【技术实现步骤摘要】
本申请涉及通信领域,具体地涉及一种负载处理方法、装置及机器可读存储介质。
技术介绍
1、随着企业规模的不断扩大,内部资源的访问不再局限于公司网络,vpn(virtualprivate network,虚拟私人网络)技术应运而生。vpn是指在公用网络上建立一个私有的、专用的虚拟通信网络,从而实现远程用户通过互联网安全的访问企业内网资源。ipsec(internet protocol security,网络层协议安全)vpn作为vpn的一种,是一种网络层隧道加密技术,它可以为互联网上传输的数据提供机密性、完整性、数据认证以及防重放攻击等安全服务。
2、在分布式系统的ipsec vpn应用场景下,通常采用多个交换芯片、多个业务单元共同实现ipsec数据报文的转发和加、解密功能,故如何保证各业务单元负载均衡处理ipsec数据报文加、解密业务,是ipsec隧道分布式实现的关键。
3、目前,各业务单元负载均衡处理ipsec数据报文加、解密业务采用的技术方案主要有以下几种:(1)通过配置访问控制列表规则的方式,这种方法根据报文源、目的ip(internet protocol,网络层协议)地址下发访问控制列表规则,当存在批量不同源、目的ip的报文需通过ipsec隧道保护时需分别下发对应的访问控制列表规则,极大地消耗了访问控制列表硬件资源;并且将报文重定向到与安全关联信息匹配的业务单元,报文的加、解密过程均由相同业务单元处理,当隧道报文比较集中时,无法充分利用各业务单元的数据处理能力。(2)通过建立软件前缀表的方式,这种方
技术实现思路
1、本申请实施例的目的是提供一种负载处理方法、装置及机器可读存储介质,用于实现各业务单元负载均衡处理ipsec数据报文加、解密业务,以解决或至少部分解决上述问题。
2、为了实现上述目的,本申请第一方面提供一种负载处理方法,应用于网络安全设备,网络安全设备包括交换芯片、控制业务单元和业务单元,负载处理方法包括:
3、通过控制业务单元与对端网络安全设备进行隧道协商,建立网络层协议安全隧道,并获取隧道协商信息;
4、通过控制业务单元将隧道协商信息同步传输至至少一个业务单元,以使业务单元接收隧道协商信息;
5、通过交换芯片获取客户端发送的正向数据报文;
6、通过业务单元对正向数据报文进行加密和封装,得到正向隧道报文,并将正向隧道报文利用网络层协议安全隧道传输至对端网络安全设备;
7、通过交换芯片接收反向隧道报文,并将反向隧道报文转发至业务单元,其中,反向隧道报文是对端网络安全设备通过网络层协议安全隧道传输的;
8、通过业务单元根据隧道协商信息对反向隧道报文进行解密和解封装,得到内层报文,并将内层报文转发至正向隧道报文所在的业务单元;
9、通过正向隧道报文所在的业务单元将内层报文发送至客户端。
10、在本申请实施例中,通过控制业务单元与对端网络安全设备进行隧道协商,建立网络层协议安全隧道,并获取隧道协商信息,包括:
11、通过交换芯片配置访问控制列表规则;
12、通过控制业务单元向交换芯片发送隧道协商报文;
13、通过交换芯片将隧道协商报文与访问控制列表规则匹配,得到匹配后的隧道协商报文,并将匹配后的隧道协商报文发送至控制业务单元;
14、通过控制业务单元对匹配后的隧道协商报文进行处理,并与对端网络安全设备进行隧道协商,建立网络层协议安全隧道,并获取隧道协商过程中产生的隧道协商信息。
15、在本申请实施例中,隧道协商信息包括安全策略信息,通过业务单元对正向数据报文进行加密和封装,得到正向隧道报文,包括:
16、通过业务单元将正向数据报文与安全策略信息进行匹配,并在正向数据报文与安全策略信息匹配的情况下,对正向数据报文进行加密标记;
17、通过业务单元对正向数据报文进行防火墙处理,并在防火墙处理结束的情况下,根据正向数据报文的加密标记对正向数据报文进行加密和封装,得到正向隧道报文。
18、在本申请实施例中,利用网络层协议安全隧道通过交换芯片接收对端网络安全设备传输的反向隧道报文,并将反向隧道报文转发至业务单元,包括:
19、利用网络层协议安全隧道通过交换芯片接收对端网络安全设备传输的反向隧道报文,并查询反向隧道报文在网络层协议安全隧道中传输时是否存在自学习生成的访问控制列表规则;
20、在反向隧道报文不存在自学习生成的访问控制列表规则的情况下,通过交换芯片将反向隧道报文转发至业务单元。
21、在本申请实施例中,查询反向隧道报文在网络层协议安全隧道中传输时是否存在自学习生成的访问控制列表规则之后,还包括:
22、在反向隧道报文存在自学习生成的访问控制列表规则的情况下,采用预设的优先分流业务单元确定逻辑,确定优先分流业务单元;
23、通过交换芯片将反向隧道报文转发至优先分流业务单元。
24、在本申请实施例中,优先分流业务单元确定逻辑包括:
25、确定预设时间段内网络层协议安全隧道中的内层报文转发频率最高的业务单元,并将内层报文转发频率最高的业务单元作为优先分流业务单元。
26、在本申请实施例中,优先分流业务单元确定逻辑还包括:
27、根据优先分流业务单元为网络层协议安全隧道制定访问控制列表规则,以使在网络层协议安全隧道内传输的反向隧道报文根据访问控制列表规则进行自学习。
28、在本申请实施例中,负载处理方法还包括:
29、采用报文分流逻辑,将内层报文转发至正向隧道报文所在的业务单元;
30、其中,报文分流逻辑包括:
31、确定内层报文与正向隧道报文是否均在相同的业务单元进行处理;
32、在内层报文与正向隧道报文未在相同业务单元进行处理的情况下,将内层报文转发至正向隧道报文所在的业务单元。
33、本申请第二方面提供一种负载处理装置,包括:
34、存储器,被配置成存储指令;以及
35、处理器,被配置成从存储器调用指令以及在执行指令时能够实现如第一方面所述的负载处理方法。
36、本申请第三方面提供一种机器可读存储介质,该机器可读存储介质上存储有指令,该指令用于使得机器执行如第一方面所述的负载处理方法。
37、通过上述技术方案,基于控制业务单元建立网络层协议安全隧道,降低了隧道协商及维护的复杂度;通过将隧道协商信息由控制业务单元向非控制业务单元同步,实现了分布式系统下各业务单元均具备网络层协议安全数据报文加、解密本文档来自技高网...
【技术保护点】
1.一种负载处理方法,其特征在于,应用于网络安全设备,所述网络安全设备包括交换芯片、控制业务单元和业务单元,所述方法包括:
2.根据权利要求1所述的负载处理方法,其特征在于,所述通过所述控制业务单元与对端网络安全设备进行隧道协商,建立网络层协议安全隧道,并获取隧道协商信息,包括:
3.根据权利要求1所述的负载处理方法,其特征在于,所述隧道协商信息包括安全策略信息,所述通过所述业务单元对所述正向数据报文进行加密和封装,得到正向隧道报文,包括:
4.根据权利要求1所述的负载处理方法,其特征在于,所述利用所述网络层协议安全隧道通过所述交换芯片接收所述对端网络安全设备传输的反向隧道报文,并将所述反向隧道报文转发至所述业务单元,包括:
5.根据权利要求4所述的负载处理方法,其特征在于,所述查询所述反向隧道报文在所述网络层协议安全隧道中传输时是否存在自学习生成的访问控制列表规则之后,还包括:
6.根据权利要求5所述的负载处理方法,其特征在于,所述优先分流业务单元确定逻辑包括:
7.根据权利要求6所述的负载处理方法,其特征
8.根据权利要求1所述的负载处理方法,其特征在于,所述方法还包括:
9.一种负载处理装置,包括:
10.一种机器可读存储介质,其特征在于,该机器可读存储介质上存储有指令,该指令用于使得机器执行根据权利要求1至8中任一项所述的负载处理方法。
...【技术特征摘要】
1.一种负载处理方法,其特征在于,应用于网络安全设备,所述网络安全设备包括交换芯片、控制业务单元和业务单元,所述方法包括:
2.根据权利要求1所述的负载处理方法,其特征在于,所述通过所述控制业务单元与对端网络安全设备进行隧道协商,建立网络层协议安全隧道,并获取隧道协商信息,包括:
3.根据权利要求1所述的负载处理方法,其特征在于,所述隧道协商信息包括安全策略信息,所述通过所述业务单元对所述正向数据报文进行加密和封装,得到正向隧道报文,包括:
4.根据权利要求1所述的负载处理方法,其特征在于,所述利用所述网络层协议安全隧道通过所述交换芯片接收所述对端网络安全设备传输的反向隧道报文,并将所述反向隧道报文转发至所述业务...
【专利技术属性】
技术研发人员:黄飞,王强,邹希良,
申请(专利权)人:北京天融信网络安全技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。