技術領域

本發明實施例涉及網絡安全技術，尤其涉及一種網絡數據流安全處理方法及設備。

背景技術

在當今網絡環境日益惡化的環境下，傳統的網絡安全“老三樣”，防火墻、入侵檢測以及防病毒，已經日益無法滿足用戶的便捷管理要求，傳統的安全網關（Unified?Threat?Management，UTM）將防火墻和各安全策略模塊進行了功能上的整合，主要采用將各種安全策略模塊設置為串行檢測方式。現有技術造成網絡數據流通過大量無效的安全策略模塊檢測，從而影響網絡數據流整體的轉發、規則匹配的性能，無法滿足大型企業網絡高吞吐并發的性能要求。

發明內容

本發明目的在于提供一種網絡數據流安全處理方法及設備，用以提高網絡數據流的轉發、規則匹配的性能。

本發明實施例一方面提供了一種網絡數據流安全處理方法，包括：

獲取網絡數據流的基本信息；

將所述基本信息與預先配置的防火墻策略中的索引信息進行匹配；

如果所述基本信息匹配中所述索引信息，獲取與所述索引信息對應的上層策略；所述上層策略僅包括除所述基本信息之外需要匹配的安全規則信息；

將所述網絡數據流與所述索引信息對應的上層策略進行匹配，并根據與所述上層策略的匹配結果，對所述網絡數據流進行處理。

本發明實施例一方面還提供了一種網絡數據流安全處理設備，包括：

獲取模塊，用于獲取網絡數據流的基本信息；

索引信息匹配模塊，用于將所述基本信息與預先配置的防火墻策略中的索引信息進行匹配；

上層策略獲取模塊，用于如果所述基本信息匹配中所述索引信息，獲取與所述索引信息對應的上層策略；所述上層策略僅包括除所述基本信息之外需要匹配的安全規則信息；

上層策略匹配模塊，用于將所述網絡數據流與所述索引信息對應的上層策略進行匹配，并根據與所述上層策略的匹配結果，對所述網絡數據流進行處理。

本發明實施例提供的網絡數據流安全處理方法及設備，該方法通過獲取網絡數據流的基本信息；將所述基本信息與預先配置的防火墻策略中的索引信息進行匹配；如果所述基本信息匹配中所述索引信息，獲取與所述索引信息對應的上層策略；所述上層策略僅包括除所述基本信息之外需要匹配的安全規則信息；將所述網絡數據流與所述索引信息對應的上層策略進行匹配，并根據與所述上層策略的匹配結果，對所述網絡數據流進行處理，由于上層策略僅包括除所述基本信息之外需要匹配的安全規則信息，這樣在將網絡數據流與上層策略匹配的過程中不需要再將網絡數據流中的基本信息與索引信息進行匹配，也就不需要重復獲取網絡數據流中的基本信息，減少了匹配過程中的操作，因此，本發明實施例提供的網絡數據流安全處理方法及設備，由于基本信息只需統一匹配一次，不用每個上層策略都匹配一次，所以提高了網絡數據流的轉發、規則匹配的性能。

附圖說明

圖1為本發明一實施例提供的網絡數據流安全處理方法的流程示意圖；

圖2為本發明一實施例提供的網絡數據流安全處理方法中策略配置方法的流程示意圖；

圖3為本發明又一實施例提供的一種網絡數據流安全處理設備的結構示意圖。

具體實施方式

圖1為本發明一實施例提供的網絡數據流安全處理方法的流程示意圖。如圖1所示，本發明實施例提供了一種網絡數據流安全處理方法，包括：

步驟11：獲取網絡數據流的基本信息。以一些常規的方式獲取網絡數據流的基本信息，用以對網絡數據流進行基本的處理。通常情況下，網絡數據流的基本信息包括四元組，具體指源互聯網協議（Internet?Protocol，簡稱為IP）、源端口、目的IP、目的端口信息。如果網絡數據流沒有對傳輸控制協議（Transmission?Control?Protocol，簡稱為TCP）、用戶數據報協議（UserDatagram?Protocol，簡稱為UDP）分開處理的話，還會附加上網絡協議進行區別，即五元組的概念，每個數據包上都會攜帶這些網絡協議信息，通過這些網絡協議信息的匹配可以唯一表示出一條會話，即客戶與服務器的連接。