流量处理方法、装置及系统、防火墙和服务器与流程

本申请涉及网络技术领域，尤其涉及一种流量处理方法、装置及系统、防火墙和服务器。

背景技术：

随着网络用户的数量不断增加，网络安全成为当前应用过程中的重要课题。而防火墙由于具有转发、路由功能，可以部署大量策略和访问控制列表，还可以对内部和外部流量进行过滤，因此具有较强的安全性，被广泛应用于互联网。

目前，防火墙一般通过白名单、黑名单以及包过滤技术(或者说通过特定的规则)，对输入或输出流量的ip进行精确和模糊匹配，从而达到访问控制的目的。然而随着网络规模日益增加，部署的安全策略数量也与日俱增(即需部署的规则数量增加)，而防火墙中所能部署的规则数量有限，从而无法满足日益增加的规则数量需求。

技术实现要素：

有鉴于此，本申请实施例提供了一种流量处理方法、装置及系统、防火墙和服务器，用以解决现有技术中防火墙无法满足日益增加的规则数量需求。

第一方面，本申请实施例提供了一种流量处理方法，所述方法包括：

接收源路由器发送的流量；

判断所述源路由器发送的流量是否命中部署的热点规则，若是，对所述流量进行本地处理；若否，将所述流量发送给服务器；其中，所述热点规则包括预设时间内统计的规则命中次数排名大于预设值的规则；

接收所述服务器返回的命中其白名单规则的流量；

将所述服务器返回的流量发送给目的路由器。

上述方法，通过接收源路由器发送的流量，然后判断源路由器发送的流量是否命中部署的热点规则，若是，对该流量进行本地处理，若否，将该流量发送给服务器，之后接收服务器返回的命中其白名单规则的流量，并将该服务器返回的流量发送给目的路由器，由于在流量处理的过程中，防火墙中部署热点规则，可以处理大部分的流量，充分利用了防火墙能够处理大流量的属性，并且流量分两级进行处理，因此，相比于现有技术，还可以将规则部署到服务器中，因而可以增加部署的规则数量，从而解决了现有技术中防火墙无法满足日益增加的规则数量需求。

在一可能的实现方式中，所述部署的热点规则包括：白名单规则和黑名单规则；

所述对所述流量进行本地处理，包括：

如果命中白名单规则，将所述流量发送给目的路由器；如果命中黑名单规则，将所述流量丢弃。

该方法中，如果源路由器发送的流量命中白名单规则，将该流量发送给目的路由器，如果源路由器发送的流量命中黑名单规则，将该流量丢弃，因此，在防火墙侧就能处理该流量。

在一可能的实现方式中，在部署热点规则之前，该方法还包括：

将所述源路由器发送的所有流量发送给所述服务器；

接收所述服务器发送的热点规则；

将所述热点规则作为初始部署的热点规则。

该方法中，在系统初始化阶段(即在部署热点规则之前)，将源路由器发送的所有流量发送给服务器，然后接收服务器发送的热点规则，并将该热点规则作为初始部署的热点规则，这样防火墙就能获得初始部署的热点规则。

在一可能的实现方式中，在将未命中热点规则的流量发送给服务器之后，该方法还包括：

接收所述服务器发送的热点规则；

基于所述热点规则更新当前部署的热点规则。

该方法中，通过不断更新部署的热点规则，可以使得热点规则更加精确，因此防火墙可以处理尽可能多的流量，从而提高系统的工作效率。

第二方面，本申请实施例还提供了一种流量处理方法，所述方法包括：

接收防火墙发送的未命中热点规则的流量；其中，所述热点规则包括预设时间内统计的规则命中次数排名大于预设值的规则；

判断所述流量是否命中部署的规则中的白名单规则，若是，将所述流量返回给所述防火墙；其中，所述部署的规则包括：白名单规则和黑名单规则。

上述方法，通过接收防火墙发送的未命中热点规则的流量，然后判断该流量是否命中部署的规则中的白名单规则，若是，将该流量返回给防火墙，之后由防火墙将其转发给目的路由器，由于在流量处理的过程中，未命中防火墙中部署的热点规则的流量还可以由服务器中部署的规则进行处理，因此，相比于现有技术，还可以将规则部署到服务器中，因而可以增加部署的规则数量，从而解决了现有技术中防火墙无法满足日益增加的规则数量需求。

在一可能的实现方式中，该方法还包括：

统计预设时间内各规则的命中次数；

基于所述各规则的命中次数确定下发的热点规则；

将所述热点规则发送给所述防火墙。

该方法中，通过统计预设时间内各规则的命中次数，然后基于各规则的命中次数确定下发的热点规则并发送给防火墙，这样防火墙就可以基于接收到的热点规则处理大部分的流量，只有小部分的流量需要服务器处理，因此可以提高系统的工作效率。

在一可能的实现方式中，所述基于所述各规则的命中次数确定下发的热点规则，包括：

基于所述各规则的命中次数对部署的规则进行排名，并将排名大于第一预设值的规则作为下发的热点规则。

该方法中，将排名大于第一预设值的规则作为下发的热点规则，这样防火墙就可以基于该热点规则处理大部分的流量，只有小部分的流量需要服务器处理，因此可以提高系统的工作效率。

在一可能的实现方式中，所述基于所述各规则的命中次数确定下发的热点规则，包括：

基于所述各规则的命中次数对部署的规则进行排名，并将排名大于第一预设值的规则作为当前热点规则；

将当前热点规则与前一次下发的热点规则按命中次数进行排名，并将排名大于第二预设值的规则作为当前下发的热点规则。

该方法中，将排名大于第一预设值的规则作为当前热点规则，然后将当前热点规则与前一次下发的热点规则按命中次数进行排名，并将排名大于第二预设值的规则作为当前下发的热点规则，这样确定的热点规则更加精确，因此可以处理尽可能多的流量，从而提高系统的工作效率。

在一可能的实现方式中，所述将所述热点规则发送给所述防火墙，包括：

通过openflow协议将所述热点规则发送给所述防火墙。

该方法中，通过openflow协议将热点规则发送给防火墙，这样防火墙就可以基于接收到的热点规则处理大部分的流量，只有小部分的流量需要服务器处理，因此可以提高系统的工作效率。

第三方面，本申请实施例还提供了一种流量处理装置，包括用于执行第一方面或第一方面的任意可能的实现方式中的流量处理方法的模块。

第四方面，本申请实施例还提供了包括用于执行第二方面或第二方面的任意可能的实现方式中的流量处理方法的模块。

第五方面，本申请实施例还提供了一种防火墙，处理器；

用于存储处理器可执行指令的存储器；

其中，所述处理器用于：

接收源路由器发送的流量；

判断所述源路由器发送的流量是否命中部署的热点规则，若是，对所述流量进行本地处理；若否，将所述流量发送给服务器；其中，所述热点规则包括预设时间内统计的规则命中次数排名大于预设值的规则；

接收所述服务器返回的命中其白名单规则的流量；

将所述服务器返回的流量发送给目的路由器。

第六方面，本申请实施例还提供了一种服务器，包括：

处理器；

用于存储处理器可执行指令的存储器；

其中，所述处理器用于：

接收防火墙发送的未命中热点规则的流量；其中，所述热点规则包括预设时间内统计的规则命中次数排名大于预设值的规则；

判断所述流量是否命中部署的规则中的白名单规则，若是，将所述流量返回给所述防火墙；其中，所述部署的规则包括：白名单规则和黑名单规则。

第七方面，本申请实施例还提供了一种流量处理系统，该系统包括：源路由器、目的路由器、本申请任意实施例提供的防火墙和本申请任意实施例提供的服务器；所述防火墙与所述源路由器、所述目的路由器和所述服务器连接。

附图说明

图1为本申请实施例提供的一种流量处理系统的结构示意图；

图2为本申请实施例提供的防火墙侧流量处理方法的流程示意图；

图3为本申请实施例提供的服务器侧流量处理方法的流程示意图；

图4为本申请实施例提供的一种初始阶段的流量处理的交互流程示意图；

图5为本申请实施例提供的一种任意统计周期内的流量处理的交互流程示意图；

图6为本申请实施例提供的防火墙侧流量处理装置的一种结构示意图；

图7为本申请实施例提供的防火墙侧流量处理装置的另一种结构示意图；

图8为本申请实施例提供的服务器侧流量处理装置的一种结构示意图；

图9为本申请实施例提供的服务器侧流量处理装置的另一种结构示意图；

图10为本申请实施例提供的流量处理装置所在防火墙或服务器的一种硬件结构图。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。

在本申请使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。

应当理解，尽管在本申请可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本申请范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述。

首先，介绍一下本申请实施例提供的技术方案的应用场景的网络架构，参见图1，本申请实施例提供的一种流量处理系统，包括：源路由器11、目的路由器12、防火墙13和服务器14；防火墙13与源路由器11、目的路由器12和服务器14连接。

其中，防火墙13，用于接收源路由器11发送的流量；判断源路由器11发送的流量是否命中部署的热点规则，若是，对该流量进行本地处理；若否，将该流量发送给服务器14；接收服务器14返回的命中其白名单规则的流量；将服务器14返回的流量发送给目的路由器12。

其中，热点规则包括预设时间内统计的规则命中次数排名大于预设值的规则。

服务器14，用于接收防火墙13发送的未命中热点规则的流量；判断该流量是否命中部署的规则中的白名单规则，若是，将该流量返回给防火墙13。

其中，服务器14中部署的规则包括：白名单规则和黑名单规则。

在一可能的实现方式中，服务器14中部署的规则数量可以设置成大于防火墙13中部署的规则数量。

在一可能的实现方式中，服务器14中部署的规则可以包括防火墙13中部署的规则。也就是说，防火墙13中部署的规则服务器14中都部署了。

例如：服务器14中可以部署所有的规则，防火墙13中只部署热点规则。

本申请实施例对流量采取二级处理的方式，一级防火墙采用命中次数高的热点规则处理大部分流量(例如80％的流量)，二级服务器采用命中次数较低的规则的处理少量流量(例如20％的流量)，这样既可以充分利用防火墙能够处理大流量的属性，又可以利用服务器能够存储大量的规则的特性，因此，可以在不降低防火墙流量带宽的基础上，增加部署的规则数量，从而解决了现有技术中防火墙无法满足日益增加的规则数量需求。

下面分别介绍防火墙侧和服务器侧的方法。

参见图2，在防火墙侧，本申请实施例提供了一种流量处理方法，该方法包括如下步骤：

s101、接收源路由器发送的流量；

s102、判断所述源路由器发送的流量是否命中部署的热点规则，若是，对所述流量进行本地处理；若否，将所述流量发送给服务器；

其中，热点规则包括预设时间内统计的规则命中次数排名大于预设值的规则(例如排名在前20％的规则)；防火墙中部署的热点规则包括：白名单规则和黑名单规则。

s103、接收所述服务器返回的命中其白名单规则的流量；

s104、将所述服务器返回的流量发送给目的路由器。

在一可能的实现方式中，上述步骤s102中对所述流量进行本地处理，可以包括：

如果命中白名单规则，将所述流量发送给目的路由器；如果命中黑名单规则，将所述流量丢弃。

需要指出的是，在初始阶段，防火墙中可以有运营商预先部署有热点规则，也可以未部署热点规则，本申请实施例对此并不进行限定。

在一可能的实现方式中，在部署热点规则之前，该方法还可以包括：

将所述源路由器发送的所有流量(即100％的流量)发送给所述服务器；

接收所述服务器发送的热点规则；

将所述热点规则作为初始部署的热点规则。

在一可能的实现方式中，在将未命中热点规则的流量发送给服务器之后，该方法还可以包括：

接收所述服务器发送的热点规则；

基于所述热点规则更新当前部署的热点规则。

例如，更新当前部署的热点规则可以是删除防火墙中当前部署的热点规则，将服务器发送的热点规则作为新的热点规则，也可以是保留服务器发送的热点规则与当前部署的热点规则中相同的规则，删除当前部署的热点规则中与服务器发送的热点规则不同的规则，增加服务器发送的热点规则中剩余的规则。

参见图3，在服务器侧，本申请实施例提供的一种流量处理方法，该方法包括如下步骤：

s201、接收防火墙发送的未命中热点规则的流量；

其中，热点规则包括预设时间内统计的规则命中次数排名大于预设值的规则。

s202、判断所述流量是否命中部署的规则中的白名单规则(或者说判断所述流量是命中部署的规则中的白名单规则，还是命中部署的规则中的黑名单规则)，若是，将所述流量返回给所述防火墙。

其中，服务器中部署的规则包括：白名单规则和黑名单规则。

在一可能的实现方式中，上述方法还可以包括：

若所述防火墙发送的流量命中黑名单规则，将所述流量丢弃。

在一可能的实现方式中，该方法还可以包括：

统计预设时间内各规则的命中次数；

基于所述各规则的命中次数确定下发的热点规则；

将所述热点规则发送给所述防火墙。

其中，预设时间可以根据实际需要进行设定。

上述将所述热点规则发送给所述防火墙的方式可以有多种，例如，可以通过openflow协议将所述热点规则发送给所述防火墙，具体地，可以是通过openflow协议的flow_mod消息将所述热点规则发送给所述防火墙。

在一可能的实现方式中，上述基于所述各规则的命中次数确定下发的热点规则，可以包括：

基于所述各规则的命中次数对部署的规则进行排名，并将排名大于第一预设值的规则(例如排名在前20％的规则)作为下发的热点规则。

在另一可能的实现方式中，上述基于所述各规则的命中次数确定下发的热点规则，可以包括：

基于所述各规则的命中次数对部署的规则进行排名，并将排名大于第一预设值的规则作为当前热点规则；

将当前热点规则与前一次下发的热点规则按命中次数进行排名，并将排名大于第二预设值的规则(例如排名在前50％的规则)作为当前下发的热点规则。

下面以防火墙初始未部署热点规则为例，通过具体实施例来说明本申请实施例提供的技术方案。

在初始阶段(即第一个统计周期内)，参见图4，该时间段流量的处理过程包括步骤s301-s310。

s301、防火墙接收源路由器发送的流量；

s302、防火墙将该源路由器发送的所有流量(即100％的流量)发送给服务器；

s303、服务器判断防火墙发送的流量是命中部署的规则中的白名单规则，还是命中部署的规则中的黑名单规则，若命中黑名单规则，执行步骤s304；若命中白名单规则，执行步骤s305；

其中，服务器中部署的规则包括：白名单规则和黑名单规则。

s304、服务器将命中黑名单规则的流量丢弃；

s305、服务器将命中白名单规则的流量返回给防火墙；

s306、防火墙将服务器返回的命中其白名单规则的流量发送给目的路由器；

s307、服务器统计预设时间内各规则的命中次数；

s308、服务器基于所述各规则的命中次数对部署的规则进行排名，并将排名大于第一预设值的规则(例如排名在前20％的规则)作为下发的热点规则；

s309、服务器将下发的热点规则发送给防火墙；

s310、防火墙将接收到的热点规则作为初始部署的热点规则。

需要指出的是，在初始阶段需要重复执行步骤s301-s307。

在以后的任意一个统计周期内，该时间段流量的处理过程与初始阶段流量的处理过程相似，相同的部分在此不再赘述，下面只说明不同的部分。

参见图5，该时间段中，防火墙接收到源路由器发送的流量后，不是执行步骤s302，而是执行步骤s311-s314，服务器在统计预设时间内各规则的命中次数之后，可以执行步骤s315代替步骤s308，防火墙接收到热点规则后，不是执行步骤s310，而是执行步骤s316。

s311、防火墙判断源路由器发送的流量是否命中部署的热点规则，若否，执行步骤s312；若是，执行步骤s313或s314；

s312、防火墙将未命中热点规则的流量发送给服务器；

s313、如果命中黑名单规则，防火墙将命中黑名单规则的流量丢弃；

s314、如果命中白名单规则，防火墙将命中白名单规则的流量发送给目的路由器；

s315、基于各规则的命中次数对部署的规则进行排名，并将排名大于第一预设值的规则(例如排名在前20％的规则)作为当前热点规则；将当前热点规则与前一次下发的热点规则按命中次数进行排名，并将排名大于第二预设值的规则(例如排名在前50％的规则)作为当前下发的热点规则

s316、防火墙基于接收到的热点规则更新当前部署的热点规则。

本申请实施例提供的上述方案，在任意一个统计周期内，防火墙大约可以处理80％流量，服务器处理20％流量，假设服务器处理的20％流量中，10％流量命中黑名单规则，服务器将该10％命中黑名单规则的流量丢弃，10％流量命中白名单规则，服务器将该10％命中白名单规则的流量发送给防火墙，假设防火墙处理的80％流量中，20％流量命中黑名单规则，防火墙将该20％命中黑名单规则的流量丢弃，另外60％流量命中白名单规则，最后防火墙将该60％命中白名单规则的流量和从服务器接收到的10％命中白名单规则的流量(合起来即70％命中白名单规则的流量)发送给目的路由器。

基于同一发明构思，参见图6，在防火墙侧，本申请实施例还提供了一种流量处理装置，包括：接收模块21、判断模块22、处理模块23和发送模块24。

其中，接收模块21，用于接收源路由器发送的流量，以及接收服务器返回的命中其白名单规则的流量；

判断模块22，用于判断所述源路由器发送的流量是否命中部署的热点规则；

其中，热点规则包括预设时间内统计的规则命中次数排名大于预设值的规则；部署的热点规则包括：白名单规则和黑名单规则。

处理模块23，用于当确定所述源路由器发送的流量命中部署的热点规则时，对所述流量进行本地处理；

发送模块24，用于当确定所述源路由器发送的流量未命中部署的热点规则时，将所述流量发送给服务器；以及将所述服务器返回的流量发送给目的路由器。

在一可能的实现方式中，发送模块24还可以用于在部署热点规则之前，将接收到的所述源路由器发送的所有流量发送给所述服务器；

接收模块21还可以用于：

在部署热点规则之前，接收所述服务器发送的热点规则；

如图7所示，上述流量处理装置还可以包括：更新模块25；

更新模块25还可以用于将所述热点规则作为初始部署的热点规则。

在一可能的实现方式中，接收模块21还可以用于：

在将未命中热点规则的流量发送给服务器之后，接收所述服务器发送的热点规则；

如图7所示，上述流量处理装置还可以包括：更新模块25；

更新模块25，用于基于所述热点规则更新当前部署的热点规则。

在一可能的实现方式中，处理模块23具体可以用于如果命中黑名单规则，将所述流量丢弃；

如果命中白名单规则，发送模块24还可以用于将所述流量发送给目的路由器。

基于同一发明构思，参见图8，在服务器侧，本申请实施例还提供了一种流量处理装置，包括：接收模块31、判断模块32和发送模块33。

其中，接收模块31，用于接收防火墙发送的未命中热点规则的流量；

其中，热点规则包括预设时间内统计的规则命中次数排名大于预设值的规则。

判断模块32，用于判断所述流量是否命中部署的规则中的白名单规则；

其中，部署的规则包括：白名单规则和黑名单规则。

发送模块33，用于当确定所述流量命中白名单规则时，将所述流量返回给所述防火墙。

在一可能的实现方式中，参见图9，该装置还可以包括：统计模块34和热点规则确定模块35。

其中，统计模块34，用于统计预设时间内各规则的命中次数；

热点规则确定模块35，用于基于所述各规则的命中次数确定下发的热点规则；

发送模块33还可以用于：将所述热点规则发送给所述防火墙。

在一可能的实现方式中，热点规则确定模块35具体可以用于：

基于所述各规则的命中次数对部署的规则进行排名，并将排名大于第一预设值的规则作为下发的热点规则。

在另一可能的实现方式中，热点规则确定模块35具体可以用于：

基于所述各规则的命中次数对部署的规则进行排名，并将排名大于第一预设值的规则作为当前热点规则；

将当前热点规则与前一次下发的热点规则按命中次数进行排名，并将排名大于第二预设值的规则作为当前下发的热点规则。

上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程，在此不再赘述。

对于装置实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

基于同一发明构思，本申请实施例还提供了一种防火墙，包括：

处理器；

用于存储处理器可执行指令的存储器；

其中，所述处理器用于：

接收源路由器发送的流量；

判断所述源路由器发送的流量是否命中部署的热点规则，若是，对所述流量进行本地处理；若否，将所述流量发送给服务器；其中，所述热点规则包括预设时间内统计的规则命中次数排名大于预设值的规则；

接收所述服务器返回的命中白名单规则的流量；

将所述服务器返回的流量发送给目的路由器。

基于同一发明构思，本申请实施例还提供了一种服务器，包括：

处理器；

用于存储处理器可执行指令的存储器；

其中，所述处理器用于：

接收防火墙发送的未命中热点规则的流量；其中，所述热点规则包括预设时间内统计的规则命中次数排名大于预设值的规则；

判断所述流量是否命中部署的规则中的白名单规则，若是，将所述流量返回给所述防火墙；其中，所述部署的规则包括：白名单规则和黑名单规则。

需要指出的是，本申请流量处理装置的实施例可以应用在流量处理系统的防火墙或服务器上。装置实施例可以通过软件实现，也可以通过硬件或者软硬件结合的方式实现。以软件实现为例，作为一个逻辑意义上的装置，是通过其所在防火墙或服务器的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言，如图10所示，为本申请流量处理装置所在防火墙或服务器的一种硬件结构图，除了图10所示的处理器71、内存72、网络接口73、非易失性存储器74、以及内部总线75之外，实施例中装置所在的防火墙或服务器通常根据该防火墙或服务器的实际功能，还可以包括其他硬件，对此不再赘述。

以上所述仅为本申请的较佳实施例而已，并不用以限制本申请，凡在本申请的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本申请保护的范围之内。