[发明专利]用于高度可实现性应用的智能集成网络安全设备

说明书

本申请是2005年10月12日提交的发明名称为“用于高度可实现性应用的智能集成网络安全设备”的中国专利申请200510106769.2的分案申请。

技术领域

与本发明的原理相一致的系统、设备和方法总体上涉及控制计算机网络安全。

背景技术

防火墙和侵入检测系统都是可用于保护计算机网络使其免受未经授权的或破坏性的用户侵入的设备。防火墙可保护局域网的安全，使局域网外部的用户无法进入。防火墙对于发送到或者来自局域网外部的用户的所有信息进行检查、路由并频繁地添加标注。侵入检测系统(IDS)可用于检验在网络内传输的信息，以识别出可疑的行为模式。

基于流的路由器(FBR)可允许网络管理员根据网络管理员所规定的网络策略来实现数据包的转发和路由。FBR可允许网络管理员实现有选择性地通过网络中的指定路径对数据包进行路由的策略。FBR也可以用来确保特定类型的数据包当它们被路由时接受有区别的、优选的业务。常规路由器可以根据可用的路由信息将数据包转发到它们的目的地址。与仅仅根据目的地址来进行路由不同的是，FBR允许网络管理员实现路由策略，以根据多种其他的标准来接受或拒绝数据包，这些其他的标准包括：应用、协议、数据包大小以及终端系统的身份。

数据包过滤器可以对网络层中的数据进行操作，以保护所信任的网络免于受到来自不信任的网络的攻击。例如，数据包过滤器检查传输控制协议/互联网协议(TCP/IP)包头的字段，包括协议类型、互联网协议(IP)的源地址和目的地址、源端口号和目的端口号。数据包过滤器的缺点是速度慢、而且对具有复杂安全策略的大型网络的管理很困难。

代理服务器可以对应用层中承载的数据进行操作，从而将所信任的网络和不信任的网络隔离开来。在一个应用代理服务器中，可以建立两条传输控制协议(TCP)连接：一条连接在数据包源服务器和代理服务器之间，另一条连接在代理服务器和数据包目的服务器之间。应用代理服务器可以以目的服务器的名义接收到来的数据包。应用数据可以由代理服务器来组装和检验，而第二条TCP连接在代理服务器和目的服务器之间可以是开放的，从而将已接受的数据包中继转发到目的服务器。代理服务器可能很慢，因为在应用层中检查数据包需要附带的协议栈开销。此外，由于对于每个应用可能需要一个唯一的代理服务器，代理服务器的实现可能会很复杂，且很难加以修改以支持新的应用。另外，由于代理服务器仅检验应用数据包，因此代理服务器不可能在TCP或网络层上检测到试图发起的网络安全侵入。

发明内容

本发明提供了用于检查数据包的方法和设备。

在第一个方面，提供了用于检查数据包的方法。该方法可包括：配置一个初级安全系统以处理数据包，其中这个初级安全系统可被操作以保持一组设备的流信息，以便于处理数据包；指定一个当发生故障事件时用于处理数据包的次级安全系统；并且将来自初级安全系统的流记录与次级安全系统共享。

在第二个方面，提供了一种系统。该系统可包括一个第一设备。这个第一设备可包括一个第一安全装置、一个可操作以保持与从一个计算机网络接收到的数据包相关联的流信息的第一模块、以及一个可操作以允许与一个第二设备交换流记录的通信接口。所述第一模块还可操作以将对于设备特定的流信息与第一安全设备共享。

在第三个方面，提供了一种用于检查数据包的系统。该系统可包括一个初级安全设备，这个初级安全设备可操作以接收和处理数据包。所述初级安全设备可包括用于保持包含在初级安全设备内的一组设备的流信息的装置。一个次级设备可操作以当发生故障事件时处理初级安全设备的数据包。所述次级安全设备还包括用于在一组设备之间共享信息的装置。该系统还包括用于将来自初级安全设备的流记录与次级安全设备共享的装置。

本发明的一个或多个实施例的细节在附图和下面的说明中描述。本发明的其他特征和优点通过说明书、附图和权利要求变得更为清楚。

附图说明

图1示出了包括一个会话模块的网络拓扑图。

图2示出了所述会话模块的框图。

图3示出了流表的结构。

图4示出了描述所述会话模块的操作的流程图。

图5示出了描述所述会话分类的流程图。

图6示出了由所述会话模块生成的准重新组装信息。

图7示出了所述会话模块包含在一个防火墙中的情况下的网络拓扑图。

图8示出了所述会话模块与防火墙、IPS和路由器协同工作时的网络拓扑图。