CN116405437A - 一种报文处理方法及报文处理系统 - Google Patents
一种报文处理方法及报文处理系统 Download PDFInfo
- Publication number
- CN116405437A CN116405437A CN202310319356.0A CN202310319356A CN116405437A CN 116405437 A CN116405437 A CN 116405437A CN 202310319356 A CN202310319356 A CN 202310319356A CN 116405437 A CN116405437 A CN 116405437A
- Authority
- CN
- China
- Prior art keywords
- service
- message
- safety protection
- address
- backhaul
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000003672 processing method Methods 0.000 title claims abstract description 22
- 238000000034 method Methods 0.000 claims abstract description 46
- 230000009471 action Effects 0.000 claims description 26
- 230000008569 process Effects 0.000 description 13
- 238000004891 communication Methods 0.000 description 9
- 230000006870 function Effects 0.000 description 7
- 238000001514 detection method Methods 0.000 description 6
- 238000010586 diagram Methods 0.000 description 6
- 238000004590 computer program Methods 0.000 description 5
- 239000000284 extract Substances 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 238000010276 construction Methods 0.000 description 2
- 230000006855 networking Effects 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 230000001360 synchronised effect Effects 0.000 description 2
- 101100388291 Arabidopsis thaliana DTX49 gene Proteins 0.000 description 1
- 101100268840 Danio rerio chrna1 gene Proteins 0.000 description 1
- 101150065731 NIC1 gene Proteins 0.000 description 1
- PWHVEHULNLETOV-UHFFFAOYSA-N Nic-1 Natural products C12OC2C2(O)CC=CC(=O)C2(C)C(CCC2=C3)C1C2=CC=C3C(C)C1OC(O)C2(C)OC2(C)C1 PWHVEHULNLETOV-UHFFFAOYSA-N 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000012512 characterization method Methods 0.000 description 1
- 238000000802 evaporation-induced self-assembly Methods 0.000 description 1
- 230000008570 general process Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 238000011144 upstream manufacturing Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/12—Avoiding congestion; Recovering from congestion
- H04L47/125—Avoiding congestion; Recovering from congestion by balancing the load, e.g. traffic engineering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供了一种报文处理方法及报文处理系统,该方法应用于虚拟负载均衡器中。该方法为:接收客户端发往服务端的业务报文;根据负载均衡策略,确定用于对所述业务报文进行安全防护的实服务,并将所述业务报文发送给首个实服务对应的安全防护设备,以由该安全防护设备在对所述业务报文进行对应安全防护处理后,根据配置的正向策略路由将所述业务报文转发给下一跳安全防护设备,以执行对应的安全防护处理;接收最后下一跳安全防护设备在对所述业务报文执行对应安全防护处理后发送的所述业务报文;将所述业务报文转发给所述服务端。
Description
技术领域
本申请涉及通信技术领域,尤其涉及一种报文处理方法及报文处理系统。
背景技术
在云场景下,根据等保规范要求,云上租户业务也需要过等保,常见的云安全建设方案是部署安全资源池实现租户等保建设,并且需要根据等保要求,使用多个安全产品共同协作才能完成安全防护,如串联FW、IPS、WAF。当云核心设备旁挂安全资源池时,需要通过路由或者策略路由,将流量引到安全资源池中,再通过编排技术,将流量串行到需要的安全产品上,实现安全防护。
现有技术再实现编排技术时,是基于虚拟化路由模式。即,通过再虚拟化层面根据编排需求,使用虚拟交换机、虚拟网卡互联,实现流量串行。参考图1所示,业务流量从NIC1网卡进去,根据路由经过br-in、br-int、br-dvs交换机到达作为安全产品防火墙的Tag2000入接口。然后防火墙根据路由,将流量由Tag2001发出,进入作为安全产品的IPS Tag2001接口。IPS根据路由将流量通过br-int、br-in发出。
但是上述方法中,如果编排路径发生变化,比如增加一个安全设备以提供安全服务,就需要修改设备的连接方式,这样就会导致处理起来比较复杂,而且会导致流量中断。
发明内容
有鉴于此,本申请提供一种报文处理方法及报文处理系统,用以实现多安全服务的流量编排,解决流量中断的问题。
具体地,本申请是通过如下技术方案实现的:
根据本申请的第一方面,提供一种报文处理方法,应用于虚拟负载均衡器中,所述方法包括:
接收客户端发往服务端的业务报文;
根据负载均衡策略,确定用于对所述业务报文进行安全防护的实服务,并将所述业务报文发送给首个实服务对应的安全防护设备,以由该安全防护设备在对所述业务报文进行对应安全防护处理后,根据配置的正向策略路由将所述业务报文转发给下一跳安全防护设备,以执行对应的安全防护处理;
接收最后下一跳安全防护设备在对所述业务报文执行对应安全防护处理后发送的所述业务报文;
将所述业务报文转发给所述服务端。
根据本申请的第二方面,提供一种报文处理系统,包括虚拟负载均衡器、多个安全防护设备,其中:
所述虚拟负载均衡器,用于接收客户端发往服务端的业务报文;根据负载均衡策略,确定用于对所述业务报文进行安全防护的实服务,并将所述业务报文发送给首个实服务对应的安全防护设备;
首个实服务对应的安全防护设备,用于在对所述业务报文进行对应安全防护处理后,根据配置的正向策略路由将所述业务报文转发给下一跳安全防护设备;
最后下一跳安全防护设备,用于在对所述业务报文执行对应安全防护处理后,将所述业务报文发送给所述虚拟负载均衡器;
所述虚拟负载均衡器,还用于将接收到的业务报文转发给所述服务端。
根据本申请的第三方面,提供一种电子设备,包括处理器和机器可读存储介质,机器可读存储介质存储有能够被处理器执行的计算机程序,处理器被计算机程序促使执行本申请实施例第一方面所提供的方法。
根据本申请的第四方面,提供一种机器可读存储介质,机器可读存储介质存储有计算机程序,在被处理器调用和执行时,计算机程序促使处理器执行本申请实施例第一方面所提供的方法。
本申请实施例的有益效果:
本申请实施例提供的报文处理方法及报文处理系统中,接收客户端发往服务端的业务报文;根据负载均衡策略,确定用于对业务报文进行安全防护的实服务,并将业务报文发送给首个实服务对应的安全防护设备,以由该安全防护设备在对业务报文进行对应安全防护处理后,根据配置的正向策略路由将业务报文转发给下一跳安全防护设备,以执行对应的安全防护处理;接收最后下一跳安全防护设备在对业务报文执行对应安全防护处理后发送的业务报文;将业务报文转发给服务端。由此以来,通过在虚拟负载均衡器中配置负载均衡策略,在安全防护设备中配置策略路由,虚拟负载均衡器不需要来回转发业务报文,各安全防护设备之间就可以实现业务报文的流转,就能够达到业务报文的安全防护处理,从而提高了报文处理效率。
附图说明
图1是现有技术提供的一种基于虚拟化路由模式实现流量编排的流量流向示意图;
图2是本申请实施例提供的一种报文处理方法的流程示意图;
图3是本申请实施例提供的另一种报文处理方法的流程示意图;
图4是本申请实施例提供的一种业务报文的处理逻辑示意图;
图5是本申请实施例提供的一种回程报文的处理逻辑示意图;
图6是本申请实施例提供的一种报文处理系统的结构示意图;
图7是本申请实施例提供的一种报文处理装置的结构示意图;
图8是本申请实施例提供的一种实施报文处理方法的电子设备的硬件结构示意图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相对应的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
下面对本申请提供的报文处理方法进行详细地说明。
参见图2,图2是本申请提供的一种报文处理方法的流程图,该方法可以应用于虚拟负载均衡器中。虚拟负载均衡器在实施该方法时,可包括如下所示步骤:
S201、接收客户端发往服务端的业务报文。
本步骤中,为了保证内网的安全性,就会获取访问内网中服务端的流量,即接收客户端发往服务端的业务报文。
S202、根据负载均衡策略,确定用于对所述业务报文进行安全防护的实服务,并将所述业务报文发送给首个实服务对应的安全防护设备,以由该安全防护设备在对所述业务报文进行对应安全防护处理后,根据配置的正向策略路由将所述业务报文转发给下一跳安全防护设备,以执行对应的安全防护处理。
本步骤中,为了对接收到业务报文进行安全防护处理,虚拟负载均衡器会将业务报文与负载均衡策略进行匹配,以识别用于对业务报文进行安全防护处理的实服务。此外,为了避免虚拟负载均衡器频繁转发业务报文,本申请提出,用于进行安全防护的实服务之间具有执行顺序,这样,虚拟负载均衡器就可以将业务报文发送给确定出的多个实服务中的首个实服务对应的安全防护设备。
在此基础上,由于每个安全防护设备中配置有策略路由,该策略路由用于确认处理业务报文的下一跳安全防护设备。具体来说,安全防护设备在接收到业务报文后,就可以按照该安全防护设备的安全服务对业务报文进行安全防护处理;在安全防护处理后,就可以将该业务报文转发给其他安全防护设备,以继续执行对应的安全防护处理。
为了确定下一跳安全防护设备,本安全防护设备就可以利用该业务报文去匹配正向策略路由,从而确定出下一跳安全防护设备,然后就可以将业务报文转发给确定出的下一跳安全防护设备,以使下一跳安全防护设备执行对应的安全防护处理,直至多个实服务中最后一个安全服务对应的安全防护设备(最后下一跳安全防护设备)执行完对应的安全防护处理。由此,不仅实现了对业务报文的安全防护处理,而且也避免了每个安全防护设备在执行安全防护处理后再回传到虚拟负载均衡器,然后由虚拟负载均衡器来确定下一跳安全设备而导致的报文处理性能下降的问题,即避免了以虚拟负载均衡器为中心来回转发业务报文而带来的报文处理性能下降的问题,而且也提升了业务报文的安全防护处理性能,同时也降低了对虚拟负载均衡器的报文处理性能的要求。
S203、接收最后下一跳安全防护设备在对所述业务报文执行对应安全防护处理后发送的所述业务报文。
本步骤中,在基于当前业务报文确定出的安全服务对应的所有安全防护设备执行完对应的安全防护处理后,由于该业务报文的目的接收方为服务端,因此,最后一跳安全防护设备在对业务报文执行完对应的安全防护后,将该业务报文发送给虚拟负载均衡器。这样,虚拟负载均衡器就可以将业务报文发送给服务端。这样,在进行安全防护处理时,在业务报文到达安全防护设备后,业务报文只需要在安全防护设备之间流转,中途不需要虚拟负载均衡器的参与,大大提升了业务报文的处理性能,同时也减轻了虚拟负载均衡器的报文流转压力。
S204、将所述业务报文转发给所述服务端。
需要说明的是,每个安全防护设备在对业务报文进行安全防护后,若安全检测未通过,则表明该业务报文存在安全隐患,则一种实施例中,可以对业务报文进行丢弃处理;这样,其他安全防护设备也就不需要执行该业务报文的安全防护,节省了处理资源;另一种可能的实施例中,为了避免业务报文的误丢弃,每个安全防护设备在进行业务报文的安全防护处理时,可以将得到的检测结果(如风险提示、风险等级等等),然后将其反馈给虚拟负载均衡器,例如可以携带在业务报文中,或者单独发送给虚拟负载均衡器。这样,虚拟负载均衡器在获取到安全防护设备执行安全防护的检测结果后,若发现业务报文的威胁程度比较高、安全风险比较大,则对业务报文进行丢弃处理,从而防止业务报文到达服务端而对服务端造成的安全威胁。
本申请实施例提供的报文处理方法中,接收客户端发往服务端的业务报文;根据负载均衡策略,确定用于对业务报文进行安全防护的实服务,并将业务报文发送给首个实服务对应的安全防护设备,以由该安全防护设备在对业务报文进行对应安全防护处理后,根据配置的正向策略路由将业务报文转发给下一跳安全防护设备,以执行对应的安全防护处理;接收最后下一跳安全防护设备在对业务报文执行对应安全防护处理后发送的业务报文;将业务报文转发给服务端。由此以来,通过在虚拟负载均衡器中配置负载均衡策略,在安全防护设备中配置策略路由,虚拟负载均衡器不需要来回转发业务报文,各安全防护设备之间就可以实现业务报文的流转,就能够达到业务报文的安全防护处理,也即实现了多安全服务的流量编排,从而提高了报文处理效率。
而且,即使新增安全防护设备,只需要修改负载均衡策略和各安全防护设备中的策略路由即可实现业务报文的防护处理,不需要修改安全防护设备之间的连接方式,报文处理流程简单,而且也不会导致流量的中断。
可选地,基于上述任一实施例,本实施例提供的报文处理方法还可以包括图3所示的流程,即业务报文的回程报文的回程处理流程,虚拟负载均衡器在实施上述方法时,可以包括如下步骤:
S301、接收服务端反馈的所述业务报文的回程报文。
本步骤中,服务端在接收到业务报文后,对执行对应的业务处理,然后将该业务报文的回程报文反馈给客户端。为了保证回程报文的反响传输路径的安全性,同样需要对回程报文进行安全检测,即服务端发送的回程报文会到达虚拟负载均衡器。
S302、按照所述业务报文在安全防护设备之间的转发路径的反向路径,将所述回程报文发送给所述最后下一跳安全防护设备,以由所述最后下一跳安全防护设备对所述业务报文执行对应的安全防护处理后,按照回程策略路由转发所述回程报文。
本步骤中,虚拟负载均衡器的接口上会配置保持上一条功能,即,让回程报文沿着正向的业务报文的转发路径的反向路径转发该回程报文,也就是说,虚拟负载均衡器可以将回程报文转发给最后一跳安全防护设备。
具体来说,虚拟负载均衡器在接收到最后一跳安全防护设备发送的业务报文后,可以记录该最后一跳安全防护设备的标识与业务报文的目的IP地址即服务端的IP地址之间的对应关系,这样,虚拟负载均衡器在获取到回程报文后,就可以从回程报文中提取出源IP地址,该源IP地址即为服务端的IP地址,然后利用服务端的IP地址去匹配上述对应关系,由此也就能够匹配到下一跳安全防护设备的标识,即该标识对应的设备为上述最后一跳安全防护设备,进而将回程报文转发给上述最后一跳安全防护设备。
在此基础之上,最后一跳安全防护设备在接收到回程报文后,对该回程报文执行对应的安全防护处理,然后按照本地配置的正向的策略路由对应的回程策略路由向对应的网络防护设备发送该回程报文。
为了方便理解本实施例,例如,业务报文在多个安全防护设备之间的处理路径为:安全防护设备1---安全防护设备3----安全防护设备5,则该业务报文对应的回程报文的反向路径为:安全防护设备5---安全防护设备3----安全防护设备5,这样一来,虚拟负载均衡器会将回程报文发送给安全防护设备5,然后安全防护设备5在接收到回程报文后,对回程报文执行对应的安全防护处理后,其本地配置的回程策略路由记录的下一跳安全防护设备即为上述安全防护设备3,这样,安全防护设备5就可以将回程报文发送给安全防护设备3;同理,安全防护设备3中记录的回程处理路由所指示的下一跳安全防护设备即为上述安全防护设备1,从而安全防护设备3在对回程报文执行对应的安全防护处理后,就可以将回程报文发送给安全防护设备1,使得安全防护设备1在接收到回程报文后,可以确定出其本地的回程策略路由所指示的下一跳设备为虚拟负载均衡器,安全防护设备1在对回程报文执行对应的安全防护处理后,就可以将回程报文发送给虚拟负载均衡器。
S303、接收所述首个安全防护设备在对所述业务报文执行对应安全防护处理后发送的所述回程报文。
本步骤中,基于上述示例,虚拟负载均衡器就会接收到安全防护设备1发送的回程报文,该安全防护设备1即为上述处理业务报文的首个安全防护设备。进而,虚拟负载均衡器就可以基于回程报文的源IP地址确定该回程报文的目的IP地址对应的客户端,然后将回程报文发送给该客户端。由此,也就实现了回程报文正确地到达客户端,大大提升了回程报文的处理效率。
S304、将所述回程报文转发给所述客户端。
通过采用本实施例提供的报文处理方法,不需要虚拟负载均衡器频繁来回转发回程报文,即不需要每个安全防护设备在进行安全防护处理后将回程报文转发给虚拟负载均衡器,由虚拟负载均衡器来回转发该回程报文,从而大大提升了报文的处理效率,而且本实施例中各安全防护设备之间就可以实现业务报文的流转,由此,不仅降低了对虚拟负载均衡器的要求,而且也实现了多安全服务的流量编排。
此外,即使新增安全防护设备,只需要修改负载均衡策略和各安全防护设备中的策略路由即可实现业务报文的防护处理,不需要修改安全防护设备之间的连接方式,报文处理流程简单,而且也不会导致流量的中断。
基于上述任一实施例,本实施例中,可以按照下述过程执行S202中根据负载均衡策略,确定用于对业务报文进行安全防护的实服务的步骤:从业务报文中提取出目的IP地址;利用目的IP地址和业务报文的入接口进行负载均衡策略匹配;当命中目标均衡策略时,将目标均衡策略包括的实服务确定为用于对业务报文进行安全防护的实服务;其中,当命中的目标均衡策略包括多个实服务时,多个实服务之间有序。
具体地,本实施例提供的负载均衡策略包括每个服务端的IP地址与用于处理到达该服务端的业务报文的实服务之间的对应关系。基于此,虚拟负载均衡器在接收到业务报文后,会从业务报文中提取出目的IP地址,然后利用该目的IP地址去查询虚拟负载均衡器中当前配置的各负载均衡策略,从而就可以命中包含该目标IP地址的负载均衡策略,记为上述目标均衡策略。从而该目标均衡策略中所包括的实服务即为用来处理该业务报文的安全防护设备对应的实服务。值得注意的是,用来处理到达该服务端的业务报文的实服务可能有多个,此时该目标均衡策略中会记录多个实服务之间的先后顺序,以便虚拟负载均衡器转发时,正确地转发给多个实服务中首个实服务对应的安全防护设备。
需要说明的是,负载均衡策略中还可以仅包括用于处理到达服务端的多个实服务中首个实服务的服务标识,然后由每个安全防护设备中的路由策略来确定下一跳安全防护设备,该下一跳安全防护设备与上一实服务的下一跳实服务对应。由此,一方面也避免虚拟负载均衡器中负载均衡策略所占用的空间大的问题,同时也能保证业务报文在安全防护设备之间的顺序处理。
可选地,虚拟负载均衡器中还可以配置虚服务,然后虚服务与实服务相对应,使得到达虚拟负载均衡器的流量能够命中该虚服务,进而按照上述方法确定对应的实服务,以便执行后续的安全防护处理。
可选地,基于上述任一实施例,本实施例中的业务报文可以为虚拟负载均衡器接收的、路由设备转发的所述客户端发送的报文;同理,上述回程报文为虚拟负载均衡器接收的、路由设备转发的服务端反馈的报文。
具体来说,虚拟负载均衡器是外挂在路由设备上的,以便对到达服务端的业务报文执行安全防护处理。基于此,当业务报文到达路由设备时,路由设备会先将业务报文发送给虚拟负载均衡器,然后由虚拟负载均衡器执行本实施例提供的针对业务报文的报文处理方法,在虚拟负载均衡器接收到最后一跳安全防护设备发送的业务报文后,虚拟负载均衡器将业务报文发送给路由设备,由路由设备将执行了安全防护处理且检测通过的业务报文发送给服务端;针对回程报文,服务端会将回程报文发送给该路由设备,由路由设备发送给虚拟负载均衡器,由虚拟负载均衡器执行上述提供的回程报文的报文处理方法;在虚拟负载均衡器接收到上述首个安全防护设备发送的回程报文后,将回程报文发送给上述路由设备,由该路由设备将回程报文转发给客户端。由此,也就实现了报文的流量编排处理。
在此基础上,虚拟负载均衡器可以按照下述过程执行步骤S304:从回程报文中解析出源IP地址;利用源IP地址和回程报文的入接口进行流量特征策略匹配;确定命中的流量特征策略中的执行动作;根据执行动作转发回程报文。
具体地,在虚拟负载均衡器接收到回程报文后,会进行流量特征匹配,即从回程报文中提取出源IP地址,并确定回程报文的入接口,然后将其作为流量特征去匹配流量特征策略,以确定匹配成功的流量特征策略,进而就可以基于该流量特征策略中的执行动作来确认该回程报文的执行动作,若该执行动作为放行,则转发该回程报文至路由设备,以由路由设备将该回程报文发送给客户端。若该执行动作为丢弃,则删除该回程报文,不做转发处理。
为了更好地理解本申请任一实施例提供的报文处理方法,可以以图4所示的组网为例进行说明,该组网中列出了业务报文的处理逻辑,虚拟负载均衡器vLB设置于安全资源池中,以用于对业务报文和回程报文进行安全防护处理的实服务包括fw实服务和waf实服务为例进行说明;相应地,该安全资源池所包括的安全防护设备分别为防火墙(fw)设备和web应用防火墙(waf)设备。在此基础上,客户端与服务端通过路由设备及安全资源池进行交互的大致处理过程可以为:
客户端将发往服务端的业务报文发送给路由设备后,路由设备的上行口会有预先配置的策略路由,将访问服务端的业务报文引流至安全资源池中的虚拟负载均衡器vLB,也成编排器。以虚拟负载均衡器vLB的IP地址为100.0.66.8,客户端访问的服务端的IP地址为192.168.1.2为例进行说明,则路由设备上配置的策略路由可以如下所示,该策略路由中acl3000定义目标为服务端(192.168.1.2)的流量,该策略路由在上行口应用。
在此基础上,路由设备会从业务报文中解析出目的IP地址192.198.1.2,可以确认该目的IP地址命中ACL表中的rule 0,进而可以确定出在匹配上acl 3000,从而可以确定出下一跳IP地址为100.0.66.8,这样,路由设备就可以将业务报文转发给虚拟负载均衡器,即图4中标号1到标号2的过程。
虚拟负载均衡器在接收到业务报文后,该虚拟负载均衡器上会配置虚服务和实服务,该虚服务与负载均衡策略相对应。例如虚服务为0.0.0.0/0,通过设置该虚服务,使得到达该虚拟负载均衡器的业务报文都能够命中该虚服务,进而可以确定该业务报文对应的负载均衡策略,进而执行后续的报文处理流程。以图4所示的安全资源池所包括的fw实服务的IP地址为172.1.2.2、waf实服务对应的IP地址为172.1.2.3为例进行说明,则虚拟负载均衡器上的虚服务和实服务的配置分别如下所示:
#虚服务
virtual-server allip type ip
virtual ip address 0.0.0.0 0
#
#实服务
real-server fw
ip address 172.1.2.2
#实服务
real-server waf
ip address 172.1.2.3
虚拟负载均衡器在配置完上述虚服务和实服务,可以配置负载均衡策略,以便对业务报文定位到用于处理该业务报文的实服务,进而实现流量编排。该负载均衡策略可以包括两部分:流量特征和执行动作,流量特征和执行动作的配置如下所示:
虚拟负载均衡器可以从业务报文中解析出目的IP地址192.168.1.2,同时可以确定业务报文进入虚拟负载均衡器的入接口,如该入接口为GE1/0,然后基于这两个特征与虚拟负载均衡器中配置的各流量特征进行匹配,当与上述流量特征匹配成功时,即存在流量特征中包括解析的目的IP地址192.168.1.2和GE1/0,则可以基于该负载均衡策略包括的执行动作确定出用于处理该业务报文的实服务,即fw和waf,可以理解为先执行fw实服务,waf次之。由此一来,虚拟负载均衡器就可以基于防火墙设备的IP地址172.1.2.2将业务报文转发给fw实服务对应的防火墙设备,即图4中标号2到标号3的转发路径;该防火墙设备在接收到业务报文后,就可以基于其上配置的安全策略对该业务报文进行策略匹配处理。进一步地,防火墙设备会基于本地的正向策略路由确定下一跳用于处理该业务报文的安全防护设备,例如防火墙设备上的正向策略路由配置如下所示,则
在此基础上,防火墙设备可以从业务报文中提取出目的IP地址192.168.1.2,然后利用该目的IP地址去查询上述正向策略路由,可以确认该目的IP地址会命中acl 3000,从而可以确定出该业务报文的next hop为172.1.2.3,即waf防火墙的IP地址,这样,防火墙设备就可以将业务报文转发给进行应用防护的waf防火墙设备,参考图4所示的标号3到标号4的转发逻辑。这样,waf防火墙设备在接收到该业务报文后,就可以对该业务报文执行应用级别的安全防护处理。waf防火墙设备在执行完应用级别的安全防护处理后,也可以查询本地配置的正向策略路由,本实施例中,由于waf防火墙属于最后一跳安全防护设备,因此,其上的策略路由的下一跳地址应该为虚拟负载均衡器的IP地址,即,waf防火墙设备将业务报文回转给虚拟负载均衡器,,参考图4所示的标号4到标号5的转发逻辑。
虚拟负载均衡器从waf防火墙设备接收到业务报文后,会再次命中0.0.0.0/0的虚服务,然后匹配本地的编排策略,即匹配如下所示的流量特征(fromwaf)和执行动作:
可知,该业务报文与match 1的规则相匹配,由此根据对应的执行动作对该业务报文执行转发处理,即通过路由设备将业务报文发送至服务端,参考图4所示的标号5到标号6最终到达服务端的转发逻辑。由此一来,也就实现了业务报文从客户端发送至服务端,而且业务报文也不需要历次执行安全防护处理后都要讲过虚拟负载均衡器进行转发,从而大大降低了虚拟负载均衡器的处理压力,同时也提高了报文的处理效率。
进一步地,服务端在接收到业务报文后,可能需要向服务端发送回程报文,而针对回程报文的返回至客户端的过程中,同样会到达虚拟负载均衡器,进而执行对应的安全防护处理,以保证网络的安全性,而在进行安全防护处理时,本实施例提出会按照与业务报文的安全防护处理相反的路径进行处理,大致过程可以为:
结合图5所示的回程报文的处理逻辑进行说明,服务端的回程报文会先到达路由设备,然后路由设备的下行口会提前下发回程策略路由,使得将回程报文引流至安全资源池中的虚拟负载均衡器。基于此,回程策略路由与上行口的策略路由配置一致,只不过在对回程报文进行匹配时,采用回程报文中的源IP地址进行,该源IP地址为服务端的IP地址192.168.1.2,可知,该源IP地址会与rule 5相匹配,从而表明该回程报文命中上述回程策略路由,然后就可以从回程策略路由中确定下一跳next-hop为虚拟负载均衡器的IP地址100.0.66.8,这样,路由设备就可以将回程报文发送给虚拟负载均衡器,参考图5中标号1到标号2的转发路径。
虚拟负载均衡器在接收到该回程报文后,由于该回程报文同样要执行安全防护处理,因此,为了方便安全防护处理,在回程报文到达虚拟负载均衡器的入接口上会配置保持上一条功能,即,让回程报文沿着正向的业务报文的路径的反向路径(逆向路径)对该回程报文进行转发处理,即虚拟负载均衡器会先将回程报文转发给waf防火墙设备,参考图5中标号2到标号3的转发路径。上述虚拟负载均衡器的入接口上的配置可以如下所示:
在此基础上,waf防火墙设备在接收到回程报文后,就可以利用回程报文中的源IP地址查找回程策略路由,从而确定下一跳安全防护设备,waf防火墙设备上的回程策略路由的配置如下所示:
可知,在基于回程报文与上述回程策略路由匹配时,可得源IP地址命中该回程策略路由,从而也就可以得到下一跳next-hop为fw防火墙设备的IP地址172.1.2.2,由此一来,waf防火墙设备就可以将回程报文转发给fw防火墙设备,参考图5中标号3到标号4的转发路径。
fw防火墙在接收到回程报文后,就可以对该回程报文执行对应的安全服务处理,然后再进行路由转发至虚拟负载均衡器,由于图5中fw防火墙设备为最后一个安全防护设备,也即用于处理业务报文的首个安全防护设备,因此,该fw防火墙中配置的回程策略路由中下一跳为虚拟负载均衡器的IP地址,这样fw防火墙设备就可以将回程报文转发给虚拟负载均衡器,参考图5中标号4到标号5的转发路径。
虚拟负载均衡器在接收到fw防火墙设备发送回程报文后,同样会进行流量特征匹配,然后基于匹配流量特征策略所包括的执行动作进行回程报文的转发处理,例如执行动作为放行时,则虚拟负载均衡器就可以将回程报文通过路由设备转发给客户端,参考图5中标号5到标号6最终到达客户端的转发路径。虚拟负载均衡器上的回程流量特征策略配置如下:
基于上述配置,虚拟负载均衡器可以从回程报文中提取出源IP地址后,就可以利用该源IP地址去匹配上述流量特征策略,可知该源IP地址命中上述流程特征策略,然后就可以基于该流量特征策略中的执行动作进行转发处理。由此,也就实现了服务端的回程报文成功到达客户端,而且回程报文也不需要历次执行安全防护处理后都要讲过虚拟负载均衡器进行转发,从而大大降低了虚拟负载均衡器的处理压力,同时也提高了报文的处理效率。
值得注意的是,上述路由设备可以但不需要为核心路由设备,上述安全防护设备可以但不限于为对应安全防护功能的虚拟机等等。此外,上述任一实施例中涉及的配置仅是一个示例,并不构成对配置的具体限定。
值得注意的是,安全资源池中还可以包括安全管理平台,用于向虚拟负载均衡器、各个安全防护设备下发配置。例如,每个服务端的负载均衡策略、正向策略路由和回程策略路由为安全管理平台按照下述方法配置的:针对每个服务端的IP地址,分别生成该IP地址的负载均衡策略、该IP地址作为目的IP地址的正向策略路由和该IP地址作为源IP地址的回程策略路由;以及向所述虚拟负载均衡器发送该IP地址的负载均衡策略;向安全防护设备发送该IP地址的正向策略路由和回程策略路由。
具体地,以云安全资源池所包括的安全防护设备为fw防火墙和waf防火墙为例进行说明,则需要在虚拟负载均衡器中创建包含这两个安全防护设备对应的实服务,同时,为当前负责的组网内的服务端配置对应的安全服务,若针对192.168.1.2的服务端,需要先执行fw实服务,然后执行waf实服务,以完成安全防护,基于此,就需要在虚拟负载均衡器中创建按照fw实服务在先,waf实服务在后的负载均衡策略,以便对发往该服务端的业务报文进行安全防护处理。基于此,安全管理平台会在虚拟负载均衡器上创建fw实服务和waf实服务,并创建针对该服务端的负载均衡策略,该负载均衡策略中的执行动作为先fw后waf,即farm fw backup waf。安全管理平台在创建上述两个实服务的同时,还需要生成对应的正向策略路由和回程策略路由,参考上述fw和waf关于正向策略路由和回程策略路由的配置,然后安全管理平台就可以将fw防火墙的正向策略路由和回程策略路由发送给fw防火墙,同理,将waf防火墙的正向策略路由和回程策略路由发送给waf防火墙。
可选地,安全管理平台可以按照下述方法生成负载均衡策略、正向策略路由和回程策略路由:确定该IP地址的服务链;根据所述服务链对应的安全服务,生成该IP地址的负载均衡策略、该IP地址作为目的IP地址的正向策略路由和该IP地址作为源IP地址的回程策略路由。
具体地,安全管理平台会预先创建多个服务链,然后每个服务链中所包括的安全服务有所不同。在此基础上,在针对上述192.168.1.2的服务端,可以根据用户的事先申请确定用于为该服务端进行安全服务的服务链,然后根据该服务链所包括的安全服务及安全服务顺序生成对应的负载均衡策略,并下发给虚拟负载均衡器。然后基于该服务链所包括的安全服务向对应的安全防护设备下发正向策略路由和回程策略路由。
进一步地,安全管理平台还可以按照下述方法在虚拟负载均衡器中创建每个服务链对应的实服务:基于所能提供的安全服务,创建至少一个服务链;基于每个服务链所包括的安全服务,在虚拟负载均衡器中创建对应的实服务。
进一步地,安全管理平台还可以按照下述方法在虚拟负载均衡器中创建每个服务链对应的虚服务:基于每个服务链所包括的安全服务,在所述虚拟负载均衡器中创建虚服务,所述虚服务与该服务链对应的实服务相对应。
需要说明的是,本申请任一实施例提供的报文处理方法可以设置于云端,以更好地提高安全防护的处理效率。在此基础上,上述安全管理平台即为云安全管理平台,上述各安全防护设备可以由提供各种安全防护功能的虚拟机实现,如提供一般安全防护功能的vFW和提供应用级安全防护功能的vWAF等等。
通过提供上述实施例,采用上述报文处理机制,可以实时跳过故障节点,实现业务的高可靠性,同时降低了虚拟负载均衡器的性能要求,使得能够编排更多的流量。而且本申请无需改变用户的访问方式,如waf是代理模式,则可以通过虚服务实现屏蔽waf的代理地址。
基于同一发明构思,本实施例还提供了一种报文处理系统,该报文处理系统包括虚拟负载均衡器和多个安全防护设备,参考图6所示:
上述虚拟负载均衡器601,用于接收客户端发往服务端的业务报文;根据负载均衡策略,确定用于对所述业务报文进行安全防护的实服务,并将所述业务报文发送给首个实服务对应的安全防护设备;
首个实服务对应的安全防护设备602,用于在对所述业务报文进行对应安全防护处理后,根据配置的正向策略路由将所述业务报文转发给下一跳安全防护设备;
最后下一跳安全防护设备603,用于在对所述业务报文执行对应安全防护处理后,将所述业务报文发送给所述虚拟负载均衡器;
虚拟负载均衡器601,还用于将接收到的业务报文转发给所述服务端。
可选地,基于上述任一实施例,本实施例中上述虚拟负载均衡器601,还用于接收所述服务端反馈的所述业务报文的回程报文;按照所述业务报文在安全防护设备之间的转发路径的反向路径,将所述回程报文发送给所述最后下一跳安全防护设备;
上述最后下一跳安全防护设备603,还用于对所述业务报文执行对应的安全防护处理后,按照回程策略路由转发所述回程报文;
上述虚拟负载均衡器601,还用于接收所述首个安全防护设备在对所述业务报文执行对应安全防护处理后发送的所述回程报文;将所述回程报文转发给所述客户端。
可选地,基于上述任一实施例,本实施例提供的报文处理系统,还可以包括:
安全管理平台604,用于针对每个服务端的IP地址,分别生成该IP地址的负载均衡策略、该IP地址作为目的IP地址的正向策略路由和该IP地址作为源IP地址的回程策略路由;以及向所述虚拟负载均衡器发送该IP地址的负载均衡策略;向安全防护设备发送该IP地址的正向策略路由和回程策略路由。
进一步地,上述安全管理平台604,还用于基于所能提供的安全服务,创建至少一个服务链;基于每个服务链所包括的安全服务,在所述虚拟负载均衡器中创建对应的实服务。
进一步地,上述安全管理平台604,还用于基于每个服务链所包括的安全服务,在所述虚拟负载均衡器中创建虚服务,所述虚服务与该服务链对应的实服务相对应。
可选地,基于上述任一实施例,本实施例中,上述虚拟负载均衡器601,具体用于从所述业务报文中提取出目的IP地址;利用所述目的IP地址和所述业务报文的入接口进行负载均衡策略匹配;当命中目标均衡策略时,将所述目标均衡策略包括的实服务确定为用于对所述业务报文进行安全防护的实服务;其中,当命中的目标均衡策略包括多个实服务时,多个实服务之间有序。
可选地,基于上述任一实施例,本实施例中,上述虚拟负载均衡器601,具体用于从所述回程报文中解析出源IP地址;利用所述源IP地址和所述回程报文的入接口进行负载均衡策略匹配;确定命中的流量特征策略中的执行动作;根据所述执行动作转发所述回程报文。
基于同一发明构思,本申请还提供了与上述报文处理方法对应的报文处理装置。该报文处理装置的实施具体可以参考上述对报文处理方法的描述,此处不再一一论述。
参见图7,图7是本申请一示例性实施例提供的一种报文处理装置,该装置可以设置于虚拟负载均衡器中,该装置,包括:
第一接收模块701,用于接收客户端发往服务端的业务报文;
确定模块702,用于根据负载均衡策略,确定用于对所述业务报文进行安全防护的实服务;
第一发送模块703,用于将所述业务报文发送给首个实服务对应的安全防护设备,以由该安全防护设备在对所述业务报文进行对应安全防护处理后,根据配置的正向策略路由将所述业务报文转发给下一跳安全防护设备,以执行对应的安全防护处理;
第二接收模块704,还用于接收最后下一跳安全防护设备在对所述业务报文执行对应安全防护处理后发送的所述业务报文;
第二发送模块705,用于将所述业务报文转发给所述服务端。
本实施例提供的上述报文处理装置中,通过在虚拟负载均衡器中配置负载均衡策略,在安全防护设备中配置策略路由,虚拟负载均衡器不需要来回转发业务报文,各安全防护设备之间就可以实现业务报文的流转,就能够达到业务报文的安全防护处理,从而提高了报文处理效率。
可选地,基于上述实施例,本实施例提供的报文处理装置,还可以包括:
第三接收模块(图中未示出),用于接收所述服务端反馈的所述业务报文的回程报文;
第三发送模块(图中未示出),用于按照所述业务报文在安全防护设备之间的转发路径的反向路径,将所述回程报文发送给所述最后下一跳安全防护设备,以由所述最后下一跳安全防护设备对所述业务报文执行对应的安全防护处理后,按照回程策略路由转发所述回程报文;
第四接收模块(图中未示出),用于接收所述首个安全防护设备在对所述业务报文执行对应安全防护处理后发送的所述回程报文;
第四发送模块(图中未示出),用于将所述回程报文转发给所述客户端。
可选地,基于上述实施例,本实施例中的业务报文为所述虚拟负载均衡器接收的、路由设备转发的所述客户端发送的报文,所述回程报文为所述虚拟负载均衡器接收的、所述路由设备转发的所述服务端反馈的报文;
在此基础上,上述第四发送模块,具体用于从所述回程报文中解析出源IP地址;利用所述源IP地址和所述回程报文的入接口进行流量特征策略匹配;确定命中的流量特征策略中的执行动作;根据所述执行动作转发所述回程报文。
可选地,基于上述任一实施例,本实施例中,上述确定模块702,具体用于从所述业务报文中提取出目的IP地址;利用所述目的IP地址和所述业务报文的入接口进行负载均衡策略匹配;当命中目标均衡策略时,将所述目标均衡策略包括的实服务确定为用于对所述业务报文进行安全防护的实服务;其中,当命中的目标均衡策略包括多个实服务时,多个实服务之间有序。
基于同一发明构思,本申请实施例提供了一种电子设备,该电子设备可以但不限于为上述安全管理平台、虚拟负载均衡器或者任一安全防护设备等等,如图8所示,该电子识别包括处理器801和机器可读存储介质802,机器可读存储介质802存储有能够被处理器801执行的计算机程序,处理器801被计算机程序促使执行本申请任一实施例所提供的报文处理方法。此外,该电子设备还包括通信接口803和通信总线804,其中,处理器801,通信接口803,机器可读存储介质802通过通信总线804完成相互间的通信。
上述电子设备提到的通信总线可以是外设部件互连标准(Peripheral ComponentInterconnect,PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture,EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通信接口用于上述电子设备与其他设备之间的通信。
上述机器可读存储介质802可以为存储器,该存储器可以包括随机存取存储器(Random Access Memory,RAM)、DDR SRAM(Double Data Rate Synchronous DynamicRandom Access Memory,双倍速率同步动态随机存储器),也可以包括非易失性存储器(Non-Volatile Memory,NVM),例如至少一个磁盘存储器。可选的,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(Digital SignalProcessor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
对于电子设备以及机器可读存储介质实施例而言,由于其涉及的方法内容基本相似于前述的方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
上述装置中各个单元/模块的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元/模块可以是或者也可以不是物理上分开的,作为单元/模块显示的部件可以是或者也可以不是物理单元/模块,即可以位于一个地方,或者也可以分布到多个网络单元/模块上。可以根据实际的需要选择其中的部分或者全部单元/模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (12)
1.一种报文处理方法,其特征在于,应用于虚拟负载均衡器中,所述方法包括:
接收客户端发往服务端的业务报文;
根据负载均衡策略,确定用于对所述业务报文进行安全防护的实服务,并将所述业务报文发送给首个实服务对应的安全防护设备,以由该安全防护设备在对所述业务报文进行对应安全防护处理后,根据配置的正向策略路由将所述业务报文转发给下一跳安全防护设备,以执行对应的安全防护处理;
接收最后下一跳安全防护设备在对所述业务报文执行对应安全防护处理后发送的所述业务报文;
将所述业务报文转发给所述服务端。
2.根据权利要求1所述的方法,其特征在于,还包括:
接收所述服务端反馈的所述业务报文的回程报文;
按照所述业务报文在安全防护设备之间的转发路径的反向路径,将所述回程报文发送给所述最后下一跳安全防护设备,以由所述最后下一跳安全防护设备对所述业务报文执行对应的安全防护处理后,按照回程策略路由转发所述回程报文;
接收所述首个安全防护设备在对所述业务报文执行对应安全防护处理后发送的所述回程报文;
将所述回程报文转发给所述客户端。
3.根据权利要求1所述的方法,其特征在于,根据负载均衡策略,确定用于对所述业务报文进行安全防护的实服务,包括:
从所述业务报文中提取出目的IP地址;
利用所述目的IP地址和所述业务报文的入接口进行负载均衡策略匹配;
当命中目标均衡策略时,将所述目标均衡策略包括的实服务确定为用于对所述业务报文进行安全防护的实服务;其中,当命中的目标均衡策略包括多个实服务时,多个实服务之间有序。
4.根据权利要求2所述的方法,其特征在于,所述业务报文为所述虚拟负载均衡器接收的、路由设备转发的所述客户端发送的报文,所述回程报文为所述虚拟负载均衡器接收的、所述路由设备转发的所述服务端反馈的报文;
将所述回程报文转发给所述客户端,包括:
从所述回程报文中解析出源IP地址;
利用所述源IP地址和所述回程报文的入接口进行流量特征策略匹配;
确定命中的流量特征策略中的执行动作;
根据所述执行动作转发所述回程报文。
5.一种报文处理系统,其特征在于,包括虚拟负载均衡器、多个安全防护设备,其中:
所述虚拟负载均衡器,用于接收客户端发往服务端的业务报文;根据负载均衡策略,确定用于对所述业务报文进行安全防护的实服务,并将所述业务报文发送给首个实服务对应的安全防护设备;
首个实服务对应的安全防护设备,用于在对所述业务报文进行对应安全防护处理后,根据配置的正向策略路由将所述业务报文转发给下一跳安全防护设备;
最后下一跳安全防护设备,用于在对所述业务报文执行对应安全防护处理后,将所述业务报文发送给所述虚拟负载均衡器;
所述虚拟负载均衡器,还用于将接收到的业务报文转发给所述服务端。
6.根据权利要求5所述的系统,其特征在于,
所述虚拟负载均衡器,还用于接收所述服务端反馈的所述业务报文的回程报文;按照所述业务报文在安全防护设备之间的转发路径的反向路径,将所述回程报文发送给所述最后下一跳安全防护设备;
所述最后下一跳安全防护设备,还用于对所述业务报文执行对应的安全防护处理后,按照回程策略路由转发所述回程报文;
所述虚拟负载均衡器,还用于接收所述首个安全防护设备在对所述业务报文执行对应安全防护处理后发送的所述回程报文;将所述回程报文转发给所述客户端。
7.根据权利要求5所述的系统,其特征在于,还包括:
安全管理平台,用于针对每个服务端的IP地址,分别生成该IP地址的负载均衡策略、该IP地址作为目的IP地址的正向策略路由和该IP地址作为源IP地址的回程策略路由;以及向所述虚拟负载均衡器发送该IP地址的负载均衡策略;向安全防护设备发送该IP地址的正向策略路由和回程策略路由。
8.根据权利要求7所述的系统,其特征在于,
所述安全管理平台,具体用于确定该IP地址的服务链;根据所述服务链对应的安全服务,生成该IP地址的负载均衡策略、该IP地址作为目的IP地址的正向策略路由和该IP地址作为源IP地址的回程策略路由。
9.根据权利要求8所述的系统,其特征在于,
所述安全管理平台,还用于基于所能提供的安全服务,创建至少一个服务链;基于每个服务链所包括的安全服务,在所述虚拟负载均衡器中创建对应的实服务。
10.根据权利要求9所述的系统,其特征在于,
所述安全管理平台,还用于基于每个服务链所包括的安全服务,在所述虚拟负载均衡器中创建虚服务,所述虚服务与该服务链对应的实服务相对应。
11.根据权利要求5所述的系统,其特征在于,
所述虚拟负载均衡器,具体用于从所述业务报文中提取出目的IP地址;利用所述目的IP地址和所述业务报文的入接口进行负载均衡策略匹配;当命中目标均衡策略时,将所述目标均衡策略包括的实服务确定为用于对所述业务报文进行安全防护的实服务;其中,当命中的目标均衡策略包括多个实服务时,多个实服务之间有序。
12.根据权利要求6所述的系统,其特征在于,
所述虚拟负载均衡器,具体用于从所述回程报文中解析出源IP地址;利用所述源IP地址和所述回程报文的入接口进行负载均衡策略匹配;确定命中的流量特征策略中的执行动作;根据所述执行动作转发所述回程报文。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310319356.0A CN116405437A (zh) | 2023-03-28 | 2023-03-28 | 一种报文处理方法及报文处理系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310319356.0A CN116405437A (zh) | 2023-03-28 | 2023-03-28 | 一种报文处理方法及报文处理系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116405437A true CN116405437A (zh) | 2023-07-07 |
Family
ID=87011700
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310319356.0A Pending CN116405437A (zh) | 2023-03-28 | 2023-03-28 | 一种报文处理方法及报文处理系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116405437A (zh) |
-
2023
- 2023-03-28 CN CN202310319356.0A patent/CN116405437A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10728176B2 (en) | Ruled-based network traffic interception and distribution scheme | |
CN109952746B (zh) | 在业务链网络环境中集成物理和虚拟网络功能 | |
EP3069484B1 (en) | Shortening of service paths in service chains in a communications network | |
US9992101B2 (en) | Parallel multipath routing architecture | |
CN200990619Y (zh) | 路由装置 | |
WO2017125073A1 (en) | Distributed load balancing for network service function chaining | |
CN106878194B (zh) | 一种报文处理方法和装置 | |
US10135785B2 (en) | Network security system to intercept inline domain name system requests | |
CN113315744A (zh) | 可编程交换机、流量统计方法、防御方法和报文处理方法 | |
US10855480B2 (en) | Systems and methods for processing packets in a computer network | |
CN108353068B (zh) | Sdn控制器辅助的入侵防御系统 | |
CN108737217B (zh) | 一种抓包方法及装置 | |
WO2016108140A1 (en) | Ccn fragmentation gateway | |
CN106470213A (zh) | 一种攻击报文的溯源方法和装置 | |
US8161555B2 (en) | Progressive wiretap | |
CN106656843A (zh) | 一种负载分担方法以及相关装置 | |
CN104601467A (zh) | 一种发送报文的方法和装置 | |
US20150089047A1 (en) | Cut-through packet management | |
CN111953810B (zh) | 识别代理互联网协议地址的方法、装置及存储介质 | |
CN107786386B (zh) | 对用于验证多播连接的双向转发检测(bfd)消息的选择性传输 | |
CN107493245B (zh) | 交换机的板卡以及数据流转发方法 | |
Beitollahi et al. | A cooperative mechanism to defense against distributed denial of service attacks | |
CN116405437A (zh) | 一种报文处理方法及报文处理系统 | |
CN112637053B (zh) | 路由的备份转发路径的确定方法及装置 | |
US9912575B2 (en) | Routing network traffic packets through a shared inline tool |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |