本发明专利技术涉及一种基于安全策略的隧道引流方法、装置及存储介质,应用于流量传输技术领域中,包括:通过在CPE设备上配置安全策略,获取网络流量的策略信息并与安全策略进行匹配,匹配成功后,对网络流量进行标记并缓存数据链路层信息,将网络流量引至云端的安全资源池进行安全检测后,再返回到CPE设备中,CPE设备读取网络流量的标识,并还原该网络流量原有的数据链路层信息继续后续的转发流程,通过上述的方案解决了现有技术中,通过路由引流的方式,无法缓存数据链路层信息,导致无法继续后续的转发流程的问题。转发流程的问题。转发流程的问题。
【技术实现步骤摘要】
一种基于安全策略的隧道引流方法、装置及存储介质
[0001]本专利技术涉及流量传输
,具体涉及一种基于安全策略的隧道引流方法、装置及存储介质。
技术介绍
[0002]网络安全设备是企业确保自身网络环境完全的必备产品,由于网络安全设备的种类繁多,企业如果增加一类安全设备就需要对当前组网方式进行改造,增加企业成本,并且会增加故障点,故需要通过隧道将流量引至云端安全资源池中进行安全防护。
[0003]现有的引流方法是通过路由的方式实现,但是路由的方式无法缓存流量的数据链路层信息,导致流量返回时会丢失数据链路层信息,无法继续后续的转发流程。
技术实现思路
[0004]有鉴于此,本专利技术的目的在于提供一种基于安全策略的隧道引流方法、装置及存储介质,以解决现有技术中,通过路由的方式进行流量的引流,无法缓存流量的数据链路层信息,导致流量返回时会丢失数据链路层信息,无法继续后续的转发流程的问题。
[0005]根据本专利技术实施例的第一方面,提供一种基于安全策略的隧道引流方法,包括:
[0006]在网络拓扑结构的CPE设备中配置网络流量通过时的安全策略;
[0007]当网络流量通过CPE设备时,获取网络流量的策略信息,将网络流量的策略信息与安全策略进行匹配,若匹配成功,则对该网络流量进行标记,同时在CPE设备上缓存该网络流量的数据链路层信息;
[0008]将该网络流量通过第一隧道引流至云端的安全资源池中并进行安全检测;
[0009]安全检测通过后将网络信息通过第二隧道送回到CPE设备中,CPE设备读取标记,并还原该网络流量的数据链路层信息,继续后续的转发流程。
[0010]优选地,
[0011]所述配置网络流量通过时的安全策略包括:
[0012]配置网络流量的流量入接口、流量源地址、流量目的地址以及服务类型。
[0013]优选地,
[0014]获取网络流量的策略信息,将网络流量的策略信息与安全策略进行匹配包括:
[0015]获取网络流量的流量入接口、流量原地址、流量目的地址以及服务类型;
[0016]判断流量入接口、流量原地址、流量目的地址、服务类型是否与预配置的流量入接口、流量源地址、流量目的地址、服务类型相匹配;
[0017]若以上条件均能匹配上,则匹配成功。
[0018]优选地,
[0019]匹配流量入接口、流量原地址、流量目的地址、服务类型时,为顺序匹配。
[0020]优选地,
[0021]所述将网络流量的策略信息与安全策略进行匹配时,只对网络流量的首包进行匹
配,匹配完成后,对同一流的后续报文不再进行匹配。
[0022]优选地,
[0023]所述配置网络流量通过时的安全策略时,还将配置安全策略的生效时间;
[0024]所述获取网络流量的策略信息时,还将获取网络流量的通过时间;
[0025]所述将网络流量的策略信息与安全策略进行匹配时,还将判断网络流量的通过时间是否在预配置的安全策略的生效时间内,若在,则将网络流量通过第一隧道引流至云端的安全资源池中。
[0026]根据本专利技术实施例的第二方面,提供一种基于安全策略的隧道引流装置,包括:
[0027]安全策略配置模块:用于在网络拓扑结构的CPE设备中配置网络流量通过时的安全策略;
[0028]安全策略匹配模块:用于当网络流量通过CPE设备时,获取网络流量的策略信息,将网络流量的策略信息与安全策略进行匹配,若匹配成功,则对该网络流量进行标记,同时在CPE设备上缓存该网络流量的数据链路层信息;
[0029]引流模块:用于将该网络流量通过第一隧道引流至云端的安全资源池中并进行安全检测;
[0030]信息还原模块:用于安全检测通过后将网络信息通过第二隧道送回到CPE设备中,CPE设备读取标记,并还原该网络流量的数据链路层信息,继续后续的转发流程。
[0031]根据本专利技术实施例的第三方面,提供一种存储介质,所述存储介质存储有计算机程序,所述计算机程序被处理器执行时,实现如上述所述的一种基于安全策略的隧道引流方法中的各个步骤。
[0032]本专利技术的实施例提供的技术方案可以包括以下有益效果:
[0033]本申请通过在CPE设备上配置安全策略,获取网络流量的策略信息并与安全策略进行匹配,匹配成功后,对网络流量进行标记并缓存数据链路层信息,将网络流量引至云端的安全资源池进行安全检测后,再返回到CPE设备中,CPE设备读取网络流量的标识,并还原该网络流量原有的数据链路层信息继续后续的转发流程,通过上述的方案解决了现有技术中,通过路由引流的方式,无法缓存数据链路层信息,导致无法继续后续的转发流程的问题。
[0034]应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本专利技术。
附图说明
[0035]此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本专利技术的实施例,并与说明书一起用于解释本专利技术的原理。
[0036]图1是根据一示例性实施例示出的一种基于安全策略的隧道引流方法的流程示意图;
[0037]图2是根据另一示例性实施例示出的一种基于安全策略的隧道引流装置的系统示意图;
[0038]附图中:1
‑
安全策略配置模块,2
‑
安全策略匹配模块,3
‑
引流模块,4
‑
信息还原模块。
具体实施方式
[0039]这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本专利技术相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本专利技术的一些方面相一致的装置和方法的例子。
[0040]实施例一
[0041]图1是根据一示例性实施例示出的一种基于安全策略的隧道引流方法的流程示意图,如图1所示,包括:
[0042]S1,在网络拓扑结构的CPE设备中配置网络流量通过时的安全策略;
[0043]S2,当网络流量通过CPE设备时,获取网络流量的策略信息,将网络流量的策略信息与安全策略进行匹配,若匹配成功,则对该网络流量进行标记,同时在CPE设备上缓存该网络流量的数据链路层信息;
[0044]S3,将该网络流量通过第一隧道引流至云端的安全资源池中并进行安全检测;
[0045]S4,安全检测通过后将网络信息通过第二隧道送回到CPE设备中,CPE设备读取标记,并还原该网络流量的数据链路层信息,继续后续的转发流程;
[0046]可以理解的是,本申请通过在CPE设备上配置安全策略,获取网络流量的策略信息并与安全策略进行匹配,匹配成功后,对网络流量进行标记并缓存数据链路层信息,将网络流量引至云端的安全资源池进行安全检测后,再返回到CPE设备中,CPE设备读取网本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于安全策略的隧道引流方法,其特征在于,包括:在网络拓扑结构的CPE设备中配置网络流量通过时的安全策略;当网络流量通过CPE设备时,获取网络流量的策略信息,将网络流量的策略信息与安全策略进行匹配,若匹配成功,则对该网络流量进行标记,同时在CPE设备上缓存该网络流量的数据链路层信息;将该网络流量通过第一隧道引流至云端的安全资源池中并进行安全检测;安全检测通过后将网络信息通过第二隧道送回到CPE设备中,CPE设备读取标记,并还原该网络流量的数据链路层信息,继续后续的转发流程。2.根据权利要求1所述的方法,其特征在于,所述配置网络流量通过时的安全策略包括:配置网络流量的流量入接口、流量源地址、流量目的地址以及服务类型。3.根据权利要求2所述的方法,其特征在于,获取网络流量的策略信息,将网络流量的策略信息与安全策略进行匹配包括:获取网络流量的流量入接口、流量原地址、流量目的地址以及服务类型;判断流量入接口、流量原地址、流量目的地址、服务类型是否与预配置的流量入接口、流量源地址、流量目的地址、服务类型相匹配;若以上条件均能匹配上,则匹配成功。4.根据权利要求3所述的方法,其特征在于,匹配流量入接口、流量原地址、流量目的地址、服务类型时,为顺序匹配。5.根据权利要求4所述的方法,其特征在于,所述将网络流量的策略信息与安全策略进行匹配时,只对网络流量的首包进...
【专利技术属性】
技术研发人员:杨星涛,郑曙光,
申请(专利权)人:北京上元信安技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。