專利名稱:多功能綜合安全網(wǎng)關(guān)系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)安全網(wǎng)關(guān)技術(shù)領(lǐng)域�����,特別是一種多功能綜合安全網(wǎng)關(guān)系統(tǒng)�����。
背景技術(shù):
現(xiàn)有技術(shù)主要有防火墻�����,防火墻采用先進的內(nèi)核狀態(tài)檢測包過濾技術(shù)��,在操作系 統(tǒng)的內(nèi)核級實現(xiàn)了多層次的數(shù)據(jù)流檢測�,實現(xiàn)對數(shù)據(jù)流的細粒度檢測。防火墻在數(shù)據(jù)鏈路 層上實現(xiàn)了對數(shù)據(jù)幀的控制��,網(wǎng)絡(luò)層���、傳輸層實現(xiàn)策略路由和狀態(tài)檢測包過濾�����,應(yīng)用層實現(xiàn) 了通用的內(nèi)容過濾��。日志的生成也是由內(nèi)核提交給日志守護進程��,使日志信息異常豐富�����,能 夠精確到每一個會話的數(shù)據(jù)流量���。從中可以看出防火墻主要是檢測網(wǎng)絡(luò)層和傳輸層的數(shù)據(jù) 包狀態(tài)�,并根據(jù)相應(yīng)的策略作處理����,其技術(shù)是一種用來加強網(wǎng)絡(luò)之間訪問控制,主要基于數(shù) 據(jù)包的五元組信息對數(shù)據(jù)包進行過濾��,對所有的進出數(shù)據(jù)包的狀態(tài)進行檢測��,一般工作于 網(wǎng)絡(luò)0SI參考模型的3 4層�����,對于應(yīng)用層防火墻只能簡單的識別常見服務(wù)�����,無法深層次分 析����,如面對隱藏在應(yīng)用中的病毒、木馬是毫無辦法的??梢姺阑饓δ茌^單一���,無法解決整 個網(wǎng)絡(luò)層次應(yīng)用的安全�,需和帶有其它功能的設(shè)備組合使用���,如防病毒��、入侵防御�����、反垃圾 郵件和內(nèi)容過濾等���。
發(fā)明內(nèi)容
鑒于上述的技術(shù)不足,本發(fā)明的目的是提供一種多功能綜合安全網(wǎng)關(guān)系統(tǒng)�,其實
現(xiàn)將防病毒與入侵檢測功能融合于防火墻中,提供從網(wǎng)絡(luò)層到應(yīng)用層的全面安全保護�����。 本發(fā)明是這樣實現(xiàn)的�,一種多功能綜合安全網(wǎng)關(guān)系統(tǒng),其特征在于包括管理中
心、數(shù)據(jù)中心�����、報文接收模塊����、報文處理模塊、報文發(fā)送模塊��、行為知識庫及統(tǒng)一特征庫�;網(wǎng)
絡(luò)報文首先通過所述的報文接收模塊進行預(yù)處理后進入所述的報文處理模塊,在報文處理
模塊中���,防火墻進行2 3層過濾�����,VPN負責接入控制���,其中模塊匹配引擎和行為分析引擎
分別根據(jù)所述的統(tǒng)一特征庫和行為知識庫進行匹配查找;其次利用完全性保護技術(shù)在報文
處理過程中�����,實時將網(wǎng)絡(luò)層數(shù)據(jù)負載重組為應(yīng)用層對象,再通過動態(tài)更新病毒和蠕蟲特征
來進行掃描和分析���;最后�,對于合法報文直接交由報文所述的發(fā)送模塊進行報文轉(zhuǎn)發(fā)�,對于
非法報文��,送交響應(yīng)的處理引擎進行處理����;其中整個過程的日志信息和數(shù)據(jù)流量信息送所
述的數(shù)據(jù)中心進行監(jiān)控和備案,所述管理中心負責整體的配置和調(diào)整����。 本發(fā)明具有以下有益效果 1、將防病毒和入侵檢測功能融合于防火墻之中����,成為防御混合型攻擊的利劍。
2���、提供綜合的功能和安全的性能���,降低了復(fù)雜度,也降低了成本,適合企業(yè)�����、服務(wù) 提供商和中小辦公用戶的網(wǎng)絡(luò)環(huán)境���。 3���、能為用戶定制安全策略,提供靈活性�。用戶既可以使用綜合安全網(wǎng)關(guān)的全部功 能,也可酌情使用最需要的某一特定功能��。 4����、能提供全面的管理、報告和日志平臺�,用戶可以統(tǒng)一地管理全部安全特性,包括 特征庫更新和日志報告等���。
圖1是本發(fā)明的系統(tǒng)架構(gòu)原理示意圖�。
圖2是本發(fā)明的硬件架構(gòu)示意圖���。
具體實施例方式
下面結(jié)合附圖及實施例子對本發(fā)明做進一步說明���。 首先�����,為讓一般技術(shù)人員充分了解本發(fā)明�,這里我們先對本發(fā)明采用的相關(guān)技術(shù) 進行簡述 1)�、完全性內(nèi)容保護(CCP) CCP提供對OSI網(wǎng)絡(luò)模型所有層次上的網(wǎng)絡(luò)威脅的實時保護��。這種方法比防火墻 狀態(tài)檢測(檢查數(shù)據(jù)包頭)和深度包檢測(在狀態(tài)檢測包過濾基礎(chǔ)上提供額外檢查)等技 術(shù)先進�����。它具備在千兆網(wǎng)絡(luò)環(huán)境中�,實時將網(wǎng)絡(luò)層數(shù)據(jù)負載重組為應(yīng)用層對象(如文件和 文檔)的能力,而且重組之后的應(yīng)用層對象可以通過動態(tài)更新病毒和蠕蟲特征來進行掃描 和分析�。CCP還可探測其他各種威脅,包括不良Web內(nèi)容����、垃圾郵件、間諜軟件和網(wǎng)絡(luò)釣魚欺 騙�。 2)�、ASIC加速技術(shù) ASIC芯片是綜合安全網(wǎng)關(guān)產(chǎn)品的一個關(guān)鍵組成部分���。為了提供千兆級實時的應(yīng)用 層安全服務(wù)(如防病毒和內(nèi)容過濾)的平臺����,專門為網(wǎng)絡(luò)骨干和邊界上高性能內(nèi)容處理設(shè) 計的體系結(jié)構(gòu)是必不可少的��。ASIC芯片集成了硬件掃描引擎��、硬件加密和實時內(nèi)容分析處 理能力�,提供防火墻、加密/解密��,特征匹配和啟發(fā)式數(shù)據(jù)包掃描�����,以及流量整形的加速功 能�����。由于CCP需要強勁的處理能力和更大容量的內(nèi)存來支持���,僅利用通用服務(wù)器和網(wǎng)絡(luò)系 統(tǒng)要實現(xiàn)內(nèi)容處理往往在性能上達不到要求����。
3)、定制的操作系統(tǒng)0S 專用的強化安全的OS提供精簡的���、高性能防火墻和內(nèi)容安全檢測平臺���。基于內(nèi)容 處理加速模塊的硬件加速��,加上智能排隊和管道管理���,OS使各種類型流量的處理時間達到 最小���,從而給用戶提供最好的實時系統(tǒng)����,有效地實現(xiàn)防病毒、防火墻��、VPN��、反垃圾郵件����、IDP
等功能�。 4)�����、緊密型模式識別語言(CPRL) 這一智能技術(shù)是針對完全的內(nèi)容防護中大量計算程式所需求的加速而設(shè)計的����。狀 態(tài)檢測防火墻、防病毒檢測和入侵檢測的功能要求����,引發(fā)了新的安全算法包括基于行為的 啟發(fā)式算法,利用在安全要素之間共享信息的優(yōu)勢�。這無疑是對付零日攻擊、提升檢測威脅 能力的好辦法�。 5)、動態(tài)威脅管理檢測技術(shù)(CPRL) 動態(tài)威脅防御系統(tǒng)(Dynamic Threat Prevention System,簡稱DTPS)是由針對 已知和未知威脅而增強檢測能力的技術(shù)�。DTPS將防病毒、IDS�、 IPS和防火墻等各種安全模 塊無縫集成在一起,將其中的攻擊信息相互關(guān)聯(lián)和共享�����,以識別可疑的惡意流量特征。DTPS 通過將各種檢測過程關(guān)聯(lián)在一起�,跟蹤每一安全環(huán)節(jié)的檢測活動,并通過啟發(fā)式掃描和異 常檢測引擎檢查���,提高整個系統(tǒng)的檢測精確度����。
本發(fā)明從"一體化"的角度考慮�,從底層操作系統(tǒng),到各個功能模塊���,再到安全事件 庫����,各個部分之間的關(guān)系不是獨立的���,是緊密配合、相互補充的���。如圖l所示���,本發(fā)明包括 管理中心���、數(shù)據(jù)中心、報文接收模塊���、報文處理模塊�、報文發(fā)送模塊���、行為知識庫和統(tǒng)一特征 庫�����。網(wǎng)絡(luò)報文首先通過報文接收模塊進行預(yù)處理后進入報文處理模塊�����,在報文處理模塊��,防 火墻進行2 3層過濾���,VPN負責接入控制;其次模塊匹配引擎和行為分析引擎分別根據(jù)統(tǒng) 一特征庫和行為知識庫進行匹配查找��;利用完全性保護技術(shù)在報文處理過程中,實時將網(wǎng) 絡(luò)層數(shù)據(jù)負載重組為應(yīng)用層對象(如文件和文檔)的能力�����,而且重組之后的應(yīng)用層對象可 以通過動態(tài)更新病毒和蠕蟲特征來進行掃描和分析��。最后�,對于合法報文直接交由報文發(fā) 送模塊進行報文轉(zhuǎn)發(fā),對于非法報文����,送交響應(yīng)的處理引擎進行處理。整個過程的日志信息 和數(shù)據(jù)流量信息送數(shù)據(jù)中心監(jiān)控和備案����,管理中心負責整體的配置和調(diào)整。針對系統(tǒng)所需 處理大量數(shù)據(jù)報文��,綜合安全網(wǎng)關(guān)采用定制的操作系統(tǒng)和ASIC加速技術(shù)����,通過ASIC芯片、 智能排隊�����、管道管理和緊密型模式識別語言等方式�����,對收發(fā)和處理報文進行加速處理�。如 防病毒處理過程,在數(shù)據(jù)經(jīng)過報文接收模塊時�����,通過報文預(yù)處理和分流后�����,利用ASIC芯片 分流出與防病毒相關(guān)的數(shù)據(jù)流����,然后把數(shù)據(jù)送至防病毒處理引擎,防病毒內(nèi)容處理引擎對 數(shù)據(jù)流進行處理后��,軟件再調(diào)用ASIC加速器進行加速�,符合要求則放行,不符后則丟棄����。最 后利用動態(tài)威脅管理檢測技術(shù),將內(nèi)容過濾、IPS����、防病毒、防垃圾郵件等無縫集成在一起�, 對各種檢測過程進行關(guān)聯(lián),并跟蹤每一個安全環(huán)節(jié)的檢測活動��,以提高系統(tǒng)的檢測精確度����, 對系統(tǒng)安全高效運行提供有效保障。 下面對本發(fā)明的相關(guān)硬件結(jié)構(gòu)進行介紹���,請繼續(xù)參考圖2�����,圖2是本發(fā)明的硬件 架構(gòu)示意圖��,由圖可知綜合安全網(wǎng)關(guān)利用硬件板卡技術(shù)�����,每一種安全應(yīng)用均有獨立的CPU���、 存儲�、總線等����,各安全應(yīng)用之間不存在資源的競爭�����,因此能夠保證在多種安全功能同時打開 時����,仍然能夠保證整個設(shè)備的高性能。同時還能夠?qū)崿F(xiàn)所謂"數(shù)據(jù)量安全調(diào)度"的能力�����,提 高設(shè)備的處理效率��。 此外����,本發(fā)明所利用的處理器是經(jīng)過定制的處理器,可以實現(xiàn)將已有的攻擊特征 庫與內(nèi)存中的數(shù)據(jù)進行匹配�。內(nèi)存中目標可以是網(wǎng)絡(luò)流量數(shù)據(jù)包�����,或者是壓縮后文檔中的 文件��。這些處理器對協(xié)議識別和解析是高度適配的��,允許它們從數(shù)據(jù)中快速組合目標����,并對 可疑的內(nèi)容進行檢測����。 為了提供千兆級實時的應(yīng)用層安全服務(wù)(如防病毒和內(nèi)容過濾)的平臺,專門為 網(wǎng)絡(luò)骨干和邊界上高性能內(nèi)容處理設(shè)計相應(yīng)的體系結(jié)構(gòu)��。從圖2可以看出�����,CPU板卡中可放 置相應(yīng)處理器��。其中內(nèi)容處理器并不是設(shè)置在流量通道中�����,當通用處理器(GPU)下達指令 時,內(nèi)容處理器自動地執(zhí)行相關(guān)功能�。內(nèi)容處理器還包括加密引擎,在目標與"已知"的威 脅比對時�����,能起到加速防病毒和IP技術(shù)���。當系統(tǒng)需要大量計算時,內(nèi)容處理器則使GPU免 除高密度計算�����。網(wǎng)絡(luò)處理器是高速執(zhí)行和處理網(wǎng)絡(luò)流量的硬件設(shè)備�。它主要設(shè)置在數(shù)據(jù)通 道上,自動地處理許多與基于數(shù)據(jù)包通信�、一般TCP處理、加密/解密和網(wǎng)絡(luò)地址翻譯(NAT) 有關(guān)的任務(wù)��,以減輕其他系統(tǒng)單元的負荷�。 以上所述僅為本發(fā)明的較佳實施例,凡依本發(fā)明申請專利范圍所做的均等變化與 修飾�,皆應(yīng)屬本發(fā)明的涵蓋范圍。
權(quán)利要求
一種多功能綜合安全網(wǎng)關(guān)系統(tǒng)�����,其特征在于包括管理中心、數(shù)據(jù)中心���、報文接收模塊���、報文處理模塊、報文發(fā)送模塊���、行為知識庫及統(tǒng)一特征庫����;網(wǎng)絡(luò)報文首先通過所述的報文接收模塊進行預(yù)處理后進入所述的報文處理模塊����,在報文處理模塊中,防火墻進行2~3層過濾�����,VPN負責接入控制�,其中模塊匹配引擎和行為分析引擎分別根據(jù)所述的統(tǒng)一特征庫和行為知識庫進行匹配查找;其次利用完全性保護技術(shù)在報文處理過程中�,實時將網(wǎng)絡(luò)層數(shù)據(jù)負載重組為應(yīng)用層對象����,再通過動態(tài)更新病毒和蠕蟲特征來進行掃描和分析�;最后,對于合法報文直接交由報文所述的發(fā)送模塊進行報文轉(zhuǎn)發(fā)��,對于非法報文���,送交響應(yīng)的處理引擎進行處理���;其中整個過程的日志信息和數(shù)據(jù)流量信息送所述的數(shù)據(jù)中心進行監(jiān)控和備案��,所述管理中心負責整體的配置和調(diào)整����。
2. 根據(jù)權(quán)利要求1所述的多功能綜合安全網(wǎng)關(guān)系統(tǒng),其特征在于系統(tǒng)處理大量的數(shù) 據(jù)報文采用定制的操作系統(tǒng)和ASIC加速技術(shù)���,通過ASIC芯片����、智能排隊�����、管道管理和緊密 型模式識別語言方式,對收發(fā)和處理報文進行加速處理�����。
3. 根據(jù)權(quán)利要求2所述的多功能綜合安全網(wǎng)關(guān)系統(tǒng)����,其特征在于系統(tǒng)進一步利用動 態(tài)威脅管理檢測技術(shù),將內(nèi)容過濾��、IPS�����、防病毒�、防垃圾郵件無縫集成在一起,對各種檢測 過程進行關(guān)聯(lián)��,并跟蹤每一個安全環(huán)節(jié)的檢測活動����。
全文摘要
本發(fā)明涉及一種多功能綜合安全網(wǎng)關(guān)系統(tǒng),其特征在于包括管理中心、數(shù)據(jù)中心���、報文接收模塊����、報文處理模塊����、報文發(fā)送模塊、行為知識庫及統(tǒng)一特征庫����;網(wǎng)絡(luò)報文首先通過所述的報文接收模塊進行預(yù)處理后進入所述的報文處理模塊,其次利用完全性保護技術(shù)在報文處理過程中�,實時將網(wǎng)絡(luò)層數(shù)據(jù)負載重組為應(yīng)用層對象,再通過動態(tài)更新病毒和蠕蟲特征來進行掃描和分析�;最后���,對于合法報文進行報文轉(zhuǎn)發(fā)��,對于非法報文�����,送交響應(yīng)的處理引擎進行處理�;本發(fā)明將防病毒和入侵檢測功能融合于防火墻中,能有效提高網(wǎng)絡(luò)安全性能�����,維護開銷小�,總體擁有成本低,具有一定的市場價值���。
文檔編號H04L12/66GK101714958SQ20091020889
公開日2010年5月26日 申請日期2009年10月31日 優(yōu)先權(quán)日2009年10月31日
發(fā)明者吳濱華, 曾勇, 李鴻培, 林華斌, 潘華, 許元進, 黃聰泉 申請人:福建伊?xí)r代信息科技股份有限公司