專利名稱:一種智能的流量安全處理控制方法及裝置的制作方法
技術領域:
本發明涉及數據通信技術,尤其涉及網絡中流量處理的智能控制技術。
背景技術:
隨著網絡的延伸,網絡規模迅速擴大,安全問題變得日益復雜,建設可管、可控、可 信的網絡成為進一步推進網絡應用發展的前提;另一方面隨著網絡所承載的業務日益復 雜,保證應用層安全是網絡安全發展的新的方向。在網絡發展的早期,網絡設備的主要職責是路由轉發。但隨著網絡相關應用的發 展,服務質量保證以及安全處理等應用出現了,網絡設備對一個報文的處理流程變得更長 了。網絡設備在進行報文轉發之前,其內的應用程序會對通過他的網絡封包進行分析,以判 斷是否有威脅存在,處理完后再按照一定的路由規則將封包轉發出去,但是網絡設備的處 理能力是有限的,當網絡中的流量很大時,網絡設備如何能保證網絡的暢通并且能實時的 對網絡進行保護呢,是現有技術中一直存在的技術難題。
發明內容
本發明的目的在于提供一種智能的流量安全處理控制裝置,其應用于網絡設備 中,包括流量策略單元、安全處理單元、轉發單元以及監控單元,其中所述流量策略單元,用于從網絡接口接收用戶報文,結合網絡設備當前的負荷狀 態并根據預定的策略確定所述用戶報文送往所述轉發單元還是送往所述安全處理單元;所述安全處理單元,用于對從流量策略單元收到的用戶報文進行安全檢測,并將 通過安全檢測的報文送往轉發單元,將未能通過安全檢測的報文丟棄;所述轉發單元,用于根據報文的地址信息將從所述流量策略單元收到的用戶報文 轉發出去;所述監控單元,用于監控網絡設備的負荷狀態,并將負荷狀態信息反饋給所述流
量策略單元。優選地,所述負荷狀態是CPU利用率。優選地,其中所述預定的策略為如果所述負荷狀態到達預設的第一閾值則將所 述用戶報文送往所述轉發單元,否則將所述用戶報文送往安全策略單元。優選地,其中所述預定的策略為如果所述負荷狀態小于第一閾值,則將所述用戶 報文送往安全處理單元;如果所述負荷狀態大于等于第一閾值則進一步判斷用戶報文是否 屬于第一優先級,如果是,則將該報文送往安全處理單元,否則將用戶報文送往轉發單元。優選地,其中所述預定的策略為如果所述負荷狀態未達到預設的第一閾值則將 所述用戶報文送往安全處理單元;如果所述負荷狀態達到預設的第一閾值但未達到預設的 第二閾值,則進一步判斷用戶報文是否屬于第一優先級,如果是,則將該報文送往安全處理 單元,否則將用戶報文送往轉發單元;如果所述負荷狀態達到預設的第二閾值,則將該用戶 報文送往轉發單元。
優選地,其中所述流量策略單元是根據用戶報文中的優先級標記確定該用戶報文 是否屬于第一優先級的,其中所述優先級標記是用戶報文的IP地址或者進入流量策略單 元之前網絡設備為該用戶報文打上的優先級標記。本發明還提供一種智能的流量安全處理控制方法,應用于網絡設備中,該方法包 括步驟A、獲取網絡設備當前的負荷狀態;步驟B、從網絡接口接收用戶報文,結合網絡設備當前的負荷狀態并根據預定的策 略確定是否對該報文進行安全處理,如果是轉步驟C,否則轉步驟D ;步驟C、對用戶報文進行安全檢測,如果用戶報文通過安全檢測轉步驟D,否則丟 棄該用戶報文;;步驟D、根據報文的地址信息將收到的用戶報文轉發出去。優選地,所述負荷狀態是CPU利用率。優選地,其中所述預定的策略為如果所述負荷狀態到達預設的第一閾值轉步驟 D,否則轉步驟C。優選地,其中所述預定的策略為如果所述負荷狀態小于第一閾值,轉步驟C ;如 果所述負荷狀態大于等于第一閾值則進一步判斷用戶報文是否屬于第一優先級,如果是則 轉步驟C,否則轉步驟D。優選地,其中所述預定的策略為如果所述負荷狀態未達到預設的第一閾值,轉步 驟C;如果所述負荷狀態達到預設的第一閾值但未達到預設的第二閾值,則進一步判斷用 戶報文是否屬于第一優先級,如果是則轉步驟C,否則轉步驟D ;如果所述負荷狀態達到預 設的第二閾值,轉步驟D。優選地,其中判斷用戶報文是否屬于第一優先級具體為根據用戶報文中的優先 級標記確定該用戶報文是否屬于第一優先級的,其中所述優先級標記是用戶報文的IP地 址或者進入流量策略單元之前網絡設備為該用戶報文打上的優先級標記。相較于現有技術,當網絡中的流量很大超過網絡設備的處理能力時,本發明可以 保證了網絡的暢通,并且多級的安全處理的旁路功能也能保證網絡設備重點保護的對象在 流量沒有超過其對應的閾值時繼續受到保護,也就是可以繼續做安全處理,達到了安全與 網絡通暢的平衡。
圖1是本發明組網模式圖。圖2是本發明智能流量安全處理控制裝置邏輯結構圖。圖3是本發明流量策略控制狀態圖。
具體實施例方式請參考圖1,網絡安全設備通常位于企業網絡的出口附近,其業務負擔一半都比較 重,本發明聚焦于安全設備在性能和業務上的平衡。從整體上來說本發明能夠根據不同的 流量級別來分別自動開啟或關閉應用層流控bypass (旁路),從而平衡網絡設備資源與業 務的處理。更進一步來說,可以根據不同級別的網絡流量,分別對處于不同級別的保護對象進行旁路處理,并且當通過設備的流量下降到某個級別點時,網絡設備又會自動關閉旁路 處理的功能,這不僅能夠在網絡流量很大的一瞬間保護網絡設備,保證網絡的暢通,而且也 能夠在網絡流量恢復正常的時候實時的保護網絡設備要保護的對象。以下結合附圖通過一 些具體的實例來進行詳細描述在優選的實施方式中,本發明通過應用在網絡設備中的計算機程序實現。請參考 圖2并結合圖3,本發明智能流量安全處理裝置包括網絡接口 10、流量策略單元20、安全處 理單元30、轉發單元40、配置單元50以及監控單元60,為了更簡潔地描述本發明,以下描述 的流程處理與邏輯結構相對應的,具體實施方式
中不再分別進行重復描述。步驟101、獲取網絡設備當前的負荷狀態;本步驟的執行對應為監控單元執行。在企業網絡環境中,靠近企業網絡核心位置 的網絡設備通常僅僅承擔著用戶報文的轉發,還要承擔著很多應用處理,比如說地址轉換、 安全處理、限速、審計、流量統計以及服務質量保證等等,其中最常見的業務是安全處理業 務,因此對報文的處理流程更加復雜。隨著語音視頻業務的發展,P2P流量的爆發式增長, 對網絡設備的性能要求越來越高。網絡設備內各種軟硬件資源的使用隨著流量的波動而波 動。在流量較大的情形下,網絡設備的負荷也是相對較大的。網絡設備的負荷狀態可以通 過各種指標進行反映,比如最典型的就是網絡設備的CPU的利用率或者網絡設備的網絡吞 吐率。監控單元獲得網絡設備當前的負荷狀態信息后可以提交流量策略單元,以使的流量 策略單元根據網絡設備的負荷狀態作出合理的策略安排。步驟102、從網絡接口接收用戶報文,結合網絡設備當前的負荷狀態并根據預定的 策略確定是否對該報文進行安全處理,如果是轉步驟103,否則轉步驟104 ;本步驟由流量策略單元執行。具體來說,報文進入網絡設備之后需要進行最基本 的轉發處理,但在做轉發之前需要做各種應用處理,比如安全處理等。然而當報文流量非常 大的時候,如果針對所有報文都進行安全處理,則在網絡設備內的處理時間大大增長,影響 用戶的體驗,容易造成擁塞導致部分隊列中的報文被丟棄。因此本發明采用預定的策略對 用戶報文的處理進行針對性調整。隨著網絡設備負荷的加重相應減少各級別報文的安全處 理。以下就上述預定的策略進行舉例說明示例1 本示例中預定的策略為如果所述負荷狀態到達預設的第一閾值轉步驟 104,否則轉步驟103。本示例中并沒有對用戶報文進行區分,如果遇到網絡設備負荷較高, 比如CPU利用率達到80%,則將用戶報文正常的安全處理流程旁路掉,使其向后進入轉發 流程。示例2 本示例中所述預定的策略為如果所述負荷狀態小于第一閾值,轉步驟 103進行安全處理;如果所述負荷狀態大于等于第一閾值則進一步判斷用戶報文是否屬于 第一優先級,如果是則轉步驟103進行安全處理,否則轉步驟104進行轉發處理。在這一示 例中對用戶報文進行了區分,也就是說當網絡設備負擔較重的時候,旁路掉一部分報文的 安全處理,從而減輕設備的負擔,避免造成擁塞,保證報文處理的及時性。比如定義VIP流 量(對應上述第一優先級用戶報文組成的流量)和普通流量。這里可以采用比較簡單普遍 的定義方式取用戶報文ip地址或者在報文進入網絡設備時在報文dscp標志位里打上的 優先級標記來定義。這里介紹用ip地址來區分的定義方式,在用戶界面上,用戶可以通過 配置單元50提供的配置接口將需要重點保護的ip地址加入VIP流量網段作為第一優先級的報文進行對待。比如當系統的處理能力達到一定程度的時候,例如CPU的利用率達到 60%或者網絡吞吐率達到設計規格的60%,自動開啟對普通流量的旁路功能,使屬于普通 流量的用戶報文跳過安全處理流程而進入轉發處理,而對于VIP流量的用戶報文則需要按 照正常的處理方式先送入安全處理單元進行處理。示例3 本示例中所述預定的策略為如果所述負荷狀態未達到預設的第一閾值, 轉步驟103 ;如果所述負荷狀態達到預設的第一閾值但未達到預設的第二閾值,則進一步 判斷用戶報文是否屬于第一優先級,如果是則轉步驟103,否則轉步驟104 ;如果所述負荷 狀態達到預設的第二閾值,轉步驟104。在示例2的基礎上,如果在開啟普通流量的旁路功 能之后,網絡設備負荷狀態進一步加重,比如cpu的利用率進一步上升到達80%,流量策略 單元開啟對VIP流量的旁路。也就是如果設備的負荷非常嚴重的時候,需要對高優先級的 報文(第一優先級的報文)進行旁路處理,使得更高優先級的報文也跳過安全處理進入報 文轉發。在示例3中用戶的報文被劃分為2個優先級,分別對應到2個閾值;如果用戶希望 做更細化的流量策略控制,可以進一步劃分用戶報文的優先級,設置更多的對應的網絡設 備負荷狀態的閾值,從而達到更為精細的控制。從流量策略實施過程中旁路功能的使能狀態上來看,當網絡設備的負荷狀態從高 到低變化時,流量策略單元會依次關閉掉對VIP流量的旁路以及對普通流量的旁路。比如 CPU利用率低于80%時,關閉對VIP流量的用戶報文的旁路處理,當CPU利用率進一步降低 到60%的時候,進一步關閉對普通流量的用戶報文的旁路。當網絡設備的負荷狀態從低到 高進行變化時,則剛好相反。請參考圖3,本發明的流量策略單元中旁路執行的狀態圖清晰 地示意了各種狀態之間的變化。步驟103、對從流量策略單元收到的用戶報文進行安全檢測,并將通過安全檢測的 報文送往轉發單元,將未能通過安全檢測的報文丟棄;本步驟由安全處理單元執行。安全 處理單元可以采用深度報文檢測技術對報文的報頭以及報文的內容進行深度檢測以確定 報文是否符合預定的安全策略,對于不符合安全策略的報文可以進行丟棄以確保網絡的安 全,符合安全策略的報文送往轉發單元進行正常的轉發處理。步驟104、根據報文的地址信息將從所述流量策略單元收到的用戶報文轉發出去; 本步驟由轉發單元進行處理,轉發處理屬于網絡設備的基本功能,在此不再進行詳細描述。在傳統技術中,當網絡中的流量很大超過網絡設備的處理能力時,網絡安全設備 將無法正常處理或者轉發全部的報文,這樣就會形成擁塞甚至導致部分報文被丟棄。相反 在這種情況下本發明可以保證了網絡的暢通,并且多級的安全處理的旁路功能也能保證網 絡設備重點保護的對象在流量沒有超過其對應的閾值時繼續受到保護也就是可以繼續做 安全處理,達到了安全與網絡通暢的平衡。以上所描述的僅僅是本發明較佳的實現方式,并不用以限定本發明的保護范圍, 任何等同的變化和修改皆應涵蓋在本發明的保護范圍之內。
權利要求
一種智能的流量安全處理控制裝置,其應用于網絡設備中,包括流量策略單元、安全處理單元、轉發單元以及監控單元,其特征在于所述流量策略單元,用于從網絡接口接收用戶報文,結合網絡設備當前的負荷狀態并根據預定的策略確定所述用戶報文送往所述轉發單元還是送往所述安全處理單元;所述安全處理單元,用于對從流量策略單元收到的用戶報文進行安全檢測,并將通過安全檢測的報文送往轉發單元,將未能通過安全檢測的報文丟棄;所述轉發單元,用于根據報文的地址信息將從所述流量策略單元收到的用戶報文轉發出去;所述監控單元,用于監控網絡設備的負荷狀態,并將負荷狀態信息反饋給所述流量策略單元。
2.根據權利要求1所述的裝置,其特征在于,所述負荷狀態是CPU利用率。
3.根據權利要求1所述的裝置,其特征在于,其中所述預定的策略為如果所述負荷狀 態到達預設的第一閾值則將所述用戶報文送往所述轉發單元,否則將所述用戶報文送往安 全策略單元。
4.根據權利要求1所述的裝置,其特征在于,其中所述預定的策略為如果所述負荷狀 態小于第一閾值,則將所述用戶報文送往安全處理單元;如果所述負荷狀態大于等于第一 閾值則進一步判斷用戶報文是否屬于第一優先級,如果是,則將該報文送往安全處理單元, 否則將用戶報文送往轉發單元。
5.根據權利要求1所述的裝置,其特征在于,其中所述預定的策略為如果所述負荷狀 態未達到預設的第一閾值則將所述用戶報文送往安全處理單元;如果所述負荷狀態達到預 設的第一閾值但未達到預設的第二閾值,則進一步判斷用戶報文是否屬于第一優先級,如 果是,則將該報文送往安全處理單元,否則將用戶報文送往轉發單元;如果所述負荷狀態達 到預設的第二閾值,則將該用戶報文送往轉發單元。
6.根據權利要求4或5所述的裝置,其特征在于,其中所述流量策略單元是根據用戶報 文中的優先級標記確定該用戶報文是否屬于第一優先級的,其中所述優先級標記是用戶報 文的IP地址或者進入流量策略單元之前網絡設備為該用戶報文打上的優先級標記。
7.一種智能的流量安全處理控制方法,應用于網絡設備中,其特征在于,該方法包括步驟A、獲取網絡設備當前的負荷狀態;步驟B、從網絡接口接收用戶報文,結合網絡設備當前的負荷狀態并根據預定的策略確 定是否對該報文進行安全處理,如果是轉步驟C,否則轉步驟D ;步驟C、對用戶報文進行安全檢測,如果用戶報文通過安全檢測轉步驟D,否則丟棄該 用戶報文;;步驟D、根據報文的地址信息將收到的用戶報文轉發出去。
8.根據權利要求7所述的方法,其特征在于,所述負荷狀態是CPU利用率。
9.根據權利要求7所述的裝置,其特征在于,其中所述預定的策略為如果所述負荷狀 態到達預設的第一閾值轉步驟D,否則轉步驟C。
10.根據權利要求7所述的裝置,其特征在于,其中所述預定的策略為如果所述負荷 狀態小于第一閾值,轉步驟C;如果所述負荷狀態大于等于第一閾值則進一步判斷用戶報 文是否屬于第一優先級,如果是則轉步驟C,否則轉步驟D。
11.根據權利要求10所述的裝置,其特征在于,其中所述預定的策略為如果所述負荷 狀態未達到預設的第一閾值,轉步驟C;如果所述負荷狀態達到預設的第一閾值但未達到 預設的第二閾值,則進一步判斷用戶報文是否屬于第一優先級,如果是則轉步驟C,否則轉 步驟D ;如果所述負荷狀態達到預設的第二閾值,轉步驟D。
12.根據權利要求7所述的裝置,其特征在于,其中判斷用戶報文是否屬于第一優先級 具體為根據用戶報文中的優先級標記確定該用戶報文是否屬于第一優先級的,其中所述 優先級標記是用戶報文的IP地址或者進入流量策略單元之前網絡設備為該用戶報文打上 的優先級標記。
全文摘要
本發明提供了一種智能的流量安全處理控制裝置,其應用于網絡設備中,包括流量策略單元、安全處理單元、轉發單元以及監控單元,其中流量策略單元用于接收用戶報文結合網絡設備當前的負荷狀態并根據預定的策略確定所述用戶報文送往所述轉發單元還是送往所述安全處理單元從而實現安全處理旁路的功能,同時可以進一步根據流量的優先級進行策略的細分,從而達到了業務安全與網絡通暢的平衡。
文檔編號H04L29/06GK101977154SQ20101054507
公開日2011年2月16日 申請日期2010年11月16日 優先權日2010年11月16日
發明者張家銘 申請人:杭州迪普科技有限公司