本发明专利技术公开了一种网络处理方法、装置、电子设备及存储介质。其中,该网络处理方法,包括:根据数据包的来源位置对数据包配置数据包标记;根据数据包标记获取第一路由规则,根据第一路由规则将数据包发送至安全设备;获取安全设备传输的数据包,更新数据包的数据包标记;根据更新后的数据包标记确定第二路由规则,根据第二路由规则将数据包传输到数据包的来源位置。本发明专利技术实施例,实现将数据包通过数据包标记发送至安全设备并转发回数据包的来源位置,无需在安全设备配置策略路由进行转发数据包,便于安全设备对云资源牵引的数据包的对接,只要对安全设备配置静态路由即可,使安全设备上云完全无门槛,便于安全设备直接上云,立即服务。立即服务。立即服务。
【技术实现步骤摘要】
一种网络处理方法、装置、电子设备及存储介质
[0001]本专利技术涉及计算机
,尤其涉及一种网络处理方法、装置、电子设备及存储介质。
技术介绍
[0002]云平台能提供便捷、弹性、软件定义等特点的基础资源。云资源进行网络交互需要安全设备(如网站应用防火墙、下一代通用型防火墙等)进行网络防护。利用云平台本身的特质,安全设备可以采用牵引模式以旁路的方式部署,用户无需改变原本的网络拓扑结构,将网络流量牵引到安全设备进行防护,之后回注到原路由设备。
[0003]目前大多数安全设备为了部署在云平台,会提供传统网络结构中基本的组网能力,例如静态路由和基于网卡的策略路由。当云平台中只有一个云资源(如虚拟私有云或云主机等)需要防护的时候,只需要对这个云资源做路由规则去将流量牵引到安全设备,因此安全设备仅需要简单的静态路由;当云平台中有多个云资源需要防护的时候,需要对多个云资源都做路由规则去将流量牵引到安全设备,此时安全设备就需要加入多个网卡并做策略路由。当云平台中有多个云资源,就需要安全设备提供对应大量的网卡,并对这些网卡配置对应的策略路由,这种实现方法有一定的技术门槛和运维成本。再者,对于云平台这种云资源生命周期变化快、快速弹性增减的特性,会让维护变得复杂而困难,使安全设备上云具有一种使用门槛。
技术实现思路
[0004]本专利技术提供了一种网络处理方法、装置、电子设备及存储介质,以降低安全设备上云的使用门槛,便于安全设备上云。
[0005]根据本专利技术的一方面,提供了一种网络处理方法,其特征在于,包括:
[0006]根据数据包的来源位置对数据包配置数据包标记;
[0007]根据数据包标记获取第一路由规则,根据第一路由规则将数据包发送至安全设备;
[0008]获取安全设备传输的数据包,更新数据包的数据包标记;
[0009]根据更新后的数据包标记确定第二路由规则,根据第二路由规则将数据包传输到数据包的来源位置。
[0010]根据本专利技术的另一方面,提供了一种网络处理装置,其特征在于,包括:
[0011]数据包标记模块,用于根据数据包的来源位置对数据包配置数据包标记;
[0012]数据包发送模块,用于根据数据包标记获取第一路由规则,根据第一路由规则将数据包发送至安全设备;
[0013]数据包接收模块,用于获取安全设备传输的数据包,更新数据包的数据包标记;
[0014]数据包传输模块,用于根据更新后的数据包标记确定第二路由规则,根据第二路由规则将数据包传输到数据包的来源位置。根据本专利技术的另一方面,提供了一种电子设备,
电子设备包括:
[0015]至少一个处理器;
[0016]以及与至少一个处理器通信连接的存储器;
[0017]其中,存储器存储有可被至少一个处理器执行的计算机程序,计算机程序被至少一个处理器执行,以使至少一个处理器能够执行本专利技术任一实施例的一种网络处理方法。
[0018]根据本专利技术的另一方面,提供了一种计算机可读存储介质,计算机可读存储介质存储有计算机指令,计算机指令用于使处理器执行时实现本专利技术任一实施例的一种网络处理方法。
[0019]本专利技术实施例的技术方案,通过根据数据包的来源位置对数据包配置数据包标记,根据数据包标记获取第一路由规则,根据第一路由规则将数据包发送至安全设备,获取安全设备传输的数据包,更新数据包的数据包标记,根据更新后的数据包标记确定第二路由规则,根据第二路由规则将数据包传输到数据包的来源位置,实现数据包可以根据数据包标记发送至安全设备并转发回数据包的来源位置,无需在安全设备配置策略路由进行转发数据包,便于安全设备对云资源牵引的数据包的对接,降低安全设备部署的对接门槛,便于安全设备上云。
[0020]应当理解,本部分所描述的内容并非旨在标识本专利技术的实施例的关键或重要特征,也不用于限制本专利技术的范围。本专利技术的其它特征将通过以下的说明书而变得容易理解。
附图说明
[0021]为了更清楚地说明本专利技术实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0022]图1是根据本专利技术实施例提供的一种网络处理方法的拓扑图;
[0023]图2是根据本专利技术实施例提供的一种网络处理方法的拓扑图;
[0024]图3是根据本专利技术实施例一提供的一种网络处理方法的流程图;
[0025]图4是根据本专利技术实施例二提供的一种网络处理方法的流程图;
[0026]图5是根据本专利技术实施例三提供的一种网络处理方法的拓扑图;
[0027]图6是根据本专利技术实施例三提供的一种网络处理方法的流程图;
[0028]图7是根据本专利技术实施例四提供的一种网络处理装置的结构示意图;
[0029]图8是实现本专利技术实施例的网络处理方法的电子设备的结构示意图。
具体实施方式
[0030]为了使本
的人员更好地理解本专利技术方案,下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分的实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本专利技术保护的范围。
[0031]需要说明的是,本专利技术的说明书和权利要求书及上述附图中的术语“第一”、“第
二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本专利技术的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
[0032]图1是根据本专利技术实施例提供的一种网络处理方法的拓扑图。如图1所示,是现有技术中网络处理的拓扑图。拓扑图中包括云主机(virtual machine,VM),虚拟私有云(virtual private cloud,VPC),虚拟路由器(virtual router,VR),安全设备(安全实例)。其中,安全设备是一台安装了安全软件的虚拟机或者物理机,安全软件可以包括但不限于网站应用防火墙(Web Application Firewall,WAF)、下一代通用型防火墙(Next Generation Firewall,NGFW)等。
[0033]当VR1和VR2将流量牵引到WAF的时候,可以分别使用两条不同的网络路径与WAF建立通讯,WAF里面分别对应了两张网卡与VR1和VR2进行通讯,WAF里面需要配置策略路由让流量原路回注给VR1和VR2。
[00本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种网络处理方法,其特征在于,包括:根据数据包的来源位置对所述数据包配置数据包标记;根据数据包标记获取第一路由规则,根据所述第一路由规则将所述数据包发送至安全设备;获取所述安全设备传输的所述数据包,更新所述数据包的所述数据包标记;根据更新后的所述数据包标记确定第二路由规则,根据所述第二路由规则将所述数据包传输到所述数据包的来源位置。2.根据权利要求1所述的方法,其特征在于,所述根据数据包的来源位置对所述数据包配置数据包标记,包括:提取所述数据包的网络基本信息,其中,所述网络基本信息包括来源地址和牵引场景;将所述来源地址和所述牵引场景作为所述来源位置,并在预设数据包标记策略集查找所述来源位置对应的第一数据包标记策略;按照所述第一数据包标记策略为所述数据包生成所述数据包标记。3.根据权利要求1所述的方法,其特征在于,在所述根据数据包的来源位置对所述数据包配置数据包标记之后,还包括:将所述数据包标记作为连接记录进行保存。4.根据权利要求1所述的方法,其特征在于,所述根据数据包标记获取第一路由规则,根据所述第一路由规则将所述数据包发送至安全设备,包括:在预设路由表内查找与所述数据包标记的来源地址和牵引场景匹配的所述第一路由规则;将所述数据包按照所述第一路由规则转发至所述安全设备。5.根据权利要求1所述的方法,其特征在于,所述获取所述安全设备传输的所述数据包,更新所述数据包的所述数据包标记,包括:接收所述安全设备反馈的所述数据包;确定所述数据包对应的连接记录,并提取所述连接记录存储的所述数据包标记;在预设数据包标记集查找所述安全设备的地址信息对应的第二数据包标记策略;按照所述第二数据包标记策略更新所述数据包的所述数据包标记。6....
【专利技术属性】
技术研发人员:林东森,
申请(专利权)人:北京青云科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。