专利名称:虚拟专用网(vpn)和防火墙的集成系统的制作方法
技术领域:
本发明涉及网络系统,更具体的是涉及一种集成防火墙和VPN的系统。本发明可在任何采用VPN和/或防火墙的局域网(LAN)/广域网(WAN)环境下应用。
背景技术:
发明内容
一方面,本发明提供一个集成防火墙/VPN的系统,该系统包括至少一个广域网(WAN)和至少一个局域网(LAN)。本发明还提供一种集成防火墙/VPN芯片组用于发送和接收WAN与LAN之间的数据包。该芯片组包括提供WAN与该LAN之间的访问控制功能的一防火墙部分和为LAN与WAN之间的数据提供安全功能的一VPN部分。防火墙部分包括防火墙硬件和软件部分,其中至少防火墙硬件部分提供与该访问控制相关的重复迭代功能。VPN部分包括VPN硬件和软件部分,其中至少VPN硬件部分提供与安全功能相关的重复迭代功能。
另一方面,本发明提供防火墙/VPN集成电路(IC),该集成电路包括一路由器核心,该路由器核心连接至少一不可信网络(即外网)和至少一可信网络(即内网)、并发送和接收不可信网络与可信网络之间的数据包。该IC也包括一防火墙系统,该防火墙系统提供不可信网络与可信网络之间的访问控制,该防火墙系统包括防火墙硬件和软件部分,其中至少防火墙硬件部分提供与该访问控制相关的重复迭代功能。该IC还包括一VPN引擎,该VPN引擎为可信网之间提供安全功能,该VPN引擎并且包括VPN硬件和软件部分,其中至少该VPN硬件部分提供与安全功能相关的重复迭代功能。
根据本发明的一示范性方法包括一种提供防火墙访问控制功能的方法,该方法包括步骤定义一个或更多访问控制协议;接收一数据包;选择该数据包的若干字节;并采用该访问控制协议处理所选若干字节。
本发明的集成的防火墙和VPN可用于提供包括因特网网络安全解决方案、统一的网络管理和全面的基于网络流量的用户使用报告在内的整体解决方案。另外,由于VPN管道连接具有固有的防火墙保护,因此本发明可以防止来自因特网的攻击。采用集成防火墙可以监测到普通的“拒绝服务”(DOS)攻击并予以适当处理,该攻击可能会危及一独立的VPN网关的安全。
本发明包括嵌入式的并行策略,该策略提供了适合VPN网络流量的全面的安全功能,因此,该策略为所有的网络流量提供了访问控制。防火墙和VPN可共享同一个用户认证服务,因此,个人用户或预定的组用户在访问授权的资源时、可以享有同一级别的安全服务。
数据库更新和安全策略管理可同时用于VPN和防火墙,该数据库更新和安全策略管理能够减少复杂网络环境中的处理延时影响,并提供集中式管理和较简单的系统结构。因此,网络管理不必在多系统间进行用户认证。
本发明的防火墙/VPN集成系统可以通过每个单一策略来进行带宽管理。通过调整防火墙策略,本发明也可以有效的实现VPN通道带宽管理。
进一步的安全功能可通过将基于策略的网络地址端口转换(NAPT)和网络协议安全(IPsec)VPN的封装管道模式集成来实现。
本技术领域的技术人员应认识到,虽然以下详细描述基于描述较佳实施例,本发明并不受限于这些实施例。开始就应认识到,本发明将使用“软件”或“模块化进程”这些术语,并且这些术语应被广泛解释为包括一个或多个程序进程、数据结构、源代码、程序代码等术语,和/或一个或多个传统的通用处理器和/或专用处理器的其他存储数据,该处理器可包括存储器存储装置(例如,随机存储存储器(RAM)和只读存储器(ROM))和存储设备(例如,计算机可读存储器、磁盘阵列、直接访问内存)。进一步说,该方法或模块处理器可采用定制或/和现成的电路元件按照本领域公知的方式配置来实现该功能。
本发明的其它特性和优点将在以下详细描述并结合图示的说明中更为明显,其中相同数字表示相同元件,并且其中
图1所示为本发明防火墙/VPN集成系统的总体框图;图2所示为本发明防火墙/VPN集成系统的功能框图;图3所示为本发明防火墙/VPN集成系统的软件和固件组件的示范性框图;图4所示为本发明防火墙/VPN集成系统的示范性应用的详细网络级框图。
具体实施例方式
图1所示为本发明防火墙/VPN集成系统100的总体框图。在一个示范性实施例中,系统100包括一VPN部分102和一防火墙部分104,该防火墙部分监控WAN106与LAN108之间的网络流量。通常,VPN部分102提供WAN侧的网关之间数据包的加密和解密功能。VPN部分包括硬件部分110和软件部分112,该硬件部分110和软件部分112采用本领域熟知的常规的和/或专用的加密/解密算法(进程)进行加密/解密。防火墙部分104监控LAN与WAN之间的网络流量(以本领域所熟知的方式)并通常包括监控网络流量的硬件部分114和软件部分116。本发明使软件部分和硬件部的得以最优化,来实现VPN和防火墙的集成功能、减小系统延时并使数据流的性能在系统级别上得以提升。
图2所示为本发明防火墙/VPN集成系统的功能框图。框图200示意了数据流向及其在VPN和防火墙部分中的处理过程。来自LAN或WAN的输入数据202(以包数据流(packet stream)的形式)由网络接口204接收。在本示范性实施例中,如本领域所熟知的,接口204将处理特定LAN/WAN环境下的协议。接口204接收包数据流并将该包数据流放入一包缓存区(packet buffer memory)206。另外,系统可能配置有额外的和/或外部存储器208(例如,闪存、同步动态随机存取内存(SDRAM)等此类存储设备),该存储设备可用于临时性存储数据包。在本示范性实施例中,外部存储器208用于存储网际协议(IP)数据包。
接口204判定输入数据是未加密数据(来自LAN)或是加密数据(来自WAN)。若输入数据是未加密数据(意味着数据来自LAN侧),则接口204(沿着数据路径222)将包数据流中预选的若干字节发送至防火墙220。在本示范性实施例中,包数据流中前144字节被选中,因为这些字节包含了第2层至第7层的报头和内容信息。然而,144字节只是示范性的,还可以有其他预选的值,如根据期望的防火墙安全级别或处理效率。若接口204判定输入数据202是加密数据(例如来自WAN侧的密码数据),则输入数据流将被发送至内部VPN引擎210。
内部VPN引擎210通常包括将加密数据转换成未加密IP包的解密和拆封装进程。如将图3中详述的,本发明的VPN部分利用硬件和软件提高VPN引擎的效率。沿路径224到达的输入数据存储在常规缓冲器212中。内部VPN处理器214将输入数据处理成解密和拆封装的数据。按照本领域所熟知的方式提供的内部安全关联数据库216包括一联系WAN侧两个网关之间的管道数据库。处理器214采用数据库216中的管道属性信息将输入数据解密和拆封装。另外,提供包括微编码的协议指令218指示处理器214按通用的或用户自定义的安全协议和相关程序将数据解密和拆封装。一旦数据被解密和/或拆封装,得到的未加密数据(IP包)数据将沿着数据路径225被发送到接口204。按上述方法,数据的预选字节(例如,前144字节)将沿着路径222被发送至防火墙220。
防火墙220从接口204接收预选的若干字节,从而开始进行包过滤和路由选择。如在图3中详述的,本发明的防火墙部分利用硬件和软件提高防火墙的效率。防火墙按照预设或用户自定义的安全策略以常规方式分析输入数据。该安全策略是本领域所熟知的,并可包括通用和/或专用的安全策略。防火墙实质上提供一不可信网(WAN)与一可信网(LAN)之间的访问控制。
本发明中,防火墙220选用适当的软件和硬件分析预选的数据,而不是处理整个数据包。这样可以提高防火墙的整体速度和效率。本领域的技术人员应认识到,较多的预选数据可提高安全性能,但也有可能降低防火墙处理的速度。因此,本发明允许用户调整防火墙的设置,从而符合期望的安全性能和/或期望的速度要求。
一旦数据通过安全策略,本发明也可采用质量管理进程242和服务质量进程226。质量管理进程管理包缓存区206,从而维持存储器中排队等候处理的包之间的链路。服务质量进程226作为数据包优先调度程序,并从服务质量映射和处理器228接收数据。实质上,如本领域所熟知的,服务质量分析到达的数据,如根据数据类型(声音、IP、视频等数据类型)或网络带宽的考虑,从而判定先发送哪个数据。
一般来说,若离开防火墙的数据将去往LAN,服务质量进程将按照如前所述进行处理,处理一旦完成即将一个控制信号227发送到输出接口238,从而指示包缓存区208释放数据。若离开防火墙的数据将去往WAN,则在数据发送到WAN之前需要加密/封装数据。这种情况下,可采用外部VPN引擎230加密和/或封装输出至WAN的数据。引擎230包括一外部VPN处理器232,该外部VPN处理器根据协议指令234和外部安全关联数据库236加密和封装数据,其处理方式类似于内部VPN引擎210(如上所述)。在一示范性实施例中,外部安全关联数据库中的安全策略与防火墙220中的安全策略匹配。一旦数据被加密,则被发送到传输接口238并离开防火墙去往WAN240。
图3所示为本发明防火墙/VPN集成系统的软件和固件组件的示范性框图300。通常,302表示软件部分而304表示硬件(特定用途集成电路ASIC)部分。310和308分别表示与防火墙相关的硬件部分和软件部分,312和306分别表示与VPN相关的硬件部分和软件部分。如上所示,本发明采用软件和硬件来提高总体效率。一般来说,具有高度重复性和/或密集数学运算的进程在硬件中固化,而其他进程采用软件实现。硬件平台304中的每个进程包括一个或多个执行上述任务的分布式精简指令集电脑型(RISC-type)处理器,当然采用其它类型处理器在此被认为等同。开始时就应认识到,如图3中不同层次所示,本发明提供了层次化方法来实现硬件和软件功能。当然,本领域的技术人员应认识到,图3仅代表一示范性方法,还存在其它并不脱离本发明精神和范围的层次化设计方法。下面将对图3的每个单元加以详述。
防火墙硬件平台集成内嵌数据包捕获/媒体访问控制(MAC)单元314接收来自网络的以帧为单位的网络数据。路由器核心316确保根据不同目的地址和基于防火墙或VPN的关联的安全策略发送数据包。TCP/UDP/ICMP连接监测单元318判定并监测连接状态。该单元可用于哈希查询(hash approach),接着搜索将到达的数据包是否在被监测或已注册的连接上传输。若数据包在该完全监测的连接内,则认为数据包是安全的,接着发送这些数据包,从而加快该安全策略的进程。
内容/签名监测单元320对输入数据包的144字节进行实时分析,从而判断输入数据包中是否存在有限数量的模式,该模式可能是已知的病毒蠕虫的代码。安全策略静态规则监测单元322提供过滤静态数据包的功能。静态特性是指该数据包过滤功能仅研究当前单个数据包,而不是研究该数据包之前或之后数据包相关性和上下文关系。协议状态检测(TCP/UDP/ICMP)单元324通过检查连接协议的动态状况识别该连接,因此采用TCP、UDP、或ICMP协议的不同应用可利用该单元分析输入数据。分析该数据的组成之后,该单元将与TCP/UDP/ICMP连接监测部件通信从而进一步检查连接速度。
数据包丢弃处理单元326接收来自下层处理单元(324、318、320和322)的输出结果,根据安全策略做出让数据包通过或拒绝数据包通过的决定。建立/结束会话单元328分析并跟踪连接或会话的起始和终止。由于TCP连接的建立会导致连接两端状态变化,因此TCP连接安全依靠判断该状态变化来进入关闭状态,当然这种方法的代价是降低了一定的性能。采用该状态变化,本发明运用硬件监控并查找该连接的建立,查找并结束状态。防火墙策略管理单元330通常定义安全策略的硬件存储器,该硬件存储器包括内部存储器。警报产生单元332通过引起软件堆栈中相关的中断事件,从而产生特殊事件作为警报。根据不同的安全策略和规则建立起针对不同数据包的统计信息。
VPN硬件平台协议感知VPN引擎342包括若干个硬件内核嵌入功能部分,该硬件内核嵌入功能部分包括封装功能单元336、认证单元338和加密(解密)单元340。考虑到灵活性与安全性,还可在该VPN引擎中使用面向RISC的分布式专用内核。通过改变每个单个微处理器的微代码,该VPN引擎可根据不同协议的要求执行不同的任务,例如IPv4或IPv6所需的较高性能的IPsec协议。
IPsec SADB(安全关联库)/SPD(安全策略库)单元346包括IPsec管道属性数据库的硬件存储器和规则选择器。管道中对每个数据包进行处理时需要参考该数据库。通过优化该组件达到IPsec协议应用所需。该数据库的内容来自经由IKE进程协商而来的通道。微代码汇总单元348为不同安全协议保存不同微码。警报产生单元350根据所选标准产生警报,例如管道有效期内被中止、遇到恶意的加密数据包、由于管道同步导致数据包发送失败等事件。日志单元352通过硬件统计支持VPN相关的常规记录和基于每个管道的记录。
软件平台设备驱动器354提供软件部分302与硬件部分304间的接口。安全策略汇总单元356提供用于安全策略实施的管理软件。状态表追踪应用单元358是提供详细调查以查明哪些应用采用了TCP/UDP/ICMP协议的软件组件。接着根据不同应用需要和其状态检测,为安全保护目的、该软件组件在防火墙系统中生成关联网关。应用代理单元360通常位于内核级,并根据应用的级别提供更详细的调查。该进程将内嵌网络流量的数据和上下文重新组合,从而生成更详细的内容分析或在数据库中进行蠕虫病毒的模式搜索或过滤不需要的指令。管理软件堆栈362为系统执行管理任务。该任务包括防火墙系统和VPN引擎系统。简单网络管理协议(SNMP)堆栈364根据常规请求注解(RFC)的需求执行SNMP。该组件是通用网络设备或网络软件堆栈的接口,通过该接口可获取系统中的状态或任何统计或纪录信息。
攻击/警报数据库366收集来自软件部分和硬件部分的攻击或警报。该事件以数据库形式存放,并可以与在该内核之上级别使用的数据库应用方便连接。自动键/安全属性(SA)管理(IKE/ISAMP)单元368根据RFC2048需求提供Ipsec中的主要协议,从而手动或自动处理键和SA。该组件与IPsec功能相关联。认证协议汇总单元370支持IPsec认证要求。该认证协议汇总单元包括封装安全负载(ESP)和认证报头(AH)中的消息认证协议(HMAC-96)[RFC-2104]。认证机制确保数据包为可信的并且在传输过程中不可更改。
网络浏览器管理提供基于网络的管理图形用户界面(GUI)组件。在示范性系统中,系统通用CPU在HTTPS协议下主管网络服务器,管理网页存储在该网络服务器中。系统的全部配置和管理进程可集成在该管理页面内。通过加密套接字协议层(SSL),可远距离地浏览管理网页(在WAN主机上,或在具有加密连接的本地安全LAN主机上),(例如,为提供高度保密,连接采用选定的加密算法)。本地命令行接口(CLI)/小型文件系统(TFS)374通过命令行提供本地访问和提供配置文件的交互功能。
图4所示为本发明防火墙/VPN集成系统的示范性应用的详细网络级框图400。如上所述,防火墙/VPN系统402作为公共网络(WAN)414和一个或多个LAN网络408和/或410的访问控制模块。在该例中,系统通过常规外设元件互连(PCI)总线404与代理服务器406相连。图中路由器和其他部分对于本领域的技术人员就不再赘述了。
系统概述和具体示范性应用作为小结,以下说明详述了图2、3、4所示本发明的一些具体实施例。这些实施例只是示范性的,所以本发明的应用并不受限于这些实施例。本发明提供单芯片系统方案用于获得集成VPN功能的高性能的防火墙。防火墙部分作为密码系统,给静态/动态包过滤引擎的多个层提供不同密度的实时策略检测和灵活标准策略管理。除了为复杂标准检测进行静态/动态包过滤之外,防火墙部分还有经“状态检测”的TCP/UDP连接匹配引擎。因此本发明明确地为TCP/UDP连接内的数据包加快了包过滤的速度。
对于硬件包过滤系统覆盖不到的罕见病毒或蠕虫,该罕见病毒或蠕虫包含超出144字节范围且具有非常危险的内容,系统会将该数据包连同预先分析的结果一起发送到CPU或网络处理部件(NPU)上运行的保护代理进程。保护代理进程采用硬件引擎分析数据包的报头和内容并且进行预分析处理,以此减轻CPU(或NPU)中分析或处理单个数据包的工作负荷。
以下将说明软件部分和硬件部分各种组件的示范性功能1.路由器核心和配置端口。
该路由器核心316提供基本路由选择功能,将不同的数据包发往多个逻辑端口。例如,如图4所示,系统402可与四个不同的端口相连一个是连接到因特网路由器的不可信端口,一个是可信端口,一个是隔离区(DMZ)端口,一个是CPU主机端口和一个可选择的NPU端口。每个端口都有自己的IP级子网(除了可在路由选择表中手工配置的NPU端口)。处理不可信网络流量和可信网络流量的端口有两种。若该两种灵活端口配置成10/100Mbs速率,进入端口将由路由器合并在一起并且作为单一逻辑端口处理。同样地,对于出口条件,端口逻辑上合并成一个端口,其中根据出口数据包的地址来选择出口端口。
2.灵活和可升级的四层防火墙系统。四层防火墙包括面向硬件的静态/动态数据包过滤引擎的三层,和定制的病毒或蠕虫监测代理的一层。防护系统的每一层都有自身的特性并提供不同级别的安全防护。
第一层是报头匹配数据包过滤引擎(简称为HME),该HME主要负责将来自第二层、第三层、第四层报头提取出来并组合后进行模式匹配。由于报头字段只具有一定程度上的包含于报头模式中的密度和期望内容,该层对数据包的过滤通常更为直接。因此,该层规则的编辑和管理可以简单形式实现,从而减轻IT用户的操作负担。
第一层(HME)或许不能有效地鉴别可疑的病毒或蠕虫。因此,本发明中的防火墙的第二层嵌入了具有内容匹配硬件的数据包过滤引擎(简称CME)。该引擎可分析数据包头的144字节范围的内容。
防火墙系统中第三层是CPU(或NPU)中运行的几组不同应用代理。由于纯硬件数据包过滤引擎的局限性,它不能满足在超出144字节的内容进行罕见模式的监测需要。尽管CPU软件代理仅提供该深层次的防护,当数据包连同“预分析”结果一起发送到CPU端口时,该第一层和第二层内容分析仍可对数据包监测作出许多贡献。这种体系结构方法大大减轻来自常规CPU的处理负担,CPU在侦测深层病毒情况下会运行不同代理。
会话匹配引擎(SME)作为防火墙系统的第四层。SME包括一个嵌入式会话查找表,该嵌入式会话查找表存储由“状态检测”逻辑建立的TCP/UDP连接。TCP/UDP中的连接建立步骤经过三方握手联络,该TCP/UDP握手控制信息包由系统的SME捕获,接着被发送到常规CPU来追踪连接建立进程。等CPU执行并记录连接建立进程后,该层将连接套接口地址编写到会话查找表中,供将来该连接上收到的数据包查询。在该会话查找表中搜寻流经该层的TCP/UDP数据包,通过检查数据包是否在建立的连接(会话)内来决定放行还是丢弃该数据包,从而加快TCP/UDP连接检测速度。
3.协议感知VPN引擎在该VPN引擎中,一个微码阵列uPs是不同安全协议(包括IPsec在内)灵活应用的基础。这些微处理器包括可编程的指令存储器以提供多协议更新功能。
为此,高带宽性能需求被设计到VPN引擎中。两条独立的逻辑流水线处理内部和外部VPN网络流量。每条流水线采用微码IPs执行分配的任务。每条流水线有一个独立可编程IP,该IP执行分配给该流水线的特定任务并在工作周期内完成任务以提供持续的可用带宽。该VPN引擎执行各类VPN安全功能包括通过不同微码程式指令认证数据完整性和数据来源。该基本的认证由专用硬件HMAC-MD5-96和HMAC-SHA-1-96提供。数据机密性的基本算法依据数据加密标准DES/3 DES、高级加密标准(AES)的硬件核心,因此数据处理的延迟时间是可预见的。
另外,系统包括一集成智能卡读卡器,该集成智能卡读卡器在建立VPN通道时、为定期产生公用密码钥匙(shared keys)或密码钥匙组(Key Pair)有效地存储种子。
具有输入缓冲输出排队体系结构是本发明的特点,该体系结构可消除路由器服务中线头阻塞(head of line blocking)。输入缓冲管理单元将接收到的IP数据包存储在一个链接表结构(Linked ListStructure)中,从而允许转发模块简单访问并修改接收到的IP数据包。输出排队方案也支持每个端口的带宽管理功能。该带宽管理功能作为输出排队功能模块的一组成部分。
基于策略的网络地址(端口)转换(NA(P)T)依照匹配策略执行相关IP源地址的NAT转换与TCP/UDP端口转换和恢复。
系统通过端口镜像(ports mirroring)方案和部分边界网关协议(BGP)/开放最短路径优先(OSPF)路由协议支持冗余故障恢复和负载平衡。安全管道要求定期地使某些状态信息维持同步。端口镜像通过使用一以太网端口和BGP/OSPF消息传送与备份网关传递状态信息,如此将所需切换时间缩至最短。
本发明模块化软件堆栈允许系统高效工作。为权衡安全与最优化性能间的利弊,嵌入式软件堆栈提供几个基本代理、该代理位于基于Lunix系统的内核中。软件还包括“透明代理”或“混合代理”特性从而通过硬件自动启动数据包过滤并将数据包转发到相关代理。该方法的一个优点是从用户角度看不到此过程,并且用户不需要为外部服务通信设置系统。作为替代,系统中途拦截数据包,并由设置代理的用户将数据包转发到系统代理堆栈。采用该通用结构,系统具备代理提供的更完善的安全措施,并且具有硬件过滤数据包的高速性能。系统代理堆栈包括的示范性代理是FTP代理、Telnet代理、邮件代理(POP、POP3等),这些代理为高度具体应用相关的功能提供病毒保护功能。
在配置管理方面,软件具备可访问分布式系统中所有元件的集中式管理控制。例如,软件包括提供适应多种命令脚本形式的命令行接口,包括基于网络接口的直观易懂的图形用户界面(GUI)的,在中央控制管理站中建立并在需要时上传到VPN网关的配置文件,供第三方供应商为网络配置系统开发管理软件的一应用编程接口(API)。
本发明的集成特性包括集成硬件防火墙/VPN的ASIC芯片,适用于企业级链接的1Gb速率接口和10/100Mbs灵活的以太网接口,采用专有加密/解密ASIC芯片的灵活外部接口(若适用),与常规CPU连接的PCI-X(133/66/33MHz)接口,与NPU连接的专用接口总线(若适用)。
典型的防火墙系统特性可支持片上1000条策略和通过存储于外部静态存储器(SRAM)阵列而增加的可变数量的策略。数据包过滤以线速分析数据包自IP层起144字节的内容,从而提供无额外开销的内容感知安全功能。所有数据包过滤引擎支持根据接收数据包内容对策略进行动态更改。通过在会话查找表中的硬件搜寻,连接过滤引擎提供对多达一百万条连接上的TCP/UDP握手联络的状态检测。可结合媒质访问控制地址(MAC address)和入口端标识来监测网络拓扑结构的变化。基于策略的网络地址端口转换(NAPT)通过支持多对一IP地址实现扩展虚拟网(extranet VPN)和内部地址隐藏功能。支持在分离的网络地址转换(NAT)中透明交换模式。由单一策略密度控制的网络流量和速率调整(rate shapping)。高密度和灵活政策设置防止对ICMP聚集通道的非法攻击。免遭TPC-SYN FLOOD、Ping of Death、TearDrop等高速拒绝服务攻击的防护。
典型的VPN特性完全支持IPv4网络流量的IPsec安全服务。支持Ipsec中的二层管道协议(L2TP)。支持大约1000个片上管道、提供具有高速和各种商用级别性能的跨域的可控制安全。提供HMAC-MD5-96和HMAC-SHA-1-16、速率为800Mbs的认证服务。采用DES/3DES的数据保密性和采用专有加密/解密ASIC芯片的外部接口总线。容纳801.1Q的VLAN、以提供增强的安全措施。
典型QoS网络流量控制特性网络流量调整(Traffic shape)控制,保证带宽,语音IP(Voiceover IP),优先带宽。
当然,本发明的其他特性和优点对于本技术领域的人员是显而易见的。前面所述的系统介绍仅代表某些典型实施方式,对于本技术领域的人员而言其他的实施方式也是显而易见的,而且所有的实施方式都与本发明相似并且是在本发明的精神和范围内的,本发明内容仅受限于权利要求。
权利要求
1.一种集成防火墙/虚拟专用网VPN系统,其包括至少一个广域网(WAN);至少一个局域网(LAN);和一个发送和接收所述WAN与所述LAN之间的数据包的集成防火墙/VPN芯片组,所述芯片组包括提供所述WAN与所述LAN之间的访问控制的一防火墙部分和为所述LAN与所述WAN之间的数据提供安全功能的一VPN部分;所述防火墙部分包括防火墙硬件和软件部分,其中至少防火墙硬件部分提供与所述访问控制相关的重复迭代功能;所述VPN部分包括VPN硬件和软件部分,其中至少VPN硬件部分提供与安全功能相关的重复迭代功能。
2.根据权利要求1所述的系统,其中所述芯片组进一步包括为所述LAN与所述WAN之间的数据进行路由选择的一路由器。
3.根据权利要求1所述的系统,其中所述防火墙硬件部分包括提供静态和/或动态数据包过滤功能的电路。
4.根据权利要求3所述的系统,其中所述电路包括在所述数据的选定报头中提供模式匹配功能的一报头匹配数据包过滤电路。
5.根据权利要求1所述的系统,其中所述芯片组进一步根据所述数据包的预选字节分析访问控制功能。
6.根据权利要求5所述的系统,其中所述预选字节包括所述数据包的前144字节。
7.根据权利要求1所述的系统,其中所述VPN安全功能包括所述数据包的加密、解密、封装和拆封装。
8.根据权利要求1所述的系统,其中所述防火墙访问控制功能包括用户定义的访问控制协议。
9.一防火墙/VPN集成电路(IC),包括一个连接至少一不可信网络和至少一可信网络、并发送和接收所述不可信网络与所述可信网络之间数据包的路由器核心;提供所述不可信网络与所述可信网络之间访问控制的一防火墙系统,并且包括防火墙硬件和软件部分,其中至少所述防火墙硬件部分提供与所述访问控制相关的重复迭代功能;和为所述不可信网络与所述可信网络之间数据提供安全功能的一VPN引擎,并且包括VPN硬件和软件部分,其中至少所述VPN硬件部分提供与安全功能相关的重复迭代功能。
10.根据权利要求9所述的IC系统,其中所述防火墙硬件部分包括提供静态和/或动态数据包过滤功能的电路。
11.根据权利要求10所述的IC,其中所述电路包括在所述数据的选定报头中提供模式匹配功能的一报头匹配数据包过滤电路。
12.根据权利要求9所述的IC,其中所述防火墙系统进一步根据所述数据包的预选字节分析访问控制功能。
13.根据权利要求12所述的IC,其中所述预选字节包括所述数据包的前144字节。
14.根据权利要求9所述的系统,其中所述VPN安全功能包括所述数据包的加密、解密、封装和拆封装。
15.根据权利要求9所述的系统,其中所述防火墙访问控制功能包括用户定义的访问控制协议。
16.一种提供防火墙访问控制功能的方法,包括步骤定义一个或多个访问控制协议;接收数据包;选择所述数据包的若干字节;采用所述访问控制协议处理所述选定字节。
17.根据权利要求16所述的方法,进一步包括步骤采用所述访问控制协议、为硬件执行提供静态和/或动态数据包过滤功能。
全文摘要
本发明提供了一种集成虚拟专用网/防火墙系统,该系统利用硬件(固件)和软件对虚拟专用网和防火墙功能的效率进行了优化。虚拟专用网和防火墙的硬件部分以灵活可变的分层设计保证了在进行高速处理时不丧失系统安全性。其软件部分被用于与硬件部件接口、报告和规则管理控制。
文档编号H04L29/06GK1682197SQ03821176
公开日2005年10月12日 申请日期2003年9月8日 优先权日2002年9月6日
发明者陈之翔 申请人:美国凹凸微系有限公司