专利名称:多功能综合安全网关的制作方法
技术领域:
本实用新型涉及网络安全网关技术领域,特别是一种多功能综合安全网关。
背景技术:
现有技术主要有防火墙,防火墙采用先进的内核状态检测包过滤技术,在操作系 统的内核级实现了多层次的数据流检测,实现对数据流的细粒度检测。防火墙在数据链路 层上实现了对数据帧的控制,网络层、传输层实现策略路由和状态检测包过滤,应用层实现 了通用的内容过滤。日志的生成也是由内核提交给日志守护进程,使日志信息异常丰富,能 够精确到每一个会话的数据流量。从中可以看出防火墙主要是检测网络层和传输层的数据 包状态,并根据相应的策略作处理,其技术是一种用来加强网络之间访问控制,主要基于数 据包的五元组信息对数据包进行过滤,对所有的进出数据包的状态进行检测,一般工作于 网络0SI参考模型的3 4层,对于应用层防火墙只能简单的识别常见服务,无法深层次分 析,如面对隐藏在应用中的病毒、木马是毫无办法的。可见防火墙功能较单一,无法解决整 个网络层次应用的安全,需和带有其它功能的设备组合使用,如防病毒、入侵防御、反垃圾 邮件和内容过滤等。
发明内容鉴于上述的技术不足,本实用新型的目的是提供一种多功能综合安全网关,其实
现将防病毒与入侵检测功能融合于防火墙中,提供从网络层到应用层的全面安全保护。 本实用新型是这样实现的,一种多功能综合安全网关,包括主板、硬盘、CPU板卡、
SDRAM及插卡,其特征在于所述的CPU板卡、SDRAM及插卡的输入端分别与主板相连接,所
述CPU板卡的输入端与硬盘连接。 本实用新型具有以下有益效果 1、将防病毒和入侵检测功能融合于防火墙之中,成为防御混合型攻击的利剑。 2、提供综合的功能和安全的性能,降低了复杂度,也降低了成本,适合企业、服务 提供商和中小办公用户的网络环境。 3、能为用户定制安全策略,提供灵活性。用户既可以使用综合安全网关的全部功 能,也可酌情使用最需要的某一特定功能。 4、能提供全面的管理、报告和日志平台,用户可以统一地管理全部安全特性,包括 特征库更新和日志报告等。
图1是本实用新型的硬件架构示意图。 图2是本实用新型的软件架构原理示意图。
具体实施方式
以下结合附图及实施例对本实用新型做进一步说明。 如图l所示,本实用新型提供一种多功能综合安全网关,包括主板、硬盘、CPU板 卡、SDRAM及插卡,其特征在于所述的CPU板卡、SDRAM及插卡的输入端分别与主板相连接, 所述CPU板卡的输入端与硬盘连接。所述的插卡有四个,其分别与主板连接,所述四个插卡 中的两个是千兆媒体独立接口 ,两个是串行媒体独立接口 。 为了让一般技术人员更好的理解本实用新型,在此我们结合本实用新型的软件设 计原理进行适当的说明,请参照图2,图2是本实用新型软件架构原理示意图,其包括管理 中心、数据中心、报文接收模块、报文处理模块、报文发送模块、行为知识库和统一特征库。 网络报文首先通过报文接收模块进行预处理后进入报文处理模块,在报文处理模块,防火 墙进行2 3层过滤,VPN负责接入控制;其次模块匹配引擎和行为分析引擎分别根据统一 特征库和行为知识库进行匹配查找;利用完全性保护技术在报文处理过程中,实时将网络 层数据负载重组为应用层对象(如文件和文档)的能力,而且重组之后的应用层对象可以 通过动态更新病毒和蠕虫特征来进行扫描和分析。最后,对于合法报文直接交由报文发送 模块进行报文转发,对于非法报文,送交响应的处理引擎进行处理。整个过程的日志信息和 数据流量信息送数据中心监控和备案,管理中心负责整体的配置和调整。针对系统所需处 理大量数据报文,本实用新型的软件采用定制的操作系统和ASIC加速技术,通过ASIC芯 片、智能排队、管道管理和紧密型模式识别语言等方式,对收发和处理报文进行加速处理。 如防病毒处理过程,在数据经过报文接收模块时,通过报文预处理和分流后,利用ASIC芯 片分流出与防病毒相关的数据流,然后把数据送至防病毒处理引擎,防病毒内容处理引擎 对数据流进行处理后,软件再调用ASIC加速器进行加速,符合要求则放行,不符后则丢弃。 最后利用动态威胁管理检测技术,将内容过滤、IPS、防病毒、防垃圾邮件等无缝集成在一 起,对各种检测过程进行关联,并跟踪每一个安全环节的检测活动,以提高系统的检测精确 度,对系统安全高效运行提供有效保障。 本实用新型所述的硬盘设置有上述的软件系统,即存放行为知识库、统一特征库、
管理中心、数据中心等,系统首先从独立媒体接口接收数据,将数据存放于SDRAM内,对数
据进行预处理,然后根据系统管理中心下达指令信息,分析预处理的数据信息,如通过行
为分析引擎或模式匹引擎等对数据进行处理,此时系统会根据硬盘存放的信息库进行比
对,再调用CPU指令对数据的流向进行控制,最后将数据通过独立媒体接口发送出去。本发
明利用硬件板卡技术,每一种安全应用均有独立的CPU、存储、总线等,各安全应用之间不存
在资源的竞争,因此能够保证在多种安全功能同时打开时,仍然能够保证整个设备的高性
能。同时还能够实现所谓"数据量安全调度"的能力,提高设备的处理效率。 此外,本实用新型所利用的处理器是经过定制的处理器,可以实现将已有的攻击
特征库与内存中的数据进行匹配。内存中目标可以是网络流量数据包,或者是压縮后文档
中的文件。这些处理器对协议识别和解析是高度适配的,允许它们从数据中快速组合目标,
并对可疑的内容进行检测。 为了提供千兆级实时的应用层安全服务(如防病毒和内容过滤)的平台,专门为 网络骨干和边界上高性能内容处理设计相应的体系结构。从图1可以看出,CPU板卡中可放 置相应处理器。其中内容处理器并不是设置在流量通道中,当通用处理器(GPU)下达指令时,内容处理器自动地执行相关功能。内容处理器还包括加密引擎,在目标与"已知"的威 胁比对时,能起到加速防病毒和IP技术。当系统需要大量计算时,内容处理器则使GPU免 除高密度计算。网络处理器是高速执行和处理网络流量的硬件设备。它主要设置在数据通 道上,自动地处理许多与基于数据包通信、一般TCP处理、加密/解密和网络地址翻译(NAT) 有关的任务,以减轻其他系统单元的负荷。 以上所述仅为本实用新型的较佳实施例,凡依本实用新型申请专利范围所做的均 等变化与修饰,皆应属本实用新型的涵盖范围。
权利要求一种多功能综合安全网关,包括主板、硬盘、CPU板卡、SDRAM及插卡,其特征在于所述的CPU板卡、SDRAM及插卡的输入端分别与主板相连接,所述CPU板卡的输入端与硬盘连接。
2. 根据权利要求1所述的多功能综合安全网关,其特征在于所述的插卡有四个,其分 别与主板连接,所述四个插卡中的两个是千兆媒体独立接口 ,两个是串行媒体独立接口 。
专利摘要本实用新型涉及一种多功能综合安全网关,包括主板、硬盘、CPU板卡、SDRAM及插卡,其特征在于所述的CPU板卡、SDRAM及插卡的输入端分别与主板相连接,所述CPU板卡的输入端与硬盘连接。本实用新型可实现将防病毒和入侵检测功能融合于防火墙中,能有效提高网络安全性能,维护开销小,总体拥有成本低,具有一定的市场价值。
文档编号H04L12/66GK201541276SQ200920269660
公开日2010年8月4日 申请日期2009年10月31日 优先权日2009年10月31日
发明者吴滨华, 曾勇, 李鸿培, 林华斌, 潘华, 许元进, 黄聪泉 申请人:福建伊时代信息科技股份有限公司