WO2023040303A1

WO2023040303A1 - 网络流量控制方法以及相关系统

Info

Publication number: WO2023040303A1
Application number: PCT/CN2022/092099
Authority: WO
Inventors: 罗照宇; 郭冕; 李剑彪; 邓炜
Original assignee: 华为云计算技术有限公司
Priority date: 2021-09-16
Filing date: 2022-05-11
Publication date: 2023-03-23
Also published as: US20240223535A1; CN115834091A; EP4391476A1

Abstract

本申请提供了一种网络流量控制方法，包括：防火墙控制模块接收网络流量，缓存网络流量中的多个报文，防火墙接收对网络流量执行复制操作所得的旁路流量，对旁路流量中的报文进行检测，获得报文控制消息。防火墙控制模块接收到防火墙发送的报文控制消息，对多个报文中的目标报文执行转发、丢弃或缓存等目标操作。该方法通过旁路部署的防火墙并行地解析数据，防火墙控制模块不需要解析任何数据，由此可以简化防火墙控制模块的逻辑，提高防火墙控制模块的稳定性，降低了防火墙控制模块对网络流量正常转发的影响，保障业务能够正常运行。

Description

网络流量控制方法以及相关系统

本申请要求于2021年9月16日提交中国国家知识产权局、申请号为202111088857.X、发明名称为“网络流量控制方法以及相关系统”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及计算机技术领域，尤其涉及一种网络流量控制方法、系统以及防火墙、防火墙控制模块、计算机可读存储介质、计算机程序产品。

背景技术

随着计算设备尤其是智能终端设备的普及，越来越多的计算设备接入互联网，并在互联网中产生了海量的网络流量。其中，网络流量是指接入网络的设备在网络上产生的数据流量。

考虑到非法分子利用计算设备接入网络以发起网络攻击不时发生，例如是阻断服务攻击(denial-of-service attack，DoS)、勒索攻击等不时发生，业界提出了基于防火墙(firewall)对网络流量进行控制，保障网络安全的方案。

为了阻断有害信息的传输，防火墙通常可以以串联方式部署在网络中，对网络流量进行实时分析及控制。然而，上述部署方式容易影响网络流量的正常转发。例如，防火墙停止转发时，所有网络流量均被中断，如此对业务正常运行产生较大的影响。

发明内容

本申请提供了一种网络流量控制方法，该方法通过旁路部署的防火墙并行地解析数据，防火墙控制模块不需要解析任何数据，由此可以简化防火墙控制模块的逻辑，提高防火墙控制模块的稳定性，降低了防火墙控制模块对网络流量正常转发的影响，保障业务能够正常运行。本申请还提供了上述方法对应的装置、设备、计算机可读存储介质以及计算机程序产品。

第一方面，本申请提供了一种网络流量控制方法。该方法可以由控制系统执行。其中，控制系统包括防火墙和防火墙控制模块。其中，防火墙可以是具有访问控制功能的硬件或软件。防火墙控制模块可以是硬件模块，也可以是软件模块。当防火墙控制模块为软件模块时，防火墙控制模块还可以集成在防火墙中。

具体地，防火墙控制模块接收网络流量，缓存所述网络流量中的多个报文，同时防火墙接收对所述网络流量执行复制操作所得的旁路流量，对所述旁路流量中的报文进行检测，获得报文控制消息。当防火墙控制模块接收到所述防火墙发送的报文控制消息，对所述多个报文中的目标报文执行目标操作。该目标操作可以包括转发、丢弃或缓存。

在该方法中，防护墙采用旁路部署方式，并且与防火墙控制模块并行，防火墙控制模块不需要解析任何数据，而是旁路防火墙并行解析，如此使得防火墙控制模块逻辑极其简单和稳定，降低了防火墙控制模块对网络流量正常转发的影响，保障业务能够正常运行。并且，防火墙控制模块基于报文控制消息控制对应的报文转发，实现报文级别的访问控制，这种细粒度的访问控制提升了访问控制的效果。

在一些可能的实现方式中，报文控制消息包括报文标识信息和报文控制信息。报文标识信息用于唯一标识报文，该报文标识信息例如可以是报文的四元组等。报文控制信息用于指示对报文的操作。基于此，防火墙控制模块可以根据所述报文标识信息，从所述多个报文中确定目标报文，然后根据所述报文控制信息，对所述目标报文执行目标操作。

在该方法中，防火墙实时生成带有报文标识信息的报文控制消息，并发送给防火墙控制模块，如此，防火墙控制模块可以根据报文标识信息快速定位目标报文，实现报文级别的访问控制，保障了网络安全。

在一些可能的实现方式中，多个报文包括相互关联的第一报文和第二报文。该第一报文和第二报文例如可以是同一数据流的多个报文。报文控制消息包括所述第二报文的报文标识信息和报文控制信息，且所述第二报文的报文控制信息指示丢弃所述第二报文时，所述防火墙控制模块可以丢弃所述第一报文和所述第二报文。如此，可以阻断与包括有害内容的报文相互关联的报文，保障网络安全。

在一些可能的实现方式中，所述报文控制消息包括第一报文控制消息和第二报文控制消息，所述第一报文控制消息包括所述第一报文的报文标识信息和第一报文控制信息，所述第一报文的第一报文控制信息指示缓存所述第一报文，所述第二报文控制消息包括所述第一报文的报文标识信息和第二报文控制信息以及所述第二报文的报文标识信息和报文控制信息，所述第一报文的第二报文控制信息和所述第二报文的报文控制信息指示丢弃所述报文。

当防火墙控制模块接收到所述第一报文控制消息，延长所述第一报文的缓存时间，以等待后续报文，当防火墙控制模块接收到所述第二报文控制消息，丢弃所述第一报文和所述第二报文。

如此，可以实现对相互关联的报文的内容进行组合检测，避免了对单个报文的内容独立检测导致包括有害内容的报文漏发，保障了网络安全。

在一些可能的实现方式中，所述防火墙控制模块预设时间内未接收到所述防火墙发送的报文控制消息时，还可以基于预设的控制策略对所述多个报文进行控制。由此可以提升网络流量控制的容错率，从而提升控制系统的健壮性。

在一些可能的实现方式中，所述预设的控制策略包括多个控制策略。例如，多个控制策略可以包括严格的控制策略或者相对宽松的控制策略。严格的控制策略是指未接收到报文控制消息时，不执行转发或丢弃操作。进一步地，还可以设置超时机制，当报文的缓存时间或者缓存超时时间达到预设阈值，则丢弃报文。宽松的控制策略是指当设定的条件被满足时，例如缓存队列中报文数量达到预设数量，或者报文的缓存时间或者缓存超时时间达到预设阈值时，转发缓存的报文。

基于此，防火墙控制模块可以从所述网络流量中获取业务标识，所述防火墙控制模块根据业务与控制策略的对应关系，从所述多个控制策略中确定所述业务标识所标识的业务对应的目标控制策略，然后防火墙控制模块基于所述目标控制策略对所述多个报文进行控制。

由此，防火墙控制模块可以实现根据业务需求，选择相应的控制策略进行控制。例如，业务场景为对安全性要求较高的场景时，可以选择严格的控制策略；又例如，业务场景为对稳定性要求较高的场景(例如一些云服务场景)时，可以选择相对宽松的控制策略。

在一些可能的实现方式中，所述旁路流量通过分光器分光得到，或者通过交换机镜像得到。其中，分光器或者交换机实时复制网络流量获得旁路流量，为旁路防火墙和防火墙控制模块并行处理提供了基础。

第二方面，本申请提供了一种控制系统。所述系统包括：

防火墙控制模块，用于接收网络流量，缓存所述网络流量中的多个报文；

防火墙，用于接收对所述网络流量执行复制操作所得的旁路流量，对所述旁路流量中的报文进行检测，获得报文控制消息；

所述防火墙控制模块，还用于接收到所述防火墙发送的报文控制消息，对所述多个报文中的目标报文执行目标操作，所述目标操作包括转发、丢弃或缓存。

在一些可能的实现方式中，所述报文控制消息包括报文标识信息和报文控制信息；

所述防火墙控制模块具体用于：

根据所述报文标识信息，从所述多个报文中确定目标报文；

根据所述报文控制信息，对所述目标报文执行目标操作。

在一些可能的实现方式中，所述多个报文包括相互关联的第一报文和第二报文；所述报文控制消息包括所述第二报文的报文标识信息和报文控制信息，且所述第二报文的报文控制信息指示丢弃所述第二报文；

所述防火墙控制模块具体用于：

丢弃所述第一报文和所述第二报文。

在一些可能的实现方式中，所述报文控制消息包括第一报文控制消息和第二报文控制消息，所述第一报文控制消息包括所述第一报文的报文标识信息和第一报文控制信息，所述第一报文的第一报文控制信息指示缓存所述第一报文，所述第二报文控制消息包括所述第一报文的报文标识信息和第二报文控制信息以及所述第二报文的报文标识信息和报文控制信息，所述第一报文的第二报文控制信息和所述第二报文的报文控制信息指示丢弃所述报文；

所述防火墙控制模块具体用于：

接收到所述第一报文控制消息，延长所述第一报文的缓存时间；

接收到所述第二报文控制消息，丢弃所述第一报文和所述第二报文。

在一些可能的实现方式中，所述防火墙控制模块还用于：

预设时间内未接收到所述防火墙发送的报文控制消息时，基于预设的控制策略对所述多个报文进行控制。

在一些可能的实现方式中，所述预设的控制策略包括多个控制策略，所述防火墙控制模块具体用于：

从所述网络流量中获取业务标识；

根据业务与控制策略的对应关系，从所述多个控制策略中确定所述业务标识所标识的业务对应的目标控制策略；

基于所述目标控制策略对所述多个报文进行控制。

在一些可能的实现方式中，所述旁路流量通过分光器分光得到，或者通过交换机镜像得到。

第三方面，本申请提供一种防火墙，所述防火墙包括处理器和存储器。所述处理器、所述存储器进行相互的通信。所述存储器中存储有计算机可读指令，所述处理器执行所述计算机可读指令，以使得所述防火墙执行如第一方面或第一方面的任一种实现方式中由所述防火墙执行的方法步骤。

在一些可能的实现方式中，所述防火墙还集成有防火墙控制模块。相应地，所述处理器执行所述计算机可读指令，以使得所述防火墙还执行如第一方面或第一方面的任一种实现方式中由所述防火墙控制模块执行的方法步骤。

第四方面，本申请提供一种防火墙控制模块，所述防火墙控制模块包括处理器和存储器。所述处理器、所述存储器进行相互的通信。所述存储器中存储有计算机可读指令，所述处理器执行所述计算机可读指令，以使得所述防火墙控制模块执行如第一方面或第一方面的任一种实现方式中由所述防火墙控制模块执行的方法步骤。

第五方面，本申请提供一种计算机可读存储介质，所述计算机可读存储介质中存储有计算机可读指令，当所述计算机可读指令在防火墙上运行时，使得所述防火墙执行上述第一方面或第一方面的任一种实现中由所述防火墙执行的方法步骤。

第六方面，本申请提供一种计算机可读存储介质，所述计算机可读存储介质中存储有计算机可读指令，当所述计算机可读指令在防火墙控制模块上运行时，使得所述防火墙控制模块执行上述第一方面或第一方面的任一种实现中由所述防火墙控制模块执行的方法步骤。

第七方面，本申请提供了一种包含指令的计算机程序产品，该计算机程序产品包括计算机可读指令。当所述计算机可读指令在防火墙上运行时，使得所述防火墙执行上述第一方面或第一方面的任一种实现方式中由所述防火墙执行的方法步骤。

第八方面，本申请提供了一种包含指令的计算机程序产品，该计算机程序产品包括计算机可读指令。当所述计算机可读指令在防火墙控制模块上运行时，使得所述防火墙控制模块执行上述第一方面或第一方面的任一种实现方式中由所述防火墙控制模块执行的方法步骤。

本申请在上述各方面提供的实现方式的基础上，还可以进行进一步组合以提供更多实现方式。

附图说明

为了更清楚地说明本申请实施例的技术方法，下面将对实施例中所需使用的附图作以简单地介绍。

图1为本申请实施例提供的一种网络流量控制方法的系统架构图；

图2为本申请实施例提供的一种网络流量控制方法的流程图；

图3为本申请实施例提供的一种报文访问控制的流程示意图；

图4为本申请实施例提供的一种防火墙的结构示意图；

图5为本申请实施例提供的一种防火墙控制模块的结构示意图。

具体实施方式

本申请实施例中的术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。

为了便于理解本申请实施例，首先，对本申请涉及的部分术语进行解释说明。

网络流量是指能够连接网络的设备在网络上所产生的数据流量。其中，能够连接网络的设备包括服务器和终端等网络设备。服务器包括云服务器、边缘服务器或者本地服务器。云服务器为云环境中的计算设备。所述云环境指示云服务提供商拥有的，用于提供计算、存储、通信资源的中心计算设备集群。边缘服务器为边缘环境中的计算设备。边缘环境指示在地理位置上距离终端(即端侧设备)较近的，用于提供计算、存储、通信资源的边缘计算设备集群。本地服务器为本地数据中心中的服务器。终端包括但不限于台式机、笔记本电脑、智能手机等用户终端。

网络流量控制，也称作流量控制，是指通过对网络流量进行分析，并根据分析结果对网络流量进行转发或丢弃等操作，以保障网络安全。例如，对网络流量的分析结果表征该网络流量为恶意流量，例如是非法分子发起网络攻击产生的流量时，可以对网络流量执行丢弃操作，以保障网络中的设备安全。

防火墙，是位于多个网络(例如是两个网络)间，实现网络访问控制的硬件或软件。例如，防火墙可以是一台专属的网络设备，专用于网络访问控制。又例如，防护墙可以是运行于主机上的软件，主机运行该软件检查各个网络接口上的网络传输。防火墙可以用于隔离网络。具体地，防火墙将网络划分成不同的区域(ZONE)，制定出不同区域之间的访问控制策略来控制不同信任程度区域间传送的数据流。其中，不同信任程度区域包括互联网和内部网络。互联网是不可信任的区域，内部网络是高度信任的区域。

目前，防火墙通常可以以串联方式部署在网络中，对网络流量进行实时分析及控制。然而，上述部署方式容易影响网络流量的正常转发。例如，防火墙停止转发时，所有网络流量均被中断，如此对业务正常运行产生较大的影响。

有鉴于此，本申请实施例提供了一种网络流量控制方法。该方法可以由控制系统执行。控制系统包括防火墙和防火墙控制模块。其中，防火墙可以是具有访问控制功能的硬件或软件。防火墙控制模块可以是硬件模块，也可以是软件模块。当防火墙控制模块为软件模块时，防火墙控制模块还可以集成在防火墙中。

具体地，防火墙控制模块接收网络流量，缓存所述网络流量中的多个报文，防火墙接收对网络流量执行复制操作所得的旁路流量，对该旁路流量中的报文进行检测，获得报文控制消息。然后，防护墙控制模块接收到防火墙发送的报文控制消息，对多个报文中的目标报文执行目标操作，该目标操作包括转发、丢弃或缓存。

本申请的网络流量控制方法可适用于对稳定性要求极高的网络流量实时安全检测的场景，尤其是对云环境中的网络流量实时安全检测的场景。为了使得本申请的技术方案更加清楚、易于理解，下面结合附图对本申请实施例的网络流量控制方法的系统架构进行介绍。

参见图1所示的网络访问控制方法的系统架构图，网络设备10和网络设备20连接，网络设备20和控制系统30连接。其中，网络设备10、网络设备20可以通过有线通信方式连接，例如可以通过光纤通信等方式进行连接。网络设备10、网络设备20也可以通过无线通信方式连接，例如网络设备10、网络设备20可以通过无线局域网(wireless local area network，WLAN)、第5代(the fifth generation，5G)移动通信网络或者蓝牙、紫蜂(ZigBee)等方式进行连接。类似地，网络设备20和控制系统30也可以通过上述有线或无线通信方式连接。

网络设备10为产生网络流量的设备。该网络设备10例如可以是服务器，也可以是智能手机、笔记本电脑、台式机等终端。终端向服务器发送数据访问请求，从而产生网络流量，该网络流量可以是数据访问请求包括的多个报文。服务器可以向终端返回数据访问响应，从而产生网络流量，该网络流量可以是数据访问响应包括的多个报文。

网络设备20为复制网络流量的设备。图1以网络设备20为交换机示例说明。具体地，具有端口镜像(port mirroring)功能的交换机可以将或多个源端口的数据流量转发到某一个指定端口来实现对网络的监听。该指定端口也称作镜像端口。交换机转发到指定端口的网络流量称作旁路流量。

需要说明的是，复制网络流量不限于通过端口镜像的方式，在本申请实施例其他可能的实现方式中，网络设备20也可以通过其他方式对网络流量进行复制。例如，网络设备20还可以是分光器。分光器可以通过旁路分光，获得原始的网络流量的拷贝，该拷贝称作旁路流量。其中，分光器为无源光器件，可对光信号的功率强度按照需要的比例进行再分配，从而实现网络流量复制。

控制系统30用于对网络流量进行访问控制。其中，控制系统30包括防火墙31和防火墙控制模块32。图1以防火墙控制模块为硬件模块，例如是独立的防火墙控制器进行示例说明。具体地，防火墙控制模块32接收网络流量，缓存所述网络流量中的多个报文。防火墙31接收对所述网络流量执行复制操作所得的旁路流量，对所述旁路流量中的报文进行检测，获得报文控制消息。然后防火墙控制模块32接收到所述防火墙发送的报文控制消息，对所述多个报文中的目标报文执行目标操作。该目标操作包括转发、丢弃或缓存。在一些实施例中，目标操作还可以包括修改。当报文控制消息指示修改报文时，报文控制消息还可以包括修改提示，以便于防火墙控制模块32按照该修改提示对目标报文进行修改。

相较于串联部署的防火墙，本申请将防火墙复杂的检测逻辑放到旁路部署。旁路部署的防护墙31将检测的结果实时生成带有报文标识信息的报文控制消息，并发送给防火墙控制模块32，防火墙控制模块32对每一个报文进行快速定位，根据控制消息对每一个报文进行访问控制，例如执行转发、缓存或丢弃等动作。

接下来，从控制系统30的角度，结合附图对本申请实施例的网络流量控制方法进行详细说明。

参见图2所示的网络流量控制方法的流程图，该方法包括：

S202：防火墙控制模块32接收网络流量，缓存网络流量中的多个报文。

具体地，防火墙控制模块32接收终端或服务器等设备接入网络产生的网络流量。该网络流量中包括多个报文。该报文可以是网际协议(Internet Protocol，IP)报文。防火墙控制模块32维护有缓存队列，当接收到多个报文时，可以将多个报文加入缓存队列，以实现缓存网络流量中的多个报文。

S204：防护墙31接收对网络流量执行复制操作所得的旁路流量，对旁路流量中的报文进行检测，获得报文控制消息。

旁路部署的防火墙31接收对网络流量执行端口镜像或者分光等操作所得的旁路流量，该旁路流量包括与上述网络流量相同的报文，防火墙31可以通过检测逻辑，对旁路流量中的报文进行检测。然后防火墙31可以根据检测的结果生成报文控制消息。

具体地，防火墙31可以根据对每个报文检测的结果以及该报文的报文标识信息生成报文控制数据块，然后根据该报文控制数据块生成报文控制消息。其中，报文标识信息用于唯一标识报文。在一些实施例中，报文标识信息包括源IP、目的IP和报文标识符(identifer，ID)如IP报文的IP ID。考虑到一些报文会进行分片，报文标识信息还可以包括分片偏移。基于此，报文标识信息可以包括上述四种信息形成的四元组。为了能够准确、高效地识别报文，报文标识信息还可以包括端口号，例如是源端口号、目的端口号中的至少一种。

在生成报文控制数据块时，防火墙31可以根据检测的结果确定报文控制信息，该报文控制信息用于指示对报文的控制操作。例如，检测的结果表征该报文为恶意报文，则报文控制信息可以是丢弃，用于指示丢弃报文。又例如，检测的结果表征该报文为非恶意报文，则报文控制信息可以是转发，用于指示转发报文。然后防火墙31根据报文标识信息和报文控制信息生成报文控制数据块。

考虑到传输开销，防火墙31可以将报文控制数据块加入消息队列，然后防火墙31可以将消息队列中的多个报文控制数据块打包生成报文控制消息。如此，可以实现一次传输多个报文控制数据块，减少传输开销。

需要说明的是，由于旁路流量为对网络流量实时复制获得，例如是通过交换机镜像得到，或者是通过分光器分光得到，因此上述S202和S204可以并行执行。

S206：防火墙控制模块32接收防火墙31发送的报文控制消息。

S208：防火墙控制模块32根据报文控制消息中的报文标识信息，从多个报文中确定目标报文。

具体地，报文标识信息可以为四元组，防火墙控制模块32可以根据四元组中的源IP、目的IP、IP ID或者分片偏移，从缓存队列的多个报文中快速定位出与该报文标识信息对应的目标报文。

S210：防火墙控制模块32根据报文控制消息中的报文控制信息，对目标报文执行目标操作。

当报文控制信息指示丢弃报文时，防火墙控制模块32对目标报文执行丢弃操作；当报文控制信息指示转发报文时，防火墙控制模块32对目标报文执行转发操作；当报文控制信息指示缓存报文时，防火墙控制模块32对目标报文执行缓存操作，例如可以延长目标报文的缓存时间。

上述S208至S210为防火墙控制模块32对所述多个报文中的目标报文执行目标操作的一种实现方式，在本申请实施例中，防火墙控制模块32也可以通过其他方式确定目标报文，并对目标报文执行目标操作。

基于上述内容描述，防护墙31采用旁路部署方式，并且与防火墙控制模块32并行，防火墙控制模块32不需要解析任何数据，而是旁路防火墙并行解析，如此使得防火墙控制模块32逻辑极其简单和稳定，降低了防火墙控制模块32对网络流量正常转发的影响，使得业务能够正常运行。并且，防火墙控制模块基于报文控制消息控制对应的报文转发，实现报文级别的访问控制，这种细粒度的访问控制提升了访问控制的效果。

在一些可能的实现方式中，多个报文包括相互关联的第一报文和第二报文。相互关联的报文可以组合进行检测，以确定是否包括有害内容。当防火墙31检测到第一报文和第二报文的组合包括有害内容时，可以确定第一报文和第二报文的报文控制信息为丢弃。防火墙31可以根据第一报文和第二报文的报文控制信息生成报文控制消息。相应地，防火墙控制模块32接收到报文控制消息，该报文控制消息包括第一报文的报文标识和报文控制信息以及第二报文的报文标识和报文控制信息，防护墙控制模块32可以根据上述报文控制信息丢弃第一报文和第二报文。

具体地，防火墙31可以先对第一报文的内容进行检测，当未检测到有害内容时，由于第一报文和第二报文具有关联性，因此，防火墙31可以根据检测的结果，确定第一报文的第一报文控制信息为缓存，以等待后续报文。防火墙31可以根据第一报文的报文标识信息和第一报文控制信息生成第一报文的报文控制数据块，进而根据该第一报文的报文控制数据块生成第一报文控制消息。防火墙控制模块32根据第一报文控制消息中第一报文的第一报文控制信息，缓存第一报文，例如是延长第一报文的缓存时间。

防火墙31对第二报文的内容进行检测。在检测时，防火墙31可以将第二报文的内容与第一报文的内容组合进行检测，以确定是否包括有害内容。若是，则根据检测的结果，确定第一报文的第二报文控制信息和第二报文的报文控制信息为丢弃；若否，则根据检测的结果，确定第一报文的第二报文控制信息和第二报文的报文控制信息为转发。防火墙31可以根据第一报文的报文标识信息和第二报文控制信息，生成第一报文的报文控制数据块，根据第二报文的报文标识信息和报文控制信息生成第二报文的报文控制数据块。然后防火墙31根据上述第一报文的报文控制数据块和第二报文的报文控制数据块生成第二报文控制消息。防火墙控制模块32根据第二报文控制消息中第一报文的第二报文控制信息和第二报文的报文控制信息，执行相应的操作。例如，第一报文的第二报文控制信息和第二报文的报文控制信息为转发时，则可以转发第一报文和第二报文。又例如，第一报文的第二报文控制信息和第二报文的报文控制信息为丢弃时，则可以丢弃第一报文和第二报文。

为了便于理解，本申请还提供一个示例，对网络流量中报文级别的访问控制进行说明。

参见图3所示的报文控制的流程示意图，该示例中包括4个报文，具体是4个传输控制协议(Transmission Control Protocol，TCP)报文，记作报文1、报文2、报文3和报文4。其中，报文2、报文3和报文4为相互关联的报文，例如是同一个数据流中的报文。假设报文1、报文2、报文3和报文4顺序到达防护墙31(即旁路防火墙)和防火墙控制模块32(例如防火墙控制器)。

防火墙31先对报文1进行检测，当检测的结果表征未检测到有害内容时，可以根据检测的结果确定报文1的报文控制信息为转发，也即对报文1放行。防火墙31根据报文1的报文标识信息和报文控制信息生成报文控制数据块，将该报文控制数据块携带在报文控制消息中，例如是图3所示的消息1中，发送至防火墙控制模块32。防火墙控制模块32根据该消息1中报文1的报文控制信息，转发报文1。

防火墙31接着对报文2、报文3进行检测，检测的结果表征未检测到有害内容时，由于报文2、报文3和报文4相互关联，因此，可以根据检测的结果，确定报文2、报文3的报文控制信息为缓存，以等待后续报文。防火墙31根据报文2的报文标识信息和报文控制信息生成报文2的报文控制数据块，根据报文3的报文标识信息和报文控制信息生成报文3的报文控制数据块。防火墙31将报文2和报文3的报文控制数据块携带在报文控制消息中，例如是图3所示的消息2中，发送至防火墙控制模块32。防火墙控制模块32根据该消息2中报文2、报文3的报文控制信息，缓存报文2和报文3，例如是延长报文2、报文3的缓存时间。需要说明，延长的时间可以大于默认的缓存时间，例如可以延长1秒。

防火墙31接着对报文4进行检测。由于报文4和报文2、3相互关联，防火墙31可以将报文2、报文3和报文4的内容进行组合，然后再进行检测。在该示例中，检测的结果表征检测到有害内容，则可以根据检测的结果确定报文2、报文3、报文4的报文控制信息为丢弃，即阻断报文2、报文3、报文4的转发。防火墙31根据报文2的报文标识信息和报文控制信息生成报文2的报文控制数据块，根据报文3的报文标识信息和报文控制信息生成报文3的报文控制数据块，根据报文4的报文标识信息和报文控制信息生成报文4的报文控制数据块。防火墙31将报文2、报文3和报文4的报文控制数据块携带在报文控制消息中，例如是图3所示的消息3中，发送至防火墙控制模块32。防火墙控制模块32根据该消息3中报文2、报文3、报文4的报文控制信息，丢弃报文2、报文3、报文4。

其中，上述网络流量来源于TCP连接，防火墙31也可以发送通过复位(reset，RST)报文来终结TCP连接，从而阻断报文2、报文3、报文4。

上述实施例描述了防火墙控制模块32接收到报文控制消息的情况，在一些可能的实现方式中，防火墙控制模块32在预设时间内容未接收到防火墙31发送的报文控制消息时，还可以基于预设的控制策略对多个报文进行控制。

其中，预设的报文控制策略包括多个控制策略，下面分别对不同控制策略进行说明。

第一种控制策略为，严格等待防火墙31的报文控制消息。未收到报文控制消息，则不执行转发或丢弃报文的操作。并且，设置一个超时机制，当缓存时间(或者缓存超时时间)达到预设阈值，则丢弃缓存的报文。

第二种控制策略为，当缓存队列中报文数量达到预设数量时，按先进先出顺序转发报文，保持缓存队列中报文数量不超过预设数量。

第三种控制策略为，当缓存时间(或者缓存超时时间)达到预设阈值，发送缓存的报文。其中，预设阈值可以根据防火墙31的处理时延设置。

其中，上述第一种控制策略适用于对安全性要求较高的业务场景，例如可以应用于内部网络业务；上述第二种控制策略、第三种控制策略适用于对稳定性要求较高的业务场景，例如可以应用于公共网络业务。

基于此，防火墙控制模块32可以在预设时间内容未接收到报文控制消息时，可以从网络流量中获取业务标识，然后防火墙控制模块32根据业务与控制策略的对应关系，从多个控制策略中确定所述业务标识所标识的业务对应的目标控制策略，接着防火墙控制模块32可以基于所述目标控制策略对所述多个报文进行控制。

上文结合附图对本申请实施例的网络流量控制方法进行了详细说明，接下来，结合附图，对本申请实施例的控制系统30进行介绍。

参见图1所示的控制系统30的结构示意图，该控制系统30包括：

防火墙控制模块32，用于接收网络流量，缓存所述网络流量中的多个报文；

防火墙31，用于接收对所述网络流量执行复制操作所得的旁路流量，对所述旁路流量中的报文进行检测，获得报文控制消息；

所述防火墙控制模块32，还用于接收到所述防火墙发送的报文控制消息，对所述多个报文中的目标报文执行目标操作，所述目标操作包括转发、丢弃或缓存。

所述防火墙控制模块32具体用于：

根据所述报文标识信息，从所述多个报文中确定目标报文；

根据所述报文控制信息，对所述目标报文执行目标操作。

所述防火墙控制模块32具体用于：

丢弃所述第一报文和所述第二报文。

在一些可能的实现方式中，所述报文控制消息包括第一报文控制消息和第二报文控制消息，所述报文控制消息包括第一报文控制消息和第二报文控制消息，所述第一报文控制消息包括所述第一报文的报文标识信息和第一报文控制信息，所述第一报文的第一报文控制信息指示缓存所述第一报文，所述第二报文控制消息包括所述第一报文的报文标识信息和第二报文控制信息以及所述第二报文的报文标识信息和报文控制信息，所述第一报文的第二报文控制信息和所述第二报文的报文控制信息指示丢弃所述报文；

所述防火墙控制模块32具体用于：

在一些可能的实现方式中，所述防火墙控制模块还用于：

从所述网络流量中获取业务标识；

基于所述目标控制策略对所述多个报文进行控制。

根据本申请实施例的控制系统30可对应于执行本申请实施例中描述的方法，并且控制系统30的各个组成部分的上述和其它操作和/或功能分别为了实现图2、图3所示实施例中的各个方法的相应流程，为了简洁，在此不再赘述。

本申请实施例还提供了一种防火墙31。该防火墙可以专用硬件，也可以是部署有相应软件的通用硬件，例如是主机等设备。下面结合附图，对防护墙31的硬件结构进行详细的说明。

图4提供了一种防护墙31的结构示意图，如图4所示，防护墙31包括总线311、处理器312、通信接口313和存储器314。处理器312、存储器314和通信接口313之间通过总线311通信。

总线311可以是外设部件互连标准(peripheral component interconnect，PCI)总线或扩展工业标准结构(extended industry standard architecture，EISA)总线等。总线可以分为地址总线、数据总线、控制总线等。为便于表示，图4中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

处理器312可以为中央处理器(central processing unit，CPU)、图形处理器(graphics processing unit，GPU)、微处理器(micro processor，MP)或者数字信号处理器(digital signal processor，DSP)等处理器中的任意一种或多种。

通信接口313用于与外部通信。例如，接收交换机对网络流量进行镜像所得的旁路流量，以及向防火墙控制模块32发送报文控制消息等等。

存储器314可以包括易失性存储器(volatile memory)，例如随机存取存储器(random access memory，RAM)。存储器314还可以包括非易失性存储器(non-volatile memory)，例如只读存储器(read-only memory，ROM)，快闪存储器，硬盘驱动器(hard disk drive，HDD)或固态驱动器(solid state drive，SSD)。

存储器314中存储有计算机可读指令，处理器312执行该计算机可读指令，以使防火墙31执行前述网络流量控制方法中由防火墙31执行的方法步骤。

在一些可能的实现方式中，防护墙31可以集成防火墙控制模块32，处理器312执行计算机可读指令，以使防火墙31还执行前述网络流量控制方法中由防火墙控制模块32执行的方法步骤。

本申请实施例还提供了一种防火墙控制模块32。该防火墙控制模块32可以是独立于防火墙31的硬件。下面结合附图，对防护墙控制模块32的硬件结构进行详细的说明。

图5提供了一种防护墙控制模块32的结构示意图，如图5所示，防护墙控制模块32包括总线321、处理器322、通信接口323和存储器324。处理器322、存储器324和通信接口323之间通过总线321通信。总线321、处理器322、通信接口323和存储器324的具体实现可以参见图4相关内容描述。

在该实施例中，存储器324中存储有计算机可读指令，处理器322执行该计算机可读指令，以使防火墙控制模块32执行前述网络流量控制方法中由防火墙控制模块32执行的方法步骤。

本申请实施例还提供了一种计算机可读存储介质。所述计算机可读存储介质可以是计算设备能够存储的任何可用介质或者是包含一个或多个可用介质的数据中心等数据存储设备。所述可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，DVD)、或者半导体介质(例如固态硬盘)等。该计算机可读存储介质包括指令，所述指令在防火墙31上运行时，使得防火墙31还执行前述网络流量控制方法中由防火墙31执行的方法步骤。

本申请实施例还提供了另一种计算机可读存储介质。该计算机可读存储介质包括指令，所述指令在防火墙控制模块32上运行时，使得防火墙控制模块32还执行前述网络流量控制方法中由防火墙控制模块32执行的方法步骤。

本申请实施例还提供了一种计算机程序产品。所述计算机程序产品包括一个或多个计算机指令。在防火墙31或防火墙控制模块32上加载和执行所述计算机指令时，全部或部分地产生按照本申请实施例所述的流程或功能。

所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机或数据中心进行传输。

所述计算机程序产品可以为一个软件安装包，在需要使用前述网络流量控制方法的任一方法的情况下，可以下载该计算机程序产品并在计算设备上执行该计算机程序产品。

上述各个附图对应的流程或结构的描述各有侧重，某个流程或结构中没有详述的部分，可以参见其他流程或结构的相关描述。

Claims

一种网络流量控制方法，其特征在于，应用于控制系统，所述控制系统包括防火墙和防火墙控制模块，所述方法包括：

所述防火墙控制模块接收网络流量，缓存所述网络流量中的多个报文，所述防火墙接收对所述网络流量执行复制操作所得的旁路流量，对所述旁路流量中的报文进行检测，获得报文控制消息；

所述防火墙控制模块接收到所述防火墙发送的报文控制消息，对所述多个报文中的目标报文执行目标操作，所述目标操作包括转发、丢弃或缓存。
根据权利要求1所述的方法，其特征在于，所述报文控制消息包括报文标识信息和报文控制信息；

所述对所述多个报文中的目标报文执行目标操作，包括：

根据所述报文标识信息，从所述多个报文中确定目标报文；

根据所述报文控制信息，对所述目标报文执行目标操作。
根据权利要求1所述的方法，其特征在于，所述多个报文包括相互关联的第一报文和第二报文；

所述报文控制消息包括所述第二报文的报文标识信息和报文控制信息，且所述第二报文的报文控制信息指示丢弃所述第二报文时，所述防火墙控制模块对所述多个报文中的目标报文执行目标操作，包括：

所述防火墙控制模块丢弃所述第一报文和所述第二报文。
根据权利要求3所述的方法，其特征在于，所述报文控制消息包括第一报文控制消息和第二报文控制消息，所述第一报文控制消息包括所述第一报文的报文标识信息和第一报文控制信息，所述第一报文的第一报文控制信息指示缓存所述第一报文，所述第二报文控制消息包括所述第一报文的报文标识信息和第二报文控制信息以及所述第二报文的报文标识信息和报文控制信息，所述第一报文的第二报文控制信息和所述第二报文的报文控制信息指示丢弃所述报文；

所述防火墙控制模块接收到所述防火墙发送的报文控制消息，对所述多个报文中的目标报文执行目标操作，包括：

所述防火墙控制模块接收到所述第一报文控制消息，延长所述第一报文的缓存时间；

所述防火墙控制模块接收到所述第二报文控制消息，丢弃所述第一报文和所述第二报文。
根据权利要求1至4任一项所述的方法，其特征在于，所述方法还包括：

所述防火墙控制模块预设时间内未接收到所述防火墙发送的报文控制消息时，基于预设的控制策略对所述多个报文进行控制。
根据权利要求5所述的方法，其特征在于，所述预设的控制策略包括多个控制策略，所述防火墙控制模块基于预设的控制策略对所述多个报文进行控制，包括：

所述防火墙控制模块从所述网络流量中获取业务标识；

所述防火墙控制模块根据业务与控制策略的对应关系，从所述多个控制策略中确定所述业务标识所标识的业务对应的目标控制策略；

所述防火墙控制模块基于所述目标控制策略对所述多个报文进行控制。
根据权利要求1至6任一项所述的方法，其特征在于，所述旁路流量通过分光器分光得到，或者通过交换机镜像得到。
一种控制系统，其特征在于，所述系统包括：

防火墙控制模块，用于接收网络流量，缓存所述网络流量中的多个报文；

防火墙，用于接收对所述网络流量执行复制操作所得的旁路流量，对所述旁路流量中的报文进行检测，获得报文控制消息；

所述防火墙控制模块，还用于接收到所述防火墙发送的报文控制消息，对所述多个报文中的目标报文执行目标操作，所述目标操作包括转发、丢弃或缓存。
根据权利要求8所述的系统，其特征在于，所述报文控制消息包括报文标识信息和报文控制信息；

所述防火墙控制模块具体用于：

根据所述报文标识信息，从所述多个报文中确定目标报文；

根据所述报文控制信息，对所述目标报文执行目标操作。
根据权利要求8所述的系统，其特征在于，所述多个报文包括相互关联的第一报文和第二报文；所述报文控制消息包括所述第二报文的报文标识信息和报文控制信息，且所述第二报文的报文控制信息指示丢弃所述第二报文；

所述防火墙控制模块具体用于：

丢弃所述第一报文和所述第二报文。
根据权利要求10所述的系统，其特征在于，所述报文控制消息包括第一报文控制消息和第二报文控制消息，所述第一报文控制消息包括所述第一报文的报文标识信息和第一报文控制信息，所述第一报文的第一报文控制信息指示缓存所述第一报文，所述第二报文控制消息包括所述第一报文的报文标识信息和第二报文控制信息以及所述第二报文的报文标识信息和报文控制信息，所述第一报文的第二报文控制信息和所述第二报文的报文控制信息指示丢弃所述报文；

所述防火墙控制模块具体用于：

接收到所述第一报文控制消息，延长所述第一报文的缓存时间；

接收到所述第二报文控制消息，丢弃所述第一报文和所述第二报文。
根据权利要求8至11任一项所述的系统，其特征在于，所述防火墙控制模块还用于：

预设时间内未接收到所述防火墙发送的报文控制消息时，基于预设的控制策略对所述多个报文进行控制。
根据权利要求12所述的系统，其特征在于，所述预设的控制策略包括多个控制策略，所述防火墙控制模块具体用于：

从所述网络流量中获取业务标识；

根据业务与控制策略的对应关系，从所述多个控制策略中确定所述业务标识所标识的业务对应的目标控制策略；

基于所述目标控制策略对所述多个报文进行控制。
根据权利要求8至13任一项所述的系统，其特征在于，所述旁路流量通过分光器分光得到，或者通过交换机镜像得到。
一种防火墙，其特征在于，所述防火墙包括处理器和存储器，所述存储器中存储有计算机可读指令，所述处理器执行所述计算机可读指令，使得所述防火墙执行如权利要求1至7任一项所述的由所述防火墙执行的方法步骤。
根据权利要求15所述的防火墙，其特征在于，所述防火墙还集成有防火墙控制模块，所述处理器还执行所述计算机可读指令，使得所述防火墙还执行如权利要求1至7任一项所述的由所述防火墙控制模块执行的方法步骤。
一种防火墙控制模块，其特征在于，所述防火墙控制模块包括处理器和存储器，所述存储器中存储有计算机可读指令，所述处理器执行所述计算机可读指令，使得所述防火墙控制模块执行如权利要求1至7任一项所述的由防火墙控制模块的方法步骤。
一种计算机可读存储介质，其特征在于，包括计算机可读指令，当所述计算机可读指令在防火墙上运行时，使得所述防火墙执行如权利要求1至7任一项所述的由所述防火墙执行的方法步骤。
一种计算机可读存储介质，其特征在于，包括计算机可读指令，当所述计算机可读指令在防火墙控制模块上运行时，使得所述防火墙控制模块执行如权利要求1至7任一项所述的由防火墙控制模块执行的方法步骤。
一种计算机程序产品，其特征在于，包括计算机可读指令，当所述计算机可读指令在防火墙上运行时，使得所述防火墙执行如权利要求1至7任一项所述的由所述防火墙执行的方法步骤。
一种计算机程序产品，其特征在于，包括计算机可读指令，当所述计算机可读指令在防火墙控制模块上运行时，使得所述防火墙控制模块执行如权利要求1至7任一项所述的由防火墙控制模块执行的方法步骤。