专利名称:集成安全交换机的制作方法
技术领域:
本发明涉及网络连接与安全。具体地,本发明涉及改善网络连接与安全的集成安全交换机。
背景技术:
在网络和互联网领域中,通信与信息流量在持续不断地增长。计算机处理速度的加快和诸如光纤这种增强的传输媒质,以及具有上网功能的手机进一步增加了潜在的网络流量。同样,与增加的网络流量对应的是在网络中流动的各种信息的进一步增加。商家正在加紧与其他商家互相之间的连接,与用户的连接,与卖方的连接,与政府机构的连接,以及与公众的连接。在这种不断增长的繁忙网络中,两个主要的关注点就是管理这些流量的传输和在连接与安全方面保证信息内容的完整性。此前保护信息安全的解决方案包括具有病毒检测与防护、防火墙、主机与网络入侵检测、数据加密、安全主机配置这样更加安全的计算机和软件。然而,这样的系统必须忍受不断的软件补丁管理、访问控制和查看、渗透测试以及漏洞评估。这是一种以巨大人力和昂贵成本的方式保证连接和安全的充分与及时。
作为对网络安全的分段方法的演化替代方法,另一种应对这种不断增长的挑战的解决方案包括统一威胁管理(UTM)。UTM的侧重点将是威胁管理,而不是避免威胁。网络威胁在几乎任何防火墙之外都是显而易见的。这些威胁包括网络低层持续数据流攻击,有时由计算机黑客发起的严重入侵企图,以及包括病毒感染的电子邮件、蠕虫、垃圾邮件和间谍软件的恶意代码。UTM设备典型地作为安全设备产品,将多个安全功能统一并集成到一个硬件平台。而且,这些UTM设备经常包括网络防火墙功能、网络入侵检测与防护以及网关防病毒功能。
鉴于这种UTM设备的集中特性,UTM设备是较大企业和服务提供商这些用户的理想选择。目前安全与连接的解决方案是通过应用单独的专用设备实现的,每个专用设备只做交换或者安全。这是一种解决应用安全的网络架构问题的潜在方法,同时该方法增加了网络复杂性和管理费用。还有就是当一些安全设备需要的用以判断网络攻击是否正在发生时的紧急流量被交换机占用时,将降低安全设备的效率。
图1所示为公知网络100的一个示例,图中几个用户12通过安全设备10(比如UTM设备)连接到互联网。公知网络100中的连接通过交换机11(比如网络层2的路由器或者类似设备)实现。这样的系统通过改善管理和互用性可以在组织之间和技术之间提供高性价比的协调,同时某些关键信息安全功能和简化的管理仍然是高效的统一威胁管理的障碍。而且,应对不断增加的混合型网络威胁需要更好的集成功能和配置灵活性。因此,迫切需要通过集成安全、管理和网络功能提供改善的网络连接和安全。
发明内容
本发明的一个目的是通过引入组合了管理接口二层和/或三层交换特性和具有一个管理接口的统一威胁管理特性的集成安全交换机,消除或者减少上述UTM设备的至少一个缺点。
在第一方面,本发明提供了一种用于管理网络中连接与安全的方法,该方法包括提供与第一网络连接的安全功能,提供与第二网络连接的至少一项交换功能,通过管理功能之间专用的管理路径管理至少一项交换功能,通过至少一项交换功能和安全功能之间专用的流量路径传输流量,使流量在第一网络和第二网络之间传输。网络可以包括一个或者多个设备。
在进一步的实施例中,提供了一种用于管理网络中连接与安全的装置,该装置包括可与第一网络连接的安全功能,可与第二网路连接的至少一项交换功能,以及用于通过安全功能和至少一项交换功能之间专用的管理路径管理至少一项交换功能,其中统一接口通过至少一项交换功能和安全功能之间专用的流量路径传输流量,该流量是第一网络和第二网络之间的数据流。
在另一方面,本发明提供了一个集成安全交换机,用于管理网络中连接与安全,该集成安全交换机包括可与第一网络连接的安全功能,可以与第二网络连接的至少一项交换功能,以及由命令行接口和图形用户界面协议驱动的通用管理接口,该通用管理接口通过安全功能与至少一项交换功能之间专用的管理路径管理至少一项交换功能,以及通过至少一项交换功能和安全功能之间专用的流量路径传输流量,该流量是第一网络和第二网络之间的数据流。
参照本发明具体实施例的随后描述并结合附图,对于本领域的技术人员,本发明的其他方面和特点将是显而易见的。
图1是具有公知配置的安全设备和网络交换元件的网络的简化说明图;图2是根据本发明具有集成安全交换机的网络的简化说明图;图3是根据本发明第一个实施例的集成安全交换机的结构框图;图4是根据本发明第二个实施例的集成安全交换机的结构框图。
具体实施例方式
一般来说,本发明提供了一种用于将具有二层和三层(如层2/3)交换功能的UTM设备的安全功能集成到单个管理接口的方法和装置。二层交换功能属于网络标准七层模型中的数据链路层。使用识别单个硬件设备的物理网络地址进行二层交换操作。这种地址在产生过程中将被永久性地分配,而二层中的交换操作很快,因为它们只是简单地对物理地址进行分类,并不检测数据包。三层交换功能属于标准网络模型中的网络层。三层交换使用网络或者互联网协议(IP)地址,使用该地址可以识别网络中的位置并比二层交换更进一步读取网络地址。三层交换操作识别网络位置以及物理设备,其中该位置可以是局域网中的工作站、计算机内存中的位置或者甚至通过网络的一个不同的数据包。三层中的交换操作比二层设备更加计算智能化,并且结合了路由功能以动态地计算发送数据包到达目的地的最佳路径。然而,这种计算智能化包括算法和处理器,而算法和处理器肯定将降低相对于二层设备的交换功能。下面参照仅仅作为示例的图2到图4介绍本发明的实施例。
参照图2,所示为网络200的简化说明图,网络200具有通过根据本发明的集成安全交换机20连接到互联网的几个用户21。网络200可以部署为任何类型的网络,包括但不限于整体的内部网络、公共互联网服务提供商系统或者诸如家庭办公网络的个人计算机小型网络。集成安全交换机向网络中的每个用户21提供一个统一管理接口,这样对用户21连接和安全特性将是无缝和透明的。统一管理接口的功能可以使用软件来体现,该接口可以通过命令行接口(CLI)和图形用户接口(GUI)应用驱动以提供组合的网络2/3层连接和多功能安全特性。CLI和GUI是优选实现方式,同时应该理解,在不背离本发明精神的情况下,其他软件也是可以实现的。
统一管理接口软件可以存在于一个单元中,这种单元包括中央处理器(CPU)和具有资源可以运行其自己的因特网web服务器的存储器(比如内存)。统一管理接口可以通过邻近网络或者互联网访问。统一管理接口减少了管理开销和网络复杂性。而且,统一管理接口允许安全功能用更广泛的方法实现,其中对每个单独端口的单独安全策略和/或属性进行定义并依次,典型地直接映射到用户,增加了内部网络的安全性。应该注意的是,本发明方法不同于应用在网络周边的典型防火墙/内容安全设备,这些设备不能典型地映射安全策略到单个用户,除非用户试图穿越网络边界。本发明的统一管理接口能够创建可以控制交换和安全特性的管理接口的一个实例。
图2所示的集成安全交换机20包括两个主硬件模块-安全模块和交换模块。这些在图3中的第一个实施例中将进一步显示。在图3所示的集成安全交换机20a中,安全模块300通过用于通信管理的管理路径32和用于实际通信传输的流量路径34连接到交换模块301。所示仅有这种路径32和34每个各一条,同时应该理解,在不背离本发明精神情况下,根据所给网络需要(比如用户容量)每种路径都可以存在多条。
参照图3,所示为用于集成安全交换机20a连接到互联网或者其他网络的外部通信连接30和31。另外,所示交换端口33(比如以太网端口)用于集成安全交换机20a连接用户设备(比如个人计算机)和/或更深层网络(比如家庭网络)。管理路径32和流量路径34实现两个模块300和301之间的流量传输和管理操作。安全模块300对从交换模块301以及其他外部通信连接30和31流入的流量提供安全功能。这些安全功能,包括但不限于,防火墙、反病毒、入侵防护/检测、内容过滤、反垃圾邮件和虚拟个人网络(VPN)。交换模块301通过交换端口33提供到多个网络设备的访问并实现典型交换功能。这些交换功能包括但不限于,诸如以太网连接(10/10/1000)、虚拟局域网(VLAN)和VLAN通道、虚拟接口、生成树协议(包括变量)、互联网组管理协议(IGMP)侦听、二层交换、三层交换以及通用属性注册协议(GARP)的特性。
图3中所示的集成安全交换机20a的物理实现包括在一个公共框架中的安全模块300和交换模块301。模块300和301通过适当的电路,包括允许流量从交换模块301流入并发送到安全模块300进行处理的流量路径34,内部连接。同样,模块300和301通过适当的电路,包括用于在两个模块300和301之间提供管理功能的管理路径32,内部连接。应该理解,如果需要允许直接连接到设备上,安全模块300中的其他通信路径是可用的。这些设备可以是,但不限于,连接的计算机、外部打印机或者其他类型的通信设备。这种直接连接不需要使用虚拟局域网。
在操作中,本发明的集成安全交换机20a是基于对所给网络中的流量的安全特性定义。流量在集成交换机20a中物理接口被接收和传输。安全特性在逻辑上分组然后应用到通信接口之间。这些接口包括所给网络中的两个物理接口,以及分配给物理接口逻辑组的虚拟接口(比如VLAN)。换句话说,可以在逻辑上将多个物理端口组成VLAN,以使多个设备在一个限定的组内相互通信。通过使用每个VLAN的虚拟接口实现这种通信。比如,端口1、2、3、4、5可以分配给VLAN“10”,而端口6、7、8、9可以分配给VLAN“20”。在本例中,VLAN 10中的端口可以互相通信,但不包括VLAN 20中(反之亦然)的任何端口。要使VLAN 10和VLAN 20中的端口互相通信,必须给每个VLAN分配一个“虚拟接口”(VI)。该VI是非物理接口,但是可以被系统认做一个接口,这是2/3层交换技术的普遍用法。本发明允许交换机20a作为安全模块300的虚拟接口,这样就可以在VLAN之间定义安全策略。这里提到的VLAN,本发明可以使用不依赖VLAN VI的另外安全特性实现。
接口之间传输的具有分配的特性组的流量将被传输到安全模块300进行处理。接口之间传输的不具有分配的特性组的流量将被从交换模块301转发,不通过安全模块300进行处理。
应该理解,本发明适用于各种网络应用程序。比如,包括分段交换功能的本发明的集成安全交换机可以支持多个LAN。图3示出了具有上述一个安全模块和一个交换模块的本发明的逻辑示意图,一个安全模块支持多个交换模块是可行的。图4所示为具有一个安全模块和两个交换模块的本发明的第二实施例的逻辑示意图。在上述任意一个实施例中,使用可行的芯片通信链路实现模块集成。虽然在图3或者图4中示出的是独立的模块,但是这应该被认为仅仅是逻辑示意图的表示,这样单个硬件布局是可以实现的。并且,应该理解,多个交换模块作为本发明的实际应用的说明并不被所给实施方式中物理端口的数目所限。
进一步参照图4,所示为本发明集成安全交换机20b的第二实施例。集成安全交换机20b又包括安全模块300,该安全模块300通过用于通信管理的管理路径32和用于实际通信传输的流量路径34连接到交换机模块301。然而,第二交换模块301a是通过用于通信管理的第二管理路径32a和用于实际通信传输的第二流量路径34a于安全模块300连接的。所示只有两个交换模块301和301a,应该理解,在不背离本发明精神的情况下,多个模块或者具有同等功能的模块(比如多个逻辑模块)是可以的。
与图3类似,图4示出了外部通信连接30和31,用于集成安全交换机20b连接到互联网或者其他网络。而且,所示交换端口33和33a(比如以太网端口)用于连接集成安全交换机20b到用户设备(比如个人计算机)和/或更深层网络(比如家庭网络)。管理路径32和32a以及流量路径34和34a提高了安全模块300与交换模块301、301a之间的流量传输和管理操作。
在上述附图中的任意一个实施例中,将向用户提供一个通用管理接口(命令行接口(CLI)驱动和图形用户界面(GUI)驱动),允许用户控制安全特性和交换特性的行为。所有这些特性都无缝地集成到一个管理接口。比如,用户能够管理提供26×10/100以太网端口(其中两个专用于WAN流量(ISP))以及2GigE端口的集成安全交换机。实际中,管理接口中的命令将被分为两个分开的部分,包括配置安全模块的命令和配置交换模块的命令。这种方式中,安全模块将接收所有管理命令并通过对用户透明的交换模块转换命令。该方法将进一步增加网络连接与安全的灵活性。
本发明的上述实施例仅作为示例。在不背离本发明精神及其实质的情况下,熟悉本领域的普通技术人员当可根据本发明做出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。
权利要求
1.一种用于管理网络中连接与安全的方法,所述方法包括提供与第一网络连接的安全功能;提供与第二网络连接的至少一项交换功能;通过所述安全功能和所述至少一项交换功能之间的专用管理路径管理所述至少一项交换功能;通过所述至少一项交换功能和所述安全功能之间的专用流量路径传输流量,所述流量是所述第一网络和所述第二网络之间的数据流。
2.根据权利要求1所述的方法,其特征在于,所述安全功能和所述至少一项交换功能嵌入在集成安全交换机中。
3.根据权利要求2所述的方法,其特征在于,通过统一接口实现所述管理步骤和所述传输步骤。
4.根据权利要求3所述的方法,进一步包括进一步通过所述安全功能和所述一项或者多项交换功能之间专用的一个或者多个其他对应管理路径管理一项或者多项其他管理功能,和进一步通过所述一项或者多项其他交换功能和所述安全功能之间专用的其他流量路径传输其他流量,所述其他流量是所述第一网络和第二网络之间的其他数据流,其特征在于,所述进一步管理步骤和所述进一步传输步骤也是通过所述统一接口实现的。
5.根据权利要求4所述的方法,其特征在于,所述统一接口是命令行接口和图形用户界面协议驱动的通用管理接口。
6.一种用于管理网络中连接与安全的装置,所述装置包括可与第一网络连接的安全功能;可与第二网络连接的至少一项交换功能;和统一接口,用于通过所述安全功能和所述至少一项交换功能之间专用的管理路径管理所述至少一项交换功能;其特征在于,所述统一接口通过所述至少一项交换功能和所述安全功能之间专用的流量路径传输流量,所述流量是所述第一网络和所述第二网络之间的数据流。
7.根据权利要求6所述的装置,其特征在于,所述安全功能与所述至少一项交换功能嵌入在集成安全交换机中。
8.根据权利要求7所述的装置,其特征在于,进一步包括通过所述安全功能和所述一项或者多项其他交换功能之间专用的一条或者多条其他对应管理路径管理的一项或者多项其他交换功能,所述其他交换功能通过所述项或者多项其他交换功能和所述安全功能之间专用的其他流量路径传输其他流量,所述其他流量是所述第一网络和所述第二网络之间的其他数据流。
9.根据权利要求8所述的装置,其特征在于,所述统一接口是命令行接口和图形用户接口协议驱动的通用管理接口。
10.一种用于管理网络中连接与安全的集成安全交换机,所述集成安全交换机包括可与第一网络连接的安全功能;可与第二网络连接的至少一项交换功能;和命令行接口和图形用户界面协议驱动的通用管理接口,所述通用管理接口通过所述安全功能和所述至少一项交换功能之间专用的管理路径管理至少一项交换功能,以及通过所述至少一项交换功能和所述安全功能之间专用的流量路径传输流量,所述流量是所述第一网络和所述第二网络之间的数据流。
11.根据权利要求10所述的集成安全交换机,其特征在于,所述第一网络是互联网,所述第二网络是互联网之外的组网用户组。
12.根据权利要求11所述的集成安全交换机,其特征在于,进一步包括通过所述安全功能和所述一项或者多项其他交换功能之间专用的一条或者多条其他对应管理路径管理的一项或者多项其他交换功能,所述其他交换功能通过所述一项或者多项其他交换功能和所述安全功能之间专用的其他流量路径传输其他流量,所述其他流量是互联网和互联网之外的其他组网用户组之间的其他数据流。
全文摘要
一种用于管理网络中连接与安全的集成安全交换机以及相关方法。该集成安全交换机包括可与第一网络连接的安全功能以及可与第二网络连接的至少一项交换功能。命令行接口和图形用户界面协议驱动的功能管理接口通过安全功能和交换功能之间专用的管理路径管理交换功能。通用管理接口保证通过交换功能和安全功能之间的专用流量路径传输的流量的交换安全。典型地,流量是互联网和网络中相互连接的用户组成的组比如广域网之间的数据流。
文档编号H04L12/46GK101013962SQ200710006448
公开日2007年8月8日 申请日期2007年2月1日 优先权日2006年2月6日
发明者谢华, 尚进, 安东尼·詹姆士, 巍少红 申请人:飞塔信息科技(北京)有限公司