所述第一流量报文传输至安全服务链中进行测试,包括:
基于所述第一流量报文的五元组信息生成目标会话控制标识;
判断所述会话控制标识项中是否包含所述目标会话控制标识;
若否,则将所述目标会话控制标识添加至所述会话控制标识项中,以及在与所述目标会话控制标识对应的安全服务链标识项中设置初始服务链标识;再基于所述网元流表,将所述第一流量报文依次发送至所述安全服务链的网元中进行测试;当所述第一流量报文通过当前网元的测试后,则进行下一网元的测试,且将所述初始服务链标识中与当前网元对应的标识数据进行更新,当所述第一流量报文未通过当前网元的测试,则将所述第一流量报文进行丢弃;
若是,则根据与所述目标会话控制标识对应的安全服务链标识确定所述第一流量报文的处理操作;其中,当与所述目标会话控制标识对应的安全服务链标识中的标识数据表征通过所有网元测试后,则所述第一流量报文的处理操作为将所述第一流量报文直接发送至所述FPGA加速网卡,以使所述FPGA加速网卡将所述第一流量报文发送至与所述第一流量报文所对应的终端设备;当与所述目标会话控制标识对应的安全服务链标识标志中的标识数据存在表征未通过网元检测的数据,则所述第一流量报文的处理操作为将所述第一流量报文丢弃;
其中,在所述第一流量报文经所述安全服务链中的所有网元测试通过后,所述方法还包括:
将所述目标会话控制标识发送至所述FPGA加速网卡;
相应的,在所述FPGA加速网卡接收到第二流量报文时,所述方法还包括:
所述FPGA加速网卡基于所述第二流量报文的五元组信息生成对应的会话控制标识;当所述第二流量报文的五元组信息对应的会话控制标识与所述目标会话控制标识相同时,直接将所述第二流量报文发送至与所述第二流量报文对应的终端设备。
2.根据权利要求1所述的方法,其特征在于,所述将所述目标会话控制标识发送至所述FPGA加速网卡,包括:
将所述目标会话控制标识通过链表或哈希表进行缓存;
将缓存后的目标会话控制标识发送至所述FPGA加速网卡。
3.一种报文安全转发方法,其特征在于,应用于网络安全设备中的FPGA加速网卡,所述方法包括:
当接收到第一流量报文后,将所述第一流量报文发送至所述网络安全设备中的处理器;以使所述处理器调用DPDK驱动程序,根据预设的OVS网桥配置,将所述第一流量报文传输至安全服务链中进行测试;
接收所述处理器发送的所述第一流量报文,并将所述第一流量报文发送至与所述第一流量报文所对应的终端设备;其中,当所述FPGA加速网卡接收到所述处理器发送的所述第一流量报文,则表征所述第一流量报文在所述安全服务链的所有网元中均测试通过;FPGA加速网卡所接收到的第一流量报文为网络安全设备外部的其他终端设备所发送的报文;
所述OVS网桥配置中包括网元流表;所述网元流表包括所述安全服务链中的各网元的测试顺序;所述OVS网桥配置中还包括:会话控制表;所述会话控制表包括会话控制标识项和安全服务链标识项;
其中,所述根据预设的OVS网桥配置,将所述第一流量报文传输至安全服务链中进行测试,包括:
基于所述第一流量报文的五元组信息生成目标会话控制标识;
判断所述会话控制标识项中是否包含所述目标会话控制标识;
若否,则将所述目标会话控制标识添加至所述会话控制标识项中,以及在与所述目标会话控制标识对应的安全服务链标识项中设置初始服务链标识;再基于所述网元流表,将所述第一流量报文依次发送至所述安全服务链的网元中进行测试;当所述第一流量报文通过当前网元的测试后,则进行下一网元的测试,且将所述初始服务链标识中与当前网元对应的标识数据进行更新,当所述第一流量报文未通过当前网元的测试,则将所述第一流量报文进行丢弃;
若是,则根据与所述目标会话控制标识对应的安全服务链标识确定所述第一流量报文的处理操作;其中,当与所述目标会话控制标识对应的安全服务链标识中的标识数据表征通过所有网元测试后,则所述第一流量报文的处理操作为将所述第一流量报文直接发送至所述FPGA加速网卡,以使所述FPGA加速网卡将所述第一流量报文发送至与所述第一流量报文所对应的终端设备;当与所述目标会话控制标识对应的安全服务链标识标志中的标识数据存在表征未通过网元检测的数据,则所述第一流量报文的处理操作为将所述第一流量报文丢弃;
其中,所述方法还包括:
接收所述处理器发送的目标会话控制标识;其中,所述目标会话控制标识基于所述第一流量报文的五元组信息生成;当所述FPGA加速网卡接收到所述处理器发送的所述目标会话控制标识,则表征所述目标会话控制标识对应的报文在所述安全服务链的所有网元中均测试通过;
当接收到第二流量报文时,基于所述第二流量报文的五元组信息生成对应的会话控制标识;
当所述第二流量报文的五元组信息对应的会话控制标识与所述目标会话控制标识相同时,直接将所述第二流量报文发送至与所述第二流量报文对应的终端设备。
4.一种报文安全转发装置,其特征在于,应用于网络安全设备中的FPGA加速网卡,所述装置包括:
第一发送模块,用于当接收到第一流量报文后,将所述第一流量报文发送至所述网络安全设备中的处理器;以使所述处理器调用DPDK驱动程序,根据预设的OVS网桥配置,将所述第一流量报文传输至安全服务链中进行测试;
第二发送模块,用于接收所述处理器发送的所述第一流量报文,并将所述第一流量报文发送至与所述第一流量报文所对应的终端设备;其中,当所述FPGA加速网卡接收到所述处理器发送的所述第一流量报文,则表征所述第一流量报文在所述安全服务链的所有网元中均测试通过;FPGA加速网卡所接收到的第一流量报文为网络安全设备外部的其他终端设备所发送的报文;
所述OVS网桥配置中包括网元流表;所述网元流表包括所述安全服务链中的各网元的测试顺序;所述OVS网桥配置中还包括:会话控制表;所述会话控制表包括会话控制标识项和安全服务链标识项;
其中,所述根据预设的OVS网桥配置,将所述第一流量报文传输至安全服务链中进行测试,包括:
基于所述第一流量报文的五元组信息生成目标会话控制标识;
判断所述会话控制标识项中是否包含所述目标会话控制标识;
若否,则将所述目标会话控制标识添加至所述会话控制标识项中,以及在与所述目标会话控制标识对应的安全服务链标识项中设置初始服务链标识;再基于所述网元流表,将所述第一流量报文依次发送至所述安全服务链的网元中进行测试;当所述第一流量报文通过当前网元的测试后,则进行下一网元的测试,且将所述初始服务链标识中与当前网元对应的标识数据进行更新,当所述第一流量报文未通过当前网元的测试,则将所述第一流量报文进行丢弃;
若是,则根据与所述目标会话控制标识对应的安全服务链标识确定所述第一流量报文的处理操作;其中,当与所述目标会话控制标识对应的安全服务链标识中的标识数据表征通过所有网元测试后,则所述第一流量报文的处理操作为将所述第一流量报文直接发送至所述FPGA加速网卡,以使所述FPGA加速网卡将所述第一流量报文发送至与所述第一流量报文所对应的终端设备;当与所述目标会话控制标识对应的安全服务链标识标志中的标识数据存在表征未通过网元检测的数据,则所述第一流量报文的处理操作为将所述第一流量报文丢弃;
其中,在所述第一流量报文经所述安全服务链中的所有网元测试通过后,所述装置还包括:
将所述目标会话控制标识发送至所述FPGA加速网卡;
相应的,在所述FPGA加速网卡接收到第二流量报文时,所述装置还包括:
所述FPGA加速网卡基于所述第二流量报文的五元组信息生成对应的会话控制标识;当所述第二流量报文的五元组信息对应的会话控制标识与所述目标会话控制标识相同时,直接将所述第二流量报文发送至与所述第二流量报文对应的终端设备。
5.一种网络安全设备,其特征在于,包括:FPGA加速网卡及处理器;
所述FPGA加速网卡,用于接收到第一流量报文后,将所述第一流量报文发送至所述处理器;
所述处理器用于调用DPDK驱动程序,根据预设的OVS网桥配置,将所述第一流量报文传输至安全服务链中进行测试;当所述第一流量报文在所述安全服务链的所有网元中均测试通过后,将所述第一流量报文发送至所述FPGA加速网卡,以使所述FPGA加速网卡将所述第一流量报文发送至与所述第一流量报文所对应的终端设备;FPGA加速网卡所接收到的第一流量报文为网络安全设备外部的其他终端设备所发送的报文;
所述OVS网桥配置中包括网元流表;所述网元流表包括所述安全服务链中的各网元的测试顺序;所述OVS网桥配置中还包括:会话控制表;所述会话控制表包括会话控制标识项和安全服务链标识项;
其中,所述根据预设的OVS网桥配置,将所述第一流量报文传输至安全服务链中进行测试,包括:
基于所述第一流量报文的五元组信息生成目标会话控制标识;
判断所述会话控制标识项中是否包含所述目标会话控制标识;
若否,则将所述目标会话控制标识添加至所述会话控制标识项中,以及在与所述目标会话控制标识对应的安全服务链标识项中设置初始服务链标识;再基于所述网元流表,将所述第一流量报文依次发送至所述安全服务链的网元中进行测试;当所述第一流量报文通过当前网元的测试后,则进行下一网元的测试,且将所述初始服务链标识中与当前网元对应的标识数据进行更新,当所述第一流量报文未通过当前网元的测试,则将所述第一流量报文进行丢弃;
若是,则根据与所述目标会话控制标识对应的安全服务链标识确定所述第一流量报文的处理操作;其中,当与所述目标会话控制标识对应的安全服务链标识中的标识数据表征通过所有网元测试后,则所述第一流量报文的处理操作为将所述第一流量报文直接发送至所述FPGA加速网卡,以使所述FPGA加速网卡将所述第一流量报文发送至与所述第一流量报文所对应的终端设备;当与所述目标会话控制标识对应的安全服务链标识标志中的标识数据存在表征未通过网元检测的数据,则所述第一流量报文的处理操作为将所述第一流量报文丢弃;
其中,在所述第一流量报文经所述安全服务链中的所有网元测试通过后,所述设备还包括:
将所述目标会话控制标识发送至所述FPGA加速网卡;
相应的,在所述FPGA加速网卡接收到第二流量报文时,所述设备还包括:
所述FPGA加速网卡基于所述第二流量报文的五元组信息生成对应的会话控制标识;当所述第二流量报文的五元组信息对应的会话控制标识与所述目标会话控制标识相同时,直接将所述第二流量报文发送至与所述第二流量报文对应的终端设备。
6.一种FPGA加速网卡,其特征在于,其上存储有计算机程序,所述计算机程序在被计算机运行时执行如权利要求3所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111401807.2A CN114070639B (zh) | 2021-11-19 | 2021-11-19 | 一种报文安全转发方法、装置及网络安全设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111401807.2A CN114070639B (zh) | 2021-11-19 | 2021-11-19 | 一种报文安全转发方法、装置及网络安全设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114070639A CN114070639A (zh) | 2022-02-18 |
CN114070639B true CN114070639B (zh) | 2024-04-23 |
Family
ID=80275719
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111401807.2A Active CN114070639B (zh) | 2021-11-19 | 2021-11-19 | 一种报文安全转发方法、装置及网络安全设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114070639B (zh) |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106789542A (zh) * | 2017-03-03 | 2017-05-31 | 清华大学 | 一种云数据中心安全服务链的实现方法 |
CN107911258A (zh) * | 2017-12-29 | 2018-04-13 | 深信服科技股份有限公司 | 一种基于sdn网络的安全资源池的实现方法及系统 |
CN108933731A (zh) * | 2017-05-22 | 2018-12-04 | 南京骏腾信息技术有限公司 | 基于大数据分析的智能网关 |
WO2019129167A1 (zh) * | 2017-12-29 | 2019-07-04 | 华为技术有限公司 | 一种处理数据报文的方法和网卡 |
CN109981355A (zh) * | 2019-03-11 | 2019-07-05 | 北京网御星云信息技术有限公司 | 用于云环境的安全防御方法及系统、计算机可读存储介质 |
US10637750B1 (en) * | 2017-10-18 | 2020-04-28 | Juniper Networks, Inc. | Dynamically modifying a service chain based on network traffic information |
CN112543137A (zh) * | 2020-11-30 | 2021-03-23 | 中国电子科技集团公司第五十四研究所 | 基于半虚拟化和ovs-dpdk的虚拟机网络加速系统 |
-
2021
- 2021-11-19 CN CN202111401807.2A patent/CN114070639B/zh active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106789542A (zh) * | 2017-03-03 | 2017-05-31 | 清华大学 | 一种云数据中心安全服务链的实现方法 |
CN108933731A (zh) * | 2017-05-22 | 2018-12-04 | 南京骏腾信息技术有限公司 | 基于大数据分析的智能网关 |
US10637750B1 (en) * | 2017-10-18 | 2020-04-28 | Juniper Networks, Inc. | Dynamically modifying a service chain based on network traffic information |
CN107911258A (zh) * | 2017-12-29 | 2018-04-13 | 深信服科技股份有限公司 | 一种基于sdn网络的安全资源池的实现方法及系统 |
WO2019129167A1 (zh) * | 2017-12-29 | 2019-07-04 | 华为技术有限公司 | 一种处理数据报文的方法和网卡 |
CN109992405A (zh) * | 2017-12-29 | 2019-07-09 | 西安华为技术有限公司 | 一种处理数据报文的方法和网卡 |
CN109981355A (zh) * | 2019-03-11 | 2019-07-05 | 北京网御星云信息技术有限公司 | 用于云环境的安全防御方法及系统、计算机可读存储介质 |
CN112543137A (zh) * | 2020-11-30 | 2021-03-23 | 中国电子科技集团公司第五十四研究所 | 基于半虚拟化和ovs-dpdk的虚拟机网络加速系统 |
Non-Patent Citations (3)
Title |
---|
DPDK技术应用研究综述;曾理;叶晓舟;王玲芳;;网络新媒体技术(02);全文 * |
云计算基础平台的网络加速实现方法;徐国振;张东;颜秉珩;冯振;;计算机应用研究(S1);全文 * |
基于DPDK 技术实现OVS;胡卫文等;网络新媒体技术(第01期);1-7 * |
Also Published As
Publication number | Publication date |
---|---|
CN114070639A (zh) | 2022-02-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11671402B2 (en) | Service resource scheduling method and apparatus | |
US11088944B2 (en) | Serverless packet processing service with isolated virtual network integration | |
US11218445B2 (en) | System and method for implementing a web application firewall as a customized service | |
US10291586B2 (en) | Monitoring wireless data consumption | |
US20130160129A1 (en) | System security evaluation | |
CN106656966B (zh) | 一种拦截业务处理请求的方法和装置 | |
CN114826754A (zh) | 一种不同网络间的通信方法及系统、存储介质、电子装置 | |
CN110278152B (zh) | 一种建立快速转发表的方法及装置 | |
JP2023508302A (ja) | ネットワークセキュリティ保護方法及び保護デバイス | |
US20220286409A1 (en) | Method and apparatus for configuring quality of service policy for service, and computing device | |
CN109905352B (zh) | 一种基于加密协议审计数据的方法、装置和存储介质 | |
US8526938B1 (en) | Testing mobile phone maintenance channel | |
CN114070639B (zh) | 一种报文安全转发方法、装置及网络安全设备 | |
US11296981B2 (en) | Serverless packet processing service with configurable exception paths | |
US11778451B2 (en) | 5G Network Exposure Function (NEF) capturing processor identity | |
CN115603974A (zh) | 一种网络安全防护方法、装置、设备及介质 | |
KR101747032B1 (ko) | 소프트웨어 정의 네트워킹 환경에서의 모듈형 제어 장치 및 그 동작 방법 | |
US20220083485A1 (en) | Data frame interface network device | |
US11212161B2 (en) | Management and resolution of alarms based on historical alarms | |
EP2981024B1 (en) | Method and apparatus for home gateway port configuration | |
CN115208590A (zh) | 一种跨域通信系统、方法及存储介质 | |
TWI732708B (zh) | 基於多接取邊緣運算的網路安全系統和網路安全方法 | |
CN111262813A (zh) | 应用服务的提供方法、装置、设备及介质 | |
CN111865713B (zh) | 吞吐测试方法、装置、存储介质和电子设备 | |
WO2024098948A1 (zh) | 通信方法、存储介质和程序产品 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |