CN116346485A - 一种流量管控方法、系统、装置、设备及介质 - Google Patents
一种流量管控方法、系统、装置、设备及介质 Download PDFInfo
- Publication number
- CN116346485A CN116346485A CN202310359196.2A CN202310359196A CN116346485A CN 116346485 A CN116346485 A CN 116346485A CN 202310359196 A CN202310359196 A CN 202310359196A CN 116346485 A CN116346485 A CN 116346485A
- Authority
- CN
- China
- Prior art keywords
- security
- flow
- security device
- management
- control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 48
- 238000004458 analytical method Methods 0.000 claims abstract description 65
- 238000007726 management method Methods 0.000 claims description 92
- 238000004891 communication Methods 0.000 claims description 34
- 238000004590 computer program Methods 0.000 claims description 12
- 230000002457 bidirectional effect Effects 0.000 claims description 5
- 230000004044 response Effects 0.000 claims description 5
- 230000000694 effects Effects 0.000 abstract description 2
- 230000005540 biological transmission Effects 0.000 description 12
- 230000006399 behavior Effects 0.000 description 8
- 238000010586 diagram Methods 0.000 description 7
- 230000003068 static effect Effects 0.000 description 5
- 238000012550 audit Methods 0.000 description 4
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 230000005856 abnormality Effects 0.000 description 2
- 230000009977 dual effect Effects 0.000 description 2
- 238000005206 flow analysis Methods 0.000 description 2
- 238000002955 isolation Methods 0.000 description 2
- 230000002265 prevention Effects 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000008094 contradictory effect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 210000001503 joint Anatomy 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了计算机技术领域内的一种流量管控方法、系统、装置、设备及介质。本申请应用于流量管控设备,该流量管控设备基于上网流量对应的管控链信息确定需要对上网流量进行安全分析的至少一种安全设备,从而使管控链信息中的安全设备对上网流量进行安全分析。该方案以流量管控设备作为调度中心,并基于管控链信息灵活设定对终端的上网流量进行安全分析的至少一种安全设备,并且这些安全设备不必串行在流量访问路径上,因此可降低安全设备的增、删、改等操作对流量访问服务的影响,提高了对流量进行安全分析的安全设备的可拓展性和灵活性。相应地,本申请提供的一种流量管控系统、装置、设备及可读存储介质,也同样具有上述技术效果。
Description
技术领域
本申请涉及计算机技术领域,特别涉及一种流量管控方法、系统、装置、设备及介质。
背景技术
目前,对上网流量进行分析的各种安全设备串行于同一传输路径,若任意安全设备故障导致传输路径中断,那么上网流量就无法到达相应服务端,会出现访问异常。并且,串行于同一传输路径上的各种安全设备无法灵活拓展,如:原本路径上串行有审计设备和防火墙,如果想要在路径中增加分析文件上传行为的安全设备,就需要暂停该传输路径,但暂停传输路径不免需要中断访问服务。
因此,如何提高流量分析的可拓展性,是本领域技术人员需要解决的问题。
发明内容
有鉴于此,本申请的目的在于提供一种流量管控方法、系统、装置、设备及介质,以提高流量分析的可拓展性。其具体方案如下:
第一方面,本申请提供了一种流量管控方法,应用于流量管控设备,所述流量管控设备连接有至少一种安全设备,包括:
接收终端发送的上网流量;
查询所述上网流量对应的管控链信息;所述管控链信息记录有:对所述上网流量进行安全分析的至少一种安全设备;
将所述上网流量分别发送至所述至少一种安全设备进行安全分析。
可选地,所述将所述上网流量分别发送至所述至少一种安全设备进行安全分析之前,还包括:
若所述上网流量为密文,则解密所述上网流量,得到流量明文;
相应地,所述将所述上网流量分别发送至所述至少一种安全设备进行安全分析,包括:
将所述流量明文分别发送至所述至少一种安全设备进行安全分析。
可选地,所述将所述上网流量分别发送至所述至少一种安全设备进行安全分析,包括:
若所述管控链信息记录有至少两种安全设备,则确定所述管控链信息记录的至少两种安全设备之间的排列顺序;
保留所述上网流量的目的IP和源IP,并按照所述排列顺序将所述上网流量发送至所述管控链信息中的首个安全设备;
等待前一安全设备返回目的IP、源IP与所述上网流量相同的数据包;
在前一安全设备返回目的IP、源IP与所述上网流量相同的数据包之后,将当前接收到的数据包发送至所述前一安全设备的后一安全设备,以按照所述排列顺序将所述上网流量分别发送至所述至少一种安全设备进行安全分析。
可选地,还包括:
在前一安全设备未返回目的IP、源IP与所述上网流量相同的数据包之前,不发送任何数据至所述前一安全设备的后一安全设备。
可选地,所述将所述上网流量分别发送至所述至少一种安全设备进行安全分析,包括:
确定所述管控链信息记录的至少一种安全设备所属的安全池;
将所述上网流量分别发送至所述安全池,以使所述安全池按照预设调度机制在自身中选择相应安全设备。
可选地,所述管控链信息的生成过程包括:
响应于用户操作,确定用户为所述终端所访问服务选定的至少一种安全设备的设备类型标识以及至少一种安全设备之间的排列顺序;
基于所述设备类型标识和所述排列顺序生成所述管控链信息。
第二方面,本申请提供了一种流量管控系统,包括:流量管控设备,所述流量管控设备连接有至少一种安全池,任意安全池包括至少一个安全设备;
所述流量管控设备用于:接收终端发送的上网流量;查询所述上网流量对应的管控链信息;所述管控链信息记录有:对所述上网流量进行安全分析的所述至少一种安全池中的至少一种安全设备;将所述上网流量分别发送至所述至少一种安全设备进行安全分析。
可选地,所述安全设备为:应用于数据链路层的二层安全设备;
相应地,所述流量管控设备用于:在自身中配置所述二层安全设备对应的虚拟IP,并通过所述虚拟IP与所述二层安全设备建立通信连接。
可选地,所述流量管控设备的任一个数据输出接口只连接所述二层安全设备的任一数据输入接口,所述流量管控设备的任一个数据输入接口只连接所述二层安全设备的任一数据输出接口。
可选地,所述流量管控设备的任一个数据输出接口的IP与其连接的所述二层安全设备的数据输入接口对应的IP属于同一vlan,所述流量管控设备的任一个数据输入接口的IP与其连接的所述二层安全设备的数据输出接口的IP属于另一vlan;所述二层安全设备的数据输入接口对应的IP为:配置于所述流量管控设备中的所述二层安全设备对应的虚拟IP。
可选地,所述安全设备为:应用于网络层的三层安全设备;
相应地,所述流量管控设备用于:通过双向单通信链路或单向双通信链路与所述三层安全设备建立通信连接。
可选地,所述流量管控设备具体用于:通过单向双通信链路与所述三层安全设备建立通信连接时,采用静态路由方式或动态路由方式与所述三层安全设备建立通信连接。
可选地,所述流量管控设备具体用于:通过双向单通信链路与多个三层安全设备建立通信连接时,所述流量管控设备的任一个数据输出接口和/或任一个数据输入接口与多个三层安全设备建立通信链路,并通过vlan隔离所述流量管控设备与不同三层安全设备之间的通信链路。
第三方面,本申请提供了一种流量管控装置,应用于流量管控设备,所述流量管控设备连接有至少一种安全设备,包括:
接收模块,用于接收终端发送的上网流量;
查询模块,用于查询所述上网流量对应的管控链信息;所述管控链信息记录有:对所述上网流量进行安全分析的至少一种安全设备;
发送模块,用于将所述上网流量分别发送至所述至少一种安全设备进行安全分析。
第四方面,本申请提供了一种电子设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序,以实现前述公开的流量管控方法。
第五方面,本申请提供了一种可读存储介质,用于保存计算机程序,其中,所述计算机程序被处理器执行时实现前述公开的流量管控方法。
通过以上方案可知,本申请提供了一种流量管控方法,应用于流量管控设备,所述流量管控设备连接有至少一种安全设备,包括:接收终端发送的上网流量;查询所述上网流量对应的管控链信息;所述管控链信息记录有:对所述上网流量进行安全分析的至少一种安全设备;将所述上网流量分别发送至所述至少一种安全设备进行安全分析。
可见,本申请提供的流量管控设备可基于上网流量对应的管控链信息确定需要对上网流量进行安全分析的至少一种安全设备,从而使管控链信息中的安全设备对上网流量进行安全分析。本申请以此流量管控设备作为调度中心,可基于管控链信息灵活设定对任一终端的上网流量进行安全分析的至少一种安全设备,并且这些安全设备不必串行在流量访问路径上,因此可降低安全设备的增、删、改等操作对流量访问服务的影响。如:某一终端对应的管控链信息中记录有:审计设备和防火墙,如果想要增加分析文件上传行为的安全设备,只需在管控链信息中新增一个分析文件上传行为的安全设备,而无需更改流量的原访问路径,因此无需中断访问服务,提高了对流量进行安全分析的安全设备的可拓展性和灵活性。
相应地,本申请提供的一种流量管控系统、装置、设备及可读存储介质,也同样具有上述技术效果。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请公开的一种流量管控方法流程图;
图2为本申请公开的一种流量管控系统示意图;
图3为本申请公开的一种二层安全设备的通信配置示意图;
图4为本申请公开的一种三层安全设备的通信配置示意图;
图5为本申请公开的一种流量管控装置示意图;
图6为本申请公开的一种电子设备示意图;
图7为本申请公开的另一种电子设备示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
目前,对上网流量进行分析的各种安全设备串行于同一传输路径,若任意安全设备故障导致传输路径中断,那么上网流量就无法到达相应服务端,会出现访问异常。并且,串行于同一传输路径上的各种安全设备无法灵活拓展,如:原本路径上串行有审计设备和防火墙,如果想要在路径中增加分析文件上传行为的安全设备,就需要暂停该传输路径,但暂停传输路径不免需要中断访问服务。为此,本申请提供了一种流量管控方案,能够提高对流量进行安全分析的安全设备的可拓展性和灵活性。
参见图1所示,本申请实施例公开了一种流量管控方法,应用于流量管控设备,流量管控设备连接有至少一种安全设备,包括:
S101、接收终端发送的上网流量。
S102、查询上网流量对应的管控链信息;管控链信息记录有:对上网流量进行安全分析的至少一种安全设备。
S103、将上网流量分别发送至至少一种安全设备进行安全分析。
在本实施例中,终端具体可以包括但不限于智能手机、平板电脑、笔记本电脑或台式电脑等。本实施例允许用户针对各终端要访问的不同服务来设定相应管控链信息,例如:终端若访问服务1,则可以设置相应的管控链1,终端若访问服务2,则可以设置相应的管控链2。管控链用于记录对终端发出的上网流量进行安全分析的至少一种安全设备。安全设备的种类可以有:防火墙、流量审计设备、某一特定网络攻击的防御设备等。在一种实施方式中,管控链信息的生成过程包括:响应于用户操作,确定用户为终端所访问服务选定的至少一种安全设备的设备类型标识以及至少一种安全设备之间的排列顺序;基于设备类型标识和排列顺序生成管控链信息。其中,设备类型标识用于从功能角度区分不同安全设备,具体可以灵活设定。同一种安全设备可以有多个,如:防火墙这一种安全设备可有多个。不同安全设备之间的排列顺序可以由用户人为指定。
在一种示例中,同一种安全设备可以构成安全池,那么需要使用某一安全设备时,就可以从相应安全池中灵活选择较空闲的安全设备。请参照图2,用户使用终端发出上网流量密文,该上网流量密文到达流量管控设备后,由流量管控设备按照管控链信息中设定的顺序:A-B-C,分别在各个安全池中选择安全设备,以对该上网流量进行安全分析。在图2中,流量管控设备先发送流量至FW(Firewall,防火墙)设备池,待FW设备池中的相应安全设备分析流量返回数据至流量管控设备后,流量管控设备再发送前述返回的数据至IPS(Intrusion Prevention System,入侵防御系统)设备池,待IPS设备池中的相应安全设备返回数据至流量管控设备后,流量管控设备再发送前述返回的数据至二层WAF(WebApplication Firewall,Web应用防护系统)设备池。可见,上网流量经过安全设备时不允许安全设备做NAT(Network Address Translation,网络地址转换)。其中,FW设备池为:多个防火墙构成的安全池;IPS设备池为:多个IPS设备构成的安全池,IPS设备能够监视网络资料传输行为,能够及时中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为;二层WAF设备池为:多个二层WAF设备构成的安全池,二层WAF设备应用于数据链路层,能够通过执行针对HTTP/HTTPS的安全策略来为Web应用提供保护。
在一种实施方式中,将上网流量分别发送至至少一种安全设备进行安全分析,包括:确定管控链信息记录的至少一种安全设备所属的安全池;将上网流量分别发送至安全池,以使安全池按照预设调度机制在自身中选择相应安全设备。预设调度机制如:负载均衡机制、轮询机制、哈希机制、加权轮询机制、最少流量机制、最小连接机制等。具体的,利用负载均衡机制可以从某一安全池中选择较空闲的安全设备。
如图2所示,密文形式的上网流量可以被流量管控设备解密为明文,而后流量管控设备将相应明文转达至管控链信息记录的各个安全设备。在一种实施方式中,将上网流量分别发送至至少一种安全设备进行安全分析之前,还包括:若上网流量为密文,则解密上网流量,得到流量明文;相应地,将上网流量分别发送至至少一种安全设备进行安全分析,包括:将流量明文分别发送至至少一种安全设备进行安全分析。
需要说明的是,流量管控设备发送上网流量至管控链信息记录的至少一种安全设备时,保留上网流量的目的IP和源IP,而不进行更改。并且,各个安全设备拿到上网流量后,可以基于自身配置对流量数据包进行修改,也可以基于自身配置不对流量数据包进行修改,修改与否取决于各个安全设备对流量进行安全分析的相关配置。在一种实施方式中,将上网流量分别发送至至少一种安全设备进行安全分析,包括:若管控链信息记录有至少两种安全设备,则确定管控链信息记录的至少两种安全设备之间的排列顺序;保留上网流量的目的IP和源IP,并按照排列顺序将上网流量发送至管控链信息中的首个安全设备;等待前一安全设备返回目的IP、源IP与上网流量相同的数据包;在前一安全设备返回目的IP、源IP与上网流量相同的数据包之后,将当前接收到的数据包发送至前一安全设备的后一安全设备,以按照排列顺序将上网流量分别发送至至少一种安全设备进行安全分析。在前一安全设备未返回目的IP、源IP与上网流量相同的数据包之前,不发送任何数据至前一安全设备的后一安全设备。
可见,本申请实施例提供的流量管控设备可基于上网流量对应的管控链信息确定需要对上网流量进行安全分析的至少一种安全设备,从而使管控链信息中的安全设备对上网流量进行安全分析。本申请以此流量管控设备作为调度中心,可基于管控链信息灵活设定对任一终端的上网流量进行安全分析的至少一种安全设备,并且这些安全设备不必串行在流量访问路径上,因此可降低安全设备的增、删、改等操作对流量访问服务的影响。如:某一终端对应的管控链信息中记录有:审计设备和防火墙,如果想要增加分析文件上传行为的安全设备,只需在管控链信息中新增一个分析文件上传行为的安全设备,而无需更改流量的原访问路径,因此无需中断访问服务,提高了对流量进行安全分析的安全设备的可拓展性和灵活性。
下面对本申请实施例提供的一种流量管控系统进行介绍,下文描述的一种流量管控系统与上文描述的一种流量管控方法可以相互参照。
本申请实施例公开了一种流量管控系统,包括:上述实施例所述的流量管控设备,流量管控设备连接有至少一种安全池,任意安全池包括至少一个安全设备。具体可参照图2。
在本实施例中,流量管控设备用于:接收终端发送的上网流量;查询上网流量对应的管控链信息;管控链信息记录有:对上网流量进行安全分析的至少一种安全池中的至少一种安全设备;将上网流量分别发送至至少一种安全设备进行安全分析。
在一种实施方式中,安全设备为:应用于数据链路层的二层安全设备;相应地,流量管控设备用于:在自身中配置二层安全设备对应的虚拟IP,并通过虚拟IP与二层安全设备建立通信连接。
在一种实施方式中,流量管控设备的任一个数据输出接口只连接二层安全设备的任一数据输入接口,流量管控设备的任一个数据输入接口只连接二层安全设备的任一数据输出接口。
在一种实施方式中,流量管控设备的任一个数据输出接口的IP与其连接的二层安全设备的数据输入接口对应的IP属于同一vlan,流量管控设备的任一个数据输入接口的IP与其连接的二层安全设备的数据输出接口的IP属于另一vlan;所述二层安全设备的数据输入接口对应的IP为:配置于所述流量管控设备中的所述二层安全设备对应的虚拟IP。可见,二层安全设备中并没有配置IP,本实施例在流量管控设备中为二层安全设备记录了其对应的IP,此IP并不被二层安全设备察觉。
在一种实施方式中,安全设备为:应用于网络层的三层安全设备;相应地,流量管控设备用于:通过双向单通信链路或单向双通信链路与三层安全设备建立通信连接。
在一种实施方式中,流量管控设备具体用于:通过单向双通信链路与三层安全设备建立通信连接时,采用静态路由方式或动态路由方式与三层安全设备建立通信连接。
在一种实施方式中,流量管控设备具体用于:通过双向单通信链路与多个三层安全设备建立通信连接时,流量管控设备的任一个数据输出接口和/或任一个数据输入接口与多个三层安全设备建立通信链路,并通过vlan隔离流量管控设备与不同三层安全设备之间的通信链路。
在本实施例中,流量管控设备用于:若上网流量为密文,则解密上网流量,得到流量明文;相应地,流量管控设备用于:将流量明文分别发送至至少一种安全设备进行安全分析。
在本实施例中,流量管控设备用于:若管控链信息记录有至少两种安全设备,则确定管控链信息记录的至少两种安全设备之间的排列顺序;保留上网流量的目的IP和源IP,并按照排列顺序将上网流量发送至管控链信息中的首个安全设备;等待前一安全设备返回目的IP、源IP与上网流量相同的数据包;在前一安全设备返回目的IP、源IP与上网流量相同的数据包之后,将当前接收到的数据包发送至前一安全设备的后一安全设备,以按照排列顺序将上网流量分别发送至至少一种安全设备进行安全分析。
在本实施例中,流量管控设备用于:在前一安全设备未返回目的IP、源IP与上网流量相同的数据包之前,不发送任何数据至前一安全设备的后一安全设备。
在本实施例中,流量管控设备用于:确定管控链信息记录的至少一种安全设备所属的安全池;将上网流量分别发送至安全池,以使安全池按照预设调度机制在自身中选择相应安全设备。
在本实施例中,流量管控设备用于:响应于用户操作,确定用户为终端所访问服务选定的至少一种安全设备的设备类型标识以及至少一种安全设备之间的排列顺序;基于设备类型标识和排列顺序生成管控链信息。
其中,关于本实施例中各个模块、单元更加具体的工作过程可以参考前述实施例中公开的相应内容,在此不再进行赘述。
可见,本实施例提供了一种流量管控系统,该系统以流量管控设备作为调度中心,此流量管控设备可基于管控链信息灵活设定对任一终端的上网流量进行安全分析的至少一种安全设备,并且这些安全设备不必串行在流量访问路径上,因此可降低安全设备的增、删、改等操作对流量访问服务的影响,提高了对流量进行安全分析的安全设备的可拓展性和灵活性。
下面针对二层安全设备和三层安全设备做进一步详细介绍。
请参见图3,二层安全设备以网线模式接入流量管控设备,该模式下,流量到达流量管控设备后,流量管控设备将流量转发至二层安全设备,之后流量从二层安全设备流回流量管控设备。此模式下二层安全设备没有ip。
具体的,二层安全设备与流量管控设备的通信连接过程包括:首先在SSLO(SSLOrchestrator,安全编排设备/流量管控设备)上为二层安全设备分配两条链路,在SSLO的出接口配置ip2和vlan1,SSLO的入接口配置ip3和vlan2;然后在二层安全设备(L2)的入接口配置vlan1,L2的出接口配置vlan2;其中,SSLO的入接口和出接口被L2独占。
由于SSLO设备拿到的流量是网络层的数据包,但是二层安全设备工作在数据链路层,此时需要将二层安全设备模拟为三层安全设备。为此,本实施例在SSLO设备上配置虚拟ip4,将这个虚拟ip4当作二层安全设备的ip,但此虚拟ip4并不会真实下发到网卡上,且只会在与此二层安全设备的通信链路上响应arp请求与icmp请求。其中,虚拟ip4与ip2可以配置为同网段,且只响应SSLO的入接口链路上接收到的arp请求与icmp请求。
二层安全设备与SSLO设备建立通信连接后,SSLO设备向二层安全设备调度流量的过程包括:SSLO设备收到来自终端上的客户端发送的数据包后,不对数据包进行NAT,若SSLO设备查询到该二层安全设备的IP为ip4,由于ip4与ip2同网段,所以SSLO设备会选择从配置有ip2的出接口链路将数据包转发到二层安全设备。二层安全设备从vlan1收到数据包后,对此数据包进行流量分析,二层安全设备也不对数据包进行NAT,只按照自身的流量分析配置分析数据包,之后将源IP为客户端ip、目的IP为ip1的数据包从vlan2转发到SSLO设备的入接口。SSLO设备由入接口收到数据包后,若基于当前客户端所对应的管控链信息确定还有其他的安全设备需要调度,则转发前述收到的数据包给其他安全设备,否则将数据包转发给客户端的服务端。
请参见图4,三层安全设备以路由模式接入流量管控设备,该模式下,流量到达流量管控设备后,流量管控设备将流量转发至三层安全设备,之后流量从三层安全设备流回流量管控设备。此模式下三层安全设备有ip。
具体的,三层安全设备与流量管控设备的通信连接支持单臂模式(双向单通信链路)或双臂模式(单向双通信链路)。在SSLO的出接口配置ip2和vlan1,SSLO的入接口配置ip3和vlan2;然后在三层安全设备(L3)的入接口配置ip4和vlan1,L3的出接口配置ip5和vlan2。其中,出接口与入接口相同时即为单臂模式,此模式下不要求接口被独占,可以和其他的三层安全设备共享,不同三层安全设备划分独立的vlan,以实现通信隔离。其中,ip2与ip4可以配置为同网段。
需要说明的是,在单臂模式下,SSLO设备与三层安全设备之间只有一条链路相连,此时要求在三层安全设备上配置1条路由。在双臂模式下,SSLO设备与三层安全设备之间有2条链路相连,此时有两种配置路由的方法:(1)策略路由:支持策略路由的三层安全设备,可以对从SSLO设备的出接口拿到的流量进行安全分析后,返回数据包至SSLO设备的入接口,也就是:对自身入接口拿到的流量进行安全分析后,从自身出接口返回数据包至SSLO设备的入接口。(2)静态路由:手动配置2条路由,一条路由将目的IP为ip1的数据包的下一跳地址设置为ip3;另一条路由将目的IP为客户端ip的数据包的下一跳地址设置为ip2。
三层安全设备与SSLO设备建立通信连接后,SSLO设备向三层安全设备调度流量的过程包括:SSLO设备收到来自客户端的数据包,将流量转发到三层安全设备,根据三层安全设备的ip4查路由,命中SSLO设备的出接口链路,因此流量从SSLO设备的出接口链路转发到三层安全设备。三层安全设备进行流量分析后,根据配置的策略路由或者静态路由,将流量从三层安全设备的出接口链路转发到SSLO设备的入接口链路。SSLO设备由自身入接口收到三层安全设备返回的数据包后,若确定还有其他的安全设备需要调度,则转发前述三层安全设备返回的数据包给其他安全设备,否则将数据包转发给服务端处理。
可见,通过路由模式,并配置策略路由或者静态路由可实现三层安全设备接入SSLO设备。通过网线模式,并配置vlan隔离与虚拟IP,可实现二层安全设备接入SSLO设备。本实施例使二层、三层安全设备与SSLO设备进行对接,可确保流量流过安全设备后能够正确的回流至SSLO设备,使流量可以在SSLO设备与安全设备之间穿梭,也能对流量进行下一步调度。本实施例通过路由模式与网线模式实现了三层安全设备与二层安全设备接入SSLO设备,使SSLO设备可以将流量调度至三层、二层安全设备,从而提供了更加灵活可靠的流量分析方案。
下面对本申请实施例提供的一种流量管控装置进行介绍,下文描述的一种流量管控装置与上文描述的一种流量管控方法可以相互参照。
参见图5所示,本申请实施例公开了一种流量管控装置,应用于流量管控设备,流量管控设备连接有至少一种安全设备,包括:
接收模块501,用于接收终端发送的上网流量;
查询模块502,用于查询上网流量对应的管控链信息;管控链信息记录有:对上网流量进行安全分析的至少一种安全设备;
发送模块503,用于将上网流量分别发送至至少一种安全设备进行安全分析。
在一种实施方式中,还包括:
加密模块,用于若上网流量为密文,则解密上网流量,得到流量明文;
相应地,发送模块具体用于:
将流量明文分别发送至至少一种安全设备进行安全分析。
在一种实施方式中,发送模块具体用于:
若管控链信息记录有至少两种安全设备,则确定管控链信息记录的至少两种安全设备之间的排列顺序;
保留上网流量的目的IP和源IP,并按照排列顺序将上网流量发送至管控链信息中的首个安全设备;
等待前一安全设备返回目的IP、源IP与上网流量相同的数据包;
在前一安全设备返回目的IP、源IP与上网流量相同的数据包之后,将当前接收到的数据包发送至前一安全设备的后一安全设备,以按照排列顺序将上网流量分别发送至至少一种安全设备进行安全分析。
其中,在前一安全设备未返回目的IP、源IP与上网流量相同的数据包之前,不发送任何数据至前一安全设备的后一安全设备。
在一种实施方式中,发送模块具体用于:
确定管控链信息记录的至少一种安全设备所属的安全池;
将上网流量分别发送至安全池,以使安全池按照预设调度机制在自身中选择相应安全设备。
在一种实施方式中,管控链信息的生成过程包括:
响应于用户操作,确定用户为终端所访问服务选定的至少一种安全设备的设备类型标识以及至少一种安全设备之间的排列顺序;
基于设备类型标识和排列顺序生成管控链信息。
其中,关于本实施例中各个模块、单元更加具体的工作过程可以参考前述实施例中公开的相应内容,在此不再进行赘述。
可见,本实施例提供了一种流量管控装置,该装置以流量管控设备作为调度中心,此流量管控设备可基于管控链信息灵活设定对任一终端的上网流量进行安全分析的至少一种安全设备,并且这些安全设备不必串行在流量访问路径上,因此可降低安全设备的增、删、改等操作对流量访问服务的影响,提高了对流量进行安全分析的安全设备的可拓展性和灵活性。
下面对本申请实施例提供的一种电子设备进行介绍,下文描述的一种电子设备与上文描述的一种流量管控方法、系统及装置可以相互参照。
参见图6所示,本申请实施例公开了一种电子设备,包括:
存储器601,用于保存计算机程序;
处理器602,用于执行所述计算机程序,以实现上述任意实施例公开的方法。
请参考图7,图7为本实施例提供的另一种电子设备示意图,该电子设备可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上处理器(central processingunits,CPU)322(例如,一个或一个以上处理器)和存储器332,一个或一个以上存储应用程序342或数据344的存储介质330(例如一个或一个以上海量存储设备)。其中,存储器332和存储介质330可以是短暂存储或持久存储。存储在存储介质330的程序可以包括一个或一个以上模块(图示没标出),每个模块可以包括对数据处理设备中的一系列指令操作。更进一步地,中央处理器322可以设置为与存储介质330通信,在电子设备301上执行存储介质330中的一系列指令操作。
电子设备301还可以包括一个或一个以上电源326,一个或一个以上有线或无线网络接口350,一个或一个以上输入输出接口358,和/或,一个或一个以上操作系统341。例如,Windows ServerTM,Mac OS XTM,UnixTM,LinuxTM,FreeBSDTM等。
在图7中,应用程序342可以是执行流量管控方法的程序,数据344可以是执行流量管控方法所需的或产生的数据。
上文所描述的流量管控方法中的步骤可以由电子设备的结构实现。
下面对本申请实施例提供的一种可读存储介质进行介绍,下文描述的一种可读存储介质与上文描述的一种流量管控方法、装置及设备可以相互参照。
一种可读存储介质,用于保存计算机程序,其中,所述计算机程序被处理器执行时实现前述实施例公开的流量管控方法。关于该方法的具体步骤可以参考前述实施例中公开的相应内容,在此不再进行赘述。
本申请涉及的“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法或设备固有的其它步骤或单元。
需要说明的是,在本申请中涉及“第一”、“第二”等的描述仅用于描述目的,而不能理解为指示或暗示其相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。另外,各个实施例之间的技术方案可以相互结合,但是必须是以本领域普通技术人员能够实现为基础,当技术方案的结合出现相互矛盾或无法实现时应当认为这种技术方案的结合不存在,也不在本申请要求的保护范围之内。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的可读存储介质中。
本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。
Claims (12)
1.一种流量管控方法,其特征在于,应用于流量管控设备,所述流量管控设备连接有至少一种安全设备,包括:
接收终端发送的上网流量;
查询所述上网流量对应的管控链信息;所述管控链信息记录有:对所述上网流量进行安全分析的至少一种安全设备;
将所述上网流量分别发送至所述至少一种安全设备进行安全分析。
2.根据权利要求1所述的流量管控方法,其特征在于,所述将所述上网流量分别发送至所述至少一种安全设备进行安全分析,包括:
若所述管控链信息记录有至少两种安全设备,则确定所述管控链信息记录的至少两种安全设备之间的排列顺序;
保留所述上网流量的目的IP和源IP,并按照所述排列顺序将所述上网流量发送至所述管控链信息中的首个安全设备;
等待前一安全设备返回目的IP、源IP与所述上网流量相同的数据包;
在前一安全设备返回目的IP、源IP与所述上网流量相同的数据包之后,将当前接收到的数据包发送至所述前一安全设备的后一安全设备,以按照所述排列顺序将所述上网流量分别发送至所述至少一种安全设备进行安全分析;
在前一安全设备未返回目的IP、源IP与所述上网流量相同的数据包之前,不发送任何数据至所述前一安全设备的后一安全设备。
3.根据权利要求1所述的流量管控方法,其特征在于,所述将所述上网流量分别发送至所述至少一种安全设备进行安全分析,包括:
确定所述管控链信息记录的至少一种安全设备所属的安全池;
将所述上网流量分别发送至所述安全池,以使所述安全池按照预设调度机制在自身中选择相应安全设备。
4.根据权利要求1至3任一项所述的流量管控方法,其特征在于,所述管控链信息的生成过程包括:
响应于用户操作,确定用户为所述终端所访问服务选定的至少一种安全设备的设备类型标识以及至少一种安全设备之间的排列顺序;
基于所述设备类型标识和所述排列顺序生成所述管控链信息。
5.一种流量管控系统,其特征在于,包括:流量管控设备,所述流量管控设备连接有至少一种安全池,任意安全池包括至少一个安全设备;
所述流量管控设备用于:接收终端发送的上网流量;查询所述上网流量对应的管控链信息;所述管控链信息记录有:对所述上网流量进行安全分析的所述至少一种安全池中的至少一种安全设备;将所述上网流量分别发送至所述至少一种安全设备进行安全分析。
6.根据权利要求5所述的流量管控系统,其特征在于,
所述安全设备为:应用于数据链路层的二层安全设备;
相应地,所述流量管控设备用于:在自身中配置所述二层安全设备对应的虚拟IP,并通过所述虚拟IP与所述二层安全设备建立通信连接。
7.根据权利要求6所述的流量管控系统,其特征在于,所述流量管控设备的任一个数据输出接口只连接所述二层安全设备的任一数据输入接口,所述流量管控设备的任一个数据输入接口只连接所述二层安全设备的任一数据输出接口。
8.根据权利要求7所述的流量管控系统,其特征在于,所述流量管控设备的任一个数据输出接口的IP与其连接的所述二层安全设备的数据输入接口对应的IP属于同一vlan,所述流量管控设备的任一个数据输入接口的IP与其连接的所述二层安全设备的数据输出接口的IP属于另一vlan;所述二层安全设备的数据输入接口对应的IP为:配置于所述流量管控设备中的所述二层安全设备对应的虚拟IP。
9.根据权利要求5所述的流量管控系统,其特征在于,
所述安全设备为:应用于网络层的三层安全设备;
相应地,所述流量管控设备用于:通过双向单通信链路或单向双通信链路与所述三层安全设备建立通信连接。
10.一种流量管控装置,其特征在于,应用于流量管控设备,所述流量管控设备连接有至少一种安全设备,包括:
接收模块,用于接收终端发送的上网流量;
查询模块,用于查询所述上网流量对应的管控链信息;所述管控链信息记录有:对所述上网流量进行安全分析的至少一种安全设备;
发送模块,用于将所述上网流量分别发送至所述至少一种安全设备进行安全分析。
11.一种电子设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序,以实现如权利要求1至4任一项所述的流量管控方法。
12.一种可读存储介质,其特征在于,用于保存计算机程序,其中,所述计算机程序被处理器执行时实现如权利要求1至4任一项所述的流量管控方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310359196.2A CN116346485A (zh) | 2023-03-31 | 2023-03-31 | 一种流量管控方法、系统、装置、设备及介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310359196.2A CN116346485A (zh) | 2023-03-31 | 2023-03-31 | 一种流量管控方法、系统、装置、设备及介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116346485A true CN116346485A (zh) | 2023-06-27 |
Family
ID=86883958
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310359196.2A Pending CN116346485A (zh) | 2023-03-31 | 2023-03-31 | 一种流量管控方法、系统、装置、设备及介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116346485A (zh) |
-
2023
- 2023-03-31 CN CN202310359196.2A patent/CN116346485A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11563685B2 (en) | Method and apparatus for traffic optimization in virtual private networks (VPNs) | |
US11750419B2 (en) | Systems and methods for providing a global virtual network (GVN) | |
US11831611B2 (en) | Virtual private gateway for encrypted communication over dedicated physical link | |
JP6434190B1 (ja) | ネットワーク制御装置、通信システム、ネットワーク制御方法、プログラム、及び記録媒体 | |
US8086739B2 (en) | Method and system for monitoring virtual wires | |
US11848854B1 (en) | Method, apparatus, and computer program product for dynamic security based grid routing | |
US8756339B2 (en) | IP traffic redirection for purposes of lawful intercept | |
US20140040503A1 (en) | Intelligent sorting for n-way secure split tunnel | |
US10778465B1 (en) | Scalable cloud switch for integration of on premises networking infrastructure with networking services in the cloud | |
CN114363242A (zh) | 基于云网融合技术的动态多路径优化方法、系统以及设备 | |
Chen et al. | PacketCloud: A cloudlet-based open platform for in-network services | |
EP3166262B1 (en) | Control device, control system, control method, and control program | |
JP2013134711A (ja) | 医療クラウドシステム | |
CN116346485A (zh) | 一种流量管控方法、系统、装置、设备及介质 | |
Ram et al. | A Flow-Based Performance Evaluation on RYU SDN Controller | |
Bakhareva et al. | SDN-based firewall implementation for large corporate networks | |
EP4221098A1 (en) | Integrated broadband network gateway (bng) device for providing a bng control plane for one or more distributed bng user plane devices | |
CN117081811A (zh) | 容器化场景下的网络流量编排方法、系统及相关设备 | |
Lakshmanan | Enhanced Software Defined Networking (SDN) with security & performance in cloud computing | |
Lorenz et al. | Secure Communication for Computational Steering of Grid Jobs | |
Fowler | Cloud Network Engineering | |
Dinh et al. | Performance Evaluation of OpenStack Cloud Integrated with SDN Controller | |
Design | Cisco Application Networking for PeopleSoft Enterprise Deployment Guide | |
JP2005151136A (ja) | 仮想閉域網のネットワーク情報提供システム、及びネットワーク情報サーバ | |
Branch et al. | Cisco Application Networking for Citrix Presentation Server Deployment Guide |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |