基于串接阻斷、旁路分析相分離的智能管控方法和系統的制作方法

專利名稱：基于串接阻斷、旁路分析相分離的智能管控方法和系統的制作方法
技術領域：
本發明涉及互聯網技術領域，特別是涉及一種基于串接阻斷、旁路分析相分離的智能管控方法和系統。
背景技術：
IDC (Internet Data Center,互聯網數據中心)是互聯網上各種應用和流量發起并匯聚的地方，也是各類網絡信息安全事件的發源地。加強對IDC的管控是維護互聯網事業健康有序發展，并杜絕各類不良信息以及有害信息在網絡傳播的重要保障，從而對IDC進行很好的管控，便可以從源頭對網站和網絡信息等安全事件進行安全掌控。發明人在實現本發明過程中發現現有的IDC管控方式存在諸多安全隱患，并不能滿足目前社會對網站和網絡信息等安全事件的各項要求，IDC的管控需要進一步加強。有鑒于上述現有的IDC管控方式存在的技術問題，發明人基于從事此類產品設計制造多年豐富的實務經驗以及專業知識，配合學理的運用，積極加以研究創新，以期創設一種新的基于串接阻斷、旁路分析相分離的智能管控方法和系統，能夠克服現有的IDC管控方式存在的問題，使其更具實用性。經過不斷的研究設計，并經過反復試作樣品及改進后，終于創設出確具實用價值的本發明。

發明內容
本發明的目的在于，克服現有的IDC管控方式存在的問題，而提供一種新的基于串接阻斷、旁路分析相分離的方法和系統，所要解決的技術問題是，加強對互聯網數據中心的管控，以滿足目前社會對網站和網 絡信息等安全事件的各項要求。本發明的目的及解決其技術問題可采用以下的技術方案來實現。依據本發明提出的一種基于串接阻斷、旁路分析相分離的智能管控系統，該系統包括控制端和與其連接的執行端；所述控制端包括策略分發設備，執行端包括負載均衡設備、數據流量阻斷設備和深度包檢測分析設備；策略分發設備，與數據流量阻斷設備和深度包檢測分析設備均連接，用于向數據流量阻斷設備下發基于IP地址和/或端口的封堵命令，向深度包檢測分析設備下發監測命令；所述負載均衡設備，串接在互聯網數據中心IDC與互聯網之間，與數據流量阻斷設備連接，用于在檢測出與其連接的數據流量阻斷設備處于正常工作狀態時，將IDC以及互聯網傳輸來的數據包傳輸給數據流量阻斷設備，在檢測出與其連接的數據流量阻斷設備處于非正常工作狀態時，將IDC傳輸來的數據包傳輸給互聯網，將互聯網傳輸來的數據包傳輸給IDC ;還用于將所述數據流量阻斷設備傳輸來的數據包轉發至IDC或者互聯網；數據流量阻斷設備，與深度包檢測分析設備連接，用于將負載均衡設備傳輸來的不符合其存儲的封堵條件的數據包復制傳輸給深度包檢測分析設備，并回傳給負載均衡設備；根據其存儲的封堵條件不再將負載均衡設備傳輸來的符合封堵條件的數據包傳輸給深度包檢測分析設備，并不再回傳給負載均衡設備；從策略分發設備下發的基于IP地址和/或端口的封堵命令以及深度包檢測分析設備傳輸來的基于基于五元組的封堵命令中提取封堵條件并存儲；深度包檢測分析設備，與策略分發設備連接，用于對數據流量阻斷設備傳輸來的數據包進行協議分析，并根據策略分發設備傳輸來的監測命令和所述協議分析的結果產生基于五元組的封堵命令，將所述基于五元組的封堵命令傳輸給數據流量阻斷設備。
前述的基于串接阻斷、旁路分析相分離的智能管控系統，其中所述執行端包括多個深度包監測分析設備，且所述數據流量阻斷設備與多個深度包檢測分析設備均連接，所述數據流量阻斷設備根據五元組將其接收到的多個數據包分流傳輸給多個深度包檢測分析設備。
前述的基于串接阻斷、旁路分析相分離的智能管控系統，其中所述數據流量阻斷設備的管理接口和深度包檢測分析設備的管理接口均通過內網交換機與所述策略分發設備連接。
前述的基于串接阻斷、旁路分析相分離的智能管控系統，其中所述策略分發設備、 數據流量阻斷設備和深度包檢測分析設備通過內網交換機與日志文件存儲設備連接。
前述的基于串接阻斷、旁路分析相分離的智能管控系統，其中所述負載均衡設備通過IGE接口或者IOGE接口串接在IDC與互聯網之間。
本發明提供的一種基于串接阻斷、旁路分析相分離的智能管控方法包括串接在互聯網數據中心IDC與互聯網之間的負載均衡設備在檢測出與其連接的數據流量阻斷設備處于正常工作狀態時，將IDC以及互聯網傳輸來的數據包傳輸給數據流量阻斷設備，在檢測出與其連接的數據流量阻斷設備處于非正常工作狀態時，將IDC傳輸來的數據包傳輸給互聯網，將互聯網傳輸來的數據包傳輸給IDC ;數據流量阻斷設備根據其存儲的封堵條件將負載均衡設備傳輸來的不符合所述封堵條件的數據包復制傳輸給深度包檢測分析設備，并回傳給負載均衡設備，由負載均衡設備將數據包轉發至IDC或者互聯網；數據流量阻斷設備根據其存儲的封堵條件不再將負載均衡設備傳輸來的符合封堵條件的數據包傳輸給深度包檢測分析設備，并不再回傳給負載均衡設備；深度包檢測分析設備對數據流量阻斷設備傳輸來的數據包進行協議分析，并根據策略分發設備傳輸來的監測命令和所述協議分析的結果產生基于五元組的封堵命令，將所述基于五元組的封堵命令傳輸給數據流量阻斷設備；其中，所述封堵條件為從策略分發設備下發的基于IP地址和/或端口的封堵命令以及深度包檢測分析設備傳輸來的基于基于五元組的封堵命令中提取出的封堵條件。
前述的基于串接阻斷 、旁路分析相分離的智能管控方法，其中數據流量阻斷設備與多個深度包檢測分析設備連接，所述數據流量阻斷設備根據五元組將其接收到的多個數據包分流傳輸給多個深度包檢測分析設備。
前述的基于串接阻斷、旁路分析相分離的智能管控方法，其中所述數據流量阻斷設備的管理接口和深度包檢測分析設備的管理接口均通過內網交換機與所述策略分發設備連接。
前述的基于串接阻斷、旁路分析相分離的智能管控方法，其中所述方法還包括將所述策略分發設備、數據流量阻斷設備和深度包檢測分析設備產生的日志信息存儲于日志文件存儲設備。
前述的基于串接阻斷、旁路分析相分離的智能管控方法，其中所述負載均衡設備通過IGE接口或者IOGE接口串接在IDC與互聯網之間。
借由上述技術方案，本發明的基于串接阻斷、旁路分析相分離的智能管控方法和系統至少具有下列優點及有益效果本發明通過設置串接在IDC與互聯網之間的負載均衡設備、與該負載均衡設備連接的數據流量阻斷設備、與該數據流量阻斷設備連接的深度包檢測分析設備、以及與數據流量阻斷設備和深度包檢測分析設備均連接的策略分發設備， 使串接、數據包檢測、數據包阻斷操作由不同設備來實現，從而建立了串接、阻斷以及分析檢測相分離的針對IDC的智能管控系統；本發明可以通過對協議的還原與分析、關鍵詞的監測與分析等等，實現對互聯網數據中心的信息、上網日志、信息安全以及違法網站等的監控與管理，從而可以實現類旁路的UDP協議阻斷和大流量的協議分析，并對網絡性能影響低，且實現成本低；另外，本發明還滿足了相關的監管機構的監管需求及IDC運營商自身的信息安全管理需求，最終實現了 IDC的健康良性運行。
綜上所述，本發明在技術上有顯著的進步，并具有明顯的積極技術效果，成為一新穎、進步、實用的新設計。
上述說明僅是本發明技術方案的概述，為了能夠更清楚了解本發明的技術手段， 而可依照說明書的內容予以實施，并且為了讓本發明的上述和其他目的、特征以及優點能夠更明顯易懂，以下特舉較佳實施例，并配合附圖，詳細說明如下。


圖1為本發明的基于串接阻斷、旁路分析相分離的智能管控系統示意圖。
具體實施方式
為更進一步闡述本發明為達成預定發明目的所采取的技術手段及功效，以下結合附圖及較佳實施例，對依據本發明提出的基于串接阻斷、旁路分析相分離的智能管控方法和系統其具體實施方式
、結構、特征及其功效，詳細說明如后。
下面結合附圖1對本發明的針對互聯網數據中心(IDC)的基于串接阻斷、旁路分析相分離的智能管控系統和方法同時進行說明。
本發明的智能管控系統可以設置于IDC機房中，且一個IDC機房設置一個智能管控系統。
該基于串接阻斷、旁路分析相分離的智能管控系統包括控制端和執行端，控制端與執行端連接，另外，該系統還可以包括與控制端和執行端均連接的日志文件存儲設備。 在實際應用中，日志文件存儲設備可以同時與多個控制端和多個執行端均連接，如在圖1 中，日志文件存儲設備同時與兩個控制端和兩個執行端均連接。
上述控制端主要包括策略分發設備I。上述控制端主要包括負載均衡設備2、數據流量阻斷設備3以及深度包檢測分析設備4。另外，該控制端還可以包括交換設備，如路由器或者交換機等；一個具體的例子，策略分發設備I通過內網交換機與各深度包檢測分析設備4以及各數據流量阻斷設備3的管理接口均連接，且日志文件存儲設備通過內網交換機與策略分發設備1、數據流量阻斷設備3以及深度包檢測分析設備4均連接。
需要說明的是，雖然 在圖1中，一個數據流量阻斷設備3與兩個深度包檢測分析設備4連接，然而，在實際應用中，與數據流量阻斷設備3連接的深度包檢測分析設備4的數量也可以更多或者更少。
下面對該系統中的各部件分別進行說明。策略分發設備I與數據流量阻斷設備3以及深度包檢測分析設備4均連接。策略分發設備I主要用于下發控制策略，如向數據流量阻斷設備3下發封堵命令，并向深度包檢測分析設備4下發監測命令。策略分發設備I向深度包檢測分析設備4下發的封堵命令如基于IP地址的封堵命令、或者基于IP端口的封堵命令、或者基于IP地址和IP端口的封堵命令。上述監測命令包含有需要監測的對象的相關信息。具體的，策略分發設備I可以根據其接收到的用戶指令(如相關管理部門)生成相應的控制策略(如封堵命令以及監測命令)，并向數據流量阻斷設備3下發其生成的封堵命令，向深度包檢測分析設備4下發監測命令。策略分發設備I可以采用批量的方式生成并下發上述封堵命令以及監測命令，如一次性的批量生成并批量下發幾萬條、幾十萬條甚至幾百萬條封堵命令以及監測命令。該策略分發設備I應具有高速緩存功能，以快速的批量生成并下發上述封堵命令以及監測命令。在實際應用中，策略分發設備I可以采用運行有特定程序以執行上述操作的工控機來實現。策略分發設備I向數據流量阻斷設備3下發的封堵命令通常用于實現針對一個IP地址、一個IP端口或者一個IP地址和端口進行永久封堵，此時，上述基于IP地址和端口的封堵命令可以稱為永久封堵命令，當然，針對一個IP地址和/或端口的封堵也可以是有時間限制的。策略分發設備I向深度包檢測分析設備4下發的監測命令可以為基于域名、網址、關鍵字以及協議等中的一個或者多個進行監測的命令。監測命令通常用于實現針對域名、網址、關鍵字以及協議等中的一個或者多個進行臨時性封堵，此時，上述監測命令可以稱為臨時監測命令，當然，針對域名、網址、關鍵字以及協議等中的一個或者多個進行的監測也可以是沒有時間限制的永久監測。上述的協議的類型可以 具體包括http、SMTP、POP3、FTP、DNS、Telnet、DHCP、RIP、NFS、IMAP、SNMP、Finger以及BOOTP等。本發明通過策略分發設備I下發的封堵命令和監測命令，可以使系統實現對協議的監控及阻斷，對IP地址、IP地址段、IP端口、域名、URL以及協議中的賬號關鍵詞等信息的封堵。本發明的策略分發設備I可以支持基于redis的通訊服務。負載均衡設備2串接在IDC與互聯網之間，也就是說，在IDC與互聯網之間的傳輸的數據包必須流經負載均衡設備2。負載均衡設備2還與數據流量阻斷設備3直接連接。負載均衡設備2的一個主要作用在于，對與其連接的數據流量阻斷設備3進行檢測(如進行物理和邏輯的健康檢測)，在檢測出與其連接的數據流量阻斷設備3處于正常工作狀態時，負載均衡設備2處于管控工作模式下，即負載均衡設備2將IDC以及互聯網傳輸來的數據包傳輸給數據流量阻斷設備3 ;在檢測出與其連接的數據流量阻斷設備3處于非正常工作狀態時，負載均衡設備2處于非管控模式下，即負載均衡設備2將IDC傳輸來的數據包直接傳輸給互聯網，并將互聯網傳輸來的數據包直接傳輸給IDC，以避免數據流量阻斷設備3處于非正常工作狀態時，影響IDC與互聯網之間數據的正常傳輸。負載均衡設備2的另一個主要作用在于，將數據流量阻斷設備3傳輸來的數據包轉發至IDC或者互聯網，也就是說，針對互聯網向IDC發送的數據包，先流經負載均衡設備2，再被傳輸至數據流量阻斷設備3，如果數據流量阻斷設備3將該數據包返回給負載均衡設備2，則負載均衡設備2將該數據包傳輸給IDC，而如果數據流量阻斷設備3不將該數據包返回給負載均設備2，則該數據包不會被傳輸至IDC ;而針對IDC向互聯網發送的數據包， 先流經負載均衡設備2，再被傳輸至數據流量阻斷設備3，如果數據流量阻斷設備3將該數據包返回給負載均衡設備2，則負載均衡設備2將該數據包傳輸給互聯網，而如果數據流量阻斷設備3不將該數據包返回給負載均設備2，則該數據包不會被傳輸至互聯網。
由上述描述可知，在非管控模式下，流量通過負載均衡設備2，實現IDC出口與互聯網直通，不經過數據流量阻斷設備3 ;而在管控模式下，流量先經過負載均衡設備2的一端，流入數據流量阻斷設備3，并從數據流量阻斷設備3的另一端流回負載均衡設備2，實現 IDC出口與互聯網直通。
上述管控模式與非管控模式還可以通過負載均衡設備2上的硬件開關手動切換， 亦可基于數據流量阻斷設備3的加電而自動切換。
在實際應用中，負載均衡設備2可以利用心跳數據包檢測與其連接的數據流量阻斷設備3是否處于正常工作狀態，即負載均衡設備2定時發送心跳數據包，如果定時發送的心跳數據包經由數據流量阻斷設備2定時返回至負載均衡設備2，則負載均衡設備2可以確定出數據流量阻斷設備3處于正常工作狀態，則負載均衡設備2自身處于管控模式，否則， 負載均衡設備2可以確定出數據流量阻斷設備3處于非正常工作狀態，則負載均衡設備2 自身處于非管控模式，從而在數據流量阻斷設備3出現掉電、阻斷設備邏輯故障等現象時， 立即切換到非管控模式
負載均衡設備2可以采用現有的具有bypass功能的設備。另外，負載均衡設備2 應具有IGE接口或者IOGE接口，并通過這樣的接口串接在IDC以及互聯網之間。
數據流量阻斷設備3中存儲有封堵條件，該封堵條件可以采用數據庫或者表等多種方式來存儲。數據流量阻斷設備3中存儲的封堵條件是基于策略分發設備I下發的基于 IP地址和/或端口的封堵命令以及深度包檢測分析設備4傳輸來的基于五元組(源IP地址、源端口、目的IP地址、目的端口和傳輸層協議)的封堵命令而建立的，例如，數據流量阻斷設備3從策略分發設備I傳輸來的基于IP地址和/或端口的封堵命令中提取永久封堵的封堵條件并存儲，且數據流量阻斷設備3從深度包檢測分析設備4傳輸來的基于基于五元組的封堵命令中提取暫時封堵的封堵條件并存儲。
數據流量阻斷設備3主要用于在接收到與其連接的負載均衡設備2傳輸來的數據包時，利用其自身存儲的封堵條件對負載均衡設備2傳輸來的數據包進行封堵判別，如果該數據包符合其存儲的某一個封堵條件，則數據流量阻斷設備3不再將該數據包回傳給負載均衡設備2，也不再將該數據包傳輸給深度包檢測分析設備4 ;如果該數據包不符合其存儲的任何一個封堵條件，則數據流量阻斷設備3不但將該數據包回傳給負載均衡設備2，還會將該數據包傳輸給深度包檢測分析設備4。數據流量阻斷設備3在向深度包檢測分析設備4傳輸數據包時，如果需要傳輸的數據包的流量不大，則數據流量阻斷設備3可以向某個深度包檢測分析設備4傳輸其接收到的數據包；如果需要傳輸的數據包的流量較大，則數據流量阻斷設備3可以將其接收到的數據包分流傳輸給多個深度包檢測分析設備4，例如， 數據流量阻斷設備3根據五元組或者三元組將其接收到的多個數據包分流傳輸給多個深度包檢測 分析設備4，以減輕深度包檢測分析設備4的處理負荷。
一個具體的例子，數據流量阻斷設備3對符合其存儲的永久封堵的封堵條件的某個IP地址發來的數據包進行永久性封堵，或者在預定時間間隔內數據流量阻斷設備3對符合其存儲的暫時封堵的封堵條件的數據包進行臨時封堵。深度包檢測分析設備4與數據流量阻斷設備3直接連接，如使用光纖直接連接。深度包檢測分析設備4中存儲有其接收到的監測命令所承載的監測信息；一個具體的例子，深度包檢測分析設備4接收策略分發設備I傳輸來的監測命令，并存儲該封堵命令中所承載的相關信息。深度包檢測分析設備4可以以數據庫或者表等形式存儲封堵命令中所承載的相關信息。深度包檢測分析設備4主要用于對數據流量阻斷設備3傳輸來的數據包進行深度協議分析，并根據其存儲的監測命令中的相關信息以及上述深度協議分析的結果來判斷是否產生基于五元組的封堵命令，如果判斷結果為需要產生基于五元組的封堵命令，則深度包檢測分析設備4根據該協議分析出的數據包中承載的特定信息產生基于五元組的封堵命令(即根據一定的規則轉換為五元組)，并將該基于五元組的封堵命令傳輸給數據流量阻斷設備2，以使數據流量阻斷設備2可以根據該封堵命令進行相應的存儲及封堵等操作，否貝1J，深度包檢測分析設備4不進行上述基于五元組的封堵命令產生操作以及上述封堵命令的傳輸操作。在實際應用中，深度包檢測分析設備4可以采用運行有特定程序以執行上述操作的工控機來實現。在本發明中，負載均衡設備2、數據流量阻斷設備3以及深度包檢測分析設備4均可以根據實際需求(如相關管理部門的需求)生成相應的日志信息，并將其生產的日志信息通過內網交換機傳輸并存儲于日志文件存儲設備中，以備用戶查詢。該日志文件存儲設備可以包括多個日志文件存儲模塊。另用戶終端可以通過內網交換機接入日志文件存儲設備。以上所述僅是本發明的較佳實施例而已，并非對本發明作任何形式上的限制，雖然本發明已以較佳實施例揭露如上，然而并非用以限定本發明，任何熟悉本專業的技術人員在不脫離本發明技術方案 范圍內，當可利用上述揭示的技術內容作出些許更動或修飾為等同變化的等效實施例，但凡是未脫離本發明技術方案的內容，依據本發明的技術實質對以上實施例所作的任何簡單修改、等同變化與修飾，均仍屬于本發明技術方案的范圍內。
權利要求
1.一種基于串接阻斷、旁路分析相分離的智能管控系統，其特征在于包括控制端和與其連接的執行端；所述控制端包括策略分發設備，所述執行端包括負載均衡設備、數據流量阻斷設備和深度包檢測分析設備； 所述策略分發設備，與數據流量阻斷設備和深度包檢測分析設備均連接，用于向數據流量阻斷設備下發基于IP地址和/或端ロ的封堵命令，向深度包檢測分析設備下發監測命令; 所述負載均衡設備，串接在互聯網數據中心IDC與互聯網之間，與數據流量阻斷設備連接，用于在檢測出與其連接的數據流量阻斷設備處于正常工作狀態時，將IDC以及互聯網傳輸來的數據包傳輸給數據流量阻斷設備，在檢測出與其連接的數據流量阻斷設備處于非正常工作狀態時，將IDC傳輸來的數據包傳輸給互聯網，將互聯網傳輸來的數據包傳輸給IDC ;還用于將所述數據流量阻斷設備傳輸來的數據包轉發至IDC或者互聯網； 數據流量阻斷設備，與深度包檢測分析設備連接，用于將負載均衡設備傳輸來的不符合其存儲的封堵條件的數據包復制傳輸給深度包檢測分析設備，并回傳給負載均衡設備；根據其存儲的封堵條件不再將負載均衡設備傳輸來的符合封堵條件的數據包傳輸給深度包檢測分析設備，并不再回傳給負載均衡設備；從策略分發設備下發的基于IP地址和/或端ロ的封堵命令以及深度包檢測分析設備傳輸來的基于基于五元組的封堵命令中提取封堵條件并存儲； 深度包檢測分析設備，與策略分發設備連接，用于對數據流量阻斷設備傳輸來的數據包進行協議分析，并根據策略分發設備傳輸來的監測命令和所述協議分析的結果產生基于五元組的封堵命令，將所述基于五元組的封堵命令傳輸給數據流量阻斷設備。
2.根據權利要求1所述的智能管控系統，其特征在于，所述執行端包括多個深度包監測分析設備，且所述數據流量阻斷設備與多個深度包檢測分析設備均連接，所述數據流量阻斷設備根據五元組將其接收到的多個數據包分流傳輸給多個深度包檢測分析設備。
3.根據權利要求1所述的智能管控系統，其特征在于，所述數據流量阻斷設備的管理接口和深度包檢測分析設備的管理接ロ均通過內網交換機與所述策略分發設備連接。
4.根據權利要求1或2或3所述的智能管控系統，其特征在干，所述所述策略分發設備、數據流量阻斷設備和深度包檢測分析設備通過內網交換機與日志文件存儲設備連接。
5.根據權利要求1或2或3所述的智能管控系統，其特征在于，所述負載均衡設備通過IGE接ロ或者IOGE接ロ串接在IDC與互聯網之間。
6.一種基于串接阻斷、旁路分析相分離的智能管控方法，其特征在于包括 串接在互聯網數據中心IDC與互聯網之間的負載均衡設備在檢測出與其連接的數據流量阻斷設備處于正常工作狀態時，將IDC以及互聯網傳輸來的數據包傳輸給數據流量阻斷設備，在檢測出與其連接的數據流量阻斷設備處于非正常工作狀態時，將IDC傳輸來的數據包傳輸給互聯網，將互聯網傳輸來的數據包傳輸給IDC ； 數據流量阻斷設備根據其存儲的封堵條件將負載均衡設備傳輸來的不符合所述封堵條件的數據包復制傳輸給深度包檢測分析設備，并回傳給負載均衡設備，由負載均衡設備將數據包轉發至IDC或者互聯網； 數據流量阻斷設備根據其存儲的封堵條件不再將負載均衡設備傳輸來的符合封堵條件的數據包傳輸給深度包檢測分析設備，并不再回傳給負載均衡設備；深度包檢測分析設備對數據流量阻斷設備傳輸來的數據包進行協議分析，并根據策略分發設備傳輸來的監測命令和所述協議分析的結果產生基于五元組的封堵命令，將所述基于五元組的封堵命令傳輸給數據流量阻斷設備； 其中，所述封堵條件為從策略分發設備下發的基于IP地址和/或端口的封堵命令以及深度包檢測分析設備傳輸來的基于基于五元組的封堵命令中提取出的封堵條件。
7.根據權利要求6所述的智能管控方法，其特征在于，所述數據流量阻斷設備與多個深度包檢測分析設備連接，所述數據流量阻斷設備根據五元組將其接收到的多個數據包分流傳輸給多個深度包檢測分析設備。
8.根據權利要求7所述的智能管控方法，其特征在于，所述數據流量阻斷設備的管理接口和深度包檢測分析設備的管理接口均通過內網交換機與所述策略分發設備連接。
9.根據權利要求6或7或8所述的智能管控方法，其特征在于，所述方法還包括 將所述策略分發設備、數據流量阻斷設備和深度包檢測分析設備產生的日志信息存儲于日志文件存儲設備。
10.根據權利要求6或7或8所述的智能管控方法，其特征在于，所述負載均衡設備通過IGE接口或者IOGE接口串接在IDC與互聯網之間。
全文摘要
本發明是有關于一種基于串接阻斷、旁路分析相分離的智能管控方法和系統，其中的方法包括串接在IDC與互聯網之間的負載均衡設備將IDC以及互聯網傳輸來的數據包傳輸給處于正常工作狀態的數據流量阻斷設備；數據流量阻斷設備根據封堵條件將不符合封堵條件的數據包復制傳輸給深度包檢測分析設備，并回傳給負載均衡設備；數據流量阻斷設備不再將符合封堵條件的數據包傳輸給深度包檢測分析設備，并不再回傳；深度包檢測分析設備根據策略分發設備傳輸來的監測命令和其對數據包的協議分析結果產生基于五元組的封堵命令，并傳輸給數據流量阻斷設備。本發明可滿足監管機構的監管需求及IDC運營商自身的信息安全管理需求，從而實現了IDC的健康良性運行。
文檔編號H04L29/08GK103051552SQ20121051300
公開日2013年4月17日 申請日期2012年12月4日 優先權日2012年12月4日
發明者楊滿智, 蔡琳 申請人:恒安嘉新(北京)科技有限公司