[发明专利]一种安全网关联动防护机制、协议及模块

说明书

本发明提出了一种安全网关联动防护机制、协议及模块，属于网络空间安全领域。本发明首先网元根据联动防护请求协议和联动防护应答协议进行通信，然后安全网关或安全管理系统中执行联动防护功能，最后通过安全网关之间的通信、阻断请求、阻断应答、通信流量阻断、研判、溯源等过程，完成对网络攻击的阻断，起到对服务器和网络进行防护的机制。本发明利用了安全网关之间的互联控制协议的特点，可进行攻击分组的溯源；采用了攻击阻断转移策略，可以分散攻击阻断的任务，平衡安全网关的负载，起到联合防护的作用。

技术领域

本发明属于网络空间安全领域，涉及一种安全网关联动防护机制、协议及模块。

背景技术

目前网络攻击为了隐蔽攻击者，常采用源地址欺骗手段，伪造网络分组，经过一个不真实的路径，攻击目标网络或服务器，导致防护者难以确定攻击者的位置、攻击路径等。而在互联网络中，骨干网络不承担网络攻击分组的检测，放任假源地址的嵌入。

随着国家对天地一体化网络启动研究开发建设，天地一体化网络总体方案中融入了信息安全保障的思想和机制，不再采用外部补丁方式保护网络。这种新型的天地一体化网络信息安全保障体系嵌入了“安全接入网关”和“网间安全互联网关”，如图1所示的网络构架，利用安全网关(包括“安全接入网关”和“网间安全互联网关”)，认证用户终端，监控网络分组，检测网络攻击，阻断异常通信分组。

在上述大的技术背景下，拟改变传统分组网络防护方式，包括不局限于在受害者附近被动防护，促进安全网关之间的互动，加强安全网关自身的攻击防护研判能力，产生一定的分组溯源能力，实现网络的主动防护和任务分散，平衡安全网关的负载。

发明内容

针对目前存在的问题和需求，本发明提出了一种安全网关联动防护机制、协议及模块，通过本发明，安全网关自身可以实现安全网关之间相互信息通信，通过对攻击路径判断，部署多安全网关联合防护，突破传统单一安全网关防护攻击的单薄环节，使多个安全网关分担攻击阻断任务，从源头上开始遏制网络攻击的繁衍，极大化防护能力。

本发明提供的安全网关联动防护协议，是安全网关之间或者安全网关与安全管理系统之间的通信协议。安全网关联动防护协议包括联动防护请求协议和联动防护应答协议。

联动防护请求协议包括IP包头、UDP包头和CA信息三部分。其中，CA信息包括CA请求协议类型、溯源标志、阻断标志、阻断目的IP地址和阻断源IP地址，其意义分别为：

CA请求协议类型：0000：无意义；0001：请求；

溯源标志：00：不溯源；01：溯源；

阻断标志：00：不阻断；01：阻断；

阻断目的IP地址：某个IP地址，若数据包目的IP地址与阻断目的IP地址相同，则阻断该数据包。

阻断源IP地址：某个IP地址，若数据包源IP地址与阻断目的IP地址相同，则阻断该数据包。

安全网关联动防护应答协议同样包括IP包头、UDP包头和CA信息。其中，CA信息包括CA应答协议类型、溯源应答、阻断应答、阻断目的IP地址和阻断源IP地址，分别表示为：

CA应答协议类型：0002：阻断应答；0003：溯源应答；

溯源应答：00：不成功；01：成功；

阻断应答：00：不成功；01：成功。

本发明提供的安全网关联动防护控制模块，简称联防模块，包括如下子模块：通信模块、阻断请求模块、阻断应答模块、溯源模块、协议处理模块、检测研判与控制模块、阻断模块以及联动防护管理模块。所述的联防模块被设置在安全网关和安全管理系统中。