[发明专利]一种旁路阻断方法、装置、系统、电子设备

说明书

一种旁路阻断方法、装置、系统、电子设备；所述旁路阻断方法包括：旁路阻断设备从分发设备接收预定消息的镜像报文；其中，所述分发设备是用于分发互联网服务提供商ISP网络的下行数据的设备；所述旁路阻断设备根据所述预定消息的镜像报文判断需要进行阻断，生成与所述预定消息具有相同目的地址的阻断报文，发送给多个核心路由器。本申请能够降低旁路阻断的部署难度和成本，并在一定程度上保证旁路阻断的时延要求。

技术领域

本发明涉及网络领域，尤其涉及一种旁路阻断方法、装置、系统、电子设备。

背景技术

旁路阻断技术是采用旁路侦听的方式来获取通过防火墙设备的所有数据包，通过协议内容还原、分析识别还原内容中的非法信息，并进行相应的阻断。

HTTP(HyperText Transfer Protocol，超文本传输协议)旁路阻断是指分析采用HTTP的REQUEST(请求)报文，通过旁路阻断防火墙设备的快速精确计算匹配，生成伪造的、阻断使用的RESET(复位)报文发给服务器，来停止旁路分析认为需要停止的HTTP会话传输，对可疑内容的访问和传输做相应的中断阻止处理。但是，HTTP旁路阻断防火墙设备由于存在阻断使用的RESET数据报文和正常的HTTP业务报文之间的传输延时，因此有一定可能无法满足“关闭TCP(Transmission Control Protocol，传输控制协议)会话早于HTTP应答报文发出”这一时序要求，从而存在无法保证100％阻断成功的情况。

传统的旁路阻断防火墙设备都放在IDC(Internet Data Center，互联网数据中心)机房内部尽量靠近服务器的接入层的机架位中，如图1所示，骨干网络的流量通过路由器和交换设备进入服务器集群P1和服务器集群P2，如图1中虚线所示；旁路阻断防火墙设备从机房入口(即所述路由器)开始做流量镜像和分析，并将阻断使用的伪造RESET报文直接注入到离服务器最近的交换设备中，以减少旁路阻断触发的伪造RESET报文和正常业务报文的传输路径延时，从而提高阻断的成功率。

而在大型的云计算数据中心建设中，涉及复杂的网络架构和多个IDC机房的内部通信等网络场景情况。传统的防火墙设备部署是一种基于局域网的阻断部署方案，和IDC机房的部署建设耦合强烈，对防火墙设备的部署位置也有特殊的要求。由于对部署要求较高，所以运维成本和旁路阻断工作的稳定性都存在较大挑战。

如图2所示，例如对于大型云服务厂商，采用多IDC机房共用ISP网络出口线路的方式，由于分光设备通常固定部署在ISP网络出口线路位置，防火墙设备所在机房有可能与实际业务服务器所在机房传输距离较远，从而使阻断使用的RESET报文的网络传输时延无法保证，导致阻断成功率降低。

比如图2中，当镜像流量从分光设备进入IDC机房B侧的旁路阻断防火墙设备(如图2中点划线所示)，但是访问的却是IDC机房A侧的服务器1时，旁路阻断防火墙设备会在IDC机房B侧线路上进行镜像流量分析，并会将触发的RESET报文继续回注到B侧机房的接入交换机中，由于服务器1在IDC机房A侧中，所以该RESET报文需要通过核心路由器绕行，增加了多跳网络设备的转发时延，比如图2中虚线所示，旁路阻断防火墙设备发出的RESET报文从IDC机房B侧的接入交换机转发到IDC机房B侧的汇聚交换机，再转发到核心路由器后才能转发到服务器1，而业务报文如图2中粗线所示，从ISP网络经分光设备发送到服务器1；因此很有可能阻断使用的RESET报文晚于正常的业务报文到达目标服务器(即服务器1)，从而导致旁路阻断功能的失效。

而如果在大型的云机房部署环境中，对每个机房都独立部署一套旁路阻断防火墙设备，则维护成本和设备成本都会出现指数级增长，因此传统的旁路阻断防火墙设备无法为大型云服务厂商提供全面的防护。

发明内容

本申请提供一种旁路阻断方法、装置、系统、电子设备，能够降低旁路阻断的部署难度和成本，并在一定程度上保证旁路阻断的时延要求。

本申请采用如下技术方案。