[发明专利]一种进行安全控制的方法、交换机以及过滤设备

权利要求书

1.一种进行安全控制的方法，其特征在于，该方法包括：

交换机判断接收到的数据包的信息是否符合第一安全规则；

若所述数据包的信息不符合所述第一安全规则，则所述交换机将所述数据包转发至过滤设备，以使所述过滤设备在确定所述数据包的信息不符合第二安全规则后丢弃该数据包；

所述交换机判断数据包的信息是否符合第一安全规则，包括：

所述交换机判断是否能够根据数据包的信息与安全域标记的对应关系确定接收到的数据包的信息对应的安全域标记；

如果能够确定接收到的数据包的信息对应的安全域标记，则将确定的安全域标记置于数据包中，并判断所述第一安全规则中的安全域标记集合是否有所述数据包的信息对应的安全域标记，如果有，则确定数据包的信息符合第一安全规则；否则，确定数据包的信息不符合第一安全规则；

如果无法确定接收到的数据包的信息对应的安全域标记，则所述交换机确定数据包的信息不符合第一安全规则。

2.如权利要求1所述的方法，其特征在于，所述第二安全规则中包括所述第一安全规则。

3.一种进行安全控制的方法，其特征在于，该方法包括：

过滤设备判断数据包的信息是否符合预设的第二安全规则，其中所述数据包的信息是交换机在确定接收到的数据包的信息不符合第一安全规则后发送的；

若所述数据包的信息不符合所述第二安全规则，则所述过滤设备丢弃所述数据包；

所述过滤设备判断所述数据包的信息是否符合预设的第二安全规则，包括：

所述过滤设备判断接收到的数据包是否具有与数据包的信息对应的安全域标记；

如果能够确定接收到的数据包具有与数据包的信息对应的安全域标记，则所述过滤设备判断所述第二安全规则中的安全域标记集合是否有所述数据包的信息对应的安全域标记，如果有，则确定数据包的信息符合第二安全规则；否则，确定数据包的信息不符合第二安全规则；

如果无法确定接收到的数据包具有与数据包的信息对应的安全域标记，则所述过滤设备判断所述数据包的信息是否符合第二安全规则中的默认规则，如果是，则确定数据包的信息符合第二安全规则；否则，确定数据包的信息不符合第二安全规则。

4.如权利要求3所述的方法，其特征在于，所述第二安全规则包括所述第一安全规则。

5.如权利要求3所述的方法，其特征在于，该方法还包括：

若所述数据包的信息符合所述第二安全规则，则所述过滤设备将所述数据包发送至交换机，以使所述交换机对所述数据包进行转发。

6.如权利要求3所述的方法，其特征在于，在所述过滤设备判断所述数据包的信息是否符合预设的第二安全规则之后，还包括：

所述过滤设备将判断的结果信息上报给SDN控制器，以使所述SDN控制器根据所述结果信息更新配置在交换机上的第一安全规则。

7.一种进行安全控制的交换机，其特征在于，该交换机包括：

第一判断模块，用于判断接收到的数据包的信息是否符合第一安全规则；

第一处理模块，用于在所述数据包的信息不符合所述第一安全规则后，将所述数据包转发至过滤设备，以使所述过滤设备在确定所述数据包的信息不符合第二安全规则后丢弃该数据包；

所述第一判断模块具体用于：

判断是否能够根据数据包的信息与安全域标记的对应关系确定接收到的数据包的信息对应的安全域标记；

在能够确定接收到的数据包的信息对应的安全域标记后，将确定的安全域标记置于数据包中，并判断所述第一安全规则中的安全域标记集合是否有所述数据包的信息对应的安全域标记，如果有，则确定数据包的信息符合第一安全规则；否则，确定数据包的信息不符合第一安全规则；

在无法确定接收到的数据包的信息对应的安全域标记后，确定数据包的信息不符合第一安全规则。

8.如权利要求7所述的交换机，其特征在于，所述第二安全规则中包括所述第一安全规则。