网络流量控制方法以及相关系统技术方案

本申请提供了一种网络流量控制方法，包括：防火墙控制模块接收网络流量，缓存网络流量中的多个报文，防火墙接收对网络流量执行复制操作所得的旁路流量，对旁路流量中的报文进行检测，获得报文控制消息。防火墙控制模块接收到防火墙发送的报文控制消息，对多个报文中的目标报文执行转发、丢弃或缓存等目标操作。该方法通过旁路部署的防火墙并行地解析数据，防火墙控制模块不需要解析任何数据，由此可以简化防火墙控制模块的逻辑，提高防火墙控制模块的稳定性，降低了防火墙控制模块对网络流量正常转发的影响，保障业务能够正常运行。保障业务能够正常运行。保障业务能够正常运行。

【技术实现步骤摘要】
网络流量控制方法以及相关系统


[0001]本申请涉及计算机
，尤其涉及一种网络流量控制方法、系统以及防火墙、防火墙控制模块、计算机可读存储介质、计算机程序产品。

技术介绍

[0002]随着计算设备尤其是智能终端设备的普及，越来越多的计算设备接入互联网，并在互联网中产生了海量的网络流量。其中，网络流量是指接入网络的设备在网络上产生的数据流量。
[0003]考虑到非法分子利用计算设备接入网络以发起网络攻击不时发生，例如是阻断服务攻击(denial
‑
of
‑
service attack，DoS)、勒索攻击等不时发生，业界提出了基于防火墙(firewall)对网络流量进行控制，保障网络安全的方案。
[0004]为了阻断有害信息的传输，防火墙通常可以以串联方式部署在网络中，对网络流量进行实时分析及控制。然而，上述部署方式容易影响网络流量的正常转发。例如，防火墙停止转发时，所有网络流量均被中断，如此对业务正常运行产生较大的影响。

技术实现思路

[0005]本申请提供了一种网络流量控制方法，该方法通过旁路部署的防火墙并行地解析数据，防火墙控制模块不需要解析任何数据，由此可以简化防火墙控制模块的逻辑，提高防火墙控制模块的稳定性，降低了防火墙控制模块对网络流量正常转发的影响，保障业务能够正常运行。本申请还提供了上述方法对应的装置、设备、计算机可读存储介质以及计算机程序产品。
[0006]第一方面，本申请提供了一种网络流量控制方法。该方法可以由控制系统执行。其中，控制系统包括防火墙和防火墙控制模块。其中，防火墙可以是具有访问控制功能的硬件或软件。防火墙控制模块可以是硬件模块，也可以是软件模块。当防火墙控制模块为软件模块时，防火墙控制模块还可以集成在防火墙中。
[0007]具体地，防火墙控制模块接收网络流量，缓存所述网络流量中的多个报文，同时防火墙接收对所述网络流量执行复制操作所得的旁路流量，对所述旁路流量中的报文进行检测，获得报文控制消息。当防火墙控制模块接收到所述防火墙发送的报文控制消息，对所述多个报文中的目标报文执行目标操作。该目标操作可以包括转发、丢弃或缓存。
[0008]在该方法中，防护墙采用旁路部署方式，并且与防火墙控制模块并行，防火墙控制模块不需要解析任何数据，而是旁路防火墙并行解析，如此使得防火墙控制模块逻辑极其简单和稳定，降低了防火墙控制模块对网络流量正常转发的影响，保障业务能够正常运行。并且，防火墙控制模块基于报文控制消息控制对应的报文转发，实现报文级别的访问控制，这种细粒度的访问控制提升了访问控制的效果。
[0009]在一些可能的实现方式中，报文控制消息包括报文标识信息和报文控制信息。报文标识信息用于唯一标识报文，该报文标识信息例如可以是报文的四元组等。报文控制信
息用于指示对报文的操作。基于此，防火墙控制模块可以根据所述报文标识信息，从所述多个报文中确定目标报文，然后根据所述报文控制信息，对所述目标报文执行目标操作。
[0010]在该方法中，防火墙实时生成带有报文标识信息的报文控制消息，并发送给防火墙控制模块，如此，防火墙控制模块可以根据报文标识信息快速定位目标报文，实现报文级别的访问控制，保障了网络安全。
[0011]在一些可能的实现方式中，多个报文包括相互关联的第一报文和第二报文。该第一报文和第二报文例如可以是同一数据流的多个报文。报文控制消息包括所述第二报文的报文标识信息和报文控制信息，且所述第二报文的报文控制信息指示丢弃所述第二报文时，所述防火墙控制模块可以丢弃所述第一报文和所述第二报文。如此，可以阻断与包括有害内容的报文相互关联的报文，保障网络安全。
[0012]在一些可能的实现方式中，所述报文控制消息包括第一报文控制消息和第二报文控制消息，所述第一报文控制消息包括所述第一报文的报文标识信息和第一报文控制信息，所述第一报文的第一报文控制信息指示缓存所述第一报文，所述第二报文控制消息包括所述第一报文的报文标识信息和第二报文控制信息以及所述第二报文的报文标识信息和报文控制信息，所述第一报文的第二报文控制信息和所述第二报文的报文控制信息指示丢弃所述报文。
[0013]当防火墙控制模块接收到所述第一报文控制消息，延长所述第一报文的缓存时间，以等待后续报文，当防火墙控制模块接收到所述第二报文控制消息，丢弃所述第一报文和所述第二报文。
[0014]如此，可以实现对相互关联的报文的内容进行组合检测，避免了对单个报文的内容独立检测导致包括有害内容的报文漏发，保障了网络安全。
[0015]在一些可能的实现方式中，所述防火墙控制模块预设时间内未接收到所述防火墙发送的报文控制消息时，还可以基于预设的控制策略对所述多个报文进行控制。由此可以提升网络流量控制的容错率，从而提升控制系统的健壮性。
[0016]在一些可能的实现方式中，所述预设的控制策略包括多个控制策略。例如，多个控制策略可以包括严格的控制策略或者相对宽松的控制策略。严格的控制策略是指未接收到报文控制消息时，不执行转发或丢弃操作。进一步地，还可以设置超时机制，当报文的缓存时间或者缓存超时时间达到预设阈值，则丢弃报文。宽松的控制策略是指当设定的条件被满足时，例如缓存队列中报文数量达到预设数量，或者报文的缓存时间或者缓存超时时间达到预设阈值时，转发缓存的报文。
[0017]基于此，防火墙控制模块可以从所述网络流量中获取业务标识，所述防火墙控制模块根据业务与控制策略的对应关系，从所述多个控制策略中确定所述业务标识所标识的业务对应的目标控制策略，然后防火墙控制模块基于所述目标控制策略对所述多个报文进行控制。
[0018]由此，防火墙控制模块可以实现根据业务需求，选择相应的控制策略进行控制。例如，业务场景为对安全性要求较高的场景时，可以选择严格的控制策略；又例如，业务场景为对稳定性要求较高的场景(例如一些云服务场景)时，可以选择相对宽松的控制策略。
[0019]在一些可能的实现方式中，所述旁路流量通过分光器分光得到，或者通过交换机镜像得到。其中，分光器或者交换机实时复制网络流量获得旁路流量，为旁路防火墙和防火
墙控制模块并行处理提供了基础。
[0020]第二方面，本申请提供了一种控制系统。所述系统包括：
[0021]防火墙控制模块，用于接收网络流量，缓存所述网络流量中的多个报文；
[0022]防火墙，用于接收对所述网络流量执行复制操作所得的旁路流量，对所述旁路流量中的报文进行检测，获得报文控制消息；
[0023]所述防火墙控制模块，还用于接收到所述防火墙发送的报文控制消息，对所述多个报文中的目标报文执行目标操作，所述目标操作包括转发、丢弃或缓存。
[0024]在一些可能的实现方式中，所述报文控制消息包括报文标识信息和报文控制信息；
[0025]所述防火墙控制模块具体用于：
[0026]根据所述报文标识信息，从所述多个报文中确定目标报文；
[0027本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种网络流量控制方法，其特征在于，应用于控制系统，所述控制系统包括防火墙和防火墙控制模块，所述方法包括：所述防火墙控制模块接收网络流量，缓存所述网络流量中的多个报文，所述防火墙接收对所述网络流量执行复制操作所得的旁路流量，对所述旁路流量中的报文进行检测，获得报文控制消息；所述防火墙控制模块接收到所述防火墙发送的报文控制消息，对所述多个报文中的目标报文执行目标操作，所述目标操作包括转发、丢弃或缓存。2.根据权利要求1所述的方法，其特征在于，所述报文控制消息包括报文标识信息和报文控制信息；所述对所述多个报文中的目标报文执行目标操作，包括：根据所述报文标识信息，从所述多个报文中确定目标报文；根据所述报文控制信息，对所述目标报文执行目标操作。3.根据权利要求1所述的方法，其特征在于，所述多个报文包括相互关联的第一报文和第二报文；所述报文控制消息包括所述第二报文的报文标识信息和报文控制信息，且所述第二报文的报文控制信息指示丢弃所述第二报文时，所述防火墙控制模块对所述多个报文中的目标报文执行目标操作，包括：所述防火墙控制模块丢弃所述第一报文和所述第二报文。4.根据权利要求3所述的方法，其特征在于，所述报文控制消息包括第一报文控制消息和第二报文控制消息，所述第一报文控制消息包括所述第一报文的报文标识信息和第一报文控制信息，所述第一报文的第一报文控制信息指示缓存所述第一报文，所述第二报文控制消息包括所述第一报文的报文标识信息和第二报文控制信息以及所述第二报文的报文标识信息和报文控制信息，所述第一报文的第二报文控制信息和所述第二报文的报文控制信息指示丢弃所述报文；所述防火墙控制模块接收到所述防火墙发送的报文控制消息，对所述多个报文中的目标报文执行目标操作，包括：所述防火墙控制模块接收到所述第一报文控制消息，延长所述第一报文的缓存时间；所述防火墙控制模块接收到所述第二报文控制消息，丢弃所述第一报文和所述第二报文。5.根据权利要求1至4任一项所述的方法，其特征在于，所述方法还包括：所述防火墙控制模块预设时间内未接收到所述防火墙发送的报文控制消息时，基于预设的控制策略对所述多个报文进行控制。6.根据权利要求5所述的方法，其特征在于，所述预设的控制策略包括多个控制策略，所述防火墙控制模块基于预设的控制策略对所述多个报文进行控制，包括：所述防火墙控制模块从所述网络流量中获取业务标识；所述防火墙控制模块根据业务与控制策略的对应关系，从所述多个控制策略中确定所述业务标识所标识的业务对应的目标控制策略；所述防火墙控制模块基于所述目标控制策略对所述多个报文进行控制。7.根据权利要求1至6任一项所述的方法，其特征在于，所述旁路流量通过分光器分光
得到，或者通过交换机镜像得到。8.一种控制系统，其特征在于，所述系统包括：防火墙控制模块，用于接收网络流量，缓存所述网络流量中的多个报文；防火墙，用于接收对所述网络流量执行复制操作所得的旁路流量，对所述旁路流量中的报文进行检测，获得报文控制消息；所述防火墙控制模块，还用于接收到所述防火墙发送的报文控制消息，对所述多个报文中的目标报文执行目标操作，所述目标操作包括转发、丢弃或缓存。9.根据权利要求8所述的系统，其特征在于，所述报文控制消息包括报文标识信息和报文控制信息；所述防火墙控制模块具体用于：根据所述报文标识信息，从所述多个报文中确定目标报文；根据...

【专利技术属性】
技术研发人员：罗照宇，郭冕，李剑彪，邓炜，
申请(专利权)人：华为云计算技术有限公司，
类型：发明
国别省市：