专利名称:一种异构网络中实现统一威胁管理的方法及系统的制作方法
技术领域:
本发明涉及网络安全领域,特别是涉及一种异构网络中实现统一威胁管理的方法及系统。
背景技术:
目前市面上的大多数防火墙设备都是以IPv4协议为基础,对新的网络协议或异 构网络如IPv6、MPLS等无法自动适应。导致防火墙无法在多网络环境下适用,而必须使用 新协议的专用防火墙,或采用路由翻译方式将新协议翻译为防火墙可识别的IPv4协议。专 用协议防护墙如IPv6专用统一威胁管理(UTMUnited Threat Mnagement)、专用路由设备如 Iv6路由设备架设在UTM之前做IPv6-IPv4的协议转换。目前即使设置了专用设备,依然无法解决复合型网络(异构网络)的单设备UTM 防范方式。
发明内容
本发明提供了一种异构网络中实现统一威胁管理的方法及系统,用以解决目前异 构网络的单设备UTM防范方式无法实现的问题。本发明的一种异构网络中实现统一威胁管理的方法,包括下列步骤协议分析步 骤对流入UTM的数据包进行协议匹配识别,确定各数据包的实际协议类型;协议分流步 骤根据数据包的实际协议类型将各数据包分流;过滤步骤以分流对应的实际协议类型 对该分流的数据包过滤;代理步骤对过滤后的数据包进行UTM代理,将数据包发出。进一步,所述分流对应的实际协议类型为非TCP/IP协议,则代理步骤之前还包括 下列步骤协议转换步骤将该分流过滤后的数据包的协议类型转换为TCP/IP协议;间接 代理步骤将协议转换后的数据包交由对应协议的UTM代理;代理步骤之后还包括下列步 骤协议封装步骤将所述数据包重新封装为原协议类型。或者,所述分流对应的实际协议类型为非TCP/IP协议,则代理步骤之前还包括下 列步骤协议转换步骤将该分流过滤后的数据包的协议类型转换为TCP/IP协议;再次过 滤步骤以转换后的协议类型,对协议转换后的数据包再次过滤;间接代理步骤将再次过 滤后的数据包交由对应协议的UTM代理;代理步骤之后还包括下列步骤协议封装步骤将 所述数据包重新封装为原协议类型。上述,所述协议转换步骤中还包括为协议转换后的数据包增加标签;以及协议 封装步骤中还包括识别所述数据包的标签,并根据标签提供的信息确定原协议类型。本发明的一种异构网络中实现统一威胁管理的系统,包括协议分析模块,用于对 流入的数据包进行协议匹配识别,确定各数据包的实际协议类型;协议分流模块,用于根据 数据包的实际协议类型将各数据包分流;过滤模块,用于以分流对应的实际协议类型对该 分流的数据包过滤;UTM功能模块,用于对过滤后的数据包进行代理数据包转发。进一步,所述分流对应的实际协议类型为非TCP/IP协议,则还包括下列模块协议转换模块,用于将该分流过滤后的数据包的协议类型转换为TCP/IP协议;并将协议转换后的数据包交由UTM功能模块,并指示UTM功能模块以转换后的协议类型代理;协议封装模 块,用于经代理后,将所述数据包重新封装为原协议类型。或者,所述分流对应的实际协议类型为非TCP/IP协议,则还包括下列模块协议 转换模块,用于将该分流过滤后的数据包的协议类型转换为TCP/IP协议;并将协议转换后 的数据包交由过滤模块,并指示过滤模块以转换后的协议类型对数据包再次过滤;以及将 再次过滤后的数据包交由UTM功能模块,并指示UTM功能模块以转换后的协议类型代理;协 议封装模块,用于经代理后,将所述数据包重新封装为原协议类型。上述,所述协议转换模块为协议转换后的数据包增加标签;以及协议封装模块识 别所述数据包的标签,并根据标签提供的信息确定原协议类型。进一步还包括协议特征库,用于存储各类型协议的特征信息,并作为协议分析模 块协议匹配识别的依据。本发明有益效果如下由于本发明的方法和系统中提出了一套完整的分析、分流、过滤、协议转换、UTM代 理,以及协议还原机制,所以可实现异构网络的单设备UTM防范方式。
图1为本发明实施例1中的方法步骤流程图;图2为本发明实施例4中的系统结构示意图;图3为本发明实施例5中的模块化原理流程图;图4为本发明实施例6中的模块化原理流程图。
具体实施例方式为了能够自动适应复合型网络(多种协议混杂)的需求,无需为专用协议UTM或 是专用路由设备作重复投资,本发明提供了一种异构网络中实现统一威胁管理的方法及系 统,以下通过若干实施例详细描述。实施例1、参见图1所示,本发明实施例中的异构网络中实现统一威胁管理的方 法,包括下列主要步骤S101、对流入UTM的数据包进行协议匹配识别,确定各数据包的实际协议类型。S102、根据数据包的实际协议类型将各数据包分流。S103、以分流对应的实际协议类型对该分流的数据包过滤。S104、对过滤后的数据包进行UTM代理,将数据包发出。实施例2、本发明实施例中的异构网络中实现统一威胁管理的方法,包括下列主要 步骤S201、对流入UTM的数据包进行协议匹配识别,确定各数据包的实际协议类型。由于在复合型网络(异构网络)中,使用的网络协议并非单一协议,而是同时使用 多种协议,因此,在复合型网络中传来的数据包,通常带有多种协议,如TCP/IP协议(IPv4、 IPv6),非TCP/IP协议(IPX/SPX,NETBEUI,GRE等协议)。本步骤所确定的实际协议类型的 过程例如复合型网络传来的数据包是以IPv6方式封装的IPv4数据包,经过与协议特征库中的协议特征信息匹配识别,发现复合型网络所传来的数据包实际是IPv4数据包,只是以 IPv6方式封装而已,则确定实际协议类型为IPv4协议。S202、根据数据包的实际协议类型将各数据包分流。上述以IPv6方式封装的IPv4数据包被分为IPv4分流。S203、以分流对应的实际协议类型对该分流的数据包过滤。以IPv4协议类型对上述以IPv6方式封装的IPv4数据包进行过滤,具体是将该数 据包的包头去除(即去掉IPv6封装),得到实际的IPv4数据包。S204、对过滤后的数据包进行UTM代理,将数据包发出。经过滤后得到的IPv4数据包,由IPv4型的UTM进行代理,如实现IP代理,HTTP代 理,P0P3代理,SMPT代理,SIP代理,VPN等功能,从而将数据包转发。实施例3、本发明实施例中的异构网络中实现统一威胁管理的方法,包括下列主要 步骤S301、对流入UTM的数据包进行协议匹配识别,确定各数据包的实际协议类型。由于在复合型网络(异构网络)中,使用的网络协议并非单一协议,而是同时使用 多种协议,因此,在复合型网络中传来的数据包,通常带有多种协议,如TCP/IP协议(IPv4、 IPv6),非TCP/IP协议(IPX/SPX,NETBEUI,GRE等协议)。本步骤所确定的实际协议类型的 过程例如复合型网络在Tl时间传来的数据包Fl是以IPv6方式封装的IPv4数据包,经 过与协议特征库中的协议特征信息匹配识别,发现复合型网络所传来的数据包Fl实际是 IPv4数据包,只是以IPv6方式封装而已,则确定实际协议类型为IPv4协议;复合型网络在 T2时间传来的数据包F2是以IPv4方式封装的GRE数据包,经过与协议特征库中的协议特 征信息匹配识别,发现复合型网络所传来的数据包F2实际是GRE数据包(非TCP/IP数据 包),只是以IPv4方式封装而已,则确定实际协议类型为非TCP/IP协议;复合型网络在T3 时间传来的数据包F3是以IPv6方式封装的IPv6数据包,经过与协议特征库中的协议特征 信息匹配识别,发现复合型网络所传来的数据包F3实际是IPv6数据包,则确定实际协议类 型为IPv6协议;复合型网络在T4时间传来的数据包F4是以GRE方式封装的GRE数据包, 经过与协议特征库中的协议特征信息匹配识别,发现复合型网络所传来的数据包F4实际 是GRE数据包,则确定实际协议类型为非TCP/IP协议。S302、根据数据包的实际协议类型将各数据包分流。将上述数据包Fl分为IPv4分流,将上述数据包F2分为非TCP/IP分流,将上述数 据包F3分为IPv6分流,将上述数据包F4分为非TCP/IP分流。S303、以分流对应的实际协议类型对该分流的数据包过滤。以IPv4协议类型对上述数据包Fl进行过滤,具体是将数据包Fl的包头去除(即 去掉IPv6封装),得到实际的IPv4数据包;同理,以非TCP/IP协议类型对上述数据包F2进 行过滤。以IPv6协议类型对上述数据包F3进行过滤,可直接通过;同理,以非TCP/IP协议 类型对上述数据包F4进行过滤,可直接通过。S304、对过滤后的数据包进行UTM代理,将数据包发出。上述对数据包Fl过滤后得到的IPv4数据包,由IPv4型的UTM进行代理,如实现 IP代理,HTTP代理,P0P3代理,SMPT代理,SIP代理,VPN等功能,从而将数据包转发。同理,上述对数据包F3过滤后得到的IPv6数据包,由IPv6型的UTM进行代理。
上述对数据包F2过滤后得到的GRE数据包,以及对数据包F4过滤后得到的GRE数据包,在通过UTM进行代理之前还需对数据包F2、F4进行如下处理接续上述S303经过滤得到GRE数据包之后,将非TCP/IP分流的数据包的GRE协 议类型转换为IPv4(也可转换为IPv6)协议,即成为IPv4分流。还可在每一转换后的数据 包中增加标签,标明该数据包经过协议转换得来,并且该标签的信息可体现数据包F2的原 协议类型是以IPv4方式封装的GRE数据包;数据包F4的原协议类型是以GRE方式封装的 GRE数据包。之后,将协议转换后的IPv4分流交由IPv4型的UTM进行代理(若转换为IPv6,则 由IPv6型的UTM进行代理)。最后,识别上述数据包中的标签,并根据标签提供的信息确定原协议类型,将数据 包F2重新封装为以IPv4方式封装的GRE数据包,将数据包F4重新封装为以GRE方式封装 的GRE数据包,并转发。对于数据包F2、F4也可进行如下处理接续上述S303经过滤得到GRE数据包之后,将非TCP/IP分流的数据包的GRE协 议类型转换为IPv4(也可转换为IPv6)协议,即成为IPv4分流。还可在每一转换后的数据 包中增加标签,标明该数据包经过协议转换得来,并且该标签的信息可体现数据包F2的原 协议类型是以IPv4方式封装的GRE数据包;数据包F4的原协议类型是以GRE方式封装的 GRE数据包。其后,以转换后的协议类型,即IPv4协议类型,对该IPv4分流再次过滤(若转换 为IPv6,则以IPv6协议类型对该IPv6分流再次过滤)。之后,将再次过滤后的IPv4分流交由IPv4型的UTM进行代理(若转换为IPv6,则 由IPv6型的UTM进行代理)。最后,识别上述数据包中的标签,并根据标签提供的信息确定原协议类型,将数据 包F2重新封装为以IPv4方式封装的GRE数据包,将数据包F4重新封装为以GRE方式封装 的GRE数据包,并转发。实施例4、参见图2所示,本发明实施例中的异构网络中实现统一威胁管理的系 统,包括协议特征库、协议分析模块、协议分流模块、过滤模块和UTM功能模块。协议特征库,用于存储各类型协议的特征信息,并作为协议分析模块协议匹配识 别的依据;协议分析模块,用于对流入的数据包进行协议匹配识别,确定各数据包的实际协 议类型;协议分流模块,用于根据数据包的实际协议类型将各数据包分流;过滤模块,用于以分流对应的实际协议类型对该分流的数据包过滤;UTM功能模块,用于对过滤后的数据包进行代理数据包转发。实施例5、基于实施例4,参见图3所示,本发明实施例以模块化原理流程方式进一 步详述。其中,包括协议特征库;协议分析模块;协议分流模块;过滤模块分解为IPv4过 滤器、IPv6过滤器和其他过滤器,分别对应不同协议类型的分流;协议转换模块;UTM功能 模块分解为IPv4的UTM功能模块和IPv6的UTM功能模块,分别对应IPv4分流和IPv6分 流;以及协议封装模块。
由于在复合型网络(异构网络)中,使用的网络协议并非单一协议,而是同时使用 多种协议,因此,在复合型网络中传来的数据包,通常带有多种协议,如TCP/IP协议(IPv4、 IPv6),非 TCP/IP 协议(IPX/SPX, NETBEUI, GRE 等协议)。协议特征库内存储有各类型协议的特征信息,并作为协议分析模块协议匹配识别 的依据,并可更新。协议分析模块可对流入的数据包进行协议匹配识别,确定各数据包的实际协议类 型。例如复合型网络在Tl时间传来的数据包Fl是以IPv6方式封装的IPv4数据包,经 过与协议特征库中的协议特征信息匹配识别,发现复合型网络所传来的数据包Fl实际是 IPv4数据包,只是以IPv6方式封装而已,则确定实际协议类型为IPv4协议;复合型网络在 T2时间传来的数据包F2是以IPv4方式封装的GRE数据包,经过与协议特征库中的协议特 征信息匹配识别,发现复合型网络所传来的数据包F2实际是GRE数据包(非TCP/IP数据 包),只是以IPv4方式封装而已,则确定实际协议类型为非TCP/IP协议;复合型网络在T3 时间传来的数据包F3是以IPv6方式封装的IPv6数据包,经过与协议特征库中的协议特征 信息匹配识别,发现复合型网络所传来的数据包F3实际是IPv6数据包,则确定实际协议类 型为IPv6协议;复合型网络在T4时间传来的数据包F4是以GRE方式封装的GRE数据包, 经过与协议特征库中的协议特征信息匹配识别,发现复合型网络所传来的数据包F4实际 是GRE数据包,则确定实际协议类型为非TCP/IP协议。
协议分流模块根据数据包的实际协议类型将各数据包分流,具体将上述数据包Fl 分为IPv4分流,将上述数据包F2分为非TCP/IP分流,将上述数据包F3分为IPv6分流,将 上述数据包F4分为非TCP/IP分流。并且分别发送到IPv4过滤器、IPv6过滤器和其他过
Ii^ OIPv4过滤器以IPv4协议类型对上述数据包Fl进行过滤,具体是将数据包Fl的包 头去除(即去掉IPv6封装),得到实际的IPv4数据包。同理,其他过滤器以非TCP/IP协议 类型对上述数据包F2进行过滤;以非TCP/IP协议类型对上述数据包F4进行过滤,可直接 通过。IPv6过滤器以IPv6协议类型对上述数据包F3进行过滤,可直接通过。上述对数据包Fl过滤后得到的IPv4数据包进入IPv4的UTM功能模块,经IPv4 的UTM功能模块代理,如实现IP代理,HTTP代理,P0P3代理,SMPT代理,SIP代理,VPN等 功能,从而将数据包转发。同理,上述对数据包F3过滤后得到的IPv6数据包进入IPv6的 UTM功能模块,经IPv6的UTM功能模块代理,将数据包转发。上述对数据包F2过滤后得到的GRE数据包,以及对数据包F4过滤后得到的GRE数 据包进入协议转换模块,根据需要和配置,可将GRE数据包的协议类型转换为IPv4或IPv6 协议,即成为IPv4分流或IPv6分流。还可在每一转换后的数据包中增加标签,标明该数据 包经过协议转换得来,并且该标签的信息可体现数据包F2的原协议类型是以IPv4方式封 装的GRE数据包;数据包F4的原协议类型是以GRE方式封装的GRE数据包。将转换后得到的IPv4分流或IPv6分流对应传入IPv4的UTM功能模块或IPv6的 UTM功能模块(图3中以转换为IPv4为例),经IPv4的UTM功能模块代理,IPv4数据包得 以转发。协议封装模块接收转发来的IPv4数据包,识别上述数据包中的标签,并根据标签 提供的信息确定原协议类型,将数据包F2重新封装为以IPv4方式封装的GRE数据包,将数据包F4重新封装为以GRE方式封装的GRE数据包,并转发。实施例6、基于实施例4,参见图4所示,本发明实施例以模块化原理流程方式进一 步详述。其中,包括协议特征库;协议分析模块;协议分流模块;过滤模块分解为IPv4过 滤器、IPv6过滤器和其他过滤器,分别对应不同协议类型的分流;协议转换模块;UTM功能 模块分解为IPv4的UTM功能模块和IPv6的UTM功能模块,分别对应IPv4分流和IPv6分 流;以及协议封装模块。由于在复合型网络(异构网络)中,使用的网络协议并非单一协议,而是同时使用 多种协议,因此,在复合型网络中传来的数据包,通常带有多种协议,如TCP/IP协议(IPv4、 IPv6),非 TCP/IP 协议(IPX/SPX, NETBEUI, GRE 等协议)。协议特征库内存储有各类型协议的特征信息,并作为协议分析模块协议匹配识别 的依据,并可更新。协议分析模块可对流入的数据包进行协议匹配识别,确定各数据包的实际协议类 型。例如复合型网络在Tl时间传来的数据包Fl是以IPv6方式封装的IPv4数据包,经 过与协议特征库中的协议特征信息匹配识别,发现复合型网络所传来的数据包Fl实际是 IPv4数据包,只是以IPv6方式封装而已,则确定实际协议类型为IPv4协议;复合型网络在 T2时间传来的数据包F2是以IPv4方式封装的GRE数据包,经过与协议特征库中的协议特 征信息匹配识别,发现复合型网络所传来的数据包F2实际是GRE数据包(非TCP/IP数据 包),只是以IPv4方式封装而已,则确定实际协议类型为非TCP/IP协议;复合型网络在T3 时间传来的数据包F3是以IPv6方式封装的IPv6数据包,经过与协议特征库中的协议特征 信息匹配识别,发现复合型网络所传来的数据包F3实际是IPv6数据包,则确定实际协议类 型为IPv6协议;复合型网络在T4时间传来的数据包F4是以GRE方式封装的GRE数据包, 经过与协议特征库中的协议特征信息匹配识别,发现复合型网络所传来的数据包F4实际 是GRE数据包,则确定实际协议类型为非TCP/IP协议。协议分流模块根据数据包的实际协议类型将各数据包分流,具体将上述数据包Fl 分为IPv4分流,将上述数据包F2分为非TCP/IP分流,将上述数据包F3分为IPv6分流,将 上述数据包F4分为非TCP/IP分流。并且分别发送到IPv4过滤器、IPv6过滤器和其他过滤器。IPv4过滤器以IPv4协议类型对上述数据包Fl进行过滤,具体是将数据包Fl的包 头去除(即去掉IPv6封装),得到实际的IPv4数据包。同理,其他过滤器以非TCP/IP协议 类型对上述数据包F2进行过滤;以非TCP/IP协议类型对上述数据包F4进行过滤,可直接 通过。IPv6过滤器以IPv6协议类型对上述数据包F3进行过滤,可直接通过。上述对数据包Fl过滤后得到的IPv4数据包进入IPv4的UTM功能模块,经IPv4 的UTM功能模块代理,如实现IP代理,HTTP代理,P0P3代理,SMPT代理,SIP代理,VPN等 功能,从而将数据包转发。同理,上述对数据包F3过滤后得到的IPv6数据包进入IPv6的 UTM功能模块,经IPv6的UTM功能模块代理,将数据包转发。上述对数据包F2过滤后得到的GRE数据包,以及对数据包F4过滤后得到的GRE数 据包进入协议转换模块,根据需要和配置,可将GRE数据包的协议类型转换为IPv4或IPv6 协议,即成为IPv4分流或IPv6分流。还可在每一转换后的数据包中增加标签,标明该数据 包经过协议转换得来,并且该标签的信息可体现数据包F2的原协议类型是以IPv4方式封装的GRE数据包;数据包F4的原协议类型是以GRE方式封装的GRE数据包。为了达到更优的效果,避免经协议转换模块转换后的数据流混杂其他协议数据包。本实施例中协议转换模块完成GRE协议到IPv4或IPv6协议的转换后(图4中以IPv4 为例),将转换后得到的IPv4分流传入IPv4过滤器进行再次过滤。之后将再次过滤后的IPv4分流传入IPv4的UTM功能模块,经IPv4的UTM功能模 块代理,IPv4数据包得以转发。协议封装模块接收转发来的IPv4数据包,识别上述数据包中的标签,并根据标签 提供的信息确定原协议类型,将数据包F2重新封装为以IPv4方式封装的GRE数据包,将数 据包F4重新封装为以GRE方式封装的GRE数据包,并转发。显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精 神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围 之内,则本发明也意图包含这些改动和变型在内。
权利要求
一种异构网络中实现统一威胁管理的方法,其特征在于,包括下列步骤协议分析步骤对流入UTM的数据包进行协议匹配识别,确定各数据包的实际协议类型;协议分流步骤根据数据包的实际协议类型将各数据包分流;过滤步骤以分流对应的实际协议类型对该分流的数据包过滤;代理步骤对过滤后的数据包进行UTM代理,将数据包发出。
2.如权利要求1所述异构网络中实现统一威胁管理的方法,其特征在于,所述分流对 应的实际协议类型为非TCP/IP协议,则代理步骤之前还包括下列步骤协议转换步骤将该分流过滤后的数据包的协议类型转换为TCP/IP协议; 间接代理步骤将协议转换后的数据包交由对应协议的UTM代理; 代理步骤之后还包括下列步骤 协议封装步骤将所述数据包重新封装为原协议类型。
3.如权利要求1所述异构网络中实现统一威胁管理的方法,其特征在于,所述分流对 应的实际协议类型为非TCP/IP协议,则代理步骤之前还包括下列步骤协议转换步骤将该分流过滤后的数据包的协议类型转换为TCP/IP协议; 再次过滤步骤以转换后的协议类型,对协议转换后的数据包再次过滤; 间接代理步骤将再次过滤后的数据包交由对应协议的UTM代理; 代理步骤之后还包括下列步骤 协议封装步骤将所述数据包重新封装为原协议类型。
4.如权利要求2或3所述异构网络中实现统一威胁管理的方法,其特征在于,所述协议 转换步骤中还包括为协议转换后的数据包增加标签;以及协议封装步骤中还包括识别所述数据包的标签,并根据标签提供的信息确定原协议 类型。
5.一种异构网络中实现统一威胁管理的系统,其特征在于,包括协议分析模块,用于对流入的数据包进行协议匹配识别,确定各数据包的实际协议类型;协议分流模块,用于根据数据包的实际协议类型将各数据包分流; 过滤模块,用于以分流对应的实际协议类型对该分流的数据包过滤; UTM功能模块,用于对过滤后的数据包进行代理数据包转发。
6.如权利要求5所述异构网络中实现统一威胁管理系统,其特征在于,所述分流对应 的实际协议类型为非TCP/IP协议,则还包括下列模块协议转换模块,用于将该分流过滤后的数据包的协议类型转换为TCP/IP协议;并将协 议转换后的数据包交由UTM功能模块,并指示UTM功能模块以转换后的协议类型代理; 协议封装模块,用于经代理后,将所述数据包重新封装为原协议类型。
7.如权利要求5所述异构网络中实现统一威胁管理系统,其特征在于,所述分流对应 的实际协议类型为非TCP/IP协议,则还包括下列模块协议转换模块,用于将该分流过滤后的数据包的协议类型转换为TCP/IP协议;并将 协议转换后的数据包交由过滤模块,并指示过滤模块以转换后的协议类型对数据包再次过 滤;以及将再次过滤后的数据包交由UTM功能模块,并指示UTM功能模块以转换后的协议类型代理;协议封装模块,用于经代理后,将所述数据包重新封装为原协议类型。
8.如权利要求6或7所述异构网络中实现统一威胁管理系统,其特征在于,所述协议转 换模块为协议转换后的数据包增加标签;以及协议封装模块识别所述数据包的标签,并根 据标签提供的信息确定原协议类型。
9.如权利要求5、6或7所述异构网络中实现统一威胁管理系统,其特征在于,还包括 协议特征库,用于存储各类型协议的特征信息,并作为协议分析模块协议匹配识别的依据。
全文摘要
本发明公开了一种异构网络中实现统一威胁管理的方法及系统,涉及网络安全领域,用以解决目前异构网络的单设备UTM防范方式无法实现的问题。方法包括对流入UTM的数据包进行协议匹配识别,确定各数据包的实际协议类型;根据数据包的实际协议类型将各数据包分流;以分流对应的实际协议类型对该分流的数据包过滤;对过滤后的数据包进行UTM代理,将数据包发出。系统包括协议分析模块,协议分流模块,过滤模块,UTM功能模块。由于本发明的方法和系统中提出了一套完整的分析、分流、过滤、协议转换、UTM代理,以及协议还原机制,所以可实现异构网络的单设备UTM防范方式。
文档编号H04L12/56GK101827083SQ201010106979
公开日2010年9月8日 申请日期2010年2月9日 优先权日2010年2月9日
发明者柯宗庆, 柯宗贵 申请人:蓝盾信息安全技术股份有限公司