一种基于流定义的内核态安全业务流量的调度方法和装置与流程
- 国知局
- 2024-08-02 12:40:47
本公开涉及计算机设备领域,尤其涉及一种基于流定义的内核态安全业务流量的调度方法和装置。
背景技术:
1、随着网络安全需求的日益增强,框式设备在网络安全领域的应用越来越广泛。框式设备中设置有多个业务板卡,不同的业务板卡处理不同的安全业务,以提高安全业务的处理效率。因此,在通过框式设备对网络流量进行安全业务的处理时,网络流量进入框式设备后要经过多个业务板卡的处理,那么如何在设备内部调度网络流量是必须解决的问题。
2、在现有技术中,通常是根据网络流量的入接口配置对进入设备的网络流量进行转发。例如,对于入接口配置a的网络流量a,其对应的安全业务在业务板卡a中执行,因此将入接口配置为a的网络流量转发到业务板卡a中。但是,基于接口配置对网络流量进行转发时,同一接口配置可能包含多种流量,这会导致业务板卡接收到不需要其进行安全业务处理的网络流量。例如,入接口配置a对应的网络流量为网络流量a、网络流量b和网络流量c。而网络流量b和网络流量c不需要业务板卡进行安全业务的处理,但是依然会转发至业务板卡a,这就造成了设备资源的浪费,影响了设备的运行效率。
技术实现思路
1、有鉴于此,本公开提供一种基于流定义的内核态安全业务流量的调度方法和装置,可以使主控板卡依据业务板卡的业务策略信息,确定报文的转发路径,避免业务板卡接收到繁杂的报文信息。
2、根据本公开实施例的第一方面,提供了一种基于流定义的内核态安全业务流量的调度方法,应用于主控板卡,所述方法包括:
3、获取多个业务板卡的业务策略信息,其中,所述业务策略信息用于确定每个业务板卡对报文的处理策略;
4、依据所述业务策略信息,确定每个业务板卡对应报文的多元组合信息,所述多元组合信息用于通过多种信息限定业务板卡对应的报文;
5、依据每个业务板卡对应报文的多元组合信息,生成报文转发规则,所述报文转发规则包括:所述多元组合信息、以及对应的业务板卡的板卡信息;
6、在接收到待调度的目标报文时,根据所述报文转发规则,确定所述目标报文的转发路径,所述目标报文是安全业务流量的报文,所述转发路径中包括:多个业务板卡的板卡信息;
7、将所述转发路径添加至所述目标报文中,并将所述目标报文发送至业务板卡,以使业务板卡依据所述转发路径转发所述目标报文。
8、在一个实施例中,所述多元组合信息包括:源ip地址、目的ip地址、源端口信息、目的端口信息、传输层协议信息、网络应用信息和网络接口信息。
9、在一个实施例中,所述在接收到待调度的目标报文时,根据所述报文转发规则,确定所述目标报文的转发路径,包括:
10、在接收到待调度的目标报文时,获取报文转发规则集合,其中,所述报文转发规则集合中包括:多个报文转发规则;
11、解析所述目标报文,得到所述目标报文的多元组合信息;
12、将所述目标报文的多元组合信息,与所述报文转发规则集合中的各个报文转发规则进行匹配,获取匹配成功的报文转发规则中包含的板卡信息;
13、根据所述匹配成功的板卡信息,确定该报文对应的转发路径。
14、在一个实施例中,所述方法应用于所述主控板卡的操作系统的内核态。
15、根据本公开实施例的第二方面,提供了一种基于流定义的内核态安全业务流量的调度方法,应用于业务控板卡,所述方法包括:
16、接收主控板卡发送的目标报文,所述目标报文是安全业务流量的报文;
17、解析所述目标报文,获得所述目标报文中的转发路径;所述转发路径是主控板卡将目标报文与报文转发规则进行匹配得到,且所述报文转发规则是基于多个业务板卡上的业务策略信息生成,所述业务策略信息用于确定每个业务板卡对报文的处理策略,所述报文转发规则包括:解析所述多个业务板卡的业务策略信息得到的多元组合信息、以及对应的业务板卡的板卡信息;
18、依据所述转发路径,对处理后的目标报文进行转发。
19、在一个实施例中,所述转发路径,包括:多个业务板卡的目标标识,所述目标标识的取值为第一取值时表示该业务板卡尚未对所述目标报文进行处理,所述目标标识的取值为第二取值时表示该业务板卡不需要对所述目标报文进行处理或者该业务板卡已经对所述目标报文处理结束;
20、所述依据所述转发路径,对处理后的目标报文进行转发,包括:
21、在对所述目标报文处理结束后,将该业务板卡对应的目标标识的取值,由第一取值更改为第二取值;
22、将所述报文发送至所述转发路径中目标标识为第一取值的下一个业务板卡。
23、在一个实施例中,所述方法应用于所述业务板卡的操作系统的内核态。
24、根据本公开实施例的第三方面,提供了一种基于流定义的内核态安全业务流量的调度装置,应用于主控板卡,所述装置包括:
25、获取单元,用于获取多个业务板卡的业务策略信息,其中,所述业务策略信息用于确定每个业务板卡对报文的处理策略;
26、第一确定单元,用于依据所述业务策略信息,确定每个业务板卡对应报文的多元组合信息,所述多元组合信息用于通过多种信息限定业务板卡对应的报文;
27、生成单元,用于依据每个业务板卡对应报文的多元组合信息,生成报文转发规则,所述报文转发规则包括:所述多元组合信息、以及对应的业务板卡的板卡信息;
28、第二确定单元,用于在接收到待调度的目标报文时,根据所述报文转发规则,确定所述目标报文的转发路径,所述转发路径中包括:多个业务板卡的板卡信息;
29、发送单元,用于将所述转发路径添加至所述目标报文中,并将所述目标报文发送至业务板卡,以使业务板卡依据所述转发路径转发所述目标报文。
30、根据本公开实施例的第四方面,提供了另一种基于流定义的内核态安全业务流量的调度装置,应用于业务控板卡,所述装置包括:
31、接收单元,用于接收主控板卡发送的目标报文,所述目标报文是安全业务流量的报文;
32、解析单元,用于解析所述目标报文,获得所述目标报文中的转发路径;所述转发路径是主控板卡将目标报文与报文转发规则进行匹配得到,且所述报文转发规则是基于多个业务板卡上的业务策略信息生成,所述业务策略信息用于确定每个业务板卡对报文的处理策略,所述报文转发规则包括:解析所述多个业务板卡的业务策略信息得到的多元组合信息、以及对应的业务板卡的板卡信息;
33、转发单元,用于依据所述转发路径,对处理后的目标报文进行转发。
34、根据本公开实施例的第五方面,提供了一种网络设备,包括:
35、主控板卡,用于配置多个业务板卡的业务策略信息,并根据业务策略信息生成报文转发规则,还用于接收目标报文,并根据报文转发规则生成目标报文的转发路径;
36、多个业务板卡,用于依据所述转发路径转发所述目标报文;
37、处理器;
38、用于存储处理器可执行指令的存储器。
39、根据本公开实施例的第六方面,提供了一种非临时性计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述第一方面和第二方面任一所述方法的步骤。
40、根据本公开实施例的第七方面,提供了一种计算机程序产品,该计算机程序产品被处理器执行时实现上述第一方面和第二方面任一所述方法的步骤。
41、本公开实施例提供的技术方案可以包括以下有益效果:
42、先根据获取到的业务策略信息确定每个业务板卡对应报文的多元组信息,并根据多元组信息生成报文转发规则,实现了在业务板卡对应的业务策略发生变化时,自动生成变化后的业务策略对应的报文转发规则的目的,提高了报文转发规则的生成准确性。然后在接收到待调度的目标报文时,根据报文转发规则确定目标报文的转发路径,使业务板卡根据转发路径对目标报文进行转发。通过将目标报文的转发路径与业务板卡的业务策略信息关联到一起,避免了业务板卡接收到繁杂的报文信息的问题,提高了业务板卡处理报文的准确性,避免了板卡所在设备的资源浪费问题,进而提高了板卡所在设备的运行效率。
本文地址:https://www.jishuxx.com/zhuanli/20240802/237290.html
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 YYfuon@163.com 举报,一经查实,本站将立刻删除。