旁路阻断方法、系统、装置、计算机设备及存储介质制造方法及图纸

本申请关于一种旁路阻断方法、系统、装置、计算机设备及存储介质，涉及网络技术领域。该方法包括：阻断交换机接收核心路由器通过BGP通道发送的目标流量，该目标流量是具有指定路由信息的业务流量；对目标流量进行镜像处理，获取目标流量的镜像流量；将目标流量通过BGP通道回注到核心路由器；通过BGP通道将镜像流量发送给防护阻断设备；接收防护阻断设备响应于目标流量为阻断流量时通过BGP通道发送的阻断包；通过BGP通道将阻断包转发给核心路由器，以对目标流量进行阻断。通过上述方法，使得在进行防护阻断时，防护阻断设备只需对部分流量进行阻断判断，从而减少了防护阻断设备的压力和性能消耗。和性能消耗。和性能消耗。

【技术实现步骤摘要】
旁路阻断方法、系统、装置、计算机设备及存储介质


[0001]本申请实施例涉及网络
，特别涉及一种旁路阻断方法、系统、装置、计算机设备及存储介质。

技术介绍

[0002]随着计算机和网络应用技术的不断发展，网络安全保障至关重要，通常采用旁路阻断的方式防御网络攻击以及实现对非法网站的拦截。
[0003]在相关技术中，通过将核心路由器与防护阻断设备通过端口镜像直连，防护阻断设备通过对核心路由器中的业务流量的镜像流量进行阻断判断，确定其中的候选阻断流量并发送阻断包，实现对候选阻断流量的阻断。
[0004]然而，在上述方案中，核心路由器中的所有业务流量都需要被镜像并进行阻断判断，而核心路由器中的业务流量基数庞大，从而对防护阻断设备造成巨大压力和性能消耗。

技术实现思路

[0005]本申请实施例提供了一种旁路阻断方法、系统、装置、计算机设备及存储介质，可以在进行防护阻断时，减少防护阻断设备的压力和性能消耗，该技术方案如下：
[0006]一方面，提供了一种旁路阻断方法，所述方法应用于阻断交换机中，所述阻断交换机设置在防护阻断设备与核心路由器之间，所述方法包括：
[0007]接收所述核心路由器发送的目标流量，所述目标流量是具有指定路由信息的业务流量；
[0008]对所述目标流量进行镜像处理，获取所述目标流量的镜像流量；
[0009]将所述目标流量回注到所述核心路由器；
[0010]将所述镜像流量发送给所述防护阻断设备；
[0011]接收所述防护阻断设备发送的阻断包；所述阻断包是所述防护阻断设备响应于所述镜像流量与阻断规则相匹配发送的；所述阻断规则是设置在所述防护阻断设备中，用于进行阻断判断的规则；
[0012]将所述阻断包转发给所述核心路由器，以对所述目标流量进行阻断。
[0013]另一方面，提供了一种旁路阻断方法，所述方法应用于防护阻断设备中，所述防护阻断设备与核心路由器之间设置有阻断交换机，所述方法包括：
[0014]接收所述阻断交换机发送的目标流量对应的镜像流量，所述目标流量是具有指定路由信息的业务流量；
[0015]响应于所述镜像流量与阻断规则相匹配，生成阻断包；
[0016]向所述阻断交换机发送所述阻断包，以对所述目标流量进行阻断。
[0017]另一方面，提供了一种旁路阻断系统，所述系统包括防护阻断设备、阻断交换机以及核心路由器；所述阻断交换设备设置在所述核心路由器与所述防护阻断设备之间；
[0018]所述防护阻断设备，用于向所述阻断交换机发布路由通告；所述阻断规则用于声
明所述指定路由信息；
[0019]所述阻断交换机，用于将所述路由通告转发给所述核心路由器；
[0020]所述核心路由器，用于将具有所述指定路由信息的目标流量发送给所述阻断交换机；
[0021]所述阻断交换机，用于对所述目标流量进行镜像处理，获得镜像流量，将所述镜像流量发送给所述防护阻断设备，并将所述目标流量回注到所述核心路由器；
[0022]所述防护阻断设备，用于响应于所述镜像流量与阻断规则相匹配，向所述阻断交换机发送阻断包；
[0023]所述阻断交换机，用于将所述阻断包发送给所述核心路由器，以对所述目标流量进行阻断。
[0024]在一种可能的实现方式中，所述阻断交换机包括至少两个交换机；
[0025]所述核心路由器与所述至少两个交换机之间分别建立连接。
[0026]另一方面，提供了一种旁路阻断装置，所述装置应用于阻断交换机中，所述阻断交换机设置在防护阻断设备与核心路由器之间，所述装置包括：
[0027]目标流量接收模块，用于接收所述核心路由器发送的目标流量，所述目标流量是具有指定路由信息的业务流量；
[0028]镜像处理模块，用于对所述目标流量进行镜像处理，获取所述目标流量的镜像流量；
[0029]回注模块，用于将所述目标流量回注到所述核心路由器；
[0030]镜像流量发送模块，用于将所述镜像流量发送给所述防护阻断设备；
[0031]阻断包接收模块，用于接收所述防护阻断设备发送的阻断包；所述阻断包是所述防护阻断设备响应于所述镜像流量与阻断规则相匹配发送的；所述阻断规则是设置在所述防护阻断设备中，用于进行阻断判断的规则；
[0032]阻断包转发模块，用于将所述阻断包转发给所述核心路由器，以对所述目标流量进行阻断。
[0033]在一种可能的实现方式中，所述阻断交换机与所述核心路由器之间通过第一边界网关协议BGP通道相连，且所述阻断交换机与所述防护阻断设备之间通过第二BGP通道相连；
[0034]所述目标流量接收模块，用于通过所述第一BGP通道接收所述核心路由器发送的所述目标流量；
[0035]所述回注模块，用于通过所述第一BGP通道将所述目标流量回注到所述核心路由器；
[0036]所述镜像流量发送模块，用于通过所述第二BGP通道将所述镜像流量发送给所述防护阻断设备；
[0037]所述阻断包接收模块，用于接收所述防护阻断设备通过所述第二BGP通道发送的所述阻断包；
[0038]所述阻断包转发模块，用于通过所述第一BGP通道将所述阻断包转发给所述核心路由器。
[0039]在一种可能的实现方式中，在所述目标流量接收模块接收所述核心路由器发送的
目标流量之前，所述装置还包括：
[0040]路由通告接收模块，用于接收所述防护阻断设备发送的路由通告，所述路由通告用于声明所述指定路由信息；
[0041]路由通告转发模块，用于将所述路由通告转发给所述核心路由器；
[0042]所述目标流量接收模块，用于接收所述核心路由器基于所述路由通告发送的所述目标流量。
[0043]在一种可能的实现方式中，所述阻断交换机中配置有分光镜；
[0044]所述镜像处理模块，用于通过所述分光镜对所述目标流量进行镜像处理，获取所述目标流量的所述镜像流量。
[0045]另一方面，提供一种旁路阻断装置，所述装置应用于防护阻断设备中，所述防护阻断设备与核心路由器之间设置有阻断交换机，所述装置包括：
[0046]镜像流量接收模块，用于接收所述阻断交换机发送的目标流量对应的镜像流量，所述目标流量是具有指定路由信息的业务流量；
[0047]阻断包生成模块，用于响应于所述镜像流量与阻断规则相匹配，生成阻断包；
[0048]阻断包发送模块，用于向所述阻断交换机发送所述阻断包，以对所述目标流量进行阻断。
[0049]在一种可能的实现方式中，所述防护阻断设备与所述阻断交换机之间通过第二BGP通道相连；
[0050]所述镜像流量接收模块，用于接收所述阻断交换机通过所述第二BGP通道发送的所述镜像流量；
[0051]所述阻断包发送模块，用于通过所述第二BGP通道向所述阻断交换机发送所述阻断包。
[0052]在一种可能的实现方式中，本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种旁路阻断方法，其特征在于，所述方法应用于阻断交换机中，所述阻断交换机设置在防护阻断设备与核心路由器之间，所述方法包括：接收所述核心路由器发送的目标流量，所述目标流量是具有指定路由信息的业务流量；对所述目标流量进行镜像处理，获取所述目标流量的镜像流量；将所述目标流量回注到所述核心路由器；将所述镜像流量发送给所述防护阻断设备；接收所述防护阻断设备发送的阻断包；所述阻断包是所述防护阻断设备响应于所述镜像流量与阻断规则相匹配发送的；所述阻断规则是设置在所述防护阻断设备中，用于进行阻断判断的规则；将所述阻断包转发给所述核心路由器，以对所述目标流量进行阻断。2.根据权利要求1所述的方法，其特征在于，所述阻断交换机与所述核心路由器之间通过第一边界网关协议BGP通道相连，且所述阻断交换机与所述防护阻断设备之间通过第二BGP通道相连；所述接收所述核心路由器发送的目标流量，包括：通过所述第一BGP通道接收所述核心路由器发送的所述目标流量；所述将所述目标流量回注到所述核心路由器，包括：通过所述第一BGP通道将所述目标流量回注到所述核心路由器；所述将所述镜像流量发送给所述防护阻断设备，包括：通过所述第二BGP通道将所述镜像流量发送给所述防护阻断设备；所述接收所述防护阻断设备发送的阻断包，包括：接收所述防护阻断设备通过所述第二BGP通道发送的所述阻断包；所述将所述阻断包转发给所述核心路由器，包括：通过所述第一BGP通道将所述阻断包转发给所述核心路由器。3.根据权利要求1所述的方法，其特征在于，所述接收所述核心路由器发送的目标流量之前，所述方法还包括：接收所述防护阻断设备发送的路由通告，所述路由通告用于声明所述指定路由信息；将所述路由通告转发给所述核心路由器；所述接收所述核心路由器发送的目标流量，包括：接收所述核心路由器基于所述路由通告发送的所述目标流量。4.根据权利要求1所述的方法，其特征在于，所述阻断交换机中配置有分光镜；所述对所述目标流量进行镜像处理，获取所述目标流量的镜像流量，包括：通过所述分光镜对所述目标流量进行镜像处理，获取所述目标流量的所述镜像流量。5.一种旁路阻断方法，其特征在于，所述方法应用于防护阻断设备中，所述防护阻断设备与核心路由器之间设置有阻断交换机，所述方法包括：接收所述阻断交换机发送的目标流量对应的镜像流量，所述目标流量是具有指定路由信息的业务流量；响应于所述镜像流量与阻断规则相匹配，生成阻断包；向所述阻断交换机发送所述阻断包，以对所述目标流量进行阻断。
6.根据权利要求5所述的方法，其特征在于，所述防护阻断设备与所述阻断交换机之间通过第二BGP通道相连；所述接收所述阻断交换机发送的目标流量对应的镜像流量，包括：接收所述阻断交换机通过所述第二BGP通道发送的所述镜像流量；所述向所述阻断交换机发送所述阻断包，包括：通过所述第二BGP通道向所述阻断交换机发送所述阻断包。7.根据权利要求5所述的方法，其特征在于，所述接收阻断交换机发送的目标流量对应的镜像流量之前，还包括：读取阻断规则，所述阻断规则中包含所述指定路由信息；向所述阻断交换机发送用于声明所述指定路由信息的路由通告，以使得所述阻断交换机将所述路由通告转发给所述核心路由器，以触发所述核心路由器将所述指定路由信息对应的所述目标流量发送给所述阻断交换机。8.根据权利要求5所述的方法，其特征在于，所述指定路由信息包括第一指定路由信息与第二指定路由信息中的至少一种；所述第一指定路由信息用以指示业务流量对应的互联网协议IP地址为受保护的I...

【专利技术属性】
技术研发人员：王爱科，周志彬，
申请(专利权)人：腾讯科技深圳有限公司，
类型：发明
国别省市：