网络安全设备以及使用该网络安全设备处理包数据的方法

摘要

本发明涉及基于多主机的网络安全设备以及使用该网络安全设备处理包数据的方法。本发明的基于多主机的网络安全设备在单主机系统中包括至少两个单独主机。每个单独主机包括诸如中央处理单元(CPU)和存储器等单独的资源，并在单主机系统中执行不同的任务。该网络安全设备包括：包策略模块，用于提供使得包数据被适当地发送到各单独主机的包分类策略；以及包处理单元，用于根据包分类策略将包数据发送到相关的单独主机，并根据在各单独主机中执行的包检测结果提供服务或阻塞包数据。由此，可以提高数据处理性能并可稳定地检查包数据。

说明书

技术领域

本发明涉及网络安全，尤其涉及其中在单主机系统中设置了至少两个单独的主机的、用于处理包数据的基于多主机的网络安全设备，以及使用该网络安全设备处理包数据的方法。

背景技术

随着计算机和因特网使用的广泛普及，用户在电脑跟前花费了更多的时间而网络安全也被认为是一个重要因素。网络安全防止通过诸如连接到网络的计算机系统的操作系统、服务器以及应用程序等易受攻击点的入侵，或者是来自外部的非法入侵以及对内部信息的非法访问。

为此，通常使用基于硬件或基于软件的网络安全设备。图1a和1b分别示出了常规的基于硬件和基于软件的网络安全设备的配置。

包数据在图1a的网络安全设备中处理如下。

当通过接口1接收到包数据时，第一安全模块3的模式匹配引擎5根据已加载的关于阻塞策略的信息检查包数据的首部和内容。如果在匹配引擎5中确定存在匹配的包数据，则处理引擎7根据预先存储的策略阻塞或旁路掉相关的包数据。第一安全模块3中的处理结果和被旁路掉的包通过外围组件互联(PCI)接口9被发送到第二安全模块11。

在接收包时，第二安全模块11的主中央处理单元(CPU)13根据阈值检查接收到的包是否试图进行动态攻击，例如拒绝服务(DoS)攻击以及分布式拒绝服务攻击(DDoS)。主CPU将检查结果返回给第一安全模块3的模式匹配引擎5。然后，模式匹配引擎5确定是否阻塞该包的通信。

图1b的网络安全设备中的包数据将被处理如下。

安全功能模块24、26或28通过网卡20在网络上接收包，并在主CPU 22的控制下使用软件检查该包。安全功能模块中的至少一个被选择性地设置。

然而，这种常规安全设备有以下问题。

该安全设备对单系统仅设置一个主机。即，由于主CPU 13或22执行一般安全功能，所以许多安全功能由于有限的硬件资源而不能被执行。

例如，在图1a的安全设备中，当包数据模式与所存储的模式不匹配时，需要具体地检查该包是否试图进行动态攻击(例如，DoS和DDoS)。然而，与CPU和存储器相关连的有限的硬件资源使得难以执行这种高级安全功能。在图1b的安全设备中，设置了一个或多个安全功能模块24、26和28用于执行多个安全功能，但是由于主CPU 22应当执行所有的安全功能，所以该安全设备表现出有限的性能。

此外，由于该安全设备基于单主机，所以不能处理大量包数据的通信。虽然该基于单主机的安全设备试图处理大量的包数据，但由于处理时延所以未处理的包数据增多。因此，包数据可能会丢失。

发明内容

本发明预期解决上述问题。相应地，本发明的一个目的是提供用于处理包数据的网络安全设备，其中在单系统中设置了各具有诸如中央处理单元和存储器等资源的多个主机，以及提供使用该网络安全设备处理包数据的方法。

本发明的另一目的是使用至少两个单独的主机执行多个安全功能。

本发明的另一目的是使用至少两个单独的主机同时处理大量包数据。

根据用于实现这些目的的本发明的一个方面，提供了一种网络安全设备，其包括：至少两个主机，用于根据不同的安全策略分别执行安全功能；以及包处理单元，用于根据藉之向相应主机分配预定优先级的包分类策略，将通过网络接收到的包数据发送到具有第一优先级的主机，并且在该主机确定包数据正常的情况下顺序地将该正常包数据发送到具有次优先级的主机以继续执行安全功能。

该包处理单元可在其中任何一个主机确定包数据有害的情况下阻塞该包数据。

每个主机可包括含中央处理单元(CPU)和存储器在内的用以在单主机系统内执行不同任务的单独的资源。

优选地，每个主机执行从包括防火墙/服务质量(QoS)安全功能、入侵检测安全功能以及动态和会话处理安全功能的组中选出的任一功能。

根据本发明的另一方面，提供了一种网络安全设备，其包括：至少两个主机，用于根据包数据的传输协议分别处理包数据；包处理单元，用于参照包分类策略根据传输协议将包数据分类，并将经分类的包数据发送到相关主机；以及包策略模块，用于向包处理单元提供包分类策略。

在接收到两个或多个包数据时，包处理单元可根据包分类策略并行地将包数据发送到各相关主机以允许各主机同时处理接收到的包数据。

优选地，主机处理传输控制协议(TCP)、用户数据报协议(UCP)/IP版本互联网控制信息协议(ICMP)和超文本传输协议(HTTP)包。

根据本发明的另一方面，提供了一种使用网络安全设备处理包数据的方法，该方法包括以下步骤：通过网络接收包数据；将包数据发送到具有不同安全协议的至少两个主机当中具有第一优先级的主机；由具有第一优先级的主机使用其自身的安全协议确定该包数据是否正常；以及在确定包数据正常的情况下将该包数据发送到具有次优先级的主机，而在确定包数据有害的情况下阻塞该包数据。

包数据可被顺序地发送到具有优先级的所有主机并由它们检查。

在其中任何一个主机确定该包数据有害的情况下，该包数据可被阻塞。

包数据可被检查至少一次。

根据本发明的又一目的，提供了使用网络安全设备处理包数据的方法，其包括以下步骤：分类通过网路接收到的包数据；将经分类的数据发送到两个或多个相关主机；以及处理包数据。

此外，被分类为至少两个数据的包数据可被同时发送到各相关主机。

此外，包数据可根据传输协议被分类，并且各主机可接收和处理使用不同传输协议的包数据当中的相关包数据。

各主机可在单主机系统中单独地运行以同时执行不同任务。

根据如此配置的本发明，可对通过网路采集的包数据应用多个安全功能，并且多个包数据可被同时处理从而提高包处理速率。

附图说明

通过以下结合附图给出的优选实施例的说明，本发明的上述和其它方面、特征以及优点将是显而易见的，在附图中：

图1a和1b是示出了常规的基于硬件和基于软件的网络安全设备的框图；

图2是示出了根据本发明的第一实施例的网络安全设备的配置的框图；

图3是示出了在根据本发明的第一实施例的网络安全设备中处理包数据的方法的流程图；

图4是示出了根据本发明的第二实施例的网络安全设备的配置的框图；

图5是示出了在根据本发明的第二实施例的网络安全设备中处理包数据的方法的流程图。

具体实施方式

将参照附图对根据本发明的网络安全设备以及使用该安全设备处理包数据的方法的优选实施例进行详细说明。

在本发明的优选实施例中，提供了一种基于多主机的安全设备，其中至少两个主机(以下被称为单独主机)在单主机系统中运行。每个单独主机包括诸如中央处理单元(CPU)和存储器等资源。各单独主机并行地执行任何任务。即，各单独主机可在单主机系统中执行不同任务。

图2是示出了根据本发明的第一实施例的网络安全设备的配置的框图。在图2的第一实施例中，是对包数据执行多个安全功能。

参照图2，单主机系统(即，安全设备)100设有至少两个单独的主机。作为单独的主机，设有第一到第三主机102a到102c。第一到第三主机102a到102c分别提供不同的安全功能。即，第一主机102a提供防火墙/服务质量(QoS)安全功能，第二主机102b提供入侵检测安全功能，而第三主机102c提供动态和会话处理安全功能。

应该运行第一到第三主机102a到102c中的至少两个，并且优选地运行主机系统100中所设的所有单独的主机102a到102c以执行多个安全功能。

包处理单元106被设为将通过网络接口104接收到的包数据发送到单独主机102a到102c中的任意一个从而使得该单独主机检测该包数据是否有害，并在包数据有害时阻塞该包数据或在包数据正常时通过将该包数据发送到其它单独主机来继续执行安全功能。

包处理单元106根据其中指定了单独主机的优先级的包分类策略将包数据发送到第一单独主机。在本发明的第一实施例中，包数据按第一主机102a、第二主机102b和第三主机103c的顺序被发送。虽然根据包分类策略按照第一、第二和第三主机102a、102b和102c的顺序指定了优先级，但是在第二主机102b被禁用时，包数据将从第一主机102a被直接被发送到第三主机102c。

还设置了用于提供包分类策略的包策略模块108。包策略模块108可由网络管理员任意地修改。包策略模块108存储关于将首先向其发送包数据的单独主机以及关于从一单独主机到另一单独主机的传送路径的信息。在一些情形中，包数据可被同时发送到第一到第三主机102a到102c以执行安全功能。

还设置了控制主机110以管理第一到第三主机102a到102c并控制包策略模块108从而使得包分类策略可被正常地应用于包处理单元106。

接着，将参照图3对根据本发明的第一实施例的对包数据执行多个安全功能的处理进行说明。

首先，主机系统100中所设的各单独主机，即第一到第三主机102a到102c被管理员驱动，并且包数据然后通过网络接口104被输入(S120)。

包数据被发送到包处理单元106，后者进而根据由包策略模块108提供的包分类策略确认各单独主机的优先级(S122)。在确认各单独主机的优先级之后，包处理单元106将包数据发送到第一到第三主机102a到102c当中具有第一优先级的第一主机102a(S124)。

用于提供防火墙/QoS安全功能的第一主机102a确定是否针对该包数据设置了防火墙/QoS安全功能(S126)。如果该包数据是将被防火墙/QoS安全功能阻塞的数据，则第一主机102a确定接收到的包数据有害(S128中为‘否’)并将确定结果发送到包处理单元106。然后包处理单元106阻塞该包数据从而不执行针对该包数据的服务(S140)。

另一方面，当第一主机102a确定包数据是正常包时(S128中为‘是’)，包处理单元106将该包数据发送到具有次优先级的第二主机102b(S130)。执行另一安全功能的原因是在包数据被曝露于其它攻击时或在第一主机错误地确定该包数据为正常通信时主机系统100可能会受到损害。

在接收到包数据之后，第二主机102b根据入侵检测安全功能确定该包数据是否有害。该确定依据由网络管理员设定的一系列规则(即，安全策略)或依据对特定的一段时间内采集的包流的分析来检测各种类型的攻击。

如果第二主机102b确定包数据有害(S132中为‘否’)，则第二主机102b将确定结果发送到包处理单元106。后者进而阻塞该包数据(S140)。另一方面，当确定包数据正常时，包处理单元106将该包数据发送到第三主机102c，后者进而将执行动态和会话处理安全功能的(S134)。

用于执行动态和会话处理安全功能的第三主机102c检查已被第二主机102b确定为正常包的包数据是否有害。如果确定该包数据有害(S136中为‘否’)，则该包数据被完全阻塞从而不提供相关服务(S140)。另一方面，如果确定该包数据正常，则该包数据被发送到目的地从而正常提供相关服务(S138)。

在第一实施例中，具有不同安全功能的单独主机102a到102c在主机系统100中被驱动以对包数据执行多个安全功能。特别地，单独主机102a到102c可根据网络设备特性和用户要求进行适当的修改。除了第一到第三主机102a到102c以外，还可设置具有其它安全功能的外加的单独主机。另一方面，第一到第三主机102a到102c可由具有其它安全功能的主机来替代。

图4示出了包括与第一实施例的单独主机具有不同功能的多个单独主机的另一网络安全设备。图4是示出了根据本发明的第二实施例的网络安全设备的配置的框图。

参照图4，单主机系统(即，安全设备)200中设置了至少两个单独主机，例如第一到第三主机202a到202c。

第一到第三主机202a到202c为使用不同传输协议的包数据提供处理和安全功能。具体地，根据包数据的传输协议，第一主机202a可处理使用传输控制协议(TCP)的包数据，第二主机202b可处理使用用户数据报协议(UDP)/IP版本互联网控制信息协议(ICMP)的包数据，而第三主机202c可处理使用超文本传输协议(HTTP)的包数据。

还设置了包处理单元206以根据包分类策略参照包数据的首部将通过网络接口204采集的包数据按传输协议分类，并将经分类的包数据发送到各个相关的第一到第三主机202a到202c。在接收到使用不同传输协议的多个包数据时，包处理单元206可同时将包数据发送到第一到第三主机202a到202c。

还设置了用于向包处理单元206提供包分类策略的包策略模块208。包策略模块208提供籍之将TCP协议的包数据发送到第一主机202a、将UDP/ICMP协议的包数据发送到第二主机202b、并将HTTP协议的包数据发送到第三主机202c的包分类策略。容易理解的是，在设置了包数据的另外的传输协议或是设置了用于处理不同传输协议的单独主机时可修改包分类策略。

还设置了控制主机210以管理第一到第三主机202a到202c并控制包策略模块208从而使得包分类策略可被正常应用于包处理单元206。

接着，将参照图5对根据本发明的第二实施例的对包数据同时执行安全功能的处理进行说明。

首先，各单独主机，即主机系统200的第一到第三主机202a到202c被管理员驱动，并且包数据通过网络接口204被输入(S220)。

包数据被发送到包处理单元206，后者进而使用由包策略模块208提供的包分类策略根据包数据的传输协议将包数据分类(S222)。

包处理单元206根据传输协议将经分类的包数据发送到相关的单独主机(S224)。包处理单元206可从包数据的首部中呈示的传输协议信息确认传输协议，然后根据传输协议将包数据分类。在包数据被输入时，TCP包数据被发送到第一主机202a，UDP/ICMP包数据被发送到第二主机202b，而HTTP包数据被发送到第三主机202c。即使在TCP包数据、UDP/ICMP包数据以及HTTP包数据通过网路接口204同时而不是顺序地输入时，包处理单元206也可根据包分类策略将包数据分类并将经分类的包数据发送到主机。此外，即使在包数据中的一些(即，仅仅TCP包数据和HTTP包数据)被输入时，包处理单元206也可将TCP包数据发送到第一主机202a以及将HTTP包数据发送到第三主机202c。

第一到第三主机202a到202c中的每个CPU将接收到的包数据与预先设置的阻塞策略信息相比较以确定该包数据是否正常(S226)。

如果在步骤S228确定包数据正常，则相关的单独主机正常地提供服务(S230)。然而，如果确定包数据有害，则相关的单独主机将确定结果发送到包处理单元206，后者进而参照接收到的确定结果阻塞该包数据以防止相关的单独主机提供服务(S240)。此时，该包数据可由单独主机而不是由包处理单元206来阻塞。

常规的基于单主机的安全设备由于硬件资源不足所以难以处理大量的包数据。然而在本实施例中，多个单独主机202a到202c接收和处理对应于其各自传输协议的包数据，从而提高了数据处理性能。

在本发明中，各种安全设备可根据所需的单独主机的选择来实现并同时处理大量包数据。例如，单独主机202a到202c确定包数据是否有害，并在包数据正常时提供所需的服务或在数据有害时阻塞该包数据。

如上所述，根据本发明的网络安全设备和使用该网路安全设备处理包数据的方法具有以下优点：

基于单主机的安全设备固有的性能问题可得到解决。

即，由于可对包数据容易地应用多个安全功能，所以可以在短时间内基本检查包数据是否正常。

此外，使用不同传输协议的大量包数据可被发送到相关主机并在其中被同时处理。因此，可以提高包数据处理性能。

此外，由于可由用户修改包分类策略，所以可基于包分类策略根据安全设备的特性适当地部署各单独主机，由此提供各种安全功能。

虽然已结合附图和优选实施例示出和说明了本发明，但是本发明并不限定于此，而是由所附权利要求所界定。因此将为本领域的技术人员理解的是，可对本发明进行各种修改和变更而不会背离由所附权利要求所界定的本发明的精神实质和范围。