[发明专利]一种路由交换设备内生安全动态防护功能的处理方法

说明书

本发明公开了一种路由交换设备内生安全动态防护功能的处理方法，依靠路由交换设备内部的交换芯片与多核处理器实现安全防护，包括：对报文2‑7层内容进行检测和识别，根据分类结果实施精细化安全控制策略；交换芯片针对报文2‑4层完成报文过滤和攻击防御功能；多核处理器针对报文3‑7层内容进行检测，完成深度安全防御检测，并向交换芯片主动下发安全控制策略，最终由交换芯片执行完成。交换芯片与多核处理器协作，实现了报文内容的深层次检测，并能够针对性的主动执行安全控制策略，大大提升了路由交换设备主动防护能力。采用一次检测、匹配、多次复用的方式，大大减小了对系统性能的影响，避免引入部分安全防护设备导致处理性能瓶颈的风险。

技术领域

本发明涉及通信网络安全技术领域，尤其涉及一种路由交换设备内生安全动态防护功能的处理方法。

背景技术

传统的路由交换设备重点关注路由处理及数据转发等功能，仅提供很弱的安全防护功能。例如AAA认证功能仅能解决基本的用户登录访问安全问题，ACL过滤功能仅能针对报文4层及以下内容进行五元组匹配过滤。随着网络的应用规模扩大，出现了越来越多的网络攻击、数据窃取、破坏等安全问题，正是由于网络所存在的诸多不安全因素，使得网络建设和使用者必须采用相应的网络安全技术来堵塞安全漏洞，提供安全的通信服务,防火墙设备孕育而生。防火墙设备特有网络安全功能能够从不同的角度保证网络信息不受侵犯，但由于防火墙大部分都设置在网络数据流的关键路径上，通过访问控制的方式来将系统内部与外部隔离开，对于恶意的代码(如木马、病毒、缓冲区溢出)攻击以及其它来自内部的攻击等，防火墙束手无策。加之防火墙设备大都采用被动的静态防护，系统欠缺遭受入侵攻击后快速恢复能力。

在早期网络安全部署中，路由交换设备与防火墙设备串接在网络中是一种比较常见的安全防护措施，这样分离式的安全防护部署能够在一定程度上具备较全面的防护能力，但在基于应用层的网络攻击防御、网络精细化管理、主动防御的时效性、动态策略联动方面有所欠缺，部分安全防护设备的性能瓶颈也会严重影响网络性能和效率，同时增加了网络的维护成本。因此在路由交换设备上提供内生安全动态防护功能有助于解决上述问题，是有益且必要的。

发明内容

为了解决上述问题，本发明提出一种路由交换设备内生安全动态防护功能的处理方法，在传统路由交换设备中利用交换芯片与多核处理器协作，提供一种主动防护方法，通过多核处理器并行分析业务流经过网络设备需要匹配的状态和特征，实现网络中各应用业务流高速的自动识别和分类，业务流属性与安全策略条件匹配后向交换芯片主动下发安全控制策略，以较小的转发性能损失实现主动防护功能。

本发明的一种路由交换设备内生安全动态防护功能的处理方法，依靠路由交换设备内部的交换芯片与多核处理器实现安全防护，安全防护包括：对报文2-7层内容进行检测和识别，根据分类结果实施精细化安全控制策略；交换芯片针对报文2-4层完成报文过滤和攻击防御功能；多核处理器针对报文3-7层内容进行检测，完成深度安全防御检测，并向交换芯片主动下发安全控制策略，最终由交换芯片执行完成。

进一步的，交换芯片与多核处理器采用PCIe总线连接，实现协议报文交互、交换芯片配置下发功能；交换芯片前面板业务端口数目、内部业务端口数目与多核处理器内部端口数目一致，一一对应，内部业务端口采用Serdes总线连接，实现业务报文的交互；多核处理器中控制平面与数据平面相互独立，实现设备管理与报文处理的高效并行运作。

进一步的，交换芯片针对报文2-4层完成包括ACL基于五元组的过滤及控制、防DoS攻击和防CPU攻击的功能；多核处理器针对报文3-7层内容完成自动识别和分类，报文属性与安全策略条件匹配后向交换芯片主动下发安全控制策略，交换芯片执行包括转发、丢弃和限速的安全防护功能；内生安全防护功能主要包括报文过滤及控制策略、入侵检测防御策略和访问限制策略。