确定传输路径和更新ACL的方法及设备

摘要

本发明涉及网络通信技术领域，特别涉及确定传输路径和更新ACL的方法及设备，用以解决目前防火墙负载压力过大的问题。其中确定传输路径的方法包括：控制器在接收到由发送端发送的用于申请进行通信的请求信息后，根据所述请求信息，从第一访问控制列表ACL中确定请求信息的传输规则信息；并根据所述传输规则信息，在确定发送端能够将消息发送给接收端后，确定发送端到接收端的传输路径；然后将所述传输路径通知给传输路径中的交换机。这种技术方案中由于在控制器中增加了能够对发送端发送的用于申请通信的请求信息进行检测的第一ACL，使得控制器能够根据ACL中配置相应信息确定请求信息的传输规则信息，从而降低了防火墙的负载压力。

说明书

技术领域

本发明涉及网络通信技术领域，特别涉及确定传输路径和更新ACL的方法及设备。

背景技术

在计算机网络领域中，防火墙由软件和硬件设备组合而成，是一种协助确保信息安全以及保护网络免受非法用户的侵入的设备，包括服务访问规则、验证工具、包过滤和应用网关4个部分。

防火墙是在网络通讯时执行的一种访问控制尺度，它通过访问控制列表定义可以访问计算机的数据包。它可以设定运行通过的数据包，也可以设定不允许通过的数据包，还可以阻止网络中的恶意访问。

在SDN(SoftwareDefinedNetwork，软件定义网络)中，为了保护信息安全，允许或是限制传输的数据通过，防火墙是必不可少的。现有技术中SDN网络中内部防火墙的技术方案如下：

预先在防火墙上配置好基于端口、协议等信息的安全策略；当主机需要通信时，将数据包发送给直连的交换机，通过交换机再上报给控制器；控制器计算转发路径，给交换机下发经过防火墙的路径；防火墙对所有流入的数据包根据已有的安全策略进行处理。

也就是说现有技术中，所有消息也都要发送给防火墙进行检测，容易导致防火墙负载压力过大，使得消息无法进行正常传输。

综上所述，目前由于所有消息都要发送给防火墙进行检测，使得防火墙负载压力过大。

发明内容

本发明提供一种确定传输路径和更新ACL的方法及设备，用以解决现有技术中存在的目前由于所有消息都要发送给防火墙进行检测，使得防火墙负载压力过大的问题。

本发明实施例提供了一种确定传输路径的方法，包括：

控制器在接收到由发送端发送的用于申请进行通信的请求信息后，根据所述请求信息，从第一访问控制列表ACL中确定请求信息的传输规则信息；

所述控制器根据所述传输规则信息，在确定发送端能够将消息发送给接收端后，确定发送端到接收端的传输路径；

所述控制器将所述传输路径通知给传输路径中的交换机。

由于在控制器中增加了能够对发送端发送的用于申请通信的请求信息进行检测的第一ACL，使得控制器能够根据ACL中配置相应信息确定请求信息的传输规则信息，从而降低了防火墙的负载压力。

较佳地，所述控制器在接收到由发送端发送的用于申请进行通信的请求信息后，还包括：

所述控制器根据所述请求信息无法从所述第一ACL中确定请求信息的传输规则信息，将所述请求信息发送给防火墙；

所述控制器在接收到所述防火墙发送的所述请求信息的传输规则信息后，根据所述请求信息的传输规则信息更新所述第一ACL，从所述第一ACL中确定请求信息的传输规则信息；

所述控制器根据所述传输规则信息，在确定发送端能够将消息发送给接收端后，确定发送端到接收端的传输路径；

所述控制器将所述传输路径通知给传输路径中的交换机。

由于控制器在不能确定请求信息的传输规则信息时，将其发送给防火墙进行检测确定请求信息的传输规则信息，从而降低了防火墙的负载压力。

较佳地，所述控制器在接收到来自所述防火墙的所述请求信息的传输规则信息后，还包括：

若所述防火墙未通过第二ACL发送请求信息的传输规则信息，所述控制器将所述请求信息以及收到的所述请求信息的传输规则信息置于所述第一ACL中；或

若所述防火墙通过第二ACL发送请求信息的传输规则信息，所述控制器根据收到的第二ACL更新第一ACL。

由于控制器根据防火墙更新后的第二ACL或传输规则信息更新第一ACL，使得控制器在收到相同的请求信息后就能直接根据第一ACL确定该请求信息的传输规则信息，并根据确定的传输规则信息确定传输路径，使得控制器能够根据不同的请求信息确定不同的传输路径，进一步地降低了防火墙的负载压力。

较佳地，所述控制器根据下列方式判断是否允许发送端将消息发送给接收端：

若所述传输规则信息为允许请求或安全请求，所述控制器确定允许发送端将消息发送给接收端；

若所述传输规则信息为可疑请求，所述控制器将所述请求信息发送给防火墙，并根据所述防火墙的通知确定是否允许发送端将消息发送给接收端；

若所述传输规则信息为拒绝请求，所述控制器确定不允许发送端将消息发送给接收端。

由于控制器能够在接收到请求信息时，对请求信息进行初步的判断，从而使得控制器能够根据不同的传输规则信息确定消息的最有传输路径。

较佳地，若所述传输规则信息为允许请求或所述传输规则信息为可疑请求且根据所述防火墙的通知允许发送端将消息发送给接收端，则所述传输路径中包括防火墙；

若所述传输规则信息为安全请求，则所述传输路径中不包括防火墙。

由于控制器能够根据不同的传输规则信息，确定不同的传输路径，从而降低了防火墙的负载压力。

较佳地，所述控制器将所述传输路径通知给传输路径中的交换机之后，还包括：

所述控制器在接收到防火墙发送的更新的传输规则信息后，根据所述更新的传输规则信息更新第一ACL；

所述控制器根据更新后的第一ACL，重新确定所述请求信息的传输规则信息；

所述控制器根据所述传输规则信息，在确定发送端能够将消息发送给接收端后，确定发送端到接收端的传输路径；

所述控制器将所述传输路径通知给传输路径中的交换机。

由于请求消息的传输规则信息根据需要能够动态的改变，从而使得控制能够根据传输规则信息动态的确定传输路径。

较佳地，所述控制器将所述传输路径通知给传输路径中的交换机之后，接收到防火墙通知的所述请求信息的更新传输规则信息之前，还包括：

所述控制器对发送端和接收端之间传输的所述请求信息对应的消息进行抽样，并将抽样后的所述请求信息对应的消息发送到防火墙。

由于采用对传输的消息进行抽样的机制，从而进一步保证了消息传输的安全性。

较佳地，所述控制器根据更新后的第一ACL，重新确定所述请求信息的传输规则信息之后，还包括：

若重新确定所述请求信息的传输规则信息为可疑请求，所述控制器对所述发送端和接收端之间传输的其他请求信息对应的消息进行抽样，并将抽样后的所述其他请求信息对应的消息发送到防火墙。

由于当在确定请求信息的传输规则信息为可疑请求后，对全部的消息进行抽样，增加了信息传输的安全性。

较佳地，所述控制器确定所述请求信息的传输规则信息之后，还包括：

所述控制器根据所述请求信息的传输规则信息，在确定不允许发送端能够将消息发送给接收端后，通知与发送端相连的所有交换机。

本发明实施例提供了一种更新访问控制列表ACL的方法，包括：

防火墙在接收到控制器发送的请求信息后，根据预设的安全策略确定所述请求信息的传输规则信息；

所述防火墙将传输规则信息或包含确定的传输规则信息的第二ACL发送给控制器，以使所述控制器根据收到传输规则信息的或第二ACL，更新用于判断是否允许进行请求信息对应的传输的第一ACL。

由于防火墙能够将传输规则信息或包含确定的传输规则信息的第二ACL发送给控制器，使得控制器能够根据收到传输规则信息的或第二ACL，更新用于判断是否允许进行请求信息对应的传输的第一ACL，从而降低了防火墙的负载压力。

较佳地，该方法还包括：

所述防火墙在接收到发送端发给接收端的消息后，根据预设的安全策略，确定判断所述消息是否安全；

如果是，则根据消息中记录的地址信息，将所述消息发送给对应的交换机；

否则，通知所述控制器拒绝传输所述消息。

较佳地，所述防火墙在接收到控制器发送的请求信息后，根据预设的安全策略确定所述请求信息的传输规则信息：

若确定的所述请求信息的传输规则信息为可疑请求，所述防火墙对发送端和接收端之间传输的其他请求信息对应的消息进行检测；

其中，所述发送端和接收端是用于传输所述请求信息对应消息的发送端和接收端。

较佳地，所述防火墙将传输规则信息或更新后的第二ACL发送给控制器，用于更新第一ACL后，还包括：

所述防火墙根据预设的安全策略，对到来自所述控制器的抽样消息进行检测；

所述防火墙在检测到所述抽样消息为可疑消息后，通知所述控制器。

本发明实施例提供了一种确定传输路径的控制器，包括：

第一确定模块，用于在接收到由发送端发送的用于申请进行通信的请求信息后，根据所述请求信息，从第一访问控制列表ACL中确定请求信息的传输规则信息；

第二确定模块，用于根据所述传输规则信息，在确定发送端能够将消息发送给接收端后，确定发送端到接收端的传输路径；

通知模块，用于将所述传输路径通知给传输路径中的交换机。

较佳地，所述第一确定模块还用于：

在接收到由发送端发送的用于申请进行通信的请求信息后，根据所述请求信息无法从所述第一ACL中确定请求信息的传输规则信息，将所述请求信息发送给防火墙，并在接收到所述防火墙发送的所述请求信息的传输规则信息后，根据所述请求信息的传输规则信息更新所述第一ACL，从所述第一ACL中确定请求信息的传输规则信息；

所述第二确定模块还用于：

在接收到由发送端发送的用于申请进行通信的请求信息后，根据所述传输规则信息，在确定发送端能够将消息发送给接收端后，确定发送端到接收端的传输路径；

所述通知模块还用于：

在接收到由发送端发送的用于申请进行通信的请求信息后，将所述传输路径通知给传输路径中的交换机。

较佳地，所述第一确定模块还用于：

在接收到来自所述防火墙的所述请求信息的传输规则信息后，若所述防火墙未通过第二ACL发送请求信息的传输规则信息，将所述请求信息以及收到的所述请求信息的传输规则信息置于所述第一ACL中；或若所述防火墙通过第二ACL发送请求信息的传输规则信息，根据收到的第二ACL更新第一ACL。

较佳地，所述第二确定模块还用于：

若所述传输规则信息为允许请求或安全请求，确定允许发送端将消息发送给接收端；若所述传输规则信息为可疑请求，将所述请求信息发送给防火墙，并根据所述防火墙的通知确定是否允许发送端将消息发送给接收端；若所述传输规则信息为拒绝请求，确定不允许发送端将消息发送给接收端。

较佳地，所述第一确定模块还用于：

将所述传输路径通知给传输路径中的交换机之后，在接收到防火墙发送的更新的传输规则信息后，根据所述更新的传输规则信息更新第一ACL；根据更新后的第一ACL，重新确定所述请求信息的传输规则信息；

所述第二确定模块还用于：

将所述传输路径通知给传输路径中的交换机之后，根据所述传输规则信息，在确定发送端能够将消息发送给接收端后，确定发送端到接收端的传输路径；

所述通知模块还用于：

将所述传输路径通知给传输路径中的交换机之后，将所述传输路径通知给传输路径中的交换机。

较佳地，还包括：

抽样模块，用于将所述传输路径通知给传输路径中的交换机之后，接收到防火墙通知的所述请求信息的更新传输规则信息之前，对发送端和接收端之间传输的所述请求信息对应的消息进行抽样，并将抽样后的所述请求信息对应的消息发送到防火墙。

较佳地，所述抽样模块还用于：

根据更新后的第一ACL，重新确定所述请求信息的传输规则信息之后，若重新确定所述请求信息的传输规则信息为可疑请求，对所述发送端和接收端之间传输的其他请求信息对应的消息进行抽样，并将抽样后的所述其他请求信息对应的消息发送到防火墙。

较佳地，所述通知模块还用于：

确定所述请求信息的传输规则信息之后，根据所述请求信息的传输规则信息，在确定不允许发送端能够将消息发送给接收端后，通知与发送端相连的所有交换机。

本发明实施例提供了一种更新访问控制列表ACL的防火墙设备，包括：

第三确定模块，用于在接收到控制器发送的请求信息后，根据预设的安全策略确定所述请求信息的传输规则信息；

更新模块，用于将传输规则信息或包含确定的传输规则信息的第二ACL发送给控制器，以使所述控制器根据收到传输规则信息的或第二ACL，更新用于判断是否允许进行请求信息对应的传输的第一ACL。

较佳地，所述第三确定模块还用于：

在接收到发送端发给接收端的消息后，根据预设的安全策略，确定判断所述消息是否安全；

如果是，则根据消息中记录的地址信息，将所述消息发送给对应的交换机；

否则，通知所述控制器拒绝传输所述消息。

较佳地，所述第三确定模块还用于：

在接收到控制器发送的请求信息后，根据预设的安全策略确定所述请求信息的传输规则信息，若确定的所述请求信息的传输规则信息为可疑请求，对发送端和接收端之间传输的其他请求信息对应的消息进行检测；

其中，所述发送端和接收端是用于传输所述请求信息对应消息的发送端和接收端。

较佳地，所述更新模块还用于：

将传输规则信息或更新后的第二ACL发送给控制器，用于更新第一ACL后，根据预设的安全策略，对到来自所述控制器的抽样消息进行检测，并在检测到所述抽样消息为可疑消息后，通知所述控制器。

附图说明

图1为本发明实施例一确定传输路径的方法的流程示意图；

图2为一种基于SDN的防火墙安全架构示意图；

图3为本发明实施例二确定传输路径的方法流程示意图；

图4为本发明实施例三确定传输路径的方法流程示意图；

图5为本发明实施例四确定传输路径的控制器示意图；

图6为本发明实施例五更新访问控制列表ACL的防火墙设备示意图。

具体实施方式

本发明实施例的控制器在接收到由发送端发送的用于申请进行通信的请求信息后，根据所述请求信息，从第一访问控制列表ACL中确定请求信息的传输规则信息；并根据所述传输规则信息，在确定发送端能够将消息发送给接收端后，确定发送端到接收端的传输路径；然后将所述传输路径通知给传输路径中的交换机。这种技术方案中由于在控制器中增加了能够对发送端发送的用于申请通信的请求信息进行检测的第一ACL，使得控制器能够根据ACL中配置相应信息确定请求信息的传输规则信息，从而降低了防火墙的负载压力。

本发明实施例的防火墙在接收到控制器发送的请求信息后，根据预设的安全策略确定所述请求信息的传输规则信息；将传输规则信息或包含确定的传输规则信息的第二ACL发送给控制器，以使所述控制器根据收到传输规则信息的或第二ACL，更新用于判断是否允许进行请求信息对应的传输的第一ACL。这种技术方案由于防火墙能够将传输规则信息或包含确定的传输规则信息的第二ACL发送给控制器，使得控制器能够根据收到传输规则信息的或第二ACL更新第一ACL，从而使得控制器更够根据更新后的第一ACL确定请求信息的传输规则信息，从而降低了防火墙的负载压力。

下面结合说明书附图对本发明实施例作进一步详细描述。

如图1所示，本发明实施例一确定传输路径的方法，包括：

步骤100，控制器在接收到由发送端发送的用于申请进行通信的请求信息后，根据请求信息，从第一访问控制列表ACL中确定请求信息的传输规则信息；

步骤101，控制器根据传输规则信息，在确定发送端能够将消息发送给接收端后，确定发送端到接收端的传输路径；

步骤102，控制器将传输路径通知给传输路径中的交换机。

本发明实施例可以应用于任何架构。如果本发明实施例应用于如图2所示的SDN(SoftwareDefinedNetwork，软件定义网络)架构，则第一ACL存储可以存储到防火墙代理应用软件(FirewallAgentApplication)中，控制器可以通过防火墙代理应用软件查询第一ACL。

请求信息为发送端有向接收端发送消息的请求时，发送端向控制器发送的请求信息，该请求信息包括接收端与接收端间的地址信息、发送端向接收端发送的消息类型、大小等信息。

传输规则信息为根据用户需要自定义在netconf协议中空白字段添加的不同标识码，其中不同的标识码表示不同的传输规则信息。

在netconf协议的空白字段添加不同的标识码如表1所示。

表1

标识码字段说明001允许请求002拒绝请求003安全请求004可疑请求

标识码为001时，表示允许请求；当标识码为002时，表示拒绝请求；当标识码为003时，表示安全请求；当标识码为004时，表示可疑请求。

其中，允许请求表示控制器确定发送端能够将消息发送给接收端，但消息需要经过防火墙再发送到接收端；

拒绝请求表示控制器确定发送端不能将消息发送给接收端，向与发送端连接的交换机发送拒绝此次请求的通知；

安全请求表示控制器确定发送端能够将消息发送给接收端，并且消息无需经过防火墙直接通过交换机发送给接收端；

可疑请求表示控制器从对发送端发送到接收端消息的部分抽样检测转变为全部抽样检测。

其中，标识码001也可以表示可疑请求或拒绝请求或安全请求，或是这四种之外的其它请求，标识码002、标识码003、标识码004与标识码001类似，在此不再赘述。且标识码也可以为一位，也可以两位，还可以为四位，用户可以根据需要进行相应的设置，此外，用户还可以根据需要对传输规则信息进行个性化的增加、删减或是修改。

控制器根据请求信息的传输规则信息，确定发送端能够将消息发送给接收端后，再确定发送端到接收端的传输路径。

若控制器根据请求信息的传输规则信息，确定发送端不能够将消息发送给接收端，则控制器向与发送端连接的交换机发送拒绝此次请求的通知。

较佳地，所述控制器在接收到由发送端发送的用于申请进行通信的请求信息后，还包括：

所述控制器根据所述请求信息无法从所述第一ACL中确定请求信息的传输规则信息，将所述请求信息发送给防火墙；

所述控制器在接收到所述防火墙发送的所述请求信息的传输规则信息后，根据所述请求信息的传输规则信息更新所述第一ACL，从所述第一ACL中确定请求信息的传输规则信息；

所述控制器根据所述传输规则信息，在确定发送端能够将消息发送给接收端后，确定发送端到接收端的传输路径；

所述控制器将所述传输路径通知给传输路径中的交换机。

也就是说，当控制器在接收到新的请求信息时，无法根据控制器中的第一ACL确定该请求消息的传输规则信息，则控制器将该请求消息发送给防火墙，防火墙根据预设的安全策略确定该请求信息的传输规则信息也就是标识码。

在防火墙确定该请求消息的传输规则信息后，将其发送给控制器，控制器将该请求信息和标志码至于第一ACL中，更新第一ACL，以使控制器在接收到相同的请求信息，无需再将该请求信息发送给防火墙进行判断。

以图2的网络架构举例进行说明，当服务器A第一次申请向服务器B发送消息时，服务器A向控制器发送请求信息，由于控制器的ACL中没有对应请求信息的传输规则信息，因此需要将服务器A发送的请求信息发送给防火墙，有防火墙根据预设的安全策略确定请求信息的传输规则信息，防火墙在确定该请求信息的传输规则信息后将传输规则信息发送给控制器，控制器根据该传输规则信息更新控制器中的ACL，然后控制器根据控制器中的ACL确定请求信息的传输规则信息，在确定发送端发送的消息能够发送给接收端后，确定消息的传输路径。

较佳地，所述控制器在接收到来自所述防火墙的所述请求信息的传输规则信息后，还包括：

若所述防火墙未通过第二ACL发送请求信息的传输规则信息，所述控制器将所述请求信息以及收到的所述请求信息的传输规则信息置于所述第一ACL中；或

若所述防火墙通过第二ACL发送请求信息的传输规则信息，所述控制器根据收到的第二ACL更新第一ACL。

也就是说，控制器可以根据防火墙发送的请求信息的传输规则信息更新第一ACL，也可以根据防火墙发送的更新后的第二ACL更新第一ACL。

以图2的网络架构为例，防火墙将更新后的ACL发送给控制器，控制器根据更新后的ACL更新控制器中的ACL；防火墙也可以将传输规则信息发送给控制器，控制器根据传输规则信息对控制器中的ACL进行更新。

较佳地，所述控制器根据下列方式判断是否允许发送端将消息发送给接收端：

若所述传输规则信息为允许请求或安全请求，所述控制器确定允许发送端将消息发送给接收端；

若所述传输规则信息为可疑请求，所述控制器将所述请求信息发送给防火墙，并根据所述防火墙的通知确定是否允许发送端将消息发送给接收端；

若所述传输规则信息为拒绝请求，所述控制器确定不允许发送端将消息发送给接收端。

较佳地，若所述传输规则信息为允许请求或所述传输规则信息为可疑请求且根据所述防火墙的通知允许发送端将消息发送给接收端，则所述传输路径中包括防火墙。

若所述传输规则信息为安全请求，则所述传输路径中不包括防火墙。

也就是说，当传输规则信息也就是标识码为安全请求时，则发送端发送给接收端的消息确定是安全的，则无需将该消息发送给防火墙，

当传输传输规则信息也就是标识码为允许请求时，则发送端发送给接收端的消息确定是能够进行传输的，则需将该消息发送给防火墙进行判断。

以图2的网络架构为例，当服务器C向服务器D传输的请求信息的传输规则信息为允许请求时，其传输路径可以为服务器C->交换机Ⅰ->防火墙->交换机Ⅰ->服务器D；当服务器A向服务器B传输的请求信息的传输规则信息为可疑请求，并且通过根据所述防火墙的通知确定允许发送端将消息发送给接收端后，其传输路径可以为服务器A->交换机Ⅱ->防火墙->交换机Ⅱ->服务器B。

当服务器B向服务器C发送的请求信息的传输规则信息为安全请求时，则控制器确定的传输路径为服务器B->交换机Ⅲ->服务器C，其该路径为最优传输路径，其转发经过的设备最少，且交换机处于正常工作状态。

较佳地，所述控制器将所述传输路径通知给传输路径中的交换机之后，还包括：

所述控制器在接收到防火墙发送的更新的传输规则信息后，根据所述更新的传输规则信息更新第一ACL；

所述控制器根据更新后的第一ACL，重新确定所述请求信息的传输规则信息；

所述控制器根据所述传输规则信息，在确定发送端能够将消息发送给接收端后，确定发送端到接收端的传输路径；

所述控制器将所述传输路径通知给传输路径中的交换机。

具体来说，若请求信息的传输规则信息也就是标识码为允许请求，根据防火墙预设的安全策略在阈值范围内是安全的，如在一段时间内经过防火墙的允许请求对应的消息是安全的则防火墙将该消息对应的请求信息的传输规则信息修改为安全请求，并将修改后的传输规则信息发送给控制器，则发送端发送给接收端的消息无再需经过防火墙进行判断。

若请求信息的传输规则信息也就是标识码为允许请求，根据防火墙的预设的安全策略，如在检测100个消息后都是安全的，则防火墙将该消息对应的请求信息的传输规则信息修改为安全请求，其中防火墙的预设的安全策略可以根据不同的需要进行不同的设置，不限于上述动态修改传输规则信息的方式。

在实施中，请求信息的传输信息规则不是一直不变的，可以根据防火墙中预设的安全策略动态的改变请求信息的传输规则信息，其中防火墙中预设的安全策略是根据用户需要配置在防火墙中的。

较佳地，所述控制器将所述传输路径通知给传输路径中的交换机之后，接收到防火墙通知的所述请求信息的更新传输规则信息之前，还包括：

所述控制器对发送端和接收端之间传输的所述请求信息对应的消息进行抽样，并将抽样后的所述请求信息对应的消息发送到防火墙。

控制器根据预设的条件如经过确定的一段时间通知交换机将其传输的消息发送给控制器，或是交换机每发送99个消息后将第100个消息发送个控制器，实现控制器对传输消息的抽样，其抽样的形式不限于上述方式，只要控制器能够获得传输的消息即可。

较佳地，所述控制器根据更新后的第一ACL，重新确定所述请求信息的传输规则信息之后，还包括：

若重新确定所述请求信息的传输规则信息为可疑请求，所述控制器对所述发送端和接收端之间传输的其他请求信息对应的消息进行抽样，并将抽样后的所述其他请求信息对应的消息发送到防火墙。

也就是说，控制器更新第一ACL后，重新确定请求信息为可疑请求后，则控制器对发送端和接收端发送的消息100％进行抽样，也就是100％进行监测，在检测一段时间后，根据防火墙的预设的安全策略，若未发现非法消息或是危险消息则重新确定请求信息的传输信息规则。

以图2为例进行说明，控制器在接受到服务器A向服务器B申请发送消息的请求信息后确定该请求信息为可疑请求，则控制器将对服务器A与服务器B之间传输的其他消息发送到防火墙进行检测，在防火墙检测一段时间后，或是检测满100个消息之后，或其他形式的安全策略，未发现异常，则将消息对应请求信息的传输规则信息动态修改为安全请求，控制器恢复对A、B之间消息的抽样检测。

较佳地，所述控制器确定所述请求信息的传输规则信息之后，还包括：

所述控制器根据所述请求信息的传输规则信息，在确定不允许发送端能够将消息发送给接收端后，通知与发送端相连的所有交换机。

以图2为例进行说明，若控制器根据第一ACL确定服务器A申请向服务器B进行通信的请求信息的传输规则信息为拒绝请求，则通知与服务器A相连的交换机Ⅰ、交换机Ⅱ、交换机Ⅲ、交换机Ⅳ…等拒绝此次请求。

如图3所示，本发明实施例二更新访问控制列表ACL的方法，包括：

步骤300，防火墙在接收到控制器发送的请求信息后，根据预设的安全策略确定请求信息的传输规则信息；

步骤301，防火墙将传输规则信息或包含确定的传输规则信息的第二ACL发送给控制器，以使控制器根据收到传输规则信息的或第二ACL，更新用于判断是否允许进行请求信息对应的传输的第一ACL。

需要说明的是，在控制器无法确定请求信息的传输规则信息时，控制器才会将请求消息发送给防火墙。

通过防火墙将更新后包含确定传输规则信息的第二ACL或是传输规则信息发送给控制器来更新控制器的第一ACL，从而使得控制器再接收到相同的请求信息时，能够直接根据第一ACL确定消息的传输路径，无需在发送给防火墙。

较佳地，所述防火墙在接收到发送端发给接收端的消息后，根据预设的安全策略，确定判断所述消息是否安全；

如果是，则根据消息中记录的地址信息，将所述消息发送给对应的交换机；

否则，通知所述控制器拒绝传输所述消息。

由于当控制器确定请求信息的传输规则信息为允许请求时，需要将消息发送给防火墙进行判断。

若该消息是安全的，则将根据消息中记录的地址信息，将其返回发送给防火墙的交换机；若该消息是不安全的，则将修改消息对应请求信息的传输规则信息为拒绝请求，并将该传输规则信息发送给控制器，通知控制器拒绝传输该消息，控制器通知与发送端连接的交换机丢弃该消息。

以图2为例进行说明，防火墙在接收到服务器A向服务器B发送的消息后，确定该消息的安全性，若控制器确定该消息的传输路径为服务器A->交换机Ⅰ->防火墙->交换机Ⅰ->服务器B，则在防火墙确定该消息为安全消息，则将该消息返回交换机Ⅰ；否则将该消息对应请求信息的传输规则信息修改为拒绝请求，发送给控制器，再由控制器通知交换机Ⅰ拒绝此次请求。

较佳地，所述防火墙在接收到控制器发送的请求信息后，根据预设的安全策略确定所述请求信息的传输规则信息：

若确定的所述请求信息的传输规则信息为可疑请求，所述防火墙对发送端和接收端之间传输的其他请求信息对应的消息进行检测；

其中，所述发送端和接收端是用于传输所述请求信息对应消息的发送端和接收端。

以图2为例进行说明，确定服务器A和服务器B间的请求信息的传输规则信息为可疑请求，则防火墙对服务器A和服务器B间的其他请求信息对应的消息进行检测。

较佳地，所述防火墙将传输规则信息或更新后的第二ACL发送给控制器，用于更新第一ACL后，还包括：

所述防火墙根据预设的安全策略，对到来自所述控制器的抽样消息进行检测；

所述防火墙在检测到所述抽样消息为可疑消息后，通知所述控制器。

以图2为例进行说明，若防火墙接收到控制器在服务器A和服务器B间抽样的传输消息，则对抽样消息根据预设的安全策略进行检测，若为可疑消息，通知控制器，以使控制器对服务器A、服务器B间的所有消息进行检测。

如图4所示，本发明实施例三确定传输路径的方法，包括：

步骤400，控制器在接收到由发送端发送的用于申请进行通信的请求信息后。

步骤401，控制器根据请求信息，判断从第一ACL中能否确定请求信息的传输规则信息，若能够确定，则执行步骤403，否则执行步骤402。

步骤402，控制器将该请求信息发送给防火墙，防火墙根据预设的安全策略确定该请求信息的传输规则信息，并将该传输规则信息发送给控制器。

步骤403，控制器根据传输规则信息，在确定发送端能够将消息发送给接收端后，确定发送端到接收端的传输路径。

步骤404，控制器将确定的传输路径通知给传输路径中的交换机。

基于同一发明构思，本发明实施例中还提供了一种确定传输路径的控制器，由于本发明实施例确定传输路径的控制器对应的方法为确定传输路径的方法，因此本发明实施例装置的实施可以参见方法的实施，重复之处不再赘述。

如图5所示，本发明实施例四确定传输路径的控制器，包括：

第一确定模块500，用于在接收到由发送端发送的用于申请进行通信的请求信息后，根据所述请求信息，从第一访问控制列表ACL中确定请求信息的传输规则信息；

第二确定模块501，用于根据所述传输规则信息，在确定发送端能够将消息发送给接收端后，确定发送端到接收端的传输路径；

通知模块502，用于将所述传输路径通知给传输路径中的交换机。

较佳地，所述第一确定模块500还用于：

在接收到由发送端发送的用于申请进行通信的请求信息后，根据所述请求信息无法从所述第一ACL中确定请求信息的传输规则信息，将所述请求信息发送给防火墙，并在接收到所述防火墙发送的所述请求信息的传输规则信息后，根据所述请求信息的传输规则信息更新所述第一ACL，从所述第一ACL中确定请求信息的传输规则信息；

所述第二确定模块501还用于：

在接收到由发送端发送的用于申请进行通信的请求信息后，根据所述传输规则信息，在确定发送端能够将消息发送给接收端后，确定发送端到接收端的传输路径；

所述通知模块502还用于：

在接收到由发送端发送的用于申请进行通信的请求信息后，将所述传输路径通知给传输路径中的交换机。

较佳地，所述第一确定模块500还用于：

在接收到来自所述防火墙的所述请求信息的传输规则信息后，若所述防火墙未通过第二ACL发送请求信息的传输规则信息，将所述请求信息以及收到的所述请求信息的传输规则信息置于所述第一ACL中；或若所述防火墙通过第二ACL发送请求信息的传输规则信息，根据收到的第二ACL更新第一ACL。

较佳地，所述第二确定模块501还用于：

若所述传输规则信息为允许请求或安全请求，确定允许发送端将消息发送给接收端；若所述传输规则信息为可疑请求，将所述请求信息发送给防火墙，并根据所述防火墙的通知确定是否允许发送端将消息发送给接收端；若所述传输规则信息为拒绝请求，确定不允许发送端将消息发送给接收端。

较佳地，所述第一确定模块500还用于：

将所述传输路径通知给传输路径中的交换机之后，在接收到防火墙发送的更新的传输规则信息后，根据所述更新的传输规则信息更新第一ACL；根据更新后的第一ACL，重新确定所述请求信息的传输规则信息；

所述第二确定模块501还用于：

将所述传输路径通知给传输路径中的交换机之后，根据所述传输规则信息，在确定发送端能够将消息发送给接收端后，确定发送端到接收端的传输路径；

所述通知模块502还用于：

将所述传输路径通知给传输路径中的交换机之后，将所述传输路径通知给传输路径中的交换机。

较佳地，还包括：

抽样模块503，用于将所述传输路径通知给传输路径中的交换机之后，接收到防火墙通知的所述请求信息的更新传输规则信息之前，对发送端和接收端之间传输的所述请求信息对应的消息进行抽样，并将抽样后的所述请求信息对应的消息发送到防火墙。

较佳地，所述抽样模块503还用于：

根据更新后的第一ACL，重新确定所述请求信息的传输规则信息之后，若重新确定所述请求信息的传输规则信息为可疑请求，对所述发送端和接收端之间传输的其他请求信息对应的消息进行抽样，并将抽样后的所述其他请求信息对应的消息发送到防火墙。

较佳地，所述通知模块502还用于：

确定所述请求信息的传输规则信息之后，根据所述请求信息的传输规则信息，在确定不允许发送端能够将消息发送给接收端后，通知与发送端相连的所有交换机。

基于同一发明构思，本发明实施例中还提供了更新访问控制列表ACL的防火墙设备，由于本发明实施例更新访问控制列表ACL的防火墙设备对应的方法为更新访问控制列表ACL的方法，因此本发明实施例装置的实施可以参见方法的实施，重复之处不再赘述。

如图6所示，本发明实施例五更新访问控制列表ACL的防火墙设备，包括：

第三确定模块600，用于在接收到控制器发送的请求信息后，根据预设的安全策略确定所述请求信息的传输规则信息；

更新模块601，用于将传输规则信息或包含确定的传输规则信息的第二ACL发送给控制器，以使所述控制器根据收到传输规则信息的或第二ACL，更新用于判断是否允许进行请求信息对应的传输的第一ACL。

较佳地，所述第三确定模块600还用于：

在接收到发送端发给接收端的消息后，根据预设的安全策略，确定判断所述消息是否安全；

如果是，则根据消息中记录的地址信息，将所述消息发送给对应的交换机；

否则，通知所述控制器拒绝传输所述消息。

较佳地，所述第三确定模块600还用于：

在接收到控制器发送的请求信息后，根据预设的安全策略确定所述请求信息的传输规则信息，若确定的所述请求信息的传输规则信息为可疑请求，对发送端和接收端之间传输的其他请求信息对应的消息进行检测；

其中，所述发送端和接收端是用于传输所述请求信息对应消息的发送端和接收端。

较佳地，所述更新模块601还用于：

将传输规则信息或更新后的第二ACL发送给控制器，用于更新第一ACL后，根据预设的安全策略，对到来自所述控制器的抽样消息进行检测，并在检测到所述抽样消息为可疑消息后，通知所述控制器。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本发明的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例做出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。

显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。