[发明专利]分布式多重处理安全网关的系统和方法

说明书

相关申请的交叉参考

本申请为于2006年8月8日提交的序列号11/501,607的题为“分布式多重处理安全网关的系统和方法”的共同未决的部分继续美国专利申请。

技术领域

本发明总体上涉及数据联网，更具体地，涉及分布式多重处理安全网关的系统和方法。

背景技术

随着越来越多的计算机通过数据网络进行连接，以及越来越多的应用程序利用数据网络来实现它们的功能，数据网络活动正在增加。因此，防止数据网络的安全漏洞变得更加重要。

当前存在诸如防火墙、VPN防火墙、父级控制装置(parentalcontrol appliance)、邮件病毒检测网关、用于网络仿冒(phishing)和间谍软件(spyware)的专用网关、入侵检测和预防装置、访问控制网关、身份管理网关的多种安全网关，以及多种其他类型的安全网关。通常基于诸如MIPS架构、PowerPC架构、或者ARM架构的RISC架构使用诸如Intel Pentium、AMD处理器、或者SPARC处理器的通用微处理器，或者嵌入式微处理器来实现这些产品。

微处理器架构受限于其处理性能。通常其能够处理高达每秒千兆比特的带宽。在过去的几年里，数据网络带宽应用增长的步伐快于微处理器性能的改善。今天，在很多大中型安全公司数据网络中，每秒若干千兆比特的数据网络带宽应用的并非不常见。我们期望这种情况在包括小企业数据网络、住宅网络以及服务提供商数据网络的大多数数据网络中变得更加普遍。

数据网络的使用增长的趋势说明了对用于以串行方式运行来保护数据网络的更好且更高能力的安全网关的需要，尤其是在使用均为微处理器或者均基于微处理架构的多重处理单元的情况下。

发明内容

用于分布式多重处理安全网关的系统和方法包括：建立主机侧会话；为服务器选择代理网络地址；使用该代理网络地址建立服务器侧会话；接收数据包；从安全网关的多核处理器中的多个中央处理器内核分配一个用于处理数据包的中央处理器内核；根据安全策略处理数据包；并发送处理的数据包。选择代理网络地址以使相同的中央处理器内核被分配用来处理来自服务器侧会话和主机侧会话的数据包。通过以这种方式分配中央处理器内核，可以提供一种具有更高能力的安全网关。

附图说明

图1a示出了安全数据网络。

图1b示出了网络地址转换(NAT)处理的概要。

图1c示出了用于TCP会话的NAT处理。

图2示出了分布式多重处理安全网关。

图3示出了调度处理。

图4示出了代理网络地址选择处理。

图5示出了本发明实施例的多重处理器内核。

具体实施方式

图1a示出了安全数据网络。安全网关170保护安全数据网络199。

在一个实施例中，安全数据网络199为住宅数据网络。在一个实施例中，安全数据网络199为公司网络。在一个实施例中，安全数据网络199为区域公司网络。在一个实施例中，安全数据网络199为服务提供商网络。

在一个实施例中，安全网关170为住宅宽带网关。在一个实施例中，安全网关170为公司防火墙。在一个实施例，安全网关170为区域办公防火墙或者部门防火墙。在一个实施例中，安全网关170为公司虚拟专用网络(VPN)防火墙。在一个实施例中，安全网关170为服务提供商网络的因特网网关。

当安全数据网络199内部的主机130访问安全数据网络199外部的服务器110时，主机130通过安全网关170与服务器110建立会话。在主机130和服务器110之间的会话中交换的数据包通过安全网关170。安全网关170在处理会话中的数据包期间应用多个安全策略。安全策略的实例包括：网络地址保护、内容过滤、病毒检测以及侵扰预防、间谍软件或者网络仿冒阻止、网络入侵或者拒绝服务预防、数据通信监控、或者数据通信监听。

图1b示出了网络地址转换(NAT)处理的概要。

在一个实施例中，安全策略用于保护主机130的网络地址。主机130在主机130和服务器110之间的会话160中使用主机网络地址183。在一个实施例中，主机网络地址183包括主机130的IP地址。在另一个实施例中，主机网络地址183包括主机130的会话端口地址。

安全网关170通过不泄露主机网络地址183来保护主机130。当主机130向安全网关170发送会话160的会话请求时，该会话请求包括主机网络地址183。

安全网关170与主机130建立主机侧会话169。主机130在会话169中使用主机网络地址183。