专利名称:一种网络安全装置及其实现方法
技术领域:
本发明涉及网络安全技术领域,特别涉及一种网络安全装置及其实现方法。
背景技术:
目前,网络设备为了信息传输安全都安装了网络安全设备,网络安全设备能够实现内容过滤、病毒过滤、入侵行为检测等功能。目前的网络安全设备有两种方式第一种,软件方式。如防火墙等,这些设备在设计上,具有网络安全处理功能,由操作系统的网络协议栈软件或操作系统之上的软件实现。这种设计方式导致安全设备处理网络报文的速度慢,特别是在高速网络,安全设备成为了网络的瓶颈。
为了提高处理速度,出现了第二种方式硬件方式。如安全设备采用专用集成电路(ASIC)芯片或现场可编程逻辑门阵列(FPGA)实现网络协议栈。由于ASIC和FPGA芯片不能够随时地在安全设备中进行修改,导致这类安全设备面对新的攻击手段和新的网络协议无法迅速地升级。
现在,很多网络设备都使用了网络处理器来优化数据包的处理。网络处理器是一种专门处理数据包的处理器,它将数据包以其到达的速度,即线速,送到下一个节点;另外,如果需要新的功能或新的标准,网络处理器可通过编程来实现,以满足各种各样的网络应用。
网络处理器集成了多个通用CPU或专用处理器,能够同时对多层协议进行解析,通过编程能够配合应用程序进行按用途的计费、负荷平衡、进行数据管理等复杂的处理。其中网络处理器的工作包括监视登录以识别用户,检出登录信息,然后匹配用户的文件和收费政策表,并在负荷中找出关键字等。
目前,随着用户对网络处理器提出的更高要求,出现了高层协议处理器、加密协议处理器、内容过滤处理器等专用的网络处理器。网络处理器通过强大的可编程性,能够缩短网络设备开发周期,因此将来网络设备将大规模地采用网络处理器,网络处理器技术也将得到更大的发展。
发明内容
有鉴于此,本发明的主要目的在于提供一种网络安全装置,提高网络报文的处理速度,并能够随时方便地进行系统升级。
本发明的另一个目的在于提供一种网络安全的实现方法,提高网络报文的处理速度,并能够随时方便地进行系统升级。
根据上述目的的一个方面,本发明提供了一种网络安全装置,该安全装置至少包含网络安全处理模块,该网络安全处理模块至少包含网络处理器、存储模块、网络接口模块;存储模块、网络接口模块通过高速总线与网络处理器相连;存储模块,存储包含安全策略的配置信息、网络安全处理模块的运行代码、网络安全处理模块信息、网络处理器芯片的协议和安全处理微码软件;网络处理器,通过网络接口模块接收外部发送的网络报文、管理命令、配置信息,对网络报文进行协议解析,并根据从存储模块取出的安全策略对网络报文进行安全处理,将处理后的网络报文通过网络接口模块发送出去;或根据管理命令将配置信息发送存储模块;或根据管理命令将网络安全处理模块信息通过网络接口模块发送到外部;网络接口模块,将网络处理器与外部设备相连,接收和发送信息。
其中,所述的网络安全模块可以进一步包含安全协处理模块,安全协处理模块通过高速级连总线与网络处理器相连,安全协处理模块接收网络处理器发送的网络报文,并对网络报文进行协议解析、安全处理,将处理后的报文返回给网络处理器。
所述的安全协处理模块可以包含通过高速级连总线与网络处理器相连的密码协议处理器、高层协议解析处理器、内容过滤处理器、病毒过滤处理器和入侵检测处理器。
所述的网络接口模块至少可以包含100兆以太网接口,或千兆以太网接口,或异步传输模式(ATM)接口,或同步数字序列(SDH)接口,或T1/E1接口,或无线局域网802.11接口。
该安全装置可以进一步包含控制管理模块,控制管理模块将从外部接收的管理命令、配置信息转换为网络处理器能够识别的管理命令、配置信息写入到存储模块中;网络处理器根据接收的命令进行操作,或将安全装置的运行状态、事件和日志信息发送给外部管理员计算机。
所述的控制管理模块至少可以包含CPU、存储器、接口电路;存储器、接口电路分别与CPU相连;CPU将从接口电路接收的管理命令、配置信息转换为网络处理器能够识别的管理命令、配置信息写入到存储模块中,网络处理器根据该命令进行操作;存储器,存储控制管理软件;接口电路分别与网络安全处理模块和外部计算机相连;其接收外部计算机发送的管理命令、配置信息,以及网络安全处理模块返回的信息;或将转换后的管理命令、配置信息发送给网络安全处理模块,将网络安全处理模块返回的信息转发给外部计算机;所述网络安全处理模块进一步包含控制接口模块,其分别与网络处理器和控制管理模块的接口电路相连,接收转换后的管理命令、配置信息;向控制管理模块返回网络安全处理模块信息。
该安全装置可以进一步包含为该安全装置供电的电源模块和一个壳体,安全装置的各个模块设置在壳体中。
所述的接口电路可以包含控制接口电路和管理接口电路;控制接口电路与网络安全处理模块的控制接口模块相连;管理接口电路与外部计算机相连。
所述的控制管理模块可以为计算机,所述的控制接口电路为PCI接口,或Compact-PCI接口,或串行通信接口,或以太网接口;所述的管理接口电路为以太网接口,或串行通信接口;所述的控制接口模块为PCI或Compact-PCI接口,或串行通信接口,或以太网接口。
根据上述目的的另一个方面,本发明同时提供了一种网络安全的实现方法,该方法包括以下步骤1)将上述的网络安全装置与网络设备相连;2)通过管理员计算机对网络安全装置进行配置,将网络安全处理模块的运行代码和对网络报文处理的安全策略存储到网络安全装置中;3)网络安全装置从网络接收到网络报文后,对网络报文进行协议解析,并根据安全策略对该报文进行安全处理;4)网络安全装置将处理后的网络报文转发给网络设备。
其中,所述步骤2)可以包括以下步骤21)网络安全装置加电初始化,将存储在存储模块中用于网络协议处理和安全处理的网络处理器微码软件加载到网络处理器中;22)管理员计算机,通过浏览器界面或GUI界面,或命令行界面,对网络安全装置进行配置;将包括对网络报文处理的安全策略、网络安全处理模块运行代码的配置信息发送给网络安全装置;23)网络安全装置将接收到的配置信息存储到网络安全处理模块的存储模块中。
所述步骤22)可以进一步包括网络安全装置对管理员计算机进行登录认证,登录认证通过后管理员计算机对网络安全装置进行配置。
所述的登录认证方法可以为采用一次口令协议或口令认证协议(PAP)进行登录认证;或采用IP安全协议(IPSEC)进行登录认证;或采用安全套接字层协议(SSL)进行登录认证;或采用安全shell主机协议(SSH)进行登录认证。
所述步骤3)可以包括以下步骤31)网络安全装置收到网络报文后,网络安全装置中的网络处理器对收到的网络报文进行第2层协议解析,读取存储模块中有关对第2层协议安全处理的策略,并判断是否符合安全策略,如果符合,则根据安全策略转步骤32)或者转发这个网络报文,否则,丢弃这个报文;32)网络处理器对网络报文进行第3层(IP)协议解析,读取存储模块中有关对第3层协议安全处理的策略,并判断是否符合安全策略,如果符合,则根据安全策略转步骤33)或者转发这个网络报文,否则,丢弃这个报文;33)网络处理器对网络报文进行上层协议解析,读取存储模块中有关对上层协议安全处理的策略,根据安全策略对网络报文进行内容过滤、病毒过滤,或入侵行为检测,转发合法网络报文,丢弃非法网络报文。
步骤31)所述的判断是否符合安全策略,可以是根据安全策略中的第2层网络协议规则表进行判断的;规则表的内容至少可以包括介质访问控制协议(MAC)地址,虚拟局域网协议(VLAN);步骤32)所述的判断是否符合安全策略,可以是根据网络报文的内容对照安全策略中的地址表、端口号、协议类型、或服务协议类型进行判断的;对于网络地址转换(NAT)策略,则对网络报文进行NAT处理,然后转发;对于虚拟网关(VPN)策略,则对网络报文进行VPN加密或解密处理,然后转发;对于多协议标记交换(MPLS)策略,则对网络报文进行MPLS处理,然后转发;如果是允许报文通过,转步骤33)或者转发这个报文。
所述的内容过滤可以是将网络报文与存储模块中保存的关键字进行匹配,如果一致,则丢弃该网络报文。
所述的病毒过滤可以是将病毒代码作为关键字保存在存储模块中,将网络报文与该关键字进行匹配,如果一致,则丢弃该网络报文;也可以将病毒代码用哈希(hash)函数生成一个字摘要,存储在存储模块中的病毒特征库中;对被检测的网络报文,进行hash计算,生成摘要,再与病毒特征库比较,如果一致,则丢弃该网络报文。
所述的入侵行为检测可以是在存储模块中存储入侵行为规则库;对被检测的一个或一个以上网络报文重组后得到的报文,与规则库进行匹配,如果一致,则丢弃该网络报文。
由本发明的技术方案可见,本发明的这种网络安全装置及其实现方法,在网络安全装置中设置网络处理器,利用网络处理器芯片的多微处理器、多层协议解析和强大的芯片级编程功能对网络数据进行安全处理,保证了宽带环境下线速的处理速度,并能够随时方便地进行系统升级。
图1为本发明第一较佳实施例中网络安全装置的实现框图;图2为图1所示实施例的网络安全装置的工作流程示意图;图3本发明第二较佳实施例中网络安全装置的实现框图;图4为图3所示实施例的网络安全装置的工作流程示意图;图5为图4所示步骤407的具体流程示意图。
具体实施例方式
为使本发明的目的、技术方案和优点更加清楚明白,下面结合实施例和附图,对本发明进一步详细说明。
本发明的网络安全装置主要由包括网络处理器的网络安全处理模块构成,利用了网络处理器的协议处理和强大的编程功能对网络报文进行协议解析和安全处理,本发明的网络安全装置还可以增加控制管理模块来减轻网络安全处理模块的工作负担,提高处理速度,实现方式灵活多样。
本发明的网络安全装置至少有以下几种实现方式1、网络安全装置包含网络安全处理模块,或者包含网络安全处理模块和控制管理模块,该装置设置成一块电路板卡,可以直接通过PCI接口,或Compact-PCI接口安装到计算机或网络设备上。
2、网络安全装置包含网络安全处理模块,或者包含网络安全处理模块和控制管理模块,另外设置一个电源模块为它们供电,将这些模块设置在一个壳体内,成为一个独立的网络安全设备,通过以太网接口与计算机或网络设备相连。
3、网络安全装置包含网络安全处理模块和控制管理模块,控制管理模块由一台计算机来实现,网络安全处理模块设置为一块电路板卡,其通过PCI接口,或Compact-PCI接口安装到控制管理模块上;或网络安全处理模块设置为一个独立的外设,通过串行通信接口或以太网接口与控制管理模块相连。
以下对本发明的两个较佳实施例分别进行说明本发明第一较佳实施例的网络安全装置,仅包含网络安全处理模块,其设置成一块电路板卡,直接通过PCI接口,或Compact-PCI接口安装到计算机或网络设备上。
参见图1,图1为本发明第一较佳实施例中网络安全装置的实现框图;其中网络安全装置包含网络安全处理模块110。网络安全处理模块110是本发明网络安全装置的核心模块,主要完成对网络协议的快速安全过滤处理功能,其包含网络处理器111、存储模块112、网络接口模块113,存储模块112、网络接口模块113通过高速级连总线与网络处理器111相连;网络接口模块113与网络130和网络设备140相连,还可以与管理员计算机120相连。
其中,存储模块112,存储包含安全策略的配置信息、网络安全处理模块110的运行代码、网络安全处理模块110运行中产生的信息,简称网络安全处理模块信息、网络协议、安全处理微码软件,安全策略规则等。
网络处理器111中有多个微处理器引擎和CPU,对网络报文进行网络7层协议处理以及安全处理,其通过网络接口模块113接收网络130发送的网络报文、管理员计算机120发送的管理命令、配置信息,对网络报文进行协议解析,并根据从存储模块112取出的安全策略对网络报文进行安全处理,将处理后的网络报文通过网络接口模块113发送给网络设备140;或根据管理命令将配置信息发送存储模块112;或根据管理命令将网络安全处理模块110信息通过网络接口模块113发送到管理员计算机120。
网络接口模块113,将网络处理器111与管理员计算机120、网络130和网络设备140相连,接收和发送信息。本实施例中,网络安全处理模块110,设置成一块电路板卡,网络接口模块113采用PCI接口,或Compact-PCI接口,本实施例的网络安全装置通过上述接口安装到网络设备140上。网络接口模块113是接收报文和转发报文的主要部件,它由多个各种网络协议物理芯片和物理接口组成,根据其连接的网络设备的不同可以包含100兆以太网接口,或千兆以太网接口,或异步传输模式(ATM)接口,或同步数字序列(SDH)接口,或T1/E1接口,或无线局域网802.11等接口,本实施例的网络安全装置也可以通过这些接口与远程管理员计算机相连。
本实施例的网络安全处理模块110中,还包含了安全协处理模块114,当安全处理的算法复杂时,如VPN加密,应用层内容过滤,病毒检测,和入侵行为检测,网络处理器111通过高速级连总线将要处理的网络报文传送给安全协处理模块114,由安全协处理模块114来实现上述复杂算法,这样可以提高整体的处理性能。
本实施例中VPN加密,应用层内容过滤,病毒检测,和入侵行为检测等功能是分别通过密码协议处理器115、内容过滤处理器116和高层协议解析处理器117病毒过滤处理器118,和入侵检测处理器119来实现的,上述五个处理器都通过高速级连总线与网络处理器111相连。
安全协处理模块114也可以由网络处理器111中的CPU用软件实现,但是这样做会增加网络处理器111的工作负担,影响处理速度,所以一般都采用增加处理器的硬件方式来实现。
参见图2,图2为图1所示实施例的网络安全装置的工作流程示意图;该流程包括以下步骤步骤201,安全装置加电后,网络安全处理模块110启动,将存储在存储模块中用于网络协议处理和安全处理的网络处理器微码软件加载到网络处理器中,完成硬件初始化。
步骤202,管理员计算机120,通过浏览器界面或GUI界面,或者命令行界面,对网络安全处理模块110进行配置,这些配置信息包括对网络报文处理的安全策略,网络安全处理模块的运行代码等。
步骤203,网络安全处理模块110接收上述配置信息,并存储到存储模块112中。
步骤204,网络安全处理模块110通过网络接口模块113从网络130接收的网络报文后,由网络处理器111对网络报文进行协议解析,并根据存储模块112中的安全策略对该网络报文进行安全处理,并将处理后的网络报文发送给网络设备140。
本发明第二较佳实施例的网络安全装置,包含网络安全处理模块和控制管理模块,控制管理模块由一台计算机来实现,网络安全处理模块设置为一个独立的外设,通过串行通信接口或以太网接口与控制管理模块相连,且网络安全处理模块通过网络接口与外部网络和网络设备分别相连。
参见图3,图3本发明第二较佳实施例中网络安全装置的实现框图;其中网络安全装置包含网络安全处理模块330、控制管理模块320。
本实施例的网络安全处理模块330包含控制接口模块331、网络处理器332、存储模块333、网络接口模块340、包含了密码协议处理器335、内容过滤处理器336、高层协议解析处理器337、病毒过滤处理器338,和入侵检测处理器339的安全协处理模块334。其中,网络处理器332分别与其他模块相连,本实施例中网络安全处理模块330的工作原理与图1所示实施例中的网络安全处理模块110基本相同,只是一些控制管理功能由控制管理模块320来实现,这样能够减轻网络安全处理模块330的工作负担,提高处理速度。
本实施例中的网络接口模块340与网络360和网络设备350相连,接收网络360发送的网络报文,并将处理后的网络报文发送给网络设备350。网络接口模块340可以与图1所示实施例中的网络接口模块113相同。
控制管理模块320包含存储器321、CPU322、包含管理接口电路324和控制接口电路325的接口电路323;存储器321、管理接口电路324和控制接口电路325分别与CPU322相连。
控制管理模块320的控制接口电路325与网络安全处理模块330的控制接口模块331相连;控制管理模块320的管理接口电路324与管理员计算机310相连。管理接口电路324可以为以太网接口。由于本实施例中网络安全处理模块330设置为一个独立的外设,因此控制接口电路325在近程的情况下可以是串行通信接口,远程的情况下也可以是以太网接口。如果网络安全处理模块330设置为一电路板卡,则控制接口电路325可以为PCI或Compact-PCI接口。
本实施例中网络安全处理模块330的控制接口模块331可以为串行通信接口,或以太网接口。如果网络安全处理模块330设置为一电路板卡,则控制接口模块331可以为PCI或Compact-PCI接口。
控制管理模块320中的CPU将通过管理接口电路324从管理员计算机310接收的管理命令、配置信息转换为网络处理器332能够识别的管理命令、配置信息写入到存储模块333中,网络处理器332根据该命令进行操作,或将安全装置的运行状态、事件和日志信息发送给管理员计算机310。
控制管理模块320中的存储器321,存储操作系统和控制管理软件。
管理接口电路324接收管理员计算机310发送的管理命令、配置信息,以及网络安全处理模块330返回的信息;或将转换后的管理命令、配置信息发送给网络安全处理模块330,将网络安全处理模块330返回的信息转发给管理员计算机310。
本实施例中的安全协处理模块334除了可以由网络处理器332中的CPU用软件实现,也可以由控制管理模块320中的CPU用软件实现,但是这样同样会影响处理速度,所以一般都采用增加处理器的硬件方式来实现。
本实施例的网络安全装置,主要由控制管理模块320中的控制管理软件控制安全协处理模块334,来实现对网络报文的协议处理和安全处理。控制管理软件由多个服务进程组成,至少包括HTTP Web服务进程、提供命令行远程shell的进程、日志收集与发送进程、网络管理SNMP(simple networkmanagement protocol)进程。上述服务进程中含有用于保证连接保密的安全认证协议,如安全套接字层协议SSL(Secure Socket Layer),或安全shell主机协议SSH(secure shell host),或IP安全协议IPSEC(Internet protocolsecurity),或一次口令协议(one time password),或口令认证协议PAP(Password authentication protocol)。
参见图4,图4为图3所示实施例的网络安全装置的工作流程示意图;该流程包括以下步骤步骤401,安全装置加电后,控制管理模块320的CPU及其操作系统首先启动,运行完成自身硬件的初始化和操作系统装入;与此同时,网络安全处理模块330也同时启动,完成硬件的初始化;这两个模块初始化过程中,包含控制管理模块320的控制接口电路325和网络安全处理模块330的控制接口模块331的初始化,初始化完成后,两个模块之间连接建立完成。
步骤402,在控制管理模块320的操作系统启动后,为管理员计算机310提供交互管理界面服务进程,启动命令行服务进程、HTTP服务进程及配置模块软件。
步骤403,管理员计算机310启动浏览器,或一个命令行终端,或者一个GUI配置管理软件,与控制管理模块320进行登录认证;本实施例中可以采用一次口令协议或口令认证协议(PAP)进行登录认证;或当通过浏览器界面进行配置时,采用IP安全协议(IPSEC)协议进行登录认证;或当通过浏览器界面或GUI界面进行配置时,采用安全套接字层协议(SSL)进行登录认证;或当通过命令行界面进行配置时,采用安全shell主机协议(SSH)进行登录认证。通过了登录认证后,管理员计算机310登录到控制管理模块320。
步骤404,管理员计算机310通过浏览器界面或GUI界面,或者命令行界面,经过控制管理模块320向网络安全处理模块330发送配置命令或管理命令,配置命令中包含配置信息对网络报文处理的安全策略,网络安全处理模块330的运行代码等。
步骤405,控制管理模块320接收管理员计算机310的命令,如果是安全策略配置命令,则转步骤406,如果是管理命令,如查看日志,状态监控,则转步骤408,从网络安全处理模块330中读取相应的信息,发送给管理员计算机310。
步骤406,控制管理模块320将配置命令转换成网络安全处理模块330可以识别的内部命令,将该命令写入网络安全处理模块330中的存储模块333中。
步骤407,网络安全处理模块330通过网络接口模块340从网络360接收的网络报文后,由网络处理器对网络报文进行协议解析,并根据存储模块333中的安全策略对该网络报文进行安全处理,将处理后的网络报文发送给网络设备350。
本发明中,利用网络处理器对网络报文进行协议解析和安全处理是本专利的核心,其过程参见图5,图5为图4所示步骤407的具体流程示意图。该流程与图2中步骤204相同,其包括以下步骤步骤501-503,网络处理器调动网络处理器第2层处理器引擎对收到的报文进行第2层协议解析,读取存储器中有关对第2层协议安全处理的策略,根据安全策略中的第2层网络协议规则表判断是否符合安全策略,如果符合,则根据安全策略转步骤502或者转发这个报文,否则,丢弃这个报文。其中规则表的内容可以包含介质访问控制协议(MAC)地址、虚拟局域网协议(VLAN)等。
步骤504-506,网络处理器调动网络处理器第3层处理器引擎对报文进行第3层(IP)协议解析,读取存储器中有关对第3层协议安全处理的策略,根据网络报文的内容对照安全策略中的地址表、端口号、协议类型或服务协议类型判断是否符合安全策略;如果不符合安全策略,则丢弃这个报文;如果是NAT策略,则对报文进行NAT处理,然后转发;如果是允许通过,则直接转发;如果是VPN策略,则对报文进行VPN加密或VPN解密处理,然后转发;如果是多协议标记交换(MPLS)策略,则对网络报文进行MPLS处理,然后转发;如果是允许报文通过,转步骤503或者转发这个报文。
步骤507,读取安全策略,如果是上层或应用层协议如URL,HTTP,SMTP,FTP,POP3等,进行内容过滤、病毒过滤,或入侵行为检测,则,网络处理器调用相应的处理器引擎或安全协处理器模块对上层协议进行处理,如果是合法报文,则转发该报文,如果是非法报文,则丢弃该报文。其中,内容过滤的方法是将网络报文与存储模块中保存的关键字进行匹配,如果一致,则丢弃该网络报文。
病毒过滤的方法有多种,例如可以是将病毒代码作为关键字保存在存储模块中,将网络报文与该关键字进行匹配,如果一致,则丢弃该网络报文;也可以是将病毒代码用哈希(hash)函数生成一个字摘要,存储在存储模块中的病毒特征库中;对被检测的网络报文,进行hash计算,生成摘要,再与病毒特征库比较,如果一致,则丢弃该网络报文。
入侵行为检测的方法是在存储模块中存储入侵行为规则库;对被检测的一个或一个以上网络报文重组后得到的报文,与规则库进行匹配,如果一致,则丢弃该网络报文。
另外,上述两个实施例中,管理员计算机可以随时向网络安全装置发送配置命令和管理命令,网络安全装置根据配置命令和管理命令进行配置和管理。如果是安全策略配置命令,则将配置命令转换成网络安全处理模块可以识别的内部命令,将该命令中的配置信息写入网络安全处理模块中的存储模块中。如果是管理命令,如查看日志,状态监控等,则从系统中读取相应的信息,发送给管理员计算机。这样,管理员计算机不但能够对网络安全装置进行管理,更重要的是可以在出现新的攻击手段和新的网络协议时,通过重新配置实现迅速升级。
由上述的两个实施例可见,本发明的这种网络安全装置及其实现方法,在网络安全装置中设置网络处理器,利用网络处理器的多层协议解析和强大的编程功能对网络数据进行安全处理,保证了宽带环境下线速的处理速度,并能够随时方便地进行系统升级,适用于防火墙、安全路由器、安全交换机、入侵检测设备、防病毒网关和VPN加密网关等多种网络设备。
权利要求
1.一种网络安全装置,其特征在于该安全装置至少包含网络安全处理模块,该网络安全处理模块至少包含网络处理器、存储模块、网络接口模块;存储模块、网络接口模块通过高速总线与网络处理器相连;存储模块,存储包含安全策略的配置信息、网络安全处理模块的运行代码、网络安全处理模块信息、网络处理器芯片的协议和安全处理微码软件;网络处理器,通过网络接口模块接收外部发送的网络报文、管理命令、配置信息,对网络报文进行协议解析,并根据从存储模块取出的安全策略对网络报文进行安全处理,将处理后的网络报文通过网络接口模块发送出去;或根据管理命令将配置信息发送存储模块;或根据管理命令将网络安全处理模块信息通过网络接口模块发送到外部;网络接口模块,将网络处理器与外部设备相连,接收和发送信息。
2.如权利要求1所述的安全装置,其特征在于所述的网络安全模块进一步包含安全协处理模块,安全协处理模块通过高速级连总线与网络处理器相连,安全协处理模块接收网络处理器发送的网络报文,并对网络报文进行协议解析、安全处理,将处理后的报文返回给网络处理器。
3.如权利要求2所述的安全装置,其特征在于,所述的安全协处理模块包含通过高速级连总线与网络处理器相连的密码协议处理器、高层协议解析处理器、内容过滤处理器、病毒过滤处理器和入侵检测处理器。
4.如权利要求1所述的安全装置,其特征在于所述的网络接口模块至少包含100兆以太网接口,或千兆以太网接口,或异步传输模式(ATM)接口,或同步数字序列(SDH)接口,或T1/E1接口,或无线局域网802.11接口。
5.如权利要求1所述的安全装置,其特征在于该安全装置进一步包含控制管理模块,控制管理模块将从外部接收的管理命令、配置信息转换为网络处理器能够识别的管理命令、配置信息写入到存储模块中;网络处理器根据接收的命令进行操作,或将安全装置的运行状态、事件和日志信息发送给外部管理员计算机。
6.如权利要求5所述的安全装置,其特征在于所述的控制管理模块至少包含CPU、存储器、接口电路;存储器、接口电路分别与CPU相连;CPU将从接口电路接收的管理命令、配置信息转换为网络处理器能够识别的管理命令、配置信息写入到存储模块中,网络处理器根据该命令进行操作;存储器,存储控制管理软件;接口电路分别与网络安全处理模块和外部计算机相连;其接收外部计算机发送的管理命令、配置信息,以及网络安全处理模块返回的信息;或将转换后的管理命令、配置信息发送给网络安全处理模块,将网络安全处理模块返回的信息转发给外部计算机;所述网络安全处理模块进一步包含控制接口模块,其分别与网络处理器和控制管理模块的接口电路相连,接收转换后的管理命令、配置信息;向控制管理模块返回网络安全处理模块信息。
7.如权利要求1或6所述的安全装置,其特征在于该安全装置进一步包含为该安全装置供电的电源模块和一个壳体,安全装置的各个模块设置在壳体中。
8.如权利要求6所述的安全装置,其特征在于所述的接口电路包含控制接口电路和管理接口电路;控制接口电路与网络安全处理模块的控制接口模块相连;管理接口电路与外部计算机相连。
9.如权利要求8所述的安全装置,其特征在于所述的控制管理模块为计算机,所述的控制接口电路为PCI接口,或Compact-PCI接口,或串行通信接口,或以太网接口;所述的管理接口电路为以太网接口,或串行通信接口;所述的控制接口模块为PCI或Compact-PCI接口,或串行通信接口,或以太网接口。
10.一种网络安全的实现方法,其特征在于,该方法包括以下步骤1)将权利要求1所述的网络安全装置与网络设备相连;2)通过管理员计算机对网络安全装置进行配置,将网络安全处理模块的运行代码和对网络报文处理的安全策略存储到网络安全装置中;3)网络安全装置从网络接收到网络报文后,对网络报文进行协议解析,并根据安全策略对该报文进行安全处理;4)网络安全装置将处理后的网络报文转发给网络设备。
11.如权利要求10所述的实现方法,其特征在于,所述步骤2)包括以下步骤21)网络安全装置加电初始化,将存储在存储模块中用于网络协议处理和安全处理的网络处理器微码软件加载到网络处理器中;22)管理员计算机,通过浏览器界面或GUI界面,或命令行界面,对网络安全装置进行配置;将包括对网络报文处理的安全策略、网络安全处理模块运行代码的配置信息发送给网络安全装置;23)网络安全装置将接收到的配置信息存储到网络安全处理模块的存储模块中。
12.如权利要求11所述的实现方法,其特征在于,所述步骤22)进一步包括网络安全装置对管理员计算机进行登录认证,登录认证通过后管理员计算机对网络安全装置进行配置。
13.如权利要求12所述的实现方法,其特征在于,所述的登录认证方法为采用一次口令协议或口令认证协议(PAP)进行登录认证;或采用IP安全协议(IPSEC)进行登录认证;或采用安全套接字层协议(SSL)进行登录认证;或采用安全shell主机协议(SSH)进行登录认证。
14.如权利要求10所述的实现方法,其特征在于,所述步骤3)包括以下步骤31)网络安全装置收到网络报文后,网络安全装置中的网络处理器对收到的网络报文进行第2层协议解析,读取存储模块中有关对第2层协议安全处理的策略,并判断是否符合安全策略,如果符合,则根据安全策略转步骤32)或是在存储模块中存储入侵行为规则库;对被检测的一个或一个以上网络报文重组后得到的报文,与规则库进行匹配,如果一致,则丢弃该网络报文。
全文摘要
本发明公开了一种网络安全装置,其包含网络安全处理模块。网络安全处理模块包含通过高速总线连接的网络处理器、存储模块、网络接口模块;该装置利用网络处理器强大的芯片微码编程功能和多个微处理器对多层网络协议进行解析和对网络数据进行安全处理。本发明同时公开了一种网络安全的实现方法,该方法将上述的网络安全装置与网络设备相连;由管理员计算机对网络安全装置进行配置,将网络安全处理模块的运行代码和对网络报文处理的安全策略存储到网络安全装置中;网络安全装置对网络报文进行协议解析,并根据安全策略对报文进行安全处理。本发明的应用能够保证宽带环境下线速的处理速度,并能够随时方便地进行系统升级。
文档编号H04L29/06GK1567808SQ03137099
公开日2005年1月19日 申请日期2003年6月18日 优先权日2003年6月18日
发明者韦卫, 高红, 程勇, 吕晓东, 宋斌, 宋春雨, 肖为剑, 刘春梅, 王刚 申请人:联想(北京)有限公司