(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111363303.6 (22)申请日 2021.11.17 (71)申请人 北京天融信网络安全技 术有限公司 地址 100000 北京市海淀区上地 东路1号院 3号楼四层 申请人 北京天融信科技有限公司 　 北京天融信软件 有限公司 (72)发明人 杨强　 (74)专利代理 机构 北京超凡宏宇专利代理事务 所(特殊普通 合伙) 11463 代理人 徐叶馨 (51)Int.Cl. H04L 9/40(2022.01) G06F 9/455(2006.01) (54)发明名称 流量防护方法及电子设备、 存 储介质 (57)摘要 本申请提供一种流量防护方法及电子 设备、 存储介质， 所述方法应用于宿主机， 所述宿主机 部署有虚拟化防火墙和业务虚拟 机， 所述方法包 括： 将eBPF程序下发在网卡驱动程序的XDP网络 钩子上； 通过所述eBPF程序 将所述业务虚拟机外 发的流量重定向给所述虚拟化防火墙； 通过所述 eBPF程序将所述虚拟化防火墙检测确认放行的 流量， 发送到目标虚拟机或目标物理网卡。 该方 案通过采用eBPF程序， 存在BUG也不会导致宿主 机出现宕机等情况， 并且可以适配不同Linux内 核版本。 权利要求书2页 说明书8页 附图5页 CN 114039789 A 2022.02.11 CN 114039789 A 1.一种流量防护方法， 其特征在于， 所述方法应用于宿主机， 所述宿主机部署有虚拟化 防火墙和业 务虚拟机， 所述方法包括： 将eBPF程序下发在网卡驱动程序的XD P网络钩子上； 通过所述eBPF程序将所述 业务虚拟机 外发的流 量重定向给所述虚拟化防火墙； 通过所述eBPF程序将所述虚拟化防火墙检测确认放行的流量， 发送到目标虚拟机或目 标物理网卡。 2.根据权利要求1所述的方法， 其特 征在于， 所述方法还 包括： 通过所述eBPF程序将发送给 所述业务虚拟机的流 量重定向给所述虚拟化防火墙。 3.根据权利要求2所述的方法， 其特征在于， 所述通过所述eBPF程序将发送给所述业务 虚拟机的流 量重定向给所述虚拟化防火墙， 包括： 当所述eBPF程序接收到发送给所述业务虚拟机的流量时， 判断是否开启Bypass网络互 连功能； 若开启， 则根据所述流量的目的地址， 将所述流量发送给所述目的地址对应的业务虚 拟机； 若没有开启， 将所述 流量重定向给所述虚拟化防火墙。 4.根据权利要求2所述的方法， 其特征在于， 所述将eBPF程序下发在网卡驱动程序的 XDP网络钩子上， 包括： 在所述业务虚拟机的虚拟网卡驱动程序的XDP网络钩子点、 在所述虚拟化防火墙的出 口网卡驱动程序的XDP网络钩子点以及虚拟交换机上的物理网卡驱动程序的XDP网络钩子 点分别下发所述eBPF程序。 5.根据权利要求1所述的方法， 其特征在于， 所述将eBPF程序下发在网卡驱动程序的 XDP网络钩子上， 包括： 通过部署的引流插件程序扫描宿主机上的虚拟交换机以及虚拟交换机上的物 理网卡， 并在所述物理网卡驱动程序的XDP 网络钩子点分下发所述eBPF程序， 并在转发表中记录虚 拟交换机与物理网卡信息的对应关系； 通过所述引流插件程序启动监控线程， 在所述监控线程监控到所述业务虚拟机的启动 事件时， 在所述业务虚拟 机的虚拟网卡下发XDP类型的eBPF程序， 并在转 发表里建立虚拟 机 网卡所在虚拟交换机以及虚拟网卡信息的对应关系； 在所述监控线程监控到所述虚拟化防火墙的启动事件时， 在所述虚拟化防火墙的出口 网卡下发XD P类型的eBPF程序。 6.根据权利要求5所述的方法， 其特 征在于， 还 包括： 在所述监控线程监控到所述业务虚拟机的关机事件时， 删除所述转发表中所述虚拟机 网卡所在虚拟交换机以及虚拟网卡信息的对应关系； 在所述监控线程 监控到所述虚拟化防火墙的关机事 件时， 启动Bypas s网络互连功能。 7.根据权利要求1所述的方法， 其特征在于， 通过所述eBPF程序将所述业务虚拟机外发 的流量重定向给所述虚拟化防火墙， 包括： 当所述eBPF程序接收到所述业务虚拟机外发的流量时， 判断是否开启了Bypass网络互 连功能， 若开启， 根据所述流量的目的地址， 将所述流量 发送给目的地址对应的目标虚拟机 或目标物理网卡； 否则， 重 定向给所述虚拟化防火墙。 8.根据权利要求1所述的方法， 其特征在于， 所述通过所述eBPF程序将所述虚拟化防火权　利　要　求　书 1/2 页 2 CN 114039789 A 2墙检测确认放行的流 量， 发送到目标虚拟机或目标物理网卡， 包括： 当所述eBPF程序接收到所述虚拟化防火墙检测确认放行的流量， 若在转发表中找到所 述流量的目的地址， 将所述 流量发送给 所述目的地址对应的目标虚拟机或目标物理网卡； 若没有找到目的地址， 将所述流量广播给虚拟交换机上的所有物理网卡以及所述虚拟 交换机上的所有业 务虚拟机的网卡。 9.一种电子设备， 其特 征在于， 所述电子设备包括： 处理器； 用于存储处理器可执行指令的存 储器； 其中， 所述处 理器被配置为执 行权利要求1 ‑8任意一项所述的流 量防护方法。 10.一种计算机可读存储介质， 其特征在于， 所述存储介质存储有计算机程序， 所述计 算机程序可由处 理器执行以完成权利要求1 ‑7任意一项所述的流 量防护方法。权　利　要　求　书 2/2 页 3 CN 114039789 A 3