[发明专利]流量处理方法、装置及系统、防火墙和服务器

说明书

本申请提供一种流量处理方法、装置及系统、防火墙和服务器，用以解决现有技术中防火墙无法满足日益增加的规则数量需求，该流量处理方法包括：接收源路由器发送的流量；判断所述源路由器发送的流量是否命中部署的热点规则，若是，对所述流量进行本地处理；若否，将所述流量发送给服务器；其中，所述热点规则包括预设时间内统计的规则命中次数排名大于预设值的规则；接收所述服务器返回的命中白名单规则的流量；将所述服务器返回的流量发送给目的路由器。

技术领域

本申请涉及网络技术领域，尤其涉及一种流量处理方法、装置及系统、防火墙和服务器。

背景技术

随着网络用户的数量不断增加，网络安全成为当前应用过程中的重要课题。而防火墙由于具有转发、路由功能，可以部署大量策略和访问控制列表，还可以对内部和外部流量进行过滤，因此具有较强的安全性，被广泛应用于互联网。

目前，防火墙一般通过白名单、黑名单以及包过滤技术(或者说通过特定的规则)，对输入或输出流量的IP进行精确和模糊匹配，从而达到访问控制的目的。然而随着网络规模日益增加，部署的安全策略数量也与日俱增(即需部署的规则数量增加)，而防火墙中所能部署的规则数量有限，从而无法满足日益增加的规则数量需求。

发明内容

有鉴于此，本申请实施例提供了一种流量处理方法、装置及系统、防火墙和服务器，用以解决现有技术中防火墙无法满足日益增加的规则数量需求。

第一方面，本申请实施例提供了一种流量处理方法，所述方法包括：

接收源路由器发送的流量；

判断所述源路由器发送的流量是否命中部署的热点规则，若是，对所述流量进行本地处理；若否，将所述流量发送给服务器；其中，所述热点规则包括预设时间内统计的规则命中次数排名大于预设值的规则；

接收所述服务器返回的命中其白名单规则的流量；

将所述服务器返回的流量发送给目的路由器。

上述方法，通过接收源路由器发送的流量，然后判断源路由器发送的流量是否命中部署的热点规则，若是，对该流量进行本地处理，若否，将该流量发送给服务器，之后接收服务器返回的命中其白名单规则的流量，并将该服务器返回的流量发送给目的路由器，由于在流量处理的过程中，防火墙中部署热点规则，可以处理大部分的流量，充分利用了防火墙能够处理大流量的属性，并且流量分两级进行处理，因此，相比于现有技术，还可以将规则部署到服务器中，因而可以增加部署的规则数量，从而解决了现有技术中防火墙无法满足日益增加的规则数量需求。

在一可能的实现方式中，所述部署的热点规则包括：白名单规则和黑名单规则；

所述对所述流量进行本地处理，包括：

如果命中白名单规则，将所述流量发送给目的路由器；如果命中黑名单规则，将所述流量丢弃。

该方法中，如果源路由器发送的流量命中白名单规则，将该流量发送给目的路由器，如果源路由器发送的流量命中黑名单规则，将该流量丢弃，因此，在防火墙侧就能处理该流量。

在一可能的实现方式中，在部署热点规则之前，该方法还包括：

将所述源路由器发送的所有流量发送给所述服务器；

接收所述服务器发送的热点规则；

将所述热点规则作为初始部署的热点规则。

该方法中，在系统初始化阶段(即在部署热点规则之前)，将源路由器发送的所有流量发送给服务器，然后接收服务器发送的热点规则，并将该热点规则作为初始部署的热点规则，这样防火墙就能获得初始部署的热点规则。

在一可能的实现方式中，在将未命中热点规则的流量发送给服务器之后，该方法还包括：