一种会话对准转发系统的制作方法
【技术领域】
[0001] 本发明涉及电子通信领域,尤其涉及一种会话对准转发系统。
【背景技术】
[0002] 随着互联网迅速发展,互联网用户、手机访问网络用户不断增加,所使用的业务众 多;针对各种业务服务以及协议越来越细化,服务器类型与数量繁杂多样。出于对网络安全 的考虑,需要对各地的流量进行旁路分析,作为后端服务器的分析程序需要报文保持一条 完整的会话连接,但是在实际的互联网环境中,通过某地某运营商访问的部分应用流量并 不能保证在其边界路由器上保持完整的会话,所以旁路在此环境下的设备及其后端服务器 对这部分应用流量的分析数据是残缺的,对于在各地国际、省市出入口放置某些特定的安 全分析业务需要对报文进行精确的对准,这需要一套复杂的机制来完成,以此解决会话多 地失准的问题。
[0003] 目前针对如上的需求为解决多地数据会话不能保证在同一服务器上处理的问题, 主要是通过如下两种方式来实现的。第一种方式是在各省市口等基层数据出入口部署分析 设备,数据经过路由最终能保证用户的访问,将分析设备部署在基层数据出入口能获得完 整的数据。但是该方式需要大量的旁路设备和服务器,成本较高。第二种方式是将后端分 析设备上软件形态实现对准,将分析设备(服务器)联网并且依靠软件将数据对准。但软件 形态的处理性能有限,此类数据不能实时获取。
【发明内容】
[0004] 有鉴于此,本发明提供一种会话对准转发系统,应用于网络系统上,并与路由器、 异地会话对准转发系统相连,该系统包括:串接设备、对准转发设备以及服务器,其中:
[0005] 串接设备,用于将路由器中的本地数据报文引入对准转发设备;
[0006] 对准转发设备,用于判断接收到的本地数据报文是否被异地会话对准转发系统处 理过,如果是被异地会话对准转发系统处理过的本地数据,就根据地域标识表将报文发送 给与该报文中的地域标识相对应的异地会话对准转发系统,如果不是,就将报文发送给服 务器;
[0007] 服务器,用于判断报文是否被处理过,将处理过的报文进行还原,将未处理的报文 加上地域标识。
[0008] 本发明解决部分特定安全分析业务数据流量不能在同一服务器处理的多地对准 问题,不需要更换设备部署地,也不需要增设业务分析服务器,节省了成本。
【附图说明】
[0009] 图1是本发明一种实施方式中会话对准转发系统的逻辑结构。
[0010] 图2是本发明一种实施方式中会话对准处理方法的一般流程图。
[0011] 图3是本发明一种实施方式中异地数据报文的一般处理流程图。
【具体实施方式】
[0012] 本发明提供一种会话对准转发系统,来解决业务数据流量不能在同一服务器处理 的多地对准问题。在优选的实施方式中,本发明提供一种会话对准转发系统,应用于网络设 备上,该系统同时与路由器及异地会话对准转发系统相连接,请参考图1,该系统包括:串 接设备、对准转发设备以及服务器。请参考图2,该系统运行过程通常包括如下步骤。
[0013] 步骤101,串接设备将路由器中的本地数据报文引入对准转发设备;
[0014] 步骤102,对准转发设备判断接收到的本地数据报文是否被异地会话对准转发系 统处理过,如果是被异地会话对准转发系统处理过的本地数据,就根据地域标识表将报文 发送给与该报文中的地域标识相对应的异地会话对准转发系统,如果不是,就转步骤103 ;
[0015] 步骤103,服务器判断报文是否被处理过,将处理过的报文进行还原,将未处理的 报文加上地域标识。
[0016] 上述步骤101中串接设备与路由器是串联在一起的。通常情况下,串接设备是和 边界路由器相连接的,由于边界路由器承担了内网和外网的通信职责,所以边界路由器需 要处理大量的报文。因为串接设备的职责是从路由器中,将本地数据报文引入,而边界路由 器需要处理的数据报文数量又庞大,如果将所有数据报文引入的话,会大大增加会话对准 转发系统的工作量,进而降低工作效率,导致报文转发不及时而引发拥塞,所以在优选的实 施方式中,串接设备会根据预先设定的报文特征表,将需要进一步进行分析的数据报文引 入。
[0017] 其中,所述报文特征表包括转发报文特征和丢弃报文特征,在优选的实施方式中, 根据报文特征表从路由器本地数据报文的具体过程为:将路由器中所有数据报文与报文特 征表进行匹配,如果与表中转发报文特征匹配成功则进行转发,如果与丢弃报文特征匹配 成功则将报文丢弃,如果匹配失败则说明该报文需要进一步分析,于是将该报文引入本地 对准转发设备。
[0018] 在上述步骤中用于判断数据报文是否被处理过的方法一般为散列算法(又称摘要 算法、哈希摘要),在优选的实施方式中,预定算法为MD5算法。
[0019] 在步骤101中,所述本地数据报文在被串接设备引入对准转发系统之前,没有对 其进行判断,所以本地数据报文中有被本地会话对准转发系统处理过的,也有被其他会话 对准转发系统处理过的,也有未被处理过的。由于后期要对报文进行分类处理,所以需要先 对报文进行判断,判断该报文是否被异地会话对准转发系统处理过。
[0020] 其中,对准转发设备是根据地域标识表来判断报文是否被异地会话对准转发系统 处理过。所述地域标识表包括地域标识和与之相对应的对准转发系统,且地域标识是唯一 的,并与系统一一对应。例如,A地的会话对准转发系统收到一个处理过的本地数据报文,该 报文的地域标识为10,不是本地系统处理的,根据地域标识表,也就是表1,可知该报文由B 地的会话对准转发系统处理过,于是将该报文发送给B地的系统。
[0021]
【主权项】
1. 一种会话对准转发系统,应用于网络中,并与路由器以及异地会话对准转发系统相 连,该系统包括: 串接设备,用于将路由器中的本地数据报文引入对准转发设备; 对准转发设备,用于判断接收到的本地数据报文是否被异地会话对准转发系统处理 过,如果是被异地会话对准转发系统处理过的本地数据,根据地域标识表将报文发送给与 该报文中的地域标识相对应的异地会话对准转发系统,如果不是,就将报文发送给服务 器; 服务器,用于判断报文是否被自身处理过,将处理过的报文进行还原,将未处理的报文 加上地域标识。
2. 如权利要求1所述系统,其特征在于,所述串接设备根据报文特征表从路由器中引 入需要进一步分析处理的本地数据报文。
3. 如权利要求1所述系统,其特征在于,所述对准转发设备还用于接收异地会话对准 转发系统发送来的异地数据报文,并判断报文是否由本地会话对准转发系统处理过,如果 是由本地会话对准转发系统处理过,则将报文发送给服务器,如果不是则丢弃并计数。
4. 如权利要求1所述系统,其特征在于,所述地域标识是唯一的,且与所述会话对准转 发系统 对应。
【专利摘要】本发明提供一种会话对准转发系统,与路由器以及异地会话对准转发系统相连,该系统包括:串接设备、会话对准转发设备以及服务器。串接设备将路由器中的本地数据报文引入对准转发设备;对准转发设备判断接收到的本地数据报文是否被异地会话对准转发系统处理过,如果是被异地会话对准转发系统处理过的本地数据,根据地域标识表将报文发送给与该报文中的地域标识相对应的异地会话对准转发系统,如果不是,就将报文发送给服务器;服务器判断报文是否被自身处理过,将处理过的报文进行还原,将未处理的报文加上地域标识。本发明能有效的解决部分特定安全分析业务数据流量不能在同一服务器处理的多地对准问题。
【IPC分类】H04L12-26, H04L12-70
【公开号】CN104734897
【申请号】CN201310701621
【发明人】王涛, 袁庆生, 毕慧, 邹学强, 王洋
【申请人】国家计算机网络与信息安全管理中心, 杭州迪普科技有限公司
【公开日】2015年6月24日
【申请日】2013年12月18日