专利名称:多功能综合安全网关系统的制作方法
技术领域:
本发明涉及网络安全网关技术领域,特别是一种多功能综合安全网关系统。
背景技术:
现有技术主要有防火墙,防火墙采用先进的内核状态检测包过滤技术,在操作系 统的内核级实现了多层次的数据流检测,实现对数据流的细粒度检测。防火墙在数据链路 层上实现了对数据帧的控制,网络层、传输层实现策略路由和状态检测包过滤,应用层实现 了通用的内容过滤。日志的生成也是由内核提交给日志守护进程,使日志信息异常丰富,能 够精确到每一个会话的数据流量。从中可以看出防火墙主要是检测网络层和传输层的数据 包状态,并根据相应的策略作处理,其技术是一种用来加强网络之间访问控制,主要基于数 据包的五元组信息对数据包进行过滤,对所有的进出数据包的状态进行检测,一般工作于 网络0SI参考模型的3 4层,对于应用层防火墙只能简单的识别常见服务,无法深层次分 析,如面对隐藏在应用中的病毒、木马是毫无办法的。可见防火墙功能较单一,无法解决整 个网络层次应用的安全,需和带有其它功能的设备组合使用,如防病毒、入侵防御、反垃圾 邮件和内容过滤等。
发明内容
鉴于上述的技术不足,本发明的目的是提供一种多功能综合安全网关系统,其实
现将防病毒与入侵检测功能融合于防火墙中,提供从网络层到应用层的全面安全保护。 本发明是这样实现的,一种多功能综合安全网关系统,其特征在于包括管理中
心、数据中心、报文接收模块、报文处理模块、报文发送模块、行为知识库及统一特征库;网
络报文首先通过所述的报文接收模块进行预处理后进入所述的报文处理模块,在报文处理
模块中,防火墙进行2 3层过滤,VPN负责接入控制,其中模块匹配引擎和行为分析引擎
分别根据所述的统一特征库和行为知识库进行匹配查找;其次利用完全性保护技术在报文
处理过程中,实时将网络层数据负载重组为应用层对象,再通过动态更新病毒和蠕虫特征
来进行扫描和分析;最后,对于合法报文直接交由报文所述的发送模块进行报文转发,对于
非法报文,送交响应的处理引擎进行处理;其中整个过程的日志信息和数据流量信息送所
述的数据中心进行监控和备案,所述管理中心负责整体的配置和调整。 本发明具有以下有益效果 1、将防病毒和入侵检测功能融合于防火墙之中,成为防御混合型攻击的利剑。
2、提供综合的功能和安全的性能,降低了复杂度,也降低了成本,适合企业、服务 提供商和中小办公用户的网络环境。 3、能为用户定制安全策略,提供灵活性。用户既可以使用综合安全网关的全部功 能,也可酌情使用最需要的某一特定功能。 4、能提供全面的管理、报告和日志平台,用户可以统一地管理全部安全特性,包括 特征库更新和日志报告等。
图1是本发明的系统架构原理示意图。
图2是本发明的硬件架构示意图。
具体实施例方式
下面结合附图及实施例子对本发明做进一步说明。 首先,为让一般技术人员充分了解本发明,这里我们先对本发明采用的相关技术 进行简述 1)、完全性内容保护(CCP) CCP提供对OSI网络模型所有层次上的网络威胁的实时保护。这种方法比防火墙 状态检测(检查数据包头)和深度包检测(在状态检测包过滤基础上提供额外检查)等技 术先进。它具备在千兆网络环境中,实时将网络层数据负载重组为应用层对象(如文件和 文档)的能力,而且重组之后的应用层对象可以通过动态更新病毒和蠕虫特征来进行扫描 和分析。CCP还可探测其他各种威胁,包括不良Web内容、垃圾邮件、间谍软件和网络钓鱼欺 骗。 2)、ASIC加速技术 ASIC芯片是综合安全网关产品的一个关键组成部分。为了提供千兆级实时的应用 层安全服务(如防病毒和内容过滤)的平台,专门为网络骨干和边界上高性能内容处理设 计的体系结构是必不可少的。ASIC芯片集成了硬件扫描引擎、硬件加密和实时内容分析处 理能力,提供防火墙、加密/解密,特征匹配和启发式数据包扫描,以及流量整形的加速功 能。由于CCP需要强劲的处理能力和更大容量的内存来支持,仅利用通用服务器和网络系 统要实现内容处理往往在性能上达不到要求。
3)、定制的操作系统0S 专用的强化安全的OS提供精简的、高性能防火墙和内容安全检测平台。基于内容 处理加速模块的硬件加速,加上智能排队和管道管理,OS使各种类型流量的处理时间达到 最小,从而给用户提供最好的实时系统,有效地实现防病毒、防火墙、VPN、反垃圾邮件、IDP
等功能。 4)、紧密型模式识别语言(CPRL) 这一智能技术是针对完全的内容防护中大量计算程式所需求的加速而设计的。状 态检测防火墙、防病毒检测和入侵检测的功能要求,引发了新的安全算法包括基于行为的 启发式算法,利用在安全要素之间共享信息的优势。这无疑是对付零日攻击、提升检测威胁 能力的好办法。 5)、动态威胁管理检测技术(CPRL) 动态威胁防御系统(Dynamic Threat Prevention System,简称DTPS)是由针对 已知和未知威胁而增强检测能力的技术。DTPS将防病毒、IDS、 IPS和防火墙等各种安全模 块无缝集成在一起,将其中的攻击信息相互关联和共享,以识别可疑的恶意流量特征。DTPS 通过将各种检测过程关联在一起,跟踪每一安全环节的检测活动,并通过启发式扫描和异 常检测引擎检查,提高整个系统的检测精确度。
本发明从"一体化"的角度考虑,从底层操作系统,到各个功能模块,再到安全事件 库,各个部分之间的关系不是独立的,是紧密配合、相互补充的。如图l所示,本发明包括 管理中心、数据中心、报文接收模块、报文处理模块、报文发送模块、行为知识库和统一特征 库。网络报文首先通过报文接收模块进行预处理后进入报文处理模块,在报文处理模块,防 火墙进行2 3层过滤,VPN负责接入控制;其次模块匹配引擎和行为分析引擎分别根据统 一特征库和行为知识库进行匹配查找;利用完全性保护技术在报文处理过程中,实时将网 络层数据负载重组为应用层对象(如文件和文档)的能力,而且重组之后的应用层对象可 以通过动态更新病毒和蠕虫特征来进行扫描和分析。最后,对于合法报文直接交由报文发 送模块进行报文转发,对于非法报文,送交响应的处理引擎进行处理。整个过程的日志信息 和数据流量信息送数据中心监控和备案,管理中心负责整体的配置和调整。针对系统所需 处理大量数据报文,综合安全网关采用定制的操作系统和ASIC加速技术,通过ASIC芯片、 智能排队、管道管理和紧密型模式识别语言等方式,对收发和处理报文进行加速处理。如 防病毒处理过程,在数据经过报文接收模块时,通过报文预处理和分流后,利用ASIC芯片 分流出与防病毒相关的数据流,然后把数据送至防病毒处理引擎,防病毒内容处理引擎对 数据流进行处理后,软件再调用ASIC加速器进行加速,符合要求则放行,不符后则丢弃。最 后利用动态威胁管理检测技术,将内容过滤、IPS、防病毒、防垃圾邮件等无缝集成在一起, 对各种检测过程进行关联,并跟踪每一个安全环节的检测活动,以提高系统的检测精确度, 对系统安全高效运行提供有效保障。 下面对本发明的相关硬件结构进行介绍,请继续参考图2,图2是本发明的硬件 架构示意图,由图可知综合安全网关利用硬件板卡技术,每一种安全应用均有独立的CPU、 存储、总线等,各安全应用之间不存在资源的竞争,因此能够保证在多种安全功能同时打开 时,仍然能够保证整个设备的高性能。同时还能够实现所谓"数据量安全调度"的能力,提 高设备的处理效率。 此外,本发明所利用的处理器是经过定制的处理器,可以实现将已有的攻击特征 库与内存中的数据进行匹配。内存中目标可以是网络流量数据包,或者是压縮后文档中的 文件。这些处理器对协议识别和解析是高度适配的,允许它们从数据中快速组合目标,并对 可疑的内容进行检测。 为了提供千兆级实时的应用层安全服务(如防病毒和内容过滤)的平台,专门为 网络骨干和边界上高性能内容处理设计相应的体系结构。从图2可以看出,CPU板卡中可放 置相应处理器。其中内容处理器并不是设置在流量通道中,当通用处理器(GPU)下达指令 时,内容处理器自动地执行相关功能。内容处理器还包括加密引擎,在目标与"已知"的威 胁比对时,能起到加速防病毒和IP技术。当系统需要大量计算时,内容处理器则使GPU免 除高密度计算。网络处理器是高速执行和处理网络流量的硬件设备。它主要设置在数据通 道上,自动地处理许多与基于数据包通信、一般TCP处理、加密/解密和网络地址翻译(NAT) 有关的任务,以减轻其他系统单元的负荷。 以上所述仅为本发明的较佳实施例,凡依本发明申请专利范围所做的均等变化与 修饰,皆应属本发明的涵盖范围。
权利要求
一种多功能综合安全网关系统,其特征在于包括管理中心、数据中心、报文接收模块、报文处理模块、报文发送模块、行为知识库及统一特征库;网络报文首先通过所述的报文接收模块进行预处理后进入所述的报文处理模块,在报文处理模块中,防火墙进行2~3层过滤,VPN负责接入控制,其中模块匹配引擎和行为分析引擎分别根据所述的统一特征库和行为知识库进行匹配查找;其次利用完全性保护技术在报文处理过程中,实时将网络层数据负载重组为应用层对象,再通过动态更新病毒和蠕虫特征来进行扫描和分析;最后,对于合法报文直接交由报文所述的发送模块进行报文转发,对于非法报文,送交响应的处理引擎进行处理;其中整个过程的日志信息和数据流量信息送所述的数据中心进行监控和备案,所述管理中心负责整体的配置和调整。
2. 根据权利要求1所述的多功能综合安全网关系统,其特征在于系统处理大量的数 据报文采用定制的操作系统和ASIC加速技术,通过ASIC芯片、智能排队、管道管理和紧密 型模式识别语言方式,对收发和处理报文进行加速处理。
3. 根据权利要求2所述的多功能综合安全网关系统,其特征在于系统进一步利用动 态威胁管理检测技术,将内容过滤、IPS、防病毒、防垃圾邮件无缝集成在一起,对各种检测 过程进行关联,并跟踪每一个安全环节的检测活动。
全文摘要
本发明涉及一种多功能综合安全网关系统,其特征在于包括管理中心、数据中心、报文接收模块、报文处理模块、报文发送模块、行为知识库及统一特征库;网络报文首先通过所述的报文接收模块进行预处理后进入所述的报文处理模块,其次利用完全性保护技术在报文处理过程中,实时将网络层数据负载重组为应用层对象,再通过动态更新病毒和蠕虫特征来进行扫描和分析;最后,对于合法报文进行报文转发,对于非法报文,送交响应的处理引擎进行处理;本发明将防病毒和入侵检测功能融合于防火墙中,能有效提高网络安全性能,维护开销小,总体拥有成本低,具有一定的市场价值。
文档编号H04L12/66GK101714958SQ20091020889
公开日2010年5月26日 申请日期2009年10月31日 优先权日2009年10月31日
发明者吴滨华, 曾勇, 李鸿培, 林华斌, 潘华, 许元进, 黄聪泉 申请人:福建伊时代信息科技股份有限公司