[发明专利]网络安全策略配置的更新方法及装置有效
申请号: | 201911267085.9 | 申请日: | 2019-12-11 |
公开(公告)号: | CN111131198B | 公开(公告)日: | 2022-04-26 |
发明(设计)人: | 吴庆;王挺;王树太 | 申请(专利权)人: | 杭州迪普科技股份有限公司 |
主分类号: | H04L9/40 | 分类号: | H04L9/40 |
代理公司: | 北京博思佳知识产权代理有限公司 11415 | 代理人: | 王茹 |
地址: | 310051 浙江省杭*** | 国省代码: | 浙江;33 |
权利要求书: | 查看更多 | 说明书: | 查看更多 |
摘要: | |||
搜索关键词: | 网络 安全策略 配置 更新 方法 装置 | ||
本申请提供一种网络安全策略配置的更新方法及装置,方法包括:在获取到待更新的网络安全策略配置后,将待更新的网络安全策略配置由用户态发送到内核态;将预配置的报文转发指示信息置为第一值,其中,当报文转发指示信息为第一值时,表示不需要将待转发的报文与网络安全策略配置进行匹配,当报文转发指示信息为第二值时,表示需要将待转发的报文与网络安全策略配置进行匹配;利用待更新的网络安全策略配置更新内核态中现有的网络安全策略配置;在完成对内核态中现有的网络安全策略配置的更新后,将报文转发指示信息置为第二值。应用该方法,可以实现在网络安全策略配置的更新过程中避免出现系统延时。
技术领域
本申请涉及网络通信技术领域,尤其涉及网络安全策略配置的更新方法及装置。
背景技术
随着计算机网络的飞速发展,互联网应用越来越广泛,为了保证互联网中信息的安全性、完整性、可靠性等,提供网络安全防护机制。在网络安全防护机制中,通过制定网络安全防护策略而提供一定级别的安全保护所必须遵守的规则。
同时,随着互联网应用越来越复杂,网络攻防活动与恶意流量的大批量涌出,网络安全策略也需要不断地升级、更新。目前,在网络设备更新网络安全策略配置的过程中,为了确保数据一致性,采用加锁机制,由此也就导致在更新网络安全策略配置的过程中,系统无法应用网络安全策略配置对待转发的数据流量进行匹配,只能待完成网络安全策略配置的更新之后,再处理待转发的数据流量。由此可见,现有技术中会造成系统延时,尤其是在网络安全策略较复杂,网络安全策略配置数据量较大的情形下,系统延时将更为明显。
发明内容
有鉴于此,本申请提供一种网络安全策略配置的更新的方法及装置,以实现在网络安全策略配置的更新过程中避免出现系统延时。
具体地,本申请是通过如下技术方案实现的:
根据本申请实施例的第一方面,提供一种网络安全策略配置的更新方法,所述方法应用于网络设备,包括:
在获取到待更新的网络安全策略配置后,将所述待更新的网络安全策略配置由用户态发送到内核态;
将预配置的报文转发指示信息置为第一值,所述报文转发指示信息用于指示是否需要将待转发的报文与网络安全策略配置进行匹配,其中,当所述报文转发指示信息为第一值时,表示不需要将待转发的报文与网络安全策略配置进行匹配,当所述报文转发指示信息为第二值时,表示需要将待转发的报文与网络安全策略配置进行匹配;
利用所述待更新的网络安全策略配置更新所述内核态中现有的网络安全策略配置;
在完成对所述内核态中现有的网络安全策略配置的更新后,将所述报文转发指示信息置为所述第二值。
可选的,在所述将预配置的报文转发指示信息置为第一值之后,所述方法进一步包括:
按照预设的检测周期检查所述报文转发指示信息;
当检查出所述报文转发指示信息为所述第一值时,将预配置的计数器做加一处理;
检查所述计数器的值是否达到设定阈值;如果是,则将所述报文转发指示信息从所述第一值置为所述第二值,并将所述计数器清零;如果否,则返回所述按照预设的检测周期检查所述报文转发指示信息的步骤;
当检查出所述报文转发指示信息为所述第二值时,将所述计数器清零。
可选的,所述方法进一步包括:
在接收到待转发的报文后,检查所述报文转发指示信息;
当检查出所述报文转发指示信息为所述第一值时,直接转发所述报文;
当检查出所述报文转发指示信息为所述第二值时,将所述待转发的报文与所述内核态中现有的网络安全策略配置进行匹配,根据匹配结果转发所述报文。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于杭州迪普科技股份有限公司,未经杭州迪普科技股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201911267085.9/2.html,转载请声明来源钻瓜专利网。
- 上一篇:一种过滤策略管理系统及其方法
- 下一篇:一种变传动比齿条插齿力的预测方法