流量处理方法、装置及系统、防火墙和服务器制造方法及图纸

本申请提供一种流量处理方法、装置及系统、防火墙和服务器，用以解决现有技术中防火墙无法满足日益增加的规则数量需求，该流量处理方法包括：接收源路由器发送的流量；判断所述源路由器发送的流量是否命中部署的热点规则，若是，对所述流量进行本地处理；若否，将所述流量发送给服务器；其中，所述热点规则包括预设时间内统计的规则命中次数排名大于预设值的规则；接收所述服务器返回的命中白名单规则的流量；将所述服务器返回的流量发送给目的路由器。

【技术实现步骤摘要】
流量处理方法、装置及系统、防火墙和服务器
本申请涉及网络
，尤其涉及一种流量处理方法、装置及系统、防火墙和服务器。
技术介绍
随着网络用户的数量不断增加，网络安全成为当前应用过程中的重要课题。而防火墙由于具有转发、路由功能，可以部署大量策略和访问控制列表，还可以对内部和外部流量进行过滤，因此具有较强的安全性，被广泛应用于互联网。目前，防火墙一般通过白名单、黑名单以及包过滤技术(或者说通过特定的规则)，对输入或输出流量的IP进行精确和模糊匹配，从而达到访问控制的目的。然而随着网络规模日益增加，部署的安全策略数量也与日俱增(即需部署的规则数量增加)，而防火墙中所能部署的规则数量有限，从而无法满足日益增加的规则数量需求。
技术实现思路
有鉴于此，本申请实施例提供了一种流量处理方法、装置及系统、防火墙和服务器，用以解决现有技术中防火墙无法满足日益增加的规则数量需求。第一方面，本申请实施例提供了一种流量处理方法，所述方法包括：接收源路由器发送的流量；判断所述源路由器发送的流量是否命中部署的热点规则，若是，对所述流量进行本地处理；若否，将所述流量发送给服务器；其中，所述热点规则包括预设时间内统计的规则命中次数排名大于预设值的规则；接收所述服务器返回的命中其白名单规则的流量；将所述服务器返回的流量发送给目的路由器。上述方法，通过接收源路由器发送的流量，然后判断源路由器发送的流量是否命中部署的热点规则，若是，对该流量进行本地处理，若否，将该流量发送给服务器，之后接收服务器返回的命中其白名单规则的流量，并将该服务器返回的流量发送给目的路由器，由于在流量处理的过程中，防火墙中部署热点规则，可以处理大部分的流量，充分利用了防火墙能够处理大流量的属性，并且流量分两级进行处理，因此，相比于现有技术，还可以将规则部署到服务器中，因而可以增加部署的规则数量，从而解决了现有技术中防火墙无法满足日益增加的规则数量需求。在一可能的实现方式中，所述部署的热点规则包括：白名单规则和黑名单规则；所述对所述流量进行本地处理，包括：如果命中白名单规则，将所述流量发送给目的路由器；如果命中黑名单规则，将所述流量丢弃。该方法中，如果源路由器发送的流量命中白名单规则，将该流量发送给目的路由器，如果源路由器发送的流量命中黑名单规则，将该流量丢弃，因此，在防火墙侧就能处理该流量。在一可能的实现方式中，在部署热点规则之前，该方法还包括：将所述源路由器发送的所有流量发送给所述服务器；接收所述服务器发送的热点规则；将所述热点规则作为初始部署的热点规则。该方法中，在系统初始化阶段(即在部署热点规则之前)，将源路由器发送的所有流量发送给服务器，然后接收服务器发送的热点规则，并将该热点规则作为初始部署的热点规则，这样防火墙就能获得初始部署的热点规则。在一可能的实现方式中，在将未命中热点规则的流量发送给服务器之后，该方法还包括：接收所述服务器发送的热点规则；基于所述热点规则更新当前部署的热点规则。该方法中，通过不断更新部署的热点规则，可以使得热点规则更加精确，因此防火墙可以处理尽可能多的流量，从而提高系统的工作效率。第二方面，本申请实施例还提供了一种流量处理方法，所述方法包括：接收防火墙发送的未命中热点规则的流量；其中，所述热点规则包括预设时间内统计的规则命中次数排名大于预设值的规则；判断所述流量是否命中部署的规则中的白名单规则，若是，将所述流量返回给所述防火墙；其中，所述部署的规则包括：白名单规则和黑名单规则。上述方法，通过接收防火墙发送的未命中热点规则的流量，然后判断该流量是否命中部署的规则中的白名单规则，若是，将该流量返回给防火墙，之后由防火墙将其转发给目的路由器，由于在流量处理的过程中，未命中防火墙中部署的热点规则的流量还可以由服务器中部署的规则进行处理，因此，相比于现有技术，还可以将规则部署到服务器中，因而可以增加部署的规则数量，从而解决了现有技术中防火墙无法满足日益增加的规则数量需求。在一可能的实现方式中，该方法还包括：统计预设时间内各规则的命中次数；基于所述各规则的命中次数确定下发的热点规则；将所述热点规则发送给所述防火墙。该方法中，通过统计预设时间内各规则的命中次数，然后基于各规则的命中次数确定下发的热点规则并发送给防火墙，这样防火墙就可以基于接收到的热点规则处理大部分的流量，只有小部分的流量需要服务器处理，因此可以提高系统的工作效率。在一可能的实现方式中，所述基于所述各规则的命中次数确定下发的热点规则，包括：基于所述各规则的命中次数对部署的规则进行排名，并将排名大于第一预设值的规则作为下发的热点规则。该方法中，将排名大于第一预设值的规则作为下发的热点规则，这样防火墙就可以基于该热点规则处理大部分的流量，只有小部分的流量需要服务器处理，因此可以提高系统的工作效率。在一可能的实现方式中，所述基于所述各规则的命中次数确定下发的热点规则，包括：基于所述各规则的命中次数对部署的规则进行排名，并将排名大于第一预设值的规则作为当前热点规则；将当前热点规则与前一次下发的热点规则按命中次数进行排名，并将排名大于第二预设值的规则作为当前下发的热点规则。该方法中，将排名大于第一预设值的规则作为当前热点规则，然后将当前热点规则与前一次下发的热点规则按命中次数进行排名，并将排名大于第二预设值的规则作为当前下发的热点规则，这样确定的热点规则更加精确，因此可以处理尽可能多的流量，从而提高系统的工作效率。在一可能的实现方式中，所述将所述热点规则发送给所述防火墙，包括：通过openflow协议将所述热点规则发送给所述防火墙。该方法中，通过openflow协议将热点规则发送给防火墙，这样防火墙就可以基于接收到的热点规则处理大部分的流量，只有小部分的流量需要服务器处理，因此可以提高系统的工作效率。第三方面，本申请实施例还提供了一种流量处理装置，包括用于执行第一方面或第一方面的任意可能的实现方式中的流量处理方法的模块。第四方面，本申请实施例还提供了包括用于执行第二方面或第二方面的任意可能的实现方式中的流量处理方法的模块。第五方面，本申请实施例还提供了一种防火墙，处理器；用于存储处理器可执行指令的存储器；其中，所述处理器用于：接收源路由器发送的流量；判断所述源路由器发送的流量是否命中部署的热点规则，若是，对所述流量进行本地处理；若否，将所述流量发送给服务器；其中，所述热点规则包括预设时间内统计的规则命中次数排名大于预设值的规则；接收所述服务器返回的命中其白名单规则的流量；将所述服务器返回的流量发送给目的路由器。第六方面，本申请实施例还提供了一种服务器，包括：处理器；用于存储处理器可执行指令的存储器；其中，所述处理器用于：接收防火墙发送的未命中热点规则的流量；其中，所述热点规则包括预设时间内统计的规则命中次数排名大于预设值的规则；判断所述流量是否命中部署的规则中的白名单规则，若是，将所述流量返回给所述防火墙；其中，所述部署的规则包括：白名单规则和黑名单规则。第七方面，本申请实施例还提供了一种流量处理系统，该系统包括：源路由器、目的路由器、本申请任意实施例提供的防火墙和本申请任意实施例提供的服务器；所述防火墙与所述源路由器、所述目的路由器和所述服务器连接。附图说明图1为本申请实施例本文档来自技高网...

【技术保护点】
1.一种流量处理方法，其特征在于，所述方法包括：接收源路由器发送的流量；判断所述源路由器发送的流量是否命中部署的热点规则，若是，对所述流量进行本地处理；若否，将所述流量发送给服务器；其中，所述热点规则包括预设时间内统计的规则命中次数排名大于预设值的规则；接收所述服务器返回的命中其白名单规则的流量；将所述服务器返回的流量发送给目的路由器。

【技术特征摘要】
1.一种流量处理方法，其特征在于，所述方法包括：接收源路由器发送的流量；判断所述源路由器发送的流量是否命中部署的热点规则，若是，对所述流量进行本地处理；若否，将所述流量发送给服务器；其中，所述热点规则包括预设时间内统计的规则命中次数排名大于预设值的规则；接收所述服务器返回的命中其白名单规则的流量；将所述服务器返回的流量发送给目的路由器。2.根据权利要求1所述的方法，其特征在于，所述部署的热点规则包括：白名单规则和黑名单规则；所述对所述流量进行本地处理，包括：如果命中白名单规则，将所述流量发送给目的路由器；如果命中黑名单规则，将所述流量丢弃。3.根据权利要求1所述的方法，其特征在于，在部署热点规则之前，该方法还包括：将所述源路由器发送的所有流量发送给所述服务器；接收所述服务器发送的热点规则；将所述热点规则作为初始部署的热点规则。4.根据权利要求1-3任一项所述的方法，其特征在于，在将未命中热点规则的流量发送给服务器之后，该方法还包括：接收所述服务器发送的热点规则；基于所述热点规则更新当前部署的热点规则。5.一种流量处理方法，其特征在于，所述方法包括：接收防火墙发送的未命中热点规则的流量；其中，所述热点规则包括预设时间内统计的规则命中次数排名大于预设值的规则；判断所述流量是否命中部署的规则中的白名单规则，若是，将所述流量返回给所述防火墙；其中，所述部署的规则包括：白名单规则和黑名单规则。6.根据权利要求5所述的方法，其特征在于，该方法还包括：统计预设时间内各规则的命中次数；基于所述各规则的命中次数确定下发的热点规则；将所述热点规则发送给所述防火墙。7.根据权利要求6所述的方法，其特征在于，所述基于所述各规则的命中次数确定下发的热点规则，包括：基于所述各规则的命中次数对部署的规则进行排名，并将排名大于第一预设值的规则作为下发的热点规则。8.根据权利要求6所述的方法，其特征在于，所述基于所述各规则的命中次数确定下发的热点规则，包括：基于所述各规则的命中次数对部署的规则进行排名，并将排名大于第一预设值的规则作为当前热点规则；将当前热点规则与前一次下发的热点规则按命中次数进行排名，并将排名大于第二预设值的规则作为当前下发的热点规则。9.一种流量处理装置，其特征在于，包括：接收模块，用于接收源路由器发送的流量，以及接收服务器返回的命中其白名单规则的流量；判断模块，用于判断所述源路由器发送的流量是否命中部...

【专利技术属性】
技术研发人员：陈训逊，邹昕，李明轩，严世强，李高超，张家琦，张良，
申请(专利权)人：国家计算机网络与信息安全管理中心，杭州迪普科技股份有限公司，
类型：发明
国别省市：北京,11