本申請?zhí)峁┮环N流量轉(zhuǎn)發(fā)方法、裝置、電子設(shè)備及機(jī)器可讀存儲介質(zhì)。在本申請中，基于所述網(wǎng)絡(luò)設(shè)備的屬于第一VLAN的第一端口，獲取進(jìn)入所述網(wǎng)絡(luò)設(shè)備的目標(biāo)流量；將所述目標(biāo)流量經(jīng)屬于第一VLAN的第二端口轉(zhuǎn)發(fā)至所述入侵防御設(shè)備的入端口；基于所述網(wǎng)絡(luò)設(shè)備的屬于第二VLAN的第三端口，接收來自所述入侵防御設(shè)備的、與所述入端口對應(yīng)的出端口的經(jīng)過安全處理的目標(biāo)流量；將所述經(jīng)過安全處理的目標(biāo)流量，轉(zhuǎn)發(fā)至所述目標(biāo)流量對應(yīng)的目標(biāo)網(wǎng)絡(luò)。實(shí)現(xiàn)了即使在旁路方式組網(wǎng)下，對惡意網(wǎng)絡(luò)流量也能防御及阻斷。

技術(shù)領(lǐng)域

本申請涉及通信以及安全技術(shù)領(lǐng)域，尤其涉及流量轉(zhuǎn)發(fā)方法、裝置、電子設(shè)備及機(jī)器可讀存儲介質(zhì)。

背景技術(shù)

網(wǎng)絡(luò)安全技術(shù)，是指任何保護(hù)的網(wǎng)絡(luò)，以及網(wǎng)絡(luò)中設(shè)備、數(shù)據(jù)的可用性和完整性的技術(shù)；其中，網(wǎng)絡(luò)安全技術(shù)可以包括基于硬件和軟件的安全技術(shù)。基于不同的網(wǎng)絡(luò)安全策略以及組網(wǎng)部署，可以對網(wǎng)絡(luò)中的報(bào)文流量執(zhí)行對應(yīng)不同的安全處理。

例如：網(wǎng)絡(luò)安全設(shè)備發(fā)現(xiàn)網(wǎng)絡(luò)中的存在惡意流量的威脅，則針對該威脅，阻止此流量進(jìn)入網(wǎng)絡(luò)或在網(wǎng)絡(luò)中傳播。

發(fā)明內(nèi)容

本申請?zhí)峁┮环N流量轉(zhuǎn)發(fā)方法，所述方法應(yīng)用于入侵防御系統(tǒng)中的網(wǎng)絡(luò)設(shè)備，所述入侵防御系統(tǒng)還包括入侵防御設(shè)備，其中，所述網(wǎng)絡(luò)設(shè)備與所述入侵防御設(shè)備通過旁路方式相連通信，所述方法包括：

基于所述網(wǎng)絡(luò)設(shè)備的屬于第一VLAN的第一端口，獲取進(jìn)入所述網(wǎng)絡(luò)設(shè)備的目標(biāo)流量；

將所述目標(biāo)流量經(jīng)屬于第一VLAN的第二端口轉(zhuǎn)發(fā)至所述入侵防御設(shè)備的入端口；

基于所述網(wǎng)絡(luò)設(shè)備的屬于第二VLAN的第三端口，接收來自所述入侵防御設(shè)備的、與所述入端口對應(yīng)的出端口的經(jīng)過安全處理的目標(biāo)流量；

將所述經(jīng)過安全處理的目標(biāo)流量，轉(zhuǎn)發(fā)至所述目標(biāo)流量對應(yīng)的目標(biāo)網(wǎng)絡(luò)。

可選的，所述基于所述網(wǎng)絡(luò)設(shè)備的屬于第二VLAN的第三端口，接收來自所述入侵防御設(shè)備的、與所述入端口對應(yīng)的出端口的經(jīng)過安全處理的目標(biāo)流量，包括：

基于數(shù)據(jù)鏈路層協(xié)議以及所述網(wǎng)絡(luò)設(shè)備的屬于第二VLAN的第三端口，接收來自所述入侵防御設(shè)備的、與所述入端口對應(yīng)的出端口的經(jīng)過安全處理的目標(biāo)流量。

可選的，所述基于所述網(wǎng)絡(luò)設(shè)備的屬于第二VLAN的第三端口，接收來自所述入侵防御設(shè)備的、與所述入端口對應(yīng)的出端口的經(jīng)過安全處理的目標(biāo)流量，包括：

基于網(wǎng)絡(luò)層協(xié)議以及所述第二VLAN對應(yīng)的VLAN虛接口地址，接收來自所述入侵防御設(shè)備的、與所述入端口對應(yīng)的出端口的經(jīng)過安全處理的目標(biāo)流量。

可選的，當(dāng)所述入侵防御設(shè)備發(fā)送故障時，所述將所述經(jīng)過安全處理的目標(biāo)流量，轉(zhuǎn)發(fā)至所述目標(biāo)流量對應(yīng)的目標(biāo)網(wǎng)絡(luò)，還包括：

將所述第一端口從所述第一VLAN中刪除；

將所述第一端口加入到所述第二VLAN中；

基于所述第一端口，將所述目標(biāo)流量，轉(zhuǎn)發(fā)至所述目標(biāo)流量對應(yīng)的目標(biāo)網(wǎng)絡(luò)。

本申請還提供一種流量轉(zhuǎn)發(fā)裝置，所述裝置應(yīng)用于入侵防御系統(tǒng)中的網(wǎng)絡(luò)設(shè)備，所述入侵防御系統(tǒng)還包括入侵防御設(shè)備，其中，所述網(wǎng)絡(luò)設(shè)備與所述入侵防御設(shè)備通過旁路方式相連通信，所述裝置包括：

接收模塊，基于所述網(wǎng)絡(luò)設(shè)備的屬于第一VLAN的第一端口，獲取進(jìn)入所述網(wǎng)絡(luò)設(shè)備的目標(biāo)流量；

轉(zhuǎn)發(fā)模塊，將所述目標(biāo)流量經(jīng)屬于第一VLAN的第二端口轉(zhuǎn)發(fā)至所述入侵防御設(shè)備的入端口；

所述接收模塊進(jìn)一步，基于所述網(wǎng)絡(luò)設(shè)備的屬于第二VLAN的第三端口，接收來自所述入侵防御設(shè)備的、與所述入端口對應(yīng)的出端口的經(jīng)過安全處理的目標(biāo)流量；