本申请提供一种流量转发方法、装置、电子设备及机器可读存储介质。在本申请中,基于所述网络设备的属于第一VLAN的第一端口,获取进入所述网络设备的目标流量;将所述目标流量经属于第一VLAN的第二端口转发至所述入侵防御设备的入端口;基于所述网络设备的属于第二VLAN的第三端口,接收来自所述入侵防御设备的、与所述入端口对应的出端口的经过安全处理的目标流量;将所述经过安全处理的目标流量,转发至所述目标流量对应的目标网络。实现了即使在旁路方式组网下,对恶意网络流量也能防御及阻断。
【技术实现步骤摘要】
流量转发方法、装置、电子设备及机器可读存储介质
本申请涉及通信以及安全
,尤其涉及流量转发方法、装置、电子设备及机器可读存储介质。
技术介绍
网络安全技术,是指任何保护的网络,以及网络中设备、数据的可用性和完整性的技术;其中,网络安全技术可以包括基于硬件和软件的安全技术。基于不同的网络安全策略以及组网部署,可以对网络中的报文流量执行对应不同的安全处理。例如:网络安全设备发现网络中的存在恶意流量的威胁,则针对该威胁,阻止此流量进入网络或在网络中传播。
技术实现思路
本申请提供一种流量转发方法,所述方法应用于入侵防御系统中的网络设备,所述入侵防御系统还包括入侵防御设备,其中,所述网络设备与所述入侵防御设备通过旁路方式相连通信,所述方法包括:基于所述网络设备的属于第一VLAN的第一端口,获取进入所述网络设备的目标流量;将所述目标流量经属于第一VLAN的第二端口转发至所述入侵防御设备的入端口;基于所述网络设备的属于第二VLAN的第三端口,接收来自所述入侵防御设备的、与所述入端口对应的出端口的经过安全处理的目标流量;将所述经过安全处理的目标流量,转发至所述目标流量对应的目标网络。可选的,所述基于所述网络设备的属于第二VLAN的第三端口,接收来自所述入侵防御设备的、与所述入端口对应的出端口的经过安全处理的目标流量,包括:基于数据链路层协议以及所述网络设备的属于第二VLAN的第三端口,接收来自所述入侵防御设备的、与所述入端口对应的出端口的经过安全处理的目标流量。可选的,所述基于所述网络设备的属于第二VLAN的第三端口,接收来自所述入侵防御设备的、与所述入端口对应的出端口的经过安全处理的目标流量,包括:基于网络层协议以及所述第二VLAN对应的VLAN虚接口地址,接收来自所述入侵防御设备的、与所述入端口对应的出端口的经过安全处理的目标流量。可选的,当所述入侵防御设备发送故障时,所述将所述经过安全处理的目标流量,转发至所述目标流量对应的目标网络,还包括:将所述第一端口从所述第一VLAN中删除;将所述第一端口加入到所述第二VLAN中;基于所述第一端口,将所述目标流量,转发至所述目标流量对应的目标网络。本申请还提供一种流量转发装置,所述装置应用于入侵防御系统中的网络设备,所述入侵防御系统还包括入侵防御设备,其中,所述网络设备与所述入侵防御设备通过旁路方式相连通信,所述装置包括:接收模块,基于所述网络设备的属于第一VLAN的第一端口,获取进入所述网络设备的目标流量;转发模块,将所述目标流量经属于第一VLAN的第二端口转发至所述入侵防御设备的入端口;所述接收模块进一步,基于所述网络设备的属于第二VLAN的第三端口,接收来自所述入侵防御设备的、与所述入端口对应的出端口的经过安全处理的目标流量;所述转发模块进一步,将所述经过安全处理的目标流量,转发至所述目标流量对应的目标网络。可选的,所述接收模块进一步:基于数据链路层协议以及所述网络设备的属于第二VLAN的第三端口,接收来自所述入侵防御设备的、与所述入端口对应的出端口的经过安全处理的目标流量。可选的,所述接收模块进一步:基于网络层协议以及所述第二VLAN对应的VLAN虚接口地址,接收来自所述入侵防御设备的、与所述入端口对应的出端口的经过安全处理的目标流量。可选的,当所述入侵防御设备发送故障时,所述转发模块进一步:将所述第一端口从所述第一VLAN中删除;将所述第一端口加入到所述第二VLAN中;基于所述第一端口,将所述目标流量,转发至所述目标流量对应的目标网络。本申请还提供一种电子设备,包括通信接口、处理器、存储器和总线,所述通信接口、所述处理器和所述存储器之间通过总线相互连接;所述存储器中存储机器可读指令,所述处理器通过调用所述机器可读指令,执行上述的方法。本申请还提供一种机器可读存储介质,所述机器可读存储介质存储有机器可读指令,所述机器可读指令在被处理器调用和执行时,实现上述方法。通过以上实施例,由于网络设备与入侵防御设备通过旁路方式相连组成入侵防御系统,由网络设备基于不同VLAN以及属于不同VLAN的端口,将网络流量转发至所述入侵防御设备,并获取经由所述入侵防御设备安全处理后的网络流量,将其转发至对应目的;因此,实现了即使在旁路方式组网下,对恶意网络流量也能防御及阻断。附图说明图1是一示例性实施例提供的一种入侵防御系统的组网图;图2是一示例性实施例提供的一种流量转发方法的流程图;图3是一示例性实施例提供的另一种入侵防御系统的组网图;图4是一示例性实施例提供的一种流量转发装置的框图;图5是一示例性实施例提供的一种电子设备的硬件结构图。具体实施方式这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。为了使本
的人员更好地理解本申请实施例中的技术方案,下面先对本申请实施例涉及的流量转发的相关技术,进行简要说明。请参见图1,图1是本说明书一实施例提供的一种入侵防御系统的组网图。如图1所示的入侵防御系统组网,包括:网络设备、入侵防御设备、私网、公网;其中,私网中设备经过网络设备以及入侵防御设备与公网中的设备进行通信。例如:私网中的设备将要发送到公网的目标流量,经过网络设备转发至入侵防御设备;再由入侵防御设备进行安全处理后,转发至目标流量对应的公网中的设备。又例如:公网中的设备将要发送到私网的目标流量,经过入侵防御设备进行安全处理后;再由经过入侵防御设备转发至网络设备;转发至目标流量对应的私网中的设备。如图1所示的入侵防御系统组网,网络设备与入侵防御设备的连接方式为串联方式。也即目标流量是一定经过入侵防御设备的,所以入侵防御设备可以对该目标流量执行安全处理。例如:入侵防御设备可以对恶意的目标流量执行阻断;而对正常的目标流量允许通过。而本申请旨在提出一种,基于网络设备与入侵防御设备旁路连接的组网,网络设备通过对目标流量对应的出入端口以及对应VLAN执行控制,从而实现对由入侵防御设备执行安全处理后的目标流量进行转发的技术方案。在实现时,网络设备与入侵防御设备通过旁路方式相连通信;网络设备基于所述网络设备的属于第一VLAN的第一端口,获取进入所述网络设备的目标流量;将所述目标流量经属于第一VLAN的第二端口转发至所述入侵防御设备的本文档来自技高网...
【技术保护点】
1.一种流量转发方法,其特征在于,所述方法应用于入侵防御系统中的网络设备,所述入侵防御系统还包括入侵防御设备,其中,所述网络设备与所述入侵防御设备通过旁路方式相连通信,所述方法包括:基于所述网络设备的属于第一VLAN的第一端口,获取进入所述网络设备的目标流量;将所述目标流量经属于第一VLAN的第二端口转发至所述入侵防御设备的入端口;基于所述网络设备的属于第二VLAN的第三端口,接收来自所述入侵防御设备的、与所述入端口对应的出端口的经过安全处理的目标流量;将所述经过安全处理的目标流量,转发至所述目标流量对应的目标网络。
【技术特征摘要】
1.一种流量转发方法,其特征在于,所述方法应用于入侵防御系统中的网络设备,所述入侵防御系统还包括入侵防御设备,其中,所述网络设备与所述入侵防御设备通过旁路方式相连通信,所述方法包括:基于所述网络设备的属于第一VLAN的第一端口,获取进入所述网络设备的目标流量;将所述目标流量经属于第一VLAN的第二端口转发至所述入侵防御设备的入端口;基于所述网络设备的属于第二VLAN的第三端口,接收来自所述入侵防御设备的、与所述入端口对应的出端口的经过安全处理的目标流量;将所述经过安全处理的目标流量,转发至所述目标流量对应的目标网络。2.根据权利要求1所述的方法,其特征在于,所述基于所述网络设备的属于第二VLAN的第三端口,接收来自所述入侵防御设备的、与所述入端口对应的出端口的经过安全处理的目标流量,包括:基于数据链路层协议以及所述网络设备的属于第二VLAN的第三端口,接收来自所述入侵防御设备的、与所述入端口对应的出端口的经过安全处理的目标流量。3.根据权利要求1所述的方法,其特征在于,所述基于所述网络设备的属于第二VLAN的第三端口,接收来自所述入侵防御设备的、与所述入端口对应的出端口的经过安全处理的目标流量,包括:基于网络层协议以及所述第二VLAN对应的VLAN虚接口地址,接收来自所述入侵防御设备的、与所述入端口对应的出端口的经过安全处理的目标流量。4.根据权利要求1所述的方法,其特征在于,当所述入侵防御设备发送故障时,所述将所述经过安全处理的目标流量,转发至所述目标流量对应的目标网络,还包括:将所述第一端口从所述第一VLAN中删除;将所述第一端口加入到所述第二VLAN中;基于所述第一端口,将所述目标流量,转发至所述目标流量对应的目标网络。5.一种流量转发装置,其特征在于,所述装置应用于入侵防御系统中的网络设备,所述入...
【专利技术属性】
技术研发人员:俞军宝,
申请(专利权)人:杭州迪普科技股份有限公司,
类型:发明
国别省市:浙江,33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。