数据发送方法、流表安全组系统、电子设备及存储介质技术方案

本申请提供一种数据发送方法、流表安全组系统、电子设备及存储介质，属于通信技术领域。该方法包括：所述流表安全组系统接收通信单元发送的数据包，并采用所述第一表模块、所述第二表模块、所述第三表模块、所述第四表模块、所述第五表模块、所述第六表模块及所述第七表模块根据所述数据包中的目标地址及源地址转发所述数据包至所述目标地址对应的目标设备。本申请的方法，解决了安全组在运行过程中查询内核的链接状态导致的数据包转发效率低的问题。核的链接状态导致的数据包转发效率低的问题。核的链接状态导致的数据包转发效率低的问题。

【技术实现步骤摘要】
数据发送方法、流表安全组系统、电子设备及存储介质


[0001]本申请涉及通信
，尤其涉及一种数据发送方法、流表安全组系统、电子设备及存储介质。

技术介绍

[0002]随着计算机技术的不断发展，网络安全成为了人们日益关注的方向。
[0003]目前，现有技术中可以采用安全组来筛选输入流量和输出流量，从而使外部保护保护虚拟机网络不被其他非法用户访问，或避免虚拟机访问特定网络地址。
[0004]但是，专利技术人发现现有技术至少存在如下技术问题：现有的安全组在运行过程中会查询内核的链接状态，这会产生降低数据包转发效率的问题。

技术实现思路

[0005]本申请提供一种数据发送方法、流表安全组系统、电子设备及存储介质，用以解决数据包转发效率低的问题。
[0006]第一方面，本申请提供一种数据发送方法，应用于流表安全组系统，流表安全组系统包括：第一表模块、第二表模块、第三表模块、第四表模块、第五表模块、第六表模块及第七表模块，包括：
[0007]流表安全组系统接收通信单元发送的数据包，并采用第一表模块、第二表模块、第三表模块、第四表模块、第五表模块、第六表模块及第七表模块根据数据包中的目标地址及源地址转发数据包至目标地址对应的目标设备。
[0008]在一种可能的实现方式中，流表安全组系统接收通信单元发送的数据包，并采用第一表模块、第二表模块、第三表模块、第四表模块、第五表模块、第六表模块及第七表模块根据数据包中的目标地址及源地址转发数据包至目标地址对应的目标设备，包括：第一表模块接收通信单元发送的数据包，若通信单元为有安全组的虚拟机，且数据包属于地址解析协议包或邻居通告报文，则将数据包发送至第二表模块，其中数据包中含有目标地址及源地址；第二表模块响应于目标地址为虚拟机地址，将数据包发送至第三表模块；第三表模块响应于数据包中的源地址合法且目标地址为虚拟机地址，将数据包发送至第四表模块；第四表模块将局域网标识写入数据包，并将数据包发送至第五表模块；第五表模块响应于数据包中含有局域网标识，且目标地址不属于预设的本地虚拟机地址，将数据包发送至第六表模块；第六表模块响应于含有局域网标识的数据包符合预设的协议类型，将数据包发送至第七表模块；第七表模块删除数据包中的局域网标识，得到不含局域网标识的数据包，并将不含局域网标识的数据包发送至目标地址对应的目标设备。
[0009]在一种可能的实现方式中，第六表模块响应于含有局域网标识的数据包符合预设的协议类型，将数据包发送至第七表模块，包括：第六表模块响应于含有局域网标识的数据包属于网际协议版本4动态主机配置协议、网际协议版本6动态主机配置协议、用于网际协议版本4的控制报文协议或网际协议版本6多播接收方发现协议，将数据包发送至第七表模
块。
[0010]在一种可能的实现方式中，流表安全组系统还包括：第八表模块及第九表模块；方法还包括：第一表模块响应于通信单元为无安全组的虚拟机，且数据包为非地址解析协议响应，将数据包发送至第四表模块；第四表模块响应于通信单元为无安全组的虚拟机，将接收数据包的虚拟网卡端口的目标端口号写入第一寄存器，将通信单元的局域网标识写入第二寄存器，并将数据包发送至第五表模块；相应地，在第六表模块响应于含有局域网标识的数据包符合预设的协议类型，将数据包发送至第七表模块之后，还包括：第七表模块响应于数据包含有局域网标识、不符合预设的安全组规则或不符合预设的数据包规则，将数据包发送至第八表模块；第八表模块响应于数据包不符合安全组规则，删除数据包，响应于第一寄存器存储的端口号属于预设端口号，将数据包发送至第九表模块；第九表模块将数据包发送至目标地址对应的补丁端口，以使数据包传输至目标设备。
[0011]在一种可能的实现方式中，在第一表模块接收通信单元发送的数据包之后，还包括：第一表模块响应于数据包为地址解析协议响应，且目标地址属于预设的本地虚拟机地址，将数据包发送至目标地址对应的目标设备。
[0012]在一种可能的实现方式中，在第一表模块接收通信单元发送的数据包之后，还包括：第一表模块，将满足以下所有条件的数据包发送至第九表模块：通信单元为有安全组的虚拟机；数据包不属于地址解析协议包或邻居通告报文；目标地址不属于预设的本地虚拟机地址；数据包属于网际协议版本6邻居发现协议报文。
[0013]在一种可能的实现方式中，在第一表模块接收通信单元发送的数据包之后，还包括：第四表模块响应于数据包属于网际协议版本6邻居发现协议报文，将数据包发送至目标地址对应的目标设备。
[0014]第二方面，本申请提供一种流表安全组系统，包括：第一表模块、第二表模块、第三表模块、第四表模块、第五表模块、第六表模块及第七表模块；第一表模块、第二表模块、第三表模块、第四表模块、第五表模块、第六表模块及第七表模块，用于接收通信单元发送的数据包，并根据数据包中的目标地址及源地址转发数据包至目标地址对应的目标设备。
[0015]第三方面，本申请提供一种电子设备，包括：处理器，以及与处理器通信连接的存储器；存储器存储计算机执行指令；处理器执行存储器存储的计算机执行指令，使得处理器执行如第一方面描述的数据发送方法。
[0016]第四方面，本申请提供一种计算机可读存储介质，计算机可读存储介质中存储有计算机执行指令，计算机执行指令被处理器执行时用于实现如第一方面描述的数据发送方法。
[0017]本申请提供的数据发送方法、流表安全组系统、电子设备及存储介质，采用流表安全组中的各表模块根据源地址及目标地址对接收到的数据包进行转发，实现不占用内核态即可对数据包进行筛选并转发，从而提高了数据转发速度。
附图说明
[0018]此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本申请的实施例，并与说明书一起用于解释本申请的原理。
[0019]图1为本申请实施例提供的数据发送方法的应用场景示意图；
[0020]图2为本申请实施例提供的数据发送方法的流程示意图；
[0021]图3为本申请实施例提供的流表安全组系统的结构示意图；
[0022]图4为本申请实施例提供的电子设备的结构示意图。
[0023]通过上述附图，已示出本申请明确的实施例，后文中将有更详细的描述。这些附图和文字描述并不是为了通过任何方式限制本申请构思的范围，而是通过参考特定实施例为本领域技术人员说明本申请的概念。
具体实施方式
[0024]这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
[0025]当前计算机和互联网技术快速发展，网络安全成为大众重要的关注内容。
[0026]现在可以采用安全组根据数据的特征筛选输入流量和输出流量，从而使受保护的虚拟机不本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种数据发送方法，其特征在于，应用于流表安全组系统，所述流表安全组系统包括：第一表模块、第二表模块、第三表模块、第四表模块、第五表模块、第六表模块及第七表模块，所述方法包括：所述流表安全组系统接收通信单元发送的数据包，并采用所述第一表模块、所述第二表模块、所述第三表模块、所述第四表模块、所述第五表模块、所述第六表模块及所述第七表模块根据所述数据包中的目标地址及源地址转发所述数据包至所述目标地址对应的目标设备。2.根据权利要求1所述的方法，其特征在于，所述流表安全组系统接收通信单元发送的数据包，并采用所述第一表模块、所述第二表模块、所述第三表模块、所述第四表模块、所述第五表模块、所述第六表模块及所述第七表模块根据所述数据包中的目标地址及源地址转发所述数据包至所述目标地址对应的目标设备，包括：所述第一表模块接收通信单元发送的数据包，若所述通信单元为有安全组的虚拟机，且所述数据包属于地址解析协议包或邻居通告报文，则将所述数据包发送至所述第二表模块，其中所述数据包中含有目标地址及源地址；所述第二表模块响应于所述目标地址为虚拟机地址，将所述数据包发送至所述第三表模块；所述第三表模块响应于所述数据包中的所述源地址合法且所述目标地址为虚拟机地址，将所述数据包发送至所述第四表模块；所述第四表模块将局域网标识写入所述数据包，并将所述数据包发送至第五表模块；所述第五表模块响应于所述数据包中含有所述局域网标识，且所述目标地址不属于预设的本地虚拟机地址，将所述数据包发送至第六表模块；所述第六表模块响应于含有所述局域网标识的数据包符合预设的协议类型，将所述数据包发送至所述第七表模块；所述第七表模块删除所述数据包中的所述局域网标识，得到不含所述局域网标识的数据包，并将所述不含所述局域网标识的数据包发送至所述目标地址对应的目标设备。3.根据权利要求2所述的方法，其特征在于，所述第六表模块响应于所述含有局域网标识的数据包符合预设的协议类型，将所述数据包发送至所述第七表模块，包括：所述第六表模块响应于所述含有局域网标识的数据包属于网际协议版本4动态主机配置协议、网际协议版本6动态主机配置协议、用于网际协议版本4的控制报文协议或网际协议版本6多播接收方发现协议，将所述数据包发送至所述第七表模块。4.根据权利要求2所述的方法，其特征在于，所述流表安全组系统还包括：第八表模块及第九表模块；所述方法还包括：所述第一表模块响应于所述通信单元为无安全组的虚拟机，且数据包为非地址解析协议响应，将所述数据包发送至所述第四表模块；所述第四表模块响应于所述通信单元为无安全组的虚拟机，将接...

【专利技术属性】
技术研发人员：刘宇龙，过晓春，岳龙广，陈晓明，
申请(专利权)人：联通云数据有限公司，
类型：发明
国别省市：