專利名稱：多功能綜合安全網(wǎng)關的制作方法
技術領域：
本實用新型涉及網(wǎng)絡安全網(wǎng)關技術領域，特別是一種多功能綜合安全網(wǎng)關。
背景技術：
現(xiàn)有技術主要有防火墻，防火墻采用先進的內核狀態(tài)檢測包過濾技術，在操作系 統(tǒng)的內核級實現(xiàn)了多層次的數(shù)據(jù)流檢測，實現(xiàn)對數(shù)據(jù)流的細粒度檢測。防火墻在數(shù)據(jù)鏈路 層上實現(xiàn)了對數(shù)據(jù)幀的控制，網(wǎng)絡層、傳輸層實現(xiàn)策略路由和狀態(tài)檢測包過濾，應用層實現(xiàn) 了通用的內容過濾。日志的生成也是由內核提交給日志守護進程，使日志信息異常豐富，能 夠精確到每一個會話的數(shù)據(jù)流量。從中可以看出防火墻主要是檢測網(wǎng)絡層和傳輸層的數(shù)據(jù) 包狀態(tài)，并根據(jù)相應的策略作處理，其技術是一種用來加強網(wǎng)絡之間訪問控制，主要基于數(shù) 據(jù)包的五元組信息對數(shù)據(jù)包進行過濾，對所有的進出數(shù)據(jù)包的狀態(tài)進行檢測，一般工作于 網(wǎng)絡0SI參考模型的3 4層，對于應用層防火墻只能簡單的識別常見服務，無法深層次分 析，如面對隱藏在應用中的病毒、木馬是毫無辦法的。可見防火墻功能較單一，無法解決整 個網(wǎng)絡層次應用的安全，需和帶有其它功能的設備組合使用，如防病毒、入侵防御、反垃圾 郵件和內容過濾等。

發(fā)明內容鑒于上述的技術不足，本實用新型的目的是提供一種多功能綜合安全網(wǎng)關，其實
現(xiàn)將防病毒與入侵檢測功能融合于防火墻中，提供從網(wǎng)絡層到應用層的全面安全保護。 本實用新型是這樣實現(xiàn)的，一種多功能綜合安全網(wǎng)關，包括主板、硬盤、CPU板卡、
SDRAM及插卡，其特征在于所述的CPU板卡、SDRAM及插卡的輸入端分別與主板相連接，所
述CPU板卡的輸入端與硬盤連接。 本實用新型具有以下有益效果 1、將防病毒和入侵檢測功能融合于防火墻之中，成為防御混合型攻擊的利劍。 2、提供綜合的功能和安全的性能，降低了復雜度，也降低了成本，適合企業(yè)、服務 提供商和中小辦公用戶的網(wǎng)絡環(huán)境。 3、能為用戶定制安全策略，提供靈活性。用戶既可以使用綜合安全網(wǎng)關的全部功 能，也可酌情使用最需要的某一特定功能。 4、能提供全面的管理、報告和日志平臺，用戶可以統(tǒng)一地管理全部安全特性，包括 特征庫更新和日志報告等。

圖1是本實用新型的硬件架構示意圖。 圖2是本實用新型的軟件架構原理示意圖。
具體實施方式
以下結合附圖及實施例對本實用新型做進一步說明。 如圖l所示，本實用新型提供一種多功能綜合安全網(wǎng)關，包括主板、硬盤、CPU板 卡、SDRAM及插卡，其特征在于所述的CPU板卡、SDRAM及插卡的輸入端分別與主板相連接， 所述CPU板卡的輸入端與硬盤連接。所述的插卡有四個，其分別與主板連接，所述四個插卡 中的兩個是千兆媒體獨立接口 ，兩個是串行媒體獨立接口 。 為了讓一般技術人員更好的理解本實用新型，在此我們結合本實用新型的軟件設 計原理進行適當?shù)恼f明，請參照圖2，圖2是本實用新型軟件架構原理示意圖，其包括管理 中心、數(shù)據(jù)中心、報文接收模塊、報文處理模塊、報文發(fā)送模塊、行為知識庫和統(tǒng)一特征庫。 網(wǎng)絡報文首先通過報文接收模塊進行預處理后進入報文處理模塊，在報文處理模塊，防火 墻進行2 3層過濾，VPN負責接入控制；其次模塊匹配引擎和行為分析引擎分別根據(jù)統(tǒng)一 特征庫和行為知識庫進行匹配查找；利用完全性保護技術在報文處理過程中，實時將網(wǎng)絡 層數(shù)據(jù)負載重組為應用層對象(如文件和文檔)的能力，而且重組之后的應用層對象可以 通過動態(tài)更新病毒和蠕蟲特征來進行掃描和分析。最后，對于合法報文直接交由報文發(fā)送 模塊進行報文轉發(fā)，對于非法報文，送交響應的處理引擎進行處理。整個過程的日志信息和 數(shù)據(jù)流量信息送數(shù)據(jù)中心監(jiān)控和備案，管理中心負責整體的配置和調整。針對系統(tǒng)所需處 理大量數(shù)據(jù)報文，本實用新型的軟件采用定制的操作系統(tǒng)和ASIC加速技術，通過ASIC芯 片、智能排隊、管道管理和緊密型模式識別語言等方式，對收發(fā)和處理報文進行加速處理。 如防病毒處理過程，在數(shù)據(jù)經(jīng)過報文接收模塊時，通過報文預處理和分流后，利用ASIC芯 片分流出與防病毒相關的數(shù)據(jù)流，然后把數(shù)據(jù)送至防病毒處理引擎，防病毒內容處理引擎 對數(shù)據(jù)流進行處理后，軟件再調用ASIC加速器進行加速，符合要求則放行，不符后則丟棄。 最后利用動態(tài)威脅管理檢測技術，將內容過濾、IPS、防病毒、防垃圾郵件等無縫集成在一 起，對各種檢測過程進行關聯(lián)，并跟蹤每一個安全環(huán)節(jié)的檢測活動，以提高系統(tǒng)的檢測精確 度，對系統(tǒng)安全高效運行提供有效保障。 本實用新型所述的硬盤設置有上述的軟件系統(tǒng)，即存放行為知識庫、統(tǒng)一特征庫、
管理中心、數(shù)據(jù)中心等，系統(tǒng)首先從獨立媒體接口接收數(shù)據(jù)，將數(shù)據(jù)存放于SDRAM內，對數(shù)
據(jù)進行預處理，然后根據(jù)系統(tǒng)管理中心下達指令信息，分析預處理的數(shù)據(jù)信息，如通過行
為分析引擎或模式匹引擎等對數(shù)據(jù)進行處理，此時系統(tǒng)會根據(jù)硬盤存放的信息庫進行比
對，再調用CPU指令對數(shù)據(jù)的流向進行控制，最后將數(shù)據(jù)通過獨立媒體接口發(fā)送出去。本發(fā)
明利用硬件板卡技術，每一種安全應用均有獨立的CPU、存儲、總線等，各安全應用之間不存
在資源的競爭，因此能夠保證在多種安全功能同時打開時，仍然能夠保證整個設備的高性
能。同時還能夠實現(xiàn)所謂"數(shù)據(jù)量安全調度"的能力，提高設備的處理效率。 此外，本實用新型所利用的處理器是經(jīng)過定制的處理器，可以實現(xiàn)將已有的攻擊
特征庫與內存中的數(shù)據(jù)進行匹配。內存中目標可以是網(wǎng)絡流量數(shù)據(jù)包，或者是壓縮后文檔
中的文件。這些處理器對協(xié)議識別和解析是高度適配的，允許它們從數(shù)據(jù)中快速組合目標，
并對可疑的內容進行檢測。 為了提供千兆級實時的應用層安全服務(如防病毒和內容過濾)的平臺，專門為 網(wǎng)絡骨干和邊界上高性能內容處理設計相應的體系結構。從圖1可以看出，CPU板卡中可放 置相應處理器。其中內容處理器并不是設置在流量通道中，當通用處理器(GPU)下達指令時，內容處理器自動地執(zhí)行相關功能。內容處理器還包括加密引擎，在目標與"已知"的威 脅比對時，能起到加速防病毒和IP技術。當系統(tǒng)需要大量計算時，內容處理器則使GPU免 除高密度計算。網(wǎng)絡處理器是高速執(zhí)行和處理網(wǎng)絡流量的硬件設備。它主要設置在數(shù)據(jù)通 道上，自動地處理許多與基于數(shù)據(jù)包通信、一般TCP處理、加密/解密和網(wǎng)絡地址翻譯(NAT) 有關的任務，以減輕其他系統(tǒng)單元的負荷。 以上所述僅為本實用新型的較佳實施例，凡依本實用新型申請專利范圍所做的均 等變化與修飾，皆應屬本實用新型的涵蓋范圍。
權利要求一種多功能綜合安全網(wǎng)關，包括主板、硬盤、CPU板卡、SDRAM及插卡，其特征在于所述的CPU板卡、SDRAM及插卡的輸入端分別與主板相連接，所述CPU板卡的輸入端與硬盤連接。
2. 根據(jù)權利要求1所述的多功能綜合安全網(wǎng)關，其特征在于所述的插卡有四個，其分 別與主板連接，所述四個插卡中的兩個是千兆媒體獨立接口 ，兩個是串行媒體獨立接口 。
專利摘要本實用新型涉及一種多功能綜合安全網(wǎng)關，包括主板、硬盤、CPU板卡、SDRAM及插卡，其特征在于所述的CPU板卡、SDRAM及插卡的輸入端分別與主板相連接，所述CPU板卡的輸入端與硬盤連接。本實用新型可實現(xiàn)將防病毒和入侵檢測功能融合于防火墻中，能有效提高網(wǎng)絡安全性能，維護開銷小，總體擁有成本低，具有一定的市場價值。
文檔編號H04L12/66GK201541276SQ200920269660
公開日2010年8月4日 申請日期2009年10月31日 優(yōu)先權日2009年10月31日
發(fā)明者吳濱華, 曾勇, 李鴻培, 林華斌, 潘華, 許元進, 黃聰泉 申請人:福建伊時代信息科技股份有限公司