流量安全监测方法、设备、装置、系统及可读存储介质与流程

1.本技术涉及网络安全技术领域，特别是涉及一种流量安全监测方法、设备、装置、系统及可读存储介质。

背景技术：

2.对于一个局域网而言，基于流量对其进行安全防护，能够有效防御外网攻击。在局域网中，按照流量流向可划分为南北向流量和东西向流量。其中，南北向流量(north-sourth-traffic)，即访问互联网的流量；东西向流量(east-west-traffic)，局域网内部互相访问的流量。
3.但是，目前，基于流量进行安全防护的方案，往往仅针对南北向流量进行安全检测，而忽略了对东西向流量的安全检查。从而导致局域网内部计算机被攻击之后，很快整个局域网就被沦陷了。
4.综上所述，如何有效地解决局域网内流量安全防护等问题，是目前本领域技术人员急需解决的技术问题。

技术实现要素：

5.本技术的目的是提供一种流量安全监测方法、设备、装置、系统及可读存储介质，能够对局域网内的东西向流量进行安全防护，可以保障局域网的网络安全。
6.为解决上述技术问题，本技术提供如下技术方案：
7.一种流量安全监测方法，包括：
8.将内网流量中的东西向流量引至出口网关；
9.接收所述出口网关转发的检测结果；所述检测结果为所述出口网关将所述东西向流量发送至网络安全检测平台进行安全检查后所得结果；
10.若所述检测结果为访问安全，则对所述东西向流量进行放行；
11.若所述检测结果为访问危险，则对所述东西向流量进行拦截。
12.优选地，所述将内网流量中的东西向流量引至出口网关，包括：
13.利用报文中的ip地址，从所述内网流量中确定出所述东西向流量；
14.将所述东西向流量引至所述出口网关。
15.优选地，将内网流量中的东西向流量引至出口网关，包括：
16.从网络拓扑中，确定出引流路由路径；
17.利用所述引流路由路径，将所述东西向流量引至所述出口网关。
18.优选地，在所述从网络拓扑中，确定出引流路由路径之前，还包括：
19.接收并解析udp广播报文，得到所属局域网内的设备信息；
20.利用所述设备信息，生成所述网络拓扑。
21.优选地，将内网流量中的东西向流量引至出口网关，包括：
22.按照引流协议，对所述东西向流量对应报文进行封装，得到目标报文；其中，所述
目标报文包括引流协议头、引流协议版本号、所述报文的长度，数据部分，其中所述数据部分为所述报文；
23.将所述目标报文发送至所述出口网关。
24.优选地，对所述东西向流量进行放行，包括：
25.对所述目标报文进行恢复处理，得到并发送所述报文。
26.优选地，对所述东西向流量进行拦截，包括：
27.若所述报文为udp报文，则丢弃；
28.若所述报文为tcp报文，则发送rst报文。
29.一种网络转发设备，包括：
30.存储器，用于存储计算机程序；
31.处理器，用于执行所述计算机程序时实现如上述流量安全监测方法的步骤。
32.一种流量安全监测系统，包括：出口网关、网络安全检测平台和如上述的网络转发设备；
33.其中，所述网络转发设备将内网流量中的东西向流量引至所述出口网关；
34.所述出口网关将所述东西向流量发送给所述网络安全检测平台；
35.所述网络安全检测平台对所述东西向流量进行安全检查，得到检测结果，并将所述检测结果发送给所述出口网关；
36.所述出口网关将所述检测结果转发给所述网络转发设备；
37.若所述检测结果为访问安全，所述网络转发设备对所述东西向流量进行放行；
38.若所述检测结果为访问危险，所述网络转发设备对所述东西向流量进行拦截。
39.一种流量安全监测装置，包括：
40.内网引流模块，用于将内网流量中的东西向流量引至出口网关；
41.检测结果接收模块，用于接收所述出口网关转发的检测结果；所述检测结果为所述出口网关将所述东西向流量发送至网络安全检测平台进行安全检查后所得结果；
42.通行控制模块，用于若所述检测结果为访问安全，则对所述东西向流量进行放行；若所述检测结果为访问危险，则对所述东西向流量进行拦截。
43.一种可读存储介质，所述可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现上述流量安全监测方法的步骤。
44.应用本技术实施例所提供的方法，将内网流量中的东西向流量引至出口网关；接收出口网关转发的检测结果；检测结果为出口网关将东西向流量发送至网络安全检测平台进行安全检查后所得结果；若检测结果为访问安全，则对东西向流量进行放行；若检测结果为访问危险，则对东西向流量进行拦截。
45.在本技术中，将内网流量中的东西向流量引至出口网关。然后，出口网关可将该东西向流量发送给网络安全检测平台进行安全检查，在出口网关得到检测结果后进行转发。在得到检测结果之后，便可基于该检测结果明确访问是否危险，如果危险，则对该东西向流量进行拦截，反之，则对该东西向流量进行放行。也就是说，在本技术中，通过对东西向流量进行引流，可以让其流经出口网关并最终在网络安全检测平台接受安全检查。基于该检测结果，可以将访问危险的东西向流量进行拦截，能够保障网络安全。
46.相应地，本技术实施例还提供了与上述流量安全监测方法相对应的流量安全监测
装置、系统、设备和可读存储介质，具有上述技术效果，在此不再赘述。
附图说明
47.为了更清楚地说明本技术实施例或相关技术中的技术方案，下面将对实施例或相关技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
48.图1为本技术实施例中一种流量安全监测方法的实施流程图；
49.图2为本技术实施例中一种流量安全监测方法的具体实施示意图；
50.图3为本技术实施例中一种网络转发设备的结构示意图；
51.图4为本技术实施例中一种网络转发设备的具体结构示意图；
52.图5为本技术实施例中一种流量安全监测系统的示意图；
53.图6为本技术实施例中一种流量安全监测装置的结构示意图。
具体实施方式
54.为了使本技术领域的人员更好地理解本技术方案，下面结合附图和具体实施方式对本技术作进一步的详细说明。显然，所描述的实施例仅仅是本技术一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本技术保护的范围。
55.请参考图1，图1为本技术实施例中一种流量安全监测方法的流程图，该方法可以应用于网络转发设备，如交换机，路由器等网络转发设备，该方法包括以下步骤：
56.s101、将内网流量中的东西向流量引至出口网关。
57.其中，内网流量，即各网络或称局域网，如分公司、办事处、机构或者单位等的用户访问内部资源或互联网资源对应的流量。需要流经出口网关访问互联网资源对应的流量即为南北向流量；而访问内部资源服务器、内网用户们相互下载上传文件等操作产生的流量即为东西向流量。
58.在本技术中的一种具体实施方式中，步骤s101将内网流量中的东西向流量引至出口网关，包括：
59.步骤一、利用报文中的ip地址，从内网流量中确定出东西向流量；
60.步骤二、将东西向流量引至出口网关。
61.为便于描述，下面将上述两个步骤结合起来进行说明。
62.当网络转发设备接收到报文，可直接基于ip地址确定对应流量是否属于东西向流量。具体的，当目的ip地址为局域网内部地址时，则确定对应流量为东西向流量，否则即为南北向流量。也就是说，若流量的目的ip地址属于局域网，则可确定该流量为东西向流量；若流量的目的ip地址并非属于局域网，则可确定该流量为南北向流量。
63.由于南北向流量会经过出口网关，而东西向流量不会经过出口网关，因而还可判断流量本身是否会经过出口网关，来确定该流量的具体属于东西向流量还是南北向流量。
64.确定出东西向流量之后，为了对东西向流量进行安全检测，可以直接将东西向流量引流至出口网关。
65.需要注意的是，通常情况下，对于东西向流量而言，其并不会流经出口网关。即，在本技术中，是将本不会流经出口网关的东西向流量引流至南北向流量才会抵达的出口网关。
66.在实际应用中，可以设置一个引流模块，应用收集设备信息并生成网络拓扑，以及识别发现东西向流量并完成引流过程。
67.s102、接收出口网关转发的检测结果。
68.其中，检测结果为出口网关将东西向流量发送至网络安全检测平台进行安全检查后所得结果。
69.其中，网络安全检测平台即能够对所接收到的流量进行安全检查，从而得知该流量对应的访问是否安全的检查结果。具体的，该网络安全检测平台可以为任意一个具体流量安全检查功能的平台或机器(设备)，例如，该网络安全检测平台可以具体为sase平台，sse平台等。
70.其中，sase(secure access service edge，安全访问服务边缘)是一种基于实体的身份、实时上下文、企业安全/合规策略，以及在整个会话中持续评估风险/信任的服务。实体的身份可与人员、人员组(如分支办公室)、设备、应用、服务、物联网系统或边缘计算场地相关联。
71.其中，sse(security service edge)为一组以云为中心的集成安全功能，保护对web、云服务和私有应用程序的访问，功能包括访问控制、威胁保护、数据安全、安全监控以及通过基于网络和基于api的集成实施的可接受使用控制。
72.为便于描述，在本文中，以网络安全检测平台具体为sase平台为例进行详细说明，对于当网络安全检测平台具体为其他能够对流量进行安全检测，并能获得检测结果表明访问是否安全的其他平台或设备的具体实施，可以参照与此，在此不再一一赘述。
73.即，出口网关会将引流到的东西向流量发至sase平台进行安全检查，并得到检测结果。该检测结果即可以表明该东西向流量对应的访问是否安全。
74.出口网关得到该检测结果之后，可将其反馈给网络转发设备。
75.s103、若检测结果为访问安全，则对东西向流量进行放行。
76.网络转发设备收到检测结果后，若该检测结果表明访问安全，则可直接对该东西向流量进行放行。
77.需要注意的是，这里所指的对该东西向流量进行放行，即让该东西向流量正常按照原本的流向继续，即此时的东西向流量在局域网内进行流转而不经过出口网关。例如，若存在内网主机a访问内网主机b对应的流量，经引流到出口网关并完成流量安全检测之后，确定访问安全，则允许内网主机a访问内网主机b，让对应的流量通过。
78.s104、若检测结果为访问危险，则对东西向流量进行拦截。
79.网络转发设备收到检测结果后，若该检测结果表明访问危险，此时为了安全考虑，可可直接对该东西向流量进行拦截。即使得该东西向流量不继续流转，避免造成安全事务。
80.应用本技术实施例所提供的方法，将内网流量中的东西向流量引至出口网关；接收出口网关转发的检测结果；检测结果为出口网关将东西向流量发送至网络安全检测平台进行安全检查后所得结果；若检测结果为访问安全，则对东西向流量进行放行；若检测结果为访问危险，则对东西向流量进行拦截。
81.在本技术中，将内网流量中的东西向流量引至出口网关。然后，出口网关可将该东西向流量发送给网络安全检测平台进行安全检查，在出口网关得到检测结果后进行转发。在得到检测结果之后，便可基于该检测结果明确访问是否危险，如果危险，则对该东西向流量进行拦截，反之，则对该东西向流量进行放行。也就是说，在本技术中，通过对东西向流量进行引流，可以让其流经出口网关并最终在网络安全检测平台接受安全检查。基于该检测结果，可以将访问危险的东西向流量进行拦截，能够保障网络安全。
82.需要说明的是，基于上述实施例，本技术实施例还提供了相应的改进方案。在优选/改进实施例中涉及与上述实施例中相同步骤或相应步骤之间可相互参考，相应的有益效果也可相互参照，在本文的优选/改进实施例中不再一一赘述。
83.在本技术中的一种具体实施方式中，步骤s101将内网流量中的东西向流量引至出口网关，包括：
84.步骤一、从网络拓扑中，确定出引流路由路径；
85.步骤二、利用引流路由路径，将东西向流量引至出口网关。
86.为便于描述，下面将上述两个步骤结合起来进行说明。
87.网络转发设备可预先获取整个局域网的网络拓扑，当确定出有东西向流量之后，便可从网络拓扑中，确定出引流路由路径。然后，基于该引流路由路径将该东西向流量引至出口网关。
88.在实际应用中，可以在执行上述步骤一从网络拓扑中，确定出引流路由路径之前，自动生成该网络拓扑，具体实施步骤包括：
89.步骤1、接收并解析udp广播报文，得到所属局域网内的设备信息；
90.步骤2、利用设备信息，生成网络拓扑。
91.所有设备可周期性地发布udp广播报文，从而广播当前自身设备的ip、mac等信息。例如，出口网关设备可定期通过udp广播报文，发送自己的网关信息(包括ip、mac等信息)以及收到的别的设备广播的ip、mac信息。
92.转发设备接收到网关或其他设备(如用户终端)的广播的信息后，可将收到的信息进行记录，然后，基于这些设备信息可完成网络拓扑的自动生成，以便后续转发报文时知道如何发送报文到出口网关。
93.在本技术中的一种具体实施方式中，步骤s101将内网流量中的东西向流量引至出口网关，包括：
94.步骤一、按照引流协议，对东西向流量对应报文进行封装，得到目标报文；其中，目标报文包括引流协议头、引流协议版本号、报文的长度，数据部分，其中数据部分为报文；步骤二、将目标报文发送至出口网关。
95.为便于描述，下面将上述两个步骤结合起来进行说明。
96.在本技术中，可以设置一个引流协议，在该引流协议中规定报文封装的标准，以及识别的方式等。当需要对东西向流量进行引流时，则可按照该引流协议，对东西向流量对应的报文进行封装。为便于区别，在本技术中将封装后的报文称之为目标报文。该目标报文包括引流协议头、引流协议版本号、报文的长度和数据部分，数据报文即原报文。其中，引流协议头即类似一个用来判断文件类型魔数，可基于引流协议头发现此报文需进行引流处理。引流协议版本号(version)，可用于实现版本兼容。
97.举例说明：若将原来发送的报文格式用a表示。这里对原发送的报文的格式本身并不做限定，例如该报文可以为udp报文格式或tcp报文格式。转发的报文时，则会将a进行一个封装，从而变成目标报文，该目标报文：引流协议头|引流协议版本号|数据a的长度|数据部分：a|。
98.对报文进行封装后，得到目标报文，可直接将目标报文发送至出口网关。基于存在封装信息，因而出口网关可明确该目标报文也需进行安全防护并无需将其发送到互联网中。
99.也就是说，封装后得到的目标报文包括了全部的原报文，因而在将目标报文引流到sase平台后，该sase平台可以对目标报文进行解析，得到原报文，基于原报文实现安全检测，得到该东西向流量对应的检测结果。即，该检测结果即为东西向流量对应的结果，对东西向流量进行引流不会使得东西向流量本身发生变化，也不会使得检测结果与该东西向流量不匹配的情况。
100.在本技术中的一种具体实施方式，步骤s103对东西向流量进行放行，包括：对目标报文进行恢复处理，得到并发送报文。具体的，可对目标报文去封装处理，从而得到封装前的原报文。得到该报文之后，可直接对该报文进行发送。需要注意的是，此时对报文进行发送，则是在局域网内部进行东西向发送，而非南北向发送，即不会发送到出口网关。
101.当然，在实际应用中，考虑到访问往往还对应有应答，因而还直接构造好报文发送给对应的引流模块，引流模块将访问报文转发给目的设备，目的设备返回结果由经过引流模块给到网关，网关再发给sase平台，根据结果返回给源设备，从而完成通行通路。
102.在本技术中的一种具体实施方式，步骤s1037、根据权利要求5的流量安全监测方法，其特征在于，对东西向流量进行拦截，包括：
103.情况1：若报文为udp报文，则丢弃；
104.情况2：若报文为tcp报文，则发送rst报文。
105.当报文为udp报文，由于udp(用户数据报协议，user datagram protocol)无需建立连接就可以发送封装的ip数据报，因而此时可直接将其丢弃。
106.当报文为tcp报文，由于tcp(传输控制协议，transmission control protocol)是一种面向连接的、可靠的、基于字节流的传输层通信协议，因而，当需要对该东西向流量进行拦截时，可直接发送rst报文。
107.也就是说，当需要对东西向流量进行拦截时，则不再继续允许该东西向流量流通，对于udp报文而言不继续发送将其丢弃即可，对于tcp报文，不继续转发将其丢弃，并发送rst报文来断开tcp连接。其中，rst报文不会导致另一端产生任何响应,即另一端根本不进行确认。收到rst的一方将终止该连接,并通知应用层连接复位。
108.为便于本领域技术人员更好地应用本技术实施例所提供的流量安全监测方法，下面结合具体应用场景为例，对流量安全监测方法的实施进行详细说明。
109.请参考图2，图2为本技术实施例中一种流量安全监测方法的具体实施示意图。具体实现过程如下：
110.网络设备部署完成后，所有设备会定时同步当前设备的信息；网络交换设备同步自身设备的mac、ip等信息，网关设备同步自身收到的所有交换设备的信息以及自身网关本身的信息，网络交换设备将收到的信息进行存储记录。
111.网络交换设备接收到所有报文，根据自身生成的引流网络拓扑，提取需要转发至的网关设备信息，获取其mac和ip地址等信息，在东西向流量对应的报文的基础上构造转发报文(即目标报文)并转发至出口网关完成引流。
112.如此，在如pc、手机和笔记本等终端设备上网/资源访问时，网络交换设备可将东西向流量转发至出口网关。
113.出口网关继续将该东西向流量转发到sase平台处理，并接收sase平台反馈的检测结果。出口网关将检测结果发送给网络交换设备。
114.网络交换设备接收到该检测结果后，则确定对应的东西向流量进行对应处理，即允许通行或拒绝放行。
115.如果允许同行直接构造好报文发送给对应的引流模块，引流模块将访问报文转发给目的设备，目的设备返回结果由经过引流模块给到网关，网关再发给sase平台，根据结果返回给源设备，从而完成通行通路。
116.如果是拒绝，对于udp报文直接不做恢复，对于tcp报文，则发送rst报文解决处理。
117.相应于上面的方法实施例，本技术实施例还提供了一种网络转发设备，下文描述的一种网络转发设备与上文描述的一种流量安全监测方法可相互对应参照。
118.参见图3所示，该网络转发设备包括：
119.存储器332，用于存储计算机程序；
120.处理器322，用于执行计算机程序时实现上述方法实施例的流量安全监测方法的步骤。
121.具体的，请参考图4，图4为本实施例提供的一种网络转发设备的具体结构示意图，该网络转发设备可因配置或性能不同而产生比较大的差异，可以包括一个或一个以上处理器(central processing units，cpu)322(例如，一个或一个以上处理器)和存储器332，存储器332存储有一个或一个以上的计算机应用程序342或数据344。其中，存储器332可以是短暂存储或持久存储。存储在存储器332的程序可以包括一个或一个以上模块(图示没标出)，每个模块可以包括对数据处理设备中的一系列指令操作。更进一步地，中央处理器322可以设置为与存储器332通信，在网络转发设备301上执行存储器332中的一系列指令操作。
122.网络转发设备301还可以包括一个或一个以上电源326，一个或一个以上有线或无线网络接口350，一个或一个以上输入输出接口358，和/或，一个或一个以上操作系统341。
123.上文所描述的流量安全监测方法中的步骤可以由网络转发设备的结构实现。
124.相应于上面的实施例，本技术实施例还提供了一种流量安全监测系统，下文描述的一种流量安全监测系统与上文描述的一种流量安全监测方法以及上述的一种网络转发设备可相互对应参照。
125.如图5所示，该系统包括：
126.出口网关300、网络安全检测平台400和如上述实施例的网络转发设备200；
127.其中，网络转发设备将内网流量中的东西向流量引至出口网关；
128.出口网关将东西向流量发送给网络安全检测平台；
129.网络安全检测平台对东西向流量进行安全检查，得到检测结果，并将检测结果发送给出口网关；
130.出口网关将检测结果转发给网络转发设备；
131.若检测结果为访问安全，网络转发设备对东西向流量进行放行；
132.若检测结果为访问危险，网络转发设备对东西向流量进行拦截。
133.其中，终端设备100可以具体为手机、pc和笔记本等；图5中仅绘制了个别终端设备、个别网络转发设备，在实际应用中个别终端设备、个别网络转发设备的数量更多，在此不一一绘制。另外，图5中的连线仅用于便于理解东西向流量的引流转发涉及路线，而并未完全绘制出流量的全部路径。
134.应用本技术实施例所提供的系统，将内网流量中的东西向流量引至出口网关；接收出口网关转发的检测结果；检测结果为出口网关将东西向流量发送至网络安全检测平台进行安全检查后所得结果；若检测结果为访问安全，则对东西向流量进行放行；若检测结果为访问危险，则对东西向流量进行拦截。
135.在本技术中，将内网流量中的东西向流量引至出口网关。然后，出口网关可将该东西向流量发送给网络安全检测平台进行安全检查，在出口网关得到检测结果后进行转发。在得到检测结果之后，便可基于该检测结果明确访问是否危险，如果危险，则对该东西向流量进行拦截，反之，则对该东西向流量进行放行。也就是说，在本技术中，通过对东西向流量进行引流，可以让其流经出口网关并最终在网络安全检测平台接受安全检查。基于该检测结果，可以将访问危险的东西向流量进行拦截，能够保障网络安全。
136.相应于上面的实施例，本技术实施例还提供了一种流量安全监测装置，下文描述的一种流量安全监测装置与上文描述的一种流量安全监测方法可相互对应参照。
137.如图6所示，该装置包括：
138.内网引流模块101，用于将内网流量中的东西向流量引至出口网关；
139.检测结果接收模块102，用于接收出口网关转发的检测结果；检测结果为出口网关将东西向流量发送至网络安全检测平台进行安全检查后所得结果；
140.通行控制模块103，用于若检测结果为访问安全，则对东西向流量进行放行；若检测结果为访问危险，则对东西向流量进行拦截。
141.应用本技术实施例所提供的装置，该装置将内网流量中的东西向流量引至出口网关；接收出口网关转发的检测结果；检测结果为出口网关将东西向流量发送至网络安全检测平台进行安全检查后所得结果；若检测结果为访问安全，则对东西向流量进行放行；若检测结果为访问危险，则对东西向流量进行拦截。
142.在本技术中，将内网流量中的东西向流量引至出口网关。然后，出口网关可将该东西向流量发送给网络安全检测平台进行安全检查，在出口网关得到检测结果后进行转发。在得到检测结果之后，便可基于该检测结果明确访问是否危险，如果危险，则对该东西向流量进行拦截，反之，则对该东西向流量进行放行。也就是说，在本技术中，通过对东西向流量进行引流，可以让其流经出口网关并最终在网络安全检测平台接受安全检查。基于该检测结果，可以将访问危险的东西向流量进行拦截，能够保障网络安全。
143.在本技术中的一种具体实施方式中，内网引流模块101，具体用于利用报文中的ip地址，从内网流量中确定出东西向流量；将东西向流量引至出口网关。
144.在本技术中的一种具体实施方式中，内网引流模块101，具体用于从网络拓扑中，确定出引流路由路径；利用引流路由路径，将东西向流量引至出口网关。
145.在本技术中的一种具体实施方式中，还包括：
146.网络拓扑生成模块，用于在从网络拓扑中，确定出引流路由路径之前，接收并解析udp广播报文，得到所属局域网内的设备信息；利用设备信息，生成网络拓扑。
147.在本技术中的一种具体实施方式中，内网引流模块101，具体用于按照引流协议，对东西向流量对应报文进行封装，得到目标报文；其中，目标报文包括引流协议头、引流协议版本号、报文的长度，数据部分，其中数据部分为报文；将目标报文发送至出口网关。
148.在本技术中的一种具体实施方式中，通行控制模块103，具体用于对目标报文进行恢复处理，得到并发送报文。
149.在本技术中的一种具体实施方式中，通行控制模块103，具体用于若报文为udp报文，则丢弃；若报文为tcp报文，则发送rst报文。
150.相应于上面的方法实施例，本技术实施例还提供了一种可读存储介质，下文描述的一种可读存储介质与上文描述的一种流量安全监测方法可相互对应参照。
151.一种可读存储介质，可读存储介质上存储有计算机程序，计算机程序被处理器执行时实现上述方法实施例的流量安全监测方法的步骤。
152.该可读存储介质具体可以为u盘、移动硬盘、只读存储器(read-only memory，rom)、随机存取存储器(random access memory，ram)、磁碟或者光盘等各种可存储程序代码的可读存储介质。
153.本领域技术人员还可以进一步意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。本领域技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本技术的范围。

技术特征：

1.一种流量安全监测方法，其特征在于，包括：将内网流量中的东西向流量引至出口网关；接收所述出口网关转发的检测结果；所述检测结果为所述出口网关将所述东西向流量发送至网络安全检测平台进行安全检查后所得结果；若所述检测结果为访问安全，则对所述东西向流量进行放行；若所述检测结果为访问危险，则对所述东西向流量进行拦截。2.根据权利要求1所述的流量安全监测方法，其特征在于，所述将内网流量中的东西向流量引至出口网关，包括：利用报文中的ip地址，从所述内网流量中确定出所述东西向流量；将所述东西向流量引至所述出口网关。3.根据权利要求1所述的流量安全监测方法，其特征在于，将内网流量中的东西向流量引至出口网关，包括：从网络拓扑中，确定出引流路由路径；利用所述引流路由路径，将所述东西向流量引至所述出口网关。4.根据权利要求3所述的流量安全监测方法，其特征在于，在所述从网络拓扑中，确定出引流路由路径之前，还包括：接收并解析udp广播报文，得到所属局域网内的设备信息；利用所述设备信息，生成所述网络拓扑。5.根据权利要求1至4任一项所述的流量安全监测方法，其特征在于，将内网流量中的东西向流量引至出口网关，包括：按照引流协议，对所述东西向流量对应报文进行封装，得到目标报文；其中，所述目标报文包括引流协议头、引流协议版本号、所述报文的长度，数据部分，其中所述数据部分为所述报文；将所述目标报文发送至所述出口网关。6.根据权利要求5所述的流量安全监测方法，其特征在于，对所述东西向流量进行放行，包括：对所述目标报文进行恢复处理，得到并发送所述报文。7.根据权利要求5所述的流量安全监测方法，其特征在于，对所述东西向流量进行拦截，包括：若所述报文为udp报文，则丢弃；若所述报文为tcp报文，则发送rst报文。8.一种网络转发设备，其特征在于，包括：存储器，用于存储计算机程序；处理器，用于执行所述计算机程序时实现如权利要求1至7任一项所述流量安全监测方法的步骤。9.一种流量安全监测系统，其特征在于，包括：出口网关、网络安全检测平台和如权利要求8所述的网络转发设备；其中，所述网络转发设备将内网流量中的东西向流量引至所述出口网关；所述出口网关将所述东西向流量发送给所述网络安全检测平台；
所述网络安全检测平台对所述东西向流量进行安全检查，得到检测结果，并将所述检测结果发送给所述出口网关；所述出口网关将所述检测结果转发给所述网络转发设备；若所述检测结果为访问安全，所述网络转发设备对所述东西向流量进行放行；若所述检测结果为访问危险，所述网络转发设备对所述东西向流量进行拦截。10.一种流量安全监测装置，其特征在于，包括：内网引流模块，用于将内网流量中的东西向流量引至出口网关；检测结果接收模块，用于接收所述出口网关转发的检测结果；所述检测结果为所述出口网关将所述东西向流量发送至网络安全检测平台进行安全检查后所得结果；通行控制模块，用于若所述检测结果为访问安全，则对所述东西向流量进行放行；若所述检测结果为访问危险，则对所述东西向流量进行拦截。11.一种可读存储介质，其特征在于，所述可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如权利要求1至7任一项所述流量安全监测方法的步骤。

技术总结

本申请公开了一种流量安全监测方法、设备、装置、系统、及可读存储介质，该方法包括：将内网流量中的东西向流量引至出口网关；接收出口网关转发的检测结果；检测结果为出口网关将东西向流量发送至网络安全检测平台进行安全检查后所得结果；若检测结果为访问安全，则对东西向流量进行放行；若检测结果为访问危险，则对东西向流量进行拦截。本申请属于网络安全技术领域，在本申请中，通过对东西向流量进行引流，可以让其流经出口网关并最终在网络安全检测平台接受安全检查。基于该检测结果，可以将访问危险的东西向流量进行拦截，能够保障网络安全。络安全。络安全。