CN118316657A - 云网络系统、云网络报文处理方法、装置、设备和介质 - Google Patents
云网络系统、云网络报文处理方法、装置、设备和介质 Download PDFInfo
- Publication number
- CN118316657A CN118316657A CN202410324242.XA CN202410324242A CN118316657A CN 118316657 A CN118316657 A CN 118316657A CN 202410324242 A CN202410324242 A CN 202410324242A CN 118316657 A CN118316657 A CN 118316657A
- Authority
- CN
- China
- Prior art keywords
- cloud network
- security
- target
- cloud
- security device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000003672 processing method Methods 0.000 title claims abstract description 15
- 238000012545 processing Methods 0.000 claims abstract description 74
- 238000000034 method Methods 0.000 claims description 20
- 238000004590 computer program Methods 0.000 claims description 12
- 238000013473 artificial intelligence Methods 0.000 abstract description 3
- 238000010586 diagram Methods 0.000 description 13
- 238000004891 communication Methods 0.000 description 10
- 230000004048 modification Effects 0.000 description 6
- 238000012986 modification Methods 0.000 description 6
- 230000008569 process Effects 0.000 description 4
- 230000006870 function Effects 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 239000012530 fluid Substances 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000001953 sensory effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开提供了一种云网络系统、云网络报文处理方法、装置、设备和介质,涉及人工智能技术领域,具体为云网络、网络安全等技术领域,可应用于智能云场景。云网络报文处理方法包括:获取云网络报文;在预先配置的至少一种类型的候选安全设备中,确定所述云网络报文对应的目标类型的候选安全设备;若所述目标类型的候选安全设备为多个,基于所述云网络报文中包含的会话信息,在多个所述目标类型的候选安全设备中确定目标安全设备;其中,具有相同会话信息的云网络报文对应的目标安全设备是相同的;将所述云网络报文发送至所述目标安全设备进行安全处理,以及,将安全处理后的云网络报文发送至目的端。本公开可以在云上支持安全设备的横向扩展。
Description
技术领域
本公开涉及人工智能技术领域,具体为云网络、网络安全等技术领域,可应用于智能云场景,尤其涉及一种云网络系统、云网络报文处理方法、装置、设备和介质。
背景技术
在网络安全领域,用户通常使用防火墙进行网络安全防护。例如,在传统的互联网数据中心(Internet Data Center,IDC)环境下,用户可以在公网与内网之间设置防火墙。类似地,在云环境下,云厂商也提供自己的云防火墙,对数据流量进行安全防护。
随着需要安全防护的数据流量的增加,需要解决安全设备的横向扩展问题。
发明内容
本公开提供了一种云网络系统、云网络报文处理方法、装置、设备和介质。
根据本公开的一方面,提供了一种云网络报文处理方法,包括:获取云网络报文;所述云网络报文是源端发送至云安全设备的;在预先配置的至少一种类型的候选安全设备中,确定所述云网络报文对应的目标类型的候选安全设备;若所述目标类型的候选安全设备为多个,基于所述云网络报文中包含的会话信息,在多个所述目标类型的候选安全设备中确定目标安全设备;其中,具有相同会话信息的云网络报文对应的目标安全设备是相同的;将所述云网络报文发送至所述目标安全设备进行安全处理,以及,将所述目标安全设备进行安全处理后的云网络报文发送至目的端。
根据本公开的另一方面,提供了一种云网络报文处理装置,包括:获取模块,用于获取云网络报文;所述云网络报文是源端发送至云安全设备的;第一确定模块,用于在预先配置的至少一种类型的候选安全设备中,确定所述云网络报文对应的目标类型的候选安全设备;第二确定模块,用于若所述目标类型的候选安全设备为多个,基于所述云网络报文中包含的会话信息,在多个所述目标类型的候选安全设备中确定目标安全设备;其中,具有相同会话信息的云网络报文对应的目标安全设备是相同的;转发模块,用于将所述云网络报文发送至所述目标安全设备进行安全处理,以及,将安全处理后的云网络报文发送至目的端。
根据本公开的另一方面,提供了一种云网络系统,包括:导流器和目标安全设备;所述导流器,用于获取云网络报文;在预先配置的至少一种类型的候选安全设备中,确定所述云网络报文对应的目标类型的候选安全设备;若所述目标类型的候选安全设备为多个,基于所述云网络报文中包含的会话信息,在多个所述目标类型的候选安全设备中确定目标安全设备;将所述云网络报文发送至所述目标安全设备进行安全处理,以及,将所述目标安全设备进行安全处理后的云网络报文发送至目的端;其中,所述云网络报文是源端发送至所述云安全设备的;具有相同会话信息的云网络报文对应的目标安全设备是相同的;所述目标安全设备,用于在接收到所述云网络报文后,对所述云网络报文进行安全处理。
根据本公开的另一方面,提供了一种电子设备,包括:至少一个处理器;以及与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行如上述任一方面的任一项所述的方法。
根据本公开的另一方面,提供了一种存储有计算机指令的非瞬时计算机可读存储介质,其中,所述计算机指令用于使所述计算机执行根据上述任一方面的任一项所述的方法。
根据本公开的另一方面,提供了一种计算机程序产品,包括计算机程序,所述计算机程序在被处理器执行时实现根据上述任一方面的任一项所述的方法。
应当理解,本部分所描述的内容并非旨在标识本公开的实施例的关键或重要特征,也不用于限制本公开的范围。本公开的其它特征将通过以下的说明书而变得容易理解。
附图说明
附图用于更好地理解本方案,不构成对本公开的限定。其中:
图1是根据本公开第一实施例的示意图;
图2是根据本公开实施例提供的应用场景的示意图;
图3是根据本公开第二实施例的示意图;
图4是根据本公开第三实施例的示意图;
图5是根据本公开第四实施例的示意图;
图6是用来实现本公开实施例的云网络报文处理方法的电子设备的示意图。
具体实施方式
以下结合附图对本公开的示范性实施例做出说明,其中包括本公开实施例的各种细节以助于理解,应当将它们认为仅仅是示范性的。因此,本领域普通技术人员应当认识到,可以对这里描述的实施例做出各种改变和修改,而不会背离本公开的范围和精神。同样,为了清楚和简明,以下的描述中省略了对公知功能和结构的描述。
相关技术中,云厂商提供自己的云防火墙进行安全防护。云防火墙对于不同用户是相同的。
但是,在一些场景中,用户希望自己指定防火墙进行安全防护,而不使用当前云厂商提供的云防火墙(可以称为内置防火墙)进行安全防护。
用户指定的其他防火墙可以称为第三方防火墙,第三方防火墙可以是线下厂商提供的防火墙;或者,第三方防火墙也可以是其他云厂商提供的云防火墙,例如,用户A当前使用第一云厂商提供的云服务,用户A可以将第二云厂商提供的云防火墙作为第三方防火墙。
不论用户使用何种类型的防火墙,如内置防火墙或第三方防火墙,随着需要安全防护的数据流量的增多,都需要解决防火墙的横向扩展问题,横向扩展是指增加用户使用的防火墙的数量。
为了在云上支持第三方安全设备的横向扩展,本公开提供如下实施例。
图1是根据本公开第一实施例的示意图。本实施例提供一种云网络报文处理方法,如图1所示,该方法包括:
101、获取云网络报文;所述云网络报文是源端发送至云安全设备的。
102、在预先配置的至少一种类型的候选安全设备中,确定所述云网络报文对应的目标类型的候选安全设备。
103、若所述目标类型的候选安全设备为多个,基于所述云网络报文中包含的会话信息,在多个所述目标类型的候选安全设备中确定目标安全设备;其中,具有相同会话信息的云网络报文对应的目标安全设备是相同的。
104、将所述云网络报文发送至所述目标安全设备进行安全处理,以及,将所述目标安全设备进行安全处理后的云网络报文发送至目的端。
其中,本实施例的执行主体可以称为导流器。该导流器可以设置在当前云厂商提供的云安全设备内部,或者,该导流器也可以设置在上述的云安全设备外部。
具体地,若导流器设置在云安全设备内部,则云安全设备内部包括:该导流器和内置安全设备,该导流器主要用于转发云网络报文,内置安全设备主要用于在接收到云网络报文后,对云网络报文进行安全处理。
若导流器设置在云安全设备外部,则可以预先连接该导流器与云安全设备,云安全设备接收到源端发送的云网络报文后,将云网络报文发送至该导流器,该导流器确定出目标安全设备后,再将云网络报文转发至目标安全设备,以及,将目标安全设备返回的安全处理后的云网络报文转发至目的端。此时,云安全设备内部包括内置安全设备,主要用于在接收到云网络报文后,对云网络报文进行安全处理。
安全设备,是指对网络报文进行安全处理的设备。例如包括:防火墙、入侵检测系统、数据加密设备、安全网关等。
以安全设备是防火墙为例,云安全设备具体为云防火墙、内置安全设备具体为内置防火墙,第三方安全设备具体为第三方防火墙。
源端,是指发送云网络报文的设备。
目的端,是指接收云网络报文的设备。
假设报文从公网传输至云网络,则源端是指公网设备,目的端是指云网络设备。进一步地,云安全设备通常与网关设备交互,基于上述示例,源端具体是公网网关,目的端是云网络网关。
候选安全设备,是指可供用户选择的安全设备。
相关技术中,在云环境下,云厂商只提供云安全设备,不同用户共享该云安全设备,即,对不同用户来讲,云安全设备是相同的。
但是,在一些场景下,用户希望自己指定安全设备。
第三方安全设备,是指用户当前使用的云服务对应的云安全设备之外的其他安全设备。第三方安全设备可以是线下厂商提供的安全设备;或者,第三方安全设备也可以是其他云厂商提供的云防火墙,例如,用户A当前使用第一云厂商提供的云服务,用户A可以将第二云厂商提供的云防火墙作为第三方安全设备。具体地,用户可以购买第三方安全设备的镜像,并基于该镜像在一个或多个云主机上部署第三方安全设备。
云环境下,可以预先配置至少一种类型的候选安全设备,例如包括:当前云厂商部署的云安全设备,和/或,用户部署的第三方安全设备。
目标类型,是指用户希望使用的安全设备的类型。例如,目标类型可以是云安全设备内部的内置安全设备(可简称为云安全设备),或者,目标类型也可以是云安全设备外部的第三方安全设备。
虽然不同用户共享相同的云安全设备,但是,在不同场景下,不同用户可能希望使用不同类型的候选安全设备,例如,用户A希望使用云安全设备(内置安全设备),而用户B希望使用第三方安全设备。
具体地,用户可以预先在导流器上进行配置,配置信息中记录用户希望使用的目标安全设备的类型,例如,配置信息包括:用户A对应类型1(如类型1是指云安全设备),用户B对应类型2(如类型2是指第三方安全设备)。云网络报文中可以携带用户标识信息,导流器接收到云网络报文后,可以根据其中携带的用户标识信息,以及预先配置的用户标识信息与安全设备类型之间的对应关系,确定目标安全设备的类型。例如,基于上述示例,若云网络报文中携带用户A的标识信息,则确定目标安全设备的类型是云安全设备,若云网络报文中携带用户B的标识信息,则确定目标安全设备的类型是第三方安全设备。
进一步地,每种类型的候选安全设备可以是一个或多个。例如,云安全设备内部的内置安全设备可以是一个或多个,第三方安全设备也可以是一个或多个。
目标安全设备,是指对云网络报文进行处理的安全设备。
若确定出的目标类型的候选安全设备为一个,则将该一个候选安全设备作为目标安全设备。
为了应对更多流量,目标类型的候选安全设备需要部署为多个,以目标类型是第三方安全设备为例,则可以部署多个第三方安全设备。
在目标类型的候选安全设备为多个时,需要解决如何在这多个候选安全设备中选择一个作为目标安全设备的问题。
以目标类型是第三方安全设备为例,假设安全设备是防火墙,由于第三方防火墙通常部署在虚拟私有云(Virtual Private Cloud,VPC)内,第三方防火墙也可以称为虚拟防火墙。假设该目标类型的候选安全设备包括:第一虚拟防火墙、第二虚拟防火墙和第三虚拟防火墙,需要确定由这三个虚拟防火墙中的哪个虚拟防火墙对云网络报文进行安全处理。
本实施例中,基于云网络报文中的会话信息,在多个目标类型的候选安全设备中确定目标安全设备,且,同一会话信息对应的目标安全设备是相同的。
会话信息,用于标识会话。每个会话对应一个传输控制协议(TransmissionControl Protocol,TCP)连接或用户数据报协议(User Datagram Protocol,UDP)连接。
会话信息可以是会话标识信息,用于唯一标识会话。或者,
会话信息可以包括:源互联网(Internet Protocol,IP)地址、目的IP地址。
针对两个云网络报文,若这两个云网络报文的源IP地址和目的IP地址是相同的,则这两个云网络报文的会话信息是相同的,这两个云网络报文被发送至相同的目标安全设备。上述的源IP地址和目的IP地址相同,是指顺序无关的相同,例如,第一报文的源IP地址是IP1,目的IP地址是IP2,第二报文的源IP地址是IP2,目的IP地址是IP1,由于这两个报文的源IP地址和目的IP地址都是IP1和IP2,则这两个报文的会话信息是相同的。
以会话信息包括源IP地址和目的IP地址为例,可以基于云网络报文中包含的源IP地址和目的IP地址,在多个目标类型的候选安全设备中确定出目标安全设备。例如,可以对源IP地址和目的IP地址进行顺序无关的哈希运算,得到哈希值,再根据哈希值和多个目标类型的候选安全设备的数量,确定出目标安全设备。
导流器确定出目标安全设备后,将云网络报文发送至目标安全设备。
其中,云厂商可以预先建立导流器与内置安全设备的导流路径,这样用户若希望使用内置安全设备时,可以根据云厂商提供的导流路径将云网络报文发送至内置安全设备。若用户希望使用第三方安全设备,则用户部署第三方安全设备后,还可以配置导流器与第三方安全设备之间的导流路径,这样通过用户配置的导流路径将云网络报文发送至第三方安全设备。
由于导流路径是预先配置的,导流器接收到云网络报文后,在确定出目标安全设备后,可以根据预先配置的目标安全设备对应的导流路径,将云网络报文转发至目标安全设备。相对应地,若基于路由策略进行转发,在接收到云网络报文后,需要对云网络报文进行路由解析、识别等处理后确定路由路径,再根据路由路径进行报文转发。本实施例中,通过预先配置的导流路径进行转发,无需上述的路由解析、识别等处理,可以提高报文转发效率,进而提高云网络报文的处理效率。
具体地,在导流器上,可以配置不同的候选安全设备对应不同的输出端口,通过目标安全设备对应的输出端口转发云网络报文。例如,内置安全设备对应的端口是导流器的第一输出端口,第三方安全设备对应的端口是导流器的第二输出端口,第一输出端口和第二输出端口不同,则若确定目标安全设备是内置安全设备,通过第一输出端口将云网络报文转发至内置安全设备,若确定目标安全设备是第三方安全设备,通过第二输出端口将云网络报文转发至第三方安全设备。
目标安全设备接收到云网络报文后,根据预先配置的安全防护规则对云网络报文进行安全处理,并将安全处理后的报文返回给导流器,再由导流器发送至目的端。
本实施例中,基于云网络报文中包含的会话信息,在多个目标类型的候选安全设备中确定目标安全设备,通过目标安全设备对云网络报文进行安全处理,由于目标类型的候选安全设备可以是多个,实现了在云上支持安全设备的横向扩展;另外,具有相同会话信息的云网络报文对应的目标安全设备是相同的,可以将同一会话的所有报文发送至同一目标安全设备进行安全处理,可以提高处理准确度,提升安全保障能力。
图2是根据本公开实施例提供的应用场景的示意图。本实施例中,以安全设备是防火墙为例。云厂商可以在公网(Elastic IP,EIP)、云智能网(Cloud Smart Network,CSN)、专线(Dedicate Connection,DC)网络之间部署一个或多个云防火墙(Cloud Firewall,CFW),用于对来自互联网,专线,虚拟私有云(Virtual Private Cloud,VPC)之间的流量做安全访问控制。
云厂商提供的云防火墙对所有用户是共享的,用户在开启云防火墙服务后,可以根据默认的路由策略将报文路由给云防火墙进行安全处理。但是,在一些场景下,用户希望使用自身部署的第三方防火墙进行安全防护。
为了支持第三方防火墙,可以更改网关上的路由策略,以CSN通过DC网络与用户的IDC通信为例,可以更改CSN网关(CSN-GW)上的路由策略,将CSN发送的报文路由到第三方防火墙上,由第三方防火墙处理后,将处理后报文发送至DC网关,再由DC网关发送至IDC;相应地,还需要更改DC网关上的路由策略,从而IDC发送给DC网关的报文,可以由DC网关转发至第三方防火墙,由第三方防火墙处理后,将处理后报文发送至CSN。
虽然通过更改路由策略的方式,可以支持第三方防火墙,但是,这种方式由于需要更改各个网络内网关上的路由策略,实现较为复杂。
为了降低实现复杂度,本实施例中,并不需要更改各个网关的路由策略,用户在开启云防火墙服务后,可以根据默认的路由策略将报文路由给云防火墙,云防火墙再根据用户预先设置的配置信息,将报文发送至内置防火墙,或者第三方防火墙进行安全处理。
以公网与VPC之间的通信为例,如图2所示,云防火墙包括:防火墙导流器和内置防火墙。防火墙导流器用于接收云网络报文;确定目标防火墙,并将云网络报文转发至目标防火墙进行安全处理;以及,将目标防火墙安全处理后的云网络报文发送至目的端;内置防火墙用于对转发至自身的云网络报文进行安全处理,并将安全处理后的云网络报文返回至防火墙导流器。第三方防火墙是用户部署的,具体可以部署在一个或多个云主机上。其中,处理云网络报文的VPC可以称为业务VPC,部署第三方防火墙的VPC可以称为安全VPC。
以公网向VPC发送云网络报文为例,源端是指EIP网关,EIP网关基于默认路由策略,将云网络报文发送至云防火墙。云防火墙内的防火墙导流器根据预设的配置信息确定目标防火墙,例如,云网络报文中包含用户标识信息,防火墙导流器内预先配置用户标识信息与防火墙类型(内置防火墙,或者第三方防火墙)之间的对应关系,基于该云网络报文中包含的用户标识信息以及该对应关系,可以确定目标类型。若目标类型的候选防火墙为一个,则将该一个目标类型的候选防火墙作为目标防火墙。
假设目标防火墙是内置防火墙,且内置防火墙是一个,则防火墙导流器将云网络报文通过路径①发送至内置防火墙,内置防火墙对云网络报文进行安全处理后,通过路径②返回给防火墙导流器。
第三方防火墙也可以称为虚拟防火墙,为了对更多的数据流量进行安全防护,用户可以预先部署多个虚拟防火墙,如图2所示,假设多个虚拟防火墙包括:第一虚拟防火墙、第二虚拟防火墙和第三虚拟防火墙。
假设基于云网络报文确定的目标类型是第三方防火墙(虚拟防火墙),则需要在这三个虚拟防火墙内确定一个虚拟防火墙作为目标防火墙。例如,第一虚拟防火墙是目标防火墙,则将云网络报文发送至第一虚拟防火墙,第一虚拟防火墙对云网络报文进行安全防护处理。
上述以目标类型的候选安全设备是第三方安全设备为例,内置安全设备也可以为多个,在目标类型的候选安全设备是多个内置安全设备时,可以类似多个虚拟防火墙的处理方式进行处理。
防火墙导流器确定出目标防火墙后,将云网络报文发送至目标防火墙进行安全处理,并接收目标防火墙安全处理后的云网络报文,将该安全处理后的云网络报文发送至目的端,如业务VPC内的云主机。
结合上述的应用场景,本公开还提供了如下实施例。
图3是根据本公开第二实施例的示意图,本实施例提供了一种云网络报文处理方法。本实施例以云安全设备内部包括内置安全设备和导流器为例。该方法包括:
301、采用云安全设备内部的导流器,接收源端发送的云网络报文。
302、采用该导流器,确定所述云网络报文中包含的标识信息对应的目标类型,以及,在预先配置的多种类型的候选安全设备中,确定所述目标类型的候选安全设备。
303、采用该导流器,在所述目标类型的候选安全设备为多个时,基于所述云网络报文中包含的会话信息,在多个所述目标类型的候选安全设备中确定目标安全设备;其中,同一会话信息对应的目标安全设备是相同的。
304、采用该导流器,将所述云网络报文发送至所述目标安全设备进行安全处理,以及,将所述目标安全设备进行安全处理后的云网络报文发送至目的端。
本实施例中,通过在云安全设备内部设置导流器,可以将云安全设备接收的来自源端的云网络报文转发至目标安全设备,这样并不需要源端进行路由策略更改等操作,可以在用户无感的情况下将云网络报文转发至用户所需类型的目标安全设备,从而简便高效地支持云环境下的多种类型的目标安全设备。
云网络报文中可以包含标识信息。
具体地,标识信息可以是用户标识信息,此时,还可以预先配置用户标识信息与安全设备类型之间的对应关系,基于该对应关系确定云网络报文中包含的标识信息对应的目标类型。或者,标识信息也可以是类型标识信息,此时,可以直接将该类型标识信息指示的类型作为目标类型。
之后,在目标类型的候选安全设备中确定目标安全设备。
本实施例中,基于云网络中包含的标识信息确定目标类型,进而获取目标类型对应的候选安全设备作为目标安全设备,可以简便准确地确定目标安全设备。
若所确定的目标类型的候选安全设备是一个,则将该一个候选安全设备作为目标安全设备。或者,若所确定的目标类型的候选安全设备是多个,则可以在该多个候选安全设备中确定一个候选安全设备作为目标安全设备。
例如,若确定的目标类型是第三方安全设备,且第三方安全设备是一个时,则将该第三方安全设备作为目标安全设备;或者,若确定的目标类型是第三方安全设备,但第三方安全设备是多个时,则可以在多个第三方安全设备中确定出一个作为目标安全设备。
其中,在目标类型的候选安全设备为多个时,根据云网络报文中的会话信息确定目标安全设备。
具体地,所述会话信息包括:源IP地址和目的IP地址;
所述基于所述云网络报文中包含的会话信息,在多个所述目标类型的候选安全设备中,确定目标安全设备,包括:
对所述源IP地址和目的IP地址进行组合处理,以获得组合后的IP地址;
对所述组合后的IP地址进行顺序无关的哈希运算,以获得哈希值;
基于所述哈希值和所述目标类型的候选安全设备的数量,进行取模运算,以获得余数;
将所述余数对应的所述目标类型的候选安全设备,作为所述目标安全设备。
例如,针对某个云网络报文,该云网络报文的源IP地址和目的IP地址分别用IP1和IP2表示,则可以将IP1和IP2进行组合,组合后的IP地址表示为(IP1,IP2)。假设两个二进制分别是110和101,则这两个二进制组合后为110101。IP地址的组合原理与此相同。
获得组合后的IP地址后,对该组合后的IP地址进行顺序无关的哈希运算。哈希(hash)运算是指将任意长度的输入转换为固定长度的输出。
顺序无关的哈希运算是指:hash(IP1,IP2)=hash(IP2,IP1)。
假设哈希值用M表示,目标类型的候选安全设备的数量用N表示,则取模运算是指计算M相对于N的余数,例如,N=3,则余数可以是0、1、2。
另外,还可以预先配置余数与候选安全设备的对应关系,基于计算出的余数和该对应关系确定目标安全设备。例如,余数0对应第一虚拟防火墙,余数1对应第二虚拟防火墙,余数2对应第三虚拟防火墙。假设计算得到的余数=0,则目标防火墙是第一虚拟防火墙。
本实施例中,对组合后的IP地址进行顺序无关的哈希运算,基于哈希至和目标类型的候选安全设备的数量确定目标安全设备,可以简便高效地保证具有同一会话信息的云网络报文发送至同一目标安全设备,这样可以提高云网络报文的安全处理的准确度,提高云上安全设备的安全保障能力。
图4是根据本公开第三实施例的示意图,本实施例提供一种云网络报文处理装置。该装置400包括:获取模块401、第一确定模块402、第二确定模块403和转发模块404。
获取模块401用于获取云网络报文;所述云网络报文是源端发送至云安全设备的;第一确定模块402用于在预先配置的至少一种类型的候选安全设备中,确定所述云网络报文对应的目标类型的候选安全设备;第二确定模块403用于若所述目标类型的候选安全设备为多个,基于所述云网络报文中包含的会话信息,在多个所述目标类型的候选安全设备中确定目标安全设备;其中,具有相同会话信息的云网络报文对应的目标安全设备是相同的;转发模块404用于将所述云网络报文发送至所述目标安全设备进行安全处理,以及,将安全处理后的云网络报文发送至目的端。
本实施例中,基于云网络报文中包含的会话信息,在多个目标类型的候选安全设备中确定目标安全设备,通过目标安全设备对云网络报文进行安全处理,由于目标类型的候选安全设备可以是多个,实现了在云上支持安全设备的横向扩展;另外,具有相同会话信息的云网络报文对应的目标安全设备是相同的,可以将同一会话的所有报文发送至同一目标安全设备进行安全处理,可以提高处理准确度,提升安全保障能力。
一些实施例中,所述会话信息包括:源IP地址和目的IP地址;所述第二确定模块403进一步用于:对所述源IP地址和目的IP地址进行组合处理,以获得组合后的IP地址;对所述组合后的IP地址进行顺序无关的哈希运算,以获得哈希值;基于所述哈希值和所述目标类型的候选安全设备的数量,进行取模运算,以获得余数;将所述余数对应的所述目标类型的候选安全设备,作为所述目标安全设备。
本实施例中,对组合后的IP地址进行顺序无关的哈希运算,基于哈希至和目标类型的候选安全设备的数量确定目标安全设备,可以简便高效地保证具有同一会话信息的云网络报文发送至同一目标安全设备,这样可以提高云网络报文的安全处理的准确度,提高云上安全设备的安全保障能力。
一些实施例中,所述至少一种类型的候选安全设备是多种类型;
所述第一确定模块402进一步用于:
确定所述云网络报文中包含的标识信息对应的目标类型;
在预先配置的多种类型的候选安全设备中,确定所述目标类型的候选安全设备。
本实施例中,基于云网络中包含的标识信息确定目标类型,进而获取目标类型对应的候选安全设备作为目标安全设备,可以简便准确地确定目标安全设备。
一些实施例中,所述多种类型的候选安全设备包括:所述云安全设备内部的内置安全设备,以及所述云安全设备外部的第三方安全设备;
所述云安全设备内部还包括:导流器;
所述获取模块401进一步用于:
采用所述导流器,接收所述源端发送的所述云网络报文。
本实施例中,通过在云安全设备内部设置导流器,可以将云安全设备接收的来自源端的云网络报文转发至目标安全设备,这样并不需要源端进行路由策略更改等操作,可以在用户无感的情况下将云网络报文转发至用户所需类型的目标安全设备,从而简便高效地支持云环境下的多种类型的目标安全设备。
图5是根据本公开第四实施例的示意图,本实施例提供一种云网络系统。该系统500包括:导流器501和目标安全设备502。
所述导流器501用于获取云网络报文;在预先配置的至少一种类型的候选安全设备中,确定所述云网络报文对应的目标类型的候选安全设备;若所述目标类型的候选安全设备为多个,基于所述云网络报文中包含的会话信息,在多个所述目标类型的候选安全设备中确定目标安全设备;将所述云网络报文发送至所述目标安全设备进行安全处理,以及,将所述目标安全设备进行安全处理后的云网络报文发送至目的端;其中,所述云网络报文是源端发送至所述云安全设备的;具有相同会话信息的云网络报文对应的目标安全设备是相同的;所述目标安全设备502用于在接收到所述云网络报文后,对所述云网络报文进行安全处理。
本实施例中,基于云网络报文中包含的会话信息,在多个目标类型的候选安全设备中确定目标安全设备,通过目标安全设备对云网络报文进行安全处理,由于目标类型的候选安全设备可以是多个,实现了在云上支持安全设备的横向扩展;另外,具有相同会话信息的云网络报文对应的目标安全设备是相同的,可以将同一会话的所有报文发送至同一目标安全设备进行安全处理,可以提高处理准确度,提升安全保障能力。
一些实施例中,所述会话信息包括:源IP地址和目的IP地址;
所述导流器501进一步用于:
对所述源IP地址和目的IP地址进行组合处理,以获得组合后的IP地址;
对所述组合后的IP地址进行顺序无关的哈希运算,以获得哈希值;
基于所述哈希值和所述目标类型的候选安全设备的数量,进行取模运算,以获得余数;
将所述余数对应的所述目标类型的候选安全设备,作为所述目标安全设备。
本实施例中,对组合后的IP地址进行顺序无关的哈希运算,基于哈希至和目标类型的候选安全设备的数量确定目标安全设备,可以简便高效地保证具有同一会话信息的云网络报文发送至同一目标安全设备,这样可以提高云网络报文的安全处理的准确度,提高云上安全设备的安全保障能力。
一些实施例中,所述至少一种类型的候选安全设备是多种类型;
所述导流器501进一步用于:
确定所述云网络报文中包含的标识信息对应的目标类型;
在预先配置的多种类型的候选安全设备中,确定所述目标类型的候选安全设备。
本实施例中,基于云网络中包含的标识信息确定目标类型,进而获取目标类型对应的候选安全设备作为目标安全设备,可以简便准确地确定目标安全设备。
一些实施例中,所述多种类型的候选安全设备包括:所述云安全设备内部的内置安全设备,以及所述云安全设备外部的第三方安全设备;
所述导流器设置在所述云安全设备内部;
所述导流器501进一步用于:
接收所述源端发送的所述云网络报文。
本实施例中,通过在云安全设备内部设置导流器,可以将云安全设备接收的来自源端的云网络报文转发至目标安全设备,这样并不需要源端进行路由策略更改等操作,可以在用户无感的情况下将云网络报文转发至用户所需类型的目标安全设备,从而简便高效地支持云环境下的多种类型的目标安全设备。
可以理解的是,本公开实施例中,不同实施例中的相同或相似内容可以相互参考。
可以理解的是,本公开实施例中的“第一”、“第二”等只是用于区分,不表示重要程度高低、时序先后等。
可以理解的是,流程中涉及步骤的先后顺序如无特殊说明,则表明这些步骤之间的时序关系不限定。
本公开的技术方案中,所涉及的用户个人信息的收集、存储、使用、加工、传输、提供和公开等处理,均符合相关法律法规的规定,且不违背公序良俗。
根据本公开的实施例,本公开还提供了一种电子设备、一种可读存储介质和一种计算机程序产品。
图6示出了可以用来实施本公开的实施例的示例电子设备600的示意性框图。电子设备600旨在表示各种形式的数字计算机,诸如,膝上型计算机、台式计算机、工作台、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置,诸如,个人数字助理、蜂窝电话、智能电话、可穿戴设备和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例,并且不意在限制本文中描述的和/或者要求的本公开的实现。
如图6所示,电子设备600包括计算单元601,其可以根据存储在只读存储器(ROM)602中的计算机程序或者从存储单元608加载到随机访问存储器(RAM)603中的计算机程序,来执行各种适当的动作和处理。在RAM 603中,还可存储电子设备600操作所需的各种程序和数据。计算单元601、ROM 602以及RAM 603通过总线604彼此相连。输入/输出(I/O)接口605也连接至总线604。
电子设备600中的多个部件连接至I/O接口605,包括:输入单元606,例如键盘、鼠标等;输出单元607,例如各种类型的显示器、扬声器等;存储单元608,例如磁盘、光盘等;以及通信单元609,例如网卡、调制解调器、无线通信收发机等。通信单元609允许电子设备600通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
计算单元601可以是各种具有处理和计算能力的通用和/或专用处理组件。计算单元601的一些示例包括但不限于中央处理单元(CPU)、图形处理单元(GPU)、各种专用的人工智能(AI)计算芯片、各种运行机器学习模型算法的计算单元、数字信号处理器(DSP)、以及任何适当的处理器、控制器、微控制器等。计算单元601执行上文所描述的各个方法和处理,例如云网络报文处理方法。例如,在一些实施例中,云网络报文处理方法可被实现为计算机软件程序,其被有形地包含于机器可读介质,例如存储单元608。在一些实施例中,计算机程序的部分或者全部可以经由ROM 602和/或通信单元609而被载入和/或安装到电子设备600上。当计算机程序加载到RAM 603并由计算单元601执行时,可以执行上文描述的云网络报文处理方法的一个或多个步骤。备选地,在其他实施例中,计算单元601可以通过其他任何适当的方式(例如,借助于固件)而被配置为执行云网络报文处理方法。
本文中以上描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、现场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、芯片上系统(SOC)、复杂可编程逻辑设备(CPLD)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括:实施在一个或者多个计算机程序中,该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释,该可编程处理器可以是专用或者通用可编程处理器,可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令,并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。
用于实施本公开的方法的程序代码可以采用一个或多个编程语言的任何组合来编写。这些程序代码可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器或控制器,使得程序代码当由处理器或控制器执行时使流程图和/或框图中所规定的功能/操作被实施。程序代码可以完全在机器上执行、部分地在机器上执行,作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
在本公开的上下文中,机器可读介质可以是有形的介质,其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备,或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
为了提供与用户的交互,可以在计算机上实施此处描述的系统和技术,该计算机具有:用于向用户显示信息的显示装置(例如,CRT(阴极射线管)或者LCD(液晶显示器)监视器);以及键盘和指向装置(例如,鼠标或者轨迹球),用户可以通过该键盘和该指向装置来将输入提供给计算机。其它种类的装置还可以用于提供与用户的交互;例如,提供给用户的反馈可以是任何形式的传感反馈(例如,视觉反馈、听觉反馈、或者触觉反馈);并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。
可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如,作为数据服务器)、或者包括中间件部件的计算系统(例如,应用服务器)、或者包括前端部件的计算系统(例如,具有图形用户界面或者网络浏览器的用户计算机,用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如,通信网络)来将系统的部件相互连接。通信网络的示例包括:局域网(LAN)、广域网(WAN)和互联网。
计算机系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。服务器可以是云服务器,又称为云计算服务器或云主机,是云计算服务体系中的一项主机产品,以解决了传统物理主机与VPS服务("Virtual Private Server",或简称"VPS")中,存在的管理难度大,业务扩展性弱的缺陷。服务器也可以为分布式系统的服务器,或者是结合了区块链的服务器。
应该理解,可以使用上面所示的各种形式的流程,重新排序、增加或删除步骤。例如,本发公开中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行,只要能够实现本公开公开的技术方案所期望的结果,本文在此不进行限制。
上述具体实施方式,并不构成对本公开保护范围的限制。本领域技术人员应该明白的是,根据设计要求和其他因素,可以进行各种修改、组合、子组合和替代。任何在本公开的精神和原则之内所作的修改、等同替换和改进等,均应包含在本公开保护范围之内。
Claims (15)
1.一种云网络报文处理方法,包括:
获取云网络报文;所述云网络报文是源端发送至云安全设备的;
在预先配置的至少一种类型的候选安全设备中,确定所述云网络报文对应的目标类型的候选安全设备;
若所述目标类型的候选安全设备为多个,基于所述云网络报文中包含的会话信息,在多个所述目标类型的候选安全设备中确定目标安全设备;其中,具有相同会话信息的云网络报文对应的目标安全设备是相同的;
将所述云网络报文发送至所述目标安全设备进行安全处理,以及,将所述目标安全设备进行安全处理后的云网络报文发送至目的端。
2.根据权利要求1所述的方法,其中,
所述会话信息包括:源互联网IP地址和目的IP地址;
所述基于所述云网络报文中包含的会话信息,在多个所述目标类型的候选安全设备中,确定目标安全设备,包括:
对所述源IP地址和目的IP地址进行组合处理,以获得组合后的IP地址;
对所述组合后的IP地址进行顺序无关的哈希运算,以获得哈希值;
基于所述哈希值和所述目标类型的候选安全设备的数量,进行取模运算,以获得余数;
将所述余数对应的所述目标类型的候选安全设备,作为所述目标安全设备。
3.根据权利要求1所述的方法,其中,
所述至少一种类型的候选安全设备是多种类型;
所述在预先配置的至少一种类型的候选安全设备中,确定所述云网络报文对应的目标类型的候选安全设备,包括:
确定所述云网络报文中包含的标识信息对应的目标类型;
在预先配置的多种类型的候选安全设备中,确定所述目标类型的候选安全设备。
4.根据权利要求3所述的方法,其中,
所述多种类型的候选安全设备包括:所述云安全设备内部的内置安全设备,以及所述云安全设备外部的第三方安全设备;
所述云安全设备内部还包括:导流器;
所述获取云网络报文,包括:
采用所述导流器,接收所述源端发送的所述云网络报文。
5.一种云网络报文处理装置,包括:
获取模块,用于获取云网络报文;所述云网络报文是源端发送至云安全设备的;
第一确定模块,用于在预先配置的至少一种类型的候选安全设备中,确定所述云网络报文对应的目标类型的候选安全设备;
第二确定模块,用于若所述目标类型的候选安全设备为多个,基于所述云网络报文中包含的会话信息,在多个所述目标类型的候选安全设备中确定目标安全设备;其中,具有相同会话信息的云网络报文对应的目标安全设备是相同的;
转发模块,用于将所述云网络报文发送至所述目标安全设备进行安全处理,以及,将安全处理后的云网络报文发送至目的端。
6.根据权利要求5所述的装置,其中,
所述会话信息包括:源IP地址和目的IP地址;
所述第二确定模块进一步用于:
对所述源IP地址和目的IP地址进行组合处理,以获得组合后的IP地址;
对所述组合后的IP地址进行顺序无关的哈希运算,以获得哈希值;
基于所述哈希值和所述目标类型的候选安全设备的数量,进行取模运算,以获得余数;
将所述余数对应的所述目标类型的候选安全设备,作为所述目标安全设备。
7.根据权利要求5所述的装置,其中,
所述至少一种类型的候选安全设备是多种类型;
所述第一确定模块进一步用于:
确定所述云网络报文中包含的标识信息对应的目标类型;
在预先配置的多种类型的候选安全设备中,确定所述目标类型的候选安全设备。
8.根据权利要求7所述的装置,其中,
所述多种类型的候选安全设备包括:所述云安全设备内部的内置安全设备,以及所述云安全设备外部的第三方安全设备;
所述云安全设备内部还包括:导流器;
所述获取模块进一步用于:
采用所述导流器,接收所述源端发送的所述云网络报文。
9.一种云网络系统,包括:
导流器和目标安全设备;
所述导流器,用于获取云网络报文;在预先配置的至少一种类型的候选安全设备中,确定所述云网络报文对应的目标类型的候选安全设备;若所述目标类型的候选安全设备为多个,基于所述云网络报文中包含的会话信息,在多个所述目标类型的候选安全设备中确定目标安全设备;将所述云网络报文发送至所述目标安全设备进行安全处理,以及,将所述目标安全设备进行安全处理后的云网络报文发送至目的端;其中,所述云网络报文是源端发送至所述云安全设备的;具有相同会话信息的云网络报文对应的目标安全设备是相同的;
所述目标安全设备,用于在接收到所述云网络报文后,对所述云网络报文进行安全处理。
10.根据权利要求9所述的系统,其中,
所述会话信息包括:源IP地址和目的IP地址;
所述导流器进一步用于:
对所述源IP地址和目的IP地址进行组合处理,以获得组合后的IP地址;
对所述组合后的IP地址进行顺序无关的哈希运算,以获得哈希值;
基于所述哈希值和所述目标类型的候选安全设备的数量,进行取模运算,以获得余数;
将所述余数对应的所述目标类型的候选安全设备,作为所述目标安全设备。
11.根据权利要求9所述的系统,其中,
所述至少一种类型的候选安全设备是多种类型;
所述导流器进一步用于:
确定所述云网络报文中包含的标识信息对应的目标类型;
在预先配置的多种类型的候选安全设备中,确定所述目标类型的候选安全设备。
12.根据权利要求11所述的系统,其中,
所述多种类型的候选安全设备包括:所述云安全设备内部的内置安全设备,以及所述云安全设备外部的第三方安全设备;
所述导流器设置在所述云安全设备内部;
所述导流器进一步用于:
接收所述源端发送的所述云网络报文。
13.一种电子设备,包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行权利要求1-4中任一项所述的方法。
14.一种存储有计算机指令的非瞬时计算机可读存储介质,其中,所述计算机指令用于使所述计算机执行根据权利要求1-4中任一项所述的方法。
15.一种计算机程序产品,包括计算机程序,所述计算机程序在被处理器执行时实现根据权利要求1-4中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202410324242.XA CN118316657A (zh) | 2024-03-20 | 2024-03-20 | 云网络系统、云网络报文处理方法、装置、设备和介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202410324242.XA CN118316657A (zh) | 2024-03-20 | 2024-03-20 | 云网络系统、云网络报文处理方法、装置、设备和介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN118316657A true CN118316657A (zh) | 2024-07-09 |
Family
ID=91725027
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202410324242.XA Pending CN118316657A (zh) | 2024-03-20 | 2024-03-20 | 云网络系统、云网络报文处理方法、装置、设备和介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN118316657A (zh) |
-
2024
- 2024-03-20 CN CN202410324242.XA patent/CN118316657A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9009782B2 (en) | Steering traffic among multiple network services using a centralized dispatcher | |
CN112787913B (zh) | 智能网卡组件、物理机、云服务系统以及报文发送方法 | |
CN115225634B (zh) | 虚拟网络下的数据转发方法、装置及计算机程序产品 | |
CN113794788B (zh) | 网关导流方法、系统、装置、设备、存储介质及产品 | |
CN114500633A (zh) | 数据转发方法、相关装置、程序产品及数据传输系统 | |
CN114697391B (zh) | 数据处理方法、装置、设备以及存储介质 | |
CN113965508B (zh) | 双路径数据传输方法、电子设备和计算机可读存储介质 | |
CN117294639A (zh) | 云网络路径探测系统、方法、装置、设备和存储介质 | |
CN118316657A (zh) | 云网络系统、云网络报文处理方法、装置、设备和介质 | |
CN118316655A (zh) | 云网络系统、云网络报文处理方法、装置、设备和介质 | |
CN114598532B (zh) | 连接建立方法、装置、电子设备和存储介质 | |
US20230224240A1 (en) | Scaling edge services with minimal disruption | |
CN113660134B (zh) | 端口探测方法、装置、电子装置和存储介质 | |
CN113709016B (zh) | 通信系统以及通信方法、装置、设备和存储介质 | |
CN111800340A (zh) | 数据包转发方法和装置 | |
CN116418863B (zh) | 基于socks5透明代理的通信方法和装置 | |
CN115499411B (zh) | 一种网络穿透系统、方法、装置及电子设备 | |
CN114827055B (zh) | 数据镜像的方法、装置、电子设备及交换机集群 | |
CN116260855B (zh) | 通信方法、装置、电子设备以及存储介质 | |
CN116306407B (zh) | 片上网络noc的验证方法、装置、设备和存储介质 | |
CN117014371B (zh) | 网络流量的处理方法、装置、电子设备及存储介质 | |
CN116599838A (zh) | 变电站设备信息配置管理方法、装置、设备及存储介质 | |
CN115103019A (zh) | 访问请求的转发方法、装置、电子设备和可读存储介质 | |
CN116318992A (zh) | 云原生kubernetes网络的黑名单控制方法和装置 | |
CN117729006A (zh) | 基于vpc网络的路由风险分析方法、装置、电子设备和介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |