流量控制方法及设备技术

本发明专利技术公开了一种流量控制方法及设备，属于网络技术领域。该方法包括：基于存储的多个地址信息分别所属主机的属性信息，将多个地址信息划分为至少两个安全组；对至少两个安全组进行校验处理，使校验处理后级别高的安全组可完全包含级别低的安全组且属于同一级别的安全组之间完全独立不重叠；接收策略配置指令；基于策略配置指令，配置指定规则，以及配置指定规则的存储顺序，指定规则为待配置的至少两个规则中的任一规则；在至少两个规则配置完成之后，接收数据报文；基于至少两个规则和至少两个规则的存储顺序，对该数据报文进行处理，以实现流量控制。本发明专利技术可以避免冗余规则和无效规则的出现，减少规则匹配时间，提高流量控制准确性和效率。

【技术实现步骤摘要】

本专利技术涉及网络
，特别涉及一种流量控制方法及设备。
技术介绍
随着网络技术的快速发展，基于网络的应用越来越多且越来越复杂，通过这些应用进行网络通信时，不可避免地会出现一些安全问题，比如，当非授权用户访问一些具有保密性的网络资源时，会造成网络资源的泄密，因此，为了保障网络安全性，需要对网络中传输的数据报文进行流量控制。目前，基本都是通过访问控制列表(英文：AccessControlList；简称：ACL)来进行流量控制。而通过ACL进行流量控制之前，管理员需要手动配置多条规则和该多条规则在ACL中的存储顺序，每条规则均由匹配条件和动作指示符组成。匹配条件可以包括源地址信息、目的地址信息和协议类型，源地址信息可以包括源互联网协议(英文：InternetProtocol；简称：IP)地址、源端口号等，目的地址信息可以包括目的IP地址、目的端口号等。之后，以交换机或路由器等为例的报文交换设备可以基于管理员配置的多条规则进行流量控制，具体为：报文交换设备接收数据报文；报文交换设备将该数据报文中携带的源地址信息、目的地址信息和协议类型，依次与ACL中的规则进行比较，如果确认当前比较的规则与数据报文中携带的源地址信息、目的地址信息和协议类型相同，则确定匹配到目标规则，按照该目标规则中的动作指示符对该数据报文进行处理，否则继续与ACL中的下一条规则进行比较，从而实现流量控制。专利技术人发现现有技术至少存在以下问题：由于该多条规则和该多条规则的存储顺序都是由管理员手动进行配置，而随着管理员对规则的不断更新，在该多条规则中可能会出现冗余规则和无效规则的现象，从而降低流量控制的准确性。冗余规则是指在该多条规则中会存在至少两条规则所匹配的流量相同且动作指示符也相同的现象。无效规则是指该多条规则中会存在至少两条规则所匹配的流量相同，但动作指示符不同，且流量范围较大的规则的存储顺序在流量范围较小的规则之前，这样导致顺序在后的规则不会被匹配到，其中，流量范围为匹配条件所覆盖的范围。
技术实现思路
为了解决现有技术的问题，本专利技术实施例提供了一种流量控制方法及设备。所述技术方案如下：第一方面，提供了一种流量控制方法，所述方法包括：基于存储的多个地址信息分别所属主机的属性信息，将所述多个地址信息划分为至少两个安全组，所述属性信息包括业务类型或者安全等级；对所述至少两个安全组进行校验处理，使校验处理后的安全组中级别高的安全组可完全包含级别低的安全组且属于同一级别的安全组之间完全独立不重叠，所述级别用于指示安全组为父组、子组还是独立的安全组；接收策略配置指令，所述策略配置指令中携带指定源组、指定目的组和指定动作指示符，所述指定源组和所述指定目的组为所述校验处理后的安全组中的两个不同的安全组；基于所述策略配置指令，配置指定规则，以及配置所述指定规则的存储顺序，所述指定规则为待配置的至少两个规则中的任一规则；在所述至少两个规则配置完成之后，接收数据报文，所述数据报文中携带源地址信息和目的地址信息；基于所述至少两个规则和所述至少两个规则的存储顺序，对所述数据报文进行处理，以实现流量控制。结合第一方面，在上述第一方面的第一种可能的实现方式中，所述对所述至少两个安全组进行校验处理，包括：判断第一安全组与多个第二安全组之间是存在包含关系还是重叠关系，所述第一安全组为所述至少两个安全组中未进行校验处理的安全组，所述多个第二安全组为所述至少两个安全组中已进行校验处理后的安全组，所述包含关系是指所述第一安全组为所述第二安全组的子集，或者所述第二安全组为所述第一安全组的子集，所述重叠关系是指所述第一安全组和所述第二安全组之间存在交集且所述第一安全组和所述第二安全组不相等；如果所述第一安全组与所述多个第二安全组中的至少两个第二安全组之间存在包含关系，则从所述至少两个第二安全组中，确定一个安全组作为第三安全组；显示第一确认提示信息，所述第一确认提示信息用于提示管理员对所述第一安全组与所述第三安全组之间的包含关系进行处理；如果基于所述第一确认提示信息接收到第一处理指令，则基于所述第一处理指令，对所述第一安全组和所述第三安全组进行包含关系处理。结合第一方面的第一种可能的实现方式，在上述第一方面的第二种可能的实现方式中，所述从所述至少两个第二安全组中，确定一个安全组作为第三安全组，包括：如果所述第一安全组被所述至少两个第二安全组中的所有安全组所包含，则从所述至少两个第二安全组中，选择地址范围最小的安全组；如果所述第一安全组包含所述至少两个第二安全组中的所有安全组，则从所述至少两个第二安全组组中，选择地址范围最大的安全组；如果所述第一安全组被所述至少两个第二安全组中的至少一个第二安全组所包含且所述第一安全组还包含所述至少两个第二安全组中剩余的第二安全组，则从所述至少一个第二安全组中选择地址范围最小的安全组，或者从所述剩余的第二安全组中选择地址范围最大的安全组；将选择的安全组确定为所述第三安全组。结合第一方面的第一种可能的实现方式或者第一方面的第二种可能的实现方式，在上述第一方面的第三种可能的实现方式中，所述基于所述第一处理指令，对所述第一安全组和所述第三安全组进行包含关系处理，包括：将所述第一安全组和所述第三安全组中地址范围大的安全组确定为第四安全组，并将所述第一安全组和所述第三安全组中地址范围小的安全组确定为第五安全组；如果所述第一处理指令为第一分裂指令，则将所述第四安全组中与所述第五安全组相同的地址信息去除，得到第一子安全组；如果所述第一处理指令为继承指令，则设置所述第五安全组为次级安全组，并设置所述第五安全组为所述第四安全组的子组，所述次级安全组为与所述校验处理后的安全组中的其他安全组之间存在包含关系的安全组。结合第一方面的第一种可能的实现方式，在上述第一方面的第四种可能的实现方式中，所述判断第一安全组与多个第二安全组之间是存在包含关系还是重叠关系之后，还包括：如果所述第一安全组与所述多个第二安全组中的至少两个第二安全组之间存在重叠关系，则从所述至少两个第二安全组中，选择一个安全组作为第六安全组；显示第二确认提示信息，所述第二确认提示信息用于提示所述管理员对所述第一安全组与所述第六安全组之间的重叠关系进行处理；如果基于所述第二确认提示信息接收到第二处理指令，则基于所述第二处理指令，对所述第一安全组和所述第六安全组进行重叠关系处理。结合第一方面的第四种可能的实现方式，在上述第一方面的第五种可能的实现方式中，所述基于所述第二处理指令，对所述第一安全组和所述第六安全组进行重叠关系处理，包括：如果所述第二处理指令为保留旧组指令，则将所述第一安全组中与所述第六安全组相同的地址信息划分为第二子安全组，将所述第一安全组中除所述第二子安全组之外剩余的地址信息划分为第三子安全组；将所述第二子安全组设置为次级安全组，并设置所述第二子安全组为所述第六安全组的子组。结合第一方面的第四种可能的实现方式，在上述第一方面的第六种可能的实现方式中，所述基于所述第二处理指令，对所述第一安全组和所述第六安全组进行重叠关系处理，包括：如果所述第二处理指令为保留新组指令，则将所述第六安全组中与所述第一安全组相同的地址信息划分为第四子安全组，将所本文档来自技高网...

【技术保护点】
一种流量控制方法，其特征在于，所述方法包括：基于存储的多个地址信息分别所属主机的属性信息，将所述多个地址信息划分为至少两个安全组，所述属性信息包括业务类型或者安全等级；对所述至少两个安全组进行校验处理，使校验处理后的安全组中级别高的安全组可完全包含级别低的安全组且属于同一级别的安全组之间完全独立不重叠，所述级别用于指示安全组为父组、子组还是独立的安全组；接收策略配置指令，所述策略配置指令中携带指定源组、指定目的组和指定动作指示符，所述指定源组和所述指定目的组为所述校验处理后的安全组中的两个不同的安全组；基于所述策略配置指令，配置指定规则，以及配置所述指定规则的存储顺序，所述指定规则为待配置的至少两个规则中的任一规则；在所述至少两个规则配置完成之后，接收数据报文，所述数据报文中携带源地址信息和目的地址信息；基于所述至少两个规则和所述至少两个规则的存储顺序，对所述数据报文进行处理，以实现流量控制。

【技术特征摘要】
1.一种流量控制方法，其特征在于，所述方法包括：基于存储的多个地址信息分别所属主机的属性信息，将所述多个地址信息划分为至少两个安全组，所述属性信息包括业务类型或者安全等级；对所述至少两个安全组进行校验处理，使校验处理后的安全组中级别高的安全组可完全包含级别低的安全组且属于同一级别的安全组之间完全独立不重叠，所述级别用于指示安全组为父组、子组还是独立的安全组；接收策略配置指令，所述策略配置指令中携带指定源组、指定目的组和指定动作指示符，所述指定源组和所述指定目的组为所述校验处理后的安全组中的两个不同的安全组；基于所述策略配置指令，配置指定规则，以及配置所述指定规则的存储顺序，所述指定规则为待配置的至少两个规则中的任一规则；在所述至少两个规则配置完成之后，接收数据报文，所述数据报文中携带源地址信息和目的地址信息；基于所述至少两个规则和所述至少两个规则的存储顺序，对所述数据报文进行处理，以实现流量控制。2.如权利要求1所述的方法，其特征在于，所述对所述至少两个安全组进行校验处理，包括：判断第一安全组与多个第二安全组之间是存在包含关系还是重叠关系，所述第一安全组为所述至少两个安全组中未进行校验处理的安全组，所述多个第二安全组为所述至少两个安全组中已进行校验处理后的安全组，所述包含关系是指所述第一安全组为所述第二安全组的子集，或者所述第二安全组为所述第一安全组的子集，所述重叠关系是指所述第一安全组和所述第二安全组之间存在交集且所述第一安全组和所述第二安全组不相等；如果所述第一安全组与所述多个第二安全组中的至少两个第二安全组之间存在包含关系，则从所述至少两个第二安全组中，确定一个安全组作为第三安全组；显示第一确认提示信息，所述第一确认提示信息用于提示管理员对所述第
\t一安全组与所述第三安全组之间的包含关系进行处理；如果基于所述第一确认提示信息接收到第一处理指令，则基于所述第一处理指令，对所述第一安全组和所述第三安全组进行包含关系处理。3.如权利要求2所述的方法，其特征在于，所述从所述至少两个第二安全组中，确定一个安全组作为第三安全组，包括：如果所述第一安全组被所述至少两个第二安全组中的所有安全组所包含，则从所述至少两个第二安全组中，选择地址范围最小的安全组；如果所述第一安全组包含所述至少两个第二安全组中的所有安全组，则从所述至少两个第二安全组组中，选择地址范围最大的安全组；如果所述第一安全组被所述至少两个第二安全组中的至少一个第二安全组所包含且所述第一安全组还包含所述至少两个第二安全组中剩余的第二安全组，则从所述至少一个第二安全组中选择地址范围最小的安全组，或者从所述剩余的第二安全组中选择地址范围最大的安全组；将选择的安全组确定为所述第三安全组。4.如权利要求2或3所述的方法，其特征在于，所述基于所述第一处理指令，对所述第一安全组和所述第三安全组进行包含关系处理，包括：将所述第一安全组和所述第三安全组中地址范围大的安全组确定为第四安全组，并将所述第一安全组和所述第三安全组中地址范围小的安全组确定为第五安全组；如果所述第一处理指令为第一分裂指令，则将所述第四安全组中与所述第五安全组相同的地址信息去除，得到第一子安全组；如果所述第一处理指令为继承指令，则设置所述第五安全组为次级安全组，并设置所述第五安全组为所述第四安全组的子组，所述次级安全组为与所述校验处理后的安全组中的其他安全组之间存在包含关系的安全组。5.如权利要求2所述的方法，其特征在于，所述判断第一安全组与多个第二安全组之间是存在包含关系还是重叠关系之后，还包括：如果所述第一安全组与所述多个第二安全组中的至少两个第二安全组之间
\t存在重叠关系，则从所述至少两个第二安全组中，选择一个安全组作为第六安全组；显示第二确认提示信息，所述第二确认提示信息用于提示所述管理员对所述第一安全组与所述第六安全组之间的重叠关系进行处理；如果基于所述第二确认提示信息接收到第二处理指令，则基于所述第二处理指令，对所述第一安全组和所述第六安全组进行重叠关系处理。6.如权利要求5所述的方法，其特征在于，所述基于所述第二处理指令，对所述第一安全组和所述第六安全组进行重叠关系处理，包括：如果所述第二处理指令为保留旧组指令，则将所述第一安全组中与所述第六安全组相同的地址信息划分为第二子安全组，将所述第一安全组中除所述第二子安全组之外剩余的地址信息划分为第三子安全组；将所述第二子安全组设置为次级安全组，并设置所述第二子安全组为所述第六安全组的子组。7.如权利要求5所述的方法，其特征在于，所述基于所述第二处理指令，对所述第一安全组和所述第六安全组进行重叠关系处理，包括：如果所述第二处理指令为保留新组指令，则将所述第六安全组中与所述第一安全组相同的地址信息划分为第四子安全组，将所述第六安全组中除所述第四子安全组之外剩余的地址信息划分为第五子安全组；将所述第四子安全组设置为次级安全组，并设置所述第四子安全组为所述第一安全组的子组。8.如权利要求5所述的方法，其特征在于，所述基于所述第二处理指令，对所述第一安全组和所述第六安全组进行重叠关系处理，包括：如果所述第二处理指令为第二分裂指令，则将所述第一安全组和所述第六安全组中相同的地址信息、所述第一安全组中除与所述第六安全组相同的地址信息之外剩余的地址信息和所述第六安全组中除与所述第一安全组相同的地址信息之外剩余的地址信息分别划分为三个安全组。9.如权利要求1-8任一权利要求所述的方法，其特征在于，所述基于所述策略配置指令，配置指定规则，包括：如果所述指定源组与所述指定目的组均为一级安全组，则基于所述指定源组、所述指定目的组和所述指定动作指示符，配置所述指定规则，所述一级安全组为与所述校验处理后的安全组中的其他安全组之间不存在包含关系且不存在重叠关系的独立安全组。10.如权利要求1-8任一权利要求所述的方法，其特征在于，所述基于所述策略配置指令，配置所述指定规则，以及配置所述指定规则的存储顺序，包括：如果所述指定源组或者所述指定目的组为次级安全组，则判断是否已配置第一规则，所述第一规则为所述指定源组的父组与所述指定目的组之间的规则、所述指定源组与所述指定目的组的父组之间的规则、或者所述指定源组的父组与所述指定目的组的父组之间的规则；如果已配置所述第一规则，则判断所述指定动作指示符与所述第一规则包括的动作指示符是否相同；如果所述指定动作指示符与所述第一规则包括的动作指示符相同，则禁止配置所述指定规则。11.如权利要求10所述的方法，其特征在于，所述判断所述指定动作指示符与所述第一规则包括的动作指示符是否相同之后，还包括：如果所述指定动作指示符与所述第一规则包括的动作指示符冲突，则基于所述指定源组、所述指定目的组和所述指定动作指示符，配置所述指定规则；设置所述指定规则的存储顺序位于所述第一规则之前。12.如权利要求10或11所述的方法，其特征在于，所述禁止配置所述指定规则之后，还包括：显示禁止配置提示信息，以提示所述管理员禁止配置所述指定规则且所述指定规则为冗余规则。13.如权利要求1-8任一权利要求所述的方法，其特征在于，所述基于所述
\t策略配置指令，配置所述指定规则，以及配置所述指定规则的存储顺序，包括：如果所述指定源组为次级安全组且所述指定目的组为第七安全组的父组，或者所述指定源组为第八安全组的父组且所述指定目的组为次级安全组，则判断是否已配置第二规则，当所述指定源组为次级安全组且所述指定目的组为第七安全组的父组时，所述第二规则为所述指定源组的父组与所述指定目的组之间的规则、或者所述指定源组与所述第七安全组之间的规则；当所述指定源组为第八安全组的父组且所述指定目的组为次级安全组时，所述第二规则为所述指定源组与所述指定目的组之间的规则、或者所述第八安全组与所述指定目的组的父组之间的规则，所述第七安全组和所述第八安全组为所述校验处理后的安全组中的任一安全组；如果已配置所述第二规则，则判断所述指定动作指示符与所述第二规则包括的动作指示符是否相同；如果所述指定动作指示符与所述第二规则包括的动作指示符相同，则基于所述指定源组、所述指定目的组和所述指定动作指示符，配置所述指定规则。14.如权利要求13所述的方法，其特征在于，所述判断所述指定动作指示符与所述第二规则包括的动作指示符是否相同之后，还包括：如果所述指定动作指示符与所述第二规则包括的动作指示符冲突，则显示策略冲突提示信息，以提示所述管理员设置所述指定规则和所述第二规则的存储顺序；当接收到所述管理员的排序操作时，基于所述排序操作，设置所述指定规则与所述第二规则的存储顺序。15.一种流量控制装置，其特征在于，所述装置包括：划分模块，用于基于存储的多个地址信息分别所属主机的属性信息，将所述...

【专利技术属性】
技术研发人员：吴平，黄正全，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：广东;44