[发明专利]网络流量控制方法、系统及安全防护装置

权利要求书

1.一种网络流量控制系统，其特征在于，包括：

防火墙，位于第一设备与第二设备之间，用于提取所述第一设备与所述第二设备之间通信的网络流量的流特征信息；

防火墙分析装置，与所述防火墙通信，用于接收所述防火墙上报的流特征信息，分析所述流特征信息和/或由所述流特征信息确定的网络行为信息得到分析结果，并根据所述分析结果确定向所述防火墙下发的控制指令，其中，所述控制指令用于控制流经所述防火墙的网络流量；

其中，所述网络流量控制系统还用于：在所述防火墙的数量为多个的情况下，基于多个所述防火墙中每个所述防火墙监测到的网络数据包的数量和防火墙过滤规则，确定每个所述防火墙是否要拦截或丢弃来自同一网络地址的所述网络数据包，其中，所述防火墙过滤规则用于表征来自所述同一网络地址的所述网络数据包的数量未超过数量阈值。

2.根据权利要求1所述的系统，其特征在于，所述防火墙包括：分布式部署的多个防火墙，分别与所述防火墙分析装置通信。

3.根据权利要求2所述的系统，其特征在于，所述系统还包括：

路由器，连接于每个防火墙与所述第二设备之间，用于传输所述第二设备与所述每个防火墙之间的网络流量；

交换机，连接于所述每个防火墙与所述第一设备之间，用于传输所述每个防火墙与所述第一设备之间的网络流量。

4.根据权利要求2所述的系统，其特征在于，所述防火墙分析装置包括：

流信息接收模块，用于接收至少一个防火墙上报的流特征信息；

第一流特征计算决策模块，与所述流信息接收模块连接，用于通过分析所述至少一个防火墙上报的流特征信息得到所述分析结果，并根据所述分析结果确定向每个防火墙下发的控制指令；

流信息决策发送模块，与所述第一流特征计算决策模块连接，用于将所述控制指令下发到对应的防火墙。

5.根据权利要求4所述的系统，其特征在于，所述防火墙包括：

流过滤引擎模块，用于在获取流经所述每个防火墙的网络数据包的情况下，基于所述每个防火墙的过滤规则，对所述网络数据包的内容进行检查，并过滤检查结果得到通过检查的网络数据包；

流特征提取模块，与所述流过滤引擎模块连接，提取所述通过检查的网络数据包的流特征信息。

6.根据权利要求5所述的系统，其特征在于，所述防火墙还包括：

第二流特征计算决策模块，与所述流特征提取模块连接，用于根据通过所述流过滤引擎模块过滤得到的网络数据包的流特征信息确定所述每个防火墙对流经所述防火墙的网络数据包执行的预设操作；

流信息收发模块，分别与所述第二流特征计算决策模块和所述防火墙分析装置的流信息接收模块连接，用于将通过所述第二流特征计算决策模块的网络数据包的流特征信息发送至所述防火墙分析装置的流信息接收模块。

7.根据权利要求6所述的系统，其特征在于，所述防火墙还包括：

转发回源模块，与所述第一流特征计算决策模块连接，用于转发所述第一流特征计算决策模块允许所述防火墙转发的网络数据包；

流信息转发管理模块，与所述转发回源模块连接，用于向所述转发回源模块提供通过防火墙的网络数据包的目的网络地址和目的端口信息。

8.一种网络流量控制方法，其特征在于，包括：

接收防火墙上报的流特征信息；

分析所述流特征信息和/或由所述流特征信息确定的网络行为信息，得到分析结果；

根据所述分析结果确定向所述防火墙下发的控制指令，其中，所述控制指令用于控制流经所述防火墙的网络流量；

其中，所述方法还包括：在所述防火墙的数量为多个的情况下，基于多个所述防火墙中每个所述防火墙监测到的网络数据包的数量和防火墙过滤规则，确定每个所述防火墙是否要拦截或丢弃来自同一网络地址的所述网络数据包，其中，所述防火墙过滤规则用于表征来自所述同一网络地址的所述网络数据包的数量未超过数量阈值。