一种双重监测安全控制方法及系统与流程

本发明属于网络安全技术领域，尤其涉及一种双重监测安全控制方法及系统。

背景技术：

随着互联网技术的发展，网络已经延伸到千家万户，网络安全也越来越显得重要。特别是一些网络中的服务器，访问流量大，特别容易受到攻击，从而对整个网络造成伤害。

为了防止攻击，在很多大型的专业网络中，例如在视频监控网络中，会在监控业务服务器前端增加一个小型的防火墙装置，进行基于白名单的流量过滤。典型的做法是，初始只放开注册通道，终端可以进行正常的注册，服务器认可注册之后，通知该小型的防火墙装置放开针对该终端的后续业务数据通道。

然而，上述方案存在如下问题：由于所有流量的转发压力均由该小型的防火墙装置的CPU承担，而CPU是不稳定的，所以该小型的防火墙装置一旦故障，很容易导致通道瘫痪，影响业务通信。

技术实现要素：

本发明的目的是提供一种双重监测安全控制方法及系统，用于解决现有技术CPU不稳定容易导致通道瘫痪，影响业务通信的技术问题。

为了实现上述目的，本发明技术方案如下：

一种双重监测安全控制系统，用于对业务网络中的服务器进行安全控制，所述双重监测安全控制系统包括设置于所述服务器前端的小型防火墙装置，以及与所述小型防火墙装置网络连接的综合流量分析装置，其中：

所述小型防火墙装置包括交换单元和中央处理单元；

所述交换单元接收流经的数据报文，识别数据报文的类型，对于业务网络中的基本数据报文，直接转发到所连接的服务器，而将非基本数据报文作为可疑数据报文复制到中央处理单元；

所述中央处理单元接收到可疑数据报文后，与本地预设的数据库进行比较，将与本地预设的数据库不匹配的数据报文发往综合流量分析装置，下发访问控制列表到交换单元，通知交换单元丢掉与中央处理单元本地预设的数据库匹配的数据报文；

所述综合流量分析装置接收业务网络中小型防火墙装置上传的数据报文，与本地预设的数据库进行比较，确定数据报文是否合法，通过所述小型防火墙装置的中央处理单元下发对应的访问控制列表到交换单元；

所述交换单元根据中央处理单元下发的访问控制列表，对数据报文进行安全控制。

本发明所述中央处理单元接收到可疑数据报文后，还可以将数据报文全部发往综合流量分析装置。

本发明所述综合流量分析装置接收业务网络中各小型防火墙装置上传的数据报文，与本地预设的数据库进行比较，确定数据报文是否合法，通过所述中央处理单元下发对应的访问控制列表到交换单元，包括：

当数据报文与本地预设的数据库匹配时，确定该数据报文为非法，通过所述中央处理单元下发访问控制列表到交换单元，丢弃该数据报文；

当数据报文与本地预设的数据库不匹配时，确定该数据报文为合法，通过所述中央处理单元下发访问控制列表到交换单元，允许该数据报文通过。

本发明所述交换单元在不能将可疑数据报文复制到中央处理单元时，允许对应的可疑数据报文通过。

本发明所述综合流量分析装置通过所述小型防火墙装置的中央处理单元下发对应的访问控制列表到交换单元时，还将对应的访问控制列表同步给业务网络中的其他所有小型防火墙装置。

本发明还提出了一种双重监测安全控制方法，用于对业务网络中的服务器进行安全控制，所述业务网络还包括设置于所述服务器前端的小型防火墙装置，以及与所述小型防火墙装置网络连接的综合流量分析装置，所述小型防火墙装置包括交换单元和中央处理单元，所述双重监测安全控制方法，包括：

所述交换单元接收流经的数据报文，识别数据报文的类型，对于业务网络中的基本数据报文，直接转发到所连接的服务器，而将非基本数据报文作为可疑数据报文复制到中央处理单元；

所述中央处理单元接收到可疑数据报文后，与本地预设的数据库进行比较，将与本地预设的数据库不匹配的数据报文发往综合流量分析装置，下发访问控制列表到交换单元，通知交换单元丢掉与中央处理单元本地预设的数据库匹配的数据报文；

所述综合流量分析装置接收业务网络中小型防火墙装置上传的数据报文，与本地预设的数据库进行比较，确定数据报文是否合法，通过所述小型防火墙装置的中央处理单元下发对应的访问控制列表到交换单元；

所述交换单元根据中央处理单元下发的访问控制列表，对数据报文进行安全控制。

本发明提出的一种双重监测安全控制方法及系统，通过在服务器前端设置小型防火墙装置，在业务网络中设置综合流量分析装置，对经过小型防火墙装置的流量进行双重监测，安全可靠。通过综合流量分析装置产生的访问控制列表同步到网络中的所有小型防火墙装置，省去了其他防火墙再检测、再阻隔的工作量。即使小型防火墙装置的CPU故障，也不影响正常业务流的通信。

附图说明

图1为本发明实施例双重监测安全控制系统组网结构示意图；

图2为本发明一种双重监测安全控制方法流程图。

具体实施方式

下面结合附图和实施例对本发明技术方案做进一步详细说明，以下实施例不构成对本发明的限定。

本实施例一种双重监测安全控制系统，用于对业务网络中的服务器进行安全控制。业务网络以视频监控网络为例，如图1所示，业务网络中具有各种服务器，例如视频管理服务器、媒体管理服务器等，在图中以服务器1～服务器n连表示，为了对服务器进行安全防护，在其前端加上对应的一个小型防火墙装置，分别为小型防火墙装置1～小型防火墙装置n，另外在业务网络中还设置了综合流量分析装置。

本实施例一种双重监测安全控制系统包括设置于服务器前端的小型防火墙装置，以及与小型防火墙装置网络连接的综合流量分析装置，其中：

该小型防火墙装置部署在服务器前端，所有前往服务器的流量都先流经该小型防火墙装置。该小型防火墙装置包括交换单元和中央处理单元，交换单元采用交换转发芯片，主要进行流量的转发和ACL访问控制，而中央处理单元采用CPU处理器，来进行流量的分析。

具体地，交换单元接收流经的数据报文，识别数据报文的类型，对于业务网络中的基本数据报文，直接转发到所连接的服务器，而将非基本数据报文作为可疑数据报文复制到中央处理单元。

例如，流经小型防火墙装置的流量默认全走交换单元转发，同时，交换单元针对流经的业务数据报文，会识别该数据报文类型，如果是基本的数据报文，如SIP、UDP、TCP等，则直接放行；若不是这些基本报文，则交换单元已经无法确认流经的数据报文是否可靠，则会将这些流量复制一份传给中央处理单元，也就是业界常提到的镜像技术(目前马维尔芯片、BCM芯片均已支持该技术)，由中央处理单元对这些交换单元不认识的可疑数据报文流量进行处理。

需要说明的是，不同的业务网络，对基本数据报文的定义不同，在视频监控网络中，基本的业务数据报文是SIP、UDP、TCP等，这些基本的数据报文可以通过预先定义来进行识别，这里不再赘述。

中央处理单元接收到可疑数据报文后，与本地预设的数据库进行比较，将与本地预设的数据库不匹配的数据报文发往综合流量分析装置，下发访问控制列表到交换单元，通知交换单元丢掉与中央处理单元本地预设的数据库匹配的数据报文。

例如，CPU收到交换转发芯片镜像上来的可疑数据报文后，会将这些数据报文重组成文件(用户发送的文件在网络中传输时会先被分片成一个个的数据报文，待到达接收者处，再将这个分片数据重组成原始文件)，然后会在本地预设的数据库(例如特征库和病毒库)里去查找匹配的文件，此时会有两种结果出现：

a.在库中找到匹配文件，则确定可疑数据报文为非法数据报文，不允许进入服务器。CPU向交换转发芯片下发ACL规则，丢弃该类数据报文。

b.在库中未找到匹配文件，则该文件会被分片成数据报文，继续上传至网络中的综合流量分析装置，由该综合流量分析装置继续对该可疑文件做识别处理(由于小防火墙的内部的缓存和处理能力有限，对于自己识别和处理不了的文件需转交综合流量分析装置处理)。

可见，本实施例小型防火墙装置会对流量做初步监测，根据本地预设的特征库或病毒库过滤掉部分危害流量，同时还会将不能处理的可疑流量(或者全部可疑流量)转给综合流量分析装置进一步监测。若将全部可疑流量转给综合流量分析装置进一步监测，可以进一步对可疑流量进行二次监测，避免误判或漏判的情况发生。

本实施例综合流量分析装置，接收业务网络中小型防火墙装置上传的数据报文，与本地预设的数据库进行比较，确定数据报文是否合法，通过所述小型防火墙装置的中央处理单元下发对应的访问控制列表到交换单元。交换单元根据中央处理单元下发的访问控制列表，对数据报文进行安全控制。

具体地，综合流量分析装置收到小型防火墙装置发过来的可疑危害流量数据报文后，将数据报文重新合成文件，然后检索本地的病毒库和特征库，此时也会有两种结果：

a.在库中找到匹配文件，则确定可疑数据报文为非法数据报文，不允许进入服务器。此时，综合流量分析装置会向该可疑危害流量的始发防火墙CPU下发ACL规则，丢弃该类危害数据。始发防火墙CPU再将这类ACL下发给交换转发芯片，最终过滤掉该类危害数据流。同时，综合流量分析装置还会将匹配该类危害数据的ACL规则，同步给网络中的其他所有防火墙，省去了其他防火墙再检测、再阻隔的工作量。

b.在库中未找到匹配文件，则确定可疑数据报文为合法，允许进入服务器。此时，综合流量分析装置会向该可疑危害流量的始发防火墙CPU下发ACL规则，允许该类数据报文通过。始发防火墙CPU再将这类ACL下发给交换转发芯片，最终放行该类数据流。同时，综合流量分析装置还会将匹配该类数据的ACL规则，同步给网络中的其他所有防火墙，省去了其他防火墙再检测、再阻隔的工作量。

小型防火墙装置的中央处理单元接收和处理综合流量分析装置的指令，下发ACL规则到交换单元，对危害流量做二次过滤，从而保证危害流量在到达服务器之前都被阻隔掉，保障服务器的安全。

容易理解的是，综合流量分析装置会将生成的访问控制列表ACL同步到业务网络中的所有小型防火墙装置，例如对于小型防火墙装置1上传的可疑数据报文，综合流量分析装置分析后下发的ACL，还会同步到其他小型防火墙装置2～n。因此即使某个小型防火墙装置没有预设的数据库(特征库或病毒库)，也不会妨碍整个系统的正常运行。

本实施例在实现双重监测的同时，交换单元在不能将可疑数据报文复制到中央处理单元时，允许对应的可疑数据报文通过。

因此，即使小型防火墙装置上的中央处理器单元由于自身因素或者其他不可控因素瘫痪了，此时流经小型防火墙装置交换转发芯片的可疑危害流量就没办法镜像给上层CPU，在这种情况下，本实施例交换单元允许正常业务流量和可疑危害流量均进入业务网络的服务器，从而保障了业务系统的基本流量不会收到影响，使得业务网络具备较高的稳定性。

容易理解的是，在小型防火墙装置的CPU不能正常运行时，交换单元中已经设置的ACL还是可以正常的工作，这样对于大部分的危害流量还是可以进行阻隔。只不过对新的种类的危害流量无法进行监测，然而新的种类的危害流量却可以通过其他小型防火墙装置上传到综合流量分析装置进行分析，生成ACL并下发到网路中的所有小型防火墙装置，因此在CPU正常工作后，就可以获取到下发的ACL，对该类新的危害流量进行阻隔。

本技术方案可以在小型防火墙装置上实现正常业务流量和可疑业务流量分开处理，若小型防火墙装置的CPU瘫痪，不会影响正常业务流量的转发。同时小型防火墙装置针对可疑流量做初步过滤，同时可疑流量也会汇总给综合流量分析装置，做进一步流量监测，实现了流量的双重监测，从而加固了服务器的安全保护。

如图2所示，本技术方案还给出了一种双重监测安全控制方法的实施例，用于对业务网络中的服务器进行安全控制，所述业务网络还包括设置于所述服务器前端的小型防火墙装置，以及与所述小型防火墙装置网络连接的综合流量分析装置，所述小型防火墙装置包括交换单元和中央处理单元，所述双重监测安全控制方法，包括：

所述交换单元接收流经的数据报文，识别数据报文的类型，对于业务网络中的基本数据报文，直接转发到所连接的服务器，而将非基本数据报文作为可疑数据报文复制到中央处理单元；

所述中央处理单元接收到可疑数据报文后，与本地预设的数据库进行比较，将与本地预设的数据库不匹配的数据报文发往综合流量分析装置，下发访问控制列表到交换单元，通知交换单元丢掉与中央处理单元本地预设的数据库匹配的数据报文；

所述综合流量分析装置接收业务网络中小型防火墙装置上传的数据报文，与本地预设的数据库进行比较，确定数据报文是否合法，通过所述小型防火墙装置的中央处理单元下发对应的访问控制列表到交换单元；

所述交换单元根据中央处理单元下发的访问控制列表，对数据报文进行安全控制。

本实施例一种双重监测安全控制方法，其中各装置的具体操作步骤在前述系统中已经进行了详细的阐述，这里不再赘述。

以上实施例仅用以说明本发明的技术方案而非对其进行限制，在不背离本发明精神及其实质的情况下，熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形，但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。