本发明涉及入侵防御技术领域,特别涉及一种入侵防御设备性能的优化方法和系统。
背景技术:
入侵防御系统(Intrusion Prevention System,以下简称IPS)是保证网络安全环境的主要工具,它能够有效的拦截潜藏在网络环境中的大量攻击流量。
由于硬件成本的限制,IPS设备的性能随之也会受到一定的限制,IPS设备厂商都希望在固定硬件基础上发挥出IPS的最大性能。然而IPS设备的IPS业务却又是其性能的一大屏障,随着IPS业务的开启,IPS设备的性能会出现大幅度的下降,可是IPS业务又是IPS设备的核心功能,不可或缺。因此当前IPS设备各大厂商为了保证IPS业务的正常运行只能牺牲掉大幅度的性能数据。
现有技术当中当前IPS设备基本都是通过源目的IP地址、时间、协议、接口等匹配条件来划分流量,从而决定让哪些流量走IPS业务进行流量过滤。
在实现本发明的过程中,发明人发现至少存在如下问题:
匹配中匹配条件的用户,会将它的相关协议交互报文以及数据传输报文等进行IPS业务的检查过滤。然而IPS设备的防护目标是外部网络,IPS设备对于内部网络出去的流量进行IPS检查过滤是毫无意义的,因此IPS设备对匹配中的流量进行IPS业务过滤的过程中,对于从内部网络发送到外部网络的流量进行IPS业务过滤是白白浪费IPS设备性能资源的表现。
例如:IPS设备通过配置实现对内部网络的用户1进行IPS保护,那么当内网用户经过IPS设备访问外部网络时就会匹配中IPS设备预先配置好的匹配条件,然后该用户与外部网络进行的tcp三次握手、数据传输等报文都会进行IPS业务的过滤处理。然而这些报文中只有外部网络发往内部用户1的报文才有存在危险的可能性,而内网用户1发往外部网络的报文并没有IPS业务过滤的必要性。因此IPS设备对用户1发往外部网络的这部分流量的IPS业务过滤属于白白消耗IPS设备性能的行为。
技术实现要素:
本发明的目的是提供一种仅过滤部分流量以优化入侵防御设备性能的入侵防御设备性能的优化方法和系统。
根据本发明实施例的一个方面,提供一种入侵防御设备性能的优化方法,该优化方法包括:基于接收到的流量,判断流量的源对应的用户或网段是否为预先配置的需进行流量过滤的用户或网段;若匹配成功,判断流量是从内网接口还是外网接口流入的流量;当流量为从外网接口流入的流量时,对流量进行过滤处理。
进一步,判断流量是从内网接口还是外网接口流入的流量的步骤包括:提取流量的入接口信息;将入接口信息与预存的网络接口表进行比对,网络接口表中记录有每个网络入接口属于内网接口还是外网接口。
进一步,判断流入入侵防御设备的流量对应的用户或网段是否为预先配置的需进行流量过滤的内网用户或网段的步骤之前还包括:配置匹配条件,匹配条件包括需进行流量过滤的内部网络用户或内部网络的网段。
进一步,还包括:若未匹配成功,则将流量用户或网段的流量转发。
进一步,还包括:若流量为从内网接口流入的流量,将流量转发。
根据本发明实施例的另一个方面,还提供一种入侵防御设备性能的优化系统,该优化系统包括:匹配模块,用于基于接收到的流量,判断流量源的用户或网段是否为预先配置的需进行流量过滤的用户或网段;判断模块,用于当流量源的用户或网段为预先配置的需进行流量过滤的用户或网段时,判断流量是从内网接口还是外网接口流入的流量;过滤模块,用于当流量为从外网接口流入的流量时,对流量进行过滤处理。
进一步,所述判断模块包括:提取单元,用于提取流量的入接口信息;比对单元,用于将入接口信息与预存的网络接口表进行比对,网络接口表中记录有每个网络入接口属于内网接口还是外网接口。
进一步,该系统还包括:配置模块,用于配置匹配条件,匹配条件包括需进行流量过滤的内部网络用户或内部网络的网段。
进一步,该系统还包括:第一转发模块,用于在未匹配成功时,将流量用户或网段的流量转发。
进一步,该系统还包括:第二转发模块,用于当流量为从内网接口流入的流量时,将流量转发。
本发明实施例通过对接收到的流量划分为是从内网接口还是外网接口流入的流量,以及在判断到该流量是从外网流入的流量时,对该流量进行过滤处理,从而解决了现有技术中需要对所有流量进行过滤处理,以造成对不必要的流量的过滤处理,浪费IPS设备的性能,另外,由于IPS设备不需要对所有流量进行过滤处理,仅需对部分流量进行过滤处理,从而使得IPS设备过滤处理速度增快。
附图说明
图1是本发明实施例的一种入侵防御设备性能的优化方法的流程示意图;
图2是本发明实施例的一种入侵防御设备性能的优化方法的流程示意图;
图3是本发明实施例的一种入侵防御设备性能的优化方法的流程示意图;
图4是本发明实施例的一种入侵防御设备性能的优化方法的流程示意图;
图5是本发明实施例的一种入侵防御设备性能的优化系统的结构示意图;
图6是本发明实施例的一种入侵防御设备性能的优化系统的结构示意图;
图7是本发明实施例的一种入侵防御设备性能的优化系统的结构示意图;
图8是本发明实施例的一种入侵防御设备性能的优化系统的结构示意图;
图9是本发明实施例的一种入侵防御设备性能的优化系统的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明了,下面结合具体实施方式并参照附图,对本发明进一步详细说明。应该理解,这些描述只是示例性的,而并非要限制本发明的范围。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本发明的概念。
图1显示了本发明实施例的一种入侵防御设备性能的优化方法的流程示意图。
在本发明的实施例中,优化方法的执行主体为入侵防御设备(Intrusion Prevention System,IPS),如图1所示,该优化方法包括:
S1,基于接收到的流量,判断流量源的用户或网段是否为预先配置的需进行流量过滤的用户或网段;
当IPS设备接收到流量时,会对流量源的用户或网段进行识别,判断该流量源对应的用户或网段是否符合预先配置的匹配条件,具体地,IPS设备会预先配置匹配条件,以基于匹配条件对接收到的流量进行匹配,判断其是否需要进行IPS业务过滤处理。匹配条件可以是预先配置的需进行流量过滤的用户或网段。需要说明的是,此处的流量源是指流量的发送端。
例如,预先在IPS设备中配置,用户A或192网段为需进行流量过滤的用户或网段,若对流量进行解析得到用户信息或网段信息后,与预先配置的匹配条件进行匹配,若用户信息或网段为预先配置的用户A或192网段,则该用户或网段为需进行流量过滤的用户或网段,进而执行步骤S2。
S2,若匹配成功,判断流量是从内网接口还是外网接口流入的流量;
当IPS设备判断到流量是从外网接口流入的流量时,此时,表示该流量需要进行过滤处理,为了避免对符合匹配条件的用户或网络的所有流量都要进行过滤处理导致浪费IPS设备性能资源的问题,将流量进行区分,由于从内部网络出去的流量并不会存在危险,因此,若对这部分流量进行过滤处理会浪费IPS设备性能资源。
IPS设备对该流量进行过滤处理,是对该用户或网段在与外部网络进行的TCP三次握手、数据传输报文等都会进行IPS业务的过滤处理。
本发明实施例通过对接收到的流量划分为是从内网接口还是外网接口流入的流量,以及在判断到该流量是从外网流入的流量时,对该流量进行过滤处理,从而解决了现有技术中需要对所有流量进行过滤处理,以造成对不必要的流量的过滤处理,浪费IPS设备的性能,另外,由于IPS设备不需要对所有流量进行过滤处理,仅需对部分流量进行过滤处理,从而使得IPS设备过滤处理速度增快。
图2显示了本发明实施例的一种入侵防御设备性能的优化方法的流程示意图。
如图2所示,作为一种实施方式,判断流量是从内网接口还是外网接口流入,可以为:
S21,对流量进行解析,提取流量的入接口信息;
S22,将入接口信息与预存的网络接口表进行比对,网络接口表中记录有每个网络入接口属于内网接口还是外网接口。
例如:在IPS设备的接口下配置inside或者outside标记配置项,IPS系统内部存在inside和outside两个接口池,如果哪个接口配置了inside标记配置项,IPS系统就把这个接口放到inside接口池中,如果哪个接口配置了outside标记配置项,那么就把这个接口放到outside接口池中。这样报文由以太网口进入IPS设备后,如果报文匹配中了匹配条件,那么IPS系统会记录并提取该报文的入接口信息(也就是这个报文是从哪个以太网口进来的),然后判断这个报文的入接口是在哪个接口池中,判断出结果后的执行动作为:只有判定报文的入接口属于outside接口池时,才将该报文进行IPS业务过滤处理,否则不对这个报文进行IPS业务过滤处理。
图3显示了本发明实施例的一种入侵防御设备性能的优化方法的流程示意图。
如图3所示,在步骤S1之后,该方法还包括:
S4,若未匹配成功,则将流量用户或网段的流量转发。
若流量源的用户或网段不是预先配置的需进行流量过滤的用户或网段,那么,此时IPS设备会直接将该流量进行转发,而不会进行过滤处理,可以实现缩小流量过滤范围的效果,从而避免对这部分流量进行过滤处理而消耗IPS设备性能。
例如,预先在IPS设备中配置,用户A或192网段为需进行流量过滤的用户或网段,若对流量进行解析得到用户信息或网段信息后,与预先配置的匹配条件进行匹配,若用户信息或网段不是预先配置的用户A或192网段,则将该流量直接转发,不进行过滤处理。
图4显示了本发明实施例的一种入侵防御设备性能的优化方法的流程示意图。
如图4所示,在步骤S2之后还包括:
S5,若流量为从内网接口流入的流量,将流量转发。
在本发明实施例中,若流量为从内网接口流入的流量,那么表示该流量是内网用户发往外网用户的流量,而由于内网用户发往外网用户的流量并不会存在危险性,则可以将判断到是从内网接口流入的流量直接转发,从而避免对这部分流量进行过滤处理而消耗IPS设备性能。
图5显示了本发明实施例的一种入侵防御设备性能的优化系统的结构示意图。
匹配模块11,用于基于接收到的流量,判断流量源的用户或网段是否为预先配置的需进行流量过滤的用户或网段;
当IPS设备接收到流量时,会对流量源的用户或网段进行识别,判断该流量源对应的用户或网段是否符合预先配置的匹配条件,具体地,IPS设备会预先配置匹配条件,以基于匹配条件对接收到的流量进行匹配,判断其是否需要进行IPS业务过滤处理。匹配条件可以是预先配置的需进行流量过滤的用户或网段。需要说明的是,此处的流量源是指流量的发送端。
例如,预先在IPS设备中配置,用户A或192网段为需进行流量过滤的用户或网段,若对流量进行解析得到用户信息或网段信息后,与预先配置的匹配条件进行匹配,若用户信息或网段为预先配置的用户A或192网段,则该用户或网段为需进行流量过滤的用户或网段。
判断模块12,用于当流量源的用户或网段为预先配置的需进行流量过滤的用户或网段时,判断流量是从内网接口还是外网接口流入的流量;
当IPS设备判断到流量是从外网接口流入的流量时,此时,表示该流量需要进行过滤处理,为了避免对符合匹配条件的用户或网络的所有流量都要进行过滤处理导致浪费IPS设备性能资源的问题,将流量进行区分,由于从内部网络出去的流量并不会存在危险,因此,若对这部分流量进行过滤处理会浪费IPS设备性能资源。
过滤模块13,用于当所述流量为从所述外网接口流入的流量时,对所述流量进行IPS业务过滤处理。
IPS设备如果判断到流量为从所述外网接口流入的流量时,则会对该流量进行过滤处理,即该用户或网段在与外部网络进行的TCP三次握手、数据传输报文等都会进行IPS业务的过滤处理。
图6显示了本发明实施例的一种入侵防御设备性能的优化系统的结构示意图。
如图6所示,作为一种实施方式,判断模块12包括:
提取单元121,用于提取流量的入接口信息;
比对单元122,用于将所述入接口信息与预存的网络接口表进行比对,网络接口表中记录有每个网络入接口属于内网接口还是外网接口。
例如:在IPS设备的接口下配置inside或者outside标记配置项,IPS系统内部存在inside和outside两个接口池,如果哪个接口配置了inside标记配置项,IPS系统就把这个接口放到inside接口池中,如果哪个接口配置了outside标记配置项,那么就把这个接口放到outside接口池中。这样报文由以太网口进入IPS设备后,如果报文匹配中了匹配条件,那么IPS系统会记录并提取该报文的入接口信息(也就是这个报文是从哪个以太网口进来的),然后判断这个报文的入接口是在哪个接口池中,判断出结果后的执行动作为:只有判定报文的入接口属于outside接口池时,才将该报文进行IPS业务过滤处理,否则不对这个报文进行IPS业务过滤处理。
图7显示了本发明实施例的一种入侵防御设备性能的优化系统的结构示意图。
如图7所示,该系统还包括:
配置模块10,用于配置匹配条件,匹配条件包括需进行流量过滤的内部网络用户或内部网络的网段。
图8显示了本发明实施例的一种入侵防御设备性能的优化系统的结构示意图。
如图8所示,该系统还包括:
第一转发模块14,用于在未匹配成功时,将流量用户或网段的流量转发。
若流量源的用户或网段不是预先配置的需进行流量过滤的用户或网段,那么,此时IPS设备会直接将该流量进行转发,而不会进行过滤处理。
例如,预先在IPS设备中配置,用户A或192网段为需进行流量过滤的用户或网段,若对流量进行解析得到用户信息或网段信息后,与预先配置的匹配条件进行匹配,若用户信息或网段不是预先配置的用户A或192网段,则将该用户或网段的流量直接转发,不进行过滤处理。
图9显示了本发明实施例的一种入侵防御设备性能的优化系统的结构示意图。
如图9所示,该系统还包括:
第二转发模块15,用于当流量为从内网接口流入的流量时,将流量转发。
在本发明实施例中,若流量为从内网接口流入的流量,那么表示该流量是内网用户发往外网用户的流量,而由于内网用户发往外网用户的流量并不会存在危险性,则可以将判断到是从内网接口流入的流量直接转发,从而避免对这部分流量进行过滤处理而消耗IPS设备性能。
本发明实施例通过第一判断模块对接收到的流量划分为是从内网接口还是外网接口流入的流量,以及在判断到该流量是从外网流入的流量时,由过滤模块进行过滤处理,从而解决了现有技术中需要对所有流量进行过滤处理,以造成对不必要的流量的过滤处理,浪费IPS设备的性能,另外,由于IPS设备不需要对所有流量进行过滤处理,仅需对部分流量进行过滤处理,从而使得IPS设备过滤处理速度增快。
应当理解的是,本发明的上述具体实施方式仅仅用于示例性说明或解释本发明的原理,而不构成对本发明的限制。因此,在不偏离本发明的精神和范围的情况下所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。此外,本发明所附权利要求旨在涵盖落入所附权利要求范围和边界、或者这种范围和边界的等同形式内的全部变化和修改例。