[发明专利]一种双重监测安全控制方法及系统

说明书

本发明公开了一种双重监测安全控制方法及系统，包括小型防火墙装置和综合流量分析装置，其中所述小型防火墙装置包括交换单元和中央处理单元。所述交换单元对于业务网络中的基本数据报文直接转发，将可疑数据报文复制到中央处理单元；中央处理单元与本地预设的数据库进行比较，将与本地预设的数据库不匹配的数据报文发往综合流量分析装置，下发访问控制列表到交换单元，进行安全控制；所述综合流量分析装置接收上传的数据报文，与本地预设的数据库进行比较，下发对应的访问控制列表到交换单元进行安全控制。本发明对经过小型防火墙装置的流量进行双重监测，安全可靠，即使小型防火墙装置的CPU故障，也不影响正常业务流的通信。

技术领域

本发明属于网络安全技术领域，尤其涉及一种双重监测安全控制方法及系统。

背景技术

随着互联网技术的发展，网络已经延伸到千家万户，网络安全也越来越显得重要。特别是一些网络中的服务器，访问流量大，特别容易受到攻击，从而对整个网络造成伤害。

为了防止攻击，在很多大型的专业网络中，例如在视频监控网络中，会在监控业务服务器前端增加一个小型的防火墙装置，进行基于白名单的流量过滤。典型的做法是，初始只放开注册通道，终端可以进行正常的注册，服务器认可注册之后，通知该小型的防火墙装置放开针对该终端的后续业务数据通道。

然而，上述方案存在如下问题：由于所有流量的转发压力均由该小型的防火墙装置的CPU承担，而CPU是不稳定的，所以该小型的防火墙装置一旦故障，很容易导致通道瘫痪，影响业务通信。

发明内容

本发明的目的是提供一种双重监测安全控制方法及系统，用于解决现有技术CPU不稳定容易导致通道瘫痪，影响业务通信的技术问题。

为了实现上述目的，本发明技术方案如下：

一种双重监测安全控制系统，用于对业务网络中的服务器进行安全控制，所述双重监测安全控制系统包括设置于所述服务器前端的小型防火墙装置，以及与所述小型防火墙装置网络连接的综合流量分析装置，其中：

所述小型防火墙装置包括交换单元和中央处理单元；

所述交换单元接收流经的数据报文，识别数据报文的类型，对于业务网络中的基本数据报文，直接转发到所连接的服务器，而将非基本数据报文作为可疑数据报文复制到中央处理单元；

所述中央处理单元接收到可疑数据报文后，与本地预设的数据库进行比较，将与本地预设的数据库不匹配的数据报文发往综合流量分析装置，下发访问控制列表到交换单元，通知交换单元丢掉与中央处理单元本地预设的数据库匹配的数据报文；

所述综合流量分析装置接收业务网络中小型防火墙装置上传的数据报文，与本地预设的数据库进行比较，确定数据报文是否合法，通过所述小型防火墙装置的中央处理单元下发对应的访问控制列表到交换单元；

所述交换单元根据中央处理单元下发的访问控制列表，对数据报文进行安全控制。

本发明所述中央处理单元接收到可疑数据报文后，还可以将数据报文全部发往综合流量分析装置。

本发明所述综合流量分析装置接收业务网络中各小型防火墙装置上传的数据报文，与本地预设的数据库进行比较，确定数据报文是否合法，通过所述中央处理单元下发对应的访问控制列表到交换单元，包括：

当数据报文与本地预设的数据库匹配时，确定该数据报文为非法，通过所述中央处理单元下发访问控制列表到交换单元，丢弃该数据报文；

当数据报文与本地预设的数据库不匹配时，确定该数据报文为合法，通过所述中央处理单元下发访问控制列表到交换单元，允许该数据报文通过。

本发明所述交换单元在不能将可疑数据报文复制到中央处理单元时，允许对应的可疑数据报文通过。