一种基于云服务平台的数据包转发系统及方法技术方案

本发明专利技术公开了一种基于云服务平台的数据包转发系统及方法。本发明专利技术中的云服务平台包括核心路由器和多个不同业务类型的集群，各集群由若干个终端设备组成；若干个终端设备按照IP地址范围被划分至各不同业务类型的集群；核心路由器用于在接收到数据包时，对所述数据包进行解析，以确定与所述数据包对应的源集群和目标集群；根据源集群和目标集群从策略路由图中确定转发路径，可从更多的维度将数据包转发至目标集群；目标集群用于对所述数据包进行检测，在检测结果达到预设标准时，将所述数据包发送至与所述目标IP地址对应的终端设备，各个终端设备有效地对数据包进行恶意流量清理，能够有效避免局域网内各个终端设备之间的攻击蔓延。

【技术实现步骤摘要】
一种基于云服务平台的数据包转发系统及方法
本专利技术涉及通信
，尤其涉及一种基于云服务平台的数据包转发系统及方法。
技术介绍
目前云服务平台在数据包转发过程中可能存在恶意流量数据，而现有技术，针对恶意流量数据的处理，一种做法是通过硬件防火墙等物理设备在内网的物理安全区域的网络出口，每个物理安全域的边界会通过硬件防火墙等物理设备来监测恶意流量，但是通过物理防火墙等设备虽然在一定程度上能够有效清理恶意流量，但是成本较高，并且使用硬件防火墙等物理设备在配置网络整体架构过程中结果比较复杂，硬件与硬件直接的交互周期比较长。另一种做法是使用云平台内部的虚拟机安全组功能，这种做法可以过滤东西向的流量，但是只能实现最简单的acl访问控制规则，不能进行恶意流量清洗和审计，也不能有效防御没被acl隔离的内部服务器之间的攻击蔓延。
技术实现思路
本专利技术提出一种基于云服务平台的数据包转发系统及方法，旨在解决目前云服务平台中的恶意流量数据不能有效被清理的问题。为实现上述目的，本专利技术提供一种基于云服务平台的数据包转发系统，所述云服务平台包括核心路由器和多个不同业务类型的集群，各集群由若干个终端设备组成，所述核心路由器与各集群分别相连；所述若干个终端设备按照IP地址范围被划分至各不同业务类型的集群；所述核心路由器，用于在接收到数据包时，对所述数据包进行解析，获得所述数据包的源IP地址和目的IP地址，确定与所述源IP地址对应的源集群，确定与所述目的IP地址对应的目标集群；所述核心路由器，还用于根据所述源集群和目标集群从策略路由图中确定转发路径；通过所述转发路径将所述数据包发送至所述目标集群；所述目标集群，用于在接收到所述数据包时，对所述数据包进行检测，在检测结果达到预设标准时，将所述数据包发送至与所述目标IP地址对应的终端设备。优选地，所述目标集群配置有上网行为管理软件；相应地，所述目标集群，还用于在接收所述核心路由器发送的数据包时，通过所述上网行为管理软件对所述数据包进行流量监测，在流量监测结果中不包括异常行为数据时，将所述数据包发送至与所述目标IP地址对应的终端设备。优选地，所述目标集群还配置有虚拟机防火墙；相应地，所述目标集群，还用于在流量监测结果中包括异常行为数据时，通过所述虚拟机防火墙对所述数据包进行流量过滤，将过滤后的数据包转发至与所述目标IP地址对应的终端设备。优选地，所述核心路由器，还用于根据所述源集群和目标集群从策略路由图中确定转发路径；通过所述转发路径将所述数据包发送至与所述转发路径对应的中转集群，所述中转集群配置有所述上网行为管理软件和所述虚拟机防火墙；相应地，所述中转集群，还用于在接收所述核心路由器发送的数据包时，通过所述中转集群的上网行为管理软件对所述数据包进行流量监测，获取流量监测结果；所述中转集群，还用于在流量监测结果中包括异常行为数据时，通过所述中转集群的虚拟机防火墙对所述数据包进行流量过滤，将过滤后的数据包转发至所述目标集群。可选地，所述目标集群还包括预设杀毒软件；所述目标集群，还用于在接收到所述数据包时，通过所述预设杀毒软件对所述数据包进行病毒查杀，将经病毒查杀后的数据包发送至与所述目标IP地址对应的终端设备。此外，为实现上述目的，本专利技术还提出一种基于云服务平台的数据包转发方法，所述云服务平台包括核心路由器和多个不同业务类型的集群，各集群由若干个终端设备组成，所述核心路由器与各集群分别相连；所述若干个终端设备按照IP地址范围被划分至各不同业务类型的集群；相应地，所述方法包括：所述核心路由器在接收到数据包时，对所述数据包进行解析，获得所述数据包的源IP地址和目的IP地址，确定与所述源IP地址对应的源集群，确定与所述目的IP地址对应的目标集群；所述核心路由器根据所述源集群和目标集群从策略路由图中确定转发路径；通过所述转发路径将所述数据包发送至所述目标集群；所述目标集群在接收到所述数据包时，对所述数据包进行检测，在检测结果达到预设标准时，将所述数据包发送至与所述目标IP地址对应的终端设备。优选地，所述目标集群在接收到所述数据包时，对所述数据包进行检测，在检测结果达到预设标准时，将所述数据包发送至与所述目标IP地址对应的终端设备，具体包括：所述目标集群在接收所述核心路由器发送的数据包时，通过所述上网行为管理软件对所述数据包进行流量监测，获取流量监测结果；所述目标集群在所述流量监测结果中不包括异常行为数据时，将所述数据包发送至与所述目标IP地址对应的终端设备。优选地，所述通过所述上网行为管理软件对所述数据包进行流量监测，获取流量监测结果之后，还包括：所述目标集群在流量监测结果中包括异常行为数据时，通过所述虚拟机防火墙对所述数据包进行流量过滤，将过滤后的数据包转发至与所述目标IP地址对应的终端设备。优选地，所述核心路由器根据所述源集群和目标集群从策略路由图中确定转发路径之后，所述方法还包括：所述核心路由器通过所述转发路径将所述数据包发送至与所述转发路径对应的中转集群；所述中转集群在接收所述核心路由器发送的所述数据包时，通过中转集群的上网行为管理软件对所述数据包进行流量监测；所述中转集群在流量监测结果中包括异常行为数据时，通过中转集群的虚拟机防火墙对所述数据包进行流量过滤，将过滤后的数据包转发至所述目标集群。可选地，所述方法还包括：所述目标集群在接收到所述数据包时，通过所述预设杀毒软件对所述数据包进行病毒查杀，将经病毒查杀后的数据包发送至与所述目标IP地址对应的终端设备。附图说明图1为本专利技术一种基于云服务平台的数据包转发系统第一实施例的结构框图；图2为本专利技术一实施例中云服务平台的安全域分区结构示意图；图3为本专利技术一实施例中策略路由图的示意图；图4为本专利技术一实施例中一种基于云服务平台的数据包转发系统运作时的结构框图；图5为本专利技术一种基于云服务平台的数据包转发方法第一实施例流程示意图；图6为本专利技术一种基于云服务平台的数据包转发方法第二实施例流程示意图。本专利技术目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。具体实施方式应当理解，此处所描述的具体实施例仅仅用以解释本专利技术，并不用于限定本专利技术。参照图1，图1为本专利技术一种基于云服务平台的数据包转发系统第一实施例的结构框图。如图1所示，所述云服务平台包括核心路由器10和多个不同业务类型的集群01，各集群01由若干个终端设备组成，所述核心路由器10与各集群01分别相连；所述若干个终端设备按照IP地址范围被划分至各不同业务类型的集群01；可理解的是，所述云服务平台的一个集群可表征为一个安全域，本实施中，在各个设备运行前，所述云服务平台的管理人员可以对整个云服务平台的架构进行编排，例如管理人员可通过核心路由器搜集局域网中各个终端设备的IP地址，将这些终端设备按照IP地址范围被划分至各不同业务类型的安全域，例如参考图2，所述云服务平台可将若干个终端设备按照IP地址范围被划分至各不同业务类型的集群(即安全域)，本实施例中以5种类型的安全域为例进行说明，这5种类型安全域分别是：内网办公域、核心服务域、对外服务域、运维管理域、互联网出口域，各个安全域具有不同IP地址的终端设备，不同安全域中的终端设备中配置了与其安全域所对应业务类型的应用软件。相应地，本实施例中的对本文档来自技高网...

【技术保护点】
一种基于云服务平台的数据包转发系统，其特征在于，所述云服务平台包括核心路由器和多个不同业务类型的集群，各集群由若干个终端设备组成，所述核心路由器与各集群分别相连；所述若干个终端设备按照IP地址范围被划分至各不同业务类型的集群；所述核心路由器，用于在接收到数据包时，对所述数据包进行解析，获得所述数据包的源IP地址和目的IP地址，确定与所述源IP地址对应的源集群，确定与所述目的IP地址对应的目标集群；所述核心路由器，还用于根据所述源集群和目标集群从策略路由图中确定转发路径；通过所述转发路径将所述数据包发送至所述目标集群；所述目标集群，用于在接收到所述数据包时，对所述数据包进行检测，在检测结果达到预设标准时，将所述数据包发送至与所述目标IP地址对应的终端设备。

【技术特征摘要】
1.一种基于云服务平台的数据包转发系统，其特征在于，所述云服务平台包括核心路由器和多个不同业务类型的集群，各集群由若干个终端设备组成，所述核心路由器与各集群分别相连；所述若干个终端设备按照IP地址范围被划分至各不同业务类型的集群；所述核心路由器，用于在接收到数据包时，对所述数据包进行解析，获得所述数据包的源IP地址和目的IP地址，确定与所述源IP地址对应的源集群，确定与所述目的IP地址对应的目标集群；所述核心路由器，还用于根据所述源集群和目标集群从策略路由图中确定转发路径；通过所述转发路径将所述数据包发送至所述目标集群；所述目标集群，用于在接收到所述数据包时，对所述数据包进行检测，在检测结果达到预设标准时，将所述数据包发送至与所述目标IP地址对应的终端设备。2.如权利要求1所述的系统，其特征在于，所述目标集群配置有上网行为管理软件；相应地，所述目标集群，还用于在接收所述核心路由器发送的数据包时，通过所述上网行为管理软件对所述数据包进行流量监测，在流量监测结果中不包括异常行为数据时，将所述数据包发送至与所述目标IP地址对应的终端设备。3.如权利要求2所述的系统，其特征在于，所述目标集群还配置有虚拟机防火墙；相应地，所述目标集群，还用于在流量监测结果中包括异常行为数据时，通过所述虚拟机防火墙对所述数据包进行流量过滤，将过滤后的数据包转发至与所述目标IP地址对应的终端设备。4.如权利要求1所述的系统，其特征在于，所述核心路由器，还用于根据所述源集群和目标集群从策略路由图中确定转发路径；通过所述转发路径将所述数据包发送至与所述转发路径对应的中转集群，所述中转集群配置有所述上网行为管理软件和所述虚拟机防火墙；相应地，所述中转集群，还用于在接收所述核心路由器发送的数据包时，通过所述中转集群的上网行为管理软件对所述数据包进行流量监测，获取流量监测结果；所述中转集群，还用于在流量监测结果中包括异常行为数据时，通过所述中转集群的虚拟机防火墙对所述数据包进行流量过滤，将过滤后的数据包转发至所述目标集群。5.如权利要求1～4中任一项所述的系统，其特征在于，所述目标集群还包括预设杀毒软件；所述目标集群，还用于在接收到所述数据包时，通过所述预设杀毒软件对所述数据包进行病毒查杀，将经病毒查杀后的数据包发送至与所述目标IP地址对应的终端设备。6.一种基于云服务平台的数...

【专利技术属性】
技术研发人员：黄林康，
申请(专利权)人：深信服网络科技深圳有限公司，
类型：发明
国别省市：广东,44