專利名稱:一種異構(gòu)網(wǎng)絡(luò)中實(shí)現(xiàn)統(tǒng)一威脅管理的方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域,特別是涉及一種異構(gòu)網(wǎng)絡(luò)中實(shí)現(xiàn)統(tǒng)一威脅管理的方法及系統(tǒng)。
背景技術(shù):
目前市面上的大多數(shù)防火墻設(shè)備都是以IPv4協(xié)議為基礎(chǔ),對新的網(wǎng)絡(luò)協(xié)議或異 構(gòu)網(wǎng)絡(luò)如IPv6、MPLS等無法自動適應(yīng)。導(dǎo)致防火墻無法在多網(wǎng)絡(luò)環(huán)境下適用,而必須使用 新協(xié)議的專用防火墻,或采用路由翻譯方式將新協(xié)議翻譯為防火墻可識別的IPv4協(xié)議。專 用協(xié)議防護(hù)墻如IPv6專用統(tǒng)一威脅管理(UTMUnited Threat Mnagement)、專用路由設(shè)備如 Iv6路由設(shè)備架設(shè)在UTM之前做IPv6-IPv4的協(xié)議轉(zhuǎn)換。目前即使設(shè)置了專用設(shè)備,依然無法解決復(fù)合型網(wǎng)絡(luò)(異構(gòu)網(wǎng)絡(luò))的單設(shè)備UTM 防范方式。
發(fā)明內(nèi)容
本發(fā)明提供了一種異構(gòu)網(wǎng)絡(luò)中實(shí)現(xiàn)統(tǒng)一威脅管理的方法及系統(tǒng),用以解決目前異 構(gòu)網(wǎng)絡(luò)的單設(shè)備UTM防范方式無法實(shí)現(xiàn)的問題。本發(fā)明的一種異構(gòu)網(wǎng)絡(luò)中實(shí)現(xiàn)統(tǒng)一威脅管理的方法,包括下列步驟協(xié)議分析步 驟對流入U(xiǎn)TM的數(shù)據(jù)包進(jìn)行協(xié)議匹配識別,確定各數(shù)據(jù)包的實(shí)際協(xié)議類型;協(xié)議分流步 驟根據(jù)數(shù)據(jù)包的實(shí)際協(xié)議類型將各數(shù)據(jù)包分流;過濾步驟以分流對應(yīng)的實(shí)際協(xié)議類型 對該分流的數(shù)據(jù)包過濾;代理步驟對過濾后的數(shù)據(jù)包進(jìn)行UTM代理,將數(shù)據(jù)包發(fā)出。進(jìn)一步,所述分流對應(yīng)的實(shí)際協(xié)議類型為非TCP/IP協(xié)議,則代理步驟之前還包括 下列步驟協(xié)議轉(zhuǎn)換步驟將該分流過濾后的數(shù)據(jù)包的協(xié)議類型轉(zhuǎn)換為TCP/IP協(xié)議;間接 代理步驟將協(xié)議轉(zhuǎn)換后的數(shù)據(jù)包交由對應(yīng)協(xié)議的UTM代理;代理步驟之后還包括下列步 驟協(xié)議封裝步驟將所述數(shù)據(jù)包重新封裝為原協(xié)議類型。或者,所述分流對應(yīng)的實(shí)際協(xié)議類型為非TCP/IP協(xié)議,則代理步驟之前還包括下 列步驟協(xié)議轉(zhuǎn)換步驟將該分流過濾后的數(shù)據(jù)包的協(xié)議類型轉(zhuǎn)換為TCP/IP協(xié)議;再次過 濾步驟以轉(zhuǎn)換后的協(xié)議類型,對協(xié)議轉(zhuǎn)換后的數(shù)據(jù)包再次過濾;間接代理步驟將再次過 濾后的數(shù)據(jù)包交由對應(yīng)協(xié)議的UTM代理;代理步驟之后還包括下列步驟協(xié)議封裝步驟將 所述數(shù)據(jù)包重新封裝為原協(xié)議類型。上述,所述協(xié)議轉(zhuǎn)換步驟中還包括為協(xié)議轉(zhuǎn)換后的數(shù)據(jù)包增加標(biāo)簽;以及協(xié)議 封裝步驟中還包括識別所述數(shù)據(jù)包的標(biāo)簽,并根據(jù)標(biāo)簽提供的信息確定原協(xié)議類型。本發(fā)明的一種異構(gòu)網(wǎng)絡(luò)中實(shí)現(xiàn)統(tǒng)一威脅管理的系統(tǒng),包括協(xié)議分析模塊,用于對 流入的數(shù)據(jù)包進(jìn)行協(xié)議匹配識別,確定各數(shù)據(jù)包的實(shí)際協(xié)議類型;協(xié)議分流模塊,用于根據(jù) 數(shù)據(jù)包的實(shí)際協(xié)議類型將各數(shù)據(jù)包分流;過濾模塊,用于以分流對應(yīng)的實(shí)際協(xié)議類型對該 分流的數(shù)據(jù)包過濾;UTM功能模塊,用于對過濾后的數(shù)據(jù)包進(jìn)行代理數(shù)據(jù)包轉(zhuǎn)發(fā)。進(jìn)一步,所述分流對應(yīng)的實(shí)際協(xié)議類型為非TCP/IP協(xié)議,則還包括下列模塊協(xié)議轉(zhuǎn)換模塊,用于將該分流過濾后的數(shù)據(jù)包的協(xié)議類型轉(zhuǎn)換為TCP/IP協(xié)議;并將協(xié)議轉(zhuǎn)換后的數(shù)據(jù)包交由UTM功能模塊,并指示UTM功能模塊以轉(zhuǎn)換后的協(xié)議類型代理;協(xié)議封裝模 塊,用于經(jīng)代理后,將所述數(shù)據(jù)包重新封裝為原協(xié)議類型?;蛘?,所述分流對應(yīng)的實(shí)際協(xié)議類型為非TCP/IP協(xié)議,則還包括下列模塊協(xié)議 轉(zhuǎn)換模塊,用于將該分流過濾后的數(shù)據(jù)包的協(xié)議類型轉(zhuǎn)換為TCP/IP協(xié)議;并將協(xié)議轉(zhuǎn)換后 的數(shù)據(jù)包交由過濾模塊,并指示過濾模塊以轉(zhuǎn)換后的協(xié)議類型對數(shù)據(jù)包再次過濾;以及將 再次過濾后的數(shù)據(jù)包交由UTM功能模塊,并指示UTM功能模塊以轉(zhuǎn)換后的協(xié)議類型代理;協(xié) 議封裝模塊,用于經(jīng)代理后,將所述數(shù)據(jù)包重新封裝為原協(xié)議類型。上述,所述協(xié)議轉(zhuǎn)換模塊為協(xié)議轉(zhuǎn)換后的數(shù)據(jù)包增加標(biāo)簽;以及協(xié)議封裝模塊識 別所述數(shù)據(jù)包的標(biāo)簽,并根據(jù)標(biāo)簽提供的信息確定原協(xié)議類型。進(jìn)一步還包括協(xié)議特征庫,用于存儲各類型協(xié)議的特征信息,并作為協(xié)議分析模 塊協(xié)議匹配識別的依據(jù)。本發(fā)明有益效果如下由于本發(fā)明的方法和系統(tǒng)中提出了一套完整的分析、分流、過濾、協(xié)議轉(zhuǎn)換、UTM代 理,以及協(xié)議還原機(jī)制,所以可實(shí)現(xiàn)異構(gòu)網(wǎng)絡(luò)的單設(shè)備UTM防范方式。
圖1為本發(fā)明實(shí)施例1中的方法步驟流程圖;圖2為本發(fā)明實(shí)施例4中的系統(tǒng)結(jié)構(gòu)示意圖;圖3為本發(fā)明實(shí)施例5中的模塊化原理流程圖;圖4為本發(fā)明實(shí)施例6中的模塊化原理流程圖。
具體實(shí)施例方式為了能夠自動適應(yīng)復(fù)合型網(wǎng)絡(luò)(多種協(xié)議混雜)的需求,無需為專用協(xié)議UTM或 是專用路由設(shè)備作重復(fù)投資,本發(fā)明提供了一種異構(gòu)網(wǎng)絡(luò)中實(shí)現(xiàn)統(tǒng)一威脅管理的方法及系 統(tǒng),以下通過若干實(shí)施例詳細(xì)描述。實(shí)施例1、參見圖1所示,本發(fā)明實(shí)施例中的異構(gòu)網(wǎng)絡(luò)中實(shí)現(xiàn)統(tǒng)一威脅管理的方 法,包括下列主要步驟S101、對流入U(xiǎn)TM的數(shù)據(jù)包進(jìn)行協(xié)議匹配識別,確定各數(shù)據(jù)包的實(shí)際協(xié)議類型。S102、根據(jù)數(shù)據(jù)包的實(shí)際協(xié)議類型將各數(shù)據(jù)包分流。S103、以分流對應(yīng)的實(shí)際協(xié)議類型對該分流的數(shù)據(jù)包過濾。S104、對過濾后的數(shù)據(jù)包進(jìn)行UTM代理,將數(shù)據(jù)包發(fā)出。實(shí)施例2、本發(fā)明實(shí)施例中的異構(gòu)網(wǎng)絡(luò)中實(shí)現(xiàn)統(tǒng)一威脅管理的方法,包括下列主要 步驟S201、對流入U(xiǎn)TM的數(shù)據(jù)包進(jìn)行協(xié)議匹配識別,確定各數(shù)據(jù)包的實(shí)際協(xié)議類型。由于在復(fù)合型網(wǎng)絡(luò)(異構(gòu)網(wǎng)絡(luò))中,使用的網(wǎng)絡(luò)協(xié)議并非單一協(xié)議,而是同時使用 多種協(xié)議,因此,在復(fù)合型網(wǎng)絡(luò)中傳來的數(shù)據(jù)包,通常帶有多種協(xié)議,如TCP/IP協(xié)議(IPv4、 IPv6),非TCP/IP協(xié)議(IPX/SPX,NETBEUI,GRE等協(xié)議)。本步驟所確定的實(shí)際協(xié)議類型的 過程例如復(fù)合型網(wǎng)絡(luò)傳來的數(shù)據(jù)包是以IPv6方式封裝的IPv4數(shù)據(jù)包,經(jīng)過與協(xié)議特征庫中的協(xié)議特征信息匹配識別,發(fā)現(xiàn)復(fù)合型網(wǎng)絡(luò)所傳來的數(shù)據(jù)包實(shí)際是IPv4數(shù)據(jù)包,只是以 IPv6方式封裝而已,則確定實(shí)際協(xié)議類型為IPv4協(xié)議。S202、根據(jù)數(shù)據(jù)包的實(shí)際協(xié)議類型將各數(shù)據(jù)包分流。上述以IPv6方式封裝的IPv4數(shù)據(jù)包被分為IPv4分流。S203、以分流對應(yīng)的實(shí)際協(xié)議類型對該分流的數(shù)據(jù)包過濾。以IPv4協(xié)議類型對上述以IPv6方式封裝的IPv4數(shù)據(jù)包進(jìn)行過濾,具體是將該數(shù) 據(jù)包的包頭去除(即去掉IPv6封裝),得到實(shí)際的IPv4數(shù)據(jù)包。S204、對過濾后的數(shù)據(jù)包進(jìn)行UTM代理,將數(shù)據(jù)包發(fā)出。經(jīng)過濾后得到的IPv4數(shù)據(jù)包,由IPv4型的UTM進(jìn)行代理,如實(shí)現(xiàn)IP代理,HTTP代 理,P0P3代理,SMPT代理,SIP代理,VPN等功能,從而將數(shù)據(jù)包轉(zhuǎn)發(fā)。實(shí)施例3、本發(fā)明實(shí)施例中的異構(gòu)網(wǎng)絡(luò)中實(shí)現(xiàn)統(tǒng)一威脅管理的方法,包括下列主要 步驟S301、對流入U(xiǎn)TM的數(shù)據(jù)包進(jìn)行協(xié)議匹配識別,確定各數(shù)據(jù)包的實(shí)際協(xié)議類型。由于在復(fù)合型網(wǎng)絡(luò)(異構(gòu)網(wǎng)絡(luò))中,使用的網(wǎng)絡(luò)協(xié)議并非單一協(xié)議,而是同時使用 多種協(xié)議,因此,在復(fù)合型網(wǎng)絡(luò)中傳來的數(shù)據(jù)包,通常帶有多種協(xié)議,如TCP/IP協(xié)議(IPv4、 IPv6),非TCP/IP協(xié)議(IPX/SPX,NETBEUI,GRE等協(xié)議)。本步驟所確定的實(shí)際協(xié)議類型的 過程例如復(fù)合型網(wǎng)絡(luò)在Tl時間傳來的數(shù)據(jù)包Fl是以IPv6方式封裝的IPv4數(shù)據(jù)包,經(jīng) 過與協(xié)議特征庫中的協(xié)議特征信息匹配識別,發(fā)現(xiàn)復(fù)合型網(wǎng)絡(luò)所傳來的數(shù)據(jù)包Fl實(shí)際是 IPv4數(shù)據(jù)包,只是以IPv6方式封裝而已,則確定實(shí)際協(xié)議類型為IPv4協(xié)議;復(fù)合型網(wǎng)絡(luò)在 T2時間傳來的數(shù)據(jù)包F2是以IPv4方式封裝的GRE數(shù)據(jù)包,經(jīng)過與協(xié)議特征庫中的協(xié)議特 征信息匹配識別,發(fā)現(xiàn)復(fù)合型網(wǎng)絡(luò)所傳來的數(shù)據(jù)包F2實(shí)際是GRE數(shù)據(jù)包(非TCP/IP數(shù)據(jù) 包),只是以IPv4方式封裝而已,則確定實(shí)際協(xié)議類型為非TCP/IP協(xié)議;復(fù)合型網(wǎng)絡(luò)在T3 時間傳來的數(shù)據(jù)包F3是以IPv6方式封裝的IPv6數(shù)據(jù)包,經(jīng)過與協(xié)議特征庫中的協(xié)議特征 信息匹配識別,發(fā)現(xiàn)復(fù)合型網(wǎng)絡(luò)所傳來的數(shù)據(jù)包F3實(shí)際是IPv6數(shù)據(jù)包,則確定實(shí)際協(xié)議類 型為IPv6協(xié)議;復(fù)合型網(wǎng)絡(luò)在T4時間傳來的數(shù)據(jù)包F4是以GRE方式封裝的GRE數(shù)據(jù)包, 經(jīng)過與協(xié)議特征庫中的協(xié)議特征信息匹配識別,發(fā)現(xiàn)復(fù)合型網(wǎng)絡(luò)所傳來的數(shù)據(jù)包F4實(shí)際 是GRE數(shù)據(jù)包,則確定實(shí)際協(xié)議類型為非TCP/IP協(xié)議。S302、根據(jù)數(shù)據(jù)包的實(shí)際協(xié)議類型將各數(shù)據(jù)包分流。將上述數(shù)據(jù)包Fl分為IPv4分流,將上述數(shù)據(jù)包F2分為非TCP/IP分流,將上述數(shù) 據(jù)包F3分為IPv6分流,將上述數(shù)據(jù)包F4分為非TCP/IP分流。S303、以分流對應(yīng)的實(shí)際協(xié)議類型對該分流的數(shù)據(jù)包過濾。以IPv4協(xié)議類型對上述數(shù)據(jù)包Fl進(jìn)行過濾,具體是將數(shù)據(jù)包Fl的包頭去除(即 去掉IPv6封裝),得到實(shí)際的IPv4數(shù)據(jù)包;同理,以非TCP/IP協(xié)議類型對上述數(shù)據(jù)包F2進(jìn) 行過濾。以IPv6協(xié)議類型對上述數(shù)據(jù)包F3進(jìn)行過濾,可直接通過;同理,以非TCP/IP協(xié)議 類型對上述數(shù)據(jù)包F4進(jìn)行過濾,可直接通過。S304、對過濾后的數(shù)據(jù)包進(jìn)行UTM代理,將數(shù)據(jù)包發(fā)出。上述對數(shù)據(jù)包Fl過濾后得到的IPv4數(shù)據(jù)包,由IPv4型的UTM進(jìn)行代理,如實(shí)現(xiàn) IP代理,HTTP代理,P0P3代理,SMPT代理,SIP代理,VPN等功能,從而將數(shù)據(jù)包轉(zhuǎn)發(fā)。同理,上述對數(shù)據(jù)包F3過濾后得到的IPv6數(shù)據(jù)包,由IPv6型的UTM進(jìn)行代理。
上述對數(shù)據(jù)包F2過濾后得到的GRE數(shù)據(jù)包,以及對數(shù)據(jù)包F4過濾后得到的GRE數(shù)據(jù)包,在通過UTM進(jìn)行代理之前還需對數(shù)據(jù)包F2、F4進(jìn)行如下處理接續(xù)上述S303經(jīng)過濾得到GRE數(shù)據(jù)包之后,將非TCP/IP分流的數(shù)據(jù)包的GRE協(xié) 議類型轉(zhuǎn)換為IPv4(也可轉(zhuǎn)換為IPv6)協(xié)議,即成為IPv4分流。還可在每一轉(zhuǎn)換后的數(shù)據(jù) 包中增加標(biāo)簽,標(biāo)明該數(shù)據(jù)包經(jīng)過協(xié)議轉(zhuǎn)換得來,并且該標(biāo)簽的信息可體現(xiàn)數(shù)據(jù)包F2的原 協(xié)議類型是以IPv4方式封裝的GRE數(shù)據(jù)包;數(shù)據(jù)包F4的原協(xié)議類型是以GRE方式封裝的 GRE數(shù)據(jù)包。之后,將協(xié)議轉(zhuǎn)換后的IPv4分流交由IPv4型的UTM進(jìn)行代理(若轉(zhuǎn)換為IPv6,則 由IPv6型的UTM進(jìn)行代理)。最后,識別上述數(shù)據(jù)包中的標(biāo)簽,并根據(jù)標(biāo)簽提供的信息確定原協(xié)議類型,將數(shù)據(jù) 包F2重新封裝為以IPv4方式封裝的GRE數(shù)據(jù)包,將數(shù)據(jù)包F4重新封裝為以GRE方式封裝 的GRE數(shù)據(jù)包,并轉(zhuǎn)發(fā)。對于數(shù)據(jù)包F2、F4也可進(jìn)行如下處理接續(xù)上述S303經(jīng)過濾得到GRE數(shù)據(jù)包之后,將非TCP/IP分流的數(shù)據(jù)包的GRE協(xié) 議類型轉(zhuǎn)換為IPv4(也可轉(zhuǎn)換為IPv6)協(xié)議,即成為IPv4分流。還可在每一轉(zhuǎn)換后的數(shù)據(jù) 包中增加標(biāo)簽,標(biāo)明該數(shù)據(jù)包經(jīng)過協(xié)議轉(zhuǎn)換得來,并且該標(biāo)簽的信息可體現(xiàn)數(shù)據(jù)包F2的原 協(xié)議類型是以IPv4方式封裝的GRE數(shù)據(jù)包;數(shù)據(jù)包F4的原協(xié)議類型是以GRE方式封裝的 GRE數(shù)據(jù)包。其后,以轉(zhuǎn)換后的協(xié)議類型,即IPv4協(xié)議類型,對該IPv4分流再次過濾(若轉(zhuǎn)換 為IPv6,則以IPv6協(xié)議類型對該IPv6分流再次過濾)。之后,將再次過濾后的IPv4分流交由IPv4型的UTM進(jìn)行代理(若轉(zhuǎn)換為IPv6,則 由IPv6型的UTM進(jìn)行代理)。最后,識別上述數(shù)據(jù)包中的標(biāo)簽,并根據(jù)標(biāo)簽提供的信息確定原協(xié)議類型,將數(shù)據(jù) 包F2重新封裝為以IPv4方式封裝的GRE數(shù)據(jù)包,將數(shù)據(jù)包F4重新封裝為以GRE方式封裝 的GRE數(shù)據(jù)包,并轉(zhuǎn)發(fā)。實(shí)施例4、參見圖2所示,本發(fā)明實(shí)施例中的異構(gòu)網(wǎng)絡(luò)中實(shí)現(xiàn)統(tǒng)一威脅管理的系 統(tǒng),包括協(xié)議特征庫、協(xié)議分析模塊、協(xié)議分流模塊、過濾模塊和UTM功能模塊。協(xié)議特征庫,用于存儲各類型協(xié)議的特征信息,并作為協(xié)議分析模塊協(xié)議匹配識 別的依據(jù);協(xié)議分析模塊,用于對流入的數(shù)據(jù)包進(jìn)行協(xié)議匹配識別,確定各數(shù)據(jù)包的實(shí)際協(xié) 議類型;協(xié)議分流模塊,用于根據(jù)數(shù)據(jù)包的實(shí)際協(xié)議類型將各數(shù)據(jù)包分流;過濾模塊,用于以分流對應(yīng)的實(shí)際協(xié)議類型對該分流的數(shù)據(jù)包過濾;UTM功能模塊,用于對過濾后的數(shù)據(jù)包進(jìn)行代理數(shù)據(jù)包轉(zhuǎn)發(fā)。實(shí)施例5、基于實(shí)施例4,參見圖3所示,本發(fā)明實(shí)施例以模塊化原理流程方式進(jìn)一 步詳述。其中,包括協(xié)議特征庫;協(xié)議分析模塊;協(xié)議分流模塊;過濾模塊分解為IPv4過 濾器、IPv6過濾器和其他過濾器,分別對應(yīng)不同協(xié)議類型的分流;協(xié)議轉(zhuǎn)換模塊;UTM功能 模塊分解為IPv4的UTM功能模塊和IPv6的UTM功能模塊,分別對應(yīng)IPv4分流和IPv6分 流;以及協(xié)議封裝模塊。
由于在復(fù)合型網(wǎng)絡(luò)(異構(gòu)網(wǎng)絡(luò))中,使用的網(wǎng)絡(luò)協(xié)議并非單一協(xié)議,而是同時使用 多種協(xié)議,因此,在復(fù)合型網(wǎng)絡(luò)中傳來的數(shù)據(jù)包,通常帶有多種協(xié)議,如TCP/IP協(xié)議(IPv4、 IPv6),非 TCP/IP 協(xié)議(IPX/SPX, NETBEUI, GRE 等協(xié)議)。協(xié)議特征庫內(nèi)存儲有各類型協(xié)議的特征信息,并作為協(xié)議分析模塊協(xié)議匹配識別 的依據(jù),并可更新。協(xié)議分析模塊可對流入的數(shù)據(jù)包進(jìn)行協(xié)議匹配識別,確定各數(shù)據(jù)包的實(shí)際協(xié)議類 型。例如復(fù)合型網(wǎng)絡(luò)在Tl時間傳來的數(shù)據(jù)包Fl是以IPv6方式封裝的IPv4數(shù)據(jù)包,經(jīng) 過與協(xié)議特征庫中的協(xié)議特征信息匹配識別,發(fā)現(xiàn)復(fù)合型網(wǎng)絡(luò)所傳來的數(shù)據(jù)包Fl實(shí)際是 IPv4數(shù)據(jù)包,只是以IPv6方式封裝而已,則確定實(shí)際協(xié)議類型為IPv4協(xié)議;復(fù)合型網(wǎng)絡(luò)在 T2時間傳來的數(shù)據(jù)包F2是以IPv4方式封裝的GRE數(shù)據(jù)包,經(jīng)過與協(xié)議特征庫中的協(xié)議特 征信息匹配識別,發(fā)現(xiàn)復(fù)合型網(wǎng)絡(luò)所傳來的數(shù)據(jù)包F2實(shí)際是GRE數(shù)據(jù)包(非TCP/IP數(shù)據(jù) 包),只是以IPv4方式封裝而已,則確定實(shí)際協(xié)議類型為非TCP/IP協(xié)議;復(fù)合型網(wǎng)絡(luò)在T3 時間傳來的數(shù)據(jù)包F3是以IPv6方式封裝的IPv6數(shù)據(jù)包,經(jīng)過與協(xié)議特征庫中的協(xié)議特征 信息匹配識別,發(fā)現(xiàn)復(fù)合型網(wǎng)絡(luò)所傳來的數(shù)據(jù)包F3實(shí)際是IPv6數(shù)據(jù)包,則確定實(shí)際協(xié)議類 型為IPv6協(xié)議;復(fù)合型網(wǎng)絡(luò)在T4時間傳來的數(shù)據(jù)包F4是以GRE方式封裝的GRE數(shù)據(jù)包, 經(jīng)過與協(xié)議特征庫中的協(xié)議特征信息匹配識別,發(fā)現(xiàn)復(fù)合型網(wǎng)絡(luò)所傳來的數(shù)據(jù)包F4實(shí)際 是GRE數(shù)據(jù)包,則確定實(shí)際協(xié)議類型為非TCP/IP協(xié)議。
協(xié)議分流模塊根據(jù)數(shù)據(jù)包的實(shí)際協(xié)議類型將各數(shù)據(jù)包分流,具體將上述數(shù)據(jù)包Fl 分為IPv4分流,將上述數(shù)據(jù)包F2分為非TCP/IP分流,將上述數(shù)據(jù)包F3分為IPv6分流,將 上述數(shù)據(jù)包F4分為非TCP/IP分流。并且分別發(fā)送到IPv4過濾器、IPv6過濾器和其他過
Ii^ OIPv4過濾器以IPv4協(xié)議類型對上述數(shù)據(jù)包Fl進(jìn)行過濾,具體是將數(shù)據(jù)包Fl的包 頭去除(即去掉IPv6封裝),得到實(shí)際的IPv4數(shù)據(jù)包。同理,其他過濾器以非TCP/IP協(xié)議 類型對上述數(shù)據(jù)包F2進(jìn)行過濾;以非TCP/IP協(xié)議類型對上述數(shù)據(jù)包F4進(jìn)行過濾,可直接 通過。IPv6過濾器以IPv6協(xié)議類型對上述數(shù)據(jù)包F3進(jìn)行過濾,可直接通過。上述對數(shù)據(jù)包Fl過濾后得到的IPv4數(shù)據(jù)包進(jìn)入IPv4的UTM功能模塊,經(jīng)IPv4 的UTM功能模塊代理,如實(shí)現(xiàn)IP代理,HTTP代理,P0P3代理,SMPT代理,SIP代理,VPN等 功能,從而將數(shù)據(jù)包轉(zhuǎn)發(fā)。同理,上述對數(shù)據(jù)包F3過濾后得到的IPv6數(shù)據(jù)包進(jìn)入IPv6的 UTM功能模塊,經(jīng)IPv6的UTM功能模塊代理,將數(shù)據(jù)包轉(zhuǎn)發(fā)。上述對數(shù)據(jù)包F2過濾后得到的GRE數(shù)據(jù)包,以及對數(shù)據(jù)包F4過濾后得到的GRE數(shù) 據(jù)包進(jìn)入?yún)f(xié)議轉(zhuǎn)換模塊,根據(jù)需要和配置,可將GRE數(shù)據(jù)包的協(xié)議類型轉(zhuǎn)換為IPv4或IPv6 協(xié)議,即成為IPv4分流或IPv6分流。還可在每一轉(zhuǎn)換后的數(shù)據(jù)包中增加標(biāo)簽,標(biāo)明該數(shù)據(jù) 包經(jīng)過協(xié)議轉(zhuǎn)換得來,并且該標(biāo)簽的信息可體現(xiàn)數(shù)據(jù)包F2的原協(xié)議類型是以IPv4方式封 裝的GRE數(shù)據(jù)包;數(shù)據(jù)包F4的原協(xié)議類型是以GRE方式封裝的GRE數(shù)據(jù)包。將轉(zhuǎn)換后得到的IPv4分流或IPv6分流對應(yīng)傳入IPv4的UTM功能模塊或IPv6的 UTM功能模塊(圖3中以轉(zhuǎn)換為IPv4為例),經(jīng)IPv4的UTM功能模塊代理,IPv4數(shù)據(jù)包得 以轉(zhuǎn)發(fā)。協(xié)議封裝模塊接收轉(zhuǎn)發(fā)來的IPv4數(shù)據(jù)包,識別上述數(shù)據(jù)包中的標(biāo)簽,并根據(jù)標(biāo)簽 提供的信息確定原協(xié)議類型,將數(shù)據(jù)包F2重新封裝為以IPv4方式封裝的GRE數(shù)據(jù)包,將數(shù)據(jù)包F4重新封裝為以GRE方式封裝的GRE數(shù)據(jù)包,并轉(zhuǎn)發(fā)。實(shí)施例6、基于實(shí)施例4,參見圖4所示,本發(fā)明實(shí)施例以模塊化原理流程方式進(jìn)一 步詳述。其中,包括協(xié)議特征庫;協(xié)議分析模塊;協(xié)議分流模塊;過濾模塊分解為IPv4過 濾器、IPv6過濾器和其他過濾器,分別對應(yīng)不同協(xié)議類型的分流;協(xié)議轉(zhuǎn)換模塊;UTM功能 模塊分解為IPv4的UTM功能模塊和IPv6的UTM功能模塊,分別對應(yīng)IPv4分流和IPv6分 流;以及協(xié)議封裝模塊。由于在復(fù)合型網(wǎng)絡(luò)(異構(gòu)網(wǎng)絡(luò))中,使用的網(wǎng)絡(luò)協(xié)議并非單一協(xié)議,而是同時使用 多種協(xié)議,因此,在復(fù)合型網(wǎng)絡(luò)中傳來的數(shù)據(jù)包,通常帶有多種協(xié)議,如TCP/IP協(xié)議(IPv4、 IPv6),非 TCP/IP 協(xié)議(IPX/SPX, NETBEUI, GRE 等協(xié)議)。協(xié)議特征庫內(nèi)存儲有各類型協(xié)議的特征信息,并作為協(xié)議分析模塊協(xié)議匹配識別 的依據(jù),并可更新。協(xié)議分析模塊可對流入的數(shù)據(jù)包進(jìn)行協(xié)議匹配識別,確定各數(shù)據(jù)包的實(shí)際協(xié)議類 型。例如復(fù)合型網(wǎng)絡(luò)在Tl時間傳來的數(shù)據(jù)包Fl是以IPv6方式封裝的IPv4數(shù)據(jù)包,經(jīng) 過與協(xié)議特征庫中的協(xié)議特征信息匹配識別,發(fā)現(xiàn)復(fù)合型網(wǎng)絡(luò)所傳來的數(shù)據(jù)包Fl實(shí)際是 IPv4數(shù)據(jù)包,只是以IPv6方式封裝而已,則確定實(shí)際協(xié)議類型為IPv4協(xié)議;復(fù)合型網(wǎng)絡(luò)在 T2時間傳來的數(shù)據(jù)包F2是以IPv4方式封裝的GRE數(shù)據(jù)包,經(jīng)過與協(xié)議特征庫中的協(xié)議特 征信息匹配識別,發(fā)現(xiàn)復(fù)合型網(wǎng)絡(luò)所傳來的數(shù)據(jù)包F2實(shí)際是GRE數(shù)據(jù)包(非TCP/IP數(shù)據(jù) 包),只是以IPv4方式封裝而已,則確定實(shí)際協(xié)議類型為非TCP/IP協(xié)議;復(fù)合型網(wǎng)絡(luò)在T3 時間傳來的數(shù)據(jù)包F3是以IPv6方式封裝的IPv6數(shù)據(jù)包,經(jīng)過與協(xié)議特征庫中的協(xié)議特征 信息匹配識別,發(fā)現(xiàn)復(fù)合型網(wǎng)絡(luò)所傳來的數(shù)據(jù)包F3實(shí)際是IPv6數(shù)據(jù)包,則確定實(shí)際協(xié)議類 型為IPv6協(xié)議;復(fù)合型網(wǎng)絡(luò)在T4時間傳來的數(shù)據(jù)包F4是以GRE方式封裝的GRE數(shù)據(jù)包, 經(jīng)過與協(xié)議特征庫中的協(xié)議特征信息匹配識別,發(fā)現(xiàn)復(fù)合型網(wǎng)絡(luò)所傳來的數(shù)據(jù)包F4實(shí)際 是GRE數(shù)據(jù)包,則確定實(shí)際協(xié)議類型為非TCP/IP協(xié)議。協(xié)議分流模塊根據(jù)數(shù)據(jù)包的實(shí)際協(xié)議類型將各數(shù)據(jù)包分流,具體將上述數(shù)據(jù)包Fl 分為IPv4分流,將上述數(shù)據(jù)包F2分為非TCP/IP分流,將上述數(shù)據(jù)包F3分為IPv6分流,將 上述數(shù)據(jù)包F4分為非TCP/IP分流。并且分別發(fā)送到IPv4過濾器、IPv6過濾器和其他過濾器。IPv4過濾器以IPv4協(xié)議類型對上述數(shù)據(jù)包Fl進(jìn)行過濾,具體是將數(shù)據(jù)包Fl的包 頭去除(即去掉IPv6封裝),得到實(shí)際的IPv4數(shù)據(jù)包。同理,其他過濾器以非TCP/IP協(xié)議 類型對上述數(shù)據(jù)包F2進(jìn)行過濾;以非TCP/IP協(xié)議類型對上述數(shù)據(jù)包F4進(jìn)行過濾,可直接 通過。IPv6過濾器以IPv6協(xié)議類型對上述數(shù)據(jù)包F3進(jìn)行過濾,可直接通過。上述對數(shù)據(jù)包Fl過濾后得到的IPv4數(shù)據(jù)包進(jìn)入IPv4的UTM功能模塊,經(jīng)IPv4 的UTM功能模塊代理,如實(shí)現(xiàn)IP代理,HTTP代理,P0P3代理,SMPT代理,SIP代理,VPN等 功能,從而將數(shù)據(jù)包轉(zhuǎn)發(fā)。同理,上述對數(shù)據(jù)包F3過濾后得到的IPv6數(shù)據(jù)包進(jìn)入IPv6的 UTM功能模塊,經(jīng)IPv6的UTM功能模塊代理,將數(shù)據(jù)包轉(zhuǎn)發(fā)。上述對數(shù)據(jù)包F2過濾后得到的GRE數(shù)據(jù)包,以及對數(shù)據(jù)包F4過濾后得到的GRE數(shù) 據(jù)包進(jìn)入?yún)f(xié)議轉(zhuǎn)換模塊,根據(jù)需要和配置,可將GRE數(shù)據(jù)包的協(xié)議類型轉(zhuǎn)換為IPv4或IPv6 協(xié)議,即成為IPv4分流或IPv6分流。還可在每一轉(zhuǎn)換后的數(shù)據(jù)包中增加標(biāo)簽,標(biāo)明該數(shù)據(jù) 包經(jīng)過協(xié)議轉(zhuǎn)換得來,并且該標(biāo)簽的信息可體現(xiàn)數(shù)據(jù)包F2的原協(xié)議類型是以IPv4方式封裝的GRE數(shù)據(jù)包;數(shù)據(jù)包F4的原協(xié)議類型是以GRE方式封裝的GRE數(shù)據(jù)包。為了達(dá)到更優(yōu)的效果,避免經(jīng)協(xié)議轉(zhuǎn)換模塊轉(zhuǎn)換后的數(shù)據(jù)流混雜其他協(xié)議數(shù)據(jù)包。本實(shí)施例中協(xié)議轉(zhuǎn)換模塊完成GRE協(xié)議到IPv4或IPv6協(xié)議的轉(zhuǎn)換后(圖4中以IPv4 為例),將轉(zhuǎn)換后得到的IPv4分流傳入IPv4過濾器進(jìn)行再次過濾。之后將再次過濾后的IPv4分流傳入IPv4的UTM功能模塊,經(jīng)IPv4的UTM功能模 塊代理,IPv4數(shù)據(jù)包得以轉(zhuǎn)發(fā)。協(xié)議封裝模塊接收轉(zhuǎn)發(fā)來的IPv4數(shù)據(jù)包,識別上述數(shù)據(jù)包中的標(biāo)簽,并根據(jù)標(biāo)簽 提供的信息確定原協(xié)議類型,將數(shù)據(jù)包F2重新封裝為以IPv4方式封裝的GRE數(shù)據(jù)包,將數(shù) 據(jù)包F4重新封裝為以GRE方式封裝的GRE數(shù)據(jù)包,并轉(zhuǎn)發(fā)。顯然,本領(lǐng)域的技術(shù)人員可以對本發(fā)明進(jìn)行各種改動和變型而不脫離本發(fā)明的精 神和范圍。這樣,倘若本發(fā)明的這些修改和變型屬于本發(fā)明權(quán)利要求及其等同技術(shù)的范圍 之內(nèi),則本發(fā)明也意圖包含這些改動和變型在內(nèi)。
權(quán)利要求
一種異構(gòu)網(wǎng)絡(luò)中實(shí)現(xiàn)統(tǒng)一威脅管理的方法,其特征在于,包括下列步驟協(xié)議分析步驟對流入U(xiǎn)TM的數(shù)據(jù)包進(jìn)行協(xié)議匹配識別,確定各數(shù)據(jù)包的實(shí)際協(xié)議類型;協(xié)議分流步驟根據(jù)數(shù)據(jù)包的實(shí)際協(xié)議類型將各數(shù)據(jù)包分流;過濾步驟以分流對應(yīng)的實(shí)際協(xié)議類型對該分流的數(shù)據(jù)包過濾;代理步驟對過濾后的數(shù)據(jù)包進(jìn)行UTM代理,將數(shù)據(jù)包發(fā)出。
2.如權(quán)利要求1所述異構(gòu)網(wǎng)絡(luò)中實(shí)現(xiàn)統(tǒng)一威脅管理的方法,其特征在于,所述分流對 應(yīng)的實(shí)際協(xié)議類型為非TCP/IP協(xié)議,則代理步驟之前還包括下列步驟協(xié)議轉(zhuǎn)換步驟將該分流過濾后的數(shù)據(jù)包的協(xié)議類型轉(zhuǎn)換為TCP/IP協(xié)議; 間接代理步驟將協(xié)議轉(zhuǎn)換后的數(shù)據(jù)包交由對應(yīng)協(xié)議的UTM代理; 代理步驟之后還包括下列步驟 協(xié)議封裝步驟將所述數(shù)據(jù)包重新封裝為原協(xié)議類型。
3.如權(quán)利要求1所述異構(gòu)網(wǎng)絡(luò)中實(shí)現(xiàn)統(tǒng)一威脅管理的方法,其特征在于,所述分流對 應(yīng)的實(shí)際協(xié)議類型為非TCP/IP協(xié)議,則代理步驟之前還包括下列步驟協(xié)議轉(zhuǎn)換步驟將該分流過濾后的數(shù)據(jù)包的協(xié)議類型轉(zhuǎn)換為TCP/IP協(xié)議; 再次過濾步驟以轉(zhuǎn)換后的協(xié)議類型,對協(xié)議轉(zhuǎn)換后的數(shù)據(jù)包再次過濾; 間接代理步驟將再次過濾后的數(shù)據(jù)包交由對應(yīng)協(xié)議的UTM代理; 代理步驟之后還包括下列步驟 協(xié)議封裝步驟將所述數(shù)據(jù)包重新封裝為原協(xié)議類型。
4.如權(quán)利要求2或3所述異構(gòu)網(wǎng)絡(luò)中實(shí)現(xiàn)統(tǒng)一威脅管理的方法,其特征在于,所述協(xié)議 轉(zhuǎn)換步驟中還包括為協(xié)議轉(zhuǎn)換后的數(shù)據(jù)包增加標(biāo)簽;以及協(xié)議封裝步驟中還包括識別所述數(shù)據(jù)包的標(biāo)簽,并根據(jù)標(biāo)簽提供的信息確定原協(xié)議 類型。
5.一種異構(gòu)網(wǎng)絡(luò)中實(shí)現(xiàn)統(tǒng)一威脅管理的系統(tǒng),其特征在于,包括協(xié)議分析模塊,用于對流入的數(shù)據(jù)包進(jìn)行協(xié)議匹配識別,確定各數(shù)據(jù)包的實(shí)際協(xié)議類型;協(xié)議分流模塊,用于根據(jù)數(shù)據(jù)包的實(shí)際協(xié)議類型將各數(shù)據(jù)包分流; 過濾模塊,用于以分流對應(yīng)的實(shí)際協(xié)議類型對該分流的數(shù)據(jù)包過濾; UTM功能模塊,用于對過濾后的數(shù)據(jù)包進(jìn)行代理數(shù)據(jù)包轉(zhuǎn)發(fā)。
6.如權(quán)利要求5所述異構(gòu)網(wǎng)絡(luò)中實(shí)現(xiàn)統(tǒng)一威脅管理系統(tǒng),其特征在于,所述分流對應(yīng) 的實(shí)際協(xié)議類型為非TCP/IP協(xié)議,則還包括下列模塊協(xié)議轉(zhuǎn)換模塊,用于將該分流過濾后的數(shù)據(jù)包的協(xié)議類型轉(zhuǎn)換為TCP/IP協(xié)議;并將協(xié) 議轉(zhuǎn)換后的數(shù)據(jù)包交由UTM功能模塊,并指示UTM功能模塊以轉(zhuǎn)換后的協(xié)議類型代理; 協(xié)議封裝模塊,用于經(jīng)代理后,將所述數(shù)據(jù)包重新封裝為原協(xié)議類型。
7.如權(quán)利要求5所述異構(gòu)網(wǎng)絡(luò)中實(shí)現(xiàn)統(tǒng)一威脅管理系統(tǒng),其特征在于,所述分流對應(yīng) 的實(shí)際協(xié)議類型為非TCP/IP協(xié)議,則還包括下列模塊協(xié)議轉(zhuǎn)換模塊,用于將該分流過濾后的數(shù)據(jù)包的協(xié)議類型轉(zhuǎn)換為TCP/IP協(xié)議;并將 協(xié)議轉(zhuǎn)換后的數(shù)據(jù)包交由過濾模塊,并指示過濾模塊以轉(zhuǎn)換后的協(xié)議類型對數(shù)據(jù)包再次過 濾;以及將再次過濾后的數(shù)據(jù)包交由UTM功能模塊,并指示UTM功能模塊以轉(zhuǎn)換后的協(xié)議類型代理;協(xié)議封裝模塊,用于經(jīng)代理后,將所述數(shù)據(jù)包重新封裝為原協(xié)議類型。
8.如權(quán)利要求6或7所述異構(gòu)網(wǎng)絡(luò)中實(shí)現(xiàn)統(tǒng)一威脅管理系統(tǒng),其特征在于,所述協(xié)議轉(zhuǎn) 換模塊為協(xié)議轉(zhuǎn)換后的數(shù)據(jù)包增加標(biāo)簽;以及協(xié)議封裝模塊識別所述數(shù)據(jù)包的標(biāo)簽,并根 據(jù)標(biāo)簽提供的信息確定原協(xié)議類型。
9.如權(quán)利要求5、6或7所述異構(gòu)網(wǎng)絡(luò)中實(shí)現(xiàn)統(tǒng)一威脅管理系統(tǒng),其特征在于,還包括 協(xié)議特征庫,用于存儲各類型協(xié)議的特征信息,并作為協(xié)議分析模塊協(xié)議匹配識別的依據(jù)。
全文摘要
本發(fā)明公開了一種異構(gòu)網(wǎng)絡(luò)中實(shí)現(xiàn)統(tǒng)一威脅管理的方法及系統(tǒng),涉及網(wǎng)絡(luò)安全領(lǐng)域,用以解決目前異構(gòu)網(wǎng)絡(luò)的單設(shè)備UTM防范方式無法實(shí)現(xiàn)的問題。方法包括對流入U(xiǎn)TM的數(shù)據(jù)包進(jìn)行協(xié)議匹配識別,確定各數(shù)據(jù)包的實(shí)際協(xié)議類型;根據(jù)數(shù)據(jù)包的實(shí)際協(xié)議類型將各數(shù)據(jù)包分流;以分流對應(yīng)的實(shí)際協(xié)議類型對該分流的數(shù)據(jù)包過濾;對過濾后的數(shù)據(jù)包進(jìn)行UTM代理,將數(shù)據(jù)包發(fā)出。系統(tǒng)包括協(xié)議分析模塊,協(xié)議分流模塊,過濾模塊,UTM功能模塊。由于本發(fā)明的方法和系統(tǒng)中提出了一套完整的分析、分流、過濾、協(xié)議轉(zhuǎn)換、UTM代理,以及協(xié)議還原機(jī)制,所以可實(shí)現(xiàn)異構(gòu)網(wǎng)絡(luò)的單設(shè)備UTM防范方式。
文檔編號H04L12/56GK101827083SQ201010106979
公開日2010年9月8日 申請日期2010年2月9日 優(yōu)先權(quán)日2010年2月9日
發(fā)明者柯宗慶, 柯宗貴 申請人:藍(lán)盾信息安全技術(shù)股份有限公司