网络防护方法、设备、电子设备和计算机可读存储介质与流程

本发明涉及网络通信领域，具体而言，涉及一种网络防护方法、设备、电子设备和计算机可读存储介质。

背景技术：

1、多租户技术是一种软件架构技术，是实现如何在多租户环境下共用相同的系统或程序组件，并且可确保各租户间数据的隔离性。多租户是一种架构，目的是为了让多租户环境下使用同一套程序，且保证租户间数据隔离。多租户的重点就是同一套程序下实现多租户数据的隔离。其中被隔离的每个共享底层资源和技术栈的业务单元即为租户。租户间通过隔离机制为每个租户划分出不同的空间，使每个租户看似拥有各自独立的账户和应用实例。多租户将云服务所提供的业务与基础设施、应用平台和业务应用实例的部署和管理解耦，支持资源的按需配备，统一部署实例并进行中心化的管理，提升了资源利用率，发挥云的规模效应优势。此外，多租户架构还可以降低云服务的维护成本，云服务提供者可以采取复杂但有效的架构为租户提供服务，在同时为多个租户提供服务时，由于采用了同样的部署架构，云服务提供者只需对同一套技术栈进行维护，因而降低了总体运维的成本，同时也为租户提供了更好的服务。

2、由于云服务平台中的各个租户之间相互隔离，每个租户发送和接收的数据包同样可以采取不同的数据安全防护策略。然而现有技术中云服务平台的防火墙在确定数据包的安全防护策略时，要么严重依赖于云平台的租户标识策略，导致租户之间难以进行跨平台的数据交互，要么需要对数据包进行严格的数据加密，在防护策略获取过程中需要进行多次的数据解析、解密等操作，导致数据包处理效率降低。

技术实现思路

1、本发明的目的在于提供一种网络防护方法、设备、电子设备和计算机可读存储介质，能够实现租户之间的跨平台数据交互的同时，提升数据包的处理效率。

2、第一方面，本发明提供一种网络防护方法，包括：接收目标报文，获取所述目标报文中所包含的mac地址作为目标mac地址；根据所述目标mac地址确定目标租户标识，所述目标租户标识为发送或接收所述目标报文的租户标识；根据所述目标租户标识确定目标防护策略，根据所述目标防护策略进行网络防护。

3、本申请实施例所提供的网络防护方法中，直接获取目标报文中所包含的mac地址，由于每个租户的mac地址具有唯一性，目标报文所包含的mac地址所指向的租户也具备唯一性，根据目标报文所包含的mac地址确定接收或者发送目标报文的租户不会受平台的影响，确定收发目标报文的租户后即可根据目标租户标识确定租户的目标防护策略，最后根据目标防护策略进行网络防护，由于整个过程中无需对目标报文进行额外的加密和解密等操作和数据添加，因此对目标报文的处理效率也较高，同时由于每个租户的mac地址的唯一性，对目标报文的处理过程也不会受租户的平台的影响。

4、在可选的实施方式中，所述根据所述目标mac地址确定目标租户标识前，所述网络防护方法还包括：获取第一映射数据集，所述第一映射数据集包括若干租户mac地址和若干租户标识，每个所述租户mac地址与唯一的所述租户标识相映射；所述根据所述目标mac地址确定目标租户标识，包括：将所述目标mac地址与所述第一映射数据集中所述若干租户mac地址一一对比，若所述若干租户mac地址中存在与所述目标mac地址相同的租户mac地址，获取与所述目标mac地址相映射的租户标识作为所述目标租户标识。

5、在可选的实施方式中，所述根据所述目标租户标识确定目标防护策略前，所述网络防护方法还包括：获取第二映射数据集，所述第二映射数据集包括若干租户标识和若干防护策略，每个所述租户标识与至少一个所述防护策略相映射；所述根据所述目标租户标识确定目标防护策略，包括：将所述目标租户标识与所述第二映射数据集中所述若干租户标识一一对比，若所述若干租户标识中存在与所述目标租户标识相同的租户标识，获取与所述目标租户标识相映射的防护策略作为所述目标防护策略。

6、在可选的实施方式中，每个所述租户标识与多个所述防护策略相映射，所述获取与所述目标租户标识相映射的防护策略作为所述目标防护策略，包括：获取与目标租户标识相映射的多个所述防护策略，形成防护策略集；根据所述目标mac地址从所述防护策略集中获取所述目标防护策略。

7、在可选的实施方式中，所述根据所述目标mac地址从所述防护策略集中获取所述目标防护策略，包括：获取第三映射数据集，所述第三映射数据集包括若干租户mac地址和若干防护策略，每个所述防护策略与至少一个所述租户mac地址相映射；所述根据所述目标mac地址从所述防护策略集中获取所述目标防护策略，包括：将所述目标mac地址与所述第三映射数据集中的所述若干租户mac地址一一对比，若所述若干租户mac地址中存在与所述目标mac地址相同的租户mac地址，获取与所述目标mac地址相映射的防护策略作为所述目标防护策略。

8、在可选的实施方式中，所述获取所述目标报文中所包含的mac地址作为目标mac地址，包括：获取所述目标报文中所包含的源mac地址和目的mac地址，所述源mac地址为发送所述目标报文的网卡物理地址，所述目的mac地址为接收所述目标报文的网卡物理地址；获取租户数据集，所述租户数据集中包括若干租户mac地址；将属于所述租户数据集的所述源mac地址或所述目的mac地址作为所述目标mac地址。

9、第二方面，本发明提供一种网络防护设备，包括：通信模块，所述通信模块用于接收目标报文；报文识别模块，所述报文识别模块用于获取所述目标报文中所包含的mac地址作为目标mac地址；防护策略确定模块，所述防护策略确定模块用于根据所述目标mac地址确定目标租户标识，所述目标租户标识为发送或接收所述目标报文的租户标识，根据所述目标租户标识确定目标防护策略；网络防护模块，所述网络防护模块用于根据所述目标防护策略进行网络防护。

10、在可选的实施方式中，所述网络防护设备还包括：存储模块，所述存储模块用于存储第一映射数据集，所述第一映射数据集包括若干租户mac地址和若干租户标识，每个所述租户mac地址与唯一的所述租户标识相映射；或者所述存储模块用于存储第二映射数据集，所述第二映射数据集包括若干租户标识和若干防护策略，每个所述租户标识与至少一个所述防护策略相映射；或者所述存储模块用于存储第三映射数据集，所述第三映射数据集包括若干租户mac地址和若干防护策略，每个所述防护策略与至少一个所述租户mac地址相映射。

11、第三方面，本发明提供一种电子设备，包括：至少一个处理器；以及，与所述至少一个处理器通信连接的存储器；其中，所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行如前述实施方式中任意一项所述的网络防护方法。

12、第四方面，本发明提供一种计算机可读存储介质，存储有计算机程序，所述计算机程序被处理器执行实现前述实施方式中任意一项所述的网络防护方法。

技术特征：

1.一种网络防护方法，其特征在于，包括：

2.根据权利要求1所述的网络防护方法，其特征在于，所述根据所述目标mac地址确定目标租户标识前，所述网络防护方法还包括：

3.根据权利要求1所述的网络防护方法，其特征在于，所述根据所述目标租户标识确定目标防护策略前，所述网络防护方法还包括：

4.根据权利要求3所述的网络防护方法，其特征在于，每个所述租户标识与多个所述防护策略相映射，所述获取与所述目标租户标识相映射的防护策略作为所述目标防护策略，包括：

5.根据权利要求4所述的网络防护方法，其特征在于，所述根据所述目标mac地址从所述防护策略集中获取所述目标防护策略，包括：

6.根据权利要求1所述的网络防护方法，其特征在于，所述获取所述目标报文中所包含的mac地址作为目标mac地址，包括：

7.一种网络防护设备，其特征在于，包括：

8.根据权利要求7所述的网络防护设备，其特征在于，所述网络防护设备还包括：

9.一种电子设备，其特征在于，包括：

10.一种计算机可读存储介质，存储有计算机程序，其特征在于，所述计算机程序被处理器执行实现权利要求1至6中任意一项所述的网络防护方法。

技术总结
本发明的实施例提供了一种网络防护方法、设备、电子设备和计算机可读存储介质，涉及网络安全领域。其中，网络防护方法，包括：接收目标报文，获取目标报文中所包含的MAC地址作为目标MAC地址；根据目标MAC地址确定目标租户标识，目标租户标识为发送或接收目标报文的租户标识；根据目标租户标识确定目标防护策略，根据目标防护策略进行网络防护。与现有技术相比，本发明实施例所提供的网络防护方法、设备、电子设备和计算机可读存储介质，具有能够实现租户之间的跨平台数据交互的同时，提升数据包的处理效率的优点。

技术研发人员：温开
受保护的技术使用者：北京天融信网络安全技术有限公司
技术研发日：
技术公布日：2024/1/12