[发明专利]一种报文控制方法和装置

权利要求书

1.一种报文控制方法，其特征在于，应用于包括安全管理SM节点、网络安全网关SC节点、主机安全代理SA节点的系统中，所述SA节点安装在虚拟机上，每个虚拟机安装一个SA节点；其中，所述SC节点用于对全网非主机个性差异的安全策略进行控制，所述SA节点用于对主机个性化策略进行控制，所述方法应用在SM节点上，所述方法包括：

获取针对虚拟机的安全控制策略、针对SC节点的安全业务配置；

基于SA节点列表中虚拟机的IP地址，将所述安全控制策略发送给所述IP地址对应的虚拟机上安装的SA节点，以使所述SA节点利用所述安全控制策略对自身接收到的报文进行控制；

基于SC节点列表中SC节点的唯一标识，将所述安全业务配置发送给所述唯一标识对应的SC节点，以使所述SC节点利用所述安全业务配置对自身接收到的报文进行控制；

当SA节点出现异常时，将SA节点的安全控制策略转移到SC节点上进行处理，以对安全控制策略进行备份。

2.根据权利要求1所述的方法，其特征在于，所述安全控制策略包括HTTP的安全控制策略；

所述利用所述安全控制策略对自身接收到的报文进行控制，具体包括：

允许虚机网卡发出的HTTP报文丢弃虚拟发出的非HTTP报文；

转发发送给虚拟网卡的HTTP报文，丢弃发送给虚拟网卡的非HTTP报文。

3.根据权利要求1所述的方法，其特征在于，所述安全业务配置包括NAT策略和/或VPN策略的安全业务配置；

所述利用所述安全业务配置对自身接收到的报文进行控制，具体包括：

利用NAT策略或者VPN策略对来自虚拟机的报文进行NAT处理或者VPN处理，并将NAT处理或者VPN处理后的报文发送到Internet；

利用NAT策略或者VPN策略对来自Internet的报文进行NAT处理或者VPN处理，并将NAT处理或者VPN处理后的报文发送到虚拟机。

4.根据权利要求1所述的方法，其特征在于，所述方法进一步包括：

在接收到SA节点启动发送的广播消息后，从该广播消息中解析出所述SA节点的唯一标识、以及所述SA节点所在虚拟机的IP地址，并维护一个SA节点列表；其中，该SA节点列表中记录虚拟机的IP地址、SA节点的标识；

和/或，

在新增SC节点时，获取该SC节点的唯一标识，并维护一个SC节点列表；其中，该SC节点列表中记录了SC节点的唯一标识。

5.根据权利要求1所述的方法，其特征在于，所述系统中还包括针对SC节点的负载均衡设备，所述负载均衡设备维护有五元组信息与SC节点之间的映射关系；所述方法进一步包括：

所述负载均衡设备接收到发送给SC节点的报文后，基于所述报文的五元组信息查询对应的目标SC节点，并将该报文发送给所述目标SC节点。

6.根据权利要求1所述的方法，其特征在于，所述获取针对虚拟机的安全控制策略、针对SC节点的安全业务配置的过程，具体包括：

获取在所述SM节点上配置的所有安全配置；

针对每个安全配置，若所述安全配置是针对虚拟机的个性化的安全配置，则将所述安全配置确定为针对所述虚拟机的安全控制策略；

若所述安全配置是针对全网非主机个性差异的安全配置，则将所述安全配置确定为针对SC节点的安全业务配置。

7.根据权利要求1所述的方法，其特征在于，所述方法进一步包括：

监测所述SC节点的性能数据；若所述性能数据大于预设第一阈值，则创建新的SC节点；若所述性能数据小于预设第二阈值，则释放已有的SC节点；其中，所述预设第一阈值大于所述预设第二阈值；和/或，

监测所述SA节点上下发的安全控制策略的数量，若所述数量大于预设第三阈值，则从所述SA节点上选取部分安全控制策略，从所述SA节点上删除选取的安全控制策略，并将选取的安全控制策略发送给所述SC节点，以使所述SC节点利用所述选取的安全控制策略对自身接收到的报文进行控制。