【技术实现步骤摘要】
本申请实施例涉及互联网,尤其涉及一种网络安全访问方法及计算设备。
技术介绍
1、随着互联网技术的快速发展,对计算设备接收或发送的报文(简称:待过滤报文)进行过滤已成报文传输过程中的重要环节。
2、常见的一种报文过滤方法是通过在计算设备中的网络路径上增加过滤网元(如:qbr网桥),然后,通过该过滤网元对该计算设备的待过滤报文进行过滤。
3、然而,由于在上述网络路径中增加过滤网元的方式会增大该网络路径的长度,因此,降低了该待过滤报文的传输效率。
技术实现思路
1、本申请实施例提供一种网络安全访问方法及计算设备,能够提高待过滤报文的传输效率。
2、为达到上述目的,本申请实施例采用如下技术方案:
3、第一方面,本申请实施例提供一种网络安全访问方法,该方法包括:获取网络访问配置信息,该网络访问配置信息用于表示网络安全访问的配置信息;基于该网络访问配置信息,生成报文过滤规则;将过滤器注入到第一网卡对应的接入点,该过滤器用于按照上述报文过滤规则进行报文过滤,该接入点用于拦截报文;在第一网卡进行报文传输的情况下,基于上述过滤器,在接入点进行报文过滤。
4、上述实施例中的网络安全访问方法通过获取用于表示网络安全访问的配置信息的网络访问配置信息,并根据该网络访问配置信息,生成报文过滤规则;然后,将用于按照该报文过滤规则进行报文过滤的过滤器注入到第一网卡对应的用于拦截报文的接入点;以使第一网卡进行报文传输时,基于该过滤器在该接入点进行报文过滤,
5、一种可能的实现方式中,上述基于网络配置信息,生成报文过滤规则,包括:对该网络访问配置信息进行规则转换,得到与上述过滤器相匹配的报文过滤规则;其中,该网络访问配置信息至少包括:目标过滤条件;上述报文过滤规则用于确定待过滤报文是否满足目标过滤条件。
6、一种可能的实现方式中,上述基于过滤器,在接入点进行报文过滤,包括:当第一网卡进行传输的待过滤报文的报文类型为接收报文时,基于该过滤器,在第一接入点进行报文过滤,该接收报文是其他设备向第一网卡所在的计算设备发送的报文;当该待过滤报文的报文类型为发送报文时,基于过滤器,在第二接入点进行报文过滤;该发送报文是上述计算设备向其他设备发送的报文;上述接入点包括:第一接入点和第二接入点。
7、上述实施例中cpu根据待过滤报文的报文类型,在不同接入点对不同报文类型的待过滤报文进行过滤;其中,当上述待过滤报文的报文类型为接收报文时,在第一接入点(如:tc接入点)对接收报文进行过滤;当上述待过滤报文的报文类型为发送报文时,在第二接入点(如:xdp接入点)对发送报文进行过滤。相较于在同一接入点(如:tc接入点)同时对接收报文和发送报文进行过滤的方式,上述实施例在降低该tc接入点的负载压力的同时提高了报文过滤的效率。
8、一种可能的实现方式中,上述第一接入点包括流量控制tc接入点,第二接入点包括:快速数据路径xdp接入点。
9、上述实施例中第一接入点为tc接入点,第二接入点为xdp接入点;由于tc接入点和xdp接入点均为为处理器内核中的接入点,所以当接入点拦截到待过滤报文时,在处理器内核中对待过滤报文进行过滤;所以并不需要在第一网卡的传输路径上增加过滤网元,从而缩短了该计算设备中的网络路径的长度,因此,提高了报文的传输效率。
10、一种可能的实现方式中,上述基于过滤器,在接入点进行报文过滤,具体包括:在上述接入点拦截到第一网卡进行传输的待过滤报文时,确定待过滤报文是否满足目标过滤条件;当待过滤报文满足目标过滤条件时,传输待过滤报文;当待过滤报文不满足目标过滤条件时,删除待过滤报文。
11、一种可能的实现方式中,上述确定待过滤报文是否满足上述目标过滤条件,包括:获取第一对应关系,该第一对应关系包括传输协议的协议标识与过滤条件的对应关系,上述网络访问配置信息包括该第一对应关系;将第一对应关系中待过滤报文的传输协议的协议标识对应的过滤条件确定为目标过滤条件。确定待过滤报文是否满足该目标过滤条件。
12、上述实施例在第一网卡对应的接入点拦截到第一网卡进行传输的待过滤报文的情况下,基于该接入点的过滤器获取第一对应关系,该第一对应关系包括传输协议的协议标识与过滤条件的对应关系;并将该第一对应关系中上述待过滤报文的传输协议的协议标识对应的过滤条件确定为目标过滤条件,然后,在该待过滤报文满足该目标过滤条件的情况下传输该待过滤报文,在该待过滤报文不满足该目标过滤条件的情况下删除该待过滤报文;由于上述进行报文过滤的过滤器是第一网卡对应的接入点的过滤器,所以并不需要在第一网卡的传输路径上增加过滤网元,从而缩短了该计算设备中的网络路径的长度,因此,提高了报文的传输效率。
13、此外,上述实施例是根据待过滤报文的传输协议的协议标识从第一对应关系中确定该待过滤报文对应的目标过滤条件;然后,基于该待过滤报文对应的目标过滤条件过滤该待过滤报文,从而提高了报文过滤的精准度。
14、一种可能的实现方式中,上述将过滤器注入到第一网卡对应的接入点,包括:当待过滤报文的报文类型为接收报文时,将过滤器注入到第一网卡对应的第一接入点;上述网络访问配置信息还包括:待过滤报文的报文类型,该第一接入点用于对报文类型为接收报文的报文进行过滤;
15、一种可能的实现方式中,上述方法还包括:当待过滤报文的报文类型为发送报文时,将过滤器注入到第一网卡对应的第二接入点;该第二接入点用于对报文类型为发送报文的报文进行过滤。
16、上述实施例是根据待过滤报文的报文类型将上述过滤器注入到网卡对应的不同接入点;以使cpu在不同接入点过滤不同报文类型的待过滤报文;相较于在同一接入点(如:tc接入点)同时对接收报文和发送报文进行过滤的方式,上述实施例在降低该tc接入点的负载压力的同时提高了报文过滤的效率。
17、一种可能的实现方式中,在上述获取网络访问配置信息之后,该方法还包括:根据合并规则对上述网络访问配置信息中的地址信息进行合并,得到合并后的网络访问配置信息,该地址信息包括ip地址和端口号;其中,该合并规则包括:将ip地址相同且端口号连续的多个地址信息,合并为包括一个ip地址和一个端口范围的地址信息,该端口范围中的最大端口号是上述多个地址信息中的最大端口号,该端口范围中的最小端口号是上述多个地址信息中的最小端口号;和/或,上述合并规则包括:将端口号相同且ip地址连续的多个地址信息,合并为包括一个ip范围和一个端口号的地址信息,上述ip范围中的最大ip地址是多个地址信息中的最大ip地址,该ip范围中的最小ip地址是上述多个地址信息中的最小ip地址;上述基于网络访问配置信息,生成报文过滤规则,包括根据上述合并后的网络访问配置信息,生成报文过滤规则。
18、上述实施例通过将网络访问配置信息包括的地址本文档来自技高网...
【技术保护点】
1.一种网络安全访问方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述基于所述网络配置信息,生成报文过滤规则,包括:
3.根据权利要求2所述的方法,其特征在于,所述基于所述过滤器,在所述接入点进行报文过滤,包括:
4.根据权利要求3所述的方法,其特征在于,
5.根据权利要求2-3任一项所述的方法,其特征在于,所述基于所述过滤器,在所述接入点进行报文过滤,具体包括:
6.根据权利要求5所述的方法,其特征在于,所述确定所述待过滤报文是否满足所述目标过滤条件,包括:
7.根据权利要求1-6任一项所述的方法,其特征在于,所述将过滤器注入到第一网卡对应的接入点,包括:
8.根据权利要求7所述的方法,其特征在于,所述方法还包括:
9.根据权利要求1-8任一项所述的方法,其特征在于,在所述获取网络访问配置信息之后,所述方法还包括:
10.一种计算设备,其特征在于,包括存储器和处理器,所述存储器与所述处理器耦合;所述存储器用于存储计算机程序代码,所述计算机程序
...【技术特征摘要】
1.一种网络安全访问方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述基于所述网络配置信息,生成报文过滤规则,包括:
3.根据权利要求2所述的方法,其特征在于,所述基于所述过滤器,在所述接入点进行报文过滤,包括:
4.根据权利要求3所述的方法,其特征在于,
5.根据权利要求2-3任一项所述的方法,其特征在于,所述基于所述过滤器,在所述接入点进行报文过滤,具体包括:
6.根据权利要求5所述的方法,其特征在于,所述确定所述待过滤报文是否满足所述目标过滤条件,包括...
【专利技术属性】
技术研发人员:曾令慧,聂琦,
申请(专利权)人:超聚变数字技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。