【技术实现步骤摘要】
本申请涉及网络安全,尤其涉及一种数据包的处理方法及相关装置。
技术介绍
1、近年来,网络安全问题日益突出。为了保证网络的安全性,安全设备(例如,防火墙)被部署以阻止外部攻击。网络管理员通常基于互联网协议(internet protocol,ip)五元组在网络中的安全设备中部署安全策略,以使得网络中的安全设备根据数据包中携带的ip地址识别需要禁止或者允许通过的数据包。
2、但是,由于数据包在传输路径中可能会出现对数据包中的源ip地址和/或目的ip地址进行转换,例如,若网络中的某个设备采用虚拟化技术,则该设备向其他设备发送数据包时,会通过管理程序(hypervisor)层将该数据包的真实的源ip地址转换为代理ip地址,则该数据包在网络中传输时,网络中的安全设备无法得到该数据包的真实的源ip地址,从而无法基于真实的源ip地址与安全策略匹配,导致安全设备上部署的安全策略失效,进而无法准确的对该数据包所对应的访问行为作出允许或禁止的决策。
技术实现思路
1、本申请提供了一种数据包的处理方法和相关装置,额外引入了在数据包的dscp字段中写入第一标识信息这一操作,由于数据包的dscp字段中的值在数据包的传输过程一般不会发生改变,则网络中的设备均能够从dscp字段中获取到真实的第一标识信息,进而能够借助该第一标识信息,准确的对该数据包所对应的访问行为作出允许或禁止的决策,提高了网络的安全性。
2、本申请第一方面提供一种数据包的处理方法,可以应用于网络安全
前述方法可
3、示例性地,第一对象可以包括如下任一项:一种类型的业务、一个网络区域的名称、一种类型的用户或者其他类型的对象等。例如,网络中允许互联网用户访问web服务;则第一对象包括一种类型的业务(即,web服务)。又例如,网络中禁止办公园区访问数据中心;则第一对象包括另一个网络区域的名称(即,数据中心)等。
4、示例性地,在第一对象为业务1(也即一种类型的业务的示例)的情况下,“第一数据包的目的地址指向第一对象”和“第一数据包的目的地址指向的服务器与第一对象对应”均可以理解为位于该目的地址的服务器能够提供业务1。或者,在第一对象为网络区域1(也即一个网络区域的名称的示例)的情况下,“第一数据包的目的地址指向第一对象”可以理解为该目的地址包含于网络区域1覆盖的地址范围内,“第一数据包的目的地址指向的服务器与第一对象对应”可以理解为位于该目的地址的服务器归属于网络区域1。或者,在第一对象为类型1的用户的情况下,“第一数据包的目的地址指向第一对象”可以理解为类型1的用户占用的地址范围内包括该目标地址,“第一数据包的目的地址指向的服务器与第一对象对应”可以理解为位于该目的地址的服务器被类型1的用户使用。
5、本实现方式中,额外引入了在数据包的dscp字段中写入第一标识信息这一操作,由于数据包的dscp字段中的值在数据包的传输过程一般不会发生改变,则网络中的设备均能够从dscp字段中获取到真实的第一标识信息,进而能够借助该第一标识信息,准确的对该数据包所对应的访问行为作出允许或禁止的决策,提高了网络的安全性;dscp字段为数据包中已经存在的字段,选择在dscp字段中写入标识信息,不需要在已有技术上做太大的改变,有利于降低为实现本方案所消耗的计算机资源;且网络中的各种设备均具有解读数据包的控制信息的能力,在不对网络中设备的能力进行升级的前提下,就能够从数据包的dscp字段中获取到标识信息,进而执行本方案,以进一步降低为实现本方案所消耗的计算机资源。
6、由于设备在生成第一数据包时就需要向第一数据包的控制信息中写入数据,由生成第一数据包的设备执行“向dscp字段中写入第一标识信息”这一操作,提高了本方案的便利性。与生成第一数据包的设备连接的交换机一般与多个生成第一数据包的设备连接,由前述交换机执行“向dscp字段中写入第一标识信息”这一操作,则相比于向多个生成第一数据包的设备发送第一规则,仅需要向一个交换机发送第一规则,降低了“向第一设备发送第一规则”这一步所消耗的计算机资源。
7、在到达第一数据包的目的地址时,才根据第一数据包的dscp字段中携带的信息确定是否允许执行与第一数据包对应的访问行为,避免了基于目的地址指向的不是第一对象的数据包中dscp字段的值,对前述数据包进行处理,有利于进一步提高对数据包所对应的访问行为做出的处理结果的准确率。在第一数据包到达与第一数据包的目的地址指向的服务器所连接的安全设备时,就根据第一数据包的dscp字段中携带的信息确定是否允许执行与第一数据包对应的访问行为,也即由独立的安全设备来执行允许或禁止第一数据包通过的操作,减轻了第一数据包的目的地址指向的服务器的负担,提高了第一数据包的目的地址指向的服务器的安全度;且一般一个安全设备用于管控是否允许数据包进入多个设备,在安全设备上部署第二规则,有利于降低“部署第二规则”这一过程所消耗的计算机资源。
8、在一种实现方式中,第一数据包中的dscp字段有8个比特位,前述8个比特位可以包括第0位至第7位。可选地,第一设备可以使用前述8个比特位中的6个比特位,来执行第一标识信息的填写操作;示例性地,该第一标识信息可以占用dscp字段的第0位至第5位中的任意一个或多个比特位。
9、在一种实现方式中,第一设备在第一数据包的dscp字段中写入标识信息,包括:第一设备通过管理程序hypervisor层在第一数据包的dscp字段中写入标识信息。
10、本实现方式中,相对于第一设备中的虚拟机或容器等,第一设备中的hypervisor层需要更高的管理权限,对应的,第一设备中的hypervisor层被黑客攻击成功的概率更小,也即第一设备中的hypervisor层的安全度更高,通过第一设备中的hypervisor层执行第一标识信息的写入操作,有利于提高前述操作的安全度,也即降低非法数据包中携带第一标识信息的概率,从而降低非法数据包成功访问第二设备的概率,有利于提高网络的安全度。
11、在一种实现方式中,第一设备在第一数据包的dscp字段中写入标识信息,包括:第一设备中的第一实例向dscp字段中的第一字段写入第一子标识信息,第一实例为与第二对象对应的实例;示例性地,实例具体可以表现为虚拟机、容器或其他形态等。第一设备中的hypervisor层向dscp字段中的第二字段写入第二子标识信息,标识信息包括第一本文档来自技高网...
【技术保护点】
1.一种数据包的处理方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述第一设备在所述第一数据包的DSCP字段中写入标识信息,包括:所述第一设备通过管理程序Hypervisor层在所述第一数据包的所述DSCP字段中写入所述标识信息。
3.根据权利要求1所述的方法,其特征在于,所述第一设备在所述第一数据包的DSCP字段中写入标识信息,包括:
4.根据权利要求1所述的方法,其特征在于,所述第一设备在所述第一数据包的DSCP字段中写入标识信息,包括:所述第一设备通过实例在所述第一数据包的所述DSCP字段中写入所述标识信息。
5.根据权利要求1至4任一项所述的方法,其特征在于,在所述第一设备在所述第一数据包的DSCP字段中写入标识信息之前,所述方法还包括:
6.一种数据包的处理方法,其特征在于,所述方法包括:
7.根据权利要求6所述的方法,其特征在于,所述第一设备在所述第一数据包的DSCP字段中写入标识信息,包括:所述第一设备通过管理程序Hypervisor层在所述第一数据包的所述DSCP
8.一种数据包的处理方法,其特征在于,所述方法包括:
9.根据权利要求8所述的方法,其特征在于,所述第一数据包来源于第一设备,所述第一数据包中的所述标识信息通过所述第一设备中的管理程序Hypervisor层得到。
10.一种数据包的处理方法,其特征在于,所述方法包括:
11.根据权利要求10所述的方法,其特征在于,所述第三设备向网络中的第一设备发送第一规则,包括:所述第三设备向所述第一设备的管理程序Hypervisor层发送所述第一规则。
12.一种数据包的处理系统,其特征在于,所述数据包的处理系统包括第一设备中的填写模块和所述第一设备中的发送模块,所述数据包的处理系统还包括第二设备中的获取模块和所述第二设备中的处理模块;其中,
13.根据权利要求12所述的系统,其特征在于,
14.根据权利要求12所述的系统,其特征在于,所述填写模块,具体用于:
15.根据权利要求12所述的系统,其特征在于,
16.根据权利要求12至15任一项所述的系统,其特征在于,
17.一种数据包的处理装置,其特征在于,所述装置应用于第一设备中,所述装置包括:
18.根据权利要求17所述的装置,其特征在于,
19.一种数据包的处理装置,其特征在于,所述装置应用于第二设备中,所述装置包括:
20.根据权利要求19所述的装置,其特征在于,所述第一数据包来源于第一设备,所述第一数据包中的所述标识信息通过所述第一设备中的管理程序Hypervisor层得到。
21.一种数据包的处理装置,其特征在于,所述装置应用于第三设备中,所述装置包括:
22.根据权利要求21所述的装置,其特征在于,
23.一种设备,包括处理器和存储器,所述存储器用于存储程序代码,所述处理器用于调用所述存储器中的程序代码以使得所述设备执行如权利要求1-11任一项所述的方法。
24.一种计算机可读存储介质,存储有指令,当所述指令在计算机上运行时,使得计算机执行如权利要求1-11任一项所述的方法。
25.一种计算机程序产品,其特征在于,包括程序代码,当计算机运行所述计算机程序产品时,使得所述计算机执行如权利要求1-11任一项所述的方法。
...【技术特征摘要】
1.一种数据包的处理方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述第一设备在所述第一数据包的dscp字段中写入标识信息,包括:所述第一设备通过管理程序hypervisor层在所述第一数据包的所述dscp字段中写入所述标识信息。
3.根据权利要求1所述的方法,其特征在于,所述第一设备在所述第一数据包的dscp字段中写入标识信息,包括:
4.根据权利要求1所述的方法,其特征在于,所述第一设备在所述第一数据包的dscp字段中写入标识信息,包括:所述第一设备通过实例在所述第一数据包的所述dscp字段中写入所述标识信息。
5.根据权利要求1至4任一项所述的方法,其特征在于,在所述第一设备在所述第一数据包的dscp字段中写入标识信息之前,所述方法还包括:
6.一种数据包的处理方法,其特征在于,所述方法包括:
7.根据权利要求6所述的方法,其特征在于,所述第一设备在所述第一数据包的dscp字段中写入标识信息,包括:所述第一设备通过管理程序hypervisor层在所述第一数据包的所述dscp字段中写入所述标识信息。
8.一种数据包的处理方法,其特征在于,所述方法包括:
9.根据权利要求8所述的方法,其特征在于,所述第一数据包来源于第一设备,所述第一数据包中的所述标识信息通过所述第一设备中的管理程序hypervisor层得到。
10.一种数据包的处理方法,其特征在于,所述方法包括:
11.根据权利要求10所述的方法,其特征在于,所述第三设备向网络中的第一设备发送第一规则,包括:所述第三设备向所述第一设备的管理程序hypervisor层发送所述第一规则。
【专利技术属性】
技术研发人员:孙应孔,
申请(专利权)人:华为云计算技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。