[发明专利]基于机架交换机设备的网络一体化深度检测装置及方法

权利要求书

1.一种基于机架交换机设备的网络一体化深度检测装置，其特征在于，包括主控板、交换板、数据业务板、安全防护板、及互联所述主控板、交换板、数据业务板、安全防护板之间数据通信的背板；

所述主控板用于运行所有控制面协议，对其它板卡下发控制指令；

所述交换板用于将业务数据和安全监测数据在数据业务板和安全防护板之间进行调度和转发；

所述数据业务板用于业务数据交换，同时对业务数据进行初级安全筛查、检测、过滤和转发；

所述数据业务板具体采用业务转发单元获取线卡接收的外部用户业务数据，对业务数据进行一级防御检测，将检测后的安全数据转发至交换板的交换单元，同时接收交换单元转发的业务数据报文并通过查找对应转发表项将业务数据报文从对应的物理端口转发；

所述业务转发单元用于将需要转发的业务数据报文硬件封装成交换单元识别的报文格式进行数据交换，并且对业务数据进行粗粒度的流量清洗和转发；

所述业务转发单元具体对L2-L4层字段进行流量清洗，包括主动攻击防御、安全访问控制、深度检测预判；

所述主动攻击防御具体对疑似攻击报文的数据流在设定统计周期内进行个数统计，在统计周期结束时与设定阈值进行比较；若超过设定阈值则判定为攻击报文，在间隔周期内对该类型的业务数据报文进行丢弃；否则判定为安全报文，将业务数据报文转发至交换单元进行对应的查表转发；

所述安全访问控制具体为根据可配置的KEY值过滤报文流进行ACL控制访问；

所述深度检测预判具体为根据配置的安全策略过滤列表对数据流量进行前期预判筛查，将数据直接送到安全防护板进行防护检测；

所述安全防护板用于对业务数据进行深度检测和安全防护。

2.根据权利要求1所述的基于机架交换机设备的网络一体化深度检测装置，其特征在于，所述交换板具体采用交换单元进行业务数据转发，所述交换单元内置交换矩阵模块，在需要进行二级防御检测时将业务数据报文转发至安全防护板，在不需要进行二级防御检测时通过解析业务数据报文的报文头查找对应路由表项，将业务数据分发到对应的数据业务板进行跨板转发。

3.根据权利要求1所述的基于机架交换机设备的网络一体化深度检测装置，其特征在于，所述安全防护板具体采用安全防护单元进行二级防御检测，所述安全防护单元包括多组处理芯片和一组第二交换芯片；

所述处理芯片用于并行处理各类业务数据报文的深度防护检测；

所述第二交换芯片用于将需要在处理芯片和交换单元之间转发的业务数据报文硬件封装和解封成处理芯片和交换单元识别的报文格式。

4.根据权利要求3所述的基于机架交换机设备的网络一体化深度检测装置，其特征在于，所述安全防护单元内置深度包检测模块，采用行为分析、合法流量识别、特征识别过滤、异常流量基线学习、动态指纹识别、反向探测方法对非法入侵、畸形报文攻击、扫描窥探攻击、泛洪或流量型攻击的L2-L7层所有字段的攻击报文进行深度安全检测。

5.一种应用权利要求1至4任一所述深度检测装置的方法，其特征在于，包括以下步骤：

S1、利用数据业务板的业务转发单元获取对应线卡接收的外部用户业务数据；

S2、利用业务转发单元解析数据报文，通过查询本地访问控制列表进行一级防御检测，并将一级防御检测的安全数据转发至交换板的交换单元；

S3、利用交换单元根据用户配置对业务数据报文进行转发；若需要进行二级防御检测，则将业务数据报文转发至安全防护板，进行步骤S4；若不需要进行二级防御检测，则通过解析业务数据报文的报文头查找对应路由表项，将业务数据报文分发到对应的业务转发单元，进行步骤S6；

S4、利用安全防护板的安全防护单元接收交换单元转发的业务数据报文，并对业务数据报文进行二级防御检测，并将二级防御检测的安全数据转发至交换板的交换单元；

S5、利用交换单元接收安全防护单元转发的业务数据报文，并将业务数据报文转发至业务转发单元；

S6、利用业务转发单元接收交换单元转发的业务数据报文，并查找对应转发表项，将业务数据报文从对应的物理端口转发。