业务数据处理方法、交换机组和业务数据处理系统与流程
本发明涉及计算机领域,具体而言,涉及一种业务数据处理方法、交换机组和业务数据处理系统。
背景技术:
随着互联网公司业务种类不断增加,以及游戏、即时通信、云服务等业务快速发展的同时,业务遭受的网络攻击(例如,ddos(distributeddenialofservice,分布式拒绝服务)、cc(challengecollapsar,挑战黑洞)和漏洞攻击等)威胁也在不断攀升。
相关技术中的安全防护架构可以如图1所示。ads、cc和waf(webapplicationfirewall,web应用防火墙)防护设备均与园区出口核心路由器(简称为路由器设备)直连。每台防护设备分别于路由器设备建立bgp(bordergatewayprotocol,边界网关协议)邻居。当ads、cc或waf防护设备需要对业务外网ip/vip进行安全防护时,防护设备会向路由器设备通告该业务ip的一条32位主机bgp路由。该路由在路由器设备的路由表中生效后,被防护业务ip/vip(internetprotocol/virtualinternetprotocol,网络协议/虚拟网络协议)在路由器设备上的入方向流量,将从路由器设备侧转发到防护设备进行清洗,清洗后正常业务流量从防护设备回注到路由器设备的rtn(return)路由表,该rtn路由表为用于清洗回注的vrf(virtualroutingforwarding,虚拟路由转发表)路由表,再由路由器设备转发到下层网络设备(例如,业务服务器),最终清洗后的正常流量到达业务服务器。
然而,在相关技术中的安全防护架构中,需要保证与各路由器相连的防护设备均处于可被调用状态。如果有路由器下的防护设备故障或未被调用,则该路由器上的攻击流量会直接转发到下层网络设备。存在业务及其被攻击后无法正常对外服务或入侵的风险。
技术实现要素:
本发明实施例中提供一种业务数据处理方法、交换机组和业务数据处理系统,以至少解决相关技术的业务数据处理方法存在由于需要保证所有路由器下的防护设备均处于被调用状态而导致业务数据防护效率低的技术问题。
根据本发明实施例的一个方面,提供了一种业务数据处理方法,包括:目标交换机组接收多个路由器中的目标路由器发送的第一业务数据,其中,所述目标交换机组用于在所述多个路由器与防护设备组之间传输业务数据;所述目标交换机组通过所述防护设备组中已激活的目标防护设备清除所述第一业务数据中与目标网络攻击对应的数据,得到目标业务数据;所述目标交换机组将所述目标业务数据发送给所述目标路由器。
根据本发明实施例的另一方面,还提供了一种交换机组,所述交换机组与多个路由器和防护设备组相连,用于在所述多个路由器与防护设备组之间传输业务数据,所述交换机组包括:目标处理器、目标存储器和目标传输装置,其中,所述目标传输装置,用于接收所述多个路由器中的目标路由器发送的第一业务数据;所述目标处理器,用于执行控制指令,其中,所述控制指令用于控制通过所述防护设备组中已激活的目标防护设备清除所述第一业务数据中与目标网络攻击对应的数据,得到目标业务数据;所述目标传输装置,还用于将所述目标业务数据发送给所述目标路由器;所述目标存储器,用于存储所述控制指令。
根据本发明实施例的又一方面,还提供了一种业务数据处理系统,该业务数据处理系统包括:前述任一项所述的交换机组,与所述交换机组相连的多个路由器以及与所述交换机组相连的防护设备组,其中,所述多个路由器中的目标路由器,用于向所述交换机组发送第一业务数据;所述交换机组,用于接收所述目标路由器发送的所述第一业务数据,向所述防护设备组中已激活的目标防护设备发送所述第一业务数据;所述目标防护设备,用于接收所述交换机组发送的所述第一业务数据,清除所述第一业务数据中与目标网络攻击对应的数据,得到目标业务数据,向所述交换机组发送所述目标业务数据;所述交换机组,还用于接收所述目标防护设备发送的所述目标业务数据,向所述目标路由器发送所述目标业务数据;所述目标路由器,还用于接收所述交换机组发送的所述目标业务数据。
在本发明实施例中,采用在路由器设备和防护设备组之间引入交换机组的方式,目标交换机组接收多个路由器中的目标路由器发送的第一业务数据,其中,目标交换机组用于在多个路由器与防护设备组之间传输业务数据;目标交换机组通过防护设备组中已激活的目标防护设备清除第一业务数据中与目标网络攻击对应的数据,得到目标业务数据;目标交换机组将目标业务数据发送给目标路由器。由于引入了与多个路由器相连的交换机组,通过该交换机组在多个路由器与防护设备组之间传输业务数据,只要能够有一个交换机组中的防护设备被激活,就能够通过防护设备组中已激活的防护设备对多个路由器上的业务数据进行防护,提高了业务数据的防护效率,进而解决了相关技术的业务数据处理方法存在由于需要保证所有路由器下的防护设备均处于被调用状态而导致业务数据防护效率低的技术问题。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是相关技术中的网络防护架构的示意图;
图2是根据本发明实施例的一种业务数据处理方法的应用环境的示意图;
图3是根据本发明实施例的一种可选的业务数据处理方法的流程示意图;
图4是根据本发明实施例的一种可选的网络防护架构的示意图;
图5是根据本发明实施例的另一种可选的网络防护架构的示意图;
图6是根据本发明实施例的另一种可选的业务数据处理方法的示意图;
图7是根据本发明实施例的又一种可选的业务数据处理方法的示意图;
图8是根据本发明实施例的一种可选的交换机组的结构示意图;以及,
图9是根据本发明实施例的一种可选的业务数据处理系统的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
根据本发明实施例的一个方面,提供了一种业务数据处理方法,该业务数据处理方法可以应用于网络防护架构中。可选地,上述业务数据处理方法可以但不限于应用于如图2所示的应用环境中。如图2所示,多个路由器中的目标路由器202向用于在多个路由器与防护设备组之间传输业务数据的目标交换机组204发送第一业务数据(与已激活的防护设备所要防护的目标业务ip对应)。目标交换机组204接收到目标路由器202发送的第一业务数据,通过防护设备组中已激活的目标防护设备206清除第一业务数据中与目标网络攻击对应的数据,得到目标业务数据,并将目标业务数据发送给目标路由器202。
目标交换机组204通过目标防护设备206清除第一业务数据中与目标网络攻击对应的数据,得到目标业务数据可以包括以下步骤:目标交换机组204向目标防护设备206发送第一业务数据;目标防护设备206接收目标交换机组204发送的第一业务数据,清除第一业务数据中与目标网络攻击对应的数据,得到目标业务数据,并将得到的目标业务数据发送给目标交换机组204;目标交换机组204接收目标防护设备206发送的目标业务数据。
目标路由器202被防护业务的第一业务数据;并将第一业务数据发送给第一防护设备206,其中,第一防护设备206用于对第一类网络攻击进行防护。第一防护设备206对第一业务数据进行清洗后,得到第二业务数据,并将得到的第二业务数据发送给交换机204。交换机204接收到第一防护设备206返回的第二业务数据之后,将所述第二业务数据发送给第二防护设备208,其中,第二防护设备208用于对第二类网络攻击进行防护。第二防护设备208对第二业务数据进行清洗后,得到第三业务数据,并将得到的第三业务数据发送给交换机204。交换机204接收到第二防护设备208返回的第三业务数据之后,可以将第三业务数据返回到目标路由器202,也可以发送给其他防护设备进行业务数据清洗。
可选地,在本实施例中,上述防护设备用于防护对业务ip的网络攻击,可以包括但不限于:用于防护ddos攻击的设备,用于防护cc攻击的设备,用于防护web漏洞攻击的设备。上述只是一种示例,本实施例中对此不做任何限定。
可选地,在本实施例中,作为一种可选的实施方式,如图3所示,上述业务数据处理方法可以包括:
s302,目标交换机组接收多个路由器中的目标路由器发送的第一业务数据,其中,目标交换机组用于在多个路由器与防护设备组之间传输业务数据;
s304,目标交换机组通过防护设备组中已激活的目标防护设备清除第一业务数据中与目标网络攻击对应的数据,得到目标业务数据;
s306,目标交换机组将目标业务数据发送给目标路由器。
可选地,上述业务数据处理方法可以但不限于应用于对目标业务对应的业务流量(业务数据)进行防护的过程。上述目标业务可以通过业务ip进行标识。上述目标业务可以包括但不限于:游戏、即时通信、云服务等。
在步骤s302中,目标交换机组接收多个路由器中的目标路由器发送的第一业务数据,其中,目标交换机组用于在多个路由器与防护设备组之间传输业务数据。
可选地,上述业务数据处理方法可以应用于网络防护架构(安全防护架构)中。该网络防护架构中可以包括:多个路由器(即,外网核心路由器),一个或多个交换机组,以及一个或多个防护设备组。其中,一个或多个交换机组中的每个交换机组与多个路由器均相连,并连接到一个或多个防护设备组上。
多个路由器中的各路由器可以与isp(internetserviceprovider,网络服务提供商)相连,以进行与目标业务ip对应的业务数据的传输。多个路由器中的各路由器可以与一个或多个交换机组中的各交换机组均进行互连,并经由各交换机组将业务数据传输至防护设备组中的一个或多个防护设备,以通过防护设备组中的一个或多个防护设备对业务数据进行防护。
防护设备组中可以包括多个防护设备,用于对目标网络攻击中的某一类网络攻击(目标类型的网络攻击)进行防护,可以包括但不限于:ads防护设备(用于防护ddos攻击的设备),cc防护设备(用于防护cc攻击的设备),waf防护设备(用于防护web漏洞攻击的设备)。防护设备中的防护设备可以根据需要进行增加(例如,研发出对业务数据针对新的网络攻击进行防护的防护设备)或移除。
防护设备组中的多个防护设备可以被划分为多个防护设备子组,划分的依据可以是防护设备的目标属性,也可以是在设计组网架构时进行设定。上述目标属性可以是防护设备的接口类型(100g接口,10g接口等),也可以是防护设备的开发项目所属的业务平台,还可以是预先设定的用于标识防护设备所属子组的标识属性。上述划分过程可以是在组网之前执行的,组网时根据组网架构的设计进行组网。
例如,ads防护设备和cc防护设备所针对的网络攻击类型相似,可以由同一研发小组进行研发,将其划分为一个子组。而waf防护设备单独作为一个子组。
交换机组可以包括一个或多个交换机。交换机组中的交换机数目可以根据需要进行设定。
作为一种可选的实施方式,在交换机组包括一个交换机的情况下,该交换机与多个路由器均进行直连,并和与其对应的防护设备组中的各防护设备均进行直连。
作为另一种可选的实施方式,在交换机组包括多个交换机(至少两个交换机)的情况下,多个交换机可以采用多层结构进行连接。上述多层结构可以包括但不限于:两层结构、三层结构、四层结构等。例如,在采用两层结构的情况下,多个交换机中的第一层交换机可以包括一个交换机(第一交换机),该交换机与多个路由器均进行直连,第二层交换机可以包括除第一交换机之外的所有其他交换机。每个第二层的交换机可以与第一交换机均进行直连,并且与防护设备组中的至少一个防护设备(防护设备子组)进行直连。
在交换机组包括多个交换机的情况下,一套交换机组可以包括至少两个交换机组。在一套交换机组中的各交换机组中,上一层的交换机可以控制一套交换机组的各交换机组中的部分或者全部下一层交换机。
在已有的交换机组的安全容量不足的情况下,可以进行横向扩容,新建一个交换机组,一套交换机组或者交换机组的一层交换机中的一个或多个交换机,并接入到网络架构中的对应的位置。
下面结合可选示例对上述网络防护架构进行说明。在如图4所示的网络防护架构中,在园区外网核心路由器(路由器设备1和路由器设备2)与安全防护设备(ads、cc或waf)之间新增了两层安全交换机:ccsw(cleaningcenterswitch,安全清洗中心交换机)。两层安全交换机中,第一层交换机包括一个交换机:c-ccsw,第二层交换机包括两个交换机:dccsw和nccsw。
图4所示的网络防护架构包括:两个园区外网核心路由器(路由器设备1和路由器设备2),一套交换机组(2个交换机组,一个交换机组为一个ccsw),以及两个防护设备组(一个防护设备组包括三个防护设备:ads防护设备、cc防护设备和waf防护设备)。如图4所示,该网络防护架构的组网方式如下:
(1)路由器设备与c-ccsw交换机使用100g模块(与100g接口对应的连接模块)进行交叉互连。当一套c-ccsw(默认2台c-ccsw交换机)的安全容量不足,可再横向扩容(新建一套c-ccsw,并接入到路由器设备)。
(2)c-ccsw与dccsw之间使用100g模块进行交叉互连。在一套ccsw中,c-ccsw与各dccsw均进行互连。
(3)c-ccsw与nccsw使用100g模块进行交叉互连。在一套ccsw中,c-ccsw与各nccsw均进行互连。
(4)dccsw与ads/cc防护设备使用100g模块或10g模块(与10g接口对应的连接模块)进行互联。一套ddcsw(默认2台dccsw交换机),可支持2.t的ads防护容量接入,并可再横向扩容(新建一套dccsw,并接入到c-ccsw)。
(5)nccsw与waf防护设备使用10g模块进行互联。
通过上述结构,在一套ccsw,各c-ccsw可以同时与两个ddcsw和两个nccsw互连,从而通过各ddcsw下的防护设备和nccsw进行业务防护,提高系统分流能力。
通过本示例,安全防护架构被重新设计,在不修改防护设备软件架构和不增加防护设备数量前提下,可实现多种安全防护设备同时生效,为业务提供全面的安全防护能力,解决防护单边的风险,并具备多种平台(100g、10g)的兼容性,以及横向安全扩容能力。本示例中的安全防护架构具有扩展性,能灵活应对未来可能扩充的不同功能的安全防护功能(支持10t级别以上ddos防护集群部署能力)。
同时,对路由器的具体配置进行解耦合,让路由器配置保持标准化;方案设计上具有可复制性,能够作为一个全网标准的部署方式推广开来,降低安全防护系统部署成本和建设效率。
可选地,在网络防护架构中,相邻的网络设备之间可以通过建立bgp(bordergatewayprotocol,边界网关协议)邻居的方式完成组网。
在各路由器设备上,针对每个接入的运营商均有对应的vrf(virtualroutingforwarding,虚拟路由转发表)。上述接入的运营商可以包括但不限于以下至少之一:电信(chinatelecom,简称为ct)、联通(chinaunicom,简称为cu)、移动(chinamobile,简称为cm)以及目标业务所属公司。
路由器设备与各交换机组之间可以建立bgp邻居,各交换机组可以和与其对应的防护设备组中的各防护设备均建立bgp邻居。在交换机组中包含多个交换机,且多个交换机采用多层结构的情况下,两层交换机中具有互连关系的交换机之间建立bgp邻居。
针对不同的运营商,具有互连关系的路由器设备和交换机之间、交换机和交换机之间、交换机和防护设备之间,可以分别建立bgp邻居,也可以建立一个bgp邻居(不同运营商的接口使用相同的bgp邻居)。
下面结合以下示例进行说明。在图5所示的网络防护架构中,园区外网核心路由器(路由器设备1和路由器设备2,图5中仅示出了路由器设备1)上,针对每个接入的运营商(ct、cu、cm和cap,分别代表电信、联通、移动和bgp出口)均有对应的vrf。在路由器设备和c-ccsw、c-ccsw和dccw、c-ccsw和nccw、dccsw和ads/cc防护设备、nccsw和waf防护设备之间,均需建立ct、cu、cm和cap的bgp邻居:
(1)每台c-ccsw与直连的路由器设备均建立bgp邻居;
(2)每台c-ccsw与直连的dccsw均建立bgp邻居,与直连的nccsw均建立bgp邻居;
(3)每台dccsw与直连的ads和cc防护设备建立bgp邻居;
(4)每台nccsw与直连的waf防护设备建立bgp邻居。
此外,如图5中的c-ccsw、dccsw和nccsw所示,对于dccsw和cc,在d-rtn该vrf也需建立bgp邻居,对于nccsw和waf,在d-rtn和c-rtn该vrf也需建立bgp邻居。
可选地,防护设备组中的防护设备可以通过路由通告的方式对目标业务的数据流量进行防护。
对于目标业务,防护设备组中的防护设备可以通过向与其直连的交换机组中的交换机通告要防护的目标业务ip(vip)的路由(用于标识要防护的目标业务,如,目标业务ip的32位主机牵引路由),并通过交换机组向各路由器设备通告该目标业务ip的路由,最终在多个路由器中的各路由器均接收到防护设备通告的目标业务ip的路由。
在交换机组中包括多个交换机,且多个交换机采用多层结构的情况下,防护设备向与其直连的交换机组中的交换机通告要防护的目标业务ip的路由,并通过依次向相邻的交换机通过该目标业务ip的路由的方式,最终由与多个路由器相连的交换机,将目标业务ip的路由,通告给各路由器设备。
在防护设备组中通告目标业务ip的路由的防护设备有多个的情况下,交换机组根据接收到的通告消息(用于通告目标业务ip的路由)中携带的指示信息(用于标识通告消息中携带的目标业务的路由的优先级,例如,标签),确定各防护设备通告的路由的优先级,并将最优路由通告给各路由器设备。
可选地,在交换机组中包括多个交换机,且多个交换机采用多层结构的情况下,交换机组中的各交换机,在接收到多个用于通告同一目标业务ip的路由的通告消息之后,可以根据各通告消息中携带的指示信息,确定各防护设备通告的路由的优先级,并将最优路由通告给上一层设备(可以是交换机,也可以是多个路由器设备),最终将最优路由通告给各路由器设备。
上述接收多个防护设备通告的目标业务ip的路由的场景可以是同时接收,也可以是非同时接收。
作为一种可选的实施方式,在同时接收的情况下,交换机组中的各交换机可以保存当前接收到的目标业务ip的路由,并将当前接收到的目标业务ip的路由中优先级最高的目标业务ip的路由通告给上一层设备。
作为另一种可选的实施方式,在非同时接收的情况下,交换机组中的各交换机,可以确定已接收到的目标业务ip的路由和当前接收到的目标业务ip的路由的优先级。在已接收到的目标业务ip的路由中的至少之一的优先级大于当前接收到的目标业务ip的路由的优先级的情况下,仅保存当前接收到的目标业务ip的路由,而不向上一层设备进行通告。在已接收到的目标业务ip的路由的优先级均小于当前接收到的目标业务ip的路由的优先级的情况下,将保存当前接收到的目标业务ip的路由,并向上一层设备通告当前接收到的目标业务ip的路由。
下面结合以下可选示例对上述业务数据处理方法进行说明。如图5所示(图5中仅示出了图4所示的网络安全架构的一边,包括:一个路由器设备,一个ccsw和一个防护设备组),当只有一种防护设备(如ads)对业务公网ip/vip进行防护时,上述业务数据处理方法可以包括路由通告流程,上述路由通告流程可以包括以下步骤:
步骤1,ads防护设备向dccsw的ibgp邻居通告要防护的业务ip(即,目标业务ip)的32位主机路由。
步骤2,dccsw向上联c-ccsw的ebgp邻居通告32位主机路由。
步骤3,c-ccsw继续向路由器设备上的ebgp邻居通告32位最优路由。
由于只有一个防护设备进行路由通告,通告给路由器设备的32位最优路由为ads防护设备通告的业务ip的32位主机路由。
当多种防护设备同时(如ads、cc和waf)对业务公网ip/vip进行防护时,上述路由通告流程可以包括以下步骤:
步骤1,ads和cc防护设备分别向dccsw的ibgp邻居通告要防护的业务ip的32位主机路由;waf防护设备向nccsw的ibgp邻居通告要防护的业务ip的32位主机路由。
步骤2,dccsw上使用了策略使ads防护设备注入的bgp路由优于cc防护设备注入的路由。
上述策略可以是路由优先级策略,用于确定各防护设备注入的路由优先级。例如,ads防护设备通告的通告消息中携带的标签值为100,cc防护设备通告的通告消息中携带的标签值为110。由于100位于110之前,因此,ads防护设备注入的bgp路由优于cc防护设备注入的路由。
步骤3,dccsw和nccsw同时向c-ccsw的ebgp邻居通告要防护的32位主机路由。
由于ads防护设备注入的bgp路由优于cc防护设备注入的路由,因此,dccsw向c-ccsw通告要防护的32位主机路由与ads防护设备通告的业务ip的32位主机路由对应。nccsw只接收到waf防护设备通告的业务ip的32位主机路由,因此,dccsw向c-ccsw通告要防护的32位主机路由与waf防护设备通告的业务ip的32位主机路由对应。
步骤4,c-ccsw上使用策略使ads防护设备注入的bgp路由优于waf防护设备注入的路由,c-ccsw继续向路由器设备通告32位最优路由。
上述策略可以是路由优先级策略,用于确定各防护设备注入的路由优先级。例如,ads防护设备通告的通告消息中携带的标签值为100,waf防护设备通告的通告消息中携带的标签值为120。由于100位于120之前,因此,ads防护设备注入的bgp路由优于waf防护设备注入的路由。c-ccsw向路由器设备通告32位最优路由与ads防护设备通告的业务ip的32位主机路由对应。
由此,任意一台ads、cc或waf防护设备,在对业务公网ip/vip进行防护时,防护设备通告的32位主机牵引路由,最终会同时通告到多个路由器设备(只有一个防护设备进行路由通告的场景)或者通告到至少一个交换机组中的至少一个交换机上(多个防护设备均进行路由通告的场景)。通过上述方式,可以避免单边防护透传。
防护设备通告的业务ip的路由(如,业务ip的32位主机路由)在被通告至各路由器中之后,可以在各路由器的路由表中生效,进行过业务ip的路由通告的防护设备处于可被调用状态。
需要说明的是,虽然也可以不添加交换机组,将多个防护设备(ads、cc和waf防护设备)与路由器设备直连,在路由器设备上通过创建多个rtnvrf来实现流量互导。但该方案对路由器的标准化配置挑战较大,并要求多个rtn路由表路由数据一致性和准确性,在出现异常时,排障成本较高。
可选地,在本实施例中,在接收到目标业务ip对应的业务数据(第一业务数据)之后,多个路由器中的目标路由器负载均衡策略,从与其相连的多个交换机组中选取出目标交换机组,并将业务数据发送给选取的目标交换机。
在步骤s304中,目标交换机组通过防护设备组中已激活的目标防护设备清除第一业务数据中与目标网络攻击对应的数据,得到目标业务数据。
上述已激活的目标防护设备指的是处于可被调用状态的防护设备,为已执行目标业务ip的路由通告的防护设备。已激活的目标防护设备可以有一个或多个。
作为一种可选的实施方式,在已激活的目标防护设备为一个的情况下,目标交换机组将接收到的第一业务数据发送给该目标防护设备。该目标防护设备接收到目标交换机组发送的第一业务数据之后,清除第一业务数据中与目标网络攻击中的一类网络攻击对象的数据,得到目标业务数据,并将得到的目标业务数据发送给目标交换机组。
作为另一种可选的实施方式,目标交换机组通过防护设备组中已激活的目标防护设备清除第一业务数据中与目标网络攻击对应的数据,得到目标业务数据可以包括:在目标防护设备为多个的情况下,目标交换机组依次与多个目标防护设备中的各目标防护设备进行交互,通过各目标防护设备清除第一业务数据中与目标网络攻击对应的数据,得到目标业务数据,其中,多个目标防护设备中的各目标防护设备用于清除第一业务数据中与目标网络攻击中的一类网络攻击对象的数据。
可选地,在本实施例中,目标交换机组依次与多个目标防护设备中的各目标防护设备进行交互,通过各目标防护设备清除第一业务数据中与目标网络攻击对应的数据,得到目标业务数据包括:目标交换机组将第一业务数据发送给多个目标防护设备中的第一防护设备;目标交换机组接收第一防护设备返回的第二业务数据,其中,第二业务数据为通过第一防护设备清除第一业务数据中与第一类网络攻击对应的数据之后得到的业务数据;目标交换机组将第二业务数据发送给目标防护设备中的第二防护设备;目标交换机组接收第二防护设备返回的第三业务数据,其中,第三业务数据为通过第二防护设备清除第二业务数据中与第二类网络攻击对应的数据之后得到的业务数据,目标业务数据包括第三业务数据或第三业务数据中的一部分。
作为一种可选的实施方式,在目标交换机组包括一个交换机的情况下,该交换机将第一业务数据发送给多个目标防护设备中的第一防护设备。第一防护设备接收到该交换机发送的第一业务数据之后,清除第一业务数据中与第一类网络攻击对应的数据之后,得到第二业务数据,并将第二业务数据发送给该交换机。该交换机接收到第一防护设备返回的第二业务数据之后,将第二业务数据发送给第二防护设备。第二防护设备接收到该交换机发送的第二业务数据之后,清除第二业务数据中与第二类网络攻击对应的数据之后,得到第三业务数据,并将第三业务数据发送给该交换机。
作为另一种可选的实施方式,在目标交换机组包括多个交换机的情况下,多个交换机可以采用多层结构。例如,可以采用两层结构,第一层中包括一个交换机:第一交换机,第二层包括至少两个交换机:第二交换机和第三交换机。
该第一交换机可以与多个路由器均进行直连,并与第二层的交换机也均进行直连。第二交换机可以与第一交换机进行直连,并与防护设备组中的至少一个防护设备相连。与第二交换机相连的防护设备可以属于第一防护设备子组。第三交换机可以与第一交换机进行直连,并与防护设备组中的至少一个防护设备相连,与第三交换机相连的防护设备可以属于第二防护设备子组。
第一防护设备和第二防护设备可以属于相同的防护设备子组,也可以属于不同的防护设备子组。
可选地,作为一种可选的实施方式,在第一防护设备和第二防护设备属于不同的防护设备子组的情况下,第一交换机通过第二交换机与第一防护设备进行交互(第一防护设备属于与第二交换机相连的第一防护设备子组),以通过第一防护设备清除第一业务数据中与第一类网络攻击对应的数据,得到第二业务数据,通过第三交换机与第二防护设备进行交互(第二防护设备属于与第三交换机相连的第二防护设备子组),以通过第二防护设备清除第二业务数据中与第二类网络攻击对应的数据,得到第三业务数据。
可选地,在本实施例中,在第一防护设备和第二防护设备属于不同的防护设备子组的情况下,第一交换机将第一业务数据发送给第二交换机;第二交换机接收第一交换机发送的第一业务数据,并将第一业务数据发送给第一防护设备;第二交换机接收第一防护设备返回的第二业务数据;在第一防护设备子组中不存在未使用过的目标防护设备的情况下(第一防护设备子组中不存在未使用过的已激活的防护设备),第二交换机将第二业务数据发送给第一交换机;第一交换机接收第二交换机发送的第二业务数据,并将第二业务数据发送给第三交换机;第三交换机接收第一交换机发送的第二业务数据,将第二业务数据发送给第二防护设备,并接收第二防护设备返回的第三业务数据。
可选地,作为另一种可选的实施方式,在第一防护设备和第二防护设备属于相同的防护设备子组的情况下,第一交换机通过第二交换机分别与第一防护设备和第二防护设备进行交互(第一防护设备和第二防护设备属于与第二交换机相连的第一防护设备子组),以通过第一防护设备清除第一业务数据中与第一类网络攻击对应的数据,得到第二业务数据,并第二防护设备清除第一业务数据中与第二类网络攻击对应的数据,得到第三业务数据。
可选地,在本实施例中,在第一防护设备和第二防护设备属于相同的防护设备子组的情况下,第一交换机将第一业务数据发送给第二交换机;第二交换机接收第一业务数据,将第一业务数据发送给第一防护设备,并接收第一防护设备返回的第二业务数据;第二交换机将第二业务数据发送给第二防护设备,并接收第二防护设备返回的第三业务数据。
在除了第一防护设备和第二防护设备之外没有其他已激活的目标防护设备的情况下,第三业务数据为目标业务数据(目标业务数据包括第三业务数据)。在除了第一防护设备和第二防护设备之外还有其他已激活的目标防护设备的情况下,目标交换机组可以将第三业务数据继续发送给其他已激活的目标防护设备,以通过其他已激活的目标防护设备清除第三业务数据中与目标网络攻击对应的数据之后,得到的目标业务数据(目标业务数据包括第三业务数据中的一部分)。
对于第一防护设备和第二防护设备属于不同防护设备子组的场景:第一防护设备属于第一防护设备子组,第二防护设备属于第二防护设备子组:
(1)在第一防护设备子组中存在未使用过的目标防护设备的情况下,第二交换机可以将第二业务数据发送给未使用过的目标防护设备,未使用过的目标防护设备清除第二业务数据中与第四类网络攻击对应的数据之后,得到第五业务数据,并将第五业务数据发送给第二交换机。第二交换机接收未使用过的目标防护设备返回的第五业务数据。
(2)在第二防护设备子组中存在未使用过的目标防护设备的情况下,第三交换机可以将第三业务数据发送给未使用过的目标防护设备,未使用过的目标防护设备清除第三业务数据中与第五类网络攻击对应的数据之后,得到第六业务数据,并将第六业务数据发送给第三交换机。第三交换机接收未使用过的目标防护设备返回的第六业务数据。
对于第一防护设备和第二防护设备属于相同防护设备子组的场景:第一防护设备和第二防护设备属于第一防护设备子组:
(1)在第一防护设备子组中存在未使用过的目标防护设备的情况下,第二交换机可以将第三业务数据发送给未使用过的目标防护设备,未使用过的目标防护设备清除第三业务数据中与第六类网络攻击对应的数据之后,得到第七业务数据,并将第七业务数据发送给第二交换机。第二交换机接收未使用过的目标防护设备返回的第七业务数据。
(2)在第二防护设备子组中存在未使用过的目标防护设备的情况下,第二交换机可以将第三业务数据发送给第一交换机;第一交换机接收第二交换机发送的第三业务数据,将第三业务数据发送给第三交换机;第三交换机接收第一交换机发送的第三业务数据,将第三业务数据发送给第三防护设备(未使用过的目标防护设备);第三防护设备接收第三交换机发送的第三业务数据,清除第三业务数据中与第三类网络攻击对应的数据之后得到的业务数据,得到第四业务数据,并将第四业务数据发送给第三交换机;第三交换机接收第三防护设备返回的第四业务数据。
可选地,在未使用过的目标防护设备有多个的情况下,第二交换机和/或第三交换机可以与多个未使用过的目标防护设备分别进行交互,以通过多个未使用过的目标防护设备清除第一业务数据中与目标网络攻击对应的数据,最终得到目标业务数据。具体的交互方式前述交换机与防护设备之间的交互方式类似,在此不做赘述。
下面结合可选示例对上述业务数据处理方法进行说明。虽然回注操作对应的是具体的网络设备,但为体现回注逻辑,本示例中回注流程采用网络设备中的vrf(rtnvrf,回注虚拟路由转发表)进行说明。
当只有一种防护设备(如ads)对业务公网ip/vip进行防护时,如图6所示(图6只列了图4所示的网络安全架构的一边,包括:一个路由器设备,一个ccsw和一个防护设备组),上述业务数据处理方法可以包括流量清洗和回注流程。上述流量清洗和回注流程可以包括以下步骤:
步骤1,路由器设备将业务ip(vip)流量转发向c-ccsw。
上述业务ip流量(第一业务数据)为被保护ip的流量。
步骤2,c-ccsw将业务ip流量转发向dccsw。
步骤3,dccsw上根据路由表将业务ip流量继续转发至ads防护设备。
步骤4,ads防护设备对业务ip流量进行清洗后,将正常流量(目标业务数据)回注到dccsw的d-rtnvrf。
步骤5,dccsw的d-rtnvrf将正常流量回注到c-ccsw的d-rtnvrf。
步骤6,c-ccsw的d-rtnvrf将正常流量回注到路由器设备的rtnvrf。
对于cc防护设备,正常流量回注到c-rtnvrf,对于waf防护设备,正常流量回注到n-rtnvrf。其余流量清洗和回注流程与ads防护设备类似,在此不做赘述。
当多种防护设备同时(如ads、cc和waf)对业务公网ip/vip进行防护时,如图7所示(图7只列了图4所示的网络安全架构的一边,包括:一个路由器设备,一个ccsw和一个防护设备组),上述业务数据处理方法可以包括流量清洗和回注流程。上述流量清洗和回注流程可以包括以下步骤:
步骤1,路由器设备业务ip(vip)流量转发向c-ccsw。
上述业务ip流量(第一业务数据)为被保护ip的流量。
步骤2,c-ccsw上最优路由是ads防护设备发出的,将业务ip流量转发至dccsw。
步骤3,dccsw将业务ip流量发向ads防护设备。
步骤4,ads防护设备对业务ip流量进行清洗后,将清洗后的业务ip(第二业务数据)流量回注到dccsw的d-rtnvrf。
步骤5,dccsw上的d-rtnvrf将经ads防护设备清洗后的业务ip流量发送到cc防护设备。
cc防护设备通告的32位主机路由也通告给c-ccsw的d-rtnvrf,c-ccsw的d-rtnvrf上有32位主机路由指向cc防护设备,优于默认路由(至c-ccsw的路由),dccsw上的d-rtnvrf上再次将流量发送到cc防护设备上进行清洗。
步骤6,cc防护设备对业务ip流量进行清洗之后,将清洗后的流量(第三业务数据)回注到dccsw的c-rtnvrf。
步骤7,dccsw将经ads防护设备和cc防护设备清洗后的业务ip流量回注到c-ccsw。
dccsw上c-rtn的只有默认路由指向c-ccsw的c-rtnvrf,将经ads防护设备和cc防护设备清洗后的业务ip流量注入到c-ccsw的c-rtnvrf。
步骤8,c-ccsw将经ads防护设备和cc防护设备清洗后的业务ip流量发送nccsw。
步骤9,nccsw将经ads防护设备和cc防护设备清洗后的业务ip流量发送nwaf防护设备。
nwaf防护设备发出的32位主机路由通过nccsw发向c-ccsw的c-rtnvrf,c-ccsw的c-rtn上有32位主机路由指向nccsw,优于默认路由(指向路由器设备的路由),c-ccsw上的c-rtnvrf再次将经ads防护设备和cc防护设备清洗后的业务ip流量发送到nccsw的c-rtnvrf,然后将流量发送到waf防护设备上进行清洗。
步骤10,waf防护设备对经ads防护设备和cc防护设备清洗后的业务ip流量进行清洗后,将正常流量回注到nccsw的n-rtnvrf。
步骤11,nccsw上n-rtn的只有默认路由指向c-ccsw的n-rtnvrf,正常流量注入到c-ccsw的n-rtnvrf。
步骤12,c-ccsw上n-rtnvrf的只有默认路由指向路由器设备的rtnvrf,正常流量重新注入到路由器设备的rtnvrf。
需要说明的是,图6和图7仅表示了单边工作状态,双互联状态可以以此类推,在此不做赘述。
在步骤s306中,目标交换机组将目标业务数据发送给目标路由器。
在目标交换机组包括一个交换机的情况下,该交换机将目标业务数据发送给目标路由器。在目标交换机组包括多个交换机的情况下,该多个交换机中的第一层交换机将目标业务数据发送给目标路由器。
目标路由器接收到目标业务数据之后,依照路由表转发到对应下层网络设备(业务服务器)。
例如,如图6和图7所示,路由器上的rtnvrf依照路由表转发到对应下层网络设备,从而完成全部的流量清洗工作。
通过本实施例,采用在路由器设备和防护设备组之间引入交换机组的方式,目标交换机组接收多个路由器中的目标路由器发送的第一业务数据,其中,目标交换机组用于在多个路由器与防护设备组之间传输业务数据;目标交换机组通过防护设备组中已激活的目标防护设备清除第一业务数据中与目标网络攻击对应的数据,得到目标业务数据;目标交换机组将目标业务数据发送给目标路由器,提高了业务数据的防护效率。
作为一种可选的实施方案,目标交换机组通过防护设备组中已激活的目标防护设备清除第一业务数据中与目标网络攻击对应的数据,得到目标业务数据包括:
s1,在目标防护设备为多个的情况下,目标交换机组依次与多个目标防护设备中的各目标防护设备进行交互,通过各目标防护设备清除第一业务数据中与目标网络攻击对应的数据,得到目标业务数据,其中,多个目标防护设备中的各目标防护设备用于清除第一业务数据中与目标网络攻击中的一类网络攻击对象的数据。
通过本实施例,通过多个已激活的防护设备对业务流量进行防护,可以同时生效多个防护设备,同时对多种网络攻击进行防护,减低了业务服务器被攻击后无法正常对外服务或被入侵的风险。
作为一种可选的实施方案,目标交换机组依次与多个目标防护设备中的各目标防护设备进行交互,通过各目标防护设备清除第一业务数据中与目标网络攻击对应的数据,得到目标业务数据包括:
s11,目标交换机组将第一业务数据发送给多个目标防护设备中的第一防护设备;
s12,目标交换机组接收第一防护设备返回的第二业务数据,其中,第二业务数据为通过第一防护设备清除第一业务数据中与第一类网络攻击对应的数据之后得到的业务数据;
s13,目标交换机组将第二业务数据发送给目标防护设备中的第二防护设备;
s14,目标交换机组接收第二防护设备返回的第三业务数据,其中,第三业务数据为通过第二防护设备清除第二业务数据中与第二类网络攻击对应的数据之后得到的业务数据,目标业务数据包括第三业务数据或第三业务数据中的一部分。
通过本实施例,通过在不修改防护设备软件架构的情况下,目标交换机组分别与第一防护设备和第二防护设备通过发送-接收的方式进行交互,从而可以避免对防护设备软件架构的修改,实现同时生效多个防护设备。
作为一种可选的实施方案,在第一防护设备和第二防护设备属于不同防护设备子组的情况下,
目标交换机组将第一业务数据发送给多个目标防护设备中的第一防护设备包括:目标交换机组中的第一交换机将第一业务数据发送给第二交换机,其中,第一交换机与多个路由器相连,第二交换机与第一防护设备子组相连,第一防护设备子组包括第一防护设备;第二交换机接收第一交换机发送的第一业务数据,并将第一业务数据发送给第一防护设备;
目标交换机组接收第一防护设备返回的第二业务数据包括:第二交换机接收第一防护设备返回的第二业务数据;
目标交换机组将第二业务数据发送给多个目标防护设备中的第二防护设备包括:在第一防护设备子组中不存在未使用过的目标防护设备的情况下,第二交换机将第二业务数据发送给第一交换机;第一交换机接收第二交换机发送的第二业务数据,并将第二业务数据发送给第三交换机,其中,第三交换机与第二防护设备子组相连,第二防护设备子组包括第二防护设备;第三交换机接收第一交换机发送的第二业务数据,并将第二业务数据发送给第二防护设备;
目标交换机组接收第二防护设备返回的第三业务数据:第三交换机接收第二防护设备返回的第三业务数据。
作为另一种可选的实施方案,在第一防护设备和第二防护设备属于相同防护设备子组的情况下,
目标交换机组将第一业务数据发送给多个目标防护设备中的第一防护设备包括:目标交换机组中的第一交换机将第一业务数据发送给第二交换机,其中,第一交换机与多个路由器相连,第二交换机与第一防护设备子组相连,第一防护设备组包括第一防护设备和第二防护设备;第二交换机接收第一业务数据,并将第一业务数据发送给第一防护设备;
目标交换机组接收第一防护设备返回的第一业务数据包括:第二交换机接收第一防护设备返回的第二业务数据;
目标交换机组将第二业务数据发送给目标防护设备中的第二防护设备包括:第二交换机将第二业务数据发送给第二防护设备;
目标交换机组接收第二防护设备返回的第三业务数据包括:第二交换机接收第二防护设备返回的第三业务数据。
可选地,在第二交换机接收第二防护设备返回的第三业务数据之后,上述方法还包括:
s1,在第一防护设备组中不存在未使用过的目标防护设备的情况下,第二交换机将第三业务数据发送给第一交换机;
s2,第一交换机接收第二交换机发送的第三业务数据;
s3,在确定第二防护设备子组中存在未使用的已激活的第三防护设备的情况下,第一交换机将第三业务数据发送给第三交换机,其中,第三交换机与第二防护设备子组相连,第二防护设备子组包括第三防护设备;
s4,第三交换机接收第一交换机发送的第三业务数据,将第三业务数据发送给第三防护设备;
s5,第三交换机接收第三防护设备返回的第四业务数据,其中,第四业务数据为通过第三防护设备清除第三业务数据中与第三类网络攻击对应的数据之后得到的业务数据,目标业务数据包括第四业务数据或者第四业务数据中的一部分。
通过本实施例,通过两层交换机的设计,可以按照需要设置第二层交换机,并对防护设备进行分组,通过不同的第二层交换机,具备多种平台(100g、10g)的兼容性和横向安全扩容能力。
作为一种可选的实施方案,在目标交换机组接收多个路由器中的目标路由器发送的第一业务数据之前,上述方法还包括:
s1,目标路由器根据用于进行负载均衡的目标策略,从与目标路由器相连的多个交换机组中选取出目标交换机组,其中,多个交换机组中的各交换机组均用于在多个路由器与交换机组相连的防护设备组之间传输业务数据。
通过本实施例,通过目标路由器根据负载均衡策略从多个交换机组中选取出目标交换机组,可以平衡各交换机组传输的业务数据量,提高网络的稳定性。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本发明所必须的。
根据本发明实施例的另一个方面,还提供了一种用于实施上述业务数据处理方法的交换机组,该交换机组与多个路由器和防护设备组相连,用于在多个路由器与防护设备组之间传输业务数据,
如图8所示,该交换机组包括:目标处理器802、目标存储器804和目标传输装置806,其中,
目标传输装置806,用于接收多个路由器中的目标路由器发送的第一业务数据;
目标处理器802,用于执行控制指令,其中,控制指令用于控制通过防护设备组中已激活的目标防护设备清除第一业务数据中与目标网络攻击对应的数据,得到目标业务数据;
目标传输装置806,还用于将目标业务数据发送给目标路由器;
目标存储器804,用于存储控制指令。
可选地,上述交换机组可以但不限于应用于对目标业务对应的业务流量(业务数据)进行防护的过程。上述目标业务可以通过业务ip进行标识。上述目标业务可以包括但不限于:游戏、即时通信、云服务等。
可选地,上述交换机组可以应用于网络防护架构(安全防护架构)中。该网络防护架构中可以包括:多个路由器(外网核心路由器),一个或多个交换机组,以及一个或多个防护设备组。其中,一个或多个交换机组中的每个交换机组与多个路由器均相连,并连接到一个或多个防护设备组上。
可选地,在本实施例中,目标处理器802执行的控制指令可以用于控制目标处理器802、目标存储器804和目标传输装置806所执行的操作,以通过防护设备组中已激活的目标防护设备清除第一业务数据中与目标网络攻击对应的数据,得到目标业务数据。
交换机组可以包括一个或多个交换机。交换机组中的交换机数目可以根据需要进行设定。
作为一种可选的实施方式,在交换机组包括一个交换机的情况下,该交换机与多个路由器均进行直连,并和与其对应的防护设备组中的各防护设备均进行直连。
作为另一种可选的实施方式,在交换机组包括多个交换机(至少两个交换机)的情况下,多个交换机中的各交换机均包括:子处理器、子存储器和子传输装置。上述目标处理器802包括:多个交换机中的各交换机的子处理器,上述目标存储器804包括:多个交换机中的各交换机的子存储器,上述目标传输装置806包括:多个交换机中的各交换机的子传输装置。
上述交换机组的结构、交换机组与多个路由器和防护设备组进行网络防护架构组网的方式、建立bgp邻居的方式、目标业务的业务ip的路由通告的方式以及通过防护设备组中已激活的目标防护设备清除第一业务数据中与目标网络攻击对应的数据,得到目标业务数据的方式与前述方法实施例中类似,在此不做赘述。
通过本实施例,采用在路由器设备和防护设备组之间引入交换机组的方式,交换机组接收多个路由器中的路由器发送的第一业务数据,其中,交换机组用于在多个路由器与防护设备组之间传输业务数据;交换机组通过防护设备组中已激活的防护设备清除第一业务数据中与网络攻击对应的数据,得到业务数据;交换机组将业务数据发送给路由器,提高了业务数据的防护效率。
作为一种可选的实施方案,上述交换机组,还用于在目标防护设备为多个的情况下,依次与多个目标防护设备中的各目标防护设备进行交互,通过各目标防护设备清除第一业务数据中与目标网络攻击对应的数据,得到目标业务数据,其中,多个目标防护设备中的各目标防护设备用于清除第一业务数据中与目标网络攻击中的一类网络攻击对象的数据。
通过本实施例,通过多个已激活的防护设备对业务流量进行防护,可以同时生效多个防护设备,同时对多种网络攻击进行防护,减低了业务服务器被攻击后无法正常对外服务或被入侵的风险。
作为一种可选的实施方案,目标传输装置806还用于执行以下操作:
将第一业务数据发送给多个目标防护设备中的第一防护设备;
接收第一防护设备返回的第二业务数据,其中,第二业务数据为通过第一防护设备清除第一业务数据中与第一类网络攻击对应的数据之后得到的业务数据;
将第二业务数据发送给目标防护设备中的第二防护设备;
接收第二防护设备返回的第三业务数据,其中,第三业务数据为通过第二防护设备清除第二业务数据中与第二类网络攻击对应的数据之后得到的业务数据,目标业务数据包括第三业务数据或第三业务数据中的一部分。
通过本实施例,通过在不修改防护设备软件架构的情况下,交换机组分别与第一防护设备和第二防护设备通过发送-接收的方式进行交互,从而可以避免对防护设备软件架构的修改,实现同时生效多个防护设备。
作为一种可选的实施方案,交换机组包括:第一交换机、第二交换机和第三交换机,第一交换机与多个路由器、第二交换机和第三交换机相连,第二交换机与第一防护设备子组相连,第一防护设备组包括第一防护设备,第三交换机与第二防护设备子组相连,第二防护设备组包括第二防护设备;其中,
第一交换机的第一传输装置,用于在第一防护设备和第二防护设备属于不同防护设备子组的情况下,将第一业务数据发送给第二交换机;
第二交换机的第二传输装置,用于接收第一业务数据,将第一业务数据发送给第一防护设备,接收第一防护设备返回的第二业务数据,在第一防护设备子组中不存在未使用过的目标防护设备的情况下,将第二业务数据发送给第一交换机;
第一传输装置,还用于接收第二业务数据,将第二业务数据发送给第三交换机;
第三交换机的第三传输装置,用于接收第二业务数据,将第二业务数据发送给第二防护设备,接收第二防护设备返回的第三业务数据;
其中,目标传输装置包括:第一传输装置,第二传输装置和第三传输装置。
作为另一种可选的实施方案,交换机组包括:第一交换机、第二交换机,其中,第一交换机与多个路由器和第二交换机相连,第二交换机与第一防护设备子组相连,第一防护设备组包括第一防护设备和第二防护设备;其中,
第一交换机的第一传输装置,用于在第一防护设备和第二防护设备属于相同防护设备子组的情况下,将第一业务数据发送给第二交换机;
第二交换的第二传输装置,用于接收第一业务数据,将第一业务数据发送给第一防护设备,接收第一防护设备返回的第二业务数据,将第二业务数据发送给第二防护设备,以及接收第二防护设备返回的第三业务数据;
其中,目标传输装置806包括:第一传输装置和第二传输装置。
可选地,交换机组还包括:第三交换机,其中,第三交换机与第二防护设备子组相连,第二防护设备子组包括第三防护设备;其中,
第二传输装置,用于在第一防护设备组中不存在未使用过的目标防护设备的情况下,在接收第二防护设备返回的第三业务数据之后,将第三业务数据发送给第一交换机;
第一传输装置,还用于接收第三业务数据,在确定第二防护设备子组中存在未使用的已激活的第三防护设备的情况下,将第三业务数据发送给第三交换机;
第三交换机的第三传输装置,用于接收第三业务数据,将第三业务数据发送给第三防护设备,接收第三防护设备返回的第四业务数据,其中,第四业务数据为通过第三防护设备清除第三业务数据中与第三类网络攻击对应的数据之后得到的业务数据,目标业务数据包括第四业务数据或者第四业务数据中的一部分。
通过本实施例,通过两层交换机的设计,可以按照需要设置第二层交换机,并对防护设备进行分组,通过不同的第二层交换机,具备多种平台(100g、10g)的兼容性和横向安全扩容能力。
可选地,本领域普通技术人员可以理解,图8所示的结构仅为示意,并不对上述交换机组的结构造成限定。例如,交换机组还可包括比图8中所示更多或者更少的组件(如网络接口等),或者具有与图8所示不同的配置。
其中,目标存储器804可用于存储软件程序以及模块,如本发明实施例中的业务数据处理方法对应的程序指令,目标处理器802通过运行存储在目标存储器804内的软件程序,从而执行各种功能应用以及数据处理,即实现上述业务数据处理方法。目标存储器804可包括高速随机存储器,还可以包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,目标存储器804可进一步包括相对于目标处理器802远程设置的存储器,这些远程存储器可以通过网络连接至终端。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
上述的目标传输装置806用于经由一个网络接收或者发送数据。上述的网络具体实例可包括有线网络及无线网络。在一个实例中,目标传输装置806包括一个网络适配器(networkinterfacecontroller,简称为nic),其可通过网线与其他网络设备与路由器相连从而可与互联网或局域网进行通讯。在一个实例中,目标传输装置806为射频(radiofrequency,简称为rf)模块,其用于通过无线方式与互联网进行通讯。
根据本发明实施例的又一个方面,还提供了一种用于实施上述业务数据处理方法的业务数据处理系统,如图9所示,该业务数据处理系统包括:多个路由器902,前述任一项所示的交换机组904,以及防护设备组906,其中,
多个路由器902中的目标路由器,用于向交换机组904发送第一业务数据;
交换机组904,用于接收目标路由器发送的第一业务数据,向防护设备组中已激活的目标防护设备906发送第一业务数据;
目标防护设备906,用于清除第一业务数据中与目标网络攻击对应的数据,得到目标业务数据,向交换机组发送目标业务数据;
交换机组904,还用于接收目标防护设备906发送的目标业务数据,向目标路由器发送目标业务数据;
目标路由器902,还用于接收交换机组904发送的目标业务数据。
可选地,业务数据处理系统包括多个交换机组,多个交换机组中的各交换机组与多个路由器中的各路由器均相连,多个交换机组中的各交换机组均与一个防护设备组相连,多个交换机组中的各交换机组均用于在多个路由器与一个防护设备组之间传输业务数据,其中,
目标路由器902,还用于根据用于进行负载均衡的目标策略,从与目标路由器相连的多个交换机组中选取出交换机组904。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
上述实施例中的集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在上述计算机可读取的存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在存储介质中,包括若干指令用以使得一台或多台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。
在本发明的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的客户端,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
- 还没有人留言评论。精彩留言会获得点赞!