CN112350939A - 旁路阻断方法、***、装置、计算机设备及存储介质 - Google Patents

Abstract

本申请关于一种旁路阻断方法、***、装置、计算机设备及存储介质，涉及网络技术领域。该方法包括：阻断交换机接收核心路由器通过BGP通道发送的目标流量，该目标流量是具有指定路由信息的业务流量；对目标流量进行镜像处理，获取目标流量的镜像流量；将目标流量通过BGP通道回注到核心路由器；通过BGP通道将镜像流量发送给防护阻断设备；接收防护阻断设备响应于目标流量为阻断流量时通过BGP通道发送的阻断包；通过BGP通道将阻断包转发给核心路由器，以对目标流量进行阻断。通过上述方法，使得在进行防护阻断时，防护阻断设备只需对部分流量进行阻断判断，从而减少了防护阻断设备的压力和性能消耗。

Description

旁路阻断方法、***、装置、计算机设备及存储介质

技术领域

本申请实施例涉及网络技术领域，特别涉及一种旁路阻断方法、***、装置、计算机设备及存储介质。

背景技术

随着计算机和网络应用技术的不断发展，网络安全保障至关重要，通常采用旁路阻断的方式防御网络攻击以及实现对非法网站的拦截。

在相关技术中，通过将核心路由器与防护阻断设备通过端口镜像直连，防护阻断设备通过对核心路由器中的业务流量的镜像流量进行阻断判断，确定其中的候选阻断流量并发送阻断包，实现对候选阻断流量的阻断。

然而，在上述方案中，核心路由器中的所有业务流量都需要被镜像并进行阻断判断，而核心路由器中的业务流量基数庞大，从而对防护阻断设备造成巨大压力和性能消耗。

发明内容

本申请实施例提供了一种旁路阻断方法、***、装置、计算机设备及存储介质，可以在进行防护阻断时，减少防护阻断设备的压力和性能消耗，该技术方案如下：

一方面，提供了一种旁路阻断方法，所述方法应用于阻断交换机中，所述阻断交换机设置在防护阻断设备与核心路由器之间，所述方法包括：

接收所述核心路由器发送的目标流量，所述目标流量是具有指定路由信息的业务流量；

对所述目标流量进行镜像处理，获取所述目标流量的镜像流量；

将所述目标流量回注到所述核心路由器；

将所述镜像流量发送给所述防护阻断设备；

接收所述防护阻断设备发送的阻断包；所述阻断包是所述防护阻断设备响应于所述镜像流量与阻断规则相匹配发送的；所述阻断规则是设置在所述防护阻断设备中，用于进行阻断判断的规则；

将所述阻断包转发给所述核心路由器，以对所述目标流量进行阻断。

另一方面，提供了一种旁路阻断方法，所述方法应用于防护阻断设备中，所述防护阻断设备与核心路由器之间设置有阻断交换机，所述方法包括：

接收所述阻断交换机发送的目标流量对应的镜像流量，所述目标流量是具有指定路由信息的业务流量；

响应于所述镜像流量与阻断规则相匹配，生成阻断包；

向所述阻断交换机发送所述阻断包，以对所述目标流量进行阻断。

另一方面，提供了一种旁路阻断***，所述***包括防护阻断设备、阻断交换机以及核心路由器；所述阻断交换设备设置在所述核心路由器与所述防护阻断设备之间；

所述防护阻断设备，用于向所述阻断交换机发布路由通告；所述阻断规则用于声明所述指定路由信息；

所述阻断交换机，用于将所述路由通告转发给所述核心路由器；

所述核心路由器，用于将具有所述指定路由信息的目标流量发送给所述阻断交换机；

所述阻断交换机，用于对所述目标流量进行镜像处理，获得镜像流量，将所述镜像流量发送给所述防护阻断设备，并将所述目标流量回注到所述核心路由器；

所述防护阻断设备，用于响应于所述镜像流量与阻断规则相匹配，向所述阻断交换机发送阻断包；

所述阻断交换机，用于将所述阻断包发送给所述核心路由器，以对所述目标流量进行阻断。

在一种可能的实现方式中，所述阻断交换机包括至少两个交换机；

所述核心路由器与所述至少两个交换机之间分别建立连接。

另一方面，提供了一种旁路阻断装置，所述装置应用于阻断交换机中，所述阻断交换机设置在防护阻断设备与核心路由器之间，所述装置包括：

目标流量接收模块，用于接收所述核心路由器发送的目标流量，所述目标流量是具有指定路由信息的业务流量；

镜像处理模块，用于对所述目标流量进行镜像处理，获取所述目标流量的镜像流量；

回注模块，用于将所述目标流量回注到所述核心路由器；

镜像流量发送模块，用于将所述镜像流量发送给所述防护阻断设备；

阻断包接收模块，用于接收所述防护阻断设备发送的阻断包；所述阻断包是所述防护阻断设备响应于所述镜像流量与阻断规则相匹配发送的；所述阻断规则是设置在所述防护阻断设备中，用于进行阻断判断的规则；

阻断包转发模块，用于将所述阻断包转发给所述核心路由器，以对所述目标流量进行阻断。

在一种可能的实现方式中，所述阻断交换机与所述核心路由器之间通过第一边界网关协议BGP通道相连，且所述阻断交换机与所述防护阻断设备之间通过第二BGP通道相连；

所述目标流量接收模块，用于通过所述第一BGP通道接收所述核心路由器发送的所述目标流量；

所述回注模块，用于通过所述第一BGP通道将所述目标流量回注到所述核心路由器；

所述镜像流量发送模块，用于通过所述第二BGP通道将所述镜像流量发送给所述防护阻断设备；

所述阻断包接收模块，用于接收所述防护阻断设备通过所述第二BGP通道发送的所述阻断包；

所述阻断包转发模块，用于通过所述第一BGP通道将所述阻断包转发给所述核心路由器。

在一种可能的实现方式中，在所述目标流量接收模块接收所述核心路由器发送的目标流量之前，所述装置还包括：

路由通告接收模块，用于接收所述防护阻断设备发送的路由通告，所述路由通告用于声明所述指定路由信息；

路由通告转发模块，用于将所述路由通告转发给所述核心路由器；

所述目标流量接收模块，用于接收所述核心路由器基于所述路由通告发送的所述目标流量。

在一种可能的实现方式中，所述阻断交换机中配置有分光镜；

所述镜像处理模块，用于通过所述分光镜对所述目标流量进行镜像处理，获取所述目标流量的所述镜像流量。

另一方面，提供一种旁路阻断装置，所述装置应用于防护阻断设备中，所述防护阻断设备与核心路由器之间设置有阻断交换机，所述装置包括：

镜像流量接收模块，用于接收所述阻断交换机发送的目标流量对应的镜像流量，所述目标流量是具有指定路由信息的业务流量；

阻断包生成模块，用于响应于所述镜像流量与阻断规则相匹配，生成阻断包；

阻断包发送模块，用于向所述阻断交换机发送所述阻断包，以对所述目标流量进行阻断。

在一种可能的实现方式中，所述防护阻断设备与所述阻断交换机之间通过第二BGP通道相连；

所述镜像流量接收模块，用于接收所述阻断交换机通过所述第二BGP通道发送的所述镜像流量；

所述阻断包发送模块，用于通过所述第二BGP通道向所述阻断交换机发送所述阻断包。

在一种可能的实现方式中，在所述镜像流量接收模块接收阻断交换机发送的目标流量对应的镜像流量之前，所述装置还包括：

阻断规则读取模块，用于读取阻断规则，所述阻断规则中包含所述指定路由信息；

路由通告发布模块，用于向所述阻断交换机发送用于声明所述指定路由信息的路由通告，以使得所述阻断交换机将所述路由通告转发给所述核心路由器，以触发所述核心路由器将所述指定路由信息对应的所述目标流量发送给所述阻断交换机。

在一种可能的实现方式中，所述指定路由信息包括第一指定路由信息与第二指定路由信息中的至少一种；所述第一指定路由信息用以指示业务流量对应的互联网协议IP地址为受保护的IP地址；所述第二指定路由信息用以指示业务流量对应的IP地址为违规的IP地址。

在一种可能的实现方式中，所述阻断规则包括第一阻断规则和第二阻断规则；在所述阻断包生成模块响应于所述镜像流量与阻断规则相匹配，生成阻断包之前，所述装置还包括：

传输层信息获取模块，用于获取所述镜像流量的所述传输层信息；

第一匹配模块，用于将所述传输层信息与第一阻断规则进行匹配；

第一确定模块，用于响应于所述传输层信息与所述第一阻断规则匹配，确定所述镜像流量与所述阻断规则相匹配；

应用层信息获取模块，用于响应于所述传输层信息与所述第一阻断规则不匹配，获取所述镜像流量的所述应用层信息；

第二匹配模块，用于将所述应用层信息与所述第二阻断规则进行匹配；

第二确定模块，用于响应于所述应用层信息与所述第二阻断规则匹配，确定所述镜像流量与所述阻断规则相匹配。

另一方面，提供了一种计算机设备，所述计算机设备包含处理器和存储器，所述存储器中存储有至少一条指令、至少一段程序、代码集或指令集，所述至少一条指令、所述至少一段程序、所述代码集或指令集由所述处理器加载并执行以实现如上所述各种可选实现方式中提供的旁路阻断方法。

另一方面，提供了一种计算机可读存储介质，所述存储介质中存储有至少一条指令、至少一段程序、代码集或指令集，所述至少一条指令、所述至少一段程序、所述代码集或指令集由处理器加载并执行以实现如上所述各种可选实现方式中提供的旁路阻断方法。

另一方面，提供了一种计算机程序产品或计算机程序，该计算机程序产品或计算机程序包括计算机指令，该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令，处理器执行该计算机指令，使得该计算机设备执行上述各种可选实现方式中提供的旁路阻断方法。

本申请提供的技术方案可以包括以下有益效果：

通过阻断交换机对接收到的核心路由器发送的目标流量进行镜像处理获得目标流量的镜像流量，该目标流量是具有指定路由信息的业务流量，并将镜像流量发送给防护阻断设备，以使其基于目标流量的镜像流量进行阻断判断，生成相应的阻断包，将防护阻断设备生成的阻断包转发给核心路由器，以对目标流量进行阻断，从而在进行防护阻断时，防护阻断设备只需对部分流量进行阻断判断，从而减少了防护阻断设备的压力和性能消耗，同时，由于阻断交换机在对目标流量进行镜像处理的同时，及时将目标流量回注到核心处理器中，使得在保证防护阻断进行的同时，保证了用户端与业务端业务流量的正常交互。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本申请。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本申请的实施例，并与说明书一起用于解释本申请的原理。

图1示出了本申请一示例性实施例示出的旁路阻断***的结构示意图；

图2示出了本申请一示例性实施例示出的旁路阻断方法的流程图；

图3示出了本申请一示例性实施例示出的旁路阻断方法的流程图；

图4示出了本申请一示例性实施例示出的旁路阻断方法的流程图；

图5示出了本申请一示例性实施例示出的旁路阻断方法的流程图；

图6示出了本申请一示例性实施例示出的旁路阻断***的结构示意图；

图7示出了本申请一示例性实施例提供的核心路由器与阻断交换机对应示意图；

图8示出了本申请一示例性实施例示出的旁路阻断***的框架图；

图9示出了本申请一示例性实施例示出的旁路阻断装置的方框图；

图10示出了本申请一示例性实施例示出的旁路阻断装置的方框图；

图11示出了本申请一示例性实施例示出的计算机设备的结构框图。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。

本申请实施例提出了一种旁路阻断方法，该方案主要应用于互联网出口，互联网接入点等能够查看流量的节点，可以在进行防护阻断时，减少防护阻断设备的压力和性能消耗。为了便于理解，下面对本申请涉及的名词进行解释。

1)云安全(Cloud Security)

云安全是指基于云计算商业模式应用的安全软件、硬件、用户、机构、安全云平台的总称。云安全融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念，通过网状的大量用户端对网络中软件行为的异常监测，获取互联网中木马、恶意程序的最新信息，并发送到服务端进行自动分析和处理，再把病毒和木马的解决方案分发到每一个用户端。

云安全主要研究方向包括：1、云计算安全，主要研究如何保障云自身及云上各种应用的安全，包括云计算机***安全、用户数据的安全存储与隔离、用户接入认证、信息传输安全、网络攻击防护、合规审计等；2、安全基础设施的云化，主要研究如何采用云计算新建与整合安全基础设施资源，优化安全防护机制，包括通过云计算技术构建超大规模安全事件、信息采集与处理平台，实现对海量信息的采集与关联分析，提升全网安全事件把控能力及风险控制能力；3、云安全服务，主要研究各种基于云计算平台为用户提供的安全服务，如防病毒服务等。

2)BGP(Border Gateway Protocol，边界网关协议)

BGP是一种实现自治***AS(Autonomous System)之间的路由可达，并选择最佳路由的距离矢量路由协议。

BGP能够实现路由优选、避免路由环路、更高效的传递路由和维护大量的路由信息。

3)旁路阻断技术

旁路阻断技术是采用旁路侦听的方式来获取互联网上的数据包，进行协议内容还原，分析识别还原内容中的非法信息，并进行相应的阻断的技术。可以在不影响互联网访问速度的情况下，实现对网络信息安全的维护和对非法网站的拦截。

4)交换机

交换机是一种用于电信号转发的网络设备，它可以为接入交换机的任意两个网络节点提供独享的电信号通路。

交换机的种类包括以太网交换机、电话语音交换机以及光纤交换机等。

5)路由器(Router)

路由器是连接因特网中各局域网、广域网的设备，它会根据信道的情况自动选择和设定路由，以最佳路径，按前后顺序发送信息。

当数据包进入路由器时，路由器首先对数据包解封装到数据链路层，查看目标MAC(Media Access Control Address，媒体存取控制位址)地址，若目标MAC地址不是路由器的MAC地址，则丢弃该数据包；若目标MAC地址是路由器的MAC地址，对数据包解封到网络层，查看目标IP地址，若目标IP地址为本地路由器，则继续解封，若目标IP地址为其他设备，则路由器查询本地的路由表(TCAM，Ternary Content Addressable Memory)，对该数据包进行转发。

请参考图1，其示出了本申请一示例性实施例示出的旁路阻断***的结构示意图，如图1所示，该旁路阻断***包括核心路由器110，阻断交换机120以及防护阻断设备130。

核心路由器110用于连接用户端与业务端，实现两者之间的业务流量传递，即用户端通过核心路由器向业务端发送业务流量，业务端根据接收到的业务流量，通过核心路由器向用户端发送业务出流量，实现用户端与业务端的业务往来。

阻断交换机120设置于核心路由器110与防护阻断设备130之间。

防护阻断设备130可以实现为服务器，配置有阻断规则，用于对接收到的流量进行阻断匹配，若匹配成功，则生成相应的阻断包，以对匹配成功的流量进行阻断。其中，该服务器可以是独立的物理服务器，也可以是多个物理服务器构成的服务器集群或者分布式***，还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、CDN(全Content Delivery Network，内容分发网络)、以及大数据和人工智能平台等基础云计算服务的云服务器。

在一种可能的实现方式中，防护阻断设备130外接有终端140，该终端140用于基于用户操作实现对防护阻断设备内阻断规则的配置，终端可以是智能手机、平板电脑、笔记本电脑、台式计算机、智能音箱、智能手表等，但并不局限于此。终端以及服务器可以通过有线或无线通信方式进行直接或间接地连接，本申请在此不做限制。

终端140以及防护阻断设备130通过通信网络相连。可选的，通信网络是有线网络或无线网络。

可选的，上述的无线网络或有线网络使用标准通信技术和/或协议。网络通常为因特网、但也可以是任何网络，包括但不限于局域网(Local Area Network，LAN)、城域网(Metropolitan Area Network，MAN)、广域网(Wide Area Network，WAN)、移动、有线或者无线网络、专用网络或者虚拟专用网络的任何组合)。在一些实施例中，使用包括超文本标记语言(Hyper Text Mark-up Language，HTML)、可扩展标记语言(Extensible MarkupLanguage，XML)等的技术和/或格式来代表通过网络交换的数据。此外还可以使用诸如安全套接字层(Secure Socket Layer，SSL)、传输层安全(Transport Layer Security，TLS)、虚拟专用网络(Virtual Private Network，VPN)、网际协议安全(Internet ProtocolSecurity，IPsec)等常规加密技术来加密所有或者一些链路。在另一些实施例中，还可以使用定制和/或专用数据通信技术取代或者补充上述数据通信技术。本申请在此不做限制。

在本申请实施例中，核心路由器110和阻断交换机120均属于网络转发设备，自带BGP路由管理功能，此外，在阻断交换机120与防护阻断设备130之间建立BGP通道，用于宣告路由和传输阻断包。

在一种可能的实现方式中，通过虚拟路由软件建立阻断交换机与防护阻断设备之间的BGP通道，比如，该虚拟路由软件为Quagga。

图2示出了本申请一示例性实施例示出的旁路阻断方法的流程图，该旁路阻断方法可以应用于图1所示的旁路阻断***中，由该***中的阻断交换机执行，该阻断交换机设置在防护阻断设备与核心路由器之间，如图2所示，该旁路阻断方法包括：

步骤210，接收核心路由器发送的目标流量，该目标流量是具有指定路由信息的业务流量。

路由信息主要包括业务信息的源IP地址，目的IP地址，子网掩码以及目标网段等信息，在本申请实施例中，主要考察业务流量的路由信息的目的IP地址，也就是说，获取路由信息中目的IP地址为指定IP地址的业务流量为目标流量。

在用户端与业务端的交互过程中存在大量的业务流量，但并非所有的业务流量均需要进行阻断判断，在本申请实施例中，获取用户端与业务端中具有指定路由信息的业务流量，即指定IP的业务流量为目标流量，基于目标流量进行阻断判断，从而减少了防护阻断设备的阻断判断压力。

在一种可能的实现方式中，指定IP的业务流量，包括：受保护的IP地址的业务流量以及违规的IP地址的业务流量中的至少一种。其中，受保护的IP地址是指该IP地址的指定端口存在被攻击者通过端口扫描或者暴力破解攻击的风险；违规的IP地址是指该IP地址对应的业务端为非法网站，即域名未备案，存在非法域名，以及URL(Uniform ResourceLocator，统一资源定位符)内容封禁等情况的网站。

步骤220，对目标流量进行镜像处理，获取目标流量的镜像流量。

步骤230，将目标流量回注到核心路由器。

在本申请实施例中，为保证在进行旁路检测的同时，用户端与业务端的信息交互不受影响，在阻断交换机完成对目标流量进行镜像处理的同时，阻断交换机将目标流量回注给核心路由器，以使得核心路由器能够对目标流量进行正常的后续操作。

步骤240，将镜像流量发送给防护阻断设备。

步骤250，接收防护阻断设备发送的阻断包；该阻断包是防护阻断设备响应于镜像流量与阻断规则相匹配发送的；该阻断规则是设置在防护阻断设备中，用于进行阻断判断的规则。

在一种可能的实现方式中，防护阻断设备中预设有阻断规则，该阻断规则是相关人员基于已发现的阻断流量的特征设置的相关规则，或者，该阻断规则也可以是用户基于实际需求自己设定的相关规则。防护阻断设备可以基于该阻断规则对目标流量进行阻断判断，当该镜像流量与该阻断规则相匹配时，确定该镜像流量对应的目标流量为阻断流量，需要进行相应的阻断操作，即生成相应的阻断包。

步骤260，将阻断包转发给核心路由器，以对目标流量进行阻断。

在一种可能的实现方式中，核心路由器优先将阻断包发送给用户端，由于防护阻断设备的设置位置更靠近于用户端，因此在发送阻断包时，优先将阻断包发送给用户端，阻断成功的概率较高；若发送给用户端的阻断包未成功对目标流量进行阻断，则继续向用户端和业务端同时发送阻断包，从而尽可能在用户端侧实现阻断，减少对业务端的压力。

综上所述，本申请实施例提供的旁路阻断方法，通过阻断交换机对接收到的核心路由器发送的目标流量进行镜像处理获得目标流量的镜像流量，该目标流量是具有指定路由信息的业务流量，并将镜像流量发送给防护阻断设备，以使其基于目标流量的镜像流量进行阻断判断，生成相应的阻断包，将防护阻断设备生成的阻断包转发给核心路由器，以对目标流量进行阻断，从而在进行防护阻断时，防护阻断设备只需对部分流量进行阻断判断，从而减少了防护阻断设备的压力和性能消耗，同时，由于阻断交换机在对目标流量进行镜像处理的同时，及时将目标流量回注到核心处理器中，使得在保证防护阻断进行的同时，保证了用户端与业务端业务流量的正常交互。

图3示出了本申请一示例性实施例示出的旁路阻断方法的流程图，该旁路阻断方法可以应用于图1所示的旁路阻断***中，由该***中的防护阻断设备执行，如图3所示，该旁路阻断方法包括：

步骤310，接收阻断交换机发送的目标流量对应的镜像流量，该目标流量是具有指定路由信息的业务流量。

在一种可能的实现方式中，防护阻断设备与阻断交换机之间通过第二BGP通道相连，上述步骤实现为：

接收阻断交换机通过第二BGP通道发送的镜像流量。

在一种可能的实现方式中，在接收阻断交换机发送的目标流量对应的镜像流量之前，防护阻断设备还用于：

读取阻断规则，该阻断规则中包含指定路由信息；

向阻断交换机发送用于声明指定路由信息的路由通告，以使得阻断交换机将路由通告转发给核心路由器，以触发核心路由器将指定路由信息对应的目标流量发送给阻断交换机。

在一种可能的实现方式中，防护阻断设备根据阻断规则，基于镜像流量进行阻断判断。

在一种可能的实现方式中，该阻断规则用于对镜像流量进行阻断判断，也就说，防护阻断设备根据该阻断规则，基于镜像流量进行阻断判断。

在一种可能的实现方式中，该指定路由信息包括第一指定路由信息与第二指定路由信息中的至少一种；该第一指定路由信息用以指示业务流量对应的互联网协议IP地址为受保护的IP地址；该第二指定路由信息用以指示业务流量对应的IP地址为违规的IP地址。

也就是说，在进行目标流量筛选时，将业务流量中具有第一指定路由信息或者具有第二指定路由信息的业务流量获取为目标流量。

与具有不同指定路由信息的业务流量相对应，阻断规则包括第一阻断规则和第二阻断规则；该第一阻断规则是基于传输层信息设置的阻断规则，该第二阻断规则是基于应用层信息设置的阻断规则。也就有说，第一阻断规则用于基于获取的业务流量的传输信息进行阻断判断，第二阻断规则用于基于获取的业务流量的应用层信息设置的阻断规则进行阻断判断。一般而言，由于具有第一路由信息的业务流量的访问对象是受保护的IP地址，因此在对第一路由信息进行阻断判断时，通常基于对其传输层解析所得的信息，比如端口号等，即可实现对其是否为阻断信息的判断；而对于具有第二路由信息的业务流量的访问对象是违规的IP地址，因此在对第二路由信息进行阻断判断时，通常无法只根据传输层解析所得的信息进行阻断判断，其需要对应用层的信息进行进一步解析，根据应用层的信息实现对其是否为阻断信息的判断；但在进行阻断判断时，具有第一路由信息的业务流量以及具有第二路由性的业务流量均需分别与第一阻断规则与第二阻断规则分别进行匹配。

在一种可能的实现方式中，基于具有第一路由信息的业务流量以及具有第二路由性的业务流量的与阻断规则之间的关系，防护阻断设备可以先将获得的镜像流量与第一阻断规则进行匹配，响应于镜像流量与第一阻断规则匹配失败，再镜像流量与第一阻断规则进行匹配，实现为：

获取镜像流量的传输层信息；

将传输层信息与第一阻断规则进行匹配；

响应于传输层信息与第一阻断规则匹配，确定镜像流量与阻断规则相匹配；

响应于传输层信息与第一阻断规则不匹配，获取镜像流量的应用层信息；

将应用层信息与第二阻断规则进行匹配；

响应于应用层信息与第二阻断规则匹配，确定镜像流量与阻断规则相匹配。

步骤320，响应于镜像流量与阻断规则相匹配，生成阻断包。

防护阻断设备优先将镜像流量与第一阻断规则进行匹配，若该镜像流量与第一阻断规则相匹配，确定该镜像流量为阻断流量，生成相应的阻断包；

响应于镜像流量与第一阻断规则不匹配，将该镜像流量与第二阻断规则进行匹配；

响应于镜像流量与第二阻断规则相匹配，确定镜像流量对应的目标流量为阻断流量，生产相应的阻断包。

通过上述方法，可以在镜像流量为具有第一路由信息的业务流量时，能够在与第一阻断规则进行匹配时，就获得阻断包，减少了后续不必要的二次解析判断步骤，从而减轻防护阻断设备的压力。

在一种可能的实现方式中，防护阻断设备中的阻断规则是预先配置好的，在使用时，响应于接收到指定的防护阻断指令，自动下发相应的阻断规则，比如接收地到云上用户通过终端控制台基于指定控件开启的防爆端口扫描，自动下发第一阻断规则(四层阻断规则)，从而将包含有第一阻断规则中规定的指定路由信息的业务流量牵引到防护阻断设备中；响应于合规检测***检测到网页包含非法内容或发现域名未备案时，自动向防护阻断设备下发第二阻断规则(七层阻断规则)，其中，合规检测***是独立于旁路阻断***之外的，用于检测业务侧，即网页是否违规的***，从而将包含有第二阻断规则中规定的指定路由信息的业务流量牵引到防护阻断设备中。

在一种可能的实现方式中，四层阻断规则与七层阻断规则采用不同的匹配算法，示意性的，四层阻断规则采用ACL(Access Control Lists，计算机网络安全)匹配规则；七层阻断规则采用散列表查找的匹配规则。

ACL匹配规则遵循一旦命中即停止匹配的原则，目标流量与ACL规则匹配时，会产生两种匹配结果，即“匹配”和“不匹配”：匹配，即命中规则，指存在ACL，且在ACL中查找到了符合匹配条件的规则，不论匹配的动作是“permit”还是“deny”都称为“匹配”；不匹配，即未命中规则，值不存在ACL，或ACL中无规则，或者在ACL中遍历了所有规则都没有找到符合匹配条件的规则。

散列表查找的匹配规则中的散列表是根据关键字进行访问的数据结构，散列表通过散列函数将关键字映射到存储地址，建立关键字和存储地址之间的一种直接映射关系。其中，散列函数，又称哈希函数，是将关键字映射到存储地址的函数，相当于一种映射规则。当经过七层协议解码后的镜像流量命中散列表中的预设阈值数量的关键字时，即确定该目标流量命中规则，即匹配；否则，则确定该镜像流量未命中规则，即不匹配。

步骤330，向阻断交换机发送阻断包，以对目标流量进行阻断。

在一种可能的实现方式中，防护阻断设备通过第二BGP通道向阻断交换机发送所述阻断包。

综上所述，本申请实施例提供的旁路阻断方法，防护阻断设备用过接收具有指定路由信息的目标流量的镜像流量，基于该镜像流量进行阻断判断，并通过BGP通道发送阻断包，从而实现对阻断流量的阻断，使得在进行防护阻断时，防护阻断设备只需对部分流量进行阻断判断，从而减少了防护阻断设备的压力和性能消耗。

为实现旁路阻断***中各个设备之间的信息交互时无需调用额外的外部资源，造成不必要的开销和损耗，在一种可能的实现方式中，旁路阻断***中各个设备之间设置有BGP通道。图4示出了本申请一示例性实施例示出的旁路阻断方法的流程图，该旁路阻断方法可以应用于图1所示的旁路阻断***中，由该***中的阻断交换机执行，该阻断交换机与核心路由器之间通过第一边界网关协议BGP通道相连，且阻断交换机与防护阻断设备之间通过第二BGP通道相连，如图4所示，该旁路阻断方法包括：

步骤410，接收防护阻断设备通过第二BGP通道发送的路由通告，该路由通告用于声明指定路由信息。

在本申请实施例中，BGP通道是一种数据传输通道，用于进行流量传输，路由发布以及阻断包发送等，基于BGP通道，防护阻断设备可以实现与阻断交换机的直接信息交互，与相关技术中防护阻断设备通过外网网卡发送阻断包时，需要通过其他路由发送到用户端和业务端相比，避免了由于发送阻断包的链路路径与原始业务流量的传输路径存在差异，而造成的对阻断成功率的影响，从而提高了阻断成功率，节省了由于引入外网网卡造成的成本。

在一种可能的实现方式中，该路由通告是防护阻断设备基于阻断规则生成的，该阻断规则中包含指定路由信息。

步骤420，将路由通告通过第一BGP通道转发给核心路由器。

步骤430，通过第一BGP通道接收核心路由器发送的目标流量。

在一种可能的实现方式中，该目标流量是核心路由器基于路由通告发送的。该路由通告用以指示核心路由器将目标流量发送给阻断交换机，也就是说，当核心路由器接收到该路由通告后，基于路由通告中声明的指定路由信息，将具有该指定路由信息目标消息牵引到阻断交换机中。

步骤440，对目标流量进行镜像处理，获取目标流量的镜像流量。

在一种可能的实现方式中，阻断交换机中配置有分光镜；

上述步骤可以实现为，通过分光镜对目标流量进行镜像处理，获取目标流量的镜像流量。

步骤450，通过第一BGP通道将目标流量回注到核心路由器。

在一种可能的实现方式中，步骤440与步骤450是同时进行的，即在对目标流量进行镜像处理的同时，将目标流量回注到核心路由器中。

步骤460，通过第二BGP通道将镜像流量发送给防护阻断设备，以使得防护阻断设备基于镜像流量进行阻断判断。

其中，防护阻断设备基于镜像流量进行阻断判断的过程请参考图3所示实施例中的相关内容，此处不再赘述。

步骤470，接收防护阻断设备通过第二BGP通道发送的阻断包。

步骤480，通过第一BGP通道将阻断包转发给核心路由器。

在一种可能的实现方式中，阻断交换机起镜像复制和信息传递的作用，在防护阻断设备生成阻断包之后，并不直接通过外网网卡将阻断包直接发送给业务端或者用户端，而是通过与阻断交换机之间建立的BGP通道，将阻断包发送给阻断交换机，再由阻断交换机转发给核心路由器，从而使得核心路由器能够基于阻断包的包内容发往用户端和/或业务侧，从而实现阻断。

在一种可能的实现方式中，阻断包是建立在TCP(Transmission ControlProtocol，传输控制协议)的三次握手以及TCP的数据传输原理上的，在TCP握手阶段，生成的阻断包发往用户端，以破坏连接的建立，从而实现阻断；

若因为网络延迟或者丢包等非可控因素导致握手阶段发送的阻断包未成功阻断，则根据后续的目标流量构造对用户端和业务端的数据包，同时发往用户端和业务端，以提高阻断成功率。

在一种可能的实现方式中，该阻断包的包内容包括重置(RESRT)报文，用于指示接收到该重置报文的设备对TCP链路进行复位。

综上所述，本申请实施例提供的旁路阻断方法，通过阻断交换机对接收到的核心路由器发送的目标流量进行镜像处理获得目标流量的镜像流量，该目标流量是具有指定路由信息的业务流量，并将镜像流量发送给防护阻断设备，以使其基于目标流量的镜像流量进行阻断判断，生成相应的阻断包，将防护阻断设备生成的阻断包转发给核心路由器，以对目标流量进行阻断，从而在进行防护阻断时，防护阻断设备只需对部分流量进行阻断判断，从而减少了防护阻断设备的压力和性能消耗，同时，由于阻断交换机在对目标流量进行镜像处理的同时，及时将目标流量回注到核心处理器中，使得在保证防护阻断进行的同时，保证了用户端与业务端业务流量的正常交互。

图5示出了本申请一示例性实施例示出的旁路阻断方法的流程图，该旁路阻断方法可以应用于图1所示的旁路阻断***中，由该***中的防护阻断设备、阻断交换机以及核心路由器交互执行，阻断交换设备设置在核心路由器与防护阻断设备之间；该阻断交换机与核心路由器以及防护阻断设备之间通过BGP通道相连；如图5所示，该旁路阻断方法包括：

步骤501，防护阻断设备读取阻断规则，该阻断规则中包含指定路由信息。

步骤502，防护阻断设备通过第二BGP通道向阻断交换机发送用于声明指定路由信息的路由通告，相应的，阻断交换机接收到该路由通告。

步骤503，阻断交换机将该路由通告通过第一BGP通道转发给核心路由器，相应的，核心路由器接收阻断交换机转发的路由通告。

步骤504，核心路由器通过第一BGP通道基于该路由通告向阻断交换机发送目标流量，相应的，阻断交换机接收核心路由器基于路由通告发送的目标流量。

核心路由器在接收到包含有指定路由信息的业务流量时，确定该业务流量为目标流量，并将该目标流量发送给阻断交换机。

步骤505，阻断交换机对目标流量进行镜像，以获得该目标流量的镜像流量。

步骤506，阻断交换机将目标流量通过第一BGP通道回注到核心路由器。

步骤507，阻断交换机通过第二BGP通道将该镜像流量发送给防护阻断设备，相应的，防护阻断设备接收到镜像流量。

步骤508，防护阻断设备响应于镜像流量与阻断规则相匹配，生成阻断包。

步骤509，防护阻断设备通过第二BGP通道向阻断交换机发送阻断包，相应的，阻断交换机接收阻断包。

步骤510，阻断交换机通过第一BGP通道将该阻断包发送给核心路由器，相应的，核心路由器接收该阻断包。

步骤511，核心路由器基于阻断包对目标流量进行阻断。

在一种可能的实现方式中，响应于用户端与业务端之间的连接尚未建立，核心路由器向用户端发送阻断包，以对目标流量进行阻断；

响应于用户端与业务端之间的连接已建立，该核心路由器向用户端和业务端同时发送阻断包，以对目标流量进行阻断。

综上所述，本申请实施例提供的旁路阻断***，通过阻断交换机对接收到的核心路由器发送的目标流量进行镜像处理获得目标流量的镜像流量，该目标流量是具有指定路由信息的业务流量，并将镜像流量发送给防护阻断设备，以使其基于目标流量的镜像流量进行阻断判断，生成相应的阻断包，将防护阻断设备生成的阻断包转发给核心路由器，以对目标流量进行阻断，从而在进行防护阻断时，防护阻断设备只需对部分流量进行阻断判断，从而减少了防护阻断设备的压力和性能消耗，同时，由于阻断交换机在对目标流量进行镜像处理的同时，及时将目标流量回注到核心处理器中，使得在保证防护阻断进行的同时，保证了用户端与业务端业务流量的正常交互。

请参考图6，其示出了本申请一示例性实施例示出的旁路阻断***的结构示意图，如图6所示，该旁路阻断***包括核心路由器610，阻断交换机620以及防护阻断设备630，阻断交换机620设置在核心路由器610与防护阻断设备630之间。

其中，该防护阻断设备，用于向阻断交换机发布路由通告；该阻断规则用于声明指定路由信息；

该阻断交换机，用于将路由通告转发给核心路由器；

该核心路由器，用于将具有指定路由信息的目标流量发送给阻断交换机；

该阻断交换机，用于对目标流量进行镜像处理，获得镜像流量，将镜像流量发送给防护阻断设备，并将目标流量回注到核心路由器；

防护阻断设备，用于响应于镜像流量与阻断规则相匹配，向阻断交换机发送阻断包；

阻断交换机，用于将阻断包发送给核心路由器，以对目标流量进行阻断。

以一个完整的旁路阻断过程为例，其中，核心路由器610与阻断交换机620之间建立有第一BGP通道，阻断交换机620与防护阻断设备630之间建立有第二BGP通道，阻断交换机620中包含镜像单元621以及回注单元622。

该旁路阻断过程可以分为路由通告发送过程和目标流量检测过程：

在路由通告发送过程中，防护阻断设备630通过接收并读取终端640发送的包含指定路由信息的阻断规则，生成路由通告，并将该路由通告通过第二BGP通道发送给阻断交换机620；阻断交换机620在接收到该路由通告后，将该路由通告通过第一BGP通道转发给核心路由器610。

在目标流量检测过程中，核心路由器610基于接收到的路由通告从业务流量中筛选出目标流量，并将该目标流量通过第一BGP通道发送给阻断交换机620，阻交换机620中的镜像单元621对接收到的目标流量进行镜像复制，同时，阻断交换机620中的回注单元622将迁移到阻断交换机620中的目标流量通过第一BGP通道回注给核心路由器610；阻断交换机620在镜像单元621镜像完成后，将获得的目标流量的镜像流量通过第二BGP通道发送给防护阻断设备630，防护阻断设备630基于阻断规则对该镜像流量进行阻断判断，响应于该镜像流量与阻断规则不匹配，则忽略该镜像流量，不做处理；响应于该镜像流量与阻断规则相匹配，则表明该镜像流量对应的目标流量为阻断流量，防护阻断***630基于该镜像流量生成相应的阻断包，并将该阻断包通过第二BGP通道发送给阻断交换机620，再由阻断交换机620通过第一BGP通道将该阻断包转发给核心路由器，由核心路由器610根据用户端与业务端之间TCP连接的阶段，将阻断包发送给用户端和/或业务端，以实现对该目标流量的阻断。

在一种可能的实现方式中，对于检测完成的目标流量的镜像流量进行删除，以减少镜像流量对防护阻断***存储空间的占用。

为保证核心处理器对阻断交换机的高可用，在一种可能的实现方式中，阻断交换机包括至少两个交换机，核心路由器与至少两个交换机之间分别建立连接。请参考图7，其示出了本申请一示例性实施例提供的核心路由器与阻断交换机对应示意图，如图7所示，以一台核心处理器对应两台阻断交换机为例，核心路由器711分别与阻断交换机721与阻断交换机722相连，核心路由器710中的流量可以发送到阻断交换机721中进行镜像处理后，由阻断交换机721对应的防护阻断设备731进行阻断判断，或者，也可以发送到阻断交换机722中进行镜像处理后，由阻断交换机722对应的防护阻断设备732进行阻断判断。

在一种可能的情况下，在防护阻断设备发布BGP牵引路由通告之后，当核心路由器接收到来自多台阻断交换机的IP牵引路由通告时，会基于五元组(源IP地址，源端口，目的IP地址，目的端口和传输层协议)将目标流量均匀负载到阻断交换机上，同一目标流量在一次发送过程中只发送到一台阻断交换机上。

在一种可能的实现方式中，在核心路由器进行目标流量均匀负载时，会遍历多台阻断交换机，选取其中业务流量负载最小的一台作为目标阻断交换机，将目标流量发送给目标阻断交换机。

在一种可能的实现方式中，响应于多台阻断交换机中的一台阻断交换机(第一阻断交换机)宕机，其建立的BGP通道会随之终端，此时核心路由器会自动将原本分配到第一阻断交换机上的目标流量牵引到正常运行的阻断交换机上，从而实现阻断交换机对核心路由器的高可用。

在一种可能的实现方式中，在阻断交换机之后，除了连接防护阻断设备之外，还可以同时挂载其他种类的设备，图8示出了本申请一示例性实施例示出的旁路阻断***的框架图，以阻断交换机之后在挂载防护阻断设备的同时，还挂载有合规检测设备为例，如图8所示，该合规检测设备810用于对基于预设的阻断规则迁移所得的目标流量进行合规检测，以进一步确定目标流量中阻断流量共同特性，比如更加准确的路由信息特性，并将检测所得的信息反馈给防护阻断设备820，以使得防护阻断设备根据接收到的反馈信息对其中配置的阻断规则进行完善。

图9示出了本申请一示例性实施例示出的旁路阻断装置的方框图，该旁路阻断装置可以应用于图1所示的旁路阻断***中的阻断交换机中，该阻断交换机设置在防护阻断设备于核心路由器之间，如图9所示，该旁路阻断装置包括：

目标流量接收模块910，用于接收核心路由器发送的目标流量，该目标流量是具有指定路由信息的业务流量；

镜像处理模块920，用于对目标流量进行镜像处理，获取目标流量的镜像流量；

回注模块930，用于将目标流量回注到核心路由器；

镜像流量发送模块940，用于将镜像流量发送给防护阻断设备；

阻断包接收模块950，用于接收防护阻断设备发送的阻断包；该阻断包是防护阻断设备响应于镜像流量与阻断规则相匹配发送的；该阻断规则是设置在防护阻断设备中，用于进行阻断判断的规则；

阻断包转发模块960，用于将阻断包转发给核心路由器，以对目标流量进行阻断。

在一种可能的实现方式中，该阻断交换机与核心路由器之间通过第一边界网关协议BGP通道相连，且阻断交换机与防护阻断设备之间通过第二BGP通道相连；

目标流量接收模块910，用于通过第一BGP通道接收核心路由器发送的目标流量；

回注模块930，用于通过第一BGP通道将目标流量回注到核心路由器；

镜像流量发送模块940，用于通过第二BGP通道将镜像流量发送给防护阻断设备；

阻断包接收模块950，用于接收防护阻断设备通过第二BGP通道发送的阻断包；

阻断包转发模块960，用于通过第一BGP通道将阻断包转发给核心路由器。

在一种可能的实现方式中，在目标流量接收模块接收核心路由器发送的目标流量之前，该装置还包括：

路由通告接收模块，用于接收防护阻断设备发送的路由通告，该路由通告用于声明指定路由信息；

路由通告转发模块，用于将路由通告转发给核心路由器；

该目标流量接收模块910，用于接收核心路由器基于路由通告发送的目标流量。

在一种可能的实现方式中，该阻断交换机中配置有分光镜；

该镜像处理模块920，用于通过分光镜对目标流量进行镜像处理，获取目标流量的镜像流量。

综上所述，本申请实施例提供的旁路阻断装置，应用在阻断交换机中，通过阻断交换机对接收到的核心路由器发送的目标流量进行镜像处理获得目标流量的镜像流量，该目标流量是具有指定路由信息的业务流量，并将镜像流量发送给防护阻断设备，以使其基于目标流量的镜像流量进行阻断判断，生成相应的阻断包，将防护阻断设备生成的阻断包转发给核心路由器，以对目标流量进行阻断，从而在进行防护阻断时，防护阻断设备只需对部分流量进行阻断判断，从而减少了防护阻断设备的压力和性能消耗，同时，由于阻断交换机在对目标流量进行镜像处理的同时，及时将目标流量回注到核心处理器中，使得在保证防护阻断进行的同时，保证了用户端与业务端业务流量的正常交互。

图10示出了本申请一示例性实施例示出的旁路阻断装置的方框图，该旁路阻断方法可以应用于图1所示的旁路阻断***的防护阻断设备中，该防护阻断设备与核心路由器之间设置有阻断交换机，如图10所示，该旁路阻断方法包括：

镜像流量接收模块1010，用于接收阻断交换机发送的目标流量对应的镜像流量，该目标流量是具有指定路由信息的业务流量；

阻断包生成模块1020，用于响应于镜像流量与阻断规则相匹配，生成阻断包；

阻断包发送模块1030，用于向阻断交换机发送阻断包，以对目标流量进行阻断。

在一种可能的实现方式中，该防护阻断设备与阻断交换机之间通过第二BGP通道相连；

镜像流量接收模块1010，用于接收阻断交换机通过第二BGP通道发送的镜像流量；

阻断包发送模块1030，用于通过第二BGP通道向阻断交换机发送阻断包。

在一种可能的实现方式中，在镜像流量接收模块接收阻断交换机发送的目标流量对应的镜像流量之前，该装置还包括：

阻断规则读取模块，用于读取阻断规则，该阻断规则中包含指定路由信息；

路由通告发布模块，用于向阻断交换机发送用于声明指定路由信息的路由通告，以使得阻断交换机将路由通告转发给核心路由器，以触发核心路由器将指定路由信息对应的目标流量发送给阻断交换机。

在一种可能的实现方式中，该指定路由信息包括第一指定路由信息与第二指定路由信息中的至少一种；该第一指定路由信息用以指示业务流量对应的互联网协议IP地址为受保护的IP地址；该第二指定路由信息用以指示业务流量对应的IP地址为违规的IP地址。

在一种可能的实现方式中，该阻断规则包括第一阻断规则和第二阻断规则；在阻断包生成模块响应于镜像流量与阻断规则相匹配，生成阻断包之前，该装置还包括：

传输层信息获取模块，用于获取镜像流量的传输层信息；

第一匹配模块，用于将传输层信息与第一阻断规则进行匹配；

第一确定模块，用于响应于传输层信息与第一阻断规则匹配，确定镜像流量与阻断规则相匹配；

应用层信息获取模块，用于响应于传输层信息与第一阻断规则不匹配，获取镜像流量的应用层信息；

第二匹配模块，用于将应用层信息与第二阻断规则进行匹配；

第二确定模块，用于响应于应用层信息与第二阻断规则匹配，确定镜像流量与阻断规则相匹配。

综上所述，本申请实施例提供的旁路阻断装置，应用于防护阻断设备中，防护阻断设备通过接收具有指定路由信息的目标流量的镜像流量，基于该镜像流量进行阻断判断，并通过BGP通道发送阻断包，从而实现对阻断流量的阻断，使得在进行防护阻断时，防护阻断设备只需对部分流量进行阻断判断，从而减少了防护阻断设备的压力和性能消耗。

图11示出了本申请一示例性实施例示出的计算机设备1100的结构框图。该计算机设备可以实现为本申请上述方案中的防护阻断设备。所述计算机设备1100包括中央处理单元(Central Processing Unit，CPU)1101、包括随机存取存储器(Random Access Memory，RAM)1102和只读存储器(Read-Only Memory，ROM)1103的***存储器1104，以及连接***存储器1104和中央处理单元1101的***总线1105。所述计算机设备1100还包括帮助计算机内的各个器件之间传输信息的基本输入/输出***(Input/Output***，I/O***)1106，和用于存储操作***1113、应用程序1114和其他程序模块1115的大容量存储设备1107。

所述基本输入/输出***1106包括有用于显示信息的显示器1108和用于用户输入信息的诸如鼠标、键盘之类的输入设备1109。其中所述显示器1108和输入设备1109都通过连接到***总线1105的输入输出控制器1110连接到中央处理单元1101。所述基本输入/输出***1106还可以包括输入输出控制器1110以用于接收和处理来自键盘、鼠标、或电子触控笔等多个其他设备的输入。类似地，输入输出控制器1110还提供输出到显示屏、打印机或其他类型的输出设备。

所述大容量存储设备1107通过连接到***总线1105的大容量存储控制器(未示出)连接到中央处理单元1101。所述大容量存储设备1107及其相关联的计算机可读介质为计算机设备1100提供非易失性存储。也就是说，所述大容量存储设备1107可以包括诸如硬盘或者只读光盘(Compact Disc Read-Only Memory，CD-ROM)驱动器之类的计算机可读介质(未示出)。

不失一般性，所述计算机可读介质可以包括计算机存储介质和通信介质。计算机存储介质包括以用于存储诸如计算机可读指令、数据结构、程序模块或其他数据等信息的任何方法或技术实现的易失性和非易失性、可移动和不可移动介质。计算机存储介质包括RAM、ROM、可擦除可编程只读寄存器(Erasable Programmable Read Only Memory，EPROM)、电子抹除式可复写只读存储器(Electrically-Erasable Programmable Read-OnlyMemory，EEPROM)闪存或其他固态存储其技术，CD-ROM、数字多功能光盘(DigitalVersatile Disc，DVD)或其他光学存储、磁带盒、磁带、磁盘存储或其他磁性存储设备。当然，本领域技术人员可知所述计算机存储介质不局限于上述几种。上述的***存储器1104和大容量存储设备1107可以统称为存储器。

根据本公开的各种实施例，所述计算机设备1100还可以通过诸如因特网等网络连接到网络上的远程计算机运行。也即计算机设备1100可以通过连接在所述***总线1105上的网络接口单元1111连接到网络1112，或者说，也可以使用网络接口单元1111来连接到其他类型的网络或远程计算机***(未示出)。

所述存储器还包括至少一条指令、至少一段程序、代码集或指令集，所述至少一条指令、至少一段程序、代码集或指令集存储于存储器中，中央处理器1101通过执行该至少一条指令、至少一段程序、代码集或指令集来实现上述各个实施例所示的旁路阻断方法中的全部或者部分步骤。

在一示例性实施例中，还提供了一种包括指令的非临时性计算机可读存储介质，例如包括至少一条指令、至少一段程序、代码集或指令集的存储器，上述至少一条指令、至少一段程序、代码集或指令集可由处理器执行以完成上述图2图3、图4或图5任一实施例所示的方法的全部或者部分步骤。例如，非临时性计算机可读存储介质可以是ROM、RAM、CD-ROM、磁带、软盘和光数据存储设备等。

在一示例性实施例中，还提供了一种计算机程序产品或计算机程序，该计算机程序产品或计算机程序包括计算机指令，该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令，处理器执行该计算机指令，使得该计算机设备执行上述图2图3、图4或图5任一实施例所示方法的全部或部分步骤。

本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本申请的其他实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本申请的真正范围和精神由下面的权利要求指出。

应当理解的是，本申请并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本申请的范围仅由所附的权利要求来限制。

Claims (15)

1.一种旁路阻断方法，其特征在于，所述方法应用于阻断交换机中，所述阻断交换机设置在防护阻断设备与核心路由器之间，所述方法包括：

接收所述核心路由器发送的目标流量，所述目标流量是具有指定路由信息的业务流量；

对所述目标流量进行镜像处理，获取所述目标流量的镜像流量；

将所述目标流量回注到所述核心路由器；

将所述镜像流量发送给所述防护阻断设备；

接收所述防护阻断设备发送的阻断包；所述阻断包是所述防护阻断设备响应于所述镜像流量与阻断规则相匹配发送的；所述阻断规则是设置在所述防护阻断设备中，用于进行阻断判断的规则；

将所述阻断包转发给所述核心路由器，以对所述目标流量进行阻断。

2.根据权利要求1所述的方法，其特征在于，所述阻断交换机与所述核心路由器之间通过第一边界网关协议BGP通道相连，且所述阻断交换机与所述防护阻断设备之间通过第二BGP通道相连；

所述接收所述核心路由器发送的目标流量，包括：

通过所述第一BGP通道接收所述核心路由器发送的所述目标流量；

所述将所述目标流量回注到所述核心路由器，包括：

通过所述第一BGP通道将所述目标流量回注到所述核心路由器；

所述将所述镜像流量发送给所述防护阻断设备，包括：

通过所述第二BGP通道将所述镜像流量发送给所述防护阻断设备；

所述接收所述防护阻断设备发送的阻断包，包括：

接收所述防护阻断设备通过所述第二BGP通道发送的所述阻断包；

所述将所述阻断包转发给所述核心路由器，包括：

通过所述第一BGP通道将所述阻断包转发给所述核心路由器。

3.根据权利要求1所述的方法，其特征在于，所述接收所述核心路由器发送的目标流量之前，所述方法还包括：

接收所述防护阻断设备发送的路由通告，所述路由通告用于声明所述指定路由信息；

将所述路由通告转发给所述核心路由器；

所述接收所述核心路由器发送的目标流量，包括：

接收所述核心路由器基于所述路由通告发送的所述目标流量。

4.根据权利要求1所述的方法，其特征在于，所述阻断交换机中配置有分光镜；

所述对所述目标流量进行镜像处理，获取所述目标流量的镜像流量，包括：

通过所述分光镜对所述目标流量进行镜像处理，获取所述目标流量的所述镜像流量。

5.一种旁路阻断方法，其特征在于，所述方法应用于防护阻断设备中，所述防护阻断设备与核心路由器之间设置有阻断交换机，所述方法包括：

接收所述阻断交换机发送的目标流量对应的镜像流量，所述目标流量是具有指定路由信息的业务流量；

响应于所述镜像流量与阻断规则相匹配，生成阻断包；

向所述阻断交换机发送所述阻断包，以对所述目标流量进行阻断。

6.根据权利要求5所述的方法，其特征在于，所述防护阻断设备与所述阻断交换机之间通过第二BGP通道相连；

所述接收所述阻断交换机发送的目标流量对应的镜像流量，包括：

接收所述阻断交换机通过所述第二BGP通道发送的所述镜像流量；

所述向所述阻断交换机发送所述阻断包，包括：

通过所述第二BGP通道向所述阻断交换机发送所述阻断包。

7.根据权利要求5所述的方法，其特征在于，所述接收阻断交换机发送的目标流量对应的镜像流量之前，还包括：

读取阻断规则，所述阻断规则中包含所述指定路由信息；

向所述阻断交换机发送用于声明所述指定路由信息的路由通告，以使得所述阻断交换机将所述路由通告转发给所述核心路由器，以触发所述核心路由器将所述指定路由信息对应的所述目标流量发送给所述阻断交换机。

8.根据权利要求5所述的方法，其特征在于，所述指定路由信息包括第一指定路由信息与第二指定路由信息中的至少一种；所述第一指定路由信息用以指示业务流量对应的互联网协议IP地址为受保护的IP地址；所述第二指定路由信息用以指示业务流量对应的IP地址为违规的IP地址。

9.根据权利要求5所述的方法，其特征在于，所述阻断规则包括第一阻断规则和第二阻断规则；所述响应于所述镜像流量与阻断规则相匹配，生成阻断包之前，还包括：

获取所述镜像流量的传输层信息；

将所述传输层信息与第一阻断规则进行匹配；

响应于所述传输层信息与所述第一阻断规则匹配，确定所述镜像流量与所述阻断规则相匹配；

响应于所述传输层信息与所述第一阻断规则不匹配，获取所述镜像流量的应用层信息；

将所述应用层信息与所述第二阻断规则进行匹配；

响应于所述应用层信息与所述第二阻断规则匹配，确定所述镜像流量与所述阻断规则相匹配。

10.一种旁路阻断***，其特征在于，所述***包括防护阻断设备、阻断交换机以及核心路由器；所述阻断交换设备设置在所述核心路由器与所述防护阻断设备之间；

所述防护阻断设备，用于向所述阻断交换机发布路由通告；所述阻断规则用于声明所述指定路由信息；

所述阻断交换机，用于将所述路由通告转发给所述核心路由器；

所述核心路由器，用于将具有所述指定路由信息的目标流量发送给所述阻断交换机；

所述阻断交换机，用于对所述目标流量进行镜像处理，获得镜像流量，将所述镜像流量发送给所述防护阻断设备，并将所述目标流量回注到所述核心路由器；

所述防护阻断设备，用于响应于所述镜像流量与阻断规则相匹配，向所述阻断交换机发送阻断包；

所述阻断交换机，用于将所述阻断包发送给所述核心路由器，以对所述目标流量进行阻断。

11.根据权利要求10所述的***，其特征在于，所述阻断交换机包括至少两个交换机；

所述核心路由器与所述至少两个交换机之间分别建立连接。

12.一种旁路阻断装置，其特征在于，所述装置应用于阻断交换机中，所述阻断交换机设置在防护阻断设备与核心路由器之间，所述装置包括：

目标流量接收模块，用于接收所述核心路由器发送的目标流量，所述目标流量是具有指定路由信息的业务流量；

镜像处理模块，用于对所述目标流量进行镜像处理，获取所述目标流量的镜像流量；

回注模块，用于将所述目标流量回注到所述核心路由器；

镜像流量发送模块，用于将所述镜像流量发送给所述防护阻断设备；

阻断包接收模块，用于接收所述防护阻断设备发送的阻断包；所述阻断包是所述防护阻断设备响应于所述镜像流量与阻断规则相匹配发送的；所述阻断规则是设置在所述防护阻断设备中，用于进行阻断判断的规则；

阻断包转发模块，用于将所述阻断包转发给所述核心路由器，以对所述目标流量进行阻断。

13.一种旁路阻断装置，其特征在于，所述装置应用于防护阻断设备中，所述防护阻断设备与核心路由器之间设置有阻断交换机，所述装置包括：

镜像流量接收模块，用于接收所述阻断交换机发送的目标流量对应的镜像流量，所述目标流量是具有指定路由信息的业务流量；

阻断包生成模块，用于响应于所述镜像流量与阻断规则相匹配，生成阻断包；

阻断包发送模块，用于向所述阻断交换机发送所述阻断包，以对所述目标流量进行阻断。

14.一种计算机设备，其特征在于，所述计算机设备包含处理器和存储器，所述存储器中存储有至少一条指令、至少一段程序、代码集或指令集；所述至少一条指令、所述至少一段程序、所述代码集或指令集由所述处理器加载并执行以实现如权利要求1至9任一所述的旁路阻断方法。

15.一种计算机可读存储介质，其特征在于，所述存储介质中存储有至少一条指令、至少一段程序、代码集或指令集；所述至少一条指令、所述至少一段程序、所述代码集或指令集由处理器加载并执行以实现如权利要求1至9任一所述的旁路阻断方法。

Images