专利名称:一种智能的流量安全处理控制方法及装置的制作方法
技术领域:
本发明涉及数据通信技术,尤其涉及网络中流量处理的智能控制技术。
背景技术:
随着网络的延伸,网络规模迅速扩大,安全问题变得日益复杂,建设可管、可控、可 信的网络成为进一步推进网络应用发展的前提;另一方面随着网络所承载的业务日益复 杂,保证应用层安全是网络安全发展的新的方向。在网络发展的早期,网络设备的主要职责是路由转发。但随着网络相关应用的发 展,服务质量保证以及安全处理等应用出现了,网络设备对一个报文的处理流程变得更长 了。网络设备在进行报文转发之前,其内的应用程序会对通过他的网络封包进行分析,以判 断是否有威胁存在,处理完后再按照一定的路由规则将封包转发出去,但是网络设备的处 理能力是有限的,当网络中的流量很大时,网络设备如何能保证网络的畅通并且能实时的 对网络进行保护呢,是现有技术中一直存在的技术难题。
发明内容
本发明的目的在于提供一种智能的流量安全处理控制装置,其应用于网络设备 中,包括流量策略单元、安全处理单元、转发单元以及监控单元,其中所述流量策略单元,用于从网络接口接收用户报文,结合网络设备当前的负荷状 态并根据预定的策略确定所述用户报文送往所述转发单元还是送往所述安全处理单元;所述安全处理单元,用于对从流量策略单元收到的用户报文进行安全检测,并将 通过安全检测的报文送往转发单元,将未能通过安全检测的报文丢弃;所述转发单元,用于根据报文的地址信息将从所述流量策略单元收到的用户报文 转发出去;所述监控单元,用于监控网络设备的负荷状态,并将负荷状态信息反馈给所述流
量策略单元。优选地,所述负荷状态是CPU利用率。优选地,其中所述预定的策略为如果所述负荷状态到达预设的第一阈值则将所 述用户报文送往所述转发单元,否则将所述用户报文送往安全策略单元。优选地,其中所述预定的策略为如果所述负荷状态小于第一阈值,则将所述用户 报文送往安全处理单元;如果所述负荷状态大于等于第一阈值则进一步判断用户报文是否 属于第一优先级,如果是,则将该报文送往安全处理单元,否则将用户报文送往转发单元。优选地,其中所述预定的策略为如果所述负荷状态未达到预设的第一阈值则将 所述用户报文送往安全处理单元;如果所述负荷状态达到预设的第一阈值但未达到预设的 第二阈值,则进一步判断用户报文是否属于第一优先级,如果是,则将该报文送往安全处理 单元,否则将用户报文送往转发单元;如果所述负荷状态达到预设的第二阈值,则将该用户 报文送往转发单元。
优选地,其中所述流量策略单元是根据用户报文中的优先级标记确定该用户报文 是否属于第一优先级的,其中所述优先级标记是用户报文的IP地址或者进入流量策略单 元之前网络设备为该用户报文打上的优先级标记。本发明还提供一种智能的流量安全处理控制方法,应用于网络设备中,该方法包 括步骤A、获取网络设备当前的负荷状态;步骤B、从网络接口接收用户报文,结合网络设备当前的负荷状态并根据预定的策 略确定是否对该报文进行安全处理,如果是转步骤C,否则转步骤D ;步骤C、对用户报文进行安全检测,如果用户报文通过安全检测转步骤D,否则丢 弃该用户报文;;步骤D、根据报文的地址信息将收到的用户报文转发出去。优选地,所述负荷状态是CPU利用率。优选地,其中所述预定的策略为如果所述负荷状态到达预设的第一阈值转步骤 D,否则转步骤C。优选地,其中所述预定的策略为如果所述负荷状态小于第一阈值,转步骤C ;如 果所述负荷状态大于等于第一阈值则进一步判断用户报文是否属于第一优先级,如果是则 转步骤C,否则转步骤D。优选地,其中所述预定的策略为如果所述负荷状态未达到预设的第一阈值,转步 骤C;如果所述负荷状态达到预设的第一阈值但未达到预设的第二阈值,则进一步判断用 户报文是否属于第一优先级,如果是则转步骤C,否则转步骤D ;如果所述负荷状态达到预 设的第二阈值,转步骤D。优选地,其中判断用户报文是否属于第一优先级具体为根据用户报文中的优先 级标记确定该用户报文是否属于第一优先级的,其中所述优先级标记是用户报文的IP地 址或者进入流量策略单元之前网络设备为该用户报文打上的优先级标记。相较于现有技术,当网络中的流量很大超过网络设备的处理能力时,本发明可以 保证了网络的畅通,并且多级的安全处理的旁路功能也能保证网络设备重点保护的对象在 流量没有超过其对应的阈值时继续受到保护,也就是可以继续做安全处理,达到了安全与 网络通畅的平衡。
图1是本发明组网模式图。图2是本发明智能流量安全处理控制装置逻辑结构图。图3是本发明流量策略控制状态图。
具体实施例方式请参考图1,网络安全设备通常位于企业网络的出口附近,其业务负担一半都比较 重,本发明聚焦于安全设备在性能和业务上的平衡。从整体上来说本发明能够根据不同的 流量级别来分别自动开启或关闭应用层流控bypass (旁路),从而平衡网络设备资源与业 务的处理。更进一步来说,可以根据不同级别的网络流量,分别对处于不同级别的保护对象进行旁路处理,并且当通过设备的流量下降到某个级别点时,网络设备又会自动关闭旁路 处理的功能,这不仅能够在网络流量很大的一瞬间保护网络设备,保证网络的畅通,而且也 能够在网络流量恢复正常的时候实时的保护网络设备要保护的对象。以下结合附图通过一 些具体的实例来进行详细描述在优选的实施方式中,本发明通过应用在网络设备中的计算机程序实现。请参考 图2并结合图3,本发明智能流量安全处理装置包括网络接口 10、流量策略单元20、安全处 理单元30、转发单元40、配置单元50以及监控单元60,为了更简洁地描述本发明,以下描述 的流程处理与逻辑结构相对应的,具体实施方式
中不再分别进行重复描述。步骤101、获取网络设备当前的负荷状态;本步骤的执行对应为监控单元执行。在企业网络环境中,靠近企业网络核心位置 的网络设备通常仅仅承担着用户报文的转发,还要承担着很多应用处理,比如说地址转换、 安全处理、限速、审计、流量统计以及服务质量保证等等,其中最常见的业务是安全处理业 务,因此对报文的处理流程更加复杂。随着语音视频业务的发展,P2P流量的爆发式增长, 对网络设备的性能要求越来越高。网络设备内各种软硬件资源的使用随着流量的波动而波 动。在流量较大的情形下,网络设备的负荷也是相对较大的。网络设备的负荷状态可以通 过各种指标进行反映,比如最典型的就是网络设备的CPU的利用率或者网络设备的网络吞 吐率。监控单元获得网络设备当前的负荷状态信息后可以提交流量策略单元,以使的流量 策略单元根据网络设备的负荷状态作出合理的策略安排。步骤102、从网络接口接收用户报文,结合网络设备当前的负荷状态并根据预定的 策略确定是否对该报文进行安全处理,如果是转步骤103,否则转步骤104 ;本步骤由流量策略单元执行。具体来说,报文进入网络设备之后需要进行最基本 的转发处理,但在做转发之前需要做各种应用处理,比如安全处理等。然而当报文流量非常 大的时候,如果针对所有报文都进行安全处理,则在网络设备内的处理时间大大增长,影响 用户的体验,容易造成拥塞导致部分队列中的报文被丢弃。因此本发明采用预定的策略对 用户报文的处理进行针对性调整。随着网络设备负荷的加重相应减少各级别报文的安全处 理。以下就上述预定的策略进行举例说明示例1 本示例中预定的策略为如果所述负荷状态到达预设的第一阈值转步骤 104,否则转步骤103。本示例中并没有对用户报文进行区分,如果遇到网络设备负荷较高, 比如CPU利用率达到80%,则将用户报文正常的安全处理流程旁路掉,使其向后进入转发 流程。示例2 本示例中所述预定的策略为如果所述负荷状态小于第一阈值,转步骤 103进行安全处理;如果所述负荷状态大于等于第一阈值则进一步判断用户报文是否属于 第一优先级,如果是则转步骤103进行安全处理,否则转步骤104进行转发处理。在这一示 例中对用户报文进行了区分,也就是说当网络设备负担较重的时候,旁路掉一部分报文的 安全处理,从而减轻设备的负担,避免造成拥塞,保证报文处理的及时性。比如定义VIP流 量(对应上述第一优先级用户报文组成的流量)和普通流量。这里可以采用比较简单普遍 的定义方式取用户报文ip地址或者在报文进入网络设备时在报文dscp标志位里打上的 优先级标记来定义。这里介绍用ip地址来区分的定义方式,在用户界面上,用户可以通过 配置单元50提供的配置接口将需要重点保护的ip地址加入VIP流量网段作为第一优先级的报文进行对待。比如当系统的处理能力达到一定程度的时候,例如CPU的利用率达到 60%或者网络吞吐率达到设计规格的60%,自动开启对普通流量的旁路功能,使属于普通 流量的用户报文跳过安全处理流程而进入转发处理,而对于VIP流量的用户报文则需要按 照正常的处理方式先送入安全处理单元进行处理。示例3 本示例中所述预定的策略为如果所述负荷状态未达到预设的第一阈值, 转步骤103 ;如果所述负荷状态达到预设的第一阈值但未达到预设的第二阈值,则进一步 判断用户报文是否属于第一优先级,如果是则转步骤103,否则转步骤104 ;如果所述负荷 状态达到预设的第二阈值,转步骤104。在示例2的基础上,如果在开启普通流量的旁路功 能之后,网络设备负荷状态进一步加重,比如cpu的利用率进一步上升到达80%,流量策略 单元开启对VIP流量的旁路。也就是如果设备的负荷非常严重的时候,需要对高优先级的 报文(第一优先级的报文)进行旁路处理,使得更高优先级的报文也跳过安全处理进入报 文转发。在示例3中用户的报文被划分为2个优先级,分别对应到2个阈值;如果用户希望 做更细化的流量策略控制,可以进一步划分用户报文的优先级,设置更多的对应的网络设 备负荷状态的阈值,从而达到更为精细的控制。从流量策略实施过程中旁路功能的使能状态上来看,当网络设备的负荷状态从高 到低变化时,流量策略单元会依次关闭掉对VIP流量的旁路以及对普通流量的旁路。比如 CPU利用率低于80%时,关闭对VIP流量的用户报文的旁路处理,当CPU利用率进一步降低 到60%的时候,进一步关闭对普通流量的用户报文的旁路。当网络设备的负荷状态从低到 高进行变化时,则刚好相反。请参考图3,本发明的流量策略单元中旁路执行的状态图清晰 地示意了各种状态之间的变化。步骤103、对从流量策略单元收到的用户报文进行安全检测,并将通过安全检测的 报文送往转发单元,将未能通过安全检测的报文丢弃;本步骤由安全处理单元执行。安全 处理单元可以采用深度报文检测技术对报文的报头以及报文的内容进行深度检测以确定 报文是否符合预定的安全策略,对于不符合安全策略的报文可以进行丢弃以确保网络的安 全,符合安全策略的报文送往转发单元进行正常的转发处理。步骤104、根据报文的地址信息将从所述流量策略单元收到的用户报文转发出去; 本步骤由转发单元进行处理,转发处理属于网络设备的基本功能,在此不再进行详细描述。在传统技术中,当网络中的流量很大超过网络设备的处理能力时,网络安全设备 将无法正常处理或者转发全部的报文,这样就会形成拥塞甚至导致部分报文被丢弃。相反 在这种情况下本发明可以保证了网络的畅通,并且多级的安全处理的旁路功能也能保证网 络设备重点保护的对象在流量没有超过其对应的阈值时继续受到保护也就是可以继续做 安全处理,达到了安全与网络通畅的平衡。以上所描述的仅仅是本发明较佳的实现方式,并不用以限定本发明的保护范围, 任何等同的变化和修改皆应涵盖在本发明的保护范围之内。
权利要求
一种智能的流量安全处理控制装置,其应用于网络设备中,包括流量策略单元、安全处理单元、转发单元以及监控单元,其特征在于所述流量策略单元,用于从网络接口接收用户报文,结合网络设备当前的负荷状态并根据预定的策略确定所述用户报文送往所述转发单元还是送往所述安全处理单元;所述安全处理单元,用于对从流量策略单元收到的用户报文进行安全检测,并将通过安全检测的报文送往转发单元,将未能通过安全检测的报文丢弃;所述转发单元,用于根据报文的地址信息将从所述流量策略单元收到的用户报文转发出去;所述监控单元,用于监控网络设备的负荷状态,并将负荷状态信息反馈给所述流量策略单元。
2.根据权利要求1所述的装置,其特征在于,所述负荷状态是CPU利用率。
3.根据权利要求1所述的装置,其特征在于,其中所述预定的策略为如果所述负荷状 态到达预设的第一阈值则将所述用户报文送往所述转发单元,否则将所述用户报文送往安 全策略单元。
4.根据权利要求1所述的装置,其特征在于,其中所述预定的策略为如果所述负荷状 态小于第一阈值,则将所述用户报文送往安全处理单元;如果所述负荷状态大于等于第一 阈值则进一步判断用户报文是否属于第一优先级,如果是,则将该报文送往安全处理单元, 否则将用户报文送往转发单元。
5.根据权利要求1所述的装置,其特征在于,其中所述预定的策略为如果所述负荷状 态未达到预设的第一阈值则将所述用户报文送往安全处理单元;如果所述负荷状态达到预 设的第一阈值但未达到预设的第二阈值,则进一步判断用户报文是否属于第一优先级,如 果是,则将该报文送往安全处理单元,否则将用户报文送往转发单元;如果所述负荷状态达 到预设的第二阈值,则将该用户报文送往转发单元。
6.根据权利要求4或5所述的装置,其特征在于,其中所述流量策略单元是根据用户报 文中的优先级标记确定该用户报文是否属于第一优先级的,其中所述优先级标记是用户报 文的IP地址或者进入流量策略单元之前网络设备为该用户报文打上的优先级标记。
7.一种智能的流量安全处理控制方法,应用于网络设备中,其特征在于,该方法包括步骤A、获取网络设备当前的负荷状态;步骤B、从网络接口接收用户报文,结合网络设备当前的负荷状态并根据预定的策略确 定是否对该报文进行安全处理,如果是转步骤C,否则转步骤D ;步骤C、对用户报文进行安全检测,如果用户报文通过安全检测转步骤D,否则丢弃该 用户报文;;步骤D、根据报文的地址信息将收到的用户报文转发出去。
8.根据权利要求7所述的方法,其特征在于,所述负荷状态是CPU利用率。
9.根据权利要求7所述的装置,其特征在于,其中所述预定的策略为如果所述负荷状 态到达预设的第一阈值转步骤D,否则转步骤C。
10.根据权利要求7所述的装置,其特征在于,其中所述预定的策略为如果所述负荷 状态小于第一阈值,转步骤C;如果所述负荷状态大于等于第一阈值则进一步判断用户报 文是否属于第一优先级,如果是则转步骤C,否则转步骤D。
11.根据权利要求10所述的装置,其特征在于,其中所述预定的策略为如果所述负荷 状态未达到预设的第一阈值,转步骤C;如果所述负荷状态达到预设的第一阈值但未达到 预设的第二阈值,则进一步判断用户报文是否属于第一优先级,如果是则转步骤C,否则转 步骤D ;如果所述负荷状态达到预设的第二阈值,转步骤D。
12.根据权利要求7所述的装置,其特征在于,其中判断用户报文是否属于第一优先级 具体为根据用户报文中的优先级标记确定该用户报文是否属于第一优先级的,其中所述 优先级标记是用户报文的IP地址或者进入流量策略单元之前网络设备为该用户报文打上 的优先级标记。
全文摘要
本发明提供了一种智能的流量安全处理控制装置,其应用于网络设备中,包括流量策略单元、安全处理单元、转发单元以及监控单元,其中流量策略单元用于接收用户报文结合网络设备当前的负荷状态并根据预定的策略确定所述用户报文送往所述转发单元还是送往所述安全处理单元从而实现安全处理旁路的功能,同时可以进一步根据流量的优先级进行策略的细分,从而达到了业务安全与网络通畅的平衡。
文档编号H04L29/06GK101977154SQ20101054507
公开日2011年2月16日 申请日期2010年11月16日 优先权日2010年11月16日
发明者张家铭 申请人:杭州迪普科技有限公司