专利名称:网络数据流安全处理方法及设备的制作方法
技术领域:
本发明实施例涉及网络安全技术,尤其涉及一种网络数据流安全处理方法及设备。
背景技术:
在当今网络环境日益恶化的环境下,传统的网络安全“老三样”,防火墙、入侵检测以及防病毒,已经日益无法满足用户的便捷管理要求,传统的安全网关(Unified ThreatManagement, UTM)将防火墙和各安全策略模块进行了功能上的整合,主要采用将各种安全策略模块设置为串行检测方式。现有技术造成网络数据流通过大量无效的安全策略模块检测,从而影响网络数据流整体的转发、规则匹配的性能,无法满足大型企业网络高吞吐并发·的性能要求。
发明内容
本发明目的在于提供一种网络数据流安全处理方法及设备,用以提高网络数据流的转发、规则匹配的性能。本发明实施例一方面提供了一种网络数据流安全处理方法,包括获取网络数据流的基本信息;将所述基本信息与预先配置的防火墙策略中的索引信息进行匹配;如果所述基本信息匹配中所述索引信息,获取与所述索引信息对应的上层策略;所述上层策略仅包括除所述基本信息之外需要匹配的安全规则信息;将所述网络数据流与所述索引信息对应的上层策略进行匹配,并根据与所述上层策略的匹配结果,对所述网络数据流进行处理。本发明实施例一方面还提供了一种网络数据流安全处理设备,包括获取模块,用于获取网络数据流的基本信息;索引信息匹配模块,用于将所述基本信息与预先配置的防火墙策略中的索引信息进行匹配;上层策略获取模块,用于如果所述基本信息匹配中所述索引信息,获取与所述索引信息对应的上层策略;所述上层策略仅包括除所述基本信息之外需要匹配的安全规则信息;上层策略匹配模块,用于将所述网络数据流与所述索引信息对应的上层策略进行匹配,并根据与所述上层策略的匹配结果,对所述网络数据流进行处理。本发明实施例提供的网络数据流安全处理方法及设备,该方法通过获取网络数据流的基本信息;将所述基本信息与预先配置的防火墙策略中的索引信息进行匹配;如果所述基本信息匹配中所述索引信息,获取与所述索引信息对应的上层策略;所述上层策略仅包括除所述基本信息之外需要匹配的安全规则信息;将所述网络数据流与所述索引信息对应的上层策略进行匹配,并根据与所述上层策略的匹配结果,对所述网络数据流进行处理,由于上层策略仅包括除所述基本信息之外需要匹配的安全规则信息,这样在将网络数据流与上层策略匹配的过程中不需要再将网络数据流中的基本信息与索引信息进行匹配,也就不需要重复获取网络数据流中的基本信息,减少了匹配过程中的操作,因此,本发明实施例提供的网络数据流安全处理方法及设备,由于基本信息只需统一匹配一次,不用每个上层策略都匹配一次,所以提高了网络数据流的转发、规则匹配的性能。
图I为本发明一实施例提供的网络数据流安全处理方法的流程示意图;图2为本发明一实施例提供的网络数据流安全处理方法中策略配置方法的流程示意图; 图3为本发明又一实施例提供的一种网络数据流安全处理设备的结构示意图。
具体实施例方式图I为本发明一实施例提供的网络数据流安全处理方法的流程示意图。如图I所示,本发明实施例提供了一种网络数据流安全处理方法,包括步骤11 :获取网络数据流的基本信息。以一些常规的方式获取网络数据流的基本信息,用以对网络数据流进行基本的处理。通常情况下,网络数据流的基本信息包括四元组,具体指源互联网协议(Internet Protocol,简称为IP)、源端口、目的IP、目的端口信息。如果网络数据流没有对传输控制协议(Transmission Control Protocol,简称为TCP)、用户数据报协议(UserDatagram Protocol,简称为UDP)分开处理的话,还会附加上网络协议进行区别,即五元组的概念,每个数据包上都会携带这些网络协议信息,通过这些网络协议信息的匹配可以唯一表示出一条会话,即客户与服务器的连接。步骤12 :将基本信息与预先配置的防火墙策略中的索引信息进行匹配。在此,在防火墙策略中进行预先配置了索引信息,索引信息与上层策略相对应。即针对不同上层策略需要匹配的内容,设置相应的索引信息,将基本信息与索引信息进行匹配。本实施例中索引信息可以是指针的形式,具体的当用户配置了防火墙策略后,网络数据流经过网络数据流安全处理设备时,将数据包的五元组基本信息与防火墙策略中的相应信息进行匹配,根据匹配结果进行后续流程同时在防火墙策略上会挂载上层策略指针,即可通过这个指针找到对应的上层策略。如果匹配上某个防火墙策略后,再去察看是否配置了上层策略,再进行后续的流程。例如,用户配置了源网段为10.24. 123.0/24网段,目的网段为任意的防火墙策略,则当用户IP为10. 24.123. 35通过设备上网时,这条上层策略就可以命中,设备就会根据这条防火墙策略具体对应的动作,例如允许、阻断等,来进行相应处理。命中了这条防火墙策略之后需要检查是否配置了上层策略,如果有在进行后续的上层策略匹配流程。步骤13 :如果基本信息匹配中索引信息,获取与索引信息对应的上层策略;上层策略仅包括除基本信息之外需要匹配的安全规则信息。上层策略中的上层主要指代依据OSI网络协议栈模型4-7层的处理,相应的下层主要指代2-4层,例如,传统的防火墙处理粒度都在4层以下。由于上层策略仅包括除所述基本信息之外需要匹配的安全规则信息,这样在将网络数据流与上层策略匹配的过程中不需要再将网络数据流中的基本信息与索引信息进行匹配,也就不需要重复获取网络数据流中的基本信息,减少了匹配过程中的操作。
步骤14 :将网络数据流与索引信息对应的上层策略进行匹配,并根据与上层策略的匹配结果,对网络数据流进行处理。上层策略,用来描述需要关注的安全问题和应对策略入侵、病毒、恶意站点、机S彳目息等等。本实施例提供的网络数据流安全处理方法,通过获取网络数据流的基本信息;将基本信息与预先配置的防火墙策略中的索引信息进行匹配;如果基本信息匹配中索引信息,获取与索引信息对应的上层策略;上层策略仅包括除基本信息之外需要匹配的安全规则信息;将网络数据流与索引信息对应的上层策略进行匹配,并根据与上层策略的匹配结果,对网络数据流进行处理。由于采用了防火墙策略作为基础,其上通过索引信息配置多个上层策略,形成的一体化的策略,使得配置上层策略的时候,无需逐一重复配置基本信息,大幅减少了重复配置的工作流程,使得本方法简单,快捷。相对于现有技术的网络数据流安全策略处理方法,性能提升一倍。本实施例中的网络数据流安全处理方法,由于基本信息只需统一匹配一次,不用每个上层策略都匹配一次,所以提高了网络数据流的转发、规则匹配的性能。另外,由于采用了索引信息链接到上层策略的方式,各种上层策略本身摆脱了和网络环境的紧密耦合,可以方便的在位于不同网络环境中的各种设备间进行无缝迁移。利·用上层各个策略匹配时都要进行端口四元组的匹配的特性,把入侵检测策略、统一资源定位符(Uniform/Universal ResourceLocator,简称为URL)过滤策略、内容安全策略或防病毒策略中的一种或多种所的需要下层匹配的部分统一匹配,根据索引信息匹配中相应的四元组策略后,再去将网络数据流与索引信息对应的上层策略进行匹配,进行相应的上层解码,并利用多核处理器的并行特性并行地对网络数据流进行相应的上层策略的匹配。由于无论上层策略的个数为多少个,都是通过挂在防火墙策略上,这样对应的上层策略数量级与现有技术相比小许多,可以大大提高运算速率。本发明通过将入侵检测策略、URL过滤策略、内容安全策略或防病毒策略中的一种或多种以索引信息的方式嵌入在防火墙策略里,作为防火墙策略的一个成员,而不是像现有的实现那样将各种安全策略相互独立对网络数据流串行处理。这样网络数据流进行安全处理时就可以走防火墙策略_>防火墙策略上索引信息对应的上层策略,而不是像传统UTM那样走防护墙策略_>全部上层策略这样的串行流程,极大的提高了性能。作为上述技术方案的优选,步骤12中将基本信息与预先配置的防火墙策略中的索引信息进行匹配包括对网络数据流依据开放系统互联网络协议栈模型中的2-4层进行数据解码,获取基本信息。解码过程就是指对网络数据包进行分析处理,2-4层解码过程为通常意义上的下层解码,因为所有策略都会用到,包括防火墙策略及所有的上层策略,所以在此环节对网络数据流进行统一解码。开放系统互联网络协议栈模型中7层分别为物理层、数据链路层、网络层、传输层、会话层、表示层、应用层。对2-4层进行数据解码的过程即为对应数据链路层、网络层及传输层进行数据解码。判断基本信息与防火墙策略中的索引信息是否满足预设的匹配条件。例如某一上层策略对应的索引信息为源互联网协议IP在第一范围内,当网络数据流的基本信息中的源互联网协议IP恰处于该第一范围内,则可以确定该网络数据流的基本信息满足预设的匹配条件。防火墙策略既可以针对一个子网段,也可以是完全匹配,比如针对某个IP10. 17. I. 45用户,此IP用户访问任何外网IP地址都会触发相应的策略,即上述的完全匹配。如果判断结果为满足预设的匹配条件,确定基本信息匹配中索引信息。在满足预设的匹配条件后,确定该索引信息,从而确定需要匹配与之对应的上层策略。作为上述技术方案的优选,步骤14中将网络数据流与索引信息对应的上层策略进行匹配包括对网络数据流依据开放系统互联网络协议栈模型中的4-7层进行数据解码,获取网络数据流中用于进行上层策略匹配所需的数据信息。对4-7层进行数据解码的过程即为对应传输层、会话层、表示层、应用层进行数据解码。4-7层数据解码是通常意义的上层
解码指,而其中大部分解码在7层,即应用层。例如,常见的超文本传送协议(hypertexttransport protocol,简称为http),需要对http协议的数据包进行处理、拆解,获取网络数据流中用于进行上层策略匹配所需的数据信息,例如其中的协议字段。将数据信息与上层策略进行匹配。具体为,根据上述分析获取出的数据信息与上层策略进行匹配。作为上述技术方案的优选,基本信息包括源互联网协议IP、源端口、目的IP、目的端口信息和/或网络协议。作为上述技术方案的优选,上层策略为入侵检测策略、URL过滤策略、内容安全策略或防病毒策略中的一种或多种。图2为本发明一实施例中网络数据流安全处理方法的策略配置方法的流程示意图,如图2所示,作为上述技术方案的优选,步骤11 :获取网络数据流的基本信息之前包括配置防火墙策略和与防火墙策略中的索引信息对应的上层策略。作为上述技术方案的优选,配置防火墙策略包括步骤101 :配置索引信息;步骤102 :配置索引信息对应的防火墙动作。作为上述技术方案的优选,配置与防火墙策略中的索引信息对应的上层策略包括在步骤102配置防火墙动作之后,步骤103:配置与防火墙策略中的索引信息对应的上层策略,具体的上层策略包括入侵检测策略、URL过滤策略、内容安全策略及防病毒策略中的一种或多种。上述各上层策略仅包括除基本信息之外需要匹配的安全规则信息,与现有技术中的相应策略不同。具体的上层策略的类型可以根据用户的实际需要进行设置。例如配置应用/服务,具体的对于配置应用/服务时,应用和服务作为应用策略,而应用策略也是上层策略的一种,像ips策略等一样,可供用户配置,比如针对10. 7. 89. 0/24网段的用户的应用策略为不允许上qq,允许迅雷下载等配置。图3为本发明又一实施例提供了一种网络数据流安全处理设备的结构示意图,如图3所示,一种网络数据流安全处理设备包括获取模块21,用于获取网络数据流的基本信息;索引信息匹配模块22,用于将基本信息与预先配置的防火墙策略中的索引信息进行匹配;
上层策略获取模块23,用于如果基本信息匹配中索引信息,获取与索引信息对应的上层策略;上层策略仅包括除基本信息之外需要匹配的安全规则信息;上层策略匹配模块24,用于将网络数据流与索引信息对应的上层策略进行匹配,并根据与上层策略的匹配结果,对网络数据流进行处理。本实施例提供的网络数据流安全处理设备,通过获取模块21获取网络数据流的基本信息;索引信息匹配模块22将基本信息与预先配置的防火墙策略中的索引信息进行匹配;如果基本信息匹配中索引信息,上层策略获取模块23获取与索引信息对应的上层策略;上层策略匹配模块24将网络数据流与索引信息对应的上层策略进行匹配,并根据与上层策略的匹配结果。本实施例提供的网络数据流安全处理设备,由于基本信息只需统一匹配一次,不用每个上层策略都匹配一次,所以提高了网络数据流的转发、规则匹配的性能。本网络数据流安全处理设备的具体处理流程与上述实施例中的网络数据流安全处理方法流程相同,请参照上一实施例,在此不再赘述。
作为上述技术方案的优选,索引信息匹配模块22包括第一解码单元,用于对网络数据流依据开放系统互联网络协议栈模型中的2-4层进行数据解码,获取基本信息;第一匹配单元,用于判断基本信息与防火墙策略中的索引信息是否满足预设的匹配条件;如果判断结果为满足预设的匹配条件,确定基本信息匹配中索引信息。作为上述技术方案的优选,上层策略匹配模块23包括第二解码单元,用于对网络数据流依据开放系统互联网络协议栈模型中的4-7层进行数据解码,获取网络数据流中用于进行上层策略匹配所需的数据信息;第二匹配单元,用于将数据信息与上层策略进行匹配。作为上述技术方案的优选,还包括策略配置模块,用于在获取模块21获取基本信息之前,配置防火墙策略和与防火墙策略中的索引信息对应的所有上层策略。策略配置模块包括索引信息配置单元,用于配置索引信息;动作配置单元,用于配置索引信息对应的防火墙动作;上层策略配置单元,用于在动作配置单元配置防火墙动作之后配置与索引信息对应的入侵检测策略、URL过滤策略、内容安全策略和防病毒策略中的一种或多种。本领域普通技术人员可以理解实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可读取存储介质中。该程序在执行时,执行包括上述各方法实施例的步骤;而前述的存储介质包括R0M、RAM、磁碟或者光盘等各种可以存储程序代码的介质。最后应说明的是以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
权利要求
1.一种网络数据流安全处理方法,其特征在于,包括 获取网络数据流的基本信息; 将所述基本信息与预先配置的防火墙策略中的索引信息进行匹配; 如果所述基本信息匹配中所述索引信息,获取与所述索引信息对应的上层策略;所述上层策略仅包括除所述基本信息之外需要匹配的安全规则信息; 将所述网络数据流与所述索引信息对应的上层策略进行匹配,并根据与所述上层策略的匹配结果,对所述网络数据流进行处理。
2.根据权利要求I所述的网络数据流安全处理方法,其特征在于,所述将所述基本信息与预先配置的防火墙策略中的索引信息进行匹配包括 对所述网络数据流依据开放系统互联网络协议栈模型中的2-4层进行数据解码,获取所述基本信息; 判断所述基本信息与所述防火墙策略中的索引信息是否满足预设的匹配条件; 如果判断结果为满足预设的匹配条件,确定所述基本信息匹配中所述索引信息。
3.根据权利要求I中所述的网络数据流安全处理方法,其特征在于,所述将所述网络数据流与所述索引信息对应的上层策略进行匹配包括 对所述网络数据流依据开放系统互联网络协议栈模型中的4-7层进行数据解码,获取所述网络数据流中用于进行上层策略匹配所需的数据信息; 将所述数据信息与所述上层策略进行匹配。
4.根据权利要求I至3中任一项所述的网络数据流安全处理方法,其特征在于,所述基本信息包括源互联网协议IP、源端口、目的IP、目的端口信息和/或网络协议。
5.根据权利要求I至3中任一项所述的网络数据流安全处理方法,其特征在于,所述上层策略为入侵检测策略、URL过滤策略、内容安全策略或防病毒策略中的一种或多种。
6.根据权利要求I至3中任一项所述的网络数据流安全处理方法,其特征在于,所述获取网络数据流的基本信息之前包括 配置所述防火墙策略和与所述防火墙策略中的所述索引信息对应的所述上层策略。
7.根据权利要求6所述的网络数据流安全处理方法,其特征在于,所述配置所述防火墙策略包括 配置所述索引信息; 配置所述索引信息对应的防火墙动作。
8.根据权利要求7所述的网络数据流安全处理方法,其特征在于,所述配置与所述防火墙策略中的所述索引信息对应的所述上层策略包括 在配置所述防火墙动作之后,配置与所述索引信息对应的入侵检测策略、URL过滤策略、内容安全策略及防病毒策略中的一种或多种。
9.一种网络数据流安全处理设备,其特征在于,包括 获取模块,用于获取网络数据流的基本信息; 索引信息匹配模块,用于将所述基本信息与预先配置的防火墙策略中的索引信息进行匹配; 上层策略获取模块,用于如果所述基本信息匹配中所述索引信息,获取与所述索引信息对应的上层策略;所述上层策略仅包括除所述基本信息之外需要匹配的安全规则信息;上层策略匹配模块,用于将所述网络数据流与所述索引信息对应的上层策略进行匹配,并根据与所述上层策略的匹配结果,对所述网络数据流进行处理。
10.根据权利要求9所述的网络数据流安全处理设备,其特征在于,所述索引信息匹配模块包括 第一解码单元,用于对所述网络数据流依据开放系统互联网络协议栈模型中的2-4层进行数据解码,获取所述基本信息; 第一匹配单元,用于判断所述基本信息与所述防火墙策略中的索引信息是否满足预设的匹配条件,如果判断结果为满足预设的匹配条件,确定所述基本信息匹配中所述索引信肩、O
11.根据权利要求9所述的网络数据流安全处理设备,其特征在于,所述上层策略匹配模块包括 第二解码单元,用于对所述网络数据流依据开放系统互联网络协议栈模型中的4-7层进行数据解码,获取所述网络数据流中用于进行上层策略匹配所需的数据信息; 第二匹配单元,用于将所述数据信息与所述上层策略进行匹配。
12.根据权利要求9至11中任一项所述的网络数据流安全处理设备,其特征在于,还包括 策略配置模块,用于在所述获取模块获取所述基本信息之前,配置所述防火墙策略和与所述防火墙策略中的所述索引信息对应的所有上层策略。
13.根据权利要求12所述的网络数据流安全处理设备,其特征在于,所述策略配置模块包括 索引信息配置单元,用于配置所述索引信息; 动作配置单元,用于配置所述索引信息对应的防火墙动作; 上层策略配置单元,用于在所述动作配置单元配置所述防火墙动作之后配置与所述索引信息对应的入侵检测策略、URL过滤策略、内容安全策略和防病毒策略中的一种或多种。
全文摘要
本发明实施例提供了一种网络数据流安全处理方法及设备,所述方法通过获取网络数据流的基本信息;将所述基本信息与预先配置的防火墙策略中的索引信息进行匹配;如果所述基本信息匹配中所述索引信息,获取与所述索引信息对应的上层策略;所述上层策略仅包括除所述基本信息之外需要匹配的安全规则信息;将所述网络数据流与所述索引信息对应的上层策略进行匹配,并根据与所述上层策略的匹配结果,对所述网络数据流进行处理。本发明提供的一种网络数据流安全处理方法及设备,由于基本信息只需统一匹配一次,不用每个上层策略都匹配一次,所以提高了网络数据流的转发、规则匹配的性能。
文档编号H04L12/801GK102891855SQ201210392610
公开日2013年1月23日 申请日期2012年10月16日 优先权日2012年10月16日
发明者韩啸, 崔晨, 张博 申请人:北京神州绿盟信息安全科技股份有限公司, 北京神州绿盟科技有限公司