一种bypass的通信管理方法、装置、设备及介质与流程

1.本公开涉及计算机技术领域，尤其涉及一种bypass的通信管理方法、装置、设备及介质。


背景技术：

2.在实际运用中，当整机流量较大到达网络设备的最大性能上限时，会出现网络卡顿或者丢包的情况，此时利用bypass(旁路)技术，即bypass操作接口通过获取网络设备的使用参数值(如cpu使用率和当前网口接收速率等)，确定网络设备被使用的处理能力已接近能力极限，则将接收的报文在预先设置的成对的bypass网口之间进行bypass。
3.然而，进行bypass后基于安全网关类网络设备的安全业务得不到妥善处理，网络安全设备形同虚设，所有安全业务得不到保障，bypass功能不能根据实际现网流量或业务做出针对性bypass处理。可见，一种安全、有效的bypass管理机制必不可少。


技术实现要素：

4.为了解决上述技术问题或者至少部分地解决上述技术问题，本公开提供了一种bypass的通信管理方法、装置、设备及介质。
5.本公开提供了一种旁路bypass的通信管理方法，包括：
6.获取网络安全设备内置的多个安全业务模块对应的bypass等级；其中，所述网络安全设备包括多对bypass接口对；
7.检测所述网络安全设备的网络流量；当所述网络流量高于预设流量阈值时，分别判断各所述bypass接口对是否预先配置有第一bypass规则；所述第一bypass规则用于定义当前bypass接口对与所述bypass等级的对应关系；
8.针对配置有第一bypass规则的第一bypass接口对，通过所述第一bypass接口对并按照配置的第一bypass规则进行业务数据的传输；
9.针对未配置有第一bypass规则的第二bypass接口对，通过内置接口并按照预先配置的第二bypass规则进行业务数据的传输；其中，所述第二bypass规则为：较低的bypass等级对应的安全业务模块优先进行bypass处理。
10.可选的，所述方法还包括：
11.获取所述安全业务模块的内存占用率和计算速率；根据所述内存占用率和所述计算速率确定所述安全业务模块对应的bypass等级；其中，所述bypass等级的高低与所述内存占用率成反比，且与所述计算速率成正比。
12.可选的，所述按照预先配置的第二bypass规则进行业务数据的传输，包括：按照预先配置的第二bypass规则重复执行如下操作：
13.从多个所述安全业务模块中确定最低bypass等级对应的当前安全业务模块；对所述当前安全业务模块进行bypass处理，并通过剩余的安全业务模块进行业务数据的传输；测试所述网络安全设备的性能值是否满足预设的性能提升条件；如果未达到，则从所述剩
余的安全业务模块中确定最低bypass等级对应的新的当前安全业务模块；如果达到，则停止所述操作。
14.可选的，所述性能提升条件包括：所述性能值达到预设的性能阈值，或者，所述性能值的变化值达到预设的变化阈值。
15.可选的，所述方法还包括：当所述剩余的安全业务模块为最后一个时，停止所述操作，并通过该最后一个安全业务模块进行业务数据的传输。
16.可选的，所述第一bypass规则的配置方法包括：根据所述bypass接口对传递业务数据的安全等级，为所述bypass接口对配置零个、一个或多个相对应的bypass等级，且配置所述bypass等级的数量多少与所述安全等级的高低成反比。
17.可选的，所述第一bypass规则的配置方法还包括：为所述bypass接口对配置所述bypass等级的等级高低与所述安全等级的高低成反比。
18.本公开提供了一种旁路bypass的通信管理装置，包括：
19.获取模块，用于获取网络安全设备内置的多个安全业务模块对应的bypass等级；其中，所述网络安全设备包括多对bypass接口对；
20.检测模块，用于检测所述网络安全设备的网络流量；
21.判断模块，用于当所述网络流量高于预设流量阈值时，分别判断各所述bypass接口对是否预先配置有第一bypass规则；所述第一bypass规则用于定义当前bypass接口对与所述bypass等级的对应关系；
22.第一传输模块，用于针对配置有第一bypass规则的第一bypass接口对，通过所述第一bypass接口对并按照配置的第一bypass规则进行业务数据的传输；
23.第二传输模块，用于针对未配置有第一bypass规则的第二bypass接口对，通过内置接口并按照预先配置的第二bypass规则进行业务数据的传输；其中，所述第二bypass规则为：较低的bypass等级对应的安全业务模块优先进行bypass处理。
24.本公开提供了一种电子设备，所述电子设备包括：处理器；用于存储所述处理器可执行指令的存储器；所述处理器，用于从所述存储器中读取所述可执行指令，并执行所述指令以实现上述方法。
25.本公开提供了一种计算机可读存储介质，所述存储介质存储有计算机程序，所述计算机程序用于执行上述方法。
26.本公开实施例提供的技术方案与现有技术相比具有如下优点：
27.本公开实施例提供的一种bypass的通信管理方法、装置、设备及介质，当网络安全设备的网络流量高于预设流量阈值时，针对配置有第一bypass规则的第一bypass接口对，通过所述第一bypass接口对并按照配置的第一bypass规则进行业务数据的传输；以及，针对未配置有第一bypass规则的第二bypass接口对，通过内置接口并按照预先配置的第二bypass规则进行业务数据的传输。该技术方案利用配置有第一bypass规则的第一bypass接口对，或者第二bypass规则，能够根据实际的网络流量针对业务数据进行bypass处理，实现了基于bypass等级的bypass处理的管理机制，最大程度上降低了bypass带来的的影响，有效提升了安全性。
附图说明
28.此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本公开的实施例，并与说明书一起用于解释本公开的原理。
29.为了更清楚地说明本公开实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员而言，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
30.图1为本公开实施例所述bypass的通信管理方法流程图；
31.图2为本公开实施例所述网络安全设备的应用场景示意图；
32.图3为本公开实施例所述bypass的通信管理装置的结构框图；
33.图4为本公开实施例所述电子设备的结构示意图。
具体实施方式
34.为了能够更清楚地理解本公开的上述目的、特征和优点，下面将对本公开的方案进行进一步描述。需要说明的是，在不冲突的情况下，本公开的实施例及实施例中的特征可以相互组合。
35.在下面的描述中阐述了很多具体细节以便于充分理解本公开，但本公开还可以采用其他不同于在此描述的方式来实施；显然，说明书中的实施例只是本公开的一部分实施例，而不是全部的实施例。
36.如图1所示，本公开实施例提供的bypass的通信管理方法包括如下步骤：
37.步骤s102，获取网络安全设备内置的多个安全业务模块对应的bypass等级；其中，网络安全设备包括多对bypass接口对。
38.bypass功能，也就是旁路功能，可以通过特定的触发状态(断网或者死机)让两个网络不通过网络安全设备的系统，直接物理上导通。所以有了bypass后，当网络安全设备故障以后，还可以让连接在该网络安全设备上的网络相互导通，当然这时网络安全设备也就不会再对网络中的封包做处理。
39.参照图2，本实施例的网络安全设备内置多个安全业务模块，每个安全业务模块分别对应一个bypass等级，bypass等级分为多个等级，比如通过a、b、c、d等字母来区分不同等级的bypass等级。网络安全设备预先配置有多对bypass接口对，比如图2中展示的如下三对：bypass接口对1、bypass接口对2和bypass接口对3。
40.步骤s104，检测网络安全设备的网络流量。
41.网络流量通过网络安全设备的各个bypass接口对进行传输，本实施例可以检测网络安全设备的多个bypass接口对和内置接口对网络流量的实际吞吐量。
42.步骤s106，当网络流量高于预设流量阈值时，分别判断各bypass接口对是否预先配置有第一bypass规则；第一bypass规则用于定义当前bypass接口对与bypass等级的对应关系。
43.在本实施例中，当检测到网络安全设备当前的网络流量的总量高于预设流量阈值时，表示超出网络安全设备所承受的极限。在此情况下，分别判断各bypass接口对是否预先配置有第一bypass规则。根据判断结果，将配置有第一bypass规则的bypass接口对作为第一bypass接口对，并执行步骤s108，即通过第一bypass接口对并按照配置的第一bypass规
则进行业务数据的传输；将未配置有第一bypass规则的bypass接口对作为第二bypass接口对，并执行步骤s110，即将第二bypass接口对切换为网络安全设备的内置接口，通过内置接口并按照预先配置的第二bypass规则进行业务数据的传输。
44.步骤s108，针对配置有第一bypass规则的第一bypass接口对，通过第一bypass接口对并按照配置的第一bypass规则进行业务数据的传输。
45.为了便于理解，本实施例对第一bypass规则的配置方法展开描述，该方法包括：
46.根据bypass接口对传递业务数据的安全等级，为bypass接口对配置零个、一个或多个相对应的bypass等级，且配置bypass等级的数量多少与安全等级的高低成反比。
47.表1
[0048][0049]
比如以表1为示例，当bypass接口对1传递业务数据的安全等级较低时，比如为局域网或者蜜罐类，可以直接对传递的业务数据进行bypass处理，在此情况下，为bypass接口对1相对应的配置bypass等级a、bypass等级b和bypass等级c这三个等级的bypass等级，也即bypass接口对1的第一bypass规则，用于定义bypass接口对1与上述a、b、c三个bypass等级之间的对应关系。当bypass接口对3传递业务数据的安全等级较高(如边界防护)时，bypass接口对3传递业务数据不进行bypass处理，在此情况下，为bypass接口对3相对应的配置零个bypass等级，也即bypass接口对3的第一bypass规则，用于定义bypass接口对1与任一bypass等级之间均不具有对应关系。
[0050]
对于安全等级一般的bypass接口对2，可以根据实际需求配置其对应的第一bypass规则，比如定义bypass接口对2与bypass等级b之间的对应关系的第一bypass规则。
[0051]
在一些实现方式，第一bypass规则的配置方法还可以包括：为bypass接口对配置bypass等级的等级高低与安全等级的高低成反比。具体的，bypass接口对传递业务数据的安全等级越低，为该bypass接口对配置的bypass等级的等级越高。
[0052]
本实施例通过自定义灵活配置bypass接口对的第一bypass规则，实现不同的bypass接口对业务数据进行不同的bypass处理，从而实现对流量的控制，达到流量可控的目的。
[0053]
步骤s110，针对未配置有第一bypass规则的第二bypass接口对，通过内置接口并按照预先配置的第二bypass规则进行业务数据的传输；其中，第二bypass规则为：较低的bypass等级对应的安全业务模块优先进行bypass处理。
[0054]
本实施例首先对第二bypass规则的配置方法展开描述，参照如下所示：获取安全
业务模块的内存占用率和计算速率；根据内存占用率和计算速率确定安全业务模块对应的bypass等级；其中，bypass等级的高低与内存占用率成反比，且与计算速率成正比。
[0055]
具体的，根据内置接口对各个安全业务模块的内存占用率和计算速率进行评估，如果一个安全业务模块的内存占用率较大和/或计算速率较慢(计算速率慢表示争抢cpu的时间较长)，则为该安全业务模块配置等级较低的bypass等级；基于此为各个安全业务模块配置不同的bypass等级，如图1所示的bypass等级中，可以表示bypass等级a高于bypass等级b高于bypass等级c高于bypass等级d。其中，较低的bypass等级所对应的安全业务模块，在bypass功能触发时被优先bypass处理。
[0056]
本实施例还可以在评估得到计算内存占用率和计算速率之后，参照如下公式计算内存占用率和计算速率之间的加权和，得到安全业务模块的权重：
[0057]
权重＝内存占用率*a 计算速率*b；
[0058]
其中，a和b分别为内容占用率和计算速率的权系数，可以根据实际应用设置a和b相等或不等。权重越高的安全业务模块，表示该安全业务模块的bypass等级越高。
[0059]
根据上述第二bypass规则，本实施例对上述步骤s110中按照预先配置的第二bypass规则进行业务数据的传输的方式展开描述，包括：
[0060]
按照预先配置的第二bypass规则重复执行如下操作：
[0061]
步骤1，从多个安全业务模块中确定最低bypass等级对应的当前安全业务模块。
[0062]
步骤2，对当前安全业务模块进行bypass处理，并通过剩余的安全业务模块进行业务数据的传输。
[0063]
步骤3，测试网络安全设备的性能值是否满足预设的性能提升条件。
[0064]
在具体实现时，可以检测网络安全设备的带宽、丢包率、时延、抖动等网络性能参数，根据上述网络性能参数确定网络安全设备的性能值。
[0065]
而后，判断网络安全设备的性能值是否满足预设的性能提升条件；其中，性能提升条件可以为以下条件中的至少一种：第一条件为网络安全设备的性能值达到预设的性能阈值，第二条件为性能值的变化值达到预设的变化阈值；该性能值的变化值是指对当前安全业务模块进行bypass处理前后，网络安全设备的性能值的变化值。
[0066]
如果网络安全设备的性能值满足性能提升条件，表示网络安全设备的整机性能有明显提升，已有足够的能力处理网络数据，可以停止当前剩余的安全业务模块的bypass功能，从而停止本实施例所述的操作。反之，如果不满足，表示未能改善网络安全设备的性能，则执行如下步骤4。
[0067]
步骤4，从剩余的安全业务模块中确定最低bypass等级对应的新的当前安全业务模块；在此情况下，相当于回到了上述步骤1，重复执行步骤2至4，直至网络安全设备的性能值满足性能提升条件时停止，或者，直至当剩余的安全业务模块为最后一个时，停止上述操作，并通过该最后一个安全业务模块进行业务数据的传输。
[0068]
以上按照第二bypass规则进行业务数据的传输的实施例，既能够从最大限度减少安全业务模块bypass功能带来的影响，又能够极大地缓解安全业务处理模块带来的最大等级的消耗，该消耗为业务占用cpu利用率或者内存使用率，从而实现了基于bypass等级的bypass处理。
[0069]
综上，上述公开实施例提供的bypass的通信管理方法，当网络安全设备的网络流
量高于预设流量阈值时，针对配置有第一bypass规则的第一bypass接口对，通过第一bypass接口对并按照配置的第一bypass规则进行业务数据的传输；以及，针对未配置有第一bypass规则的第二bypass接口对，通过内置接口并按照预先配置的第二bypass规则进行业务数据的传输。该技术方案利用配置有第一bypass规则的第一bypass接口对，或者第二bypass规则，能够根据实际的网络流量针对业务数据进行bypass处理，实现了基于bypass等级的bypass处理的管理机制，最大程度上降低了bypass带来的影响，有效提升了安全性。
[0070]
本实施例提供一种bypass的通信管理装置，用于实现上述实施例中的bypass的通信管理方法。参照图3，该装置包括如下模块：
[0071]
获取模块302，用于获取网络安全设备内置的多个安全业务模块对应的bypass等级；其中，网络安全设备包括多对bypass接口对；
[0072]
检测模块304，用于检测网络安全设备的网络流量；
[0073]
判断模块306，用于当网络流量高于预设流量阈值时，分别判断各bypass接口对是否预先配置有第一bypass规则；第一bypass规则用于定义当前bypass接口对与bypass等级的对应关系；
[0074]
第一传输模块308，用于针对配置有第一bypass规则的第一bypass接口对，通过第一bypass接口对并按照配置的第一bypass规则进行业务数据的传输；
[0075]
第二传输模块310，用于针对未配置有第一bypass规则的第二bypass接口对，通过内置接口并按照预先配置的第二bypass规则进行业务数据的传输；其中，第二bypass规则为：较低的bypass等级对应的安全业务模块优先进行bypass处理。
[0076]
本实施例所提供的装置，其实现原理及产生的技术效果和前述方法实施例相同，为简要描述，装置实施例部分未提及之处，可参考前述方法实施例中相应内容。
[0077]
图4为本公开实施例提供的一种电子设备的结构示意图。如图4所示，电子设备400包括一个或多个处理器401和存储器402。
[0078]
处理器401可以是中央处理单元(cpu)或者具有数据处理能力和/或指令执行能力的其他形式的处理单元，并且可以控制电子设备400中的其他组件以执行期望的功能。
[0079]
存储器402可以包括一个或多个计算机程序产品，所述计算机程序产品可以包括各种形式的计算机可读存储介质，例如易失性存储器和/或非易失性存储器。所述易失性存储器例如可以包括随机存取存储器(ram)和/或高速缓冲存储器(cache)等。所述非易失性存储器例如可以包括只读存储器(rom)、硬盘、闪存等。在所述计算机可读存储介质上可以存储一个或多个计算机程序指令，处理器401可以运行所述程序指令，以实现上文所述的本公开的实施例的bypass的通信管理方法以及/或者其他期望的功能。在所述计算机可读存储介质中还可以存储诸如输入信号、信号分量、噪声分量等各种内容。
[0080]
在一个示例中，电子设备400还可以包括：输入装置403和输出装置404，这些组件通过总线系统和/或其他形式的连接机构(未示出)互连。
[0081]
此外，该输入装置403还可以包括例如键盘、鼠标等等。
[0082]
该输出装置404可以向外部输出各种信息，包括确定出的距离信息、方向信息等。该输出装置404可以包括例如显示器、扬声器、打印机、以及通信网络及其所连接的远程输出设备等等。
[0083]
当然，为了简化，图4中仅示出了该电子设备400中与本公开有关的组件中的一些，
省略了诸如总线、输入/输出接口等等的组件。除此之外，根据具体应用情况，电子设备400还可以包括任何其他适当的组件。
[0084]
进一步，本实施例还提供了一种计算机可读存储介质，所述存储介质存储有计算机程序，所述计算机程序用于执行上述bypass的通信管理方法。
[0085]
本公开实施例所提供的一种bypass的通信管理方法、装置、电子设备及介质的计算机程序产品，包括存储了程序代码的计算机可读存储介质，所述程序代码包括的指令可用于执行前面方法实施例中所述的方法，具体实现可参见方法实施例，在此不再赘述。
[0086]
需要说明的是，在本文中，诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
[0087]
以上所述仅是本公开的具体实施方式，使本领域技术人员能够理解或实现本公开。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本公开的精神或范围的情况下，在其它实施例中实现。因此，本公开将不会被限制于本文所述的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。