一种数据包的处理方法及相关装置与流程

本技术涉及网络安全，尤其涉及一种数据包的处理方法及相关装置。

背景技术：

1、近年来，网络安全问题日益突出。为了保证网络的安全性，安全设备(例如，防火墙)被部署以阻止外部攻击。网络管理员通常基于互联网协议(internet protocol，ip)五元组在网络中的安全设备中部署安全策略，以使得网络中的安全设备根据数据包中携带的ip地址识别需要禁止或者允许通过的数据包。

2、但是，由于数据包在传输路径中可能会出现对数据包中的源ip地址和/或目的ip地址进行转换，例如，若网络中的某个设备采用虚拟化技术，则该设备向其他设备发送数据包时，会通过管理程序(hypervisor)层将该数据包的真实的源ip地址转换为代理ip地址，则该数据包在网络中传输时，网络中的安全设备无法得到该数据包的真实的源ip地址，从而无法基于真实的源ip地址与安全策略匹配，导致安全设备上部署的安全策略失效，进而无法准确的对该数据包所对应的访问行为作出允许或禁止的决策。

技术实现思路

1、本技术提供了一种数据包的处理方法和相关装置，额外引入了在数据包的dscp字段中写入第一标识信息这一操作，由于数据包的dscp字段中的值在数据包的传输过程一般不会发生改变，则网络中的设备均能够从dscp字段中获取到真实的第一标识信息，进而能够借助该第一标识信息，准确的对该数据包所对应的访问行为作出允许或禁止的决策，提高了网络的安全性。

2、本技术第一方面提供一种数据包的处理方法，可以应用于网络安全技术领域。前述方法可以包括：当第一数据包的目的地址指向第一对象时，第一设备在第一数据包的区分服务代码点dscp字段中写入标识信息；其中，第一设备为生成第一数据包的设备，或者第一设备为与生成第一数据包的设备连接的交换机。第一设备发送第一数据包，对应的，第二设备获取第一数据包；其中，第二设备为第一数据包的目的地址指向的服务器，或者第二设备为管理前述服务器的安全设备，第一数据包的目的地址指向的前述服务器与第一对象对应。第二设备从第一数据包的dscp字段中获取标识信息，并根据前述标识信息，允许或禁止与第一数据包对应的访问行为。

3、示例性地，第一对象可以包括如下任一项：一种类型的业务、一个网络区域的名称、一种类型的用户或者其他类型的对象等。例如，网络中允许互联网用户访问web服务；则第一对象包括一种类型的业务(即，web服务)。又例如，网络中禁止办公园区访问数据中心；则第一对象包括另一个网络区域的名称(即，数据中心)等。

4、示例性地，在第一对象为业务1(也即一种类型的业务的示例)的情况下，“第一数据包的目的地址指向第一对象”和“第一数据包的目的地址指向的服务器与第一对象对应”均可以理解为位于该目的地址的服务器能够提供业务1。或者，在第一对象为网络区域1(也即一个网络区域的名称的示例)的情况下，“第一数据包的目的地址指向第一对象”可以理解为该目的地址包含于网络区域1覆盖的地址范围内，“第一数据包的目的地址指向的服务器与第一对象对应”可以理解为位于该目的地址的服务器归属于网络区域1。或者，在第一对象为类型1的用户的情况下，“第一数据包的目的地址指向第一对象”可以理解为类型1的用户占用的地址范围内包括该目标地址，“第一数据包的目的地址指向的服务器与第一对象对应”可以理解为位于该目的地址的服务器被类型1的用户使用。

5、本实现方式中，额外引入了在数据包的dscp字段中写入第一标识信息这一操作，由于数据包的dscp字段中的值在数据包的传输过程一般不会发生改变，则网络中的设备均能够从dscp字段中获取到真实的第一标识信息，进而能够借助该第一标识信息，准确的对该数据包所对应的访问行为作出允许或禁止的决策，提高了网络的安全性；dscp字段为数据包中已经存在的字段，选择在dscp字段中写入标识信息，不需要在已有技术上做太大的改变，有利于降低为实现本方案所消耗的计算机资源；且网络中的各种设备均具有解读数据包的控制信息的能力，在不对网络中设备的能力进行升级的前提下，就能够从数据包的dscp字段中获取到标识信息，进而执行本方案，以进一步降低为实现本方案所消耗的计算机资源。

6、由于设备在生成第一数据包时就需要向第一数据包的控制信息中写入数据，由生成第一数据包的设备执行“向dscp字段中写入第一标识信息”这一操作，提高了本方案的便利性。与生成第一数据包的设备连接的交换机一般与多个生成第一数据包的设备连接，由前述交换机执行“向dscp字段中写入第一标识信息”这一操作，则相比于向多个生成第一数据包的设备发送第一规则，仅需要向一个交换机发送第一规则，降低了“向第一设备发送第一规则”这一步所消耗的计算机资源。

7、在到达第一数据包的目的地址时，才根据第一数据包的dscp字段中携带的信息确定是否允许执行与第一数据包对应的访问行为，避免了基于目的地址指向的不是第一对象的数据包中dscp字段的值，对前述数据包进行处理，有利于进一步提高对数据包所对应的访问行为做出的处理结果的准确率。在第一数据包到达与第一数据包的目的地址指向的服务器所连接的安全设备时，就根据第一数据包的dscp字段中携带的信息确定是否允许执行与第一数据包对应的访问行为，也即由独立的安全设备来执行允许或禁止第一数据包通过的操作，减轻了第一数据包的目的地址指向的服务器的负担，提高了第一数据包的目的地址指向的服务器的安全度；且一般一个安全设备用于管控是否允许数据包进入多个设备，在安全设备上部署第二规则，有利于降低“部署第二规则”这一过程所消耗的计算机资源。

8、在一种实现方式中，第一数据包中的dscp字段有8个比特位，前述8个比特位可以包括第0位至第7位。可选地，第一设备可以使用前述8个比特位中的6个比特位，来执行第一标识信息的填写操作；示例性地，该第一标识信息可以占用dscp字段的第0位至第5位中的任意一个或多个比特位。

9、在一种实现方式中，第一设备在第一数据包的dscp字段中写入标识信息，包括：第一设备通过管理程序hypervisor层在第一数据包的dscp字段中写入标识信息。

10、本实现方式中，相对于第一设备中的虚拟机或容器等，第一设备中的hypervisor层需要更高的管理权限，对应的，第一设备中的hypervisor层被黑客攻击成功的概率更小，也即第一设备中的hypervisor层的安全度更高，通过第一设备中的hypervisor层执行第一标识信息的写入操作，有利于提高前述操作的安全度，也即降低非法数据包中携带第一标识信息的概率，从而降低非法数据包成功访问第二设备的概率，有利于提高网络的安全度。

11、在一种实现方式中，第一设备在第一数据包的dscp字段中写入标识信息，包括：第一设备中的第一实例向dscp字段中的第一字段写入第一子标识信息，第一实例为与第二对象对应的实例；示例性地，实例具体可以表现为虚拟机、容器或其他形态等。第一设备中的hypervisor层向dscp字段中的第二字段写入第二子标识信息，标识信息包括第一子标识信息和第二子标识信息；例如，第一字段和第二字段可以为dscp字段中不同的比特位。

12、可选地，若网络中已经确定是否允许第二对象访问第一对象，第一实例可以为第一设备部署的多个示例中与第二对象对应的实例。示例性地，在第二对象为业务2(也即一种类型的业务的示例)的情况下，“第一实例与第二对象对应”可以理解为第一实例为第一设备上用于提供业务2的实例。或者，在第二对象为类型2的用户的情况下，“第一实例与第二对象对应”可以理解为第一设备上的第一实例的被类型2的用户使用。或者，在第二对象为网络区域2(也即一个网络区域的名称的示例)的情况下，“第一实例与第二对象对应”可以理解为该第一实例的地址包含于网络区域2覆盖的地址范围内。

13、本实现方式中，由于第一设备中可能会部署有多个实例，不同的实例有可能会对应不同的对象，例如第一设备上不同的实例用于提供不同类型的业务，或第一设备上不同的实例被不同类型的用户占用等等，则由第一设备中的第一实例和hypervisor层共同执行第一标识信息的写入操作，从而可以在更细粒度的角度管理“第一标识信息的写入操作”，以避免第一设备上与其他对象对应的实例发出的数据包中也携带第一标识信息，从而进一步降低非法数据包成功访问第二设备的概率，以进一步提高网络的安全度。

14、在一种实现方式中，第一设备在第一数据包的dscp字段中写入第一标识信息，包括：第一设备通过实例在第一数据包的dscp字段中写入第一标识信息。示例性地，在一种实现方式中，第一设备中的每个实例均可以在第一数据包的dscp字段中写入第一标识信息；在另一种实现方式中，第一设备中的第一实例可以在第一数据包的dscp字段中写入第一标识信息，第一实例为第一设备部署的多个实例中与第二对象对应的实例。

15、本实现方式中，提供了向第一数据包的dscp字段中写入第一标识信息的又一种实现方案，提高了本方案的实现灵活性；若仅由第一实例在第一数据包的dscp字段中写入第一标识信息，则可以避免第一设备上与其他对象对应的实例发出的数据包中也携带第一标识信息，从而进一步降低非法数据包成功访问第二设备的概率，以进一步提高网络的安全度。

16、在一种实现方式中，第一设备在第一数据包的dscp字段中写入标识信息之前，方法还包括：第一设备接收第三设备发送的第一规则，第一规则指示当发送的数据包的目的地址指向第一对象时，在发送的数据包的dscp字段中写入标识信息。在第二设备根据标识信息，允许或禁止与第一数据包对应的访问行为之前，方法还包括：第二设备接收前述第三设备发送的第二规则，第二规则指示当第二设备获取到的数据包的dscp字段中携带标识信息时，允许或禁止与获取到的数据包对应的访问行为。

17、本实现方式中，由第三设备分别向第一设备和第二设备发送第一规则和第二规则，也即有利于实现由其他的控制设备统一的对网络中的多个设备下发规则，有利于避免网络中不同设备中的规则出现冲突，以进一步提高网络的安全性。

18、申请第二方面提供一种数据包的处理方法，可以应用于网络安全技术领域。方法包括：当第一数据包的目的地址指向第一对象时，第一设备在第一数据包的区分服务代码点dscp字段中写入标识信息，标识信息用于指示第二设备允许或禁止与第一数据包对应的访问行为；第一设备发送第一数据包。其中，第一设备为生成第一数据包的设备，或者第一设备为与生成第一数据包的设备连接的交换机；第二设备为第一数据包的目的地址指向的服务器，或者第二设备为管理服务器的安全设备，服务器与第一对象对应。

19、在第二方面中，第一设备还可以执行第一方面中第一设备执行的步骤，第二方面以及第二方面的各种可能实现方式中名词的含义、所带来的有益效果均可以参阅第一方面以及第一方面的各种可能实现方式中的描述，此处不做赘述。

20、本技术第三方面提供一种数据包的处理方法，可以应用于网络安全技术领域。方法包括：第二设备获取第一数据包，其中，第二设备为第一数据包的目的地址指向的服务器，或者第二设备为管理服务器的安全设备；第二设备从第一数据包的区分服务代码点dscp字段中获取标识信息；第二设备根据标识信息，允许或禁止与第一数据包对应的访问行为。

21、在第三方面中，第二设备还可以执行第一方面中第二设备执行的步骤，第三方面以及第三方面的各种可能实现方式中名词的含义、所带来的有益效果均可以参阅第一方面以及第一方面的各种可能实现方式中的描述，此处不做赘述。

22、本技术第四方面提供一种数据包的处理方法，可以应用于网络安全技术领域。方法包括：第三设备向网络中的第一设备发送第一规则，第一规则指示当发送的数据包的目的地址指向第一对象时，在发送的数据包的区分服务代码点dscp字段中写入标识信息；第三设备向网络中与第一对象对应的第二设备发送第二规则，第二规则指示当获取到的数据包的dscp字段中携带标识信息时，允许或禁止与获取到的数据包对应的访问行为。

23、在一种实现方式中，第三设备向网络中的第一设备发送第一规则，包括：第三设备向第一设备的管理程序hypervisor层发送第一规则。

24、第三方面以及第三方面的各种可能实现方式中名词的含义、所带来的有益效果均可以参阅第一方面以及第一方面的各种可能实现方式中的描述，此处不做赘述。

25、本技术第五方面提供一种数据包的处理系统，可以应用于网络安全技术领域。数据包的处理系统包括第一设备中的填写模块和第一设备中的发送模块，数据包的处理系统还包括第二设备中的获取模块和第二设备中的处理模块。其中，填写模块，用于当第一数据包的目的地址指向第一对象时，在第一数据包的区分服务代码点dscp字段中写入标识信息；第一设备为生成第一数据包的设备，或者第一设备为与生成第一数据包的设备连接的交换机；发送模块，用于发送第一数据包；获取模块，用于获取第一数据包，第二设备为第一数据包的目的地址指向的服务器，或者第二设备为管理服务器的安全设备，服务器与第一对象对应；获取模块，还用于从第一数据包的dscp字段中获取标识信息；处理模块，用于根据标识信息，允许或禁止与第一数据包对应的访问行为。

26、在第五方面中，数据包的处理系统中的各个模块还可以执行第一方面中第一设备和第二设备执行的步骤，第五方面以及第五方面的各种可能实现方式中名词的含义、所带来的有益效果均可以参阅第一方面以及第一方面的各种可能实现方式中的描述，此处不做赘述。

27、本技术第六方面提供一种数据包的处理装置，可以应用于网络安全技术领域。该数据包的处理装置应用于第一设备中，前述装置包括：填写模块，用于当第一数据包的目的地址指向第一对象时，在第一数据包的区分服务代码点dscp字段中写入标识信息，标识信息用于指示第二设备允许或禁止与第一数据包对应的访问行为；发送模块，用于发送第一数据包；其中，第一设备为生成第一数据包的设备，或者第一设备为与生成第一数据包的设备连接的交换机；第二设备为第一数据包的目的地址指向的服务器，或者第二设备为管理服务器的安全设备，服务器与第一对象对应。

28、在第六方面中，数据包的处理系统中的各个模块还可以执行第一方面中第一设备执行的步骤，第六方面以及第六方面的各种可能实现方式中名词的含义、所带来的有益效果均可以参阅第一方面以及第一方面的各种可能实现方式中的描述，此处不做赘述。

29、本技术第七方面提供一种数据包的处理装置，可以应用于网络安全技术领域。该数据包的处理装置应用于第二设备中，前述装置包括：获取模块，用于获取第一数据包，其中，第二设备为第一数据包的目的地址指向的服务器，或者第二设备为管理服务器的安全设备；获取模块，还用于从第一数据包的区分服务代码点dscp字段中获取标识信息；处理模块，用于根据标识信息，允许或禁止与第一数据包对应的访问行为。

30、在第七方面中，数据包的处理系统中的各个模块还可以执行第一方面中第二设备执行的步骤，第七方面以及第七方面的各种可能实现方式中名词的含义、所带来的有益效果均可以参阅第一方面以及第一方面的各种可能实现方式中的描述，此处不做赘述。

31、本技术第八方面提供一种数据包的处理装置，可以应用于网络安全技术领域。该数据包的处理装置应用于第三设备中。数据包的处理装置包括：发送模块，用于向网络中的第一设备发送第一规则，第一规则指示当第一设备发送的数据包的目的地址指向第一对象时，在发送的数据包的区分服务代码点dscp字段中写入标识信息；第一设备为生成第一数据包的设备，或者第一设备为与生成第一数据包的设备连接的交换机；发送模块，还用于向网络中的第二设备发送第二规则，第二规则指示当获取到的数据包的dscp字段中携带标识信息时，允许或禁止与获取到的数据包对应的访问行为；第二设备为第一数据包的目的地址指向的服务器，或者第二设备为管理服务器的安全设备，服务器与第一对象对应。

32、在第八方面中，数据包的处理装置还可以执行第三方面中第三设备执行的步骤，第八方面以及第八方面的各种可能实现方式中名词的含义、所带来的有益效果均可以参阅第三方面以及第三方面的各种可能实现方式中的描述，此处不做赘述。

33、本技术第九方面提供一种设备，包括处理器和存储器。存储器用于存储程序代码，处理器用于调用存储器中的程序代码以使得设备执行如上述各个方面中的方法。

34、本技术第十方面提供一种计算机可读存储介质，存储有指令，当指令在计算机上运行时，使得计算机执行如上述各个方面中的方法。

35、本技术第十一方面提供一种计算机程序产品，当其在计算机上运行时，使得计算机执行如上述各个方面中的方法。

36、本技术第十二方面提供一种芯片，包括一个或多个处理器。处理器中的部分或全部用于读取并执行存储器中存储的计算机指令，以执行上述各个方面中的方法。可选地，芯片还包括存储器。可选地，芯片还包括通信接口，处理器与通信接口连接。通信接口用于接收需要处理的数据和/或信息，处理器从通信接口获取数据和/或信息，并对数据和/或信息进行处理，并通过通信接口输出处理结果。可选地，通信接口是输入输出接口或者总线接口。本技术提供的方法由一个芯片实现，或者由多个芯片协同实现。