[发明专利]一种双重监测安全控制方法及系统

权利要求书

1.一种双重监测安全控制系统，用于对业务网络中的服务器进行安全控制，其特征在于，所述双重监测安全控制系统包括设置于所述服务器前端的小型防火墙装置，以及与所述小型防火墙装置网络连接的综合流量分析装置，其中：

所述小型防火墙装置包括交换单元和中央处理单元；

所述交换单元接收流经的数据报文，识别数据报文的类型，对于业务网络中的基本数据报文，直接转发到所连接的服务器，而将非基本数据报文作为可疑数据报文复制到中央处理单元；

所述中央处理单元接收到可疑数据报文后，与本地预设的数据库进行比较，将与本地预设的数据库不匹配的数据报文发往综合流量分析装置，下发访问控制列表到交换单元，通知交换单元丢掉与中央处理单元本地预设的数据库匹配的数据报文；

所述综合流量分析装置接收业务网络中小型防火墙装置上传的数据报文，与本地预设的数据库进行比较，确定数据报文是否合法，通过所述小型防火墙装置的中央处理单元下发对应的访问控制列表到交换单元，还将对应的访问控制列表同步给业务网络中的其他所有小型防火墙装置；

所述交换单元根据中央处理单元下发的访问控制列表，对数据报文进行安全控制。

2.如权利要求1所述的双重监测安全控制系统，其特征在于，所述中央处理单元接收到可疑数据报文后，将数据报文发往综合流量分析装置。

3.如权利要求1所述的双重监测安全控制系统，其特征在于，所述综合流量分析装置接收业务网络中各小型防火墙装置上传的数据报文，与本地预设的数据库进行比较，确定数据报文是否合法，通过所述中央处理单元下发对应的访问控制列表到交换单元，包括：

当数据报文与本地预设的数据库匹配时，确定该数据报文为非法，通过所述中央处理单元下发访问控制列表到交换单元，丢弃该数据报文；

当数据报文与本地预设的数据库不匹配时，确定该数据报文为合法，通过所述中央处理单元下发访问控制列表到交换单元，允许该数据报文通过。

4.如权利要求1所述的双重监测安全控制系统，其特征在于，所述交换单元在不能将可疑数据报文复制到中央处理单元时，允许对应的可疑数据报文通过。

5.一种双重监测安全控制方法，用于对业务网络中的服务器进行安全控制，其特征在于，所述业务网络还包括设置于所述服务器前端的小型防火墙装置，以及与所述小型防火墙装置网络连接的综合流量分析装置，所述小型防火墙装置包括交换单元和中央处理单元，所述双重监测安全控制方法，包括：

所述交换单元接收流经的数据报文，识别数据报文的类型，对于业务网络中的基本数据报文，直接转发到所连接的服务器，而将非基本数据报文作为可疑数据报文复制到中央处理单元；

所述中央处理单元接收到可疑数据报文后，与本地预设的数据库进行比较，将与本地预设的数据库不匹配的数据报文发往综合流量分析装置，下发访问控制列表到交换单元，通知交换单元丢掉与中央处理单元本地预设的数据库匹配的数据报文；

所述综合流量分析装置接收业务网络中小型防火墙装置上传的数据报文，与本地预设的数据库进行比较，确定数据报文是否合法，通过所述小型防火墙装置的中央处理单元下发对应的访问控制列表到交换单元，还将对应的访问控制列表同步给业务网络中的其他所有小型防火墙装置；

所述交换单元根据中央处理单元下发的访问控制列表，对数据报文进行安全控制。

6.如权利要求5所述的双重监测安全控制方法，其特征在于，所述中央处理单元接收到可疑数据报文后，将数据报文发往综合流量分析装置。

7.如权利要求5所述的双重监测安全控制方法，其特征在于，所述综合流量分析装置接收业务网络中各小型防火墙装置上传的数据报文，与本地预设的数据库进行比较，确定数据报文是否合法，通过所述中央处理单元下发对应的访问控制列表到交换单元，包括：

当数据报文与本地预设的数据库匹配时，确定该数据报文为非法，通过所述中央处理单元下发访问控制列表到交换单元，丢弃该数据报文；

当数据报文与本地预设的数据库不匹配时，确定该数据报文为合法，通过所述中央处理单元下发访问控制列表到交换单元，允许该数据报文通过。

8.如权利要求5所述的双重监测安全控制方法，其特征在于，所述交换单元在不能将可疑数据报文复制到中央处理单元时，允许对应的可疑数据报文通过。