CN114615079A - 一种数据处理方法、装置、设备及可读存储介质 - Google Patents
一种数据处理方法、装置、设备及可读存储介质 Download PDFInfo
- Publication number
- CN114615079A CN114615079A CN202210333092.XA CN202210333092A CN114615079A CN 114615079 A CN114615079 A CN 114615079A CN 202210333092 A CN202210333092 A CN 202210333092A CN 114615079 A CN114615079 A CN 114615079A
- Authority
- CN
- China
- Prior art keywords
- data packet
- local area
- tenant
- area network
- security management
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000003672 processing method Methods 0.000 title claims abstract description 27
- 238000007726 management method Methods 0.000 claims abstract description 79
- 238000011217 control strategy Methods 0.000 claims abstract description 37
- 238000000034 method Methods 0.000 claims abstract description 18
- 238000012550 audit Methods 0.000 claims abstract description 13
- 238000004590 computer program Methods 0.000 claims description 12
- 238000013507 mapping Methods 0.000 claims description 11
- 238000004806 packaging method and process Methods 0.000 claims description 4
- 230000000694 effects Effects 0.000 abstract description 2
- 238000010586 diagram Methods 0.000 description 6
- 238000005538 encapsulation Methods 0.000 description 4
- 230000009286 beneficial effect Effects 0.000 description 3
- 239000002699 waste material Substances 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000008094 contradictory effect Effects 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000005206 flow analysis Methods 0.000 description 1
- 230000008447 perception Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 230000001052 transient effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种数据处理方法、装置、设备及可读存储介质。本申请获取到任一目标租户的任一目标局域网中的原始数据包后,将原始数据包更新为能够确定原始数据包所属租户和局域网的新数据包,基于新数据包辨别出当前流量来自哪个租户的哪个局域网,后续利用匹配到的安全管控策略对新数据包进行安全管控。该方案结合数据包中的内网IP地址还能定位到当前流量对应的上网终端,因此解决了不同局域网中的内网IP冲突问题,在此基础上,使一个租户的多个局域网使用一个服务栈就可以进行流量审计等服务,能够节约资源,也有利于租户管理。本申请提供的一种数据处理装置、设备及可读存储介质,也同样具有上述技术效果。
Description
技术领域
本申请涉及计算机技术领域,特别涉及一种数据处理方法、装置、设备及可读存储介质。
背景技术
目前,安全管控平台可以对多个租户的局域网进行安全管控。例如:为某一租户的局域网设置防火墙、分析内网流量、对内网终端进行身份认证等。
其中,租户为租用安全管控平台提供的各种服务的企业或个人,因此安全管控平台为各租户提供的服务会进行隔离。例如:一个租户使用一个服务栈,各服务栈之间互相隔离。若一个租户有多个局域网都被安全管控平台管控,由于不同局域网中的内网IP地址可能相同,而服务栈对流量的分析需要基于内网IP地址定位到内网中的终端。为区别一个租户的不同局域网内的相同IP地址,当前安全管控平台将一个租户的不同局域网看作不同租户,为其分别设定服务栈,但此方式会造成资源浪费,也不利于租户管理。
因此,如何节约安全管控平台中的服务资源,是本领域技术人员需要解决的问题。
发明内容
有鉴于此,本申请的目的在于提供一种数据处理方法、装置、设备及可读存储介质,以节约安全管控平台中的服务资源。其具体方案如下:
第一方面,本申请提供了一种数据处理方法,应用于安全管控平台,包括:
获取任一目标租户的任一目标局域网中的原始数据包;
更新所述原始数据包,以得到能够确定所述原始数据包所属租户和局域网的新数据包;
基于所述新数据包匹配安全管控策略,并利用匹配到的所述安全管控策略对所述新数据包进行安全管控。
可选地,所述更新所述原始数据包,以得到能够确定所述原始数据包所属租户和局域网的新数据包,包括:
将所述原始数据包中的内网IP地址修改为与所述目标租户的租户标识、所述目标局域网的局域网标识、所述内网IP地址具有映射关系的虚拟IP地址,得到所述新数据包;
相应地,所述基于所述新数据包匹配安全管控策略,包括:
解析所述新数据包得到所述虚拟IP地址,基于所述映射关系确定所述租户标识、所述局域网标识和所述内网IP地址,基于所述租户标识、所述局域网标识和所述内网IP地址匹配所述安全管控策略。
可选地,所述更新所述原始数据包,以得到能够确定所述原始数据包所属租户和局域网的新数据包,包括:
封装所述原始数据包、所述目标租户的租户标识和所述目标局域网的局域网标识,得到所述新数据包;
相应地,所述基于所述新数据包匹配安全管控策略,包括:
解析所述新数据包得到所述租户标识、所述局域网标识和所述原始数据包中的内网IP地址,基于所述租户标识、所述局域网标识和所述内网IP地址匹配所述安全管控策略。
可选地,所述封装所述原始数据包、所述目标租户的租户标识和所述目标局域网的局域网标识,得到所述新数据包,包括:
按照预设协议,将所述租户标识和所述局域网标识封装为协议头部字段,将所述原始数据包封装为协议数据实体,得到所述新数据包。
可选地,所述安全管控平台包括多个节点,所述目标局域网与任一节点连接。
可选地,所述安全管控策略的配置过程包括:
获取所述目标租户的所述目标局域网中的所述内网IP地址对应的所述安全管控策略;
建立所述安全管控策略与所述租户标识、所述局域网标识、所述内网IP地址的匹配关系。
可选地,所述利用匹配到的所述安全管控策略对所述新数据包进行安全管控,包括:
利用所述安全管控策略对所述新数据包中的数据实体进行流量审计,得到与所述目标租户的所述目标局域网中的所述内网IP地址对应的审计日志。
第二方面,本申请提供了一种数据处理装置,应用于安全管控平台,包括:
获取模块,用于获取任一目标租户的任一目标局域网中的原始数据包;
更新模块,用于更新所述原始数据包,以得到能够确定所述原始数据包所属租户和局域网的新数据包;
安全管控模块,用于基于所述新数据包匹配安全管控策略,并利用匹配到的所述安全管控策略对所述新数据包进行安全管控。
第三方面,本申请提供了一种电子设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序,以实现前述公开的数据处理方法。
第四方面,本申请提供了一种可读存储介质,用于保存计算机程序,其中,所述计算机程序被处理器执行时实现前述公开的数据处理方法。
通过以上方案可知,本申请提供了一种数据处理方法,应用于安全管控平台,包括:获取任一目标租户的任一目标局域网中的原始数据包;更新所述原始数据包,以得到能够确定所述原始数据包所属租户和局域网的新数据包;基于所述新数据包匹配安全管控策略,并利用匹配到的所述安全管控策略对所述新数据包进行安全管控。
可见,本申请在获取到任一目标租户的任一目标局域网中的原始数据包后,会将原始数据包更新为能够确定原始数据包所属租户和局域网的新数据包,那么基于此新数据包就可以辨别出当前流量来自哪个租户的哪个局域网,后续可匹配出相应安全管控策略,并利用匹配到的安全管控策略对新数据包进行安全管控。由于数据包中会携带局域网内的内网IP地址,因此本申请辨别出流量来自哪个租户的哪个局域网后,结合数据包中的内网IP地址就可以定位到该局域网内的上网终端,因此解决了不同局域网中的内网IP地址冲突问题。由于该方案可以识别当前流量来自哪个租户的哪个局域网中的哪个IP地址,因此无需再考虑不同局域网中的内网IP地址冲突问题,使一个租户的多个局域网使用一个服务栈就可以进行流量审计等服务,能够节约资源,也有利于租户管理。
相应地,本申请提供的一种数据处理装置、设备及可读存储介质,也同样具有上述技术效果。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请公开的一种数据处理方法流程图;
图2为本申请公开的一种数据处理示意图;
图3为本申请公开的又一种数据处理示意图;
图4为本申请公开的一种数据封装格式示意图;
图5为本申请公开的一种数据处理装置示意图;
图6为本申请公开的一种电子设备示意图;
图7为本申请公开的另一种电子设备示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
目前,由于一个租户的不同局域网中的内网IP地址可能相同,而安全管控平台中的服务栈对流量的分析需要基于内网IP地址定位到内网中的终端。因此,为区别一个租户的不同局域网内的相同IP地址,当前安全管控平台将一个租户的不同局域网看作不同租户,为其分别设定服务栈,但此方式会造成资源浪费,也不利于租户管理。为此,本申请提供了一种数据处理方案,能够使一个租户的多个局域网使用一个服务栈进行流量审计等服务,节约了安全管控平台中的服务资源。
参见图1所示,本申请实施例公开了一种数据处理方法,应用于安全管控平台,包括:
S101、获取任一目标租户的任一目标局域网中的原始数据包。
需要说明的是,安全管控平台包括多个节点,这些节点分布在不同地理位置。若某一租户想要自己的局域网被安全管控平台管理,则可以将自己的局域网连接到任一节点,一般就近连接。因此本实施例中的目标局域网与安全管控平台中的任一节点连接。
S102、更新原始数据包,以得到能够确定原始数据包所属租户和局域网的新数据包。
源IP、目的IP是数据包中的必要字段,因此步骤S102只需将原始数据包更改为能够确定原始数据包所属租户和局域网的新数据包,之后基于新数据包就可以确定出:源IP、目的IP、数据包所属租户和局域网,如此就可以辨别出局域网中上网的终端。由于针对一个数据包确定出了上述多个信息,因此即使两个数据包中作为源IP或目的IP的内网IP地址相同,也能对二者进行区分。例如:针对数据包1确定出的信息包括:租户A、局域网B、发包IP为C。针对数据包2确定出的信息包括:租户A、局域网C、发包IP为C。可见,即使数据包1和2都属于租户A,且发包IP都为C,但是,仍可以辨别出:数据包1由租户A的局域网B中的IP为C的终端发出,数据包2由租户A的局域网C中的IP为C的终端发出。由此可见,获得数据包所属租户、局域网、内网IP地址后,无需再考虑不同局域网中的内网IP地址冲突问题,由此本实施例也就解决了该问题。
其中,原始数据包可以是局域网中的上网终端发出的数据包,也可以是从互联网流入局域网的数据包。
S103、基于新数据包匹配安全管控策略,并利用匹配到的安全管控策略对新数据包进行安全管控。
基于内网IP地址将流量分析定位到内网中的终端,可以对各租户的局域网进行更为精细的管控。在一种具体实施方式中,利用匹配到的安全管控策略对新数据包进行安全管控,包括:利用安全管控策略对新数据包中的数据实体进行流量审计,得到与目标租户的目标局域网中的内网IP地址对应的审计日志。
其中,安全管控策略可以由各租户自行配置,可以让一个局域网中的多个IP地址匹配同一安全管控策略,也可以让一个局域网中的不同IP地址匹配不同安全管控策略。安全管控策略可以用于:有安全风险的流量、需要拦截的流量等,同时指定:所拦截流量的具体信息、风险流量的具体信息,风险流量的防御建议等。安全管控策略还可以用于:智能感知终端违规接入、上网违规行为、敏感数据泄密等内部风险、终端准入管控等。
可见,本实施例在获取到任一目标租户的任一目标局域网中的原始数据包后,会将原始数据包更新为能够确定原始数据包所属租户和局域网的新数据包,那么基于此新数据包就可以辨别出当前流量来自哪个租户的哪个局域网,后续可匹配出相应安全管控策略,并利用匹配到的安全管控策略对新数据包进行安全管控。由于数据包中会携带局域网内的内网IP地址,因此本申请辨别出流量来自哪个租户的哪个局域网后,结合数据包中的内网IP地址就可以定位到该局域网内的上网终端,因此解决了不同局域网中的内网IP地址冲突问题。由于该方案可以识别当前流量来自哪个租户的哪个局域网中的哪个IP地址,因此无需再考虑不同局域网中的内网IP地址冲突问题,使一个租户的多个局域网使用一个服务栈就可以进行流量审计等服务,能够节约资源,也有利于租户管理。
基于上述实施例,需要说明的是,使数据包能够指示或确定其所属租户和局域网的方式有两种:方式一,给数据包添加其所属租户和局域网的相关标识;方式二,修改数据包中的某些字段,同时使修改后的字段与数据包所属租户和局域网具有映射关系。
在一种具体实施方式中,更新原始数据包,以得到能够确定原始数据包所属租户和局域网的新数据包,包括:将原始数据包中的内网IP地址修改为与目标租户的租户标识、目标局域网的局域网标识、内网IP地址具有映射关系的虚拟IP地址,得到新数据包;相应地,基于新数据包匹配安全管控策略,包括:解析新数据包得到虚拟IP地址,基于映射关系确定租户标识、局域网标识和内网IP地址,基于租户标识、局域网标识和内网IP地址匹配安全管控策略。
具体请参见图2,图2对应上述方式二。如图2所示,一个分支(即局域网)中的任一个内网IP都映射一个虚拟IP,且该虚拟IP与该分支具有对应关系,据此便可以识别租户A的分支1和分支2。该虚拟IP地址由平台指定,平台具体可以设置虚拟IP池。
参照图2,方式二建立了引流账号与分支的对应关系。当各分支数据通过引流账号所建立的引流隧道引流到DP时,DP即可知道对应引流流量所属的引流账号信息。通过DP进行全局唯一(租户内全局唯一,不同租户间可重复)的虚拟IP的分配,解决流量IP冲突问题。通过DP将虚拟IP与原始内网IP、引流账号映射关系同步给安全栈,使得安全栈基于虚拟IP确定流量对应的原始内网IP、所属分支,并以此进行对应的策略匹配和日志记录。
其中,为使出入一个分支的流量都流经安全管控平台,在分支内可以设置引流器,同时配备相应的引流账号进行管理。如图2中租户A的分支1对应的引流账户1,租户A的分支2对应的引流账户2。其中的“分支1”和/或“引流账户1”可以作为分支1的局域网标识,甚至DP与分支1之间连接的端口号等也可以作为分支1的局域网标识。当然,也可以给不同局域网人为指定不同的局域网标识。
安全管控平台是一个上层管理平台,因此流量实质上被引流至支撑平台的各个节点(即图2中的POP节点)。租户A的各内网流量汇聚在一个节点中,通过该节点中的DP(流量分发器)可以将汇聚的流量传输给租户A的安全栈。该安全栈提前配置有流量的各种管控策略,因此租户A的安全栈就可以对租户A的各内网流量进行相关处理。其中,DP传输流量给租户A的安全栈之前,对流量数据包进行了更改,即:将数据包中的内网IP地址修改为该内网IP地址所映射的虚拟IP地址。那么DP将修改后的包给租户A的安全栈后,租户A的安全栈便可以基于修改后的包和事前存储的映射关系确定出:该包来自哪个租户的哪个分支中的哪个IP。
如图2所示,一个数据包唯一对应一个租户的一个局域网中的一个IP,管控策略也唯一对应一个租户的一个局域网中的一个IP,按照管控策略记录得到的日志也唯一对应一个租户的一个局域网中的一个IP。如此可对流量进行精细化管控,还无需考虑不同内网的IP冲突问题。
在一种具体实施方式中,更新原始数据包,以得到能够确定原始数据包所属租户和局域网的新数据包,包括:封装原始数据包、目标租户的租户标识和目标局域网的局域网标识,得到新数据包;相应地,基于新数据包匹配安全管控策略,包括:解析新数据包得到租户标识、局域网标识和原始数据包中的内网IP地址,基于租户标识、局域网标识和内网IP地址匹配安全管控策略。其中,封装原始数据包、目标租户的租户标识和目标局域网的局域网标识,得到新数据包,包括:按照预设协议,将租户标识和局域网标识封装为协议头部字段,将原始数据包封装为协议数据实体,得到新数据包。
具体请参见图3,图3对应上述方式一。参照图3,方式一建立引流账号与分支的对应关系。当各分支数据通过引流账号认证所建立的引流隧道引流到DP时,DP即可知道对应引流流量所属的引流账号信息。DP以私有协议封装流量、租户信息与分支信息后,将封装结果发给安全栈,以使安全栈直接匹配封装结果中的租户信息、分支信息、原始内网IP,并以此进行对应的策略匹配和日志记录。
具体的,DP将一个分支(即局域网)中的任一个内网IP发出的数据包按照预设协议进行二次封装,将该分支的ID、该分支所属租户的ID都封装在该数据包中,那么DP将封装后的包给租户A的安全栈后,租户A的安全栈便可以基于封装后的包确定出:该包来自哪个租户的哪个分支中的哪个IP。其中,预设协议可以是自行设计的私有协议,封装后的包的格式如图4所示。图4中的数据即:原始数据包。
对照图2与图3可发现,方式一和方式二可达到相同目的。即:一个数据包唯一对应一个租户的一个局域网中的一个IP,管控策略也唯一对应一个租户的一个局域网中的一个IP,按照管控策略记录得到的日志也唯一对应一个租户的一个局域网中的一个IP。如此可对流量进行精细化管控,还无需考虑不同内网的IP冲突问题,实现了同一租户的安全栈对不同局域网的区分与识别,策略配置、日志记录也能相应区分,一个租户的安全栈具有多分支的管理能力。
由于图2和图3针对一个租户A进行介绍,因此未画出其他租户的租户标识。实际上,对于一个租户而言,其只能看到自己的相关信息,故每个租户默认区分不同分支就行。但站在平台角度,需要基于租户标识区分不同租户。
在一种具体实施方式中,安全管控策略的配置过程包括:获取目标租户的目标局域网中的内网IP地址对应的安全管控策略;建立安全管控策略与租户标识、局域网标识、内网IP地址的匹配关系。
下面对本申请实施例提供的一种数据处理装置进行介绍,下文描述的一种数据处理装置与上文描述的一种数据处理方法可以相互参照。
参见图5所示,本申请实施例公开了一种数据处理装置,应用于安全管控平台,包括:
获取模块501,用于获取任一目标租户的任一目标局域网中的原始数据包;
更新模块502,用于更新原始数据包,以得到能够确定原始数据包所属租户和局域网的新数据包;
安全管控模块503,用于基于新数据包匹配安全管控策略,并利用匹配到的安全管控策略对新数据包进行安全管控。
在一种具体实施方式中,更新模块具体用于:
将原始数据包中的内网IP地址修改为与目标租户的租户标识、目标局域网的局域网标识、内网IP地址具有映射关系的虚拟IP地址,得到新数据包;
相应地,安全管控模块具体用于:
解析新数据包得到虚拟IP地址,基于映射关系确定租户标识、局域网标识和内网IP地址,基于租户标识、局域网标识和内网IP地址匹配安全管控策略。
在一种具体实施方式中,更新模块具体用于:
封装原始数据包、目标租户的租户标识和目标局域网的局域网标识,得到新数据包;
相应地,安全管控模块具体用于:
解析新数据包得到租户标识、局域网标识和原始数据包中的内网IP地址,基于租户标识、局域网标识和内网IP地址匹配安全管控策略。
在一种具体实施方式中,更新模块具体用于:
按照预设协议,将租户标识和局域网标识封装为协议头部字段,将原始数据包封装为协议数据实体,得到新数据包。
在一种具体实施方式中,安全管控平台包括多个节点,目标局域网与任一节点连接。
在一种具体实施方式中,安全管控策略的配置过程包括:
获取目标租户的目标局域网中的内网IP地址对应的安全管控策略;
建立安全管控策略与租户标识、局域网标识、内网IP地址的匹配关系。
在一种具体实施方式中,安全管控模块具体用于:
利用安全管控策略对新数据包中的数据实体进行流量审计,得到与目标租户的目标局域网中的内网IP地址对应的审计日志。
其中,关于本实施例中各个模块、单元更加具体的工作过程可以参考前述实施例中公开的相应内容,在此不再进行赘述。
可见,本实施例提供了一种数据处理装置,该装置解决了不同局域网中的内网IP地址冲突问题,使一个租户的多个局域网使用一个服务栈就可以进行流量审计等服务,能够节约资源,也有利于租户管理。
下面对本申请实施例提供的一种电子设备进行介绍,下文描述的一种电子设备与上文描述的一种数据处理方法及装置可以相互参照。
参见图6所示,本申请实施例公开了一种电子设备,包括:
存储器601,用于保存计算机程序;
处理器602,用于执行所述计算机程序,以实现上述任意实施例公开的方法。
请参考图7,图7为本实施例提供的另一种电子设备示意图,该电子设备可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上处理器(central processingunits,CPU)322(例如,一个或一个以上处理器)和存储器332,一个或一个以上存储应用程序342或数据344的存储介质330(例如一个或一个以上海量存储设备)。其中,存储器332和存储介质330可以是短暂存储或持久存储。存储在存储介质330的程序可以包括一个或一个以上模块(图示没标出),每个模块可以包括对数据处理设备中的一系列指令操作。更进一步地,中央处理器322可以设置为与存储介质330通信,在电子设备301上执行存储介质330中的一系列指令操作。
电子设备301还可以包括一个或一个以上电源326,一个或一个以上有线或无线网络接口350,一个或一个以上输入输出接口358,和/或,一个或一个以上操作系统341。例如,Windows ServerTM,Mac OS XTM,UnixTM,LinuxTM,FreeBSDTM等。
在图7中,应用程序342可以是执行数据处理方法的程序,数据344可以是执行数据处理方法所需的或产生的数据。
上文所描述的数据处理方法中的步骤可以由电子设备的结构实现。
下面对本申请实施例提供的一种可读存储介质进行介绍,下文描述的一种可读存储介质与上文描述的一种数据处理方法、装置及设备可以相互参照。
一种可读存储介质,用于保存计算机程序,其中,所述计算机程序被处理器执行时实现前述实施例公开的数据处理方法。关于该方法的具体步骤可以参考前述实施例中公开的相应内容,在此不再进行赘述。
本申请涉及的“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法或设备固有的其它步骤或单元。
需要说明的是,在本申请中涉及“第一”、“第二”等的描述仅用于描述目的,而不能理解为指示或暗示其相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。另外,各个实施例之间的技术方案可以相互结合,但是必须是以本领域普通技术人员能够实现为基础,当技术方案的结合出现相互矛盾或无法实现时应当认为这种技术方案的结合不存在,也不在本申请要求的保护范围之内。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的可读存储介质中。
本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。
Claims (10)
1.一种数据处理方法,其特征在于,应用于安全管控平台,包括:
获取任一目标租户的任一目标局域网中的原始数据包;
更新所述原始数据包,以得到能够确定所述原始数据包所属租户和局域网的新数据包;
基于所述新数据包匹配安全管控策略,并利用匹配到的所述安全管控策略对所述新数据包进行安全管控。
2.根据权利要求1所述的数据处理方法,其特征在于,所述更新所述原始数据包,以得到能够确定所述原始数据包所属租户和局域网的新数据包,包括:
将所述原始数据包中的内网IP地址修改为与所述目标租户的租户标识、所述目标局域网的局域网标识、所述内网IP地址具有映射关系的虚拟IP地址,得到所述新数据包;
相应地,所述基于所述新数据包匹配安全管控策略,包括:
解析所述新数据包得到所述虚拟IP地址,基于所述映射关系确定所述租户标识、所述局域网标识和所述内网IP地址,基于所述租户标识、所述局域网标识和所述内网IP地址匹配所述安全管控策略。
3.根据权利要求1所述的数据处理方法,其特征在于,所述更新所述原始数据包,以得到能够确定所述原始数据包所属租户和局域网的新数据包,包括:
封装所述原始数据包、所述目标租户的租户标识和所述目标局域网的局域网标识,得到所述新数据包;
相应地,所述基于所述新数据包匹配安全管控策略,包括:
解析所述新数据包得到所述租户标识、所述局域网标识和所述原始数据包中的内网IP地址,基于所述租户标识、所述局域网标识和所述内网IP地址匹配所述安全管控策略。
4.根据权利要求3所述的数据处理方法,其特征在于,所述封装所述原始数据包、所述目标租户的租户标识和所述目标局域网的局域网标识,得到所述新数据包,包括:
按照预设协议,将所述租户标识和所述局域网标识封装为协议头部字段,将所述原始数据包封装为协议数据实体,得到所述新数据包。
5.根据权利要求4所述的数据处理方法,其特征在于,所述安全管控平台包括多个节点,所述目标局域网与任一节点连接。
6.根据权利要求2至5任一项所述的数据处理方法,其特征在于,所述安全管控策略的配置过程包括:
获取所述目标租户的所述目标局域网中的所述内网IP地址对应的所述安全管控策略;
建立所述安全管控策略与所述租户标识、所述局域网标识、所述内网IP地址的匹配关系。
7.根据权利要求2至5任一项所述的数据处理方法,其特征在于,所述利用匹配到的所述安全管控策略对所述新数据包进行安全管控,包括:
利用所述安全管控策略对所述新数据包中的数据实体进行流量审计,得到与所述目标租户的所述目标局域网中的所述内网IP地址对应的审计日志。
8.一种数据处理装置,其特征在于,应用于安全管控平台,包括:
获取模块,用于获取任一目标租户的任一目标局域网中的原始数据包;
更新模块,用于更新所述原始数据包,以得到能够确定所述原始数据包所属租户和局域网的新数据包;
安全管控模块,用于基于所述新数据包匹配安全管控策略,并利用匹配到的所述安全管控策略对所述新数据包进行安全管控。
9.一种电子设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序,以实现如权利要求1至7任一项所述的数据处理方法。
10.一种可读存储介质,其特征在于,用于保存计算机程序,其中,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的数据处理方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210333092.XA CN114615079A (zh) | 2022-03-31 | 2022-03-31 | 一种数据处理方法、装置、设备及可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210333092.XA CN114615079A (zh) | 2022-03-31 | 2022-03-31 | 一种数据处理方法、装置、设备及可读存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114615079A true CN114615079A (zh) | 2022-06-10 |
Family
ID=81867641
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210333092.XA Pending CN114615079A (zh) | 2022-03-31 | 2022-03-31 | 一种数据处理方法、装置、设备及可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114615079A (zh) |
Citations (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20120131177A1 (en) * | 2010-11-24 | 2012-05-24 | Brandt Mark S | Snooping dns messages in a server hosting system providing overlapping address and name spaces |
| CN104580505A (zh) * | 2015-01-26 | 2015-04-29 | 中国联合网络通信集团有限公司 | 一种租户隔离方法及系统 |
| US20150271067A1 (en) * | 2012-12-09 | 2015-09-24 | Huawei Technologies Co., Ltd. | Packet forwarding method and apparatus, and data center network |
| CN105284080A (zh) * | 2014-03-31 | 2016-01-27 | 华为技术有限公司 | 数据中心的虚拟网络管理方法及数据中心系统 |
| US20160094514A1 (en) * | 2014-09-30 | 2016-03-31 | International Business Machines Corporation | Translating Network Attributes of Packets in a Multi-Tenant Environment |
| CN107733765A (zh) * | 2016-08-12 | 2018-02-23 | 中国电信股份有限公司 | 映射方法、系统和相关设备 |
| CN109451084A (zh) * | 2018-09-14 | 2019-03-08 | 华为技术有限公司 | 一种服务访问方法及装置 |
| CN110351394A (zh) * | 2018-04-02 | 2019-10-18 | 深信服科技股份有限公司 | 网络数据的处理方法及装置、计算机装置及可读存储介质 |
| CN110830317A (zh) * | 2018-08-07 | 2020-02-21 | 深信服科技股份有限公司 | 一种上网行为管理系统、设备及方法 |
| CN111193653A (zh) * | 2019-12-31 | 2020-05-22 | 腾讯科技(深圳)有限公司 | 数据传输方法、装置、设备及存储介质 |
| CN111294268A (zh) * | 2018-12-07 | 2020-06-16 | 华为技术有限公司 | 避免ip地址冲突的方法及装置 |
| CN112532658A (zh) * | 2021-02-08 | 2021-03-19 | 腾讯科技(深圳)有限公司 | 云网络逃逸事件扫描方法、装置及计算机可读存储介质 |
| CN113765801A (zh) * | 2020-07-16 | 2021-12-07 | 北京京东尚科信息技术有限公司 | 应用于数据中心的报文处理方法和装置、电子设备和介质 |
| CN114024741A (zh) * | 2021-11-03 | 2022-02-08 | 深信服科技股份有限公司 | 请求处理方法、装置、流量代理端、设备及可读存储介质 |
| CN114157632A (zh) * | 2021-10-12 | 2022-03-08 | 北京华耀科技有限公司 | 网络隔离方法、装置、设备和存储介质 |
-
2022
- 2022-03-31 CN CN202210333092.XA patent/CN114615079A/zh active Pending
Patent Citations (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20120131177A1 (en) * | 2010-11-24 | 2012-05-24 | Brandt Mark S | Snooping dns messages in a server hosting system providing overlapping address and name spaces |
| US20150271067A1 (en) * | 2012-12-09 | 2015-09-24 | Huawei Technologies Co., Ltd. | Packet forwarding method and apparatus, and data center network |
| CN105284080A (zh) * | 2014-03-31 | 2016-01-27 | 华为技术有限公司 | 数据中心的虚拟网络管理方法及数据中心系统 |
| US20160094514A1 (en) * | 2014-09-30 | 2016-03-31 | International Business Machines Corporation | Translating Network Attributes of Packets in a Multi-Tenant Environment |
| CN104580505A (zh) * | 2015-01-26 | 2015-04-29 | 中国联合网络通信集团有限公司 | 一种租户隔离方法及系统 |
| CN107733765A (zh) * | 2016-08-12 | 2018-02-23 | 中国电信股份有限公司 | 映射方法、系统和相关设备 |
| CN110351394A (zh) * | 2018-04-02 | 2019-10-18 | 深信服科技股份有限公司 | 网络数据的处理方法及装置、计算机装置及可读存储介质 |
| CN110830317A (zh) * | 2018-08-07 | 2020-02-21 | 深信服科技股份有限公司 | 一种上网行为管理系统、设备及方法 |
| CN109451084A (zh) * | 2018-09-14 | 2019-03-08 | 华为技术有限公司 | 一种服务访问方法及装置 |
| CN111294268A (zh) * | 2018-12-07 | 2020-06-16 | 华为技术有限公司 | 避免ip地址冲突的方法及装置 |
| CN111193653A (zh) * | 2019-12-31 | 2020-05-22 | 腾讯科技(深圳)有限公司 | 数据传输方法、装置、设备及存储介质 |
| CN113765801A (zh) * | 2020-07-16 | 2021-12-07 | 北京京东尚科信息技术有限公司 | 应用于数据中心的报文处理方法和装置、电子设备和介质 |
| CN112532658A (zh) * | 2021-02-08 | 2021-03-19 | 腾讯科技(深圳)有限公司 | 云网络逃逸事件扫描方法、装置及计算机可读存储介质 |
| CN114157632A (zh) * | 2021-10-12 | 2022-03-08 | 北京华耀科技有限公司 | 网络隔离方法、装置、设备和存储介质 |
| CN114024741A (zh) * | 2021-11-03 | 2022-02-08 | 深信服科技股份有限公司 | 请求处理方法、装置、流量代理端、设备及可读存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| 严立宇;祖立军;叶家炜;周雍恺;吴承荣;: "云计算网络中多租户虚拟网络隔离的分布式实现研究", 计算机应用与软件, no. 11, pages 93 - 98 * |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9438506B2 (en) | Identity and access management-based access control in virtual networks | |
| US8073936B2 (en) | Providing support for responding to location protocol queries within a network node | |
| CN109417492B (zh) | 一种网络功能nf管理方法及nf管理设备 | |
| US10862796B1 (en) | Flow policies for virtual networks in provider network environments | |
| CN112583910B (zh) | 物联网平台的设备接入方法、装置及电子设备和存储介质 | |
| CN112350918B (zh) | 一种业务流量调度方法、装置、设备及存储介质 | |
| CN108965036B (zh) | 配置跨公网设备互访方法、系统、服务器及存储介质 | |
| CN112714027B (zh) | 物联网终端设备接入网关的方法和系统 | |
| CN113285926B (zh) | 面向电力监控系统的蜜罐诱捕方法、装置、计算机设备 | |
| CN113452561A (zh) | 一种拓扑生成方法、装置、设备及可读存储介质 | |
| CN112910685A (zh) | 实现对容器网络统一管理的方法及装置 | |
| CN114024741A (zh) | 请求处理方法、装置、流量代理端、设备及可读存储介质 | |
| CN114745356B (zh) | 一种域名解析方法、装置、设备及可读存储介质 | |
| CN115843429A (zh) | 用于网络切片中隔离支持的方法与装置 | |
| US11418521B2 (en) | Industrial control system monitoring method, device and system, and computer-readable medium | |
| CN115208606A (zh) | 一种网络安全防范的实现方法、系统及存储介质 | |
| CN108011801B (zh) | 数据传输的方法、设备、装置及系统 | |
| CN114615079A (zh) | 一种数据处理方法、装置、设备及可读存储介质 | |
| CN113660177A (zh) | 一种流量控制方法、装置、系统及可读存储介质 | |
| CN106254253B (zh) | 私网路由生成方法以及装置 | |
| CN114268605B (zh) | 一种智能dns实现方法、装置及计算机存储介质 | |
| CN114944952B (zh) | 一种数据处理方法、装置、系统、设备及可读存储介质 | |
| JP7450974B1 (ja) | 移動通信網基盤プライベートネットワークでのトラフィック制御方法および移動通信網基盤プライベートネットワークシステム | |
| GB2612956A (en) | Method of operating a telecommunications network | |
| CN115529589A (zh) | 一种能力开放方法、装置、通信设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |