本公开提供一种流量处理方法、装置、设备及机器可读存储介质,该方法包括:接收用户设备的报文流量;根据预设流程在安全资源池对报文流量进行安全处理;返回安全处理完毕的报文流量至用户设备;所述安全资源池包括至少一个安全模块;配置网络安全设备的接口保持上一跳。通过本公开的技术方案,由网络安全设备作为引流设备,接收用户核心交换机发送的报文流量,将报文流量按预设流程送达各个模块进行安全处理,处理完毕后返回报文流量,在引流设备的各个接口上配置保持上一跳,从而节约策略路由,改善引流配置量大的问题。改善引流配置量大的问题。改善引流配置量大的问题。
【技术实现步骤摘要】
一种流量处理方法、装置、设备及机器可读存储介质
[0001]本公开涉及通信
,尤其是涉及一种流量处理方法、装置、设备及机器可读存储介质。
技术介绍
[0002]VPN:Virtual Private Networks虚拟局域网,主要提供安全的网络隧道,解决远程用户与服务器之间的身份认证和加密数据传输。
[0003]FW:Firewall防火墙,主要提供访问控制的服务。
[0004]IPS:Intrusion Prevention System入侵防御系统,主要提供防御蠕虫病毒、溢出攻击、SQL注入攻击等深层次攻击行为的服务。
[0005]WAF:Web Application Firewall网站应用级入侵防御系统,对来自Web应用程序客户端的各类请求进行内容检测和验证,确保其安全性与合法性,对非法的请求予以实时阻断,为Web应用提供防护
[0006]LB:Load Balance负载均衡,将特定的业务(网络服务、网络流量等)分担给多个服务器或网络设备,从而提高了业务处理能力,保证了业务的高可用性
[0007]VLAN:Virtual Local Area Network虚拟局域网,在同一物理上的局域网可以分成多个虚拟的局域网,虚拟的局域网之间不能直接访问,只能通过路由设备来访问,这样可以提供网络的安全性和可靠性。
[0008]VRF:Virtual Routing Forwarding虚拟路由转发,指导不同的vpn instance进行路由转发
[0009]ACL:Access Control Lists访问控制列表,基于流量特征匹配数据包,实现数据包的控制(过滤或放行)。
[0010]随着网络云计算技术的迅速发展,各种公有云、私有云开始大规模部署,对于云数据中心的安全要求也越来越高。当前网络安全防护主要依托基础的安全防护系统实现,安全资源单一。随着网络安全威胁的日益变化,此种模式已难以满足新形势下的网络安全防护需求。
[0011]通过对提升系统安全能力的各种资源集群和池化,为云数据中心提供一个能够灵活调度、快速编排、弹性部署的安全资源池,它是一个物理或者虚拟安全功能组件的集合,可以包含VPN、FW、IPS、WAF、LB等。而安全资源池的部署中最为关键的就是如何进行引流。一种技术方案中,在用户的核心交换机上配置策略路由将流量引至安全资源池的引流设备上,引流设备通常采用的是交换机,然后再进行流量的编排,让流量依次通过用户指定的安全服务进行检测,引流需要配置大量的策略路由。
技术实现思路
[0012]有鉴于此,本公开提供一种流量处理方法、装置及电子设备、机器可读存储介质,以改善上述引流配置量大的问题。
[0013]具体地技术方案如下:
[0014]本公开提供了一种流量处理方法,应用于网络安全设备,所述方法包括:接收用户设备的报文流量;根据预设流程在安全资源池对报文流量进行安全处理;返回安全处理完毕的报文流量至用户设备;所述安全资源池包括至少一个安全模块;配置网络安全设备的接口保持上一跳。
[0015]作为一种技术方案,所述安全资源池包括:VPN模块,和/或,FW模块,和/或,IPS模块,和/或,WAF模块,和/或,LB模块。
[0016]作为一种技术方案,所述根据预设流程在安全资源池对报文流量进行安全处理,包括:在网络安全设备与用户设备连接的入接口创建与用户关联的子接口,关联子接口与对应用户的VRF和VLAN终结;在网络安全设备与安全模块连接的接口创建与用户关联的子接口,关联安全模块服务实例的VRF和VLAN终结。
[0017]作为一种技术方案,所述安全模块的接口被配置为,创建有子接口,子接口关联对应用户的VRF和VLAN终结。
[0018]本公开同时提供了一种流量处理装置,应用于网络安全设备,所述装置包括:接收单元,用于接收用户设备的报文流量;处理单元,用于根据预设流程在安全资源池对报文流量进行安全处理;发送单元,用于返回安全处理完毕的报文流量至用户设备;所述安全资源池包括至少一个安全模块;配置网络安全设备的接口保持上一跳。
[0019]作为一种技术方案,所述安全资源池包括:VPN模块,和/或,FW模块,和/或,IPS模块,和/或,WAF模块,和/或,LB模块。
[0020]作为一种技术方案,所述根据预设流程在安全资源池对报文流量进行安全处理,包括:在网络安全设备与用户设备连接的入接口创建与用户关联的子接口,关联子接口与对应用户的VRF和VLAN终结;在网络安全设备与安全模块连接的接口创建与用户关联的子接口,关联安全模块服务实例的VRF和VLAN终结。
[0021]作为一种技术方案,所述安全模块的接口被配置为,创建有子接口,子接口关联对应用户的VRF和VLAN终结。
[0022]本公开同时提供了一种电子设备,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,处理器执行所述机器可执行指令以实现前述的流量处理方法。
[0023]本公开同时提供了一种机器可读存储介质,所述机器可读存储介质存储有机器可执行指令,所述机器可执行指令在被处理器调用和执行时,所述机器可执行指令促使所述处理器实现前述的流量处理方法。
[0024]本公开提供的上述技术方案至少带来了以下有益效果:
[0025]由网络安全设备作为引流设备,接收用户核心交换机发送的报文流量,将报文流量按预设流程送达各个模块进行安全处理,处理完毕后返回报文流量,在引流设备的各个接口上配置保持上一跳,从而节约策略路由,改善引流配置量大的问题。
附图说明
[0026]为了更加清楚地说明本公开实施方式或者现有技术中的技术方案,下面将对本公开实施方式或者现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述
中的附图仅仅是本公开中记载的一些实施方式,对于本领域普通技术人员来讲,还可以根据本公开实施方式的这些附图获得其他的附图。
[0027]图1是本公开一种实施方式中的流量处理方法的流程图;
[0028]图2是本公开一种实施方式中的流量处理装置的结构图;
[0029]图3是本公开一种实施方式中的流量处理方法的网络示意图;
[0030]图4是本公开一种实施方式中的电子设备的硬件结构图。
具体实施方式
[0031]在本公开实施方式使用的术语仅仅是出于描述特定实施方式的目的,而非限制本公开。本公开和权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其它含义。还应当理解,本文中使用的术语“和/或”是指包含一个或多个相关联的列出项目的任何或所有可能组合。
[0032]应当理解,尽管在本公开实施方式可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本公开范围的情况下,第一信息也可本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种流量处理方法,其特征在于,应用于网络安全设备,所述方法包括:接收用户设备的报文流量;根据预设流程在安全资源池对报文流量进行安全处理;返回安全处理完毕的报文流量至用户设备;所述安全资源池包括至少一个安全模块;配置网络安全设备的接口保持上一跳。2.根据权利要求1所述的方法,其特征在于,所述安全资源池包括:VPN模块,和/或,FW模块,和/或,IPS模块,和/或,WAF模块,和/或,LB模块。3.根据权利要求1所述的方法,其特征在于,所述根据预设流程在安全资源池对报文流量进行安全处理,包括:在网络安全设备与用户设备连接的入接口创建与用户关联的子接口,关联子接口与对应用户的VRF和VLAN终结;在网络安全设备与安全模块连接的接口创建与用户关联的子接口,关联安全模块服务实例的VRF和VLAN终结。4.根据权利要求3所述的方法,其特征在于,所述安全模块的接口被配置为,创建有子接口,子接口关联对应用户的VRF和VLAN终结。5.一种流量处理装置,其特征在于,应用于网络安全设备,所述装置包括:接收单元,用于接收用户设备的报文流量;处理单元,用于根据预设流程在安全资源池对报文流量进行安全处理;发送单元,用于返回安全处理完毕的报文流量至用户设备;...
【专利技术属性】
技术研发人员:王洁,
申请(专利权)人:新华三信息安全技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。