一種網絡設備間的通信方法、網絡設備及分布式網絡與流程

2023-05-23 14:52:26 2

本發明涉及通信技術領域，特別涉及一種網絡設備間的通信方法、網絡設備及分布式網絡。

背景技術：

在雲計算環境中，分布式虛擬網絡是分布式的大二層網絡。同一臺主機上的虛擬機可以屬於不同的分布式虛擬網絡，不同主機上的虛擬機可能又屬於同一個分布式虛擬網絡。

基於上述分布式特點，一系列在物理網絡中通過網關實現的功能都需要分布式到虛擬交換機層面來做。減少流量的迂迴、增加網絡的性能。有些簡單的功能如路由查找、可以由網絡過濾虛擬交換內部實現。另外還有一些高級安全如攻擊防護，需要藉助第三方能力來實現。第三方的高級安全功能一般在安全虛擬機中運行。

為了實現虛擬機之間的安全通信，提出了狀態檢測防火牆。狀態檢測防火牆採用了狀態檢測包過濾的技術，是傳統包過濾上的功能擴展。狀態檢測防火牆在網絡層有一個檢查引擎截獲數據包並抽取出與應用層狀態有關的信息，並以此為依據決定對該連接是接受還是拒絕。這種技術提供了高度安全的解決方案，同時具有較好的適應性和擴展性。狀態檢測防火牆一般也包括一些代理級的服務，它們提供附加的對特定應用程式數據內容的支持。狀態檢測技術最適合提供對用戶數據報文協議(User Datagram Protocol，UDP)的有限支持。它將所有通過防火牆的UDP分組均視為一個虛連接，當反向應答分組送達時，就認為一個虛擬連接已經建立。

在分布式虛擬網絡中，會設置實現狀態檢測防火牆功能的節點來達到安全檢測的目的。目前，有一種處理方式是，透明地在每個伺服器上部署一個虛擬化的安全設備，此安全設備通過透明橋接和每個虛擬機連接。虛擬機發出和接收的數據包都會經過此安全設備轉發，在此安全設備上進行網絡安全檢測。此種做法的優點是，可以檢測伺服器內部網絡的虛擬機間流量的安全 性，另外不需要像網關那樣，迂迴到可能在另一臺伺服器上的虛擬化的安全設備，因此可以節省流量。

但是，採用以上方案，所有流量均會經過安全設備，虛擬機的數據吞吐量會受到安全設備接口通信能力的限制，導致網絡數據傳輸性能較低。

技術實現要素：

本發明實施例提供了一種網絡設備間的通信方法、網絡設備及分布式網絡，用於提升網絡中的數據傳輸性能。

本發明實施例一方面提供了一種網絡設備間的通信方法，包括：

在主機內的第一網絡設備與第二網絡設備之間有數據包傳輸時，中斷所述數據包的傳輸，將所述數據包存入與所述主機內的安全設備之間的共享內存；

接收所述安全設備返回的所述數據包的檢測結果，若所述檢測結果為安全則將所述數據包發往所述數據包的目的端，若所述檢測結果為危險則拒絕轉發所述數據包。

結合一方面的實現方式，在第一種可能的實現方式中，若所述檢測結果為安全，且所述數據包為數據流的數據包，所述方法還包括：

在接收到所述數據流的後續數據包後，將所述數據包發往所述數據包的目的端。

結合一方面的第一種可能的實現方式，在第二種可能的實現方式中，所述檢測結果為安全包括：

所述數據流為在白名單內包含的數據流，或者，所述數據流被標記為流通過的數據流。

結合一方面的實現方式，在第三種可能的實現方式中，所述主機內還包括：路由模塊；所述第一網絡設備以及所述安全設備與所述路由模塊採用應用程式接口API建立連接；

所述中斷所述數據包的傳輸包括：通過所述路由模塊採用所述API中斷所述數據包的傳輸。

結合一方面的第三種可能的實現方式，在第四種可能的實現方式中，所 述第一網絡設備和第二網絡設備均為虛擬機，所述路由模塊為虛擬交換機，所述安全設備為具有安全檢測能力的虛擬機。

結合一方面的第三種可能的實現方式，在第五種可能的實現方式中，所述方法還包括：

接收來自雲管理伺服器的安全策略信息，若所述安全策略信息指定需要對所述第一網絡設備進行安全防護，則採用API建立所述第一網絡設備與所述路由模塊之間的通信連接。

結合一方面、一方面的第一種、第二種或者第三種可能的實現方式，在第六種可能的實現方式中，所述將所述數據包存入與所述主機內的安全設備之間的共享內存包括：

在獲得所述數據包後，將所述數據包存入位於共享內中的單隊列的隊尾，使所述安全設備從隊頭往隊尾依次檢測所述單隊列內的數據包的安全性。

結合一方面的第六種可能的實現方式，在第七種可能的實現方式中，所述接收所述安全設備返回的所述數據包的檢測結果包括：從所述單隊列中讀取所述數據包的檢測結果；

在將所述數據包發往所述數據包的目的端之後還包括：

將所述數據包從所述單隊列中刪除。

結合一方面的第七種可能的實現方式，在第八種可能的實現方式中，所述若所述檢測結果為危險則拒絕轉發所述數據包還包括：

若從所述單隊列中讀取所述數據包的檢測結果為所述數據包為危險數據包，則刪除所述數據包。

本發明實施例二方面提供了一種網絡設備，所述網絡設備和第一網絡設備位於主機內；所述網絡設備包括：

中斷控制單元，用於在所述第一網絡設備與第二網絡設備之間有數據包傳輸時，中斷所述數據包的傳輸；

數據傳遞單元，用於將所述數據包存入與所述主機內的安全設備之間的共享內存；

結果獲取單元，用於接收所述安全設備返回的所述數據包的檢測結果；

數據處理單元，用於若所述檢測結果為安全則將所述數據包發往所述數 據包的目的端，若所述檢測結果為危險則拒絕轉發所述數據包。

結合二方面的實現方式，在第一種可能的實現方式中，所述第一網絡設備還包括：

數據轉發單元，用於若所述檢測結果為安全，且所述數據包為數據流的數據包，在接收到所述數據流的後續數據包後，將所述數據包發往所述數據包的目的端。

結合二方面的第一種可能的實現方式，在第二種可能的實現方式中，所述數據處理單元，用於若所述數據流為在白名單內包含的數據流，或者，所述數據流被標記為流通過的數據流，則將所述數據包發往所述數據包的目的端。

結合二方面的實現方式，在第三種可能的實現方式中，所述主機內還包括：路由模塊；所述第一網絡設備以及所述安全設備與所述路由模塊採用應用程式接口API建立連接；

所述中斷控制單元，具體用於通過所述路由模塊採用所述API中斷所述數據包的傳輸。

結合二方面的第三種可能的實現方式，在第四種可能的實現方式中，所述第一網絡設備和第二網絡設備均為虛擬機，所述路由模塊為虛擬交換機，所述安全設備為具有安全檢測能力的虛擬機。

結合二方面的第三種可能的實現方式，在第五種可能的實現方式中，所述第一網絡設備還包括：

信息接收單元，用於接收來自雲管理伺服器的安全策略信息；

連接建立單元，用於若所述安全策略信息指定需要對所述第一網絡設備進行安全防護，則採用API建立所述中斷控制單元與所述路由模塊之間的通信連接。

結合二方面、二方面的第一種、第二種或者第三種可能的實現方式，在第六種可能的實現方式中，

所述數據傳遞單元，具體用於在獲得所述數據包後，將所述數據包存入位於共享內中的單隊列的隊尾，使所述安全設備從隊頭往隊尾依次檢測所述單隊列內的數據包的安全性。

結合二方面的第六種可能的實現方式，在第七種可能的實現方式中，所述結果獲取單元包括：

結果讀取單元，具體用於從所述單隊列中讀取所述數據包的檢測結果；

刪除控制單元，用於在所述數據傳遞單元將所述數據包發往所述數據包的目的端之後，將所述數據包從所述單隊列中刪除。

結合二方面的第七種可能的實現方式，在第八種可能的實現方式中，

所述數據處理單元，具體用於若從所述單隊列中讀取所述數據包的檢測結果為所述數據包為危險數據包，則刪除所述數據包。

本發明實施例三方面提供了一種分布式網絡，包括：以可通信連接方式連接的第一網絡設備、第二網絡設備以及第三網絡設備，其特徵在於，所述第三網絡設備為本發明實施例提供的任意一項所述的網絡設備，所述第三網絡設備、所述第一網絡設備以及安全設備位於同一主機內。

從以上技術方案可以看出，本發明實施例具有以下優點：安全設備設置於主機內，採用共享內存對數據包進行安全檢測，並不需要通過網絡傳遞數據包，因此可以節省網絡帶寬，提升網絡中的數據傳輸性能。

附圖說明

為了更清楚地說明本發明實施例中的技術方案，下面將對實施例描述中所需要使用的附圖作簡要介紹，顯而易見地，下面描述中的附圖僅僅是本發明的一些實施例，對於本領域的普通技術人員來講，在不付出創造性勞動性的前提下，還可以根據這些附圖獲得其他的附圖。

圖1為本發明實施例方法流程示意圖；

圖2為本發明實施例裝置結構示意圖；

圖3為本發明實施例虛擬機通信網絡結構示意圖；

圖4為本發明實施例配置管理流程意圖；

圖5為本發明實施例虛擬機設置安全策略流程意圖；

圖6為本發明實施例網絡流量處理流程意圖；

圖7為本發明實施安全功能配合結構意圖；

圖8為本發明實施例數據流傳遞流程意圖；

圖9為本發明實施單隊列結構意圖；

圖10為本發明實施網絡設備結構意圖；

圖11為本發明實施網絡設備結構意圖；

圖12為本發明實施網絡設備結構意圖；

圖13為本發明實施網絡設備結構意圖；

圖14為本發明實施網絡設備結構意圖；

圖15為本發明實施網絡設備結構意圖。

具體實施方式

為了使本發明的目的、技術方案和優點更加清楚，下面將結合附圖對本發明作進一步地詳細描述，顯然，所描述的實施例僅僅是本發明一部份實施例，而不是全部的實施例。基於本發明中的實施例，本領域普通技術人員在沒有做出創造性勞動前提下所獲得的所有其它實施例，都屬於本發明保護的範圍。

本發明實施例提供了一種網絡設備間的通信方法，如圖1所示，包括：

101：在主機內的第一網絡設備與第二網絡設備之間有數據包傳輸時，中斷上述數據包的傳輸，將上述數據包存入與上述主機內的安全設備之間的共享內存；

在本實施例中「第一」和「第二」僅是為了區分兩個不同的網絡設備使用，並不代表其他的技術含義，不應理解為具有其他的限定。第一網絡設備和第二網絡設備可以位於同一主機內，也可以位於不同主機內，本發明實施例對此不作唯一性限定。第一網絡設備和第二網絡設備可以是物理實體的網絡設備，也可以是虛擬機，依據不同的應用場景進行設定，本發明實施例不對此進行唯一性限定。中斷數據包的傳輸過程，可以有中斷指令也可以沒有，在本實施例中，表示需要停止轉發等待數據包的檢測結果，而不是立即執行轉發流程，後續數據包的轉發可以理解為數據包傳輸的恢復。

102：接收上述安全設備返回的上述數據包的檢測結果，若上述檢測結果為安全則將上述數據包發往上述數據包的目的端，若上述檢測結果為危險則拒絕轉發上述數據包。

本發明實施例中，安全設備設置於主機內，採用共享內存對數據包進行安全檢測，並不需要通過網絡傳遞數據包，因此可以節省網絡帶寬，提升網絡中的數據傳輸性能。

在本實施例中，拒絕轉發數據包的方式可以是不轉發，也可以直接刪除，具體實現方式本發明實施例不作限制。

前述實施例主要涉及的是數據包檢測過程以及處理過程，對於數據包而言，有些數據包在初次檢測以後的後續數據包由於與之具有關聯性，因此後續數據包可以不必再次檢測，例如數據流的數據包，基於此為了減少不必要的安全檢測降低數據處理量並提升系統效率，進一步地，本發明實施例提供了如下解決方案：若上述檢測結果為安全，且上述數據包為數據流的數據包，上述方法還包括：在接收到上述數據流的後續數據包後，將上述數據包發往上述數據包的目的端。

安全檢測的方式有很多，可以遵照不同的安全檢測算法，基於前一實施例中數據流的實現方案，檢測結果為安全的情況則可以是：上述檢測結果為安全包括：上述數據流為在白名單內包含的數據流，或者，上述數據流被標記為流通過的數據流。

對應於白名單內包含的數據流以及被標記為流通過的數據流，在數據流的最初的數據包被送達時，是沒有記錄的，因此仍然會執行安全檢測的步驟；相應地，在執行完安全檢測以後，會有記錄白名單或者標記流通過的步驟。流通過是安全檢測結果為安全的標識信息。

在本實施例中，第一網絡設備第二網絡設備安全設備等可能按照需要具有不同的分布結構，本實施例給出了其中較為常用的舉例說明，具體如下：上述主機內還包括：路由模塊；上述第一網絡設備以及上述安全設備與上述路由模塊採用應用程式接口(Application Program Interface，API)建立連接；

上述中斷上述數據包的傳輸包括：通過上述路由模塊採用上述API中斷上述數據包的傳輸。

在以上實施例中，還給出了安全設備和第一網絡設備之間與路由模塊之間的連接方式，以及中斷控制的實現方式。可以作為本發明實施例一個較為優選的實現方式使用。

本發明實施例中的第一網絡設備和第二網絡設備等設備均可以是實體設備，也可以應用於虛擬通信網絡中，因此本發明實施例提供了如下方案：上述第一網絡設備和第二網絡設備均為虛擬機，上述路由模塊為虛擬交換機，上述安全設備為具有安全檢測能力的虛擬機。

本實施例還提供了安全防護的功能是否需要啟動的靈活控制方案，具體如下：上述方法還包括：

接收來自雲管理伺服器的安全策略信息，若上述安全策略信息指定需要對上述第一網絡設備進行安全防護，則採用API建立上述第一網絡設備與上述路由模塊之間的通信連接。

雲管理伺服器可以搜集各主機內的網絡設備的屬性，以網絡設備為虛擬機為例，主機提供虛擬機的硬體基礎；雲管理伺服器可以搜集各虛擬機的屬性信息，例如：虛擬機的使用者，如：普通用戶，重要用戶等；虛擬機的用途，如：客戶機、伺服器等；依據虛擬機的屬性不同，不同的虛擬機會對應有不同的安全性能需求，因此可以按照預定義的規則確定安全性能要求較高的虛擬機屬於需要進行安全防護的虛擬機。以上屬性信息的搜集工作可以由雲管理伺服器完成，確定需要安全防護的虛擬機的工作可以由安全管理設備完成，也可以由雲管理伺服器完成；另外安全管理設備可以集成在雲管理伺服器內。

本實施例還提供了採用共享內存傳遞數據包的具體實現方案：上述將上述數據包存入與上述主機內的安全設備之間的共享內存包括：

在獲得上述數據包後，將上述數據包存入位於共享內中的單隊列的隊尾，使上述安全設備從隊頭往隊尾依次檢測上述單隊列內的數據包的安全性。

以上方案基於單環形隊列實現，可以方便地保證數據一致性，並且減少數據包在傳遞過程中對內存空間的佔用。

基於以上採用單環形隊列的實現方案，本發明實施例還提供了檢測結果的讀取以及維護方案，具體如下：上述接收上述安全設備返回的上述數據包的檢測結果包括：從上述單隊列中讀取上述數據包的檢測結果；

在將上述數據包發往上述數據包的目的端之後還包括：

將上述數據包從上述單隊列中刪除。

進一步地，基於以上實施例中檢測結果的讀取實現方案，本發明實施例還提供了數據包的維護方案，具體如下：上述若上述檢測結果為危險則拒絕轉發上述數據包還包括：

若從上述單隊列中讀取上述數據包的檢測結果為上述數據包為危險數據包，則刪除上述數據包。

基於以上實施例，本發明實施例還提供了以虛擬機為主要應用場景的分布式的網絡安全架構，在本發明實施例提供的網絡安全架構中，由雲平臺完成對數據包的過濾、分類，雲平臺將需要檢測的數據包以及對此數據包分類的結果傳遞給第三方安全設備，第三方安全設備來完成對網絡數據的深度安全檢測。然後返回處理結果給雲平臺，雲平臺根據處理結果進行相應的動作。在以下實施例中，分布就以下五個方面進行詳細說明：一、部件結構；二、虛擬機通信網絡結構；三、工作流程；四、高級安全功能和基礎網絡安全功能之間的配合；五、數據流傳遞。具體如下：Virtual Swtich

一、部件結構：

如圖2所示，在每個虛擬化的伺服器上部署一個深度安全檢測的虛擬機，在圖2中為加粗線條所示的安全虛擬機(Security Virtual Machine，SVM)。雲管理(Cloud Manager，CM)伺服器可以維護需要防護的虛擬機配置策略，並通過安全管理(Security Manager，SM)設備將策略下發到此虛擬機所在伺服器上的SVM中。

二、虛擬機通信網絡結構：

如圖3所示，可以一併參閱圖2；虛擬機通過虛擬網絡接口和虛擬交換機(VSwitch)連接，安全虛擬機(Security Virtual Machine，SVM)通過應用程式接口(Application Program Interface，API)和虛擬交換機連接。

三、工作流程：

1、配置管理流程，如圖4所示，具體如下：

401：安全管理設備從雲管理伺服器獲取虛擬機列表信息；

402：安全管理設備開啟對虛擬機啟用防護，同時通知和虛擬機在同一主機的安全虛擬機(Security Virtual Machine，SVM)開啟防護。

403：通過API服務端建立虛擬機和安全虛擬機之間的API連接。本步驟 可以在步驟401或者步驟402之前完成。

2、對虛擬機設置安全策略，如圖5所示，具體如下：

501：虛擬機監視器(Virtual Machine Monitor，VMM)將安全策略通過主機內的API服務端下發到和虛擬機在同一主機的SVM上。

上述VMM可以包含一個虛擬交換機(Virtual Switch，VS)，VS與各虛擬機(Virtual Machine，VM)以及SVM採用API接口連接。

502：虛擬機遷移時，新主機上的SVM獲取虛擬機事件，從安全管理設備獲取安全策略。

503：SVM根據虛擬機的安全策略，決定是否對虛擬機開啟防護。如果需要，SVM調用API接口，開啟防護。

3、網絡流量處理，如圖6所示，具體包括：

601：當開啟了防護的虛擬機1向虛擬機2外發出流量或接收流量時，安全API服務端中斷數據流處理；

602：然後把數據流封裝通過共享內存傳遞給SVM，等待處理結果。

603：SVM進行安全檢測，返回檢測結果。

604：安全API服務模塊根據結果丟棄或繼續轉發數據流。在圖6所示的轉發為檢測結果為安全的情況下的流程，丟棄的流程將不會執行圖6所示轉發步驟。

4、高級安全功能和基礎網絡安全功能之間的配合，如圖7所示：

主要包含兩個部分，SVM和VMM；其中，在SVM一側包含：DPI/IPS，安全(Security)API；在VMM一側包含：安全代理(Security Agent)以及虛擬交換機/基礎網絡安全；

使用API接口在VMM和SVM之間對接，優勢是SVM處理後，返回的是處理結果。相對於傳統網絡轉發設備轉發流量來說，佔用更少的網絡帶寬。另外可以返回更多的結果，讓後續不需要深度檢查的流量不再傳遞給SVM，這樣既減少了對網絡的佔用，也減輕了SVM的處理壓力。

SVM返回給VMM的結果可以是：

通過：Pass；

阻止：Block；

流通過：PassContinious；

流阻止：BlockContinious；

白名單：WhiteList；

黑名單：BlackList。

其中，流通過/流阻止的含義是，當前訪問數據流後續不需要再進行檢查，直接放過，在數據流經安全檢測並獲得結果為安全時可以標記流通過。例如：當確認訪問流是可信或需要拒絕的流量，後續流量就不需要轉發過來。

白名單/黑名單的含義是如果流量是某個白名單、黑名單的流量，可以直接放過或阻止。

5、數據流傳遞，如圖8所示，包括：

801：虛擬機1有發往虛擬機2的流量，經API服務端到達安全虛擬機；

802：安全虛擬機確定虛擬機1是需要防護的虛擬機，並且該流量沒有相關記錄，則檢測流量的數據包確定是否安全，並將檢測結果發往API服務端；

803：API服務端根據檢測結果確定流量是否可以轉發給虛擬機2，如果可以則轉發，否則刪掉相應數據包；這裡還需要記錄該流量的相應信息，例如：流通過/流阻止、白名單/黑名單；

804：上述流量的後續數據包到達API服務端，API服務端首先根據記錄的信息確定結果，例如：是否屬於記錄的流通過/流阻止、白名單/黑名單；上述流量可以獲得相應的結果，並據此決定是否可以則轉發，否則刪掉相應數據包。

在以上實施例中，SVM通過API獲取要檢測的流量，並通過API返回結果。這種通信方式與網絡轉發設備相比有很大的不同。採用本實施例方案特點是，不用轉發數據包，而是順序處理數據包，並順序返回處理結果。所以可以採用單隊列來進行通信。

在以上實施例中，API服務端可以把要檢測的流量按照先後順序從隊列末尾放入隊列；SVM從隊列頭部獲取要檢測的流量，進行檢測，並在隊列相應位置設置檢測結果；API服務端從有檢測結果所在的位置開始處理，根據檢測結果。來進行與此數據包相關的處理。

如圖9所示，可以有三個指針在隊列上移動來處理隊列上的數據包。虛 擬交換機將要檢測的流量放入共享內存，「尾指針」逆時針轉動。通知SVM處理。SVM處理「頭指針」的內容，處理後通知虛擬交換機處理結果。虛擬交換機讀取「結果指針」的內容，通過的流量繼續轉發，不能通過的流量丟棄。

網絡轉發設備一般至少有兩個隊列(雙隊列)：接收隊列、發送隊列。相對於雙隊列，單隊列處理起來更簡單，一致性也更好保障。在本實施例中，虛擬交換機不斷向隊列中傳送數據包，同時向後移動尾指針。SVM不斷從隊列中獲取數據包進行檢測，移動頭指針。虛擬交換機不斷從隊列中的結果指針獲取結果，對緩存的數據包轉發或丟棄。

採用本發明實施例的方案，至少具有如下幾個有益效果：

一、實現了分布式的網絡安全防護，防護位置更貼近保護對象，粒度更細。安全域的劃定不再受網絡的綁定，更加方便。

二、通過虛擬交換機和高級網絡安全功能模塊之間，擴展定義檢測結果，可以在虛擬交換機基本網絡過濾功能和高級網絡安全模塊之間進行配合，不需要將所有流量傳送給高級網絡安全功能模塊。

三、在虛擬交換機和基於共享內存的單環形隊列相對於雙環形隊列更容易保證一致性，並且佔用更少內存。

本發明實施例還提供了一種網絡設備，如圖10所示，上述網絡設備和第一網絡設備位於主機內；上述網絡設備包括：

中斷控制單元1001，用於在上述第一網絡設備與第二網絡設備之間有數據包傳輸時，中斷上述數據包的傳輸；

數據傳遞單元1002，用於將上述數據包存入與上述主機內的安全設備之間的共享內存；

結果獲取單元1003，用於接收上述安全設備返回的上述數據包的檢測結果；

數據處理單元1004，用於若上述檢測結果為安全則將上述數據包發往上述數據包的目的端，若上述檢測結果為危險則拒絕轉發上述數據包。

進一步地，如圖11所示，上述第一網絡設備還包括：

數據轉發單元1101，用於若上述檢測結果為安全，且上述數據包為數據 流的數據包，在接收到上述數據流的後續數據包後，將上述數據包發往上述數據包的目的端。

可選地，上述數據處理單元1004，用於若上述數據流為在白名單內包含的數據流，或者，上述數據流被標記為流通過的數據流，則將上述數據包發往上述數據包的目的端。

可選地，上述主機內還包括：路由模塊；上述第一網絡設備以及上述安全設備與上述路由模塊採用應用程式接口API建立連接；

上述中斷控制單元1001，具體用於通過上述路由模塊採用上述API中斷上述數據包的傳輸。

可選地，上述第一網絡設備和第二網絡設備均為虛擬機，上述路由模塊為虛擬交換機，上述安全設備為具有安全檢測能力的虛擬機。

進一步地，如圖12所示，上述第一網絡設備還包括：

信息接收單元1201，用於接收來自雲管理伺服器的安全策略信息；

連接建立單元1202，用於若上述安全策略信息指定需要對上述第一網絡設備進行安全防護，則採用API建立上述中斷控制單元1001與上述路由模塊之間的通信連接。

可選地，上述數據傳遞單元1002，具體用於在獲得上述數據包後，將上述數據包存入位於共享內中的單隊列的隊尾，使上述安全設備從隊頭往隊尾依次檢測上述單隊列內的數據包的安全性。

可選地，如圖13所示，上述結果獲取單元1003包括：

結果讀取單元1301，具體用於從上述單隊列中讀取上述數據包的檢測結果；

刪除控制單元1302，用於在上述數據傳遞單元1002將上述數據包發往上述數據包的目的端之後，將上述數據包從上述單隊列中刪除。

可選地，上述數據處理單元1004，具體用於若從上述單隊列中讀取上述數據包的檢測結果為上述數據包為危險數據包，則刪除上述數據包。

本發明實施例還提供了一種分布式網絡，如圖14所示，包括：以可通信連接方式連接的第一網絡設備1401、第二網絡設備1402和第三網絡設備1403；其中，上述第三網絡設備1403為本發明實施例提供的任意一項的網絡 設備，上述第三網絡設備1403、上述第一網絡設備1401以及安全設備位於同一主機內。

其中，第一網絡設備1401有數據包發往第二網絡設備1402；第一網絡設備1401的數據包首先發送給第三網絡設備1402，由第三網絡設備1402決定是否將接收到的數據包存儲到與安全設備之間的共享內存，然後由安全設備對數據包進行安全檢測，最後由第三網絡設備1403依據安全檢測結果決定是否將數據包轉發給上述第二網絡設備，具體實現過程可以參考前述實施例方法流程；第三網絡設備1402的結構可以參考前述實施例中提供的網絡設備的結構，在此不再一一贅述。

本發明實施例中，安全設備設置於主機內，採用共享內存對數據包進行安全檢測，並不需要通過網絡傳遞數據包，因此可以節省網絡帶寬，提升網絡中的數據傳輸性能。

本發明實施例還提供了另外一種網絡設備，如圖15所示，上述網絡設備和第一網絡設備位於主機內；上述網絡設備包括：接收器1501、發射器1502、處理器1503以及存儲器1504，其中存儲器1504可以提供處理器1503進行數據處理過程中所需要的緩存，也可以提供共享內存空間。

其中，上述處理器1503，用於在主機內的第一網絡設備與第二網絡設備之間有數據包傳輸時，中斷上述數據包的傳輸，並通過共享內存將上述數據包傳遞給上述主機內的安全設備；接收上述安全設備返回的上述數據包的檢測結果，若上述檢測結果為安全則將上述數據包發往上述數據包的目的端，若上述檢測結果為危險則拒絕轉發上述數據包。

在本實施例中「第一」和「第二」僅是為了區分兩個不同的網絡設備使用，並不代表其他的技術含義，不應理解為具有其他的限定。第一網絡設備和第二網絡設備可以位於同一主機內，也可以位於不同主機內，本發明實施例對此不作唯一性限定。

本發明實施例中，安全設備設置於主機內，採用共享內存對數據包進行安全檢測，並不需要通過網絡傳遞數據包，因此可以節省網絡帶寬，提升網絡中的數據傳輸性能。

前述實施例主要涉及的是數據包檢測過程以及處理過程，對於數據包而 言，有些數據包在初次檢測以後的後續數據包由於與之具有關聯性，因此後續數據包可以不必再次檢測，例如數據流的數據包，基於此為了減少不必要的安全檢測降低數據處理量並提升系統效率，進一步地，本發明實施例提供了如下解決方案：上述處理器1503，還用於若上述檢測結果為安全，且上述數據包為數據流的數據包，在接收到上述數據流的後續數據包後，將上述數據包發往上述數據包的目的端。

安全檢測的方式有很多，可以遵照不同的安全檢測算法，基於前一實施例中數據流的實現方案，檢測結果為安全的情況則可以是：上述處理器1503，用於確定上述檢測結果為安全的方式包括：上述數據流為在白名單內包含的數據流，或者，上述數據流被標記為流通過的數據流。

對應於白名單內包含的數據流以及被標記為流通過的數據流，在數據流的最初的數據包被送達時，是沒有記錄的，因此仍然會執行安全檢測的步驟；相應地，在執行完安全檢測以後，會有記錄白名單或者標記流通過的步驟。

在本實施例中，第一網絡設備第二網絡設備安全設備等可能按照需要具有不同的分布結構，本實施例給出了其中較為常用的舉例說明，具體如下：上述主機內還包括：路由模塊；上述第一網絡設備以及上述安全設備與上述路由模塊採用應用程式接口(Application Program Interface，API)建立連接；

上述處理器1503，用於上述中斷上述數據包的傳輸包括：通過上述路由模塊採用上述API中斷上述數據包的傳輸。

在以上實施例中，還給出了安全設備和第一網絡設備之間與路由模塊之間的連接方式，以及中斷控制的實現方式。可以作為本發明實施例一個較為優選的實現方式使用。

本發明實施例中的第一網絡設備和第二網絡設備等設備均可以是實體設備，也可以應用於虛擬通信網絡中，因此本發明實施例提供了如下方案：上述第一網絡設備和第二網絡設備均為虛擬機，上述路由模塊為虛擬交換機，上述安全設備為具有安全檢測能力的虛擬機。

本實施例還提供了安全防護的功能是否需要啟動的靈活控制方案，具體如下：上述處理器1503，還用於接收來自雲管理伺服器的安全策略信息，若上述安全策略信息指定需要對上述第一網絡設備進行安全防護，則採用API 建立上述第一網絡設備與上述路由模塊之間的通信連接。

本實施例還提供了採用共享內存傳遞數據包的具體實現方案：上述處理器1503，用於將上述數據包存入與上述主機內的安全設備之間的共享內存包括：在獲得上述數據包後，將上述數據包存入位於共享內中的單隊列的隊尾，使上述安全設備從隊頭往隊尾依次檢測上述單隊列內的數據包的安全性。

以上方案基於單環形隊列實現，可以方便地保證數據一致性，並且減少數據包在傳遞過程中對內存空間的佔用。

基於以上採用單環形隊列的實現方案，本發明實施例還提供了檢測結果的讀取以及維護方案，具體如下：上述處理器1503，用於接收上述安全設備返回的上述數據包的檢測結果包括：從上述單隊列中讀取上述數據包的檢測結果；

上述處理器1503，還用於在將上述數據包發往上述數據包的目的端之後，將上述數據包從上述單隊列中刪除。

進一步地，基於以上實施例中檢測結果的讀取實現方案，本發明實施例還提供了數據包的維護方案，具體如下：上述處理器1503，還用於若從上述單隊列中讀取上述數據包的檢測結果為上述數據包為危險數據包，則刪除上述數據包。

所屬領域的技術人員可以清楚地了解到，為描述的方便和簡潔，上述描述的系統，裝置和單元的具體工作過程，可以參考前述方法實施例中的對應過程，在此不再贅述。

在本申請所提供的幾個實施例中，應該理解到，所揭露的系統，裝置和方法，可以通過其它的方式實現。例如，以上所描述的裝置實施例僅僅是示意性的，例如，上述單元的劃分，僅僅為一種邏輯功能劃分，實際實現時可以有另外的劃分方式，例如多個單元或組件可以結合或者可以集成到另一個系統，或一些特徵可以忽略，或不執行。另一點，所顯示或討論的相互之間的耦合或直接耦合或通信連接可以是通過一些接口，裝置或單元的間接耦合或通信連接，可以是電性，機械或其它的形式。

上述作為分離部件說明的單元可以是或者也可以不是物理上分開的，作為單元顯示的部件可以是或者也可以不是物理單元，即可以位於一個地方， 或者也可以分布到多個網絡單元上。可以根據實際的需要選擇其中的部分或者全部單元來實現本實施例方案的目的。

另外，在本發明各個實施例中的各功能單元可以集成在一個處理單元中，也可以是各個單元單獨物理存在，也可以兩個或兩個以上單元集成在一個單元中。上述集成的單元既可以採用硬體的形式實現，也可以採用軟體功能單元的形式實現。

上述集成的單元如果以軟體功能單元的形式實現並作為獨立的產品銷售或使用時，可以存儲在一個計算機可讀取存儲介質中。基於這樣的理解，本發明的技術方案本質上或者說對現有技術做出貢獻的部分或者該技術方案的全部或部分可以以軟體產品的形式體現出來，該計算機軟體產品存儲在一個存儲介質中，包括若干指令用以使得一臺計算機設備(可以是個人計算機，伺服器，或者網絡設備等)執行本發明各個實施例上述方法的全部或部分步驟。而前述的存儲介質包括：U盤、移動硬碟、只讀存儲器(ROM，Read-Only Memory)、隨機存取存儲器(RAM，Random Access Memory)、磁碟或者光碟等各種可以存儲程序代碼的介質。

以上上述，以上實施例僅用以說明本發明的技術方案，而非對其限制；儘管參照前述實施例對本發明進行了詳細的說明，本領域的普通技術人員應當理解：其依然可以對前述各實施例所記載的技術方案進行修改，或者對其中部分技術特徵進行等同替換；而這些修改或者替換，並不使相應技術方案的本質脫離本發明各實施例技術方案的精神和範圍。