CN114448653A - 策略执行方法、相关装置以及存储介质 - Google Patents
策略执行方法、相关装置以及存储介质 Download PDFInfo
- Publication number
- CN114448653A CN114448653A CN202011124155.8A CN202011124155A CN114448653A CN 114448653 A CN114448653 A CN 114448653A CN 202011124155 A CN202011124155 A CN 202011124155A CN 114448653 A CN114448653 A CN 114448653A
- Authority
- CN
- China
- Prior art keywords
- security policy
- policy information
- user
- information
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例公开了策略执行方法以及相关设备,用于确保控制面功能设备CP提供正常的用户接入功能。本申请实施例方法包括:CP根据安全状态生成相应的安全策略信息,再将安全策略信息发送给用户面功能设备UP,使得UP根据安全策略信息执行相应的安全防护操作,从而对网络攻击进行防御。
Description
技术领域
本申请实施例涉及网络安全领域,尤其涉及策略执行的方法、相关装置以及存储介质。
背景技术
随着软件定义型网络(software designed network,SDN)技术和网络功能虚拟化(network functions virtualization,NFV)技术的发展,城域网从以网络为核心的网络架构向着以数据为核心的网络架构演进,传统的网元设备也从专业化朝着通用化演进,传统的网元设备从专业化向通用化演进主要解决两个解耦,即控制与转发的解耦以及软件与硬件的解耦。
控制面功能(control plane function,CP)设备是控制面与用户面分离(controland user plane separation,CUPS)网络架构中虚拟宽带网络网关(virtual broadbandnetwork gateway,VBNG)的控制平面,CP控制整个城域的家庭用户接入,CP会管理大量的用户面功能(user plane function,UP)设备,CP会处理UP上送的用户拨号报文以及续租报文,CP还维护大量的面向UP的南北向管理通道以及控制通道,CP还维护与远程用户拨号认证(remote authentication dial in user service,Radius)服务器、动态主机配置协议(dynamic host configuration protocol,DHCP)服务器以及主备CP之间的大量东西向通道。
在现有的技术中,CP缺少完备的安全保护,容易受到分布式拒绝服务攻击(distributed denial of service attack,DDOS),从而影响CP提供正常的用户接入功能。
发明内容
本申请实施例提供了策略执行方法、控制面功能设备、用户面功能设备以及网关设备,能够确保控制面功能设备提供正常的用户接入功能。
本申请实施例第一方面提供了一种策略执行方法:
在控制面与用户面分离CUPS的网络架构中,CP会管理大量的UP,CP会处理UP上送的用户拨号报文以及续租报文,还会管理大量面向UP的控制通道,容易遭受网络攻击,CP可以根据对安全状态的感知生成相应的安全策略信息,其中安全策略信息包括用户标识信息以及执行策略信息,CP将该安全策略信息发送给UP,这样UP就可以根据CP发送的安全策略信息执行相应的安全防护操作,避免CP因为受到网络攻击而无法提供正常的用户接入功能。
本申请实施例中,CP可以根据不同的安全状态生成相应的安全策略信息,并将安全策略信息向UP发送,使得UP执行相应的安全防护操作,从而较为灵活地保证了用户接入功能的正常提供。
结合本申请实施例的第一方面,本申请实施例第一方面的第一种实现方式中,CP可以根据当前的业务处理信息确定是否存在异常的用户,如果存在异常的用户,说明CP可能正在遭受DDOS攻击,CP生成相应的安全策略信息。具体的,业务处理信息可以包括用户接入限制信息、用户认证失败信息以及用户上下线信息中的至少一种,用户接入限制信息表示的是某一个虚拟局域网(virtual local area network,VLAN)下进行拨号认证的用户数量是否超过了最大的允许拨号认证的用户数量,用户认证失败信息表示的是某一个用户拨号认证失败的次数是否大于预设值,用户上下线信息表示的是某一个用户是否总是在频繁地在上线和下线之间切换。
本申请实施例中,CP可以根据业务处理信息确定是否存在异常用户,如果存在则生成相应的安全策略信息,提高了方案的可实现性。
结合本申请实施例的第一方面,本申请实施例第一方面的第二种实现方式中,当CP确定UP发生的报文中存在超过预设值数量的异常报文时,CP可以生成安全策略信息。
结合本申请实施例第一方面的第一种实现方式或第一方面的第二种实现方式,本申请实施例第一方面的第三种实现方式中,用户标识信息包括第一用户标识信息,该第一用户标识信息包括UP的标识,或者包括UP的接口标识,或者包括VLAN标识,或者包括用户设备的媒体访问控制(media access control address,MAC)地址。这里,VLAN标识可以是用户设备接入的VLAN的标识。执行策略信息可以包括丢弃指示,该丢弃指示用于指示UP根据第一用户标识信息对报文进行丢弃。
结合本申请实施例的第一方面,本申请实施例第一方面的第四种实现方式中,如果UP发送到CP的报文的速率大于预设值,则说明可能存在DDOS攻击了,则CP可以生成相应的安全策略信息。
本申请实施例中,当UP发送报文的速率太大时,CP生成安全策略信息,提高了方案的灵活性。
结合本申请实施例第一方面的第四种实现方式,本申请实施例第一方面的第五种实现方式中,用户标识信息包括第二用户标识信息,该第二用户标识信息包括UP的标识,或者包括协议类型,或者包括UP的接口标识,或者包括VLAN标识,其中协议类型包括以太网承载点对点协议(internet protool over ethernet,IPOE)或基于以太网的因特网协议(internet protool over ethernet,IPOE)。执行策略信息可以包括限速指示或者重定向指示,限速指示用于指示UP根据第二用户标识信息限制发送报文至CP的速率,重定向指示用于指示UP根据第二用户标识信息将报文发送至流量清洗设备,得到经过清洗处理的报文,然后流量清洗设备将经过清洗处理的报文发送给CP。
结合本申请实施例的第一方面、本申请实施例第一方面的第一种实现方式至第五种实现方式中的任一种,本申请实施例第一方面的第六种实现方式中,CP可以在确定系统处于过载状态时再触发根据安全状态生成安全策略信息的步骤,具体的,系统状态可以包括中央处理器状态、内存状态以及消息队列深度状态中的至少一种。
本申请实施例中,CP在确定系统处于过载状态时再触发根据安全状态生成安全策略信息的步骤,从而提高了方案的针对性。
结合本申请实施例的第一方面、本申请实施例第一方面的第一种实现方式至第六种实现方式中的任一种,本申请实施例第一方面的第七种实现方式中,CP向UP发生的安全策略信息可以通过网管设备查看。
结合本申请实施例的第一方面、本申请实施例第一方面的第一种实现方式至第七种实现方式中的任一种,本申请实施例第一方面的第八种实现方式中,CP在向UP发送安全策略信息之后,CP还可以向UP发送清除指示,该清除指示用于UP清除掉之前接收到的安全策略信息。
本申请实施例第二方面提供了一种策略执行方法:
在控制面与用户面分离CUPS的网络架构中,CP会管理大量的UP,UP可以接收CP发送的安全策略信息,该安全策略信息为CP根据安全状态生成的,该安全策略信息中包括了用户标识信息以及策略执行信息,UP可以根据接收到的安全策略信息执行相应的安全防护操作,保证CP提供正常的用户接入功能。
本申请实施例中,UP可以根据CP发送的安全策略信息执行安全防护操作,从而保证了CP能够提供正常的用户接入功能。
结合第二方面,本申请实施例第二方面的第一种实现方式中,当CP根据当前的业务处理信息确定存在异常的用户时,UP可以接收CP发送的安全策略信息。具体的,业务处理信息可以包括用户接入限制信息、用户认证失败信息以及用户上下线信息中的至少一种,用户接入限制信息表示的是一个VLAN下进行拨号认证的用户数量是否超过了最大的允许拨号认证的用户数量,用户认证失败信息表示的是某一个用户拨号认证失败的次数是否大于预设值,用户上下线信息表示的是用户是否总是在频繁地在上线和下线之间切换。
本申请实施例中,当CP根据业务处理信息确定存在异常用户时,UP可以接收到相应的安全策略信息,提高了方案的可实现性。
结合第二方面,本申请实施例第二方面的第二种实现方式中,当CP确定UP发送的报文中存在大于预设值数量的异常报文时,UP可以接收到CP发送的安全策略信息。
结合本申请实施例第二方面的第一种实现方式或第二方面的第二种实现方式,本申请实施例第二方面的第三种实现方式中,用户标识信息包括第一用户标识信息,该第一用户标识信息包括UP的标识,或者包括UP的接口标识,或者包括VLAN标识,或者包括用户设备的MAC地址。执行策略信息可以包括丢弃指示,该丢弃指示用于指示UP根据第一用户标识信息对报文进行丢弃。
本申请实施例中,当异常报文的数量大于预设值时,UP可以接收到相应的安全策略信息,提高了方案的灵活性。
结合第二方面,本申请实施例第二方面的第四种实现方式中,当UP发送到CP的报文的速率大于预设值时,UP可以接收CP发送的安全策略信息。
结合第二方面的第四种实现方式,本申请实施例第二方面的第五种实现方式中,用户标识信息包括第二用户标识信息,该第二用户标识信息包括UP的标识,或者包括协议类型,或者包括UP的接口标识,或者包括VLAN标识,其中协议类型包括IPOE或IPOE。执行策略信息可以包括限速指示或者重定向指示,限速指示用于指示UP根据第二用户标识信息限制发送报文至CP的速率,重定向指示用于指示UP根据第二用户标识信息将报文发送至流量清洗设备,得到经过清洗处理的报文,然后流量清洗设备将经过清洗处理的报文发送给CP。
结合第二方面、第二方面的第一种实现方式至第五种实现方式中的任一种,本申请实施例第二方面的第六种实现方式中,UP接收到的安全策略信息可以通过一个网管设备查看。
结合第二方面、第二方面的第一种实现方式至第六种实现方式中的任一种,本申请实施例第二方面的第七种实现方式中,UP在接收到CP发送的安全策略信息之后,还可以接收到CP发送的清除指示,该清除指示用于UP清除掉之前接收到的安全策略信息。
本申请实施例第三方面提供了一种策略执行方法:
CP针对不同的业务会话,都会有不同的会话流量预期,为了避免DDOS攻击导致的流量大于预期值的情况,CP可以生成安全策略信息,在生成了安全策略信息之后,CP可以向网络功能虚拟化编排器(network function virtualization orchestrator,NFVO)发送该安全策略信息,NFVO在接收到该安全策略信息之后,可以将该安全策略信息向CP的网关设备发送,该安全策略信息可以用于CP的网关设备执行相应的安全防护操作。
本申请实施例中,CP可以通过NFVO向网关设备发送安全策略信息,使得网关设备执行相应的安全防护操作,保证了CP的系统安全。
结合第三方面,本申请实施例中第三方面的第一种实现方式中,NFVO可以先向网络控制器发送安全策略信息,网络控制器接收到安全策略信息之后,可以向网关设备发送该安全策略信息。
结合第三方面的第一种实现方式,本申请实施例中第三方面的第二种实现方式中,安全策略信息可以包括所述CP的IP地址、目标IP地址以及限速参数,这其中目标IP地址包括动态主机配置协议服务器的IP地址、远程用户拨号认证服务器的IP地址以及目标CP的IP地址中的任一种,或者,安全策略信息也包括CP的IP地址、协议类型以及限速参数,这其中,协议类型可以包括远程用户拨号认证协议、动态主机配置协议以及冗余数据备份协议中的任一种,或者,安全策略信息也包括所述CP的IP地址、协议类型、目标IP地址、CP的端口号、目标端口号以及限速参数,这其中,目标端口号可以包括动态主机配置协议服务器的端口号、远程用户拨号认证服务器的端口号以及所述目标CP的端口号中的任一种。该安全策略信息,可以指示网关设备限制报文发送到所述CP的速率。
结合第三方面、第三方面的第一种实现方式至第三方面的第二种实现方式中的任一种,本申请实施例中第三方面的第三种实现方式中,CP也可以在确定中央处理器状态、内存状态以及消息队列深度状态处于过载状态时再执行生成安全策略信息的步骤。
本申请实施例中,CP在确定处于过载状态时再生成安全策略信息,因此提高了方案的针对性。
结合第三方面、第三方面的第一种实现方式至第三方面的第二种实现方式中的任一种,本申请实施例中第三方面的第四种实现方式中,CP向NFVO发送的安全策略信息可以通过网管设备查看。
本申请实施例第四方面提供了一种策略执行方法:
网关设备可以接收NFVO发送的安全策略信息,该安全策略信息为CP向NFVO发送,通过NFVO再向网关设备发送,该安全策略信息可以用于网关设备执行安全防护操作。
本申请实施例中,网关设备可以根据接收到的安全策略信息执行安全防护操作,因此能够保证CP提供正常的用户接入功能。
结合第四方面,本申请实施例第四方面的第一种实现方式中,NFVO可以先向网络控制器发送安全策略信息,网络控制器接收到安全策略信息之后,可以向网关设备发送该安全策略信息。
结合第四方面的第一种实现方式,本申请实施例第四方面的第二种实现方式中,安全策略信息可以包括所述CP的IP地址、目标IP地址以及限速参数,这其中目标IP地址包括动态主机配置协议服务器的IP地址、远程用户拨号认证服务器的IP地址以及目标CP的IP地址中的任一种,或者,安全策略信息也包括CP的IP地址、协议类型以及限速参数,这其中,协议类型可以包括远程用户拨号认证协议、动态主机配置协议以及冗余数据备份协议中的任一种,或者,安全策略信息也包括所述CP的IP地址、协议类型、目标IP地址、CP的端口号、目标端口号以及限速参数,这其中,目标端口号可以包括动态主机配置协议服务器的端口号、远程用户拨号认证服务器的端口号以及所述目标CP的端口号中的任一种。该安全策略信息,可以指示网关设备限制报文发送到所述CP的速率。
结合第四方面,本申请实施例第四方面的第一种实现方式至第二种实现方式中的任一种,本申请实施例第四方面的第三种实现方式中,网关设备接收到的安全策略信息可以通过网管设备查看。
本申请实施例第五方面提供了一种控制面功能设备,该控制面功能设备具有实现前述第一方面中控制面功能设备的功能。该功能可以通过硬件实现,也可以通过硬件执行相应的软件实现,该硬件或软件包括一个或多个与上述功能相对应的模块。
本申请实施例第六方面提供了一种用户面功能设备,该控制面功能设备具有实现前述第二方面中控制面功能设备的功能。该功能可以通过硬件实现,也可以通过硬件执行相应的软件实现,该硬件或软件包括一个或多个与上述功能相对应的模块。
本申请实施例第七方面提供了一种控制面功能设备,该控制面功能设备具有实现前述第三方面中控制面功能设备的功能。该功能可以通过硬件实现,也可以通过硬件执行相应的软件实现,该硬件或软件包括一个或多个与上述功能相对应的模块。
本申请实施例第八方面提供了一种网关设备,该控制面功能设备具有实现前述第四方面中控制面功能设备的功能。该功能可以通过硬件实现,也可以通过硬件执行相应的软件实现,该硬件或软件包括一个或多个与上述功能相对应的模块。
本申请实施例第九方面提供了一种控制面功能设备,包括:
处理器、存储器、收发器;
处理器用于执行存储器中的程序,所述处理器用于根据程序代码中的指令,使得控制面功能设备执行第一方面、第一方面的第一种实施方式至第一方面的第八种实施方式中任一种的方法。
本申请实施例第十方面提供了一种用户面功能设备,包括:
处理器、存储器、收发器;
处理器用于执行存储器中的程序,处理器用于根据程序代码中的指令,使得用户面功能设备执行第二方面、第二方面的第一种实施方式至第一方面的第七种实施方式中任一种的方法。
本申请实施例第十一方面提供了一种控制面功能设备,包括:
处理器、存储器、收发器;
处理器用于执行存储器中的程序,所述处理器用于根据程序代码中的指令,使得控制面功能设备执行第三方面、第三方面的第一种实施方式至第三方面的第四种实施方式中任一种的方法。
本申请实施例第十二方面提供了一种网关设备,包括:
处理器、存储器、收发器;
处理器用于执行存储器中的程序,所述处理器用于根据程序代码中的指令,使得网关设备执行第四方面、第四方面的第一种实施方式至第四方面的第三种实施方式中任一种的方法。
附图说明
图1为本申请实施例中CU分离的网络框架的示意图;
图2a为本申请实施例中策略执行方法的一个流程示意图;
图2b为本申请实施例中的一种系统示意图;
图3为本申请实施例中CU分离的网络框架的另一示意图;
图4a为本申请实施例中策略执行方法的另一流程示意图;
图4b为本申请实施例中的另一系统示意图;
图5为本申请实施例中控制面功能设备的一个结构示意;
图6为本申请实施例中用户面功能设备的一个结构示意图;
图7为本申请实施例中控制面功能设备的一个结构示意图;
图8为本申请实施例中网关设备的一个结构示意图;
图9为本申请实施例中控制面功能设备的另一结构示意图;
图10为本申请实施例中用户面功能设备的另一结构示意图;
图11为本申请实施例中网关设备的另一结构示意图。
具体实施方式
本申请实施例提供了一种策略执行的方法,用于保证用户接入业务的正常开展。
本申请实施例可以用于如图1所示的网络框架,如图1所示,CP维护着大量的面向UP的南北向控制通道,与远程用户拨号认证(remote authentication dial in userservice,Radius)服务器、动态主机配置协议(dynamic host configuration protocol,DHCP)服务器以及备用CP之间的东西向通道。用户网络下的用户设备通过客户终端设备接入数字用户线接入复用器,连接接入网络,数字用户线接入复用器连接用户面设备UP,UP可以将用户的拨号报文以及续租报文转发到控制面设备CP上,CP可以通过网关设备与Radius服务器进行对拨号用户的认证,接入用户通过认证后,CP可以通过本地的地址池将IP地址分配给拨号用户,或者也可以通过网关设备接入DHCP服务器将IP地址分配给拨号用户,拨号用户在分配到IP地址之后就可以连入公用网络。
分布式拒绝服务器攻击(distributed denial of service,DDOS)指攻击者利用多个用户终端设备作为攻击平台,发起合理的服务请求来占用过多的网络资源,从而使得合法的用户无法得到服务器的响应。CP对外的连接以及处理信息的种类较多,如果遭受DDOS攻击则可能会导致合法用户的接入业务收到影响,因此需要对CP采取完备的安全防护操作。
请参阅图2a,本申请实施例中策略执行方法的一个流程包括:
201、CP确定系统处于过载状态;
当CP的系统状态处于过载状态,意味着CP的业务处理能力达到了极限,因此CP可能遭受到了DDOS攻击,具体的,CP的系统状态可以划分为三个方面,下面分别进行说明:
1)CP的中央处理器状态,CP的中央处理器是负责运算和处理的核心,例如,当CP的中央处理器占用达到了90%以上的时候,可以认为CP的中央处理器的状态已经处于过载状态。
2)CP的内存状态,例如,当CP的内存占用达到了85%以上的时候,可以认为CP的内存状态已经处于过载状态。
3)CP的消息队列深度状态,CP可以从消息队列中获取报文,消息队列可以缓解CP处理报文的压力,但是当消息队列中的报文堆积过多的时候,意味着出现了多于正常业务场景的报文数量,例如,当CP的消息队列深度达到了10%以上的时候,可以认为CP的消息队列深度状态已经处于过载状态。
当出现上述三个方面中至少一个方面的过载状态时,CP可以确定系统已经处于过载状态,可能遭受到了DDOS攻击。
202、CP根据安全状态信息生成安全策略信息;
CP可以根据不同的安全状态生成对应的安全策略信息,以此确保提供正常的用户接入服务,下面分别进行说明:
1)存在异常的用户时,CP生成安全策略信息;
如果某个用户的业务行为存在异常,则该用户可能为攻击者操控的傀儡机,如果放任不管,该异常的用户会继续占用CP的业务处理资源,达到DDOS攻击的目的。
CP可以根据用户上下线信息确定是否存在异常用户,具体的,例如当一个用户在拨号上网成功之后,在短时间内主动断开与网络的连接,然后在短时间内重新进行拨号上网,该频繁在主动断开网络与拨号上网之间切换的用户,会在每一次拨号上网的时候向CP发送拨号报文,占用CP的业务处理能力,由此CP可以将该用户确定为异常用户,并针对该异常用户生成相应的安全策略信息。
CP可以根据用户认证失败信息确定是否存在异常用户,具体的,例如当一个用户拨号认证失败的次数过多,该用户的目的可能是通过反复地上送拨号报文从而占用CP的业务处理能力,由此CP可以确定该用户为异常用户。
CP可以根据用户接入限制信息确定是否存在异常用户,具体的,例如某一个VLAN只允许接入1000个用户,但是该VLAN下却存在超过1000个用户进行拨号上网,这种情况下可以认为该VLAN下存在大量的异常用户在发起DDOS攻击,针对该VLAN下的异常用户,第一用户标识信息可以包括该VLAN。
具体的,第一用户标识信息可以包括UP的标识,或者包括虚拟局域网(virtuallocal area network,VLAN)标识,或者包括UP的接口标识,或者包括用户设备的媒体访问控制(medium access control,MAC)地址,其中,UP的标识为接收到该安全策略信息的UP的标识,VLAN标识以及用户设备的MAC地址为异常用户的拨号报文中携带的VLAN标识以及MAC地址,UP的接口标识表示的是UP上接到异常用户的拨号报文的接口。
具体的,当异常用户的数量不多时,第一用户标识信息可以包括异常用户的设备的MAC地址,由此对异常用户的拨号报文进行精确的限制,当异常用户的数量过大时,第一用户标识信息的内容可以根据异常用户的分布情况进行调整,例如,大量的异常用户都属于同一个VLAN,这时就不需要针对每个异常用户的设备的MAC地址进行限制,而是直接限制该VLAN,则第一用户标识信息中可以包括该VLAN的标识。
2)UP发送的报文中存在超过预设值数量的异常报文时,CP生成安全策略信息;
具体的,CP可以将UP发送的报文进行解析,如果存在协议类型不正确的报文、长度值不正确的报文、携带的内容不正确的报文以及序列号不正确的报文,或者有大量序列号一致的报文,CP可以将这些报文确定为异常报文,如果异常报文的数量超过了预设值的时候,CP可以根据UP的标识、VLAN标识、UP的接口标识以及用户设备的MAC地址确定该异常报文的来源分布情况,并生成安全策略信息,安全策略信息包括第一用户标识信息以及丢弃指示,丢弃指示用于指示UP将根据第一用户标识信息匹配到的拨号报文进行丢弃。
具体的,如果异常报文来源于Q个MAC地址,则第一用户标识信息可以包括MAC地址,CP针对Q个MAC地址生成Q条安全策略信息,UP根据Q条安全策略信息将来自Q个MAC地址的拨号报文进行丢弃。
具体的,如果异常报文来自T个MAC地址,但是T个MAC地址都属于同一个VLAN,并且包括了该VLAN下的大部分MAC地址,则第一用户标识信息可以包括VLAN标识,CP只需要针对该VLAN生成一条安全策略信息,UP根据该安全策略信息将来自该VLAN的拨号报文全部进行丢弃。
具体的,如果异常报文来自T个VLAN,但是这些VLAN都属于同一个接口,并且包括了该接口下的大部分VLAN,则第一用户标识信息可以包括接口标识,CP只需要针对该接口生成一条安全策略信息,UP根据该安全策略信息将来自该接口的拨号报文全部进行丢弃。
具体的,如果UP发送到CP的异常报文不属于拨号报文,这种情况下异常报文中不会携带VLAN标识以及用户设备的MAC地址等信息,这时,第一用户标识信息可以包括UP的标识,UP将所有报文丢弃,或者安全策略信息也可以不携带用户标识信息,只携带丢弃指示,UP也可以根据该安全策略信息将所有的报文进行丢弃。
3)UP发送报文的速率大于预设值时,CP生成安全策略信息。
不同的业务场景下UP向CP发送报文的速率都会在一个稳定的范围内,如果UP向CP发送报文的速率大于预设值,说明当前的流量情况不符合业务场景,CP可能遭受到DDOS攻击,CP可以生成安全策略信息,其中,安全策略信息包括第二用户标识信息以及执行策略信息,其中,执行策略信息包括限速指示或者重定向指示。
具体的,CP可以对UP发送的拨号报文进行解析,如果协议类型为以太网承载点对点协议(point-to-point protocol over ethernet,PPPOE)的报文上送速率大于预设值,则第二用户标识信息包括PPPOE协议号,UP可以限制协议类型为PPPOE协议的拨号报文发送到CP的速率,或者UP可以将协议类型为PPPOE协议的拨号报文发送到流量清洗设备,协议类型为PPPOE协议的拨号报文经过流量清洗设备的清洗处理后再发送到CP。
或者,如果协议类型为基于以太网的因特网协议(internet protool overethernet,IPOE)的报文上送速率大于预设值,则第二用户标识信息包括IPOE协议号,UP可以限制协议类型为IPOE协议的拨号报文发送到CP的速率,或者UP可以将协议类型为IPOE协议的拨号报文发送到流量清洗设备,协议类型为IPOE协议的拨号报文经过流量清洗设备的清洗处理后再发送到CP。
具体的,在基于协议类型对异常报文进行限制的基础上,还可以进一步根据UP的接口标识对异常报文进行更精确的限制,例如,当一个接口下的拨号报文发送到CP的速率大于预设值时,这时第二用户标识信息可以包括协议类型以及该接口的接口标识,UP可以限制来自该接口且协议类型与第二用户标识信息携带的协议类型一致的报文发送到CP的速率,或者将这些报文发送到流量清洗设备进行清洗处理。
具体的,在基于协议类型对异常报文进行限制的基础上,还可以进一步根据VLAN对异常报文进行更精确的限制,例如,当一个VLAN下的拨号报文发送到CP的速率大于预设值时,这时第二用户标识信息可以包括协议类型以及该VLAN的标识,UP可以限制来自该VLAN且协议类型与第二用户标识信息携带的协议类型一致的报文发送到CP的速率,或者将这些报文发送到流量清洗设备进行清洗处理。
具体的,当第二用户标识信息包括UP的接口标识的情况下,UP可以限制来自该接口的报文发送到CP的速率,或者将这些报文发送到流量清洗设备进行清洗处理。
具体的,当第二用户标识信息包括VLAN标识的情况下,UP可以限制来自该VLAN的报文发送到CP的速率,或者将这些报文发送到流量清洗设备进行清洗处理。
具体的,当第二用户标识信息包括UP的标识时,UP将接收到的所有报文进行限速或者重定向,或者安全策略信息也可以不包括第二用户标识信息,只包括限速指示或者重定向指示,这时UP也可以将接收到的所有报文进行限速或者重定向。
需要说明的,CP生成的安全策略信息可以通过网管设备查看。
需要说明的是,CP也可以不执行步骤201,直接执行步骤202,具体在此不做限定。
203、CP向UP发送安全策略信息;
CP在根据不同的安全状态生成了相应的安全策略信息之后,将安全策略信息发送给UP;
204、UP根据安全策略信息执行安全防护操作;
UP在接收到CP发送的安全策略信息之后,可以根据安全策略信息执行相应的安全防护操作,保证CP能够正常提供用户接入业务。
205、CP向UP发送清除指示。
在UP根据CP发送的安全策略信息执行安全防护操作一段时间之后,CP可以向UP发送清除指示,该指示用于UP清除之前接收到的安全策略信息,UP不再根据安全策略信息执行安全防护操作。
在本申请实施例中,CP可以针对不同的安全状态下发不同的安全策略信息,UP接收到安全策略信息之后可以执行相应的安全防护操作,将发送至CP的报文进行针对性地识别,并采取相应的措施,避免了CP遭受到DDOS攻击而无法提供正常的用户接入业务。
请参阅图2b,上述图2a对应的流程可以应用于如图2b所示的系统中,该系统包括控制面功能设备201以及用户面功能设备202。
本申请实施例可应用于如图3所示的网络框架示意图,如图3所示,该网络框架包括网络功能虚拟化编排器(network function virtualization orchestrator,NFVO)、网络服务描述(network service descriptor,NSD)、虚拟化网络功能管理器(virtualnetwork functions,VNFM)、虚拟化网络功能描述(virtual network functionsdescriptor,VNFD)、虚拟基础设施管理器(virtualize infrastructure management,VIM)以及网络功能虚拟化设施(network function virtualization infrastructure,NFVI),其中NFVO使用NSD定义虚拟化网络功能VNF与外部网络间的连接需求,并进行业务的生命周期管理,VNFM使用VNFD定义的VNF内部网络需求与虚拟机规格,完成VNF内的网络连接,并进行VNF的生命周期管理。
VIM包括云操作系统、数据中心管理平台以及网络控制器,云操作系统可以提供资源服务化接口,数据中心管理平台可以支持虚拟化域控制器的创建,并分配NFV的虚拟机资源池。
NFVI包括防火墙、网关设备、业务架顶交换机以及服务器,CP部署在服务器上,网络控制器可以向防火墙、网关设备以及业务架顶交换机下发配置。在一种实现中,网关设备和防火墙设备可以合一。在另一种实现中,网关设备、防火墙设备和业务架顶交换机可以合一。
请参阅图4a,本申请实施例中策略执行方法的另一流程包括:
401、CP确定系统处于过载状态;
当CP的系统状态处于过载状态,意味着CP的业务处理能力达到了极限,因此CP可能遭受到了DDOS攻击,具体的,CP的系统状态可以划分为三个方面,下面分别进行说明:
1)CP的中央处理器状态,CP的中央处理器是负责运算和处理的核心,例如,当CP的中央处理器占用达到了90%以上的时候,可以认为CP的中央处理器的状态已经处于过载状态。
2)CP的内存状态,例如,当CP的内存占用达到了85%以上的时候,可以认为CP的内存状态已经处于过载状态。
3)CP的消息队列深度状态,CP可以从消息队列中获取报文,消息队列可以缓解CP处理报文的压力,但是当消息队列中的报文堆积过多的时候,意味着出现了多于正常业务场景的报文数量,例如,当CP的消息队列深度达到了10%以上的时候,可以认为CP的消息队列深度状态已经处于过载状态。
当出现上述三个方面中至少一个方面的过载状态时,CP可以确定系统已经处于过载状态,可能遭受到了DDOS攻击。
402、CP生成安全策略信息;
动态主机配置协议服务器、远程用户拨号认证服务器以及备用CP通过CP的网关设备发送到CP的报文的速率在正常的业务场景下会处于稳定,这其中,备用CP为当CP由于故障而停止工作时接管CP的用户接入功能的CP。如果动态主机配置协议服务器、远程用户拨号认证服务器以及备用CP通过CP的网关设备发送报文到CP的速率大于预设的值,则说明CP可能正在遭受DDOS攻击,大量的报文将消耗CP的业务处理能力,因此,CP需要生成安全策略信息发送到CP的网关设备,使得网关设备限制动态主机配置协议服务器、远程用户拨号认证服务器以及备用CP发送报文到CP的速率。
具体的,CP生成的安全策略信息包括CP的网络互连协议(internet protocol,IP)地址、动态主机协议配置服务器的IP地址以及限速参数,该安全策略信息用于CP的网关设备根据限速参数限制动态主机协议配置服务器发送到CP的报文的速率。
具体的,CP生成的安全策略信息包括CP的IP地址、远程用户拨号认证服务器的IP地址以及限速参数,该安全策略信息用于CP的网关设备根据限速参数限制远程用户拨号认证服务器发送到CP的报文的速率。
具体的,CP生成的安全策略信息包括CP的IP地址、备用CP的IP地址以及限速参数,该安全策略信息用于CP的网关设备根据限速参数限制备用CP发送到CP的报文的速率。
或者,CP生成的安全策略信息也可以包括CP的IP地址、动态主机协议配置协议以及限速参数,该安全策略信息用于CP的网关设备根据限速参数限制动态主机协议配置服务器发送到CP的报文的速率。
或者,CP生成的安全策略信息也可以包括CP的IP地址、远程用户拨号认证协议以及限速参数,该安全策略信息用于CP的网关设备根据限速参数限制远程用户拨号认证服务器发送到CP的报文的速率。
或者,CP生成的安全策略信息也可以包括CP的IP地址、冗余数据备份协议以及限速参数,该安全策略信息用于CP的网关设备根据限速参数限制备份CP发送到CP的报文的速率。
或者,CP生成的安全策略信息也可以包括CP的IP地址、CP的端口号、动态主机协议配置协议、动态主机配置协议服务器的IP地址、动态主机配置协议服务器的端口号以及限速参数,该安全策略信息用于CP的网关设备限制动态主机协议服务器发到到CP的报文的速率。
或者,CP生成的安全策略信息也可以包括CP的IP地址、CP的端口号、远程用户拨号认证协议、远程用户拨号认证服务器的IP地址、远程用户拨号认证服务器的端口号以及限速参数,该安全策略信息用于CP的网关设备限制远程用户拨号认证服务器发到到CP的报文的速率。
或者,CP生成的安全策略信息也可以包括CP的IP地址、CP的端口号、冗余数据备份协议协议、备用CP的IP地址、备用CP的端口号以及限速参数,该安全策略信息用于CP的网关设备限制备用CP发到到CP的报文的速率。
需要说明的是,限速参数可以为承诺信息速率(committed information rate,CIR)参数以及承诺突发尺寸(committed burst size,CBS)参数。
需要说明的是,CP也可以不执行步骤401,直接执行步骤402,具体在此不做限定。
403、CP将安全策略信息发送给网络功能虚拟化编排器NFVO;
NFVO负责网络业务、虚拟化网络功能以及资源的总体管理,是网络功能虚拟化架构的核心,因此CP需要向NFVO发送安全策略信息。
404、NFVO将安全策略信息发送给网络控制器;
网络控制器负责各种配置的下发,因此NFVO将安全策略信息发送给网络控制器。
405、网络控制器向网关设备发送安全策略信息;
406、网关设备根据安全策略信息执行限速操作。
网关设备根据接收到的安全策略信息限制相应的报文发送到CP的速率,比如远程用户拨号认证服务器发送的认证应答报文以及授权报文,动态主机配置协议服务器上送的动态主机配置协议报文,备用CP上送的用户备份报文。
本申请实施例中,CP也可以不需要感知到安全状态受到威胁之后才向网关设备发送安全策略信息,CP可以根据正常的业务场景设置与动态主机配置协议服务器、远程用户拨号认证服务器以及备用CP之间的限速参数,既可以对可能发生的DDOS攻击进行防御,也不影响正常的业务功能。
请参阅图4b,上述图4a对应的流程可以应用于如图4b所述的系统中,该通信系统包括控制面功能设备401、网络功能虚拟化编排器402、网络控制器403以及网关设备404。
下面对本申请实施例的中的控制面功能设备进行描述:
请参阅图5,本申请实施例中控制面功能设备500包括生成单元502,发送单元503。
生成单元502,用于根据安全状态生成安全策略信息,安全策略信息包括用户标识信息以及执行策略信息;
生成单元502,具体用于当CP根据业务处理信息确定存在异常用户时,生成安全策略信息,其中,业务处理信息包括用户接入限制信息、用户认证失败信息以及用户上下线信息中的至少一种,生成安全策略信息的内容与前述图2a所示的实施例中的类似,具体此处不再赘述;
生成单元502,具体用于当CP确定UP发送的报文中存在大于预设值数量的异常报文时,生成安全策略信息,生成安全策略信息的内容与前述图2a所示的实施例中的类似,具体此处不再赘述;
生成单元502,具体用于当CP确定UP发送报文的速率大于预设值时,生成安全策略信息,生成安全策略信息的内容与前述图2a所示的实施例中的类似,具体此处不再赘述;
发送单元503,用于向UP发送安全策略信息,安全策略信息用于指示UP执行安全防护操作。
发送单元503,还用于向UP发送清除指示,清除指示用于UP将接收到的安全策略信息进行清除。
在基于上述图5所示的控制面功能设备500的基础上,本申请实施例中控制面功能设备500还包括确定单元501。
确定单元501,用于当系统状态处于过载状态时,确定执行根据安全状态生成安全策略信息的步骤,系统状态包括中央处理器状态、内存状态以及消息队列深度状态中的至少一种。
请参阅图6,本申请实施例中用户面功能设备600包括接收单元601,执行单元602。
接收单元601,用于接收CP发送的安全策略信息,安全策略信息为CP根据安全状态生成,安全策略信息包括用户标识信息以及执行策略信息;
执行单元602,用于根据安全策略信息执行安全防护操作。
可选地,当CP根据业务处理信息确定存在异常用户时;
接收单元601,具体用于接收安全策略信息,接收安全策略信息的内容与前述图2a所示的实施例中的类似,具体此处不再赘述;
可选地,当CP确定UP发送的报文中存在大于预设值数量的异常报文时;
接收单元601,具体用于接收安全策略信息,接收安全策略信息的内容与前述图2a所示的实施例中的类似,具体此处不再赘述;
可选地,当CP确定UP发送报文的速率大于预设值时;
接收单元601,具体用于接收安全策略信息,接收安全策略信息的内容与前述图2a所示的实施例中的类似,具体此处不再赘述。
可选地,执行单元602还用于根据清除指示清除接收到的安全策略信息。
请参阅图7,本申请实施例中控制面功能设备700包括生成单元702,发送单元703。
生成单元702,用于生成安全策略信息,安全策略信息的内容与前述图4a所示的实施例中的类似,具体此处不再赘述;
发送单元703,用于向NFVO发送所安全策略信息。
在基于上述图7所示的控制面功能设备700的基础上,本申请实施例中控制面功能设备700包括确定单元701。
确定单元701,用于当系统状态处于过载状态时,确定执行根据安全状态生成安全策略信息的步骤,系统状态包括中央处理器状态、内存状态以及消息队列深度状态中的至少一种。
请参阅图8,本申请实施例中网关设备800包括接收单元801,执行单元802。
接收单元801,用于接收NFVO发送的安全策略信息,安全策略信息为CP向NVFO发送,用于NFVO向网关设备发送安全策略信息;
执行单元802,用于根据安全策略信息执行安全防护操作;
可选地,执行单元802,具体用于根据安全策略信息限制报文发送到CP的速率。
图9是本申请实施例提供的一种控制面功能设备结构示意图,该控制面功能装置900可以包括一个或一个以上中央处理器(central processing units,CPU)901和存储器905,该存储器905中存储有一个或一个以上的应用程序或数据。
其中,存储器905可以是易失性存储或持久存储。存储在存储器905的程序可以包括一个或一个以上模块,每个模块可以包括对服务器中的一系列指令操作。更进一步地,中央处理器901可以设置为与存储器905通信,在控制面功能装置900上执行存储器905中的一系列指令操作。
控制面功能装置900还可以包括一个或一个以上电源902,一个或一个以上有线或无线网络接口903,一个或一个以上输入输出接口904,和/或,一个或一个以上操作系统,例如Windows ServerTM,Mac OS XTM,UnixTM,LinuxTM,FreeBSDTM等。
该中央处理器901可以执行前述图2a或图4a所示实施例中CP所执行的操作,具体此处不再赘述。
图10是本申请实施例提供的一种用户面功能设备结构示意图,该用户面功能装置1000可以包括一个或一个以上中央处理器(central processing units,CPU)1001和存储器1005,该存储器1005中存储有一个或一个以上的应用程序或数据。
其中,存储器1005可以是易失性存储或持久存储。存储在存储器1005的程序可以包括一个或一个以上模块,每个模块可以包括对服务器中的一系列指令操作。更进一步地,中央处理器1001可以设置为与存储器1005通信,在用户面功能装置1000上执行存储器1005中的一系列指令操作。
用户面功能装置1000还可以包括一个或一个以上电源1002,一个或一个以上有线或无线网络接口1003,一个或一个以上输入输出接口1004,和/或,一个或一个以上操作系统,例如Windows ServerTM,Mac OS XTM,UnixTM,LinuxTM,FreeBSDTM等。
该中央处理器1001可以执行前述图2a所示实施例中UP所执行的操作,具体此处不再赘述。
图11是本申请实施例提供的一种网关设备结构示意图,该网关设备1100可以包括一个或一个以上中央处理器(central processing units,CPU)1101和存储器1105,该存储器1105中存储有一个或一个以上的应用程序或数据。
其中,存储器1105可以是易失性存储或持久存储。存储在存储器1105的程序可以包括一个或一个以上模块,每个模块可以包括对服务器中的一系列指令操作。更进一步地,中央处理器1101可以设置为与存储器1105通信,在网关设备1100上执行存储器1105中的一系列指令操作。
网关设备1100还可以包括一个或一个以上电源1102,一个或一个以上有线或无线网络接口1103,一个或一个以上输入输出接口1104,和/或,一个或一个以上操作系统,例如Windows ServerTM,Mac OS XTM,UnixTM,LinuxTM,FreeBSDTM等。
该中央处理器1101可以执行前述图4a所示实施例中网关设备所执行的操作,具体此处不再赘述。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,read-onlymemory)、随机存取存储器(RAM,random access memory)、磁碟或者光盘等各种可以存储程序代码的介质。
Claims (26)
1.一种策略执行方法,其特征在于,应用于控制面与用户面分离的网络架构,包括:
控制面功能设备CP根据安全状态生成安全策略信息,所述安全策略信息包括用户标识信息以及执行策略信息;
所述CP向用户面功能设备UP发送所述安全策略信息,所述安全策略信息用于指示所述UP执行安全防护操作。
2.根据权利要求1所述的策略执行方法,其特征在于,所述CP根据安全状态生成安全策略信息包括:
当所述CP根据业务处理信息确定存在异常用户时,所述CP生成所述安全策略信息,其中,所述业务处理信息包括用户接入限制信息、用户认证失败信息以及用户上下线信息中的至少一种。
3.根据权利要求1所述的策略执行方法,其特征在于,所述CP根据安全状态生成安全策略信息包括:
当所述CP确定所述UP发送的报文中存在大于预设值数量的异常报文时,所述CP生成所述安全策略信息。
4.根据权利要求2或3所述的策略执行方法,其特征在于,所述用户标识信息包括第一用户标识信息,所述第一用户标识信息包括所述UP的标识;
或,所述第一用户标识信息包括UP的接口标识;
或,所述第一用户标识信息包括虚拟局域网VLAN标识;
或,所述第一用户标识信息包括用户设备的媒体访问控制MAC地址;
所述执行策略信息包括丢弃指示,所述丢弃指示用于所述UP根据所述第一用户标识信息对报文进行丢弃。
5.根据权利要求1所述的策略执行方法,其特征在于,所述CP根据安全状态生成安全策略信息包括:
当所述CP确定所述UP发送报文的速率大于预设值时,所述CP生成所述安全策略信息。
6.根据权利要求5所述的策略执行方法,其特征在于,所述用户标识信息包括第二用户标识信息,所述第二用户标识信息包括所述UP的标识;
或,所述第二用户标识信息包括协议类型;
或,所述第二用户标识信息包括所述UP的接口标识;
或,所述第二用户标识信息包括VLAN标识;
所述协议类型包括以太网承载点对点协议PPPOE或基于以太网的因特网协议IPOE;
所述执行策略信息包括限速指示或者重定向指示,所述限速指示用于指示所述UP根据所述第二用户标识信息限制报文发送至所述CP的速率;
所述重定向指示用于指示所述UP根据所述第二用户标识信息将报文发送至流量清洗设备,得到经过清洗处理的报文;
所述流量清洗设备将所述经过清洗处理的报文发送给所述CP。
7.根据权利要求1至6中任一项所述的策略执行方法,其特征在于,所述方法还包括:
当系统状态处于过载状态时,所述CP确定执行所述根据安全状态生成安全策略信息的步骤,所述系统状态包括中央处理器状态、内存状态以及消息队列深度状态中的至少一种。
8.一种策略执行方法,其特征在于,包括:
用户面功能设备UP接收控制面功能设备CP发送的安全策略信息,所述安全策略信息为所述CP根据安全状态生成,所述安全策略信息包括用户标识信息以及执行策略信息;
所述UP根据所述安全策略信息执行安全防护操作。
9.根据权利要求8所述的策略执行方法,其特征在于,当所述CP根据业务处理信息确定存在异常用户时,所述UP接收所述CP发送的所述安全策略信息,所述业务处理信息包括用户接入限制信息、用户认证失败信息以及用户上下线信息中的至少一种。
10.根据权利要求8所述的策略执行方法,其特征在于,当所述CP确定所述UP发送的报文中存在大于预设值数量的异常报文时,所述UP接收所述CP发送的所述安全策略信息。
11.根据权利要求9或10所述的策略执行方法,其特征在于,所述用户标识信息包括第一用户标识信息,所述第一用户标识信息包括所述UP的标识;
或,所述第一用户标识信息包括UP的接口标识;
或,所述第一用户标识信息包括虚拟局域网VLAN标识;
或,所述第一用户标识信息包括用户设备的媒体访问控制MAC地址;
所述执行策略信息包括丢弃指示,所述丢弃指示用于所述UP根据所述第一用户标识信息对报文进行丢弃。
12.根据权利要求8所述的策略执行方法,其特征在于,当所述CP确定所述UP发送报文的速率大于预设值时,所述UP接收所述CP发生的所述安全策略信息。
13.根据权利要求12所述的策略执行方法,其特征在于,所述用户标识信息包括所述用户标识信息包括第二用户标识信息,所述第二用户标识信息包括包括所述UP的标识;
或,所述第二用户标识信息包括协议类型;
或,所述第二用户标识信息包括所述UP的接口标识;
或,所述第二用户标识信息包括VLAN标识;
所述协议类型包括以太网承载点对点协议PPPOE或基于以太网的因特网协议IPOE;
所述执行策略信息包括限速指示或者重定向指示,所述限速指示用于指示所述UP根据所述第二用户标识信息限制报文发送至所述CP的速率;
所述重定向指示用于指示所述UP根据所述第二用户标识信息将报文发送至流量清洗设备,得到经过清洗处理的报文;
所述流量清洗设备将所述经过清洗处理的报文发送给所述CP。
14.一种策略执行方法,其特征在于,包括:
控制面功能设备CP生成安全策略信息;
所述CP向网络功能虚拟化编排器NFVO发送所述安全策略信息;
所述安全策略信息还用于所述NFVO向所述CP的网关设备发送所述安全策略信息,所述安全策略信息用于指示所述网关设备执行安全防护操作。
15.根据权利要求14所述的策略执行方法,其特征在于,所述安全策略信息用于所述NFVO向所述CP的网关设备发送所述安全策略信息包括:
所述安全策略信息用于所述NFVO向网络控制器发送所述安全策略信息,所述安全策略信息还用于所述网络控制器向所述网关设备发送所述安全策略信息。
16.根据权利要求15所述的策略执行方法,其特征在于,所述安全策略信息包括所述CP的IP地址、目标IP地址以及限速参数,所述目标IP地址包括动态主机配置协议服务器的IP地址、远程用户拨号认证服务器的IP地址以及目标CP的IP地址中的任一种;
或,所述安全策略信息包括所述CP的IP地址、协议类型以及限速参数,所述协议类型包括远程用户拨号认证协议、动态主机配置协议以及冗余数据备份协议中的任一种;
或,所述安全策略信息包括所述CP的IP地址、所述协议类型、所述目标IP地址、所述CP的端口号、目标端口号以及限速参数,所述目标端口号包括动态主机配置协议服务器的端口号、远程用户拨号认证服务器的端口号以及所述目标CP的端口号中的任一种;
所述安全策略信息,用于指示所述CP的网关设备限制报文发送到所述CP的速率。
17.根据权利要求14至16中任一项所述的策略执行方法,其特征在于,所述方法还包括:
当中央处理器状态、内存状态以及消息队列深度状态处于过载状态时,所述CP确定执行所述生成安全策略信息的步骤。
18.一种策略执行方法,其特征在于,包括:
CP的网关设备接收网络功能虚拟化编排器NFVO发送的安全策略信息,所述安全策略信息为CP向所述NVFO发送,所述安全策略信息还用于所述NFVO向所述CP的网关设备发送所述安全策略信息。
19.根据权利要求18所述的策略执行方法,其特征在于,所述NFVO向所述CP的网关设备发送所述安全策略信息包括:
所述NFVO向所述网络控制器发送所述安全策略信息,所述安全策略信息还用于所述网络控制器向所述CP的网关设备发送所述安全策略信息。
20.根据权利要求19所述的策略执行方法,其特征在于,所述安全策略信息包括所述CP的网络互连协议IP地址、目标IP地址以及限速参数,所述目标IP地址包括动态主机配置协议服务器的IP地址、远程用户拨号认证服务器的IP地址以及目标CP的IP地址中的任一种;
或,所述安全策略信息包括所述CP的IP地址、协议类型以及限速参数,所述协议类型包括远程用户拨号认证协议、动态主机配置协议以及冗余数据备份协议中的任一种;
或,所述安全策略信息包括所述CP的IP地址、所述协议类型、所述目标IP地址、所述CP的端口号、目标端口号以及限速参数,所述目标端口号包括动态主机配置协议服务器的端口号、远程用户拨号认证服务器的端口号以及所述目标CP的端口号中的任一种;
所述安全策略信息,用于指示所述网关设备限制报文发送到所述CP的速率。
21.一种应用于控制面与用户面分离的网络架构中的控制面功能设备,其特征在于,包括:存储器、收发器、处理器;
其中,所述存储器用于存储程序;
所述处理器用于执行所述存储器中的程序,所述处理器用于根据所述程序的代码中的指令,使得所述控制面功能设备执行权利要求1至7中任一项所述的方法。
22.一种应用于控制面与用户面分离的网络架构中的用户面功能设备,其特征在于,包括:存储器、收发器、处理器;
其中,所述存储器用于存储程序;
所述处理器用于执行所述存储器中的程序,所述处理器用于根据所述程序的代码中的指令,使得所述用户面功能设备执行权利要求8至13中任一项所述的方法。
23.一种应用于控制面与用户面分离的网络架构中的控制面功能设备,其特征在于,包括:存储器、收发器、处理器;
其中,所述存储器用于存储程序;
所述处理器用于执行所述存储器中的程序,所述处理器用于根据所述程序代码中的指令,使得所述控制面功能设备执行权利要求14至17中任一项所述的方法。
24.一种网关设备,其特征在于,包括:存储器、收发器、处理器;
其中,所述存储器用于存储程序;
所述处理器用于执行所述存储器中的程序,所述处理器用于根据所述程序代码中的指令使得所述网关设备执行权利要求18至20中任一项所述的方法。
25.一种系统,其特征在于,所述通信系统包括控制面功能设备CP以及用户面功能设备UP;
所述CP,用于根据安全状态生成安全策略信息,所述安全策略信息包括用户标识信息以及执行策略信息;
所述CP,还用于向所述UP发送所述安全策略信息;
所述UP,用于接收所述CP发送的所述安全策略信息;
所述UP,还用于根据所述安全策略信息执行安全防护操作。
26.一种系统,其特征在于,所述通信系统包括CP、网络功能虚拟化编排器NFVO、网络控制器以及所述CP的网关设备;
所述CP,用于生成安全策略信息;
所述CP,还用于向所述NFVO发送所述安全策略信息;
所述NFVO,用于向所述网络控制器发送所述安全策略信息;
所述网络控制器,用于向所述CP的网关设备发送所述安全策略信息;
所述CP的网关设备,用于根据所述安全策略信息执行安全防护操作。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011124155.8A CN114448653A (zh) | 2020-10-20 | 2020-10-20 | 策略执行方法、相关装置以及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011124155.8A CN114448653A (zh) | 2020-10-20 | 2020-10-20 | 策略执行方法、相关装置以及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114448653A true CN114448653A (zh) | 2022-05-06 |
Family
ID=81358050
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011124155.8A Pending CN114448653A (zh) | 2020-10-20 | 2020-10-20 | 策略执行方法、相关装置以及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114448653A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115150170A (zh) * | 2022-06-30 | 2022-10-04 | 北京天融信网络安全技术有限公司 | 安全策略配置方法、装置、电子设备和存储介质 |
-
2020
- 2020-10-20 CN CN202011124155.8A patent/CN114448653A/zh active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115150170A (zh) * | 2022-06-30 | 2022-10-04 | 北京天融信网络安全技术有限公司 | 安全策略配置方法、装置、电子设备和存储介质 |
CN115150170B (zh) * | 2022-06-30 | 2024-03-12 | 北京天融信网络安全技术有限公司 | 安全策略配置方法、装置、电子设备和存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3226508B1 (en) | Attack packet processing method, apparatus, and system | |
US7929452B2 (en) | Internet protocol (IP) address sharing and platform dynamic host configuration protocol (DHCP) mediator | |
Patel et al. | Ananta: Cloud scale load balancing | |
CN105610632B (zh) | 一种虚拟网络设备及相关方法 | |
US9032504B2 (en) | System and methods for an alternative to network controller sideband interface (NC-SI) used in out of band management | |
JP2018521573A (ja) | Sdnセキュリティ | |
US20220021701A1 (en) | Method and System for Providing Edge Service, and Computing Device | |
US9456030B2 (en) | Methods of operating load balancing switches and controllers using modified flow entries | |
CN114070723B (zh) | 裸金属服务器的虚拟网络配置方法、系统及智能网卡 | |
US9800479B2 (en) | Packet processing method, forwarder, packet processing device, and packet processing system | |
WO2012131364A1 (en) | Telephone call processing method and apparatus | |
EP3982600A1 (en) | Qos policy method, device, and computing device for service configuration | |
CN114448653A (zh) | 策略执行方法、相关装置以及存储介质 | |
CN104168200A (zh) | 一种基于Open vSwitch实现ACL功能的方法及系统 | |
CN111901284B (zh) | 流量控制方法及系统 | |
CN106169982B (zh) | 扩展端口的处理方法、装置及系统 | |
CN113037691A (zh) | 报文处理方法、装置及系统 | |
Cisco | Command Reference | |
CN113055427B (zh) | 一种基于业务的服务器集群接入方法及装置 | |
US20100166011A1 (en) | Method, apparatus and system for realizing dynamic correlation of control plane traffic rate | |
CN105812274B (zh) | 一种业务数据的处理方法和相关设备 | |
CN109962831B (zh) | 虚拟客户终端设备、路由器、存储介质和通信方法 | |
JP6509143B2 (ja) | 帯域制御装置及び方法 | |
CN116170389B (zh) | 业务容器引流方法、系统及计算机集群 | |
KR100656473B1 (ko) | Lan 인터페이스를 구비한 교환망 시스템과 그시스템에서의 과부하 제어방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |