CN101115010A - 扩展安全系统的方法、安全系统及安全处理设备 - Google Patents

扩展安全系统的方法、安全系统及安全处理设备 Download PDF

Info

Publication number
CN101115010A
CN101115010A CNA2007101213363A CN200710121336A CN101115010A CN 101115010 A CN101115010 A CN 101115010A CN A2007101213363 A CNA2007101213363 A CN A2007101213363A CN 200710121336 A CN200710121336 A CN 200710121336A CN 101115010 A CN101115010 A CN 101115010A
Authority
CN
China
Prior art keywords
processing device
message
safety
unit
safety processing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CNA2007101213363A
Other languages
English (en)
Other versions
CN101115010B (zh
Inventor
安万全
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Ziguang Communication Technology Group Co ltd
Original Assignee
Hangzhou H3C Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou H3C Technologies Co Ltd filed Critical Hangzhou H3C Technologies Co Ltd
Priority to CN2007101213363A priority Critical patent/CN101115010B/zh
Publication of CN101115010A publication Critical patent/CN101115010A/zh
Priority to PCT/CN2008/072016 priority patent/WO2009033388A1/zh
Priority to US12/676,503 priority patent/US8713663B2/en
Application granted granted Critical
Publication of CN101115010B publication Critical patent/CN101115010B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Alarm Systems (AREA)

Abstract

本发明公开了一种扩展安全系统的方法,通过在组成安全系统的各安全处理设备中进一步包括连接单元;收到外部报文的安全处理设备,确定所在安全系统内处理所述收到报文的安全处理设备;在自身不为当前所确定的安全处理设备时,将当前外部报文作为待处理报文通过自身的连接单元将其发送至所确定的安全处理设备,所述所确定的安全处理设备通过自身的连接单元接收所述待处理报文,并处理该报文;在自身为当前所确定的安全处理设备时,自身处理该报文。另外,本发明还提供了安全系统以及安全处理设备。本发明所提供的技术方案,通过各安全处理设备之间的数据交互,实现了各安全处理设备的资源共享,从而实现真正意义上提高扩展后的安全系统的性能。

Description

扩展安全系统的方法、安全系统及安全处理设备
技术领域
本发明涉及网络通信技术,尤指一种扩展安全系统的方法、一种安全系统以及可用于扩展的安全处理设备。
背景技术
互联网是一个世界范围内共享的网络资源,各种各样的信息都在相同的介质上传输。因此对用户敏感数据的保护是一个不容忽视的问题,尤其在军事、银行等一些机密要求很高的应用场景下,数据的安全性尤为重要。参见图1,图1为现有技术中安全处理设备的结构图示意图,包括处理单元和主控单元构成。其中,处理单元由接口处理单元和业务处理单元组成,接口处理单元对外可以存在一个或多个接口,用于接收报文,并发送经业务处理单元处理后的报文。业务处理单元接收接口处理单元发送的报文并进行业务处理,通过接口处理单元发送处理后的报文。主控单元主要用于管理、控制接口处理单元以及业务处理单元。
随着日益猖獗的病毒、攻击以及滥用所引发的安全问题,安全处理设备需要处理越来越多的安全业务。随着安全业务的不断增加,单个安全处理设备的处理能力已经无法满足需求。为了满足日益增长的网络安全需求,安全处理设备将希望寄托在扩展上。扩展就是将原来的两台或多台安全处理设备组合成一个安全系统,通过处理性能上的提升处理日益增加的安全问题。
参见图2,图2为现有技术安全系统的扩展示意图。按照如图1所示的安全系统,各安全处理设备之间没有数据交互。由于现有技术中的扩展只是将安全处理设备在物理位置上放置在一起,并没有实现安全处理设备之间的数据交互,导致各安全处理设备各自独立处理报文、以及收/发报文,无法实现各安全处理设备之间的资源共享、协作处理。
例如,在安全处理设备A连接外网1和内网1,安全处理设备B连接外网2和内网2的情况下,为了实现将从外网1收到的报文经处理后发送至内网2的目的,需要在扩展后的安全系统外加一台交换机,用于实现内网1和内网2之间的通信。这样报文就可以从外网1进入安全处理设备A,经过安全处理设备A的处理,通过内网1以及新加的交换机进入内网2。又如,在安全处理设备A当前待处理的报文较多,存在许多报文等待被处理,由于安全处理设备A和安全处理设备B各自独立工作,因此当前较空闲的安全处理设备B无法协助安全处理设备A进行处理,较大的影响了整个安全系统的处理性能,使安全系统的处理性能局限于单个安全处理设备的处理性能上。综上所述,现有技术中这种安全系统扩展方式没有从真正意义上提高扩展后安全系统的性能。
发明内容
有鉴于此,本发明提供了一种扩展安全系统的方法,该方法能够使扩展后的安全系统相对于现有的安全系统具有较高的性能。
为达到上述目的,本发明的技术方案是这样实现的:
一种扩展安全系统的方法,组成所述安全系统的各安全处理设备中进一步包括连接单元;该方法包括以下步骤:
收到外部报文的安全处理设备,确定所在安全系统内处理所述收到报文的安全处理设备;
在自身不为当前所确定的安全处理设备时,将当前外部报文作为待处理报文通过自身的连接单元将其发送至所确定的安全处理设备,所述所确定的安全处理设备通过自身的连接单元接收所述待处理报文,并处理该报文;
在自身为当前所确定的安全处理设备时,自身处理该报文。
另外,本发明又提供了一种安全系统,该安全系统具有比现有安全系统较高的性能。
为达到上述目的,本发明的技术方案是这样实现的:
一种安全系统,包括多个包含连接单元的安全处理设备;
其中,收到外部报文的安全处理设备,确定所在安全系统内处理所述收到报文的安全处理设备;在自身不为当前所确定的安全处理设备时,将当前外部报文作为待处理报文通过自身的连接单元发送至所确定的安全处理设备;在自身为当前所确定的安全处理设备时,自身处理该报文;
所述所确定的安全处理设备通过自身的连接单元接收所述待处理报文,并处理该报文。
再者,本发明还提供了可用于扩展的安全处理设备,本发明所提供的安全处理设备可用于扩展安全系统,使扩展后的安全系统相对于现有安全系统具有较高的性能。
为达到上述目的,本发明的技术方案是这样实现的:
本发明提供了一种可用于扩展的安全处理设备,该设备包括连接单元、至少一个接口单元、和至少一个业务处理单元;其中,任意一个接口单元通过所述连接单元与任意一个业务处理单元相连;
所述接口单元在收到来自所在安全系统外部的报文后,确定所在安全系统内处理所述收到报文的业务处理单元,将所述收到报文作为待处理报文。发送所述待处理报文和描述当前所选业务处理单元的处理指示至连接单元;
所述连接单元从接口单元收到所述待处理报文以及对应的处理指示;根据所述处理指示指示的业务处理单元,在所确定的业务处理单元位于其它安全处理设备内时,将所述待处理报文及对应的处理指示发送至所指示的业务处理单元所在的安全处理设备,由该业务处理单元处理所述待处理报文;在所确定的业务处理单元位于自身所在安全处理设备内时,根据所对应的处理指示将所述待处理报文发送至所确定的业务处理单元;
所述业务处理单元处理收到的待处理报文。
另外,本发明又提供了一种可用于扩展的安全处理设备,该设备包括连接单元、和至少一个接口单元;其中,任意一个接口单元与所述连接单元相连;
所述接口单元在收到来自所在安全系统外部的报文后,确定所在安全系统内处理所述收到报文的业务处理单元,将所述收到报文作为待处理报文,发送所述待处理报文和描述当前所选业务处理单元的处理指示至连接单元;
所述连接单元从接口单元收到所述待处理报文以及对应的处理指示;根据所述处理指示,将所述待处理报文及对应的处理指示发送至所指示的业务处理单元所在的安全处理设备,由该业务处理单元处理所述待处理报文。
再者,本发明还提供了一种可用于扩展的安全处理设备,该设备包括连接单元和至少一个业务处理单元;
所述连接单元从其它安全处理设备收到待处理报文以及对应的处理指示;根据所述处理指示指示的业务处理单元,将所述待处理报文及对应的处理指示发送至所指示的业务处理单元;
所述业务处理单元处理收到的待处理报文。
本发明所提供的一种扩展安全系统的方法,通过在组成安全系统的各安全处理设备中进一步包括连接单元;收到外部报文的安全处理设备,确定所在安全系统内处理收到报文的安全处理设备;在自身不为当前所确定的安全处理设备时,将当前外部报文作为待处理报文通过自身的连接单元将其发送至所确定的安全处理设备,所确定的安全处理设备通过自身的连接单元接收待处理报文,并处理该报文;在自身为当前所确定的安全处理设备时,自身处理该报文。本发明的技术方案中提供了一种安全系统、以及可用于扩展的安全处理设备。本发明所提供的技术方案,通过各安全处理设备之间的数据交互,实现了各安全处理设备的资源共享,从而实现真正意义上提高扩展后的安全系统的性能。
其中,本发明所提供的安全处理设备可以是包括接口单元、或包括业务处理单元、或包括接口单元和业务处理单元。因此,本发明的安全处理设备向安全系统提供了多种扩展的可能。在仅需要扩展接口,则可以使用仅包括接口单元的安全处理设备;在仅需要增加处理能力,则可以使用仅包括业务处理单元的安全处理设备,这样能够充分节约系统资源,针对安全系统的扩展需求在安全系统中增加相应的设备。
附图说明
图1为现有技术中的安全处理设备结构图;
图2为现有技术中的安全系统结构图;
图3为本发明中的安全系统的基本结构图;
图4本发明中第一实施例的安全系统结构图;
图5为本发明中第二实施例的安全系统结构图;
图6为本发明中第三实施例的安全系统结构图。
具体实施方式
在本发明的技术方案中,通过各安全处理设备之间的数据交互,实现各安全处理设备之间的资源共享,从而实现真正意义上提高扩展后的安全系统的性能。本发明的方法的总体流程为,组成安全系统的各安全处理设备中进一步包括连接单元;该方法包括以下步骤:收到外部报文的安全处理设备;确定所在安全系统内处理收到报文的安全处理设备;在自身不为当前所确定的安全处理设备时,将当前外部报文作为待处理报文通过自身的连接单元将其发送至所确定的安全处理设备,所确定的安全处理设备通过自身的连接单元接收待处理报文,并处理该报文;在自身为当前所确定的安全处理设备时,自身处理该报文。
参见图3,图3为本发明中安全系统的基本结构图,包括多个包含连接单元的安全处理设备。其中,收到外部报文的安全处理设备,确定所在安全系统内处理收到报文的安全处理设备;在自身不为当前所确定的安全处理设备时,将当前外部报文作为待处理报文通过自身的连接单元发送至所确定的安全处理设备;在自身为当前所确定的安全处理设备时,自身处理该报文。所确定的安全处理设备通过自身的连接单元接收待处理报文,并处理该报文。
例如,在当前安全系统存在两个安全处理设备A和B,安全处理设备A内的处理单元在收到报文后,确定该报文需要由安全处理设备B进行处理,安全处理设备A的处理单元则将该报文通过连接单元发送给安全处理设备B,由安全处理设备B内的处理单元进行处理;当需要由安全处理设备A处理,则安全处理设备A自身处理收到的报文。这里的外部报文是指外界发送给安全系统的报文。
在本发明的技术方案中,各安全处理设备均会连接自身对应的网段,用来接收、处理来自该网段的报文,以及向该网段发送报文。在处理安全处理设备处理完收到报文后,还需要发送该处理后报文时,可以根据该待发送报文的目的IP地址确定发送所述待发送报文的安全处理设备。在自身不为当前所确定的安全处理设备时,将所述待发送报文通过自身的连接单元发送至所确定的安全处理设备;所述所确定的安全处理设备通过自身的连接单元接收所述待发送报文,并根据该报文的目的IP发送该报文。在自身为当前所确定的安全处理设备时,自身根据所述待发送报文的目的IP发送该报文。
由于本发明的安全系统是由多个安全处理设备组成,因此为了提高报文的处理效率,可以由一个安全处理设备处理一类的报文。在本发明中,将一种类型的报文称为一种业务流。在本发明的技术方案中,可以根据各安全处理设备的处理能力确定处理具体业务流的安全处理设备。在确定处理具体业务流的安全处理设备时,可以在收到该业务流对应流首包时,进行确定。
在本发明所提供的方法中,为了实现对各安全处理设备的统一管理,进而有效的提高安全系统的性能,可以将安全系统中的一个安全处理设备作为主控安全处理设备、其他的作为附属安全处理设备。由主控安全处理设备根据自身以及各附属安全处理设备的处理能力,确定处理具体业务流的安全处理设备。
具体可以采用如下方式,安全处理设备在从外部收到的报文为流首包时,依据所述主控安全处理设备的选择,确定处理当前报文的安全处理设备,并记录所述主控安全处理设备选择的处理当前报文对应业务流的安全处理设备。安全处理设备从外部收到的报文为非流首包时,在自身记录的安全处理设备中查找处理该报文对应业务流的安全处理设备,将查找得到的安全处理设备作为处理当前报文的安全处理设备。
其中,安全处理设备的组成形式可以是以下三种形式构成,其中第一种为:处理单元包括连接单元、至少一个接口单元和至少一个业务处理单元,其中任意一个接口单元通过连接单元与任意一个业务处理单元相连;其中第二种为:处理单元包括连接单元、以及至少一个接口单元,其中任意一个接口单元与连接单元相连;第三种是,处理单元包括连接单元、以及至少一个业务处理单元,其中任意一个业务处理单元与连接单元相连。另外,在本发明的安全处理设备内还可以进一步包括主控单元和扩展控制接口单元,主要用来确定报文的业务处理单元。
下面以以上三种处理单元的组成方式为例,描述本发明的三个实施例。
参见图4,图4为本发明第一实施例的结构图。该安全系统具体包括两个安全处理设备,分别为安全处理设备一和安全处理设备二。这两个安全处理设备的结构相同,主要包括主控单元、扩展控制接口单元、连接单元、N个接口单元和N个业务处理单元。其中任意一个接口单元通过连接单元与任意一个业务处理单元相连。当然,这里的安全处理设备一和安全处理设备二的接口单元和业务处理单元的数目也不必相等,可以是任意值,这样并不影响本发明的具体实现。
在安全处理设备一中接口单元从安全系统外部接收到报文,从安全处理设备一对该报文进行处理的角度来看。接口单元在收到来自所在安全系统外部的报文后,确定所在安全系统内处理该收到报文的业务处理单元。这里所指的安全系统内所有业务处理单元既包括安全处理设备一中的业务处理单元1~N,同样也包括安全处理设备二中的业务处理单元N+1~2N。该接口单元将报文、以及描述当前所选业务处理单元的处理指示发送至连接单元。连接单元根据收到的处理指示,确定所选的业务处理单元位于自身所在安全处理设备内时,将与该处理指示对应的报文发送至所选处理该报文的业务处理单元处理,例如①号信号流。在图4中,①号信号流表示报文从安全处理设备一中的接口单元1收到,通过连接单元发送至安全处理设备一中的业务处理单元1内进行处理;在处理完成后,业务处理单元1通过安全处理设备一内的连接单元将处理后的报文发送至接口单元1,接口单元1将报文发送出去。
连接单元根据处理指示对应的业务处理单元,将报文以及处理指示发送至该业务处理单元对应的安全处理设备。由该安全处理设备对应的业务处理单元进行处理,例如在图4中的②和③号信号流。
在图4中,②号信号流表示报文从安全处理设备一中的接口单元2收到,通过安全处理设备一和安全处理设备中的连接单元,发送至安全处理设备二中的业务处理单元N+1内进行处理;在处理完成后,业务处理单元N+1通过安全处理设备二内的连接单元将处理后的报文发送至安全处理设备二内的接口单元N+1,接口单元N+1将报文发送出去。③号信号流表示报文从安全处理设备一中的接口单元2收到,通过安全处理设备一和安全处理设备二中的连接单元,发送至安全处理设备二中的业务处理单元N+1内进行处理;在处理完成后,业务处理单元N+1通过安全处理设备二内的连接单元将处理后的报文发送至安全处理设备一内的接口单元N,接口单元N将报文发送出去。
这里,本发明所描述的处理指示可以是对应业务处理单元的MAC地址。如果处理指示是业务处理单元的MAC地址的话,安全处理设备内的连接单元可以通过维护自身的转发表,根据业务处理单元的MAC地址,将当前待处理的报文发送至对应的业务处理单元进行处理。
在安全处理设备二接收并处理安全处理设备一发送的报文的角度来看。安全处理设备二中的连接单元接收安全处理设备一发送的需要处理的报文和描述处理该报文的业务处理单元的处理指示,根据该处理指示描述的内容将该报文发送至处理该报文的业务处理单元。例如在图4中所示的②和③号信号流。
在安全处理设备二中的业务处理单元处理完安全处理设备一发送过来的报文后,依据当前待发送报文的IP地址确定发送该报文的接口单元,将处理完的报文以及描述该接口单元的发送指示发送给连接单元。连接单元接收从业务处理单元发送的报文以及发送指示,根据发送指示,在确定发送指示描述的接口单元不在自身所在安全处理设备内时,根据发送指示对应的业务处理单元,将报文以及发送指示发送至该业务处理单元所在的安全处理设备二,如图4中所示的③号信号流。在确定发送指示描述的接口单元在自身所在安全处理设备内时,将报文以及发送指示发送至该接口单元发送,如图4中所示的②和③号信号流。
这里,根据当前待发送报文的IP地址确定发送该报文的接口单元,可以是根据业务处理单元自身保存的转发表来确定。该转发表中记录着将该报文发送至目的IP地址的接口单元。该转发表可以是预先配置、也可以是学习得到。
另外,上面描述的发送指示可以是该接口单元的MAC地址。那么,相应的连接单元需要维护自身的MAC地址转发表,根据发送当前待发送报文的接口单元的MAC地址,将该报文发送至该接口单元。
安全处理设备一中的连接单元接收安全处理设备二处理完的报文,以及描述发送该的发送指示,并将其发送至连接单元。连接单元将收到的报文发送至发送指示所描述的接口单元,该接口单元发送收到的报文,如上面所描述的③号信号流。
在本实施例中,接口单元确定处理当前收到报文的业务处理单元的具体实现,可以借助设备中的主控单元和扩展控制接口单元,具体可以采用如下技术方案。在以下描述的技术方案中,以安全处理设备一中的接口单元1接收到报文为例进行介绍。在安全处理设备一中接口单元1收到的报文为流首包时,接口单元1请求安全处理设备一中的主控单元指示处理该收到报文对应业务流的业务处理单元;并将安全处理设备一中的主控单元指示的业务处理单元作为处理所述收到报文的业务处理单元,并记录处理该报文对应业务流的业务处理单元。在收到报文为非流首包,接口单元查找自身记录的处理该报文对应业务流的安全处理设备,将查找得到的安全处理设备作为处理当前报文的安全处理设备。
在安全处理设备一为主控安全处理设备时,安全处理设备一中的主控单元接收接口单元1发送的请求,为收到报文对应的业务流选择处理该业务流的业务处理单元、并向接口单元1指示所选业务处理单元。
在安全处理设备一不为主控安全处理设备时,则表明在图4所示的安全系统结构中,安全处理设备二为主控安全处理设备。则安全处理设备一中的主控单元向扩展控制接口单元发送处理所述收到报文对应业务流的请求,并将所述扩展控制接口单元返回的指示发送至接口单元1。
安全处理设备一中的扩展控制接口单元接收安全处理设备一中主控单元发送的指示,向安全系统内的主控安全处理设备二发送处理所述收到报文对应业务流的请求;并将该请求对应的指示发送给所述主控单元。
从安全处理设备二当前确定安全处理设备的过程来看,安全处理设备二中的扩展控制接口单元接收安全处理设备一发送的选择业务处理单元的请求,并将该请求发送至所述主控单元;接收主控单元返回的指示,并将该指示返回给对应的安全处理设备一。安全处理设备二中的主控单元接收从扩展控制接口单元发送的请求,为当前收到报文的业务流选择处理该业务流的业务处理单元,并向扩展控制接口单元指示所选业务处理单元。
这里,安全处理设备二中的主控单元选择处理当前报文的业务处理单元可以采用如下技术方案:安全处理设备一和安全处理设备二中的业务处理单元定期向自身所在的主控单元上报包含自身处理能力的状态信息。安全处理设备一中的主控单元,定期将收集到的业务处理单元的状态信息,通过扩展控制接口单元发送给主控安全处理设备二。安全处理设备二中的主控单元接收自身业务处理单元发送的状态信息、以及从扩展控制接口单元接收安全处理设备一发送的状态信息;在选择处理业务流的业务处理单元时,在收到该业务流对应流首包时,根据各业务处理单元的处理能力选择处理业务流的业务处理单元。
图4所示的安全系统,通过将两个安全处理设备合并,通过共享各自的接口单元、以及业务处理单元,相对于原来的单个设备,提高了处理性能、共享了各自的端口,实现了真正意义上的合并。
在一些具体的应用场合中,安全系统需要扩展的有可能仅为接口数量、或者处理能力,因此为了节约资源,并不一定需要将既包括多个接口单元和多个业务处理单元的两个安全处理设备组成在一起形成一套安全系统。在仅需要增加接口数量时,可以采用图5所示的安全系统;在仅需要提高处理能力可以采用图6所示的安全系统。
参见图5,图5为本发明第二实施例中安全系统的结构图,包括安全处理设备三和安全处理设备二。其中,安全处理设备二的组成结构与对图4中所示相同,在此不再详述。安全处理设备三中包括主控单元、扩展控制接口单元、连接单元、以及多个接口单元,其中任意一个接口单元与连接单元相连。安全处理设备三中的各接口单元与主控单元相连,用于向主控单元发送包含自身处理能力的状态信息。
由于安全处理设备三中仅存在接口单元、不存在业务处理单元,因此安全处理设备三不具备处理报文的能力,仅能接收以及发送报文。具体的信号流可见参见该图上所示的③号信号流,以及第一实施例中对③号信号流的介绍。另外,确定处理当前收到报文的业务处理单元的方式,与第一实施例中介绍的技术方案相同,在此不再详述。
参见图6,图6为本发明第三实施例中安全系统的结构图,包括安全处理设备一和安全处理设备四。其中,安全处理设备一的组成结构与对图4中所示相同,在此不再详述。安全处理设备四中包括主控单元、扩展控制接口单元、连接单元、以及多个业务处理单元,其中任意一个业务处理单元通过与连接单元相连。安全处理设备四中的各业务处理单元与主控单元相连,向主控单元发送包含自身处理能力的状态信息。
由于安全处理设备四中仅存在业务处理单元、不存在接口单元,因此安全处理设备四不具备接收以及发送报文的能力,仅能处理报文。具体的信号流可见参见该图上所示的②号信号流,以及第一实施例中对②号信号流的介绍。另外,确定处理当前收到报文的业务处理单元的方式,与第一实施例中介绍的技术方案相同,在此不再详述。
根据以上图4、6和7的描述,本领域的技术人员不难根据本发明实施例所提供的安全处理设备一、安全处理设备三以及安全处理设备四组成包括三个或三个以上的各种形式的安全系统。如,由2个安全处理设备一、1个安全处理设备二组成的安全系统;由2个安全处理设备二、1个安全处理设备三组成的安全系统;以及2个安全处理设备一、1个安全处理设备三和1个安全处理设备四组成的安全系统,具体组成结构在此不再详述。
另外,在本发明的技术方案中,安全处理设备中的主控单元和扩展控制接口单元除了可以用来选择处理业务流的业务处理单元外,还可以用来对安全处理设备中的接口单元和业务处理单元进行初始化配置,例如分配地址。通常情况下,是由主控安全处理设备来控制整个初始化过程。
这里,确定主控安全处理设备的方法可以有两种,其中一种为,在组建安全系统时设置作为主控安全处理设备的安全处理设备,可以通过将用于标识安全处理设备的框号,设置为主控安全处理设备特有的框号,来提示其他安全处理设备。比如框号为0的安全处理设备为主控安全处理设备。另外一种为,在安全系统初始化过程种通过广播报文自携商主控安全处理设备。具体协商的依据可以是:每个安全处理设备可以各自生成一个随机数,各安全处理设备根据随机数的大小来决定哪个安全处理设备为主控安全处理设备。
其中,安全系统内具体的配置过程可以是:安全系统中各安全处理设备在确定的自身角色之后,附属安全处理设备中的主控单元负责收集设备内各单元物理信息,包括接口单元以及业务处理单元,并负责各单板的启动,将收集到的物理信息发送给主控安全处理设备内的主控单元。主控安全处理设备内的主控单元除了需要收到自身各单元的物理信息,还要接收其他各附属安全处理设备发送的物理信息,主控安全处理设备根据收集到的物理信息获得对应的配置信息。该获得配置信息的方法可以是交由管理员进行确定,或者有主控安全处理设备自身生成。
另外,当该安全系统内有新的接口单元和/或业务处理单元加入时,该接口单元和/或业务处理单元所在的安全处理设备中的主控单元收到该新加入的接口单元和/或业务处理单元的物理信息,在自身所在安全处理设备为主控安全处理设备时,根据物理信息得到该新加入的接口单元和/或业务处理单元的配置信息,并将配置信息发送给当前新加入的接口单元和/或业务处理单元进行初始化配置。在自身所在安全处理设备不为主控安全处理设备时,将收集的物理信息发送给主控安全处理设备,将从主控安全处理设备收到配置信息发送给当前新加入的接口单元和/或业务处理单元进行配置。当有接口单元和/或业务处理单元拔出时,主控安全处理设备需要根据当前新拔出的接口单元和/或业务处理单元处理的业务,生成配置信息,用于将该业务切换到其他接口单元和/或业务处理单元处理。
本发明的安全系统可以是防火墙、IPS系统、或者其他的L4~L7网络系统。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (23)

1.一种扩展安全系统的方法,其特征在于,组成所述安全系统的各安全处理设备中进一步包括连接单元;该方法包括以下步骤:
收到外部报文的安全处理设备,确定所在安全系统内处理所述收到报文的安全处理设备;
在自身不为当前所确定的安全处理设备时,将当前外部报文作为待处理报文通过自身的连接单元将其发送至所确定的安全处理设备,所述所确定的安全处理设备通过自身的连接单元接收所述待处理报文,并处理该报文;
在自身为当前所确定的安全处理设备时,自身处理该报文。
2.根据权利要求1所述的方法,其特征在于,该方法进一步包括:
处理所述收到报文的安全处理设备需要发送处理后报文时,将所述处理后报文作为待发送报文,根据该待发送报文的目的IP地址确定发送所述待发送报文的安全处理设备;
在自身不为当前所确定的安全处理设备时,将所述待发送报文通过自身的连接单元发送至所确定的安全处理设备,所述所确定的安全处理设备通过自身的连接单元接收所述待发送报文,并根据该报文的目的IP发送该报文;
在自身为当前所确定的安全处理设备时,自身根据所述待发送报文的目的IP发送该报文。
3.根据权利要求1或2所述的方法,其特征在于,
该方法进一步包括:确定所述安全系统中的主控安全处理设备;
所述确定所在安全系统内处理所述收到报文的安全处理设备为:
当所述从外部收到的报文为流首包时,依据所述主控安全处理设备的选择,确定处理当前报文的安全处理设备,并记录所述主控安全处理设备选择的处理当前报文对应业务流的安全处理设备;
当所述从外部收到的报文为非流首包时,在自身记录的安全处理设备中查找处理该报文对应业务流的安全处理设备,将查找得到的安全处理设备作为处理当前报文的安全处理设备。
4.根据权利要求3所述的方法,其特征在于,
所述安全处理设备中包括至少一个业务处理单元;
所述主控安全处理设备选择处理当前报文对应业务流的安全处理设备为:主控安全处理设备选择处理当前报文对应业务流的业务处理单元。
5.根据权利要求3所述的方法,其特征在于,
该方法进一步包括:所述安全处理设备内包括扩展控制接口单元;所述主控安全处理设备通过自身的扩展控制接口单元,接收不为主控安全处理设备的附属安全处理设备通过各自扩展控制接口单元发送、包含各自处理能力的状态信息;
当所述从外部收到的报文为流首包时,依据所述主控安全处理设备的选择确定处理当前报文的安全处理设备为:
所述从外部收到流首包的安全处理设备为主控安全处理设备时,由该安全处理设备根据自身以及各附属安全处理设备的处理能力,为业务流选择处理其的安全处理设备;
所述从外部收到流首包的安全处理设备为附属安全处理设备时,由安全系统中的主控安全处理设备根据自身以及各附属安全处理设备的处理能力,为业务流选择处理其的安全处理设备,并通过自身的扩展控制接口单元向当前接收所述流首包的安全处理设备指示处理所述流首包对应的安全处理设备;当前接收所述流首包的安全处理设备确定,主控安全处理设备所指示的安全处理设备为处理当前报文的安全处理设备。
6.根据权利要求3所述的方法,其特征在于,所述确定所述安全系统中的主控安全处理设备为:
所述安全系统内的各安全处理设备协商确定作为主控安全处理设备的安全处理设备;或,
根据预先的配置确定所述安全系统中的主控安全处理设备。
7.一种安全系统,其特征在于,包括多个包含连接单元的安全处理设备;
其中,收到外部报文的安全处理设备,确定所在安全系统内处理所述收到报文的安全处理设备;在自身不为当前所确定的安全处理设备时,将当前外部报文作为待处理报文通过自身的连接单元发送至所确定的安全处理设备;在自身为当前所确定的安全处理设备时,自身处理该报文;
所述所确定的安全处理设备通过自身的连接单元接收所述待处理报文,并处理该报文。
8.根据权利要求7所述的安全系统,其特征在于,
处理所述收到报文的安全处理设备需要发送处理后报文时,将所述处理后报文作为待发送报文,根据该待发送报文的目的IP地址确定发送所述待发送报文的安全处理设备;在自身不为当前所确定的安全处理设备时,将所述待发送报文通过自身的连接单元发送至所确定的安全处理设备;在自身为当前所确定的安全处理设备时,自身根据所述待发送报文的目的IP发送该报文;
所述所确定的、发送所述待发送报文的安全处理设备通过自身的连接单元接收所述待发送报文,并根据该报文的目的IP发送该报文。
9.根据权利要求7或8所述的安全系统,其特征在于,所述安全系统内的安全处理设备包括主控安全处理设备和附属安全处理设备;
所述从外部收到报文的安全处理设备,在所述收到的报文为流首包时,依据所述主控安全处理设备的选择,确定处理当前报文的安全处理设备、并记录所述主控安全处理设备选择的处理当前报文对应业务流的安全处理设备;在所述收到的报文为非流首包时,在自身记录的安全处理设备中查找处理该报文对应业务流的安全处理设备,将查找得到的安全处理设备作为处理当前报文的安全处理设备。
10.根据权利要求9所述的方法,其特征在于,所述安全处理设备内进一步包括扩展控制接口单元;
所述主控安全处理设备通过自身的扩展控制接口单元,接收附属安全处理设备通过各自扩展控制接口单元发送、包含各自处理能力的状态信息;并根据自身以及各附属安全处理设备的处理能力,为业务流选择处理其的安全处理设备;
所述从外部收到流首包的安全处理设备在自身为主控安全处理设备时,由自身选择处理该流首包对应业务流的安全处理设备;在自身为附属安全处理设备时,通过扩展控制接口单元接收所述主控安全处理设备,发送的处理当前接收报文的安全处理设备的指示。
11.一种可用于扩展的安全处理设备,其特征在于,该设备包括连接单元、至少一个接口单元、和至少一个业务处理单元;其中,任意一个接口单元通过所述连接单元与任意一个业务处理单元相连;
所述接口单元在收到来自所在安全系统外部的报文后,确定所在安全系统内处理所述收到报文的业务处理单元,将所述收到报文作为待处理报文,发送所述待处理报文和描述当前所选业务处理单元的处理指示至连接单元;
所述连接单元从接口单元收到所述待处理报文以及对应的处理指示;根据所述处理指示指示的业务处理单元,在所确定的业务处理单元位于其它安全处理设备内时,将所述待处理报文及对应的处理指示发送至所指示的业务处理单元所在的安全处理设备,由该业务处理单元处理所述待处理报文;在所确定的业务处理单元位于自身所在安全处理设备内时,根据所对应的处理指示将所述待处理报文发送至所确定的业务处理单元;
所述业务处理单元处理收到的待处理报文。
12.根据权利要求11所述的设备,其特征在于,
所述连接单元接收其它安全处理设备发送的待处理报文以及对应的处理指示,根据所述处理指示将所述待处理报文发送至对应的业务处理单元处理。
13.根据权利要求11所述的设备,其特征在于,
所述业务处理单元需要发送处理后报文时,将所述处理后报文作为待发送报文,并根据该待发送报文的目的IP地址确定发送所述待发送报文的接口单元;将所述待发送报文以及描述对应接口单元的发送指示发送至所述连接单元;
所述连接单元接收从业务处理单元发送的待发送报文以及发送指示,根据所述发送指示指示的接口单元,在所指示的接口单元不在自身所在安全处理设备内时,将所述待发送报文以及发送指示发送至所指示的接口单元所在的安全处理设备,由所确定的接口单元发送所述待发送报文;在所指示的接口单元在自身所在安全处理设备内时,将所述待发送报文发送至所指示的接口单元;
所述接口单元发送收到的待发送报文。
14.根据权利要求13所述的设备,其特征在于,
所述连接单元接收其它安全处理设备发送的待发送报文以及对应的发送指示,根据所述发送指示将当前待发送报文发送至所指示的接口单元发送。
15.根据权利要求11、12或13所述的设备,其特征在于,该设备进一步包括:主控单元和扩展控制接口单元;
所述接口单元在所述收到报文为流首包时,请求所在安全处理设备中的主控单元指示处理所述收到报文对应业务流的业务处理单元;将所述主控单元指示的业务处理单元作为处理所述收到报文的业务处理单元,并记录处理该报文对应业务流的业务处理单元;在所述收到报文为非流首包时,接口单元查找处理该报文对应业务流的业务处理单元,将查找得到的业务处理单元作为处理当前报文的业务处理单元;
所述主控单元在自身所在安全处理设备为主控安全处理设备时,接收接口单元发送的请求,为所述收到报文对应的业务流选择处理该业务流的业务处理单元、并向收到报文的接口单元指示所选业务处理单元;在自身所在安全处理设备不为主控安全处理设备时,向所述扩展控制接口单元发送处理所述收到报文对应业务流的请求,将从所述扩展控制接口单元返回的指示发送至接口单元;
所述扩展控制接口单元向所在安全系统内的主控安全处理设备发送处理所述收到报文对应业务流的请求;并将所述主控安全处理返回的、处理当前报文对应业务流的指示发送至所述主控单元。
16.根据权利要求15所述的设备,其特征在于,
所述扩展控制接口单元在所在安全处理设备为主控安全处理设备时,接收其它安全处理设备发送的选择业务处理单元的请求、并将该请求发送至所述主控单元;接收所述主控单元返回的指示,并将该指示返回给对应的安全处理设备;
所述主控单元接收从扩展控制接口单元发送的请求,为所述收到报文对应的业务流选择处理该业务流的业务处理单元、并向所述扩展控制接口单元指示所选业务处理单元。
17.根据权利要求15所述的设备,其特征在于,
所述业务处理单元定期向主控单元上报包含自身处理能力的状态信息;
所述主控单元在自身所在安全处理设备不为主控安全处理设备时,定期将收到的状态信息,通过扩展控制接口单元发送给主控安全处理设备;在自身所在安全处理设备为主控安全处理设备时,从扩展控制接口单元接收其它安全处理设备发送的状态信息,根据所在安全系统内各业务处理单元状态信息中包含的处理能力,选择处理当前流首包对应业务流的业务处理单元。
18.一种可用于扩展的安全处理设备,其特征在于,该设备包括连接单元、和至少一个接口单元;其中,任意一个接口单元与所述连接单元相连;
所述接口单元在收到来自所在安全系统外部的报文后,确定所在安全系统内处理所述收到报文的业务处理单元,将所述收到报文作为待处理报文,发送所述待处理报文和描述当前所选业务处理单元的处理指示至连接单元;
所述连接单元从接口单元收到所述待处理报文以及对应的处理指示;根据所述处理指示,将所述待处理报文及对应的处理指示发送至所指示的业务处理单元所在的安全处理设备,由该业务处理单元处理所述待处理报文。
19.根据权利要求18所述的设备,其特征在于,
所述连接单元接收其它安全处理设备发送的待发送报文以及对应的发送指示,根据所述发送指示将当前待发送报文发送至所指示的接口单元发送。
20.根据权利要求18或19所述的设备,其特征在于,该设备进一步包括:主控单元和扩展控制接口单元;
所述接口单元在所述收到报文为流首包时,请求所在安全处理设备中的主控单元指示,在所在安全系统中处理所述收到报文对应业务流的业务处理单元;将所述主控单元指示的业务处理单元作为处理所述收到报文的业务处理单元,并记录处理该报文对应业务流的业务处理单元;在所述收到报文为非流首包时,接口单元查找所在安全系统内处理该报文对应业务流的业务处理单元,将查找得到的业务处理单元作为处理当前报文的业务处理单元;
所述主控单元在自身所在安全处理设备为所在安全系统中的主控安全处理设备时,接收接口单元发送的请求,为所述收到报文对应的业务流在所在安全系统中选择处理该业务流的业务处理单元、并向收到报文的接口单元指示所选业务处理单元;在自身所在安全处理设备不为主控安全处理设备时,向所述扩展控制接口单元发送处理所述收到报文对应业务流的请求,将从所述扩展控制接口单元返回的指示发送至接口单元;
所述扩展控制接口单元向所在安全系统内的主控安全处理设备发送处理所述收到报文对应业务流的请求;并将所述主控安全处理返回的、处理当前报文对应业务流的指示发送至所述主控单元。
21.一种可用于扩展的安全处理设备,其特征在于,该设备包括连接单元和至少一个业务处理单元;
所述连接单元从其它安全处理设备收到待处理报文以及对应的处理指示;根据所述处理指示指示的业务处理单元,将所述待处理报文及对应的处理指示发送至所指示的业务处理单元;
所述业务处理单元处理收到的待处理报文。
22.根据权利要求21所述的设备,其特征在于,
所述业务处理单元需要发送处理后报文时,将所述处理后报文作为待发送报文,并根据该待发送报文的目的IP地址确定发送所述待发送报文的接口单元;将所述待发送报文以及描述对应接口单元的发送指示发送至所述连接单元;
所述连接单元接收从业务处理单元发送的待发送报文以及发送指示,根据所述发送指示指示的接口单元,将所述待发送报文以及发送指示发送至所指示的接口单元所在的安全处理设备,由所确定的接口单元发送所述待发送报文。
23.根据权利要求21或22所述的设备,其特征在于,该设备进一步包括:主控单元和扩展控制接口单元;
所述业务处理单元定期向主控单元上报包含自身处理能力的状态信息;
所述主控单元在自身所在安全处理设备不为所在安全系统中的主控安全处理设备时,定期将收到的状态信息,通过扩展控制接口单元发送给主控安全处理设备;在自身所在安全处理设备为主控安全处理设备时,从扩展控制接口单元接收其它安全处理设备发送的状态信息,根据所在安全系统内各业务处理单元状态信息中包含的处理能力,选择处理当前流首包对应业务流的业务处理单元。
CN2007101213363A 2007-09-04 2007-09-04 扩展安全系统的方法、安全系统及安全处理设备 Active CN101115010B (zh)

Priority Applications (3)

Application Number Priority Date Filing Date Title
CN2007101213363A CN101115010B (zh) 2007-09-04 2007-09-04 扩展安全系统的方法、安全系统及安全处理设备
PCT/CN2008/072016 WO2009033388A1 (fr) 2007-09-04 2008-08-15 Procédé d'utilisation d'un système de sécurité étendue, système et appareil de sécurité étendue
US12/676,503 US8713663B2 (en) 2007-09-04 2008-08-15 Method for using extended security system, extended security system and devices

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN2007101213363A CN101115010B (zh) 2007-09-04 2007-09-04 扩展安全系统的方法、安全系统及安全处理设备

Publications (2)

Publication Number Publication Date
CN101115010A true CN101115010A (zh) 2008-01-30
CN101115010B CN101115010B (zh) 2010-06-02

Family

ID=39023134

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2007101213363A Active CN101115010B (zh) 2007-09-04 2007-09-04 扩展安全系统的方法、安全系统及安全处理设备

Country Status (3)

Country Link
US (1) US8713663B2 (zh)
CN (1) CN101115010B (zh)
WO (1) WO2009033388A1 (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009033388A1 (fr) * 2007-09-04 2009-03-19 Hangzhou H3C Technologies Co., Ltd. Procédé d'utilisation d'un système de sécurité étendue, système et appareil de sécurité étendue

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11533255B2 (en) 2014-11-14 2022-12-20 Nicira, Inc. Stateful services on stateless clustered edge
US11115385B1 (en) 2016-07-27 2021-09-07 Cisco Technology, Inc. Selective offloading of packet flows with flow state management
US10951584B2 (en) 2017-07-31 2021-03-16 Nicira, Inc. Methods for active-active stateful network service cluster
US11570092B2 (en) * 2017-07-31 2023-01-31 Nicira, Inc. Methods for active-active stateful network service cluster
US11296984B2 (en) 2017-07-31 2022-04-05 Nicira, Inc. Use of hypervisor for active-active stateful network service cluster
US11153122B2 (en) 2018-02-19 2021-10-19 Nicira, Inc. Providing stateful services deployed in redundant gateways connected to asymmetric network
US11799761B2 (en) 2022-01-07 2023-10-24 Vmware, Inc. Scaling edge services with minimal disruption
US11962564B2 (en) 2022-02-15 2024-04-16 VMware LLC Anycast address for network address translation at edge

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7107609B2 (en) * 2001-07-20 2006-09-12 Hewlett-Packard Development Company, L.P. Stateful packet forwarding in a firewall cluster
WO2003034237A1 (en) * 2001-10-18 2003-04-24 The Board Of Regents Of The University Of Nebraska Fault tolerant firewall sandwiches
US7734752B2 (en) * 2002-02-08 2010-06-08 Juniper Networks, Inc. Intelligent integrated network security device for high-availability applications
US7197660B1 (en) * 2002-06-26 2007-03-27 Juniper Networks, Inc. High availability network security systems
US20060064730A1 (en) * 2004-09-17 2006-03-23 Jacob Rael Configurable entertainment network
US7805757B2 (en) * 2005-12-30 2010-09-28 Alcatel-Lucent Usa Inc. Control of communication session attributes in network employing firewall protection
US8353020B2 (en) * 2006-06-14 2013-01-08 Microsoft Corporation Transparently extensible firewall cluster
CN1949720A (zh) * 2006-09-08 2007-04-18 中山大学 一种分布式网络入侵检测系统
US7941837B1 (en) * 2007-04-18 2011-05-10 Juniper Networks, Inc. Layer two firewall with active-active high availability support
CN101115010B (zh) * 2007-09-04 2010-06-02 杭州华三通信技术有限公司 扩展安全系统的方法、安全系统及安全处理设备

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009033388A1 (fr) * 2007-09-04 2009-03-19 Hangzhou H3C Technologies Co., Ltd. Procédé d'utilisation d'un système de sécurité étendue, système et appareil de sécurité étendue
US8713663B2 (en) 2007-09-04 2014-04-29 Hangzhou H3C Technologies Co., Ltd. Method for using extended security system, extended security system and devices

Also Published As

Publication number Publication date
WO2009033388A1 (fr) 2009-03-19
CN101115010B (zh) 2010-06-02
US20100180342A1 (en) 2010-07-15
US8713663B2 (en) 2014-04-29

Similar Documents

Publication Publication Date Title
CN101115010B (zh) 扩展安全系统的方法、安全系统及安全处理设备
CN104184828B (zh) 混合网络系统、通信方法和网络节点
CN100417142C (zh) 将接口流量在多个网络处理器引擎中均担的方法
CN102075417B (zh) 组播剪枝方法及协议无关组播路由器
US8274980B2 (en) Ethernet link aggregation
CN100542144C (zh) 基于安全设备的报文转发系统和方法以及安全设备
CN101616083B (zh) 一种报文转发方法和装置
CN101692649B (zh) 数据多线监控的方法和设备
CN104378415A (zh) 一种基于消息的高可用云系统和实现方法
CN100574249C (zh) 虚拟路由器冗余协议报文传输方法及装置
CN105227463A (zh) 一种分布式设备中业务板间的通信方法
CN102006245B (zh) 一种数据交换和共享平台
CN102158421A (zh) 创建三层接口的方法及单元
CN103441932A (zh) 一种主机路由表项生成方法及设备
CN102377640A (zh) 一种报文处理装置和报文处理方法、及预处理器
CN101163117A (zh) 一种群组管理方法、群组资源共享方法及即时通讯装置
CN103858383A (zh) 防火墙群集中的验证共享
CN100446509C (zh) 实现重定向报文正确转发的方法及第一部件、第二部件
CN102811338A (zh) 一种视频会议系统中多级回传视频信号的控制方法及装置
Kugisaki et al. Bot detection based on traffic analysis
CN105099952A (zh) 一种资源分配方法及装置
CN100550844C (zh) 还原重定向报文特征信息的方法
CN101964759B (zh) 支持多用户的高速报文分流方法
CN102647346A (zh) 一种对报文分流的方法及系统
CN102647424B (zh) 一种数据传输方法及其装置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CP03 Change of name, title or address
CP03 Change of name, title or address

Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No.

Patentee after: NEW H3C TECHNOLOGIES Co.,Ltd.

Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base

Patentee before: HANGZHOU H3C TECHNOLOGIES Co.,Ltd.

TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20231008

Address after: 24th Floor, Block B, Zhizhen Building, No. 7 Zhichun Road, Haidian District, Beijing, 100088

Patentee after: Beijing Ziguang Communication Technology Group Co.,Ltd.

Address before: 310052 Changhe Road, Binjiang District, Hangzhou, Zhejiang Province, No. 466

Patentee before: NEW H3C TECHNOLOGIES Co.,Ltd.