專利名稱:一種網絡安全裝置及其實現方法
技術領域:
本發明涉及網絡安全技術領域,特別涉及一種網絡安全裝置及其實現方法。
背景技術:
目前,網絡設備為了信息傳輸安全都安裝了網絡安全設備,網絡安全設備能夠實現內容過濾、病毒過濾、入侵行為檢測等功能。目前的網絡安全設備有兩種方式第一種,軟件方式。如防火墻等,這些設備在設計上,具有網絡安全處理功能,由操作系統的網絡協議棧軟件或操作系統之上的軟件實現。這種設計方式導致安全設備處理網絡報文的速度慢,特別是在高速網絡,安全設備成為了網絡的瓶頸。
為了提高處理速度,出現了第二種方式硬件方式。如安全設備采用專用集成電路(ASIC)芯片或現場可編程邏輯門陣列(FPGA)實現網絡協議棧。由于ASIC和FPGA芯片不能夠隨時地在安全設備中進行修改,導致這類安全設備面對新的攻擊手段和新的網絡協議無法迅速地升級。
現在,很多網絡設備都使用了網絡處理器來優化數據包的處理。網絡處理器是一種專門處理數據包的處理器,它將數據包以其到達的速度,即線速,送到下一個節點;另外,如果需要新的功能或新的標準,網絡處理器可通過編程來實現,以滿足各種各樣的網絡應用。
網絡處理器集成了多個通用CPU或專用處理器,能夠同時對多層協議進行解析,通過編程能夠配合應用程序進行按用途的計費、負荷平衡、進行數據管理等復雜的處理。其中網絡處理器的工作包括監視登錄以識別用戶,檢出登錄信息,然后匹配用戶的文件和收費政策表,并在負荷中找出關鍵字等。
目前,隨著用戶對網絡處理器提出的更高要求,出現了高層協議處理器、加密協議處理器、內容過濾處理器等專用的網絡處理器。網絡處理器通過強大的可編程性,能夠縮短網絡設備開發周期,因此將來網絡設備將大規模地采用網絡處理器,網絡處理器技術也將得到更大的發展。
發明內容
有鑒于此,本發明的主要目的在于提供一種網絡安全裝置,提高網絡報文的處理速度,并能夠隨時方便地進行系統升級。
本發明的另一個目的在于提供一種網絡安全的實現方法,提高網絡報文的處理速度,并能夠隨時方便地進行系統升級。
根據上述目的的一個方面,本發明提供了一種網絡安全裝置,該安全裝置至少包含網絡安全處理模塊,該網絡安全處理模塊至少包含網絡處理器、存儲模塊、網絡接口模塊;存儲模塊、網絡接口模塊通過高速總線與網絡處理器相連;存儲模塊,存儲包含安全策略的配置信息、網絡安全處理模塊的運行代碼、網絡安全處理模塊信息、網絡處理器芯片的協議和安全處理微碼軟件;網絡處理器,通過網絡接口模塊接收外部發送的網絡報文、管理命令、配置信息,對網絡報文進行協議解析,并根據從存儲模塊取出的安全策略對網絡報文進行安全處理,將處理后的網絡報文通過網絡接口模塊發送出去;或根據管理命令將配置信息發送存儲模塊;或根據管理命令將網絡安全處理模塊信息通過網絡接口模塊發送到外部;網絡接口模塊,將網絡處理器與外部設備相連,接收和發送信息。
其中,所述的網絡安全模塊可以進一步包含安全協處理模塊,安全協處理模塊通過高速級連總線與網絡處理器相連,安全協處理模塊接收網絡處理器發送的網絡報文,并對網絡報文進行協議解析、安全處理,將處理后的報文返回給網絡處理器。
所述的安全協處理模塊可以包含通過高速級連總線與網絡處理器相連的密碼協議處理器、高層協議解析處理器、內容過濾處理器、病毒過濾處理器和入侵檢測處理器。
所述的網絡接口模塊至少可以包含100兆以太網接口,或千兆以太網接口,或異步傳輸模式(ATM)接口,或同步數字序列(SDH)接口,或T1/E1接口,或無線局域網802.11接口。
該安全裝置可以進一步包含控制管理模塊,控制管理模塊將從外部接收的管理命令、配置信息轉換為網絡處理器能夠識別的管理命令、配置信息寫入到存儲模塊中;網絡處理器根據接收的命令進行操作,或將安全裝置的運行狀態、事件和日志信息發送給外部管理員計算機。
所述的控制管理模塊至少可以包含CPU、存儲器、接口電路;存儲器、接口電路分別與CPU相連;CPU將從接口電路接收的管理命令、配置信息轉換為網絡處理器能夠識別的管理命令、配置信息寫入到存儲模塊中,網絡處理器根據該命令進行操作;存儲器,存儲控制管理軟件;接口電路分別與網絡安全處理模塊和外部計算機相連;其接收外部計算機發送的管理命令、配置信息,以及網絡安全處理模塊返回的信息;或將轉換后的管理命令、配置信息發送給網絡安全處理模塊,將網絡安全處理模塊返回的信息轉發給外部計算機;所述網絡安全處理模塊進一步包含控制接口模塊,其分別與網絡處理器和控制管理模塊的接口電路相連,接收轉換后的管理命令、配置信息;向控制管理模塊返回網絡安全處理模塊信息。
該安全裝置可以進一步包含為該安全裝置供電的電源模塊和一個殼體,安全裝置的各個模塊設置在殼體中。
所述的接口電路可以包含控制接口電路和管理接口電路;控制接口電路與網絡安全處理模塊的控制接口模塊相連;管理接口電路與外部計算機相連。
所述的控制管理模塊可以為計算機,所述的控制接口電路為PCI接口,或Compact-PCI接口,或串行通信接口,或以太網接口;所述的管理接口電路為以太網接口,或串行通信接口;所述的控制接口模塊為PCI或Compact-PCI接口,或串行通信接口,或以太網接口。
根據上述目的的另一個方面,本發明同時提供了一種網絡安全的實現方法,該方法包括以下步驟1)將上述的網絡安全裝置與網絡設備相連;2)通過管理員計算機對網絡安全裝置進行配置,將網絡安全處理模塊的運行代碼和對網絡報文處理的安全策略存儲到網絡安全裝置中;3)網絡安全裝置從網絡接收到網絡報文后,對網絡報文進行協議解析,并根據安全策略對該報文進行安全處理;4)網絡安全裝置將處理后的網絡報文轉發給網絡設備。
其中,所述步驟2)可以包括以下步驟21)網絡安全裝置加電初始化,將存儲在存儲模塊中用于網絡協議處理和安全處理的網絡處理器微碼軟件加載到網絡處理器中;22)管理員計算機,通過瀏覽器界面或GUI界面,或命令行界面,對網絡安全裝置進行配置;將包括對網絡報文處理的安全策略、網絡安全處理模塊運行代碼的配置信息發送給網絡安全裝置;23)網絡安全裝置將接收到的配置信息存儲到網絡安全處理模塊的存儲模塊中。
所述步驟22)可以進一步包括網絡安全裝置對管理員計算機進行登錄認證,登錄認證通過后管理員計算機對網絡安全裝置進行配置。
所述的登錄認證方法可以為采用一次口令協議或口令認證協議(PAP)進行登錄認證;或采用IP安全協議(IPSEC)進行登錄認證;或采用安全套接字層協議(SSL)進行登錄認證;或采用安全shell主機協議(SSH)進行登錄認證。
所述步驟3)可以包括以下步驟31)網絡安全裝置收到網絡報文后,網絡安全裝置中的網絡處理器對收到的網絡報文進行第2層協議解析,讀取存儲模塊中有關對第2層協議安全處理的策略,并判斷是否符合安全策略,如果符合,則根據安全策略轉步驟32)或者轉發這個網絡報文,否則,丟棄這個報文;32)網絡處理器對網絡報文進行第3層(IP)協議解析,讀取存儲模塊中有關對第3層協議安全處理的策略,并判斷是否符合安全策略,如果符合,則根據安全策略轉步驟33)或者轉發這個網絡報文,否則,丟棄這個報文;33)網絡處理器對網絡報文進行上層協議解析,讀取存儲模塊中有關對上層協議安全處理的策略,根據安全策略對網絡報文進行內容過濾、病毒過濾,或入侵行為檢測,轉發合法網絡報文,丟棄非法網絡報文。
步驟31)所述的判斷是否符合安全策略,可以是根據安全策略中的第2層網絡協議規則表進行判斷的;規則表的內容至少可以包括介質訪問控制協議(MAC)地址,虛擬局域網協議(VLAN);步驟32)所述的判斷是否符合安全策略,可以是根據網絡報文的內容對照安全策略中的地址表、端口號、協議類型、或服務協議類型進行判斷的;對于網絡地址轉換(NAT)策略,則對網絡報文進行NAT處理,然后轉發;對于虛擬網關(VPN)策略,則對網絡報文進行VPN加密或解密處理,然后轉發;對于多協議標記交換(MPLS)策略,則對網絡報文進行MPLS處理,然后轉發;如果是允許報文通過,轉步驟33)或者轉發這個報文。
所述的內容過濾可以是將網絡報文與存儲模塊中保存的關鍵字進行匹配,如果一致,則丟棄該網絡報文。
所述的病毒過濾可以是將病毒代碼作為關鍵字保存在存儲模塊中,將網絡報文與該關鍵字進行匹配,如果一致,則丟棄該網絡報文;也可以將病毒代碼用哈希(hash)函數生成一個字摘要,存儲在存儲模塊中的病毒特征庫中;對被檢測的網絡報文,進行hash計算,生成摘要,再與病毒特征庫比較,如果一致,則丟棄該網絡報文。
所述的入侵行為檢測可以是在存儲模塊中存儲入侵行為規則庫;對被檢測的一個或一個以上網絡報文重組后得到的報文,與規則庫進行匹配,如果一致,則丟棄該網絡報文。
由本發明的技術方案可見,本發明的這種網絡安全裝置及其實現方法,在網絡安全裝置中設置網絡處理器,利用網絡處理器芯片的多微處理器、多層協議解析和強大的芯片級編程功能對網絡數據進行安全處理,保證了寬帶環境下線速的處理速度,并能夠隨時方便地進行系統升級。
圖1為本發明第一較佳實施例中網絡安全裝置的實現框圖;圖2為圖1所示實施例的網絡安全裝置的工作流程示意圖;圖3本發明第二較佳實施例中網絡安全裝置的實現框圖;圖4為圖3所示實施例的網絡安全裝置的工作流程示意圖;圖5為圖4所示步驟407的具體流程示意圖。
具體實施例方式
為使本發明的目的、技術方案和優點更加清楚明白,下面結合實施例和附圖,對本發明進一步詳細說明。
本發明的網絡安全裝置主要由包括網絡處理器的網絡安全處理模塊構成,利用了網絡處理器的協議處理和強大的編程功能對網絡報文進行協議解析和安全處理,本發明的網絡安全裝置還可以增加控制管理模塊來減輕網絡安全處理模塊的工作負擔,提高處理速度,實現方式靈活多樣。
本發明的網絡安全裝置至少有以下幾種實現方式1、網絡安全裝置包含網絡安全處理模塊,或者包含網絡安全處理模塊和控制管理模塊,該裝置設置成一塊電路板卡,可以直接通過PCI接口,或Compact-PCI接口安裝到計算機或網絡設備上。
2、網絡安全裝置包含網絡安全處理模塊,或者包含網絡安全處理模塊和控制管理模塊,另外設置一個電源模塊為它們供電,將這些模塊設置在一個殼體內,成為一個獨立的網絡安全設備,通過以太網接口與計算機或網絡設備相連。
3、網絡安全裝置包含網絡安全處理模塊和控制管理模塊,控制管理模塊由一臺計算機來實現,網絡安全處理模塊設置為一塊電路板卡,其通過PCI接口,或Compact-PCI接口安裝到控制管理模塊上;或網絡安全處理模塊設置為一個獨立的外設,通過串行通信接口或以太網接口與控制管理模塊相連。
以下對本發明的兩個較佳實施例分別進行說明本發明第一較佳實施例的網絡安全裝置,僅包含網絡安全處理模塊,其設置成一塊電路板卡,直接通過PCI接口,或Compact-PCI接口安裝到計算機或網絡設備上。
參見圖1,圖1為本發明第一較佳實施例中網絡安全裝置的實現框圖;其中網絡安全裝置包含網絡安全處理模塊110。網絡安全處理模塊110是本發明網絡安全裝置的核心模塊,主要完成對網絡協議的快速安全過濾處理功能,其包含網絡處理器111、存儲模塊112、網絡接口模塊113,存儲模塊112、網絡接口模塊113通過高速級連總線與網絡處理器111相連;網絡接口模塊113與網絡130和網絡設備140相連,還可以與管理員計算機120相連。
其中,存儲模塊112,存儲包含安全策略的配置信息、網絡安全處理模塊110的運行代碼、網絡安全處理模塊110運行中產生的信息,簡稱網絡安全處理模塊信息、網絡協議、安全處理微碼軟件,安全策略規則等。
網絡處理器111中有多個微處理器引擎和CPU,對網絡報文進行網絡7層協議處理以及安全處理,其通過網絡接口模塊113接收網絡130發送的網絡報文、管理員計算機120發送的管理命令、配置信息,對網絡報文進行協議解析,并根據從存儲模塊112取出的安全策略對網絡報文進行安全處理,將處理后的網絡報文通過網絡接口模塊113發送給網絡設備140;或根據管理命令將配置信息發送存儲模塊112;或根據管理命令將網絡安全處理模塊110信息通過網絡接口模塊113發送到管理員計算機120。
網絡接口模塊113,將網絡處理器111與管理員計算機120、網絡130和網絡設備140相連,接收和發送信息。本實施例中,網絡安全處理模塊110,設置成一塊電路板卡,網絡接口模塊113采用PCI接口,或Compact-PCI接口,本實施例的網絡安全裝置通過上述接口安裝到網絡設備140上。網絡接口模塊113是接收報文和轉發報文的主要部件,它由多個各種網絡協議物理芯片和物理接口組成,根據其連接的網絡設備的不同可以包含100兆以太網接口,或千兆以太網接口,或異步傳輸模式(ATM)接口,或同步數字序列(SDH)接口,或T1/E1接口,或無線局域網802.11等接口,本實施例的網絡安全裝置也可以通過這些接口與遠程管理員計算機相連。
本實施例的網絡安全處理模塊110中,還包含了安全協處理模塊114,當安全處理的算法復雜時,如VPN加密,應用層內容過濾,病毒檢測,和入侵行為檢測,網絡處理器111通過高速級連總線將要處理的網絡報文傳送給安全協處理模塊114,由安全協處理模塊114來實現上述復雜算法,這樣可以提高整體的處理性能。
本實施例中VPN加密,應用層內容過濾,病毒檢測,和入侵行為檢測等功能是分別通過密碼協議處理器115、內容過濾處理器116和高層協議解析處理器117病毒過濾處理器118,和入侵檢測處理器119來實現的,上述五個處理器都通過高速級連總線與網絡處理器111相連。
安全協處理模塊114也可以由網絡處理器111中的CPU用軟件實現,但是這樣做會增加網絡處理器111的工作負擔,影響處理速度,所以一般都采用增加處理器的硬件方式來實現。
參見圖2,圖2為圖1所示實施例的網絡安全裝置的工作流程示意圖;該流程包括以下步驟步驟201,安全裝置加電后,網絡安全處理模塊110啟動,將存儲在存儲模塊中用于網絡協議處理和安全處理的網絡處理器微碼軟件加載到網絡處理器中,完成硬件初始化。
步驟202,管理員計算機120,通過瀏覽器界面或GUI界面,或者命令行界面,對網絡安全處理模塊110進行配置,這些配置信息包括對網絡報文處理的安全策略,網絡安全處理模塊的運行代碼等。
步驟203,網絡安全處理模塊110接收上述配置信息,并存儲到存儲模塊112中。
步驟204,網絡安全處理模塊110通過網絡接口模塊113從網絡130接收的網絡報文后,由網絡處理器111對網絡報文進行協議解析,并根據存儲模塊112中的安全策略對該網絡報文進行安全處理,并將處理后的網絡報文發送給網絡設備140。
本發明第二較佳實施例的網絡安全裝置,包含網絡安全處理模塊和控制管理模塊,控制管理模塊由一臺計算機來實現,網絡安全處理模塊設置為一個獨立的外設,通過串行通信接口或以太網接口與控制管理模塊相連,且網絡安全處理模塊通過網絡接口與外部網絡和網絡設備分別相連。
參見圖3,圖3本發明第二較佳實施例中網絡安全裝置的實現框圖;其中網絡安全裝置包含網絡安全處理模塊330、控制管理模塊320。
本實施例的網絡安全處理模塊330包含控制接口模塊331、網絡處理器332、存儲模塊333、網絡接口模塊340、包含了密碼協議處理器335、內容過濾處理器336、高層協議解析處理器337、病毒過濾處理器338,和入侵檢測處理器339的安全協處理模塊334。其中,網絡處理器332分別與其他模塊相連,本實施例中網絡安全處理模塊330的工作原理與圖1所示實施例中的網絡安全處理模塊110基本相同,只是一些控制管理功能由控制管理模塊320來實現,這樣能夠減輕網絡安全處理模塊330的工作負擔,提高處理速度。
本實施例中的網絡接口模塊340與網絡360和網絡設備350相連,接收網絡360發送的網絡報文,并將處理后的網絡報文發送給網絡設備350。網絡接口模塊340可以與圖1所示實施例中的網絡接口模塊113相同。
控制管理模塊320包含存儲器321、CPU322、包含管理接口電路324和控制接口電路325的接口電路323;存儲器321、管理接口電路324和控制接口電路325分別與CPU322相連。
控制管理模塊320的控制接口電路325與網絡安全處理模塊330的控制接口模塊331相連;控制管理模塊320的管理接口電路324與管理員計算機310相連。管理接口電路324可以為以太網接口。由于本實施例中網絡安全處理模塊330設置為一個獨立的外設,因此控制接口電路325在近程的情況下可以是串行通信接口,遠程的情況下也可以是以太網接口。如果網絡安全處理模塊330設置為一電路板卡,則控制接口電路325可以為PCI或Compact-PCI接口。
本實施例中網絡安全處理模塊330的控制接口模塊331可以為串行通信接口,或以太網接口。如果網絡安全處理模塊330設置為一電路板卡,則控制接口模塊331可以為PCI或Compact-PCI接口。
控制管理模塊320中的CPU將通過管理接口電路324從管理員計算機310接收的管理命令、配置信息轉換為網絡處理器332能夠識別的管理命令、配置信息寫入到存儲模塊333中,網絡處理器332根據該命令進行操作,或將安全裝置的運行狀態、事件和日志信息發送給管理員計算機310。
控制管理模塊320中的存儲器321,存儲操作系統和控制管理軟件。
管理接口電路324接收管理員計算機310發送的管理命令、配置信息,以及網絡安全處理模塊330返回的信息;或將轉換后的管理命令、配置信息發送給網絡安全處理模塊330,將網絡安全處理模塊330返回的信息轉發給管理員計算機310。
本實施例中的安全協處理模塊334除了可以由網絡處理器332中的CPU用軟件實現,也可以由控制管理模塊320中的CPU用軟件實現,但是這樣同樣會影響處理速度,所以一般都采用增加處理器的硬件方式來實現。
本實施例的網絡安全裝置,主要由控制管理模塊320中的控制管理軟件控制安全協處理模塊334,來實現對網絡報文的協議處理和安全處理。控制管理軟件由多個服務進程組成,至少包括HTTP Web服務進程、提供命令行遠程shell的進程、日志收集與發送進程、網絡管理SNMP(simple networkmanagement protocol)進程。上述服務進程中含有用于保證連接保密的安全認證協議,如安全套接字層協議SSL(Secure Socket Layer),或安全shell主機協議SSH(secure shell host),或IP安全協議IPSEC(Internet protocolsecurity),或一次口令協議(one time password),或口令認證協議PAP(Password authentication protocol)。
參見圖4,圖4為圖3所示實施例的網絡安全裝置的工作流程示意圖;該流程包括以下步驟步驟401,安全裝置加電后,控制管理模塊320的CPU及其操作系統首先啟動,運行完成自身硬件的初始化和操作系統裝入;與此同時,網絡安全處理模塊330也同時啟動,完成硬件的初始化;這兩個模塊初始化過程中,包含控制管理模塊320的控制接口電路325和網絡安全處理模塊330的控制接口模塊331的初始化,初始化完成后,兩個模塊之間連接建立完成。
步驟402,在控制管理模塊320的操作系統啟動后,為管理員計算機310提供交互管理界面服務進程,啟動命令行服務進程、HTTP服務進程及配置模塊軟件。
步驟403,管理員計算機310啟動瀏覽器,或一個命令行終端,或者一個GUI配置管理軟件,與控制管理模塊320進行登錄認證;本實施例中可以采用一次口令協議或口令認證協議(PAP)進行登錄認證;或當通過瀏覽器界面進行配置時,采用IP安全協議(IPSEC)協議進行登錄認證;或當通過瀏覽器界面或GUI界面進行配置時,采用安全套接字層協議(SSL)進行登錄認證;或當通過命令行界面進行配置時,采用安全shell主機協議(SSH)進行登錄認證。通過了登錄認證后,管理員計算機310登錄到控制管理模塊320。
步驟404,管理員計算機310通過瀏覽器界面或GUI界面,或者命令行界面,經過控制管理模塊320向網絡安全處理模塊330發送配置命令或管理命令,配置命令中包含配置信息對網絡報文處理的安全策略,網絡安全處理模塊330的運行代碼等。
步驟405,控制管理模塊320接收管理員計算機310的命令,如果是安全策略配置命令,則轉步驟406,如果是管理命令,如查看日志,狀態監控,則轉步驟408,從網絡安全處理模塊330中讀取相應的信息,發送給管理員計算機310。
步驟406,控制管理模塊320將配置命令轉換成網絡安全處理模塊330可以識別的內部命令,將該命令寫入網絡安全處理模塊330中的存儲模塊333中。
步驟407,網絡安全處理模塊330通過網絡接口模塊340從網絡360接收的網絡報文后,由網絡處理器對網絡報文進行協議解析,并根據存儲模塊333中的安全策略對該網絡報文進行安全處理,將處理后的網絡報文發送給網絡設備350。
本發明中,利用網絡處理器對網絡報文進行協議解析和安全處理是本專利的核心,其過程參見圖5,圖5為圖4所示步驟407的具體流程示意圖。該流程與圖2中步驟204相同,其包括以下步驟步驟501-503,網絡處理器調動網絡處理器第2層處理器引擎對收到的報文進行第2層協議解析,讀取存儲器中有關對第2層協議安全處理的策略,根據安全策略中的第2層網絡協議規則表判斷是否符合安全策略,如果符合,則根據安全策略轉步驟502或者轉發這個報文,否則,丟棄這個報文。其中規則表的內容可以包含介質訪問控制協議(MAC)地址、虛擬局域網協議(VLAN)等。
步驟504-506,網絡處理器調動網絡處理器第3層處理器引擎對報文進行第3層(IP)協議解析,讀取存儲器中有關對第3層協議安全處理的策略,根據網絡報文的內容對照安全策略中的地址表、端口號、協議類型或服務協議類型判斷是否符合安全策略;如果不符合安全策略,則丟棄這個報文;如果是NAT策略,則對報文進行NAT處理,然后轉發;如果是允許通過,則直接轉發;如果是VPN策略,則對報文進行VPN加密或VPN解密處理,然后轉發;如果是多協議標記交換(MPLS)策略,則對網絡報文進行MPLS處理,然后轉發;如果是允許報文通過,轉步驟503或者轉發這個報文。
步驟507,讀取安全策略,如果是上層或應用層協議如URL,HTTP,SMTP,FTP,POP3等,進行內容過濾、病毒過濾,或入侵行為檢測,則,網絡處理器調用相應的處理器引擎或安全協處理器模塊對上層協議進行處理,如果是合法報文,則轉發該報文,如果是非法報文,則丟棄該報文。其中,內容過濾的方法是將網絡報文與存儲模塊中保存的關鍵字進行匹配,如果一致,則丟棄該網絡報文。
病毒過濾的方法有多種,例如可以是將病毒代碼作為關鍵字保存在存儲模塊中,將網絡報文與該關鍵字進行匹配,如果一致,則丟棄該網絡報文;也可以是將病毒代碼用哈希(hash)函數生成一個字摘要,存儲在存儲模塊中的病毒特征庫中;對被檢測的網絡報文,進行hash計算,生成摘要,再與病毒特征庫比較,如果一致,則丟棄該網絡報文。
入侵行為檢測的方法是在存儲模塊中存儲入侵行為規則庫;對被檢測的一個或一個以上網絡報文重組后得到的報文,與規則庫進行匹配,如果一致,則丟棄該網絡報文。
另外,上述兩個實施例中,管理員計算機可以隨時向網絡安全裝置發送配置命令和管理命令,網絡安全裝置根據配置命令和管理命令進行配置和管理。如果是安全策略配置命令,則將配置命令轉換成網絡安全處理模塊可以識別的內部命令,將該命令中的配置信息寫入網絡安全處理模塊中的存儲模塊中。如果是管理命令,如查看日志,狀態監控等,則從系統中讀取相應的信息,發送給管理員計算機。這樣,管理員計算機不但能夠對網絡安全裝置進行管理,更重要的是可以在出現新的攻擊手段和新的網絡協議時,通過重新配置實現迅速升級。
由上述的兩個實施例可見,本發明的這種網絡安全裝置及其實現方法,在網絡安全裝置中設置網絡處理器,利用網絡處理器的多層協議解析和強大的編程功能對網絡數據進行安全處理,保證了寬帶環境下線速的處理速度,并能夠隨時方便地進行系統升級,適用于防火墻、安全路由器、安全交換機、入侵檢測設備、防病毒網關和VPN加密網關等多種網絡設備。
權利要求
1.一種網絡安全裝置,其特征在于該安全裝置至少包含網絡安全處理模塊,該網絡安全處理模塊至少包含網絡處理器、存儲模塊、網絡接口模塊;存儲模塊、網絡接口模塊通過高速總線與網絡處理器相連;存儲模塊,存儲包含安全策略的配置信息、網絡安全處理模塊的運行代碼、網絡安全處理模塊信息、網絡處理器芯片的協議和安全處理微碼軟件;網絡處理器,通過網絡接口模塊接收外部發送的網絡報文、管理命令、配置信息,對網絡報文進行協議解析,并根據從存儲模塊取出的安全策略對網絡報文進行安全處理,將處理后的網絡報文通過網絡接口模塊發送出去;或根據管理命令將配置信息發送存儲模塊;或根據管理命令將網絡安全處理模塊信息通過網絡接口模塊發送到外部;網絡接口模塊,將網絡處理器與外部設備相連,接收和發送信息。
2.如權利要求1所述的安全裝置,其特征在于所述的網絡安全模塊進一步包含安全協處理模塊,安全協處理模塊通過高速級連總線與網絡處理器相連,安全協處理模塊接收網絡處理器發送的網絡報文,并對網絡報文進行協議解析、安全處理,將處理后的報文返回給網絡處理器。
3.如權利要求2所述的安全裝置,其特征在于,所述的安全協處理模塊包含通過高速級連總線與網絡處理器相連的密碼協議處理器、高層協議解析處理器、內容過濾處理器、病毒過濾處理器和入侵檢測處理器。
4.如權利要求1所述的安全裝置,其特征在于所述的網絡接口模塊至少包含100兆以太網接口,或千兆以太網接口,或異步傳輸模式(ATM)接口,或同步數字序列(SDH)接口,或T1/E1接口,或無線局域網802.11接口。
5.如權利要求1所述的安全裝置,其特征在于該安全裝置進一步包含控制管理模塊,控制管理模塊將從外部接收的管理命令、配置信息轉換為網絡處理器能夠識別的管理命令、配置信息寫入到存儲模塊中;網絡處理器根據接收的命令進行操作,或將安全裝置的運行狀態、事件和日志信息發送給外部管理員計算機。
6.如權利要求5所述的安全裝置,其特征在于所述的控制管理模塊至少包含CPU、存儲器、接口電路;存儲器、接口電路分別與CPU相連;CPU將從接口電路接收的管理命令、配置信息轉換為網絡處理器能夠識別的管理命令、配置信息寫入到存儲模塊中,網絡處理器根據該命令進行操作;存儲器,存儲控制管理軟件;接口電路分別與網絡安全處理模塊和外部計算機相連;其接收外部計算機發送的管理命令、配置信息,以及網絡安全處理模塊返回的信息;或將轉換后的管理命令、配置信息發送給網絡安全處理模塊,將網絡安全處理模塊返回的信息轉發給外部計算機;所述網絡安全處理模塊進一步包含控制接口模塊,其分別與網絡處理器和控制管理模塊的接口電路相連,接收轉換后的管理命令、配置信息;向控制管理模塊返回網絡安全處理模塊信息。
7.如權利要求1或6所述的安全裝置,其特征在于該安全裝置進一步包含為該安全裝置供電的電源模塊和一個殼體,安全裝置的各個模塊設置在殼體中。
8.如權利要求6所述的安全裝置,其特征在于所述的接口電路包含控制接口電路和管理接口電路;控制接口電路與網絡安全處理模塊的控制接口模塊相連;管理接口電路與外部計算機相連。
9.如權利要求8所述的安全裝置,其特征在于所述的控制管理模塊為計算機,所述的控制接口電路為PCI接口,或Compact-PCI接口,或串行通信接口,或以太網接口;所述的管理接口電路為以太網接口,或串行通信接口;所述的控制接口模塊為PCI或Compact-PCI接口,或串行通信接口,或以太網接口。
10.一種網絡安全的實現方法,其特征在于,該方法包括以下步驟1)將權利要求1所述的網絡安全裝置與網絡設備相連;2)通過管理員計算機對網絡安全裝置進行配置,將網絡安全處理模塊的運行代碼和對網絡報文處理的安全策略存儲到網絡安全裝置中;3)網絡安全裝置從網絡接收到網絡報文后,對網絡報文進行協議解析,并根據安全策略對該報文進行安全處理;4)網絡安全裝置將處理后的網絡報文轉發給網絡設備。
11.如權利要求10所述的實現方法,其特征在于,所述步驟2)包括以下步驟21)網絡安全裝置加電初始化,將存儲在存儲模塊中用于網絡協議處理和安全處理的網絡處理器微碼軟件加載到網絡處理器中;22)管理員計算機,通過瀏覽器界面或GUI界面,或命令行界面,對網絡安全裝置進行配置;將包括對網絡報文處理的安全策略、網絡安全處理模塊運行代碼的配置信息發送給網絡安全裝置;23)網絡安全裝置將接收到的配置信息存儲到網絡安全處理模塊的存儲模塊中。
12.如權利要求11所述的實現方法,其特征在于,所述步驟22)進一步包括網絡安全裝置對管理員計算機進行登錄認證,登錄認證通過后管理員計算機對網絡安全裝置進行配置。
13.如權利要求12所述的實現方法,其特征在于,所述的登錄認證方法為采用一次口令協議或口令認證協議(PAP)進行登錄認證;或采用IP安全協議(IPSEC)進行登錄認證;或采用安全套接字層協議(SSL)進行登錄認證;或采用安全shell主機協議(SSH)進行登錄認證。
14.如權利要求10所述的實現方法,其特征在于,所述步驟3)包括以下步驟31)網絡安全裝置收到網絡報文后,網絡安全裝置中的網絡處理器對收到的網絡報文進行第2層協議解析,讀取存儲模塊中有關對第2層協議安全處理的策略,并判斷是否符合安全策略,如果符合,則根據安全策略轉步驟32)或是在存儲模塊中存儲入侵行為規則庫;對被檢測的一個或一個以上網絡報文重組后得到的報文,與規則庫進行匹配,如果一致,則丟棄該網絡報文。
全文摘要
本發明公開了一種網絡安全裝置,其包含網絡安全處理模塊。網絡安全處理模塊包含通過高速總線連接的網絡處理器、存儲模塊、網絡接口模塊;該裝置利用網絡處理器強大的芯片微碼編程功能和多個微處理器對多層網絡協議進行解析和對網絡數據進行安全處理。本發明同時公開了一種網絡安全的實現方法,該方法將上述的網絡安全裝置與網絡設備相連;由管理員計算機對網絡安全裝置進行配置,將網絡安全處理模塊的運行代碼和對網絡報文處理的安全策略存儲到網絡安全裝置中;網絡安全裝置對網絡報文進行協議解析,并根據安全策略對報文進行安全處理。本發明的應用能夠保證寬帶環境下線速的處理速度,并能夠隨時方便地進行系統升級。
文檔編號H04L29/06GK1567808SQ03137099
公開日2005年1月19日 申請日期2003年6月18日 優先權日2003年6月18日
發明者韋衛, 高紅, 程勇, 呂曉東, 宋斌, 宋春雨, 肖為劍, 劉春梅, 王剛 申請人:聯想(北京)有限公司