【技术实现步骤摘要】
旁路阻断方法、系统、装置、计算机设备及存储介质
[0001]本申请实施例涉及网络
,特别涉及一种旁路阻断方法、系统、装置、计算机设备及存储介质。
技术介绍
[0002]随着计算机和网络应用技术的不断发展,网络安全保障至关重要,通常采用旁路阻断的方式防御网络攻击以及实现对非法网站的拦截。
[0003]在相关技术中,通过将核心路由器与防护阻断设备通过端口镜像直连,防护阻断设备通过对核心路由器中的业务流量的镜像流量进行阻断判断,确定其中的候选阻断流量并发送阻断包,实现对候选阻断流量的阻断。
[0004]然而,在上述方案中,核心路由器中的所有业务流量都需要被镜像并进行阻断判断,而核心路由器中的业务流量基数庞大,从而对防护阻断设备造成巨大压力和性能消耗。
技术实现思路
[0005]本申请实施例提供了一种旁路阻断方法、系统、装置、计算机设备及存储介质,可以在进行防护阻断时,减少防护阻断设备的压力和性能消耗,该技术方案如下:
[0006]一方面,提供了一种旁路阻断方法,所述方法应用于阻断交换机中,所述阻断交换机设置在防护阻断设备与核心路由器之间,所述方法包括:
[0007]接收所述核心路由器发送的目标流量,所述目标流量是具有指定路由信息的业务流量;
[0008]对所述目标流量进行镜像处理,获取所述目标流量的镜像流量;
[0009]将所述目标流量回注到所述核心路由器;
[0010]将所述镜像流量发送给所述防护阻断设备;
[0011]接收所述防护阻断 ...
【技术保护点】
【技术特征摘要】
1.一种旁路阻断方法,其特征在于,所述方法应用于阻断交换机中,所述阻断交换机设置在防护阻断设备与核心路由器之间,所述方法包括:接收所述核心路由器发送的目标流量,所述目标流量是具有指定路由信息的业务流量;对所述目标流量进行镜像处理,获取所述目标流量的镜像流量;将所述目标流量回注到所述核心路由器;将所述镜像流量发送给所述防护阻断设备;接收所述防护阻断设备发送的阻断包;所述阻断包是所述防护阻断设备响应于所述镜像流量与阻断规则相匹配发送的;所述阻断规则是设置在所述防护阻断设备中,用于进行阻断判断的规则;将所述阻断包转发给所述核心路由器,以对所述目标流量进行阻断。2.根据权利要求1所述的方法,其特征在于,所述阻断交换机与所述核心路由器之间通过第一边界网关协议BGP通道相连,且所述阻断交换机与所述防护阻断设备之间通过第二BGP通道相连;所述接收所述核心路由器发送的目标流量,包括:通过所述第一BGP通道接收所述核心路由器发送的所述目标流量;所述将所述目标流量回注到所述核心路由器,包括:通过所述第一BGP通道将所述目标流量回注到所述核心路由器;所述将所述镜像流量发送给所述防护阻断设备,包括:通过所述第二BGP通道将所述镜像流量发送给所述防护阻断设备;所述接收所述防护阻断设备发送的阻断包,包括:接收所述防护阻断设备通过所述第二BGP通道发送的所述阻断包;所述将所述阻断包转发给所述核心路由器,包括:通过所述第一BGP通道将所述阻断包转发给所述核心路由器。3.根据权利要求1所述的方法,其特征在于,所述接收所述核心路由器发送的目标流量之前,所述方法还包括:接收所述防护阻断设备发送的路由通告,所述路由通告用于声明所述指定路由信息;将所述路由通告转发给所述核心路由器;所述接收所述核心路由器发送的目标流量,包括:接收所述核心路由器基于所述路由通告发送的所述目标流量。4.根据权利要求1所述的方法,其特征在于,所述阻断交换机中配置有分光镜;所述对所述目标流量进行镜像处理,获取所述目标流量的镜像流量,包括:通过所述分光镜对所述目标流量进行镜像处理,获取所述目标流量的所述镜像流量。5.一种旁路阻断方法,其特征在于,所述方法应用于防护阻断设备中,所述防护阻断设备与核心路由器之间设置有阻断交换机,所述方法包括:接收所述阻断交换机发送的目标流量对应的镜像流量,所述目标流量是具有指定路由信息的业务流量;响应于所述镜像流量与阻断规则相匹配,生成阻断包;向所述阻断交换机发送所述阻断包,以对所述目标流量进行阻断。
6.根据权利要求5所述的方法,其特征在于,所述防护阻断设备与所述阻断交换机之间通过第二BGP通道相连;所述接收所述阻断交换机发送的目标流量对应的镜像流量,包括:接收所述阻断交换机通过所述第二BGP通道发送的所述镜像流量;所述向所述阻断交换机发送所述阻断包,包括:通过所述第二BGP通道向所述阻断交换机发送所述阻断包。7.根据权利要求5所述的方法,其特征在于,所述接收阻断交换机发送的目标流量对应的镜像流量之前,还包括:读取阻断规则,所述阻断规则中包含所述指定路由信息;向所述阻断交换机发送用于声明所述指定路由信息的路由通告,以使得所述阻断交换机将所述路由通告转发给所述核心路由器,以触发所述核心路由器将所述指定路由信息对应的所述目标流量发送给所述阻断交换机。8.根据权利要求5所述的方法,其特征在于,所述指定路由信息包括第一指定路由信息与第二指定路由信息中的至少一种;所述第一指定路由信息用以指示业务流量对应的互联网协议IP地址为受保护的I...
【专利技术属性】
技术研发人员:王爱科,周志彬,
申请(专利权)人:腾讯科技深圳有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。