[发明专利]一种网络流量过滤方法、装置以及网络设备在审
申请号: | 202211735692.5 | 申请日: | 2022-12-31 |
公开(公告)号: | CN116015946A | 公开(公告)日: | 2023-04-25 |
发明(设计)人: | 邓娜 | 申请(专利权)人: | 武汉思普崚技术有限公司 |
主分类号: | H04L9/40 | 分类号: | H04L9/40 |
代理公司: | 北京众达德权知识产权代理有限公司 11570 | 代理人: | 王杰 |
地址: | 430073 湖北省武汉市东湖新技术开发区光谷大道3*** | 国省代码: | 湖北;42 |
权利要求书: | 查看更多 | 说明书: | 查看更多 |
摘要: | |||
搜索关键词: | 一种 网络流量 过滤 方法 装置 以及 网络设备 | ||
本申请提供了一种网络流量过滤方法、装置以及网络设备,用于为如防火墙等类型的网络设备,通过细颗粒度的网络流量划分处理,由此可以满足细颗粒度的网络流量过滤需求。本申请提供的网络流量过滤方法,方法包括:获取当前要通过网络设备的目标网络流量;确定目标网络流量的五元组信息;判断五元组信息是否匹配以预设应用的预设五元组信息为基础配置的网络流量过滤策略;若匹配,则通过目标网络流量;若不匹配,则拒绝通过目标网络流量。
技术领域
本申请涉及网络安全领域,具体涉及一种网络流量过滤方法、装置以及网络设备。
背景技术
随着以Web2.0为代表的社区化网络时代的到来,互联网进入了以论坛、博客、社交、视频还有P2P分享等应用为代表的下一代互联网时代,用户不再是单向的信息接受者,更是以Web应用为媒介的内容发布者和参与者,在这种趋势下,越来越多的应用呈现出Web化。
然而,由于传统的防火墙的基本原理是根据IP地址/端口号、协议标识符识别网络流量,并执行相关的策略,所以对于WebB2.0应用来说,传统防火墙看到的所有基于浏览器传输的网络流量是完全一样的,难以进行细颗粒度的网络流量的划分,而如果通过这些端口屏蔽相关的流量或者协议,会导致阻止所有来着Web应用的网络流量(其中包括合法商业用途的内容和服务)。
显然,现有技术中防火墙的网络流量过滤策略,存在僵化的问题,无法满足细颗粒度的网络流量划分需求。
发明内容
本申请提供了一种网络流量过滤方法、装置以及网络设备,用于为如防火墙等类型的网络设备,通过细颗粒度的网络流量划分处理,由此可以满足细颗粒度的网络流量过滤需求。
第一方面,本申请提供了一种网络流量过滤方法,方法包括:
获取当前要通过网络设备的目标网络流量;
确定目标网络流量的五元组信息;
判断五元组信息是否匹配以预设应用的预设五元组信息为基础配置的网络流量过滤策略;
若匹配,则通过目标网络流量;
若不匹配,则拒绝通过目标网络流量。
结合本申请第一方面,在本申请第一方面第一种可能的实现方式中,预设应用的预设五元组信息具体包括预设应用的应用名、协议和端口。
结合本申请第一方面,在本申请第一方面第二种可能的实现方式中,方法还包括:
确定基线应用库,其中,基线应用库包括多个父应用,父应用底下设置有对应的子应用;
将当前允许通过网络流量的待处理应用归纳至基线应用库中,形成对应父应用底下的子应用,或者,将未对应有父应用的待处理应用作为新的父应用加入至基线应用库;
在基线应用库中,以父应用和子应用的架构关系为基础,获取各应用的五元组信息,形成预设五元组信息。
结合本申请第一方面第二种可能的实现方式,在本申请第一方面第三种可能的实现方式中,方法还包括:
获取工单五元组,其中,工单五元组包括当前待加入到基线应用库中的不同应用的五元组信息;
在当前待加入到基线应用库中的不同应用中,将当前待加入到基线应用库中的不同应用的五元组信息,与基线应用库中各应用的五元组信息进行对比,并确定未存在交集的五元组信息的待处理应用。
结合本申请第一方面第二种可能的实现方式,在本申请第一方面第四种可能的实现方式中,子应用的应用名以对应父应用的名称为前缀。
结合本申请第一方面,在本申请第一方面第五种可能的实现方式中,方法还包括:
确定不同的预设应用;
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于武汉思普崚技术有限公司,未经武汉思普崚技术有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202211735692.5/2.html,转载请声明来源钻瓜专利网。