公开(公告)号：CN112437023B

公开(公告)日：2022-11-29

申请号：CN202011084821.X

申请日：2020-10-12

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 黄亚洲 ,  李玮

IPC: H04L49/00 ,  H04L41/0894

Abstract: 本公开涉及一种虚拟化安全网元数据处理方法、系统、介质和云平台，其中所述方法包括：虚拟交换机接收当前时刻的报文，确定所述报文是目标报文时，将所述目标报文转发至虚拟流量加速引擎；虚拟流量加速引擎基于预设的流量分配规则，将所述目标报文重新分配发送至相应的队列，所述队列是虚拟接口中配置的多个收包队列中的一个，所述虚拟接口是所述安全网元与所述虚拟交换机通信的接口。本公开的实施方案可以对不断接收的目标报文进行重新分配，使得进入到安全网元与虚拟交换机通信的虚拟接口的多个收包队列中的报文分布较为平衡合理，从而可以尽可能最大限度地发挥安全网元的性能。

公开(公告)号：CN114070637A

公开(公告)日：2022-02-18

申请号：CN202111394831.8

申请日：2021-11-23

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 李玮 ,  王林

IPC: H04L9/40 ,  H04L67/141 ,  G06F21/60

Abstract: 本申请实施例提供一种基于属性标签的访问控制方法、系统、电子设备及存储介质，涉及网络安全技术领域。该方法包括：获取第一容器计算节点发送的与第二容器计算节点建立连接请求的数据包信息，所述数据包信息包括与所述第一容器计算节点的pod对应的第一属性标签；通过NFQ重定向规则将所述数据包信息发送至对应的代理端；根据所述数据包信息提取所述第一属性标签；通过所述第一属性标签匹配所述第二容器计算节点的入站策略；根据所述入站策略建立所述第一容器计算节点的pod与所述第二容器计算节点的pod之间的访问连接。该方法可以实现任何两个pod之间引入端到端的身份识别，简化访问控制配置流程，提高用户配置访问控制的效率。

公开(公告)号：CN114244891B

公开(公告)日：2024-01-23

申请号：CN202111579866.9

申请日：2021-12-22

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 李玮 ,  王林

IPC: H04L67/141 ,  H04L45/74 ,  H04L45/12 ,  H04L9/40 ,  H04L41/0803

Abstract: 本申请实施例提供一种容器间的通信方法、装置、电子设备及存储介质，涉及网络安全技术领域。该容器间的通信方法包括：配置快速通信连接路径；获取指令标记以及第一容器或第二容器生成的会话连接信息；将所述指令标记添加至所述会话连接信息，生成快速连接信息；根据所述快速连接信息和所述快速通信连接路径建立所述第一容器和所述第二容器的通信连接。该容器间的通信方法可以在保证容器的安全防护性能的前提下，实现优化通信性能的技术效果。

公开(公告)号：CN114024746B

公开(公告)日：2023-11-28

申请号：CN202111301079.8

申请日：2021-11-04

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 李玮 ,  王林

IPC: H04L9/40

Abstract: 本申请公开了一种网络报文的处理方法、虚拟交换机及处理系统，该方法包括：获取数据报文以及数据报文的报文信息；基于报文信息，在虚拟的安全资源池中确定与数据报文相对应的安全服务链，其中，安全资源池中包括至少一个安全服务链，安全服务链中包括至少一个虚拟的安全网元；向数据报文中添加标志信息，其中标志信息与安全网元相对应，用于指示安全网元对数据报文进行处理；基于标志信息，利用确定的安全服务链中的安全网元对数据报文进行处理。该处理方法，能够即保证对数据报文的有序检测，而不会引起检测步骤上的混乱；还能够在安全的情况下减少对数据报文的检测动作，有效提高数据报文的转发效率，提高用户的使用体验。

公开(公告)号：CN114244891A

公开(公告)日：2022-03-25

申请号：CN202111579866.9

申请日：2021-12-22

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 李玮 ,  王林

IPC: H04L67/141 ,  H04L45/74 ,  H04L45/12 ,  H04L9/40 ,  H04L41/0803

Abstract: 本申请实施例提供一种容器间的通信方法、装置、电子设备及存储介质，涉及网络安全技术领域。该容器间的通信方法包括：配置快速通信连接路径；获取指令标记以及第一容器或第二容器生成的会话连接信息；将所述指令标记添加至所述会话连接信息，生成快速连接信息；根据所述快速连接信息和所述快速通信连接路径建立所述第一容器和所述第二容器的通信连接。该容器间的通信方法可以在保证容器的安全防护性能的前提下，实现优化通信性能的技术效果。

公开(公告)号：CN113810420A

公开(公告)日：2021-12-17

申请号：CN202111101134.9

申请日：2021-09-18

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 李玮 ,  王林

IPC: H04L29/06 ,  G06F9/455

Abstract: 本公开提供了一种安全防护方法及安全防护系统，安全防护方法包括：获取第一数据报文；第一数据报文携带目标标识信息；基于目标标识信息，从策略库中筛选第一数据报文对应的目标安全策略；策略库中包括各标识信息与安全策略之间的映射关系；按照目标安全策略对第一数据报文进行过滤，得到第二数据报文；对第二数据报文进行去标识处理以发送给目标租户。本公开通过第一数据报文携带目标标识信息筛选目标安全策略，以按照目标安全策略对第一数据报文进行过滤，进而达到了租户与租户之间的数据报文的有效隔离，确保了每个租户的数据报文的安全性，安全防护性能较高，还能够实现无代理模式，只需对接云平台即可，适用于各种平台，维护成本较低。

公开(公告)号：CN112437023A

公开(公告)日：2021-03-02

申请号：CN202011084821.X

申请日：2020-10-12

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 黄亚洲 ,  李玮

IPC: H04L12/931 ,  H04L12/24

Abstract: 本公开涉及一种虚拟化安全网元数据处理方法、系统、介质和云平台，其中所述方法包括：虚拟交换机接收当前时刻的报文，确定所述报文是目标报文时，将所述目标报文转发至虚拟流量加速引擎；虚拟流量加速引擎基于预设的流量分配规则，将所述目标报文重新分配发送至相应的队列，所述队列是虚拟接口中配置的多个收包队列中的一个，所述虚拟接口是所述安全网元与所述虚拟交换机通信的接口。本公开的实施方案可以对不断接收的目标报文进行重新分配，使得进入到安全网元与虚拟交换机通信的虚拟接口的多个收包队列中的报文分布较为平衡合理，从而可以尽可能最大限度地发挥安全网元的性能。

公开(公告)号：CN117828596A

公开(公告)日：2024-04-05

申请号：CN202311799458.3

申请日：2023-12-25

Applicant: 北京天融信网络安全技术有限公司

Inventor： 袁子昕 ,  李硕 ,  严飞 ,  李玮

IPC: G06F21/56 ,  G06F21/57 ,  G06F9/455

Abstract: 本申请提供一种容器逃逸检测方法及装置，该方法包括：根据预设观测点在待检测的内核空间中预先配置用于检测容器逃逸的eBPF程序；通过eBPF程序在预设观测点处进行信息采集，得到关键信息；根据关键信息和预设的异常检测规则进行容器逃逸检测，得到检测结果；根据检测结果判断是否存在容器逃逸行为；如果是，根据检测结果执行异常进程中断操作，并将进程信息传递给用户空间程序，以使用户空间程序将进程信息写入日志。可见，该方法及装置能够对容器逃逸行为进行准确高效、多维度的检测，并做到实时性阻断，以保护容器运行时的安全性与可靠性。

公开(公告)号：CN101909015B

公开(公告)日：2012-08-22

申请号：CN201010263356.6

申请日：2010-08-26

Applicant: 北京天融信科技有限公司

Inventor： 李玮 ,  郎卫鹏

IPC: H04L12/56

Abstract: 本发明公开了一种实现安全网关服务质量的方法，包括：预定义限制类型队列参数和保证类型队列参数；创建一个虚拟接口，在虚拟接口的下一级上创建至少一个限制类型队列；同时在虚接口下创建一个或多个出接口CE，在每个出接口CE下创建至少一个保证类型队列CRL以及创建一个def队列；安全网关将数据包插入相应的限制类型队列或者保证类型队列中等待出队；当限制类型队列的数据包出队时，检测该数据包的目的出接口下是否有保证类型业务：如果该数据包的目的出接口下不存在def队列，则该数据包直接出队；否则，将该数据包插入到对应出接口的def队列中；本发明对于限制类型业务不需要提供出接口，大大简化了安全网关QoS的配置方式。

公开(公告)号：CN101909015A

公开(公告)日：2010-12-08

申请号：CN201010263356.6

申请日：2010-08-26

Applicant: 北京天融信科技有限公司

Inventor： 李玮 ,  郎卫鹏

IPC: H04L12/56

Abstract: 本发明公开了一种实现安全网关服务质量的方法，包括：预定义限制类型队列参数和保证类型队列参数；创建一个虚拟接口，在虚拟接口的下一级上创建至少一个限制类型队列；同时在虚接口下创建一个或多个出接口CE，在每个出接口CE下创建至少一个保证类型队列CRL以及创建一个def队列；安全网关将数据包插入相应的限制类型队列或者保证类型队列中等待出队；当限制类型队列的数据包出队时，检测该数据包的目的出接口下是否有保证类型业务：如果该数据包的目的出接口下不存在def队列，则该数据包直接出队；否则，将该数据包插入到对应出接口的def队列中；本发明对于限制类型业务不需要提供出接口，大大简化了安全网关QoS的配置方式。