CN116055228B - 一种数据平面构建方法、系统、电子设备及存储介质 - Google Patents
一种数据平面构建方法、系统、电子设备及存储介质 Download PDFInfo
- Publication number
- CN116055228B CN116055228B CN202310343553.6A CN202310343553A CN116055228B CN 116055228 B CN116055228 B CN 116055228B CN 202310343553 A CN202310343553 A CN 202310343553A CN 116055228 B CN116055228 B CN 116055228B
- Authority
- CN
- China
- Prior art keywords
- processed
- data
- data packet
- security policy
- flow
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2425—Traffic characterised by specific attributes, e.g. priority or QoS for supporting services specification, e.g. SLA
- H04L47/2433—Allocation of priorities to traffic types
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2441—Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种数据平面构建方法、系统、电子设备及存储介质,方法包括:从预设的连接跟踪表中获取任一待处理数据包的连接来源类别,当待处理数据包的连接来源类别为新连接时,基于预设的实施模式,获取当前的待处理数据包对应的数据流流水线,实施模式包括:用于进行安全策略调试的监控模式、用于进行安全策略应用的生效模式,监控模式和生效模式分别具有对应的数据流流水线,每个数据流流水线均包括多个优先层级的流表,每个流表分别具有相应的安全策略;基于待处理数据包对应的数据流流水线,对待处理数据包匹配相应安全策略;基于待处理数据包匹配的安全策略,进行数据平面构建。方便用户在实际使安全策略生效之前调试其自定义的安全策略。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及一种数据平面构建方法、系统、电子设备及存储介质。
背景技术
微分段(Micro-Segmentation)是一种新兴的网络安全技术,可以在数据中心内创建更加精细的安全区域,进而部署更加灵活的安全策略,提升网络安全性。常见的微分段/分布式防火墙实现通常都仅实现了较基本的微分段安全策略功能,但是在实际生产环境中,微分段的使用和部署存在以下问题:在用户自定义的安全规则与实际想要达成的VM(Virtual Manufacturing,虚拟机)连通性之间存在一定差别的情况下,若用户直接设置特定的安全规则并使其生效,会对实际工作负载流量的连通性的产生影响,使其不符合预期,对业务造成一定影响;并且,现有技术中用户自定义的安全策略的实施状态不能较好地进行可视化监控。
发明内容
本发明提供一种数据平面构建方法、系统、电子设备及存储介质,用以解决现有技术中若用户直接设置特定的安全规则并使其生效,可能对实际工作负载流量的连通性的产生影响,使其不符合预期,对业务造成一定影响的问题。
本发明提供一种数据平面构建方法,包括:
从预设的连接跟踪表中获取任一待处理数据包的连接来源类别,所述连接来源类别包括新连接;
当所述待处理数据包的连接来源类别为新连接时,基于预设的实施模式,获取当前的待处理数据包对应的数据流流水线,所述实施模式包括:用于进行安全策略调试的监控模式、用于进行安全策略应用的生效模式,所述监控模式和生效模式分别具有对应的数据流流水线,每个所述数据流流水线均包括多个优先层级的流表,每个流表分别具有相应的安全策略;基于当前的待处理数据包对应的数据流流水线,对所述待处理数据包匹配相应的安全策略;基于所述待处理数据包匹配的安全策略,进行数据平面构建。
可选的,所述数据流流水线包括:与监控模式相对应的第一数据流流水线;
所述第一数据流流水线包括:多个优先层级的依次递进的监控流表组,所述监控流表组包括:一监控流表和对应的一监控生效流表,所述监控流表用于对待处理数据包匹配相应的安全策略并进行标记,并对标记结果进行可视化显示,所述监控生效流表用于接收对应的监控流表传输的待处理数据包,对所述待处理数据包进行安全策略匹配,确定所述待处理数据包所匹配的安全策略,并对所述待处理数据包所匹配的安全策略预先定义的流空间信息进行编码,获取编码结果,将所述编码结果写入所述待处理数据包的元数据的连接跟踪信息中,将所述连接跟踪信息写入预设的连接跟踪提交表中,所述连接跟踪提交表用于控制平面获取待处理数据包与对应的安全策略之间的映射关系,基于所述映射关系,处理待处理数据包。
可选的,所述数据流流水线包括:与生效模式相对应的第二数据流流水线;
所述第二数据流流水线包括:多个优先层级的依次递进的实际生效流表,所述实际生效流表用于对所述待处理数据包匹配各自优先层级对应的安全策略,并对所述待处理数据包所匹配的安全策略预先定义的流空间信息进行编码,获取编码结果,将所述编码结果写入所述待处理数据包的元数据的连接跟踪信息中,将所述连接跟踪信息写入预设的连接跟踪提交表中,所述连接跟踪提交表用于控制平面获取待处理数据包与对应的安全策略之间的映射关系,基于所述映射关系,处理待处理数据包。
可选的,对所述待处理数据包所匹配的安全策略预先定义的流空间信息进行编码,获取编码结果的步骤包括:
基于所述待处理数据包所匹配的安全策略预先定义的流空间信息,获取区域信息编码点;
基于所述区域信息编码点和预设的标准编码点,获取所述编码结果。
可选的,基于当前的待处理数据包对应的数据流流水线,对所述待处理数据包匹配相应的安全策略的步骤包括:
基于预设的流空间信息获取规则,获取所述待处理数据包的待匹配空间信息,所述待匹配空间信息为所述待处理数据包的包头域信息,所述包头域信息包括:源IP地址、源端口、目的IP地址、目的端口和传输层协议;
获取待匹配的流表的安全策略所对应的流空间信息,所述待匹配的流表的获取方式为:按照优先层级由高到低的顺序,从所述待处理数据包对应的数据流流水线的各优先层级的流表中获取;
将所述待匹配空间信息与所述流空间信息进行匹配,获取所述待匹配空间信息与所述流空间信息之间的关联关系;
基于所述关联关系,确定所述待处理数据包所匹配的安全策略。
可选的,基于当前的待处理数据包对应的数据流流水线,对所述待处理数据包匹配相应的安全策略的步骤包括:
判断所述新连接属于输入流量类型或输出流量类型,获取判断结果;
基于所述判断结果,将所述待处理数据包输入对应的数据流流水线中的输入类型流表单元或输出类型流表单元,所述输入类型流表单元包括多个优先层级的依次递进的输入类型流表,所述输出类型流表单元包括多个优先层级的依次递进的输出类型流表,所述输入类型流表和输出类型流表均具有相应的安全策略;
基于所述输入类型流表单元和输出类型流表单元,对所述待处理数据包匹配相应的安全策略。
可选的,所述连接来源类别还包括已有连接;
当所述待处理数据包的连接来源类别为已有连接时,基于所述已有连接对应的历史数据中的安全策略,获取所述待处理数据包对应的安全策略;对所述待处理数据包对应的安全策略预先定义的流空间信息进行编码,获取编码结果;将所述编码结果写入所述待处理数据包的元数据的连接跟踪信息中,并将所述连接跟踪信息写入预设的连接跟踪提交表中,所述连接跟踪提交表用于控制平面获取待处理数据包与对应的安全策略之间的映射关系,基于所述映射关系,处理待处理数据包。
本发明还提供一种数据平面构建系统,包括:
来源判定模块,用于从预设的连接跟踪表中获取任一待处理数据包的连接来源类别,所述连接来源类别包括新连接;
数据平面构建模块,用于当所述待处理数据包的连接来源类别为新连接时,基于预设的实施模式,获取当前的待处理数据包对应的数据流流水线,所述实施模式包括:用于进行安全策略调试的监控模式、用于进行安全策略应用的生效模式,所述监控模式和生效模式分别具有对应的数据流流水线,每个所述数据流流水线均包括多个优先层级的流表,每个流表分别具有相应的安全策略;基于当前的待处理数据包对应的数据流流水线,对所述待处理数据包匹配相应的安全策略;基于所述待处理数据包匹配的安全策略,进行数据平面构建。
本发明还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述任一种所述数据平面构建方法。
本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上述任一种所述数据平面构建方法。
本发明的有益效果:本发明提供的数据平面构建方法、系统、电子设备及存储介质,通过从预设的连接跟踪表中获取任一待处理数据包的连接来源类别,连接来源类别包括新连接;当待处理数据包的连接来源类别为新连接时,基于预设的实施模式,获取当前的待处理数据包对应的数据流流水线,实施模式包括:用于进行安全策略调试的监控模式、用于进行安全策略应用的生效模式,监控模式和生效模式分别具有对应的数据流流水线,每个数据流流水线均包括多个优先层级的流表,每个流表分别具有相应的安全策略;基于当前的待处理数据包对应的数据流流水线,对待处理数据包匹配相应的安全策略;基于待处理数据包匹配的安全策略,进行数据平面构建。方便用户在实际使安全策略生效之前调试其自定义的安全策略,预防因配置安全策略失误等而引发的网络故障,稳定性较高,可实施性较强,成本较低。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明提供的数据平面构建方法的流程示意图;
图2是本发明提供的数据平面构建方法中第一数据流流水线的框架示意图;
图3是本发明提供的数据平面构建方法中进行安全策略匹配的流程示意图;
图4是本发明提供的数据平面构建方法中进行安全策略匹配的原理示意图;
图5是本发明提供的数据平面构建方法中第二数据流流水线的框架示意图;
图6是本发明提供的数据平面构建系统的结构示意图;
图7是本发明提供的电子设备的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
微分段作为一种新兴的网络安全技术,能够对数据中心虚拟机提供细粒度高度灵活可配置的分组以及安全策略防护,为虚拟机提供有效的安全隔离和状态,且不再以传统VLAN(Virtual LAN,虚拟局域网)或者IP(Internet Protocol,网际互连协议)子网等粗粒度方式划分安全域,不依赖集中式物理防火墙的安全能力,为用户提供全局策略和用户可定义安全策略。用户可以对虚拟机进来灵活分组,并创建不同类型安全策略。网络安全策略直接使用虚拟机标签或分组,虚拟机加入分组后自动应用网络安全策略,用户不再需要管理和维护大量的IP地址信息以及基于IP地址创建的传统网络安全规则,微分段的使用能为用户提供的极大的灵活性和便利性。然而,常见的微分段/分布式防火墙通常都仅实现了较基本的微分段安全策略功能,在实际生产环境中,微分段的使用和部署仍存在以下问题:在用户自定义的安全规则与实际想要达成的VM连通性之间存在一定差别的情况下,若用户直接设置特定的安全规则并使其生效,可能对实际工作负载流量的连通性的产生影响,使其不符合预期,对业务造成一定影响;并且,现有技术中用户自定义的安全策略的实施状态不能较好地进行可视化监控,如:实际生效的安全策略白名单、安全策略丢包状态,用户所关心的虚拟机/网络协议等纬度的网络流量处理状态等信息无法直接对用户可见。因此,本发明提出一种数据平面构建方法、系统、电子设备及存储介质,通过从预设的连接跟踪表中获取任一待处理数据包的连接来源类别,连接来源类别包括新连接;当待处理数据包的连接来源类别为新连接时,基于预设的实施模式,获取当前的待处理数据包对应的数据流流水线,实施模式包括:用于进行安全策略调试的监控模式、用于进行安全策略应用的生效模式,监控模式和生效模式分别具有对应的数据流流水线,每个数据流流水线均包括多个优先层级的流表,每个流表分别具有相应的安全策略;基于当前的待处理数据包对应的数据流流水线,对待处理数据包匹配相应的安全策略;基于待处理数据包匹配的安全策略,进行数据平面构建。能够较好地方便用户在实际使安全策略生效之前调试其自定义的安全策略,预防因配置安全策略失误等而引发的网络故障,且便于用户对自定义的安全策略的实施状态进行可视化监控。
为了便于理解本发明所提供的技术方案,下面对本发明涉及的技术术语进行解释说明:
数据平面:指网络层数据平面的功能,即网络层中每台路由器的功能,该数据平面功能决定到达路由器输入链路之一的数据报(即网络层的分组)如何转发到该路由器的输出链路之一。
控制平面:指决定使用哪条路径来发送数据包或帧的所有功能和过程。控制平面负责填充路由表,绘制网络拓扑结构,转发表,从而实现数据平面功能。
下面以实施例的方式,结合图1-图7描述本发明提供的数据平面构建方法、系统、电子设备及存储介质。
请参考图1,本实施例提供的数据平面构建方法,包括:
S101:从预设的连接跟踪表(CT Table,Connection Tracking Table)中获取任一待处理数据包的连接来源类别,所述连接来源类别包括新连接。
具体地,新连接表示所述待处理数据包来自于一个新的连接。通过对待处理数据包的连接来源类别进行判定,能够便于后续对待处理数据包进行相应的安全策略匹配。
S102:当所述待处理数据包的连接来源类别为新连接时,基于预设的实施模式,获取当前的待处理数据包对应的数据流流水线,所述实施模式包括:用于进行安全策略调试的监控模式、用于进行安全策略应用的生效模式,所述监控模式和生效模式分别具有对应的数据流流水线,每个所述数据流流水线均包括多个优先层级的流表,每个流表分别具有相应的安全策略;基于当前的待处理数据包对应的数据流流水线,对所述待处理数据包匹配相应的安全策略;基于所述待处理数据包匹配的安全策略,进行数据平面构建。
具体地,监控模式和生效模式分别具有对应的数据流流水线,每种实施模式的数据流流水线均包括多个依次递进的优先层级的流表,流表是针对特定流的策略表项的集合。通过将待处理数据包与对应优先层级的流表的流表匹配项进行匹配,能够较好地确定所述待处理数据包对应的安全策略。通过设置两种实施模式,能够便于用户在实际使安全策略生效之前调试其自定义的安全策略,预防因配置安全策略失误等而引发的网络故障,且便于用户对自定义的安全策略的实施状态进行可视化监控。
需要说明的是,本发明所提供的数据平面构建方法可基于ovs (Open vSwitch,一个用C语言开发的多层虚拟交换机)实现,所述数据流流水线基于OpenFlow(一种控制器和交换机之间的标准协议)构建。
在一些实施例中,所述数据流流水线包括:与监控模式相对应的第一数据流流水线。所述第一数据流流水线包括:多个优先层级的依次递进的监控流表组,所述监控流表组包括:一监控流表和对应的一监控生效流表,所述监控流表用于对待处理数据包匹配相应的安全策略并进行标记,并对标记结果进行可视化显示,所述监控生效流表用于接收对应的监控流表传输的待处理数据包,对所述待处理数据包进行安全策略匹配,确定所述待处理数据包所匹配的安全策略,并对所述待处理数据包所匹配的安全策略预先定义的流空间(Flowspace)信息进行编码,获取编码结果,将所述编码结果写入所述待处理数据包的元数据的连接跟踪信息(ct_label)中,将所述连接跟踪信息写入预设的连接跟踪提交表中,所述连接跟踪提交表用于为控制平面获取待处理数据包与对应的安全策略之间的映射关系提供数据来源,控制平面基于所述映射关系,处理待处理数据包。可以理解的,多个优先层级的监控流表组依次递进,每个监控流表组均包括一监控流表和对应的一监控生效流表,使得在对待处理数据包所匹配的安全策略进行监控与标记的同时,不对已有的虚拟机之间的连通性产生影响,即监控的过程不影响生效,用户可根据可视化显示的内容,对其自定义的安全策略进行调试与修改,灵活性较高。
在一些实施例中,在对所述待处理数据包匹配相应的安全策略的步骤之前还包括:
判断所述新连接属于输入流量类型或输出流量类型,获取判断结果。输入流量类型表示即将输入当前交换机的流量类型,输出流量类型表示即将输出当前交换机的流量类型。
基于所述判断结果,将所述待处理数据包输入对应的数据流流水线中的输入类型流表单元或输出类型流表单元,所述输入类型流表单元包括多个优先层级的依次递进的输入类型流表,所述输出类型流表单元包括多个优先层级的依次递进的输出类型流表,所述输入类型流表和输出类型流表均具有相应的安全策略;
基于所述输入类型流表单元和输出类型流表单元,对所述待处理数据包匹配相应的安全策略。
在一些实施例中,所述连接来源类别还包括已有连接。具体地,所述已有连接表示所述待处理数据包来自于一个已经建立的连接。
当所述待处理数据包的连接来源类别为已有连接时,基于所述已有连接对应的历史数据中的安全策略,获取所述待处理数据包对应的安全策略;对所述待处理数据包对应的安全策略预先定义的流空间信息进行编码,获取编码结果;将所述编码结果写入所述待处理数据包的元数据的连接跟踪信息中,并将所述连接跟踪信息写入预设的连接跟踪提交表中,所述连接跟踪提交表用于为控制平面获取待处理数据包与对应的安全策略之间的映射关系提供数据来源,控制平面基于所述映射关系,处理待处理数据包。其中,待处理数据包处理方式包括:转发(forwarding)、丢弃(drop)等。
在一些实施例中,对所述待处理数据包所匹配的安全策略预先定义的流空间信息进行编码,获取编码结果的步骤包括:
基于所述待处理数据包所匹配的安全策略预先定义的流空间信息,获取区域信息编码点;
基于所述区域信息编码点和预设的标准编码点,获取所述编码结果。具体地,所述标准编码点为预设的对round num(系统启动轮次)进行编码的编码点,在本方法实施的任意时刻,所有流表的round num保持一致,因此只保存一次。通过采用上述编码方式,使得控制平面仅需对两段编码进行解码即可完成对编码结果解码为安全策略的解码操作。
具体编码格式示例如下表1所示:
表1 编码格式
需要说明的是,各优先层级的监控流表中安全策略的编码结果的英文表达为flowID。flow ID存在内部编码,其编码格式如下表2所示:
表2 flow ID内部编码格式
需要说明的是,Flowspace(流空间)指由特定包头域组成的空间区域,Flowspace信息由包头域信息确定,包头域信息包括:源IP地址、源端口、目的IP地址、目的端口和传输层协议。每个流表的安全策略均具有对应的Flowspace。
通过设置上述编码规则,对编码标志位进行了限定,便于后续编码操作的进行与保存。
在一些实施例中,控制平面进行解码的解码格式示例请参考以下表3-表4:
表3 当CodePoint1!(编码点1!)=0时的解码格式
表4 当CodePoint1(编码点1)==0时的解码格式
任意类型的Flowspace对应的完整flowID为round num+Flow seq(流表的编码部分)两部分合并构成。
以图2对上述第一数据流流水线的框架结构进行举例说明。首先,从预设的连接跟踪表(CT Table,Connection Tracking Table)中获取任一待处理数据包的连接来源类别,所述连接来源类别包括新连接和已有连接。当所述待处理数据包的连接来源类别为已有连接时,基于所述已有连接对应的历史数据中的安全策略,获取所述待处理数据包对应的安全策略;对所述待处理数据包对应的安全策略预先定义的流空间信息进行编码,获取编码结果;将所述编码结果写入所述待处理数据包的元数据的连接跟踪信息中,并将所述连接跟踪信息写入预设的连接跟踪提交表中,所述连接跟踪提交表用于为控制平面获取待处理数据包与对应的安全策略之间的映射关系提供数据来源,控制平面基于所述映射关系,处理待处理数据包。当待处理数据包的连接来源类别为新连接时,首先判断所述新连接属于输入流量类型或输出流量类型,当所述新连接属于输入流量类型时,将待处理数据包输入对应的数据流流水线中的输入类型流表单元,当所述新连接属于输出流量类型时,将待处理数据包输入对应的数据流流水线中的输出类型流表单元,所述输入类型流表单元包括多个优先层级的依次递进的输入类型流表(在监控模式下,多个输入类型流表表示多个优先层级的依次递进的输入类型的监控流表组),所述输出类型流表单元包括多个优先层级的依次递进的输出类型流表(在监控模式下,多个输出类型流表表示多个优先层级的依次递进的输出类型的监控流表组),输入类型的监控流表组和输出类型的监控流表组通常为相互对应的关系。在本实施例中,设置了三个优先层级的监控流表组,即输入监控流表组1、输入监控流表组2、输入监控流表组3、输出监控流表组1、输出监控流表组2、输出监控流表组3。输入监控流表组1、输入监控流表组2、输入监控流表组3的优先级由上往下依次降低,输出监控流表组1、输出监控流表组2、输出监控流表组3的优先级由上往下依次降低。每个监控流表组均包括一监控流表和对应的一监控生效流表,如输入监控流表组2包括输入监控流表2、以及与输入监控流表2相对应的输入监控生效流表2。由于优先级排序第一的输入监控流表组1和输出监控流表组1通常应用黑名单安全策略,黑名单安全策略通常不需要调试,因此,在实际实施过程中,可以选择性地在输入监控流表组1中设置输入监控流表1,或选择性地在输出监控流表组1中设置输出监控流表1。本实施例中的输入监控流表组1和输出监控流表组1示例性地不设置相应的监控流表。图2中待处理数据包在三个优先层级的监控流表组之间的匹配逻辑为:首先与优先层级最高的输入/输出监控生效流表1中的安全策略进行匹配,若匹配成功,则保留输入/输出监控流表1中安全策略对应的编码结果,并保留其丢弃状态信息,将所述编码结果写入所述待处理数据包的元数据的连接跟踪信息中,将所述连接跟踪信息写入预设的连接跟踪提交表(CT commit table)中,并且,将相应的丢弃状态信息写入预设的丢弃信息表中,进行可视化显示。若匹配失败,则将待处理数据包与下一优先层级的输入/输出监控流表2中的安全策略进行匹配与标记,并对标记结果进行可视化显示。即对待处理数据包与输入/输出监控流表2中的安全策略进行匹配,若匹配成功,则保留输入/输出监控流表2中安全策略(安全策略包括安全规则与丢弃(drop)规则)对应的编码结果,并保留其丢弃状态信息,对相应的编码结果和丢弃状态信息进行可视化显示,再转至输入/输出监控生效流表2进行相应的匹配生效操作,若匹配失败(miss),则同样对编码结果和丢弃状态信息进行标记与可视化显示,并转至输入/输出监控生效流表2。输入/输出监控生效流表2执行与上述输入/输出监控生效流表1相同的安全策略匹配操作。
具体地,图2中在监控模式下,各优先层级的监控流表组(监控流表和监控生效流表)的工作流程如下:
输入/输出监控流表组2:
1、匹配输入/输出监控流表2中的安全规则的待处理数据包需要送输入/输出监控生效流表2进行生效处理,仅标记输入/输出监控流表2中的安全策略的Flowspace信息,即标记codepoint0(编码点0)为round num,codepoint2(编码点2)为Flow seq;
2、匹配输入/输出监控流表2中的默认drop规则的待处理数据包需要直接提交输入/输出监控生效流表2进行进一步处理,仅标记输入/输出监控流表2中的安全策略的Flowspace信息,即标记 codepoint0为round num,codepoint2为Flow seq;
3、匹配输入/输出监控流表2中的安全规则失败(miss)的待处理数据包,不做标记,直接提交至输入/输出监控生效流表2进一步处理。
输入/输出监控流表组3:
1、匹配输入/输出监控流表3中安全规则(可以为白名单)的待处理数据包,标记codepoint0为round num,codepoint2为Flow seq,转输入/输出监控生效流表3;
2、匹配输入/输出监控流表3中默认drop规则的待处理数据包,标记codepoint0为round num,标记codepoint2为Flow seq,转输入/输出监控生效流表3。
请参考图3,在一些实施例中,基于当前的待处理数据包对应的数据流流水线,对所述待处理数据包匹配相应的安全策略的步骤包括:
S301:基于预设的流空间信息获取规则,获取所述待处理数据包的待匹配空间信息,所述待匹配空间信息为所述待处理数据包的包头域信息,所述包头域信息包括:源IP地址、源端口、目的IP地址、目的端口和传输层协议。其中,待处理数据包的包头域组成的空间区域为一个Flowspace,Flowspace信息包括上述包头域信息。
S302:获取待匹配的流表的安全策略所对应的流空间信息,所述待匹配的流表的获取方式为:按照优先层级由高到低的顺序,从所述待处理数据包对应的数据流流水线的各优先层级的流表中获取。例如:先将优先层级第一的流表作为待匹配的流表,若匹配失败,再将优先层级第二的流表作为待匹配的流表。
S303:将所述待匹配空间信息与所述流空间信息进行匹配,获取所述待匹配空间信息与所述流空间信息之间的关联关系。即判断待匹配空间信息与流空间信息之间是否存在包含关系,确定当前的待处理数据包(一个确定的数据包属于一个特定的连接)的待匹配空间信息是否属于该安全策略所对应的流空间信息的从属,从而确定待匹配空间信息与流空间信息之间的关联关系。如图4所示,定义flow1~flow4(流表所对应的特定流1、特定流2、特定流3、特定流4)所示区域为各个安全策略对应的Flowspace,fs-conn为待处理流空间,所述待处理流空间指的是待处理数据包对应的Flowspace,当fs-conn包含于特定流的Flowspace时,则可以确定待处理数据包与该特定流相关联,如fs-conn⊂flow1&fs-conn⊂flow2。
S304:基于所述关联关系,确定所述待处理数据包所匹配的安全策略。
在一些实施例中,所述数据流流水线包括:与生效模式相对应的第二数据流流水线。请参考图5,所述第二数据流流水线包括:多个优先层级的依次递进的实际生效流表,所述实际生效流表用于对所述待处理数据包匹配各自优先层级对应的安全策略(安全策略包括安全规则、默认drop规则),并对所述待处理数据包所匹配的安全策略预先定义的流空间信息进行编码,获取编码结果,将所述编码结果写入所述待处理数据包的元数据的连接跟踪信息中,将所述连接跟踪信息写入预设的连接跟踪提交表中,所述连接跟踪提交表用于为控制平面获取待处理数据包与对应的安全策略之间的映射关系提供数据来源,控制平面基于所述映射关系,处理待处理数据包。具体的,基于待处理数据包输入/输出流量类型的不同,所述第二数据流流水线包括:多个优先层级的依次递进的输入实际生效流表(输入实际生效流表1、输入实际生效流表2、输入实际生效流表3)、以及多个优先层级的依次递进的输出实际生效流表(输出实际生效流表1、输出实际生效流表2、输出实际生效流表3),所述输入实际生效流表与输出实际生效流表相对应。
具体地,在生效模式下,各优先层级的实际生效流表的工作流程如下:
输入/输出实际生效流表1:
1、匹配输入/输出实际生效流表1的默认drop规则的待处理数据包需要送丢弃信息表进一步处理(进行drop连接追踪),仅标记输入/输出实际生效流表1中安全策略的Flowspace信息,即标记 codepoint0为round num,codepoint3(编码点3)为Flow seq;
2、匹配输入/输出实际生效流表1的安全策略失败(miss)的待处理数据包需要直接提交至对应的输入/输出实际生效流表2,不做标记。
输入/输出实际生效流表2:
1、匹配输入/输出实际生效流表2的安全规则的待处理数据包需要直接提交,仅标记输入/输出实际生效流表2中安全策略的Flowspace信息,即标记codepoint0为roundnum,codepoint2为Flow seq;
2、匹配输入/输出实际生效流表2的默认drop规则的待处理数据包需要直接提交至丢弃信息表进一步处理(进行drop连接追踪),仅标记输入/输出实际生效流表2中安全策略的Flowspace信息,即标记 codepoint0为round num,codepoint2为Flow seq;
3、匹配输入/输出实际生效流表2的安全策略失败(miss)的待处理数据包:1)若codepoint2==0,直接提交至输入/输出实际生效流表3;2)若codepoint2!=0,则标记codepoint1为codepoint2的值。
输入/输出实际生效流表3:
1、匹配输入/输出实际生效流表3的安全规则(可以为白名单)的待处理数据包:允许通过,标记codepoint0为round num,标记codepoint3为Flow seq;
2、匹配输入/输出实际生效流表3的默认drop规则的待处理数据包:标记codepoint0为round num,标记codepoint3为Flow seq,提交至连接跟踪提交表,将编码信息保存至待处理数据包的元数据的连接跟踪信息中,最后丢弃。
通过设置上述生效模式,能够将用户经过调试确认的安全策略实际应用与生产环境工作负载,此时不匹配用户定义安全策略的数据包将会被丢弃。并且,能够在安全策略生效的同时,获得被丢弃数据流的信息以及匹配安全策略正常放行的数据流的信息。
下面对本发明提供的数据平面构建系统进行描述,下文描述的数据平面构建系统与上文描述的数据平面构建方法可相互对应参照。
请参考图6,本实施例还提供一种数据平面构建系统,包括:
来源判定模块601,用于从预设的连接跟踪表中获取任一待处理数据包的连接来源类别,所述连接来源类别包括新连接;
数据平面构建模块602,用于当所述待处理数据包的连接来源类别为新连接时,基于预设的实施模式,获取当前的待处理数据包对应的数据流流水线,所述实施模式包括:用于进行安全策略调试的监控模式、用于进行安全策略应用的生效模式,所述监控模式和生效模式分别具有对应的数据流流水线,每个所述数据流流水线均包括多个优先层级的流表,每个流表分别具有相应的安全策略;基于当前的待处理数据包对应的数据流流水线,对所述待处理数据包匹配相应的安全策略;基于所述待处理数据包匹配的安全策略,进行数据平面构建。所述来源判定模块601、数据平面构建模块602连接。本实施例中的数据平面构建系统能够较好地方便用户在实际使安全策略生效之前调试其自定义的安全策略,预防因配置安全策略失误等而引发的网络故障,且便于用户对自定义的安全策略的实施状态进行可视化监控,稳定性较强,可实施性较强,成本较低。
在一些实施例中,所述数据流流水线包括:与监控模式相对应的第一数据流流水线;
所述第一数据流流水线包括:多个优先层级的依次递进的监控流表组,所述监控流表组包括:一监控流表和对应的一监控生效流表,所述监控流表用于对待处理数据包匹配相应的安全策略并进行标记,并对标记结果进行可视化显示,所述监控生效流表用于接收对应的监控流表传输的待处理数据包,对所述待处理数据包进行安全策略匹配,确定所述待处理数据包所匹配的安全策略,并对所述待处理数据包所匹配的安全策略预先定义的流空间信息进行编码,获取编码结果,将所述编码结果写入所述待处理数据包的元数据的连接跟踪信息中,将所述连接跟踪信息写入预设的连接跟踪提交表中,所述连接跟踪提交表用于控制平面获取待处理数据包与对应的安全策略之间的映射关系,基于所述映射关系,处理待处理数据包。
在一些实施例中,所述数据流流水线包括:与生效模式相对应的第二数据流流水线;
所述第二数据流流水线包括:多个优先层级的依次递进的实际生效流表,所述实际生效流表用于对所述待处理数据包匹配各自优先层级对应的安全策略,并对所述待处理数据包所匹配的安全策略预先定义的流空间信息进行编码,获取编码结果,将所述编码结果写入所述待处理数据包的元数据的连接跟踪信息中,将所述连接跟踪信息写入预设的连接跟踪提交表中,所述连接跟踪提交表用于控制平面获取待处理数据包与对应的安全策略之间的映射关系,基于所述映射关系,处理待处理数据包。
在一些实施例中,对所述待处理数据包所匹配的安全策略预先定义的流空间信息进行编码,获取编码结果的步骤包括:
基于所述待处理数据包所匹配的安全策略预先定义的流空间信息,获取区域信息编码点;
基于所述区域信息编码点和预设的标准编码点,获取所述编码结果。
在一些实施例中,基于当前的待处理数据包对应的数据流流水线,对所述待处理数据包匹配相应的安全策略的步骤包括:
基于预设的流空间信息获取规则,获取所述待处理数据包的待匹配空间信息,所述待匹配空间信息为所述待处理数据包的包头域信息,所述包头域信息包括:源IP地址、源端口、目的IP地址、目的端口和传输层协议;
获取待匹配的流表的安全策略所对应的流空间信息,所述待匹配的流表的获取方式为:按照优先层级由高到低的顺序,从所述待处理数据包对应的数据流流水线的各优先层级的流表中获取;
将所述待匹配空间信息与所述流空间信息进行匹配,获取所述待匹配空间信息与所述流空间信息之间的关联关系;
基于所述关联关系,确定所述待处理数据包所匹配的安全策略。
在一些实施例中,基于当前的待处理数据包对应的数据流流水线,对所述待处理数据包匹配相应的安全策略的步骤包括:
判断所述新连接属于输入流量类型或输出流量类型,获取判断结果;
基于所述判断结果,将所述待处理数据包输入对应的数据流流水线中的输入类型流表单元或输出类型流表单元,所述输入类型流表单元包括多个优先层级的依次递进的输入类型流表,所述输出类型流表单元包括多个优先层级的依次递进的输出类型流表,所述输入类型流表和输出类型流表均具有相应的安全策略;
基于所述输入类型流表单元和输出类型流表单元,对所述待处理数据包匹配相应的安全策略。
在一些实施例中,所述连接来源类别还包括已有连接;
当所述待处理数据包的连接来源类别为已有连接时,基于所述已有连接对应的历史数据中的安全策略,获取所述待处理数据包对应的安全策略;对所述待处理数据包对应的安全策略预先定义的流空间信息进行编码,获取编码结果;将所述编码结果写入所述待处理数据包的元数据的连接跟踪信息中,并将所述连接跟踪信息写入预设的连接跟踪提交表中,所述连接跟踪提交表用于控制平面获取待处理数据包与对应的安全策略之间的映射关系,基于所述映射关系,处理待处理数据包。
图7示例了一种电子设备的实体结构示意图,如图7所示,该电子设备可以包括:处理器(processor)710、通信接口(Communications Interface)720、存储器(memory)730和通信总线740,其中,处理器710,通信接口720,存储器730通过通信总线740完成相互间的通信。处理器710可以调用存储器730中的逻辑指令,以执行数据平面构建方法,该方法包括:从预设的连接跟踪表中获取任一待处理数据包的连接来源类别,所述连接来源类别包括新连接;当所述待处理数据包的连接来源类别为新连接时,基于预设的实施模式,获取当前的待处理数据包对应的数据流流水线,所述实施模式包括:用于进行安全策略调试的监控模式、用于进行安全策略应用的生效模式,所述监控模式和生效模式分别具有对应的数据流流水线,每个所述数据流流水线均包括多个优先层级的流表,每个流表分别具有相应的安全策略;基于当前的待处理数据包对应的数据流流水线,对所述待处理数据包匹配相应的安全策略;基于所述待处理数据包匹配的安全策略,进行数据平面构建。
此外,上述的存储器730中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本发明还提供一种计算机程序产品,所述计算机程序产品包括计算机程序,计算机程序可存储在非暂态计算机可读存储介质上,所述计算机程序被处理器执行时,计算机能够执行上述各方法所提供的数据平面构建方法,该方法包括:从预设的连接跟踪表中获取任一待处理数据包的连接来源类别,所述连接来源类别包括新连接;当所述待处理数据包的连接来源类别为新连接时,基于预设的实施模式,获取当前的待处理数据包对应的数据流流水线,所述实施模式包括:用于进行安全策略调试的监控模式、用于进行安全策略应用的生效模式,所述监控模式和生效模式分别具有对应的数据流流水线,每个所述数据流流水线均包括多个优先层级的流表,每个流表分别具有相应的安全策略;基于当前的待处理数据包对应的数据流流水线,对所述待处理数据包匹配相应的安全策略;基于所述待处理数据包匹配的安全策略,进行数据平面构建。
又一方面,本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各方法提供的数据平面构建方法,该方法包括:从预设的连接跟踪表中获取任一待处理数据包的连接来源类别,所述连接来源类别包括新连接;当所述待处理数据包的连接来源类别为新连接时,基于预设的实施模式,获取当前的待处理数据包对应的数据流流水线,所述实施模式包括:用于进行安全策略调试的监控模式、用于进行安全策略应用的生效模式,所述监控模式和生效模式分别具有对应的数据流流水线,每个所述数据流流水线均包括多个优先层级的流表,每个流表分别具有相应的安全策略;基于当前的待处理数据包对应的数据流流水线,对所述待处理数据包匹配相应的安全策略;基于所述待处理数据包匹配的安全策略,进行数据平面构建。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种数据平面构建方法,其特征在于,包括:
从预设的连接跟踪表中获取任一待处理数据包的连接来源类别,所述连接来源类别包括新连接;
当所述待处理数据包的连接来源类别为新连接时,基于预设的实施模式,获取当前的待处理数据包对应的数据流流水线,所述实施模式包括:用于进行安全策略调试的监控模式、用于进行安全策略应用的生效模式,所述监控模式和生效模式分别具有对应的数据流流水线,每个所述数据流流水线均包括多个优先层级的流表,每个流表分别具有相应的安全策略;基于当前的待处理数据包对应的数据流流水线,对所述待处理数据包匹配相应的安全策略;基于所述待处理数据包匹配的安全策略,进行数据平面构建。
2.根据权利要求1所述的数据平面构建方法,其特征在于,所述数据流流水线包括:与监控模式相对应的第一数据流流水线;
所述第一数据流流水线包括:多个优先层级的依次递进的监控流表组,所述监控流表组包括:一监控流表和对应的一监控生效流表,所述监控流表用于对待处理数据包匹配相应的安全策略并进行标记,并对标记结果进行可视化显示,所述监控生效流表用于接收对应的监控流表传输的待处理数据包,对所述待处理数据包进行安全策略匹配,确定所述待处理数据包所匹配的安全策略,并对所述待处理数据包所匹配的安全策略预先定义的流空间信息进行编码,获取编码结果,将所述编码结果写入所述待处理数据包的元数据的连接跟踪信息中,将所述连接跟踪信息写入预设的连接跟踪提交表中,所述连接跟踪提交表用于控制平面获取待处理数据包与对应的安全策略之间的映射关系,基于所述映射关系,处理待处理数据包。
3.根据权利要求1所述的数据平面构建方法,其特征在于,所述数据流流水线包括:与生效模式相对应的第二数据流流水线;
所述第二数据流流水线包括:多个优先层级的依次递进的实际生效流表,所述实际生效流表用于对所述待处理数据包匹配各自优先层级对应的安全策略,并对所述待处理数据包所匹配的安全策略预先定义的流空间信息进行编码,获取编码结果,将所述编码结果写入所述待处理数据包的元数据的连接跟踪信息中,将所述连接跟踪信息写入预设的连接跟踪提交表中,所述连接跟踪提交表用于控制平面获取待处理数据包与对应的安全策略之间的映射关系,基于所述映射关系,处理待处理数据包。
4.根据权利要求2或3所述的数据平面构建方法,其特征在于,对所述待处理数据包所匹配的安全策略预先定义的流空间信息进行编码,获取编码结果的步骤包括:
基于所述待处理数据包所匹配的安全策略预先定义的流空间信息,获取区域信息编码点;
基于所述区域信息编码点和预设的标准编码点,获取所述编码结果。
5.根据权利要求1所述的数据平面构建方法,其特征在于,基于当前的待处理数据包对应的数据流流水线,对所述待处理数据包匹配相应的安全策略的步骤包括:
基于预设的流空间信息获取规则,获取所述待处理数据包的待匹配空间信息,所述待匹配空间信息为所述待处理数据包的包头域信息,所述包头域信息包括:源IP地址、源端口、目的IP地址、目的端口和传输层协议;
获取待匹配的流表的安全策略所对应的流空间信息,所述待匹配的流表的获取方式为:按照优先层级由高到低的顺序,从所述待处理数据包对应的数据流流水线的各优先层级的流表中获取;
将所述待匹配空间信息与所述流空间信息进行匹配,获取所述待匹配空间信息与所述流空间信息之间的关联关系;
基于所述关联关系,确定所述待处理数据包所匹配的安全策略。
6.根据权利要求1所述的数据平面构建方法,其特征在于,基于当前的待处理数据包对应的数据流流水线,对所述待处理数据包匹配相应的安全策略的步骤包括:
判断所述新连接属于输入流量类型或输出流量类型,获取判断结果;
基于所述判断结果,将所述待处理数据包输入对应的数据流流水线中的输入类型流表单元或输出类型流表单元,所述输入类型流表单元包括多个优先层级的依次递进的输入类型流表,所述输出类型流表单元包括多个优先层级的依次递进的输出类型流表,所述输入类型流表和输出类型流表均具有相应的安全策略;
基于所述输入类型流表单元和输出类型流表单元,对所述待处理数据包匹配相应的安全策略。
7.根据权利要求1所述的数据平面构建方法,其特征在于,所述连接来源类别还包括已有连接;
当所述待处理数据包的连接来源类别为已有连接时,基于所述已有连接对应的历史数据中的安全策略,获取所述待处理数据包对应的安全策略;对所述待处理数据包对应的安全策略预先定义的流空间信息进行编码,获取编码结果;将所述编码结果写入所述待处理数据包的元数据的连接跟踪信息中,并将所述连接跟踪信息写入预设的连接跟踪提交表中,所述连接跟踪提交表用于控制平面获取待处理数据包与对应的安全策略之间的映射关系,基于所述映射关系,处理待处理数据包。
8.一种数据平面构建系统,其特征在于,包括:
来源判定模块,用于从预设的连接跟踪表中获取任一待处理数据包的连接来源类别,所述连接来源类别包括新连接;
数据平面构建模块,用于当所述待处理数据包的连接来源类别为新连接时,基于预设的实施模式,获取当前的待处理数据包对应的数据流流水线,所述实施模式包括:用于进行安全策略调试的监控模式、用于进行安全策略应用的生效模式,所述监控模式和生效模式分别具有对应的数据流流水线,每个所述数据流流水线均包括多个优先层级的流表,每个流表分别具有相应的安全策略;基于当前的待处理数据包对应的数据流流水线,对所述待处理数据包匹配相应的安全策略;基于所述待处理数据包匹配的安全策略,进行数据平面构建。
9.一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至7任一项所述数据平面构建方法。
10.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述数据平面构建方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310343553.6A CN116055228B (zh) | 2023-04-03 | 2023-04-03 | 一种数据平面构建方法、系统、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310343553.6A CN116055228B (zh) | 2023-04-03 | 2023-04-03 | 一种数据平面构建方法、系统、电子设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN116055228A CN116055228A (zh) | 2023-05-02 |
| CN116055228B true CN116055228B (zh) | 2023-06-27 |
Family
ID=86122216
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310343553.6A Active CN116055228B (zh) | 2023-04-03 | 2023-04-03 | 一种数据平面构建方法、系统、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116055228B (zh) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10382401B1 (en) * | 2013-02-26 | 2019-08-13 | Zentera Systems, Inc. | Cloud over IP for enterprise hybrid cloud network and security |
| CN114172718A (zh) * | 2021-12-03 | 2022-03-11 | 北京天融信网络安全技术有限公司 | 安全策略配置方法、装置、电子设备及存储介质 |
| CN115238275A (zh) * | 2022-06-15 | 2022-10-25 | 徐州恒佳电子科技有限公司 | 一种基于安全态势感知的勒索软件检测方法及系统 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20200348662A1 (en) * | 2016-05-09 | 2020-11-05 | Strong Force Iot Portfolio 2016, Llc | Platform for facilitating development of intelligence in an industrial internet of things system |
| US11522797B2 (en) * | 2017-08-30 | 2022-12-06 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and system for tracing packets in software defined networks |
-
2023
- 2023-04-03 CN CN202310343553.6A patent/CN116055228B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10382401B1 (en) * | 2013-02-26 | 2019-08-13 | Zentera Systems, Inc. | Cloud over IP for enterprise hybrid cloud network and security |
| CN114172718A (zh) * | 2021-12-03 | 2022-03-11 | 北京天融信网络安全技术有限公司 | 安全策略配置方法、装置、电子设备及存储介质 |
| CN115238275A (zh) * | 2022-06-15 | 2022-10-25 | 徐州恒佳电子科技有限公司 | 一种基于安全态势感知的勒索软件检测方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN116055228A (zh) | 2023-05-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10693765B2 (en) | Failure protection for traffic-engineered bit indexed explicit replication | |
| US10320664B2 (en) | Cloud overlay for operations administration and management | |
| CN107431642B (zh) | 用于控制交换机以捕获和监视网络流量的系统和方法 | |
| US9438512B2 (en) | Stacking metadata contexts for service chains | |
| EP1665652B1 (en) | Virtual switch for providing a single point of management | |
| US9553736B2 (en) | Aggregating data traffic from access domains | |
| CN104639470B (zh) | 流标识封装方法及系统 | |
| EP3476087B1 (en) | System and method for providing a programmable packet classification framework for use in a network device | |
| EP2996287B1 (en) | Method for notifying information of pe device and pe device | |
| US9036636B1 (en) | System and methods for managing network packet broadcasting | |
| US9008080B1 (en) | Systems and methods for controlling switches to monitor network traffic | |
| CN101640703B (zh) | 二层mac清除/重路由 | |
| US7995499B2 (en) | Minimizing spanning-tree protocol event processing and flooding in distribution networks | |
| US7710959B2 (en) | Private VLAN edge across multiple switch modules | |
| US8693478B2 (en) | Multiple shortest-path tree protocol | |
| WO2018203108A1 (en) | Efficient troubleshooting in openflow switches | |
| EP2709314A1 (en) | Avoiding data traffic loss in an ethernet ring multihomed, in an active-standby manner, to a virtual private lan service transport network | |
| CN105991441B (zh) | 对bgp路由选择性下发路由转发表的方法和装置 | |
| US8045474B2 (en) | Method and apparatus for tracking layer-2 (L2) resource of a switch | |
| US7411909B2 (en) | System and method for regulating data traffic in a network | |
| CN103986660B (zh) | 加载微码的装置以及加载微码的方法 | |
| CN109218176B (zh) | 一种报文处理的方法及装置 | |
| CN116055228B (zh) | 一种数据平面构建方法、系统、电子设备及存储介质 | |
| CN104780138B (zh) | 私有冗余协议网络中stp/rstp报文的透传方法及装置 | |
| EP3160104B1 (en) | Method and device for generating bgp logical topology |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |