專利名稱:一種分布式網(wǎng)絡(luò)設(shè)備安全集中防護(hù)的裝置與方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)領(lǐng)域,尤其涉及一種分布式網(wǎng)絡(luò)設(shè)備安全集中防護(hù) 的裝置與方法。
背景技術(shù):
隨著Internet技術(shù)的發(fā)展,組網(wǎng)環(huán)境日趨復(fù)雜,網(wǎng)絡(luò)攻擊日益頻繁,攻擊 種類日益繁多,如DOS ( Denial of Service,拒絕服務(wù))攻擊,網(wǎng)絡(luò)仿冒攻擊, 網(wǎng)頁(yè)惡意代碼攻擊,病毒、蠕蟲、木馬攻擊、系統(tǒng)漏洞、垃圾郵件攻擊等。 其中尤其以DOS攻擊、DDOS ( Distributed Denial of Service,分布式拒絕服 務(wù))攻擊尤為常見,對(duì)網(wǎng)絡(luò)設(shè)備造成的危害性也最大。DOS攻擊指拒絕服務(wù) 攻擊,攻擊者短時(shí)間內(nèi)使用大量數(shù)據(jù)包或畸形報(bào)文向網(wǎng)絡(luò)設(shè)備不斷發(fā)起連接 或請(qǐng)求響應(yīng),致使網(wǎng)絡(luò)設(shè)備負(fù)荷過(guò)重而不能處理合法業(yè)務(wù),從而導(dǎo)致設(shè)備業(yè) 務(wù)中斷甚至設(shè)備癱瘓。為了應(yīng)對(duì)網(wǎng)絡(luò)攻擊、病毒等,網(wǎng)絡(luò)設(shè)備必須具備可靠的安全防范措施。 對(duì)上送網(wǎng)絡(luò)設(shè)備控制核心進(jìn)行處理的控制數(shù)據(jù)和管理數(shù)據(jù),必須具備更加有 效牢靠的安全策略,例如上送CPU ( Center Process Unit,中央處理單元)進(jìn) 行處理的數(shù)據(jù)等。否則一旦攻擊發(fā)生將造成網(wǎng)絡(luò)設(shè)備的癱瘓,從而引發(fā)網(wǎng)絡(luò) 災(zāi)難。分布式網(wǎng)絡(luò)設(shè)備通常使用接口單元集成安全防護(hù)功能的設(shè)備安全加固 方案,接口單元集成設(shè)備安全防護(hù)功能,即各接口單元(負(fù)責(zé)業(yè)務(wù)接入)的 安全策略都隨板集中在了自身的處理流程中。在實(shí)現(xiàn)本發(fā)明的過(guò)程中,發(fā)明人發(fā)現(xiàn)現(xiàn)有技術(shù)中存在以下缺點(diǎn)現(xiàn)有技術(shù)中,設(shè)備安全防護(hù)功能受接口單元資源瓶頸制約,可擴(kuò)充性差, 且每種不同類型的接口單元需結(jié)合自身特征進(jìn)行防護(hù)功能設(shè)計(jì)、開發(fā),工作 量大,成本高。另外,由于病毒、木馬等攻擊方式更新速度非???,必然要 求網(wǎng)絡(luò)設(shè)備的攻擊防范方法也隨之更新,因接口單元主要負(fù)責(zé)業(yè)務(wù)接入,有大量的業(yè)務(wù)接入特性,這些業(yè)務(wù)接入特性的控制管理流程通常不會(huì)發(fā)生大的 變化,即接口單元的業(yè)務(wù)版本通常是比較固定的,由此如果需要升級(jí)接口單 元的安全防范方法必然會(huì)導(dǎo)致整個(gè)接口單元的版本發(fā)生變換,即可能影響到 原有的設(shè)備業(yè)務(wù)的正常運(yùn)轉(zhuǎn)。發(fā)明內(nèi)容本發(fā)明實(shí)施例提供了 一種分布式網(wǎng)絡(luò)設(shè)備安全集中防護(hù)的裝置與方法, 解決了分布式網(wǎng)絡(luò)設(shè)備的接口單元資源緊張、升級(jí)維護(hù)苦難等問(wèn)題。本發(fā)明實(shí)施例提供了 一種分布式網(wǎng)絡(luò)設(shè)備安全集中防護(hù)的裝置,包括至少一個(gè)接口單元,用于將接收到的數(shù)據(jù)發(fā)送到集中防護(hù)單元進(jìn)行清洗, 并發(fā)送所述清洗后的數(shù)據(jù);集中防護(hù)單元,用于對(duì)來(lái)自所述接口單元的數(shù)據(jù)進(jìn)行清洗,并將經(jīng)過(guò)清 洗的數(shù)據(jù)發(fā)送回對(duì)應(yīng)的接口單元。本發(fā)明實(shí)施例提供了 一種分布式網(wǎng)絡(luò)設(shè)備安全集中防護(hù)的方法,包括接收至少一個(gè)接口單元轉(zhuǎn)發(fā)的數(shù)據(jù);根據(jù)安全策略對(duì)所述數(shù)據(jù)進(jìn)行清洗;將經(jīng)過(guò)清洗后的數(shù)據(jù)發(fā)送對(duì)對(duì)應(yīng)的接口單元。本發(fā)明的實(shí)施例中,由于占用接口單元的資源減少,使設(shè)備防護(hù)能力得 到大幅提升;另外,設(shè)備安全策略在集中防護(hù)單元統(tǒng)一定義,統(tǒng)一管理,可 擴(kuò)展性好;且只需升級(jí)集中防護(hù)單元版本,不需要升級(jí)各個(gè)接口單元版本。
圖l是本發(fā)明實(shí)施例一中分布式網(wǎng)絡(luò)設(shè)備安全集中防護(hù)裝置結(jié)構(gòu)圖; 圖2是本發(fā)明實(shí)施例二分布式網(wǎng)絡(luò)設(shè)備安全集中防護(hù)裝置結(jié)構(gòu)圖; 圖3是本發(fā)明實(shí)施例中接口單元結(jié)構(gòu)圖; 圖4是本發(fā)明實(shí)施例中集中防護(hù)單元結(jié)構(gòu)圖;圖5是本發(fā)明實(shí)施例中分布式網(wǎng)絡(luò)設(shè)備安全集中防護(hù)的方法流程圖。
具體實(shí)施方式
本發(fā)明實(shí)施例 一提供了 一種分布式網(wǎng)絡(luò)設(shè)備安全集中防護(hù)的裝置,適合 在防火墻、路由器、以太網(wǎng)交換機(jī)、寬帶接入設(shè)備上實(shí)現(xiàn),但不局限于上述設(shè)備,也可以在其他設(shè)備上使用。該裝置如圖l所示,包括至少一個(gè)接口單 元和集中防護(hù)單元。接口單元,用于接收數(shù)據(jù),將該數(shù)據(jù)發(fā)送到集中防護(hù)單元進(jìn)行清洗,并 將發(fā)送經(jīng)過(guò)清洗的數(shù)據(jù);集中防護(hù)單元,作為分布式網(wǎng)絡(luò)設(shè)備控制管理數(shù)據(jù)的清洗中心,負(fù)責(zé)網(wǎng) 絡(luò)設(shè)備自身的安全防護(hù),對(duì)來(lái)自接口單元的數(shù)據(jù)進(jìn)行清洗,并將經(jīng)過(guò)清洗的 數(shù)據(jù)發(fā)送回對(duì)應(yīng)的接口單元。進(jìn)一步的,本發(fā)明實(shí)施例二提供的一種分布式網(wǎng)絡(luò)設(shè)備安全集中防護(hù)的 裝置還可以包括其他單元,如圖2所示接口單元,用于接收數(shù)據(jù),將該數(shù)據(jù)發(fā)送到集中防護(hù)單元進(jìn)行清洗,并 將發(fā)送經(jīng)過(guò)清洗的數(shù)據(jù);為便于理解,附圖中僅示出了 2個(gè)接口單元,實(shí)際 應(yīng)用中,分布式網(wǎng)絡(luò)設(shè)備中可以有多個(gè)接口單元。集中防護(hù)單元,作為分布式網(wǎng)絡(luò)設(shè)備控制管理數(shù)據(jù)的清洗中心,負(fù)責(zé)網(wǎng) 絡(luò)設(shè)備自身的安全防護(hù),對(duì)來(lái)自接口單元的數(shù)據(jù)進(jìn)行清洗,并將經(jīng)過(guò)清洗的 數(shù)據(jù)發(fā)送回對(duì)應(yīng)的接口單元。主控單元,用于進(jìn)行分布式網(wǎng)絡(luò)設(shè)備整體的所有協(xié)議控制、轉(zhuǎn)發(fā)控制以 及分布式網(wǎng)絡(luò)設(shè)備管理;交換矩陣,用于分布式網(wǎng)絡(luò)設(shè)備集中防護(hù)裝置的內(nèi)部數(shù)據(jù)交換。具體的,本實(shí)施例中,交換矩陣用于分布式網(wǎng)絡(luò)設(shè)備集中防護(hù)裝置的主 控單元、接口單元和集中防護(hù)單元之間的數(shù)據(jù)交換;其中,接口單元如圖3所示,包括數(shù)據(jù)接收子單元110,用于接收數(shù)據(jù);重定向子單元120,用于將所述數(shù)據(jù)接收子單元接收到的數(shù)據(jù)通過(guò)所述交 換矩陣發(fā)送到所述集中防護(hù)單元;處理后數(shù)據(jù)接收子單元130,用于接收所述集中防護(hù)單元清洗過(guò)的數(shù)據(jù);核心處理子單元140,用于將所述清洗后的數(shù)據(jù)通過(guò)所述交換矩陣發(fā)送到 主控單元。集中防護(hù)單元如圖4所示,包括 接收子單元210,用于接收所述接口單元發(fā)送的數(shù)據(jù); 清洗子單元220,用于根據(jù)安全策略對(duì)所述數(shù)據(jù)進(jìn)行清洗; 發(fā)送子單元230,用于根據(jù)所述數(shù)據(jù)的轉(zhuǎn)發(fā)信息,將清洗后的數(shù)據(jù)返回對(duì) 應(yīng)的接口單元。本實(shí)施例中,所述數(shù)據(jù)的轉(zhuǎn)發(fā)信息包括所述數(shù)據(jù)來(lái)自的接口單元的槽 位以及端口號(hào)等信息。當(dāng)集中防護(hù)單元接收到接口單元發(fā)送的數(shù)據(jù)時(shí),記錄 這些信息,以便當(dāng)集中防護(hù)單元根據(jù)安全策略對(duì)數(shù)據(jù)進(jìn)行清洗后,能將數(shù)據(jù) 發(fā)送回正確的接口單元。進(jìn)一步的,如圖5所示,集中防護(hù)單元還包括可維護(hù)性子單元240,用于當(dāng)清洗子單元220根據(jù)安全策略對(duì)所述數(shù)據(jù)進(jìn) 行清洗后,對(duì)丟棄的數(shù)據(jù)進(jìn)行可維護(hù)性管理。本實(shí)施例中,可維護(hù)性管理包括溯源、統(tǒng)計(jì)、告警、記錄日志等至少 一項(xiàng)。其中,溯源是指查找發(fā)送數(shù)據(jù)的源接口單元;統(tǒng)計(jì)是指統(tǒng)計(jì)丟棄數(shù)據(jù) 包的數(shù)量;告警是指在確定丟棄數(shù)據(jù)包的數(shù)量達(dá)到預(yù)設(shè)值時(shí),發(fā)送告警;記 錄日志是指記錄丟棄^t據(jù)包的時(shí)間。本發(fā)明實(shí)施例還提供了 一種分布式網(wǎng)絡(luò)設(shè)備安全集中防護(hù)的方法,如圖5 所示,包括501,接口單元接收數(shù)據(jù),并將該數(shù)據(jù)轉(zhuǎn)發(fā)到集中防護(hù)單元。本實(shí)施例中,接口單元可以通過(guò)重定向、自動(dòng)轉(zhuǎn)發(fā)數(shù)據(jù)、手工配置轉(zhuǎn)發(fā)數(shù) 據(jù)目的等方法,將該數(shù)據(jù)轉(zhuǎn)發(fā)到集中防護(hù)單元。其中,重定向是指將發(fā)往一 個(gè)目的的數(shù)據(jù)轉(zhuǎn)發(fā)到另 一個(gè)目的。502,集中防護(hù)單元在接收到各接口單元的數(shù)據(jù)后,根據(jù)預(yù)設(shè)的安全策略 進(jìn)行流量清洗,安全策略包括但不限于黑名單處理,白名單處理、CP-CAR(限 制上送CPU處理數(shù)據(jù)帶寬)策略或包過(guò)濾等。若集中防護(hù)單元根據(jù)安全策略需要丟棄數(shù)據(jù),則集中防護(hù)單元負(fù)責(zé)丟棄數(shù)據(jù)后的溯源、統(tǒng)計(jì)、告警、記錄日志等至少一項(xiàng)可維護(hù)性管理。本實(shí)施例中,溯源是指查找發(fā)送數(shù)據(jù)的源接口單元;統(tǒng)計(jì)是指統(tǒng)計(jì)丟棄數(shù)據(jù)包的數(shù)量; 告警是指集中防護(hù)單元在確定丟棄數(shù)據(jù)包的數(shù)量達(dá)到預(yù)設(shè)值時(shí),發(fā)送告警; 記錄日志是指集中防護(hù)單元記錄丟棄數(shù)據(jù)包的時(shí)間。其中,黑名單處理具體為確定已知垃圾郵件制造者及其ISP (Internet service Provider,互聯(lián)網(wǎng)服務(wù)提供商)的域名或IP地址,然后將這些域名或IP 地址整理成黑名單,將黑名單存儲(chǔ)在集中防護(hù)單元中,使集中防護(hù)單元拒絕 處理/丟棄任何來(lái)自黑名單上的數(shù)據(jù)。白名單處理是使優(yōu)先向各接口單元發(fā) 送符合白名單定義特征的數(shù)據(jù)。CP-CAR策略,對(duì)來(lái)自接口單元的數(shù)據(jù)進(jìn)行分 類,例如按照數(shù)據(jù)報(bào)文類型、接收數(shù)據(jù)順序、數(shù)據(jù)發(fā)送源信息等進(jìn)行分類, 并根據(jù)數(shù)據(jù)的類型限制發(fā)送給主控單元的帶寬,保證系統(tǒng)的安全性。包過(guò)濾, 通過(guò)預(yù)先設(shè)置的ACL (訪問(wèn)控制列表)對(duì)來(lái)自接口單元的數(shù)據(jù)進(jìn)行過(guò)濾。本發(fā)明實(shí)施例中,根據(jù)安全策略對(duì)所述數(shù)據(jù)進(jìn)行清洗后,對(duì)丟棄的數(shù)據(jù) 進(jìn)行可維護(hù)性管理,具體為查找發(fā)送所述丟棄的數(shù)據(jù)的接口單元;和/或統(tǒng) 計(jì)丟棄數(shù)據(jù)的數(shù)據(jù)包數(shù)量;和/或當(dāng)丟棄的數(shù)據(jù)的數(shù)據(jù)包數(shù)量達(dá)到預(yù)設(shè)值時(shí), 發(fā)送告警;和/或記錄丟棄數(shù)據(jù)的時(shí)間。503,集中防護(hù)單元根據(jù)接收數(shù)據(jù)時(shí)記錄的轉(zhuǎn)發(fā)信息,將清洗后的安全數(shù) 據(jù)流量送回到對(duì)應(yīng)的接口單元。本實(shí)施例中,數(shù)據(jù)的轉(zhuǎn)發(fā)信息包括接口單元 槽位、端口號(hào)等信息。504,接口單元在接收到集中防護(hù)單元轉(zhuǎn)發(fā)的數(shù)據(jù)后不再進(jìn)行清洗,直接 上送主控單元進(jìn)行處理。本發(fā)明的實(shí)施例中,由于占用接口單元的資源減少,使設(shè)備防護(hù)能力得 到大幅提升;另外,設(shè)備安全策略在集中防護(hù)單元統(tǒng)一定義,統(tǒng)一管理,可 擴(kuò)展性好;且只需升級(jí)集中防護(hù)單元版本,不需要升級(jí)各個(gè)接口單元版本。通過(guò)以上的實(shí)施方式的描述,本領(lǐng)域的技術(shù)人員可以清楚地了解到本 發(fā)明可借助軟件加必需的通用硬件平臺(tái)的方式來(lái)實(shí)現(xiàn),當(dāng)然也可以通過(guò)硬 件,但很多情況下前者是更佳的實(shí)施方式。基于這樣的理解,本發(fā)明的技 術(shù)方案本質(zhì)上或者說(shuō)對(duì)現(xiàn)有技術(shù)做出貢獻(xiàn)的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來(lái),該計(jì)算機(jī)軟件產(chǎn)品存儲(chǔ)在一個(gè)存儲(chǔ)介質(zhì)中,包括若干指令用以使 得一臺(tái)計(jì)算機(jī)設(shè)備(可以是個(gè)人計(jì)算機(jī),服務(wù)器,或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行 本發(fā)明各個(gè)實(shí)施例所述的方法。以上公開的僅為本發(fā)明的幾個(gè)具體實(shí)施例,但是,本發(fā)明并非局限于此, 任何本領(lǐng)域的技術(shù)人員能思之的變化都應(yīng)落入本發(fā)明的保護(hù)范圍。
權(quán)利要求
1. 一種分布式網(wǎng)絡(luò)設(shè)備安全集中防護(hù)的裝置,其特征在于,包括至少一個(gè)接口單元,用于將接收到的數(shù)據(jù)發(fā)送到集中防護(hù)單元進(jìn)行清洗,并發(fā)送所述清洗后的數(shù)據(jù);集中防護(hù)單元,用于對(duì)來(lái)自所述接口單元的數(shù)據(jù)進(jìn)行清洗,并將經(jīng)過(guò)清洗的數(shù)據(jù)發(fā)送回對(duì)應(yīng)的接口單元。
2、 如權(quán)利要求1所述分布式網(wǎng)絡(luò)設(shè)備安全集中防護(hù)的裝置,其特征在于, 所述裝置還包括主控單元,用于進(jìn)行設(shè)備整體的所有協(xié)議控制、轉(zhuǎn)發(fā)控制以及設(shè)備管理; 交換矩陣,用于分布式網(wǎng)絡(luò)設(shè)備集中防護(hù)裝置的內(nèi)部數(shù)據(jù)交換。
3、 如權(quán)利要求2所述分布式網(wǎng)絡(luò)設(shè)備安全集中防護(hù)的裝置,其特征在于, 所述交換矩陣用于分布式網(wǎng)絡(luò)設(shè)備集中防護(hù)裝置的內(nèi)部數(shù)據(jù)交換,具體為所述交換矩陣用于所述主控單元、接口單元和集中防護(hù)單元之間的數(shù)據(jù) 交換。
4、 如權(quán)利要求3所述分布式網(wǎng)絡(luò)設(shè)備安全集中防護(hù)的裝置,其特征在于, 所述接口單元具體包括數(shù)據(jù)接收子單元,用于接收數(shù)據(jù);重定向子單元,用于將所述數(shù)據(jù)接收子單元接收到的數(shù)據(jù)通過(guò)所述交換矩陣發(fā)送到所述集中防護(hù)單元;處理后數(shù)據(jù)接收子單元,用于接收所述集中防護(hù)單元清洗過(guò)的數(shù)據(jù); 核心處理子單元,用于將所述清洗后的數(shù)據(jù)通過(guò)所述交換矩陣發(fā)送到所述主控單元。
5、 如權(quán)利要求3或4所述分布式網(wǎng)絡(luò)設(shè)備安全集中防護(hù)的裝置,其特征 在于,所述集中防護(hù)單元具體包括接收子單元,用于接收所述接口單元發(fā)送的數(shù)據(jù); 清洗子單元,用于根據(jù)安全策略對(duì)所述數(shù)據(jù)進(jìn)行清洗; 發(fā)送子單元,用于根據(jù)所述數(shù)據(jù)的轉(zhuǎn)發(fā)信息,將清洗后的數(shù)據(jù)返回對(duì)應(yīng) 的接口單元。
6、 如權(quán)利要求5所述分布式網(wǎng)絡(luò)設(shè)備安全集中防護(hù)的裝置,其特征在于,所述集中防護(hù)單元還包括可維護(hù)性子單元,用于當(dāng)所述清洗子單元根據(jù)安全策略對(duì)所述數(shù)據(jù)進(jìn)行 清洗后,對(duì)丟棄的數(shù)據(jù)進(jìn)行可維護(hù)性管理。
7、 一種分布式網(wǎng)絡(luò)設(shè)備安全集中防護(hù)的方法,其特征在于,包括 接收至少一個(gè)接口單元轉(zhuǎn)發(fā)的數(shù)據(jù); 根據(jù)安全策略對(duì)所述數(shù)據(jù)進(jìn)行清洗;將經(jīng)過(guò)清洗后的數(shù)據(jù)發(fā)送對(duì)應(yīng)的接口單元。
8、 如權(quán)利要求7所述分布式網(wǎng)絡(luò)設(shè)備安全集中防護(hù)的方法,其特征在于, 所述將經(jīng)過(guò)清洗后的數(shù)據(jù)發(fā)送對(duì)對(duì)應(yīng)的接口單元,具體包括根據(jù)所述數(shù)據(jù)的轉(zhuǎn)發(fā)信息,將清洗后的數(shù)據(jù)返回對(duì)應(yīng)的接口單元。
9、 如權(quán)利要求8所述分布式網(wǎng)絡(luò)設(shè)備安全集中防護(hù)的方法,其特征在于, 所述轉(zhuǎn)發(fā)信息包括接收所述數(shù)據(jù)時(shí)記錄的接口單元槽位、端口號(hào)。
10、 如權(quán)利要求7所述分布式網(wǎng)絡(luò)設(shè)備安全集中防護(hù)的方法,其特征在 于,所述安全策略包括CP-CAR策略、黑名單策略、白名單策略或包過(guò)濾。
11、 如權(quán)利要求IO所述分布式網(wǎng)絡(luò)設(shè)備安全集中防護(hù)的方法,其特征在 于,根據(jù)安全策略對(duì)所述數(shù)據(jù)進(jìn)行清洗后,對(duì)丟棄的數(shù)據(jù)進(jìn)行可維護(hù)性管理。
12、 如權(quán)利要求11所述分布式網(wǎng)絡(luò)設(shè)備安全集中防護(hù)的方法,其特征在 于,對(duì)丟棄的數(shù)據(jù)進(jìn)行可維護(hù)性管理,具體為查找發(fā)送所述丟棄的數(shù)據(jù)的接口單元;和/或 統(tǒng)計(jì)丟棄數(shù)據(jù)的數(shù)據(jù)包數(shù)量;和/或當(dāng)丟棄的數(shù)據(jù)的數(shù)據(jù)包數(shù)量達(dá)到預(yù)設(shè)值時(shí),發(fā)送告警;和/或 記錄丟棄數(shù)據(jù)的時(shí)間。
全文摘要
本發(fā)明實(shí)施例公開了一種分布式網(wǎng)絡(luò)設(shè)備安全集中防護(hù)的裝置與方法,包括至少一個(gè)接口單元,用于將接收到的數(shù)據(jù)發(fā)送到集中防護(hù)單元進(jìn)行清洗,并發(fā)送所述清洗后的數(shù)據(jù);集中防護(hù)單元,用于對(duì)來(lái)自所述接口單元的數(shù)據(jù)進(jìn)行清洗,并將經(jīng)過(guò)清洗的數(shù)據(jù)發(fā)送回對(duì)應(yīng)的接口單元。本發(fā)明由于占用接口單元的資源減少,使設(shè)備防護(hù)能力得到大幅提升;另外,設(shè)備安全策略在集中防護(hù)單元統(tǒng)一定義,統(tǒng)一管理,可擴(kuò)展性好;且只需升級(jí)集中防護(hù)單元版本,不需要升級(jí)各個(gè)接口單元版本。
文檔編號(hào)H04L29/06GK101277302SQ200810097219
公開日2008年10月1日 申請(qǐng)日期2008年5月6日 優(yōu)先權(quán)日2008年5月6日
發(fā)明者趙志旺 申請(qǐng)人:華為技術(shù)有限公司