[发明专利]网络流量控制方法、系统及安全防护装置

说明书

本申请公开了一种网络流量控制方法、系统及安全防护装置。其中，该方法包括：接收防火墙上报的流特征信息；分析流特征信息和/或由流特征信息确定的网络行为信息，得到分析结果；根据分析结果确定向防火墙下发的控制指令，其中，控制指令用于控制流经防火墙的网络流量。本申请解决了现有的防火墙模式对网络流量的防护效果较差的技术问题。

技术领域

本申请涉及计算机网络领域，具体而言，涉及一种网络流量控制方法、系统及安全防护装置。

背景技术

防火墙是一种保护计算机网络安全的技术性措施，通过在网络边界上建立相应的网络通信监控系统来隔离内部网与外部网，以阻挡来自外部的网络入侵。图1是根据现有技术的一种可选的防火墙的防护架构示意图，如图1所示，当因特网服务器提供商(InternetService Provider，ISP)侧的运营商流量进入路由器后，通过路由器的负载均衡策略，将流量分散在防火墙集群内部。防火墙将流经自己节点的流量进行检查过滤后，将流量转发给交换机转发给最终的业务服务器。

目前，现有的防火墙防护架构存在如下两个问题：①路由器的负载均衡策略会干扰防火墙运行。由于路由器的负载均衡策略相对固定，如果按照IP层进行负载均衡，IPhash攻击容易造成某台防火墙设备成为热点从而影响处理效果甚至引起防火墙宕机；如果按照TCP层进行负载均衡，那么基于IP层的策略会根据防火墙集群数量的增加成倍数上涨，单台防火墙设备无法看到某个IP流量的全貌，进而影响处理。②现有设备中，防火墙多半不具备多节点水平扩展能力。一般的应用场景中，多使用两台为单位进行负载均衡，无法进行任意水平扩展。因此防火墙工作的带宽容量上限容易成为业务处理的瓶颈。

针对上述现有的防火墙模式对网络流量的防护效果较差的问题，目前尚未提出有效的解决方案。

发明内容

本发明实施例提供了一种网络流量控制方法、系统及安全防护装置，以至少解决现有的防火墙模式对网络流量的防护效果较差的技术问题。

根据本发明实施例的一个方面，提供了一种网络流量控制方法，包括：接收防火墙上报的流特征信息；分析流特征信息和/或由流特征信息确定的网络行为信息，得到分析结果；根据分析结果确定向防火墙下发的控制指令，其中，控制指令用于控制流经防火墙的网络流量。

根据本发明实施例的另一方面，还提供了一种网络流量控制系统，包括：防火墙，位于第一设备与第二设备之间，用于提取第一设备与第二设备之间通信的网络流量的流特征信息；防火墙分析装置，与防火墙通信，用于接收防火墙上报的流特征信息，分析流特征信息和/或由流特征信息确定的网络行为信息得到分析结果，并根据分析结果确定向防火墙下发的控制指令，其中，控制指令用于控制流经防火墙的网络流量。

根据本发明实施例的另一方面，还提供了一种安全防护装置，包括：防火墙，用于获取网络流量，并提取网络流量的流特征信息；防火墙分析装置，与防火墙通信，用于接收防火墙上报的流特征信息，分析流特征信息和/或由流特征信息确定的网络行为信息得到分析结果，并根据分析结果确定向防火墙下发的控制指令，其中，控制指令用于控制流经防火墙的网络流量。

根据本发明实施例的另一方面，还提供了一种存储介质，存储介质包括存储的程序，其中，在程序运行时控制存储介质所在设备执行如下处理步骤的指令：接收防火墙上报的流特征信息；分析流特征信息和/或由流特征信息确定的网络行为信息，得到分析结果；根据分析结果确定向防火墙下发的控制指令，其中，控制指令用于控制流经防火墙的网络流量。

根据本发明实施例的另一方面，还提供了一种处理器，处理器用于运行程序，其中，程序运行时执行如下处理步骤的指令：接收防火墙上报的流特征信息；分析流特征信息和/或由流特征信息确定的网络行为信息，得到分析结果；根据分析结果确定向防火墙下发的控制指令，其中，控制指令用于控制流经防火墙的网络流量。