发明内容
有鉴于此,本发明提供了一种扩展安全系统的方法,该方法能够使扩展后的安全系统相对于现有的安全系统具有较高的性能。
为达到上述目的,本发明的技术方案是这样实现的:
一种扩展安全系统的方法,组成所述安全系统的各安全处理设备中进一步包括连接单元;该方法包括以下步骤:
收到外部报文的安全处理设备,确定所在安全系统内处理所述收到报文的安全处理设备;
在自身不为当前所确定的安全处理设备时,将当前外部报文作为待处理报文通过自身的连接单元将其发送至所确定的安全处理设备,所述所确定的安全处理设备通过自身的连接单元接收所述待处理报文,并处理该报文;
在自身为当前所确定的安全处理设备时,自身处理该报文。
另外,本发明又提供了一种安全系统,该安全系统具有比现有安全系统较高的性能。
为达到上述目的,本发明的技术方案是这样实现的:
一种安全系统,包括多个包含连接单元的安全处理设备;
其中,收到外部报文的安全处理设备,确定所在安全系统内处理所述收到报文的安全处理设备;在自身不为当前所确定的安全处理设备时,将当前外部报文作为待处理报文通过自身的连接单元发送至所确定的安全处理设备;在自身为当前所确定的安全处理设备时,自身处理该报文;
所述所确定的安全处理设备通过自身的连接单元接收所述待处理报文,并处理该报文。
再者,本发明还提供了可用于扩展的安全处理设备,本发明所提供的安全处理设备可用于扩展安全系统,使扩展后的安全系统相对于现有安全系统具有较高的性能。
为达到上述目的,本发明的技术方案是这样实现的:
本发明提供了一种可用于扩展的安全处理设备,该设备包括连接单元、至少一个接口单元、和至少一个业务处理单元;其中,任意一个接口单元通过所述连接单元与任意一个业务处理单元相连;
所述接口单元在收到来自所在安全系统外部的报文后,确定所在安全系统内处理所述收到报文的业务处理单元,将所述收到报文作为待处理报文。发送所述待处理报文和描述当前所选业务处理单元的处理指示至连接单元;
所述连接单元从接口单元收到所述待处理报文以及对应的处理指示;根据所述处理指示指示的业务处理单元,在所确定的业务处理单元位于其它安全处理设备内时,将所述待处理报文及对应的处理指示发送至所指示的业务处理单元所在的安全处理设备,由该业务处理单元处理所述待处理报文;在所确定的业务处理单元位于自身所在安全处理设备内时,根据所对应的处理指示将所述待处理报文发送至所确定的业务处理单元;
所述业务处理单元处理收到的待处理报文。
另外,本发明又提供了一种可用于扩展的安全处理设备,该设备包括连接单元、和至少一个接口单元;其中,任意一个接口单元与所述连接单元相连;
所述接口单元在收到来自所在安全系统外部的报文后,确定所在安全系统内处理所述收到报文的业务处理单元,将所述收到报文作为待处理报文,发送所述待处理报文和描述当前所选业务处理单元的处理指示至连接单元;
所述连接单元从接口单元收到所述待处理报文以及对应的处理指示;根据所述处理指示,将所述待处理报文及对应的处理指示发送至所指示的业务处理单元所在的安全处理设备,由该业务处理单元处理所述待处理报文。
再者,本发明还提供了一种可用于扩展的安全处理设备,该设备包括连接单元和至少一个业务处理单元;
所述连接单元从其它安全处理设备收到待处理报文以及对应的处理指示;根据所述处理指示指示的业务处理单元,将所述待处理报文及对应的处理指示发送至所指示的业务处理单元;
所述业务处理单元处理收到的待处理报文。
本发明所提供的一种扩展安全系统的方法,通过在组成安全系统的各安全处理设备中进一步包括连接单元;收到外部报文的安全处理设备,确定所在安全系统内处理收到报文的安全处理设备;在自身不为当前所确定的安全处理设备时,将当前外部报文作为待处理报文通过自身的连接单元将其发送至所确定的安全处理设备,所确定的安全处理设备通过自身的连接单元接收待处理报文,并处理该报文;在自身为当前所确定的安全处理设备时,自身处理该报文。本发明的技术方案中提供了一种安全系统、以及可用于扩展的安全处理设备。本发明所提供的技术方案,通过各安全处理设备之间的数据交互,实现了各安全处理设备的资源共享,从而实现真正意义上提高扩展后的安全系统的性能。
其中,本发明所提供的安全处理设备可以是包括接口单元、或包括业务处理单元、或包括接口单元和业务处理单元。因此,本发明的安全处理设备向安全系统提供了多种扩展的可能。在仅需要扩展接口,则可以使用仅包括接口单元的安全处理设备;在仅需要增加处理能力,则可以使用仅包括业务处理单元的安全处理设备,这样能够充分节约系统资源,针对安全系统的扩展需求在安全系统中增加相应的设备。
具体实施方式
在本发明的技术方案中,通过各安全处理设备之间的数据交互,实现各安全处理设备之间的资源共享,从而实现真正意义上提高扩展后的安全系统的性能。本发明的方法的总体流程为,组成安全系统的各安全处理设备中进一步包括连接单元;该方法包括以下步骤:收到外部报文的安全处理设备;确定所在安全系统内处理收到报文的安全处理设备;在自身不为当前所确定的安全处理设备时,将当前外部报文作为待处理报文通过自身的连接单元将其发送至所确定的安全处理设备,所确定的安全处理设备通过自身的连接单元接收待处理报文,并处理该报文;在自身为当前所确定的安全处理设备时,自身处理该报文。
参见图3,图3为本发明中安全系统的基本结构图,包括多个包含连接单元的安全处理设备。其中,收到外部报文的安全处理设备,确定所在安全系统内处理收到报文的安全处理设备;在自身不为当前所确定的安全处理设备时,将当前外部报文作为待处理报文通过自身的连接单元发送至所确定的安全处理设备;在自身为当前所确定的安全处理设备时,自身处理该报文。所确定的安全处理设备通过自身的连接单元接收待处理报文,并处理该报文。
例如,在当前安全系统存在两个安全处理设备A和B,安全处理设备A内的处理单元在收到报文后,确定该报文需要由安全处理设备B进行处理,安全处理设备A的处理单元则将该报文通过连接单元发送给安全处理设备B,由安全处理设备B内的处理单元进行处理;当需要由安全处理设备A处理,则安全处理设备A自身处理收到的报文。这里的外部报文是指外界发送给安全系统的报文。
在本发明的技术方案中,各安全处理设备均会连接自身对应的网段,用来接收、处理来自该网段的报文,以及向该网段发送报文。在处理安全处理设备处理完收到报文后,还需要发送该处理后报文时,可以根据该待发送报文的目的IP地址确定发送所述待发送报文的安全处理设备。在自身不为当前所确定的安全处理设备时,将所述待发送报文通过自身的连接单元发送至所确定的安全处理设备;所述所确定的安全处理设备通过自身的连接单元接收所述待发送报文,并根据该报文的目的IP发送该报文。在自身为当前所确定的安全处理设备时,自身根据所述待发送报文的目的IP发送该报文。
由于本发明的安全系统是由多个安全处理设备组成,因此为了提高报文的处理效率,可以由一个安全处理设备处理一类的报文。在本发明中,将一种类型的报文称为一种业务流。在本发明的技术方案中,可以根据各安全处理设备的处理能力确定处理具体业务流的安全处理设备。在确定处理具体业务流的安全处理设备时,可以在收到该业务流对应流首包时,进行确定。
在本发明所提供的方法中,为了实现对各安全处理设备的统一管理,进而有效的提高安全系统的性能,可以将安全系统中的一个安全处理设备作为主控安全处理设备、其他的作为附属安全处理设备。由主控安全处理设备根据自身以及各附属安全处理设备的处理能力,确定处理具体业务流的安全处理设备。
具体可以采用如下方式,安全处理设备在从外部收到的报文为流首包时,依据所述主控安全处理设备的选择,确定处理当前报文的安全处理设备,并记录所述主控安全处理设备选择的处理当前报文对应业务流的安全处理设备。安全处理设备从外部收到的报文为非流首包时,在自身记录的安全处理设备中查找处理该报文对应业务流的安全处理设备,将查找得到的安全处理设备作为处理当前报文的安全处理设备。
其中,安全处理设备的组成形式可以是以下三种形式构成,其中第一种为:处理单元包括连接单元、至少一个接口单元和至少一个业务处理单元,其中任意一个接口单元通过连接单元与任意一个业务处理单元相连;其中第二种为:处理单元包括连接单元、以及至少一个接口单元,其中任意一个接口单元与连接单元相连;第三种是,处理单元包括连接单元、以及至少一个业务处理单元,其中任意一个业务处理单元与连接单元相连。另外,在本发明的安全处理设备内还可以进一步包括主控单元和扩展控制接口单元,主要用来确定报文的业务处理单元。
下面以以上三种处理单元的组成方式为例,描述本发明的三个实施例。
参见图4,图4为本发明第一实施例的结构图。该安全系统具体包括两个安全处理设备,分别为安全处理设备一和安全处理设备二。这两个安全处理设备的结构相同,主要包括主控单元、扩展控制接口单元、连接单元、N个接口单元和N个业务处理单元。其中任意一个接口单元通过连接单元与任意一个业务处理单元相连。当然,这里的安全处理设备一和安全处理设备二的接口单元和业务处理单元的数目也不必相等,可以是任意值,这样并不影响本发明的具体实现。
在安全处理设备一中接口单元从安全系统外部接收到报文,从安全处理设备一对该报文进行处理的角度来看。接口单元在收到来自所在安全系统外部的报文后,确定所在安全系统内处理该收到报文的业务处理单元。这里所指的安全系统内所有业务处理单元既包括安全处理设备一中的业务处理单元1~N,同样也包括安全处理设备二中的业务处理单元N+1~2N。该接口单元将报文、以及描述当前所选业务处理单元的处理指示发送至连接单元。连接单元根据收到的处理指示,确定所选的业务处理单元位于自身所在安全处理设备内时,将与该处理指示对应的报文发送至所选处理该报文的业务处理单元处理,例如①号信号流。在图4中,①号信号流表示报文从安全处理设备一中的接口单元1收到,通过连接单元发送至安全处理设备一中的业务处理单元1内进行处理;在处理完成后,业务处理单元1通过安全处理设备一内的连接单元将处理后的报文发送至接口单元1,接口单元1将报文发送出去。
连接单元根据处理指示对应的业务处理单元,将报文以及处理指示发送至该业务处理单元对应的安全处理设备。由该安全处理设备对应的业务处理单元进行处理,例如在图4中的②和③号信号流。
在图4中,②号信号流表示报文从安全处理设备一中的接口单元2收到,通过安全处理设备一和安全处理设备中的连接单元,发送至安全处理设备二中的业务处理单元N+1内进行处理;在处理完成后,业务处理单元N+1通过安全处理设备二内的连接单元将处理后的报文发送至安全处理设备二内的接口单元N+1,接口单元N+1将报文发送出去。③号信号流表示报文从安全处理设备一中的接口单元2收到,通过安全处理设备一和安全处理设备二中的连接单元,发送至安全处理设备二中的业务处理单元N+1内进行处理;在处理完成后,业务处理单元N+1通过安全处理设备二内的连接单元将处理后的报文发送至安全处理设备一内的接口单元N,接口单元N将报文发送出去。
这里,本发明所描述的处理指示可以是对应业务处理单元的MAC地址。如果处理指示是业务处理单元的MAC地址的话,安全处理设备内的连接单元可以通过维护自身的转发表,根据业务处理单元的MAC地址,将当前待处理的报文发送至对应的业务处理单元进行处理。
在安全处理设备二接收并处理安全处理设备一发送的报文的角度来看。安全处理设备二中的连接单元接收安全处理设备一发送的需要处理的报文和描述处理该报文的业务处理单元的处理指示,根据该处理指示描述的内容将该报文发送至处理该报文的业务处理单元。例如在图4中所示的②和③号信号流。
在安全处理设备二中的业务处理单元处理完安全处理设备一发送过来的报文后,依据当前待发送报文的IP地址确定发送该报文的接口单元,将处理完的报文以及描述该接口单元的发送指示发送给连接单元。连接单元接收从业务处理单元发送的报文以及发送指示,根据发送指示,在确定发送指示描述的接口单元不在自身所在安全处理设备内时,根据发送指示对应的业务处理单元,将报文以及发送指示发送至该业务处理单元所在的安全处理设备二,如图4中所示的③号信号流。在确定发送指示描述的接口单元在自身所在安全处理设备内时,将报文以及发送指示发送至该接口单元发送,如图4中所示的②和③号信号流。
这里,根据当前待发送报文的IP地址确定发送该报文的接口单元,可以是根据业务处理单元自身保存的转发表来确定。该转发表中记录着将该报文发送至目的IP地址的接口单元。该转发表可以是预先配置、也可以是学习得到。
另外,上面描述的发送指示可以是该接口单元的MAC地址。那么,相应的连接单元需要维护自身的MAC地址转发表,根据发送当前待发送报文的接口单元的MAC地址,将该报文发送至该接口单元。
安全处理设备一中的连接单元接收安全处理设备二处理完的报文,以及描述发送该的发送指示,并将其发送至连接单元。连接单元将收到的报文发送至发送指示所描述的接口单元,该接口单元发送收到的报文,如上面所描述的③号信号流。
在本实施例中,接口单元确定处理当前收到报文的业务处理单元的具体实现,可以借助设备中的主控单元和扩展控制接口单元,具体可以采用如下技术方案。在以下描述的技术方案中,以安全处理设备一中的接口单元1接收到报文为例进行介绍。在安全处理设备一中接口单元1收到的报文为流首包时,接口单元1请求安全处理设备一中的主控单元指示处理该收到报文对应业务流的业务处理单元;并将安全处理设备一中的主控单元指示的业务处理单元作为处理所述收到报文的业务处理单元,并记录处理该报文对应业务流的业务处理单元。在收到报文为非流首包,接口单元查找自身记录的处理该报文对应业务流的安全处理设备,将查找得到的安全处理设备作为处理当前报文的安全处理设备。
在安全处理设备一为主控安全处理设备时,安全处理设备一中的主控单元接收接口单元1发送的请求,为收到报文对应的业务流选择处理该业务流的业务处理单元、并向接口单元1指示所选业务处理单元。
在安全处理设备一不为主控安全处理设备时,则表明在图4所示的安全系统结构中,安全处理设备二为主控安全处理设备。则安全处理设备一中的主控单元向扩展控制接口单元发送处理所述收到报文对应业务流的请求,并将所述扩展控制接口单元返回的指示发送至接口单元1。
安全处理设备一中的扩展控制接口单元接收安全处理设备一中主控单元发送的指示,向安全系统内的主控安全处理设备二发送处理所述收到报文对应业务流的请求;并将该请求对应的指示发送给所述主控单元。
从安全处理设备二当前确定安全处理设备的过程来看,安全处理设备二中的扩展控制接口单元接收安全处理设备一发送的选择业务处理单元的请求,并将该请求发送至所述主控单元;接收主控单元返回的指示,并将该指示返回给对应的安全处理设备一。安全处理设备二中的主控单元接收从扩展控制接口单元发送的请求,为当前收到报文的业务流选择处理该业务流的业务处理单元,并向扩展控制接口单元指示所选业务处理单元。
这里,安全处理设备二中的主控单元选择处理当前报文的业务处理单元可以采用如下技术方案:安全处理设备一和安全处理设备二中的业务处理单元定期向自身所在的主控单元上报包含自身处理能力的状态信息。安全处理设备一中的主控单元,定期将收集到的业务处理单元的状态信息,通过扩展控制接口单元发送给主控安全处理设备二。安全处理设备二中的主控单元接收自身业务处理单元发送的状态信息、以及从扩展控制接口单元接收安全处理设备一发送的状态信息;在选择处理业务流的业务处理单元时,在收到该业务流对应流首包时,根据各业务处理单元的处理能力选择处理业务流的业务处理单元。
图4所示的安全系统,通过将两个安全处理设备合并,通过共享各自的接口单元、以及业务处理单元,相对于原来的单个设备,提高了处理性能、共享了各自的端口,实现了真正意义上的合并。
在一些具体的应用场合中,安全系统需要扩展的有可能仅为接口数量、或者处理能力,因此为了节约资源,并不一定需要将既包括多个接口单元和多个业务处理单元的两个安全处理设备组成在一起形成一套安全系统。在仅需要增加接口数量时,可以采用图5所示的安全系统;在仅需要提高处理能力可以采用图6所示的安全系统。
参见图5,图5为本发明第二实施例中安全系统的结构图,包括安全处理设备三和安全处理设备二。其中,安全处理设备二的组成结构与对图4中所示相同,在此不再详述。安全处理设备三中包括主控单元、扩展控制接口单元、连接单元、以及多个接口单元,其中任意一个接口单元与连接单元相连。安全处理设备三中的各接口单元与主控单元相连,用于向主控单元发送包含自身处理能力的状态信息。
由于安全处理设备三中仅存在接口单元、不存在业务处理单元,因此安全处理设备三不具备处理报文的能力,仅能接收以及发送报文。具体的信号流可见参见该图上所示的③号信号流,以及第一实施例中对③号信号流的介绍。另外,确定处理当前收到报文的业务处理单元的方式,与第一实施例中介绍的技术方案相同,在此不再详述。
参见图6,图6为本发明第三实施例中安全系统的结构图,包括安全处理设备一和安全处理设备四。其中,安全处理设备一的组成结构与对图4中所示相同,在此不再详述。安全处理设备四中包括主控单元、扩展控制接口单元、连接单元、以及多个业务处理单元,其中任意一个业务处理单元通过与连接单元相连。安全处理设备四中的各业务处理单元与主控单元相连,向主控单元发送包含自身处理能力的状态信息。
由于安全处理设备四中仅存在业务处理单元、不存在接口单元,因此安全处理设备四不具备接收以及发送报文的能力,仅能处理报文。具体的信号流可见参见该图上所示的②号信号流,以及第一实施例中对②号信号流的介绍。另外,确定处理当前收到报文的业务处理单元的方式,与第一实施例中介绍的技术方案相同,在此不再详述。
根据以上图4、6和7的描述,本领域的技术人员不难根据本发明实施例所提供的安全处理设备一、安全处理设备三以及安全处理设备四组成包括三个或三个以上的各种形式的安全系统。如,由2个安全处理设备一、1个安全处理设备二组成的安全系统;由2个安全处理设备二、1个安全处理设备三组成的安全系统;以及2个安全处理设备一、1个安全处理设备三和1个安全处理设备四组成的安全系统,具体组成结构在此不再详述。
另外,在本发明的技术方案中,安全处理设备中的主控单元和扩展控制接口单元除了可以用来选择处理业务流的业务处理单元外,还可以用来对安全处理设备中的接口单元和业务处理单元进行初始化配置,例如分配地址。通常情况下,是由主控安全处理设备来控制整个初始化过程。
这里,确定主控安全处理设备的方法可以有两种,其中一种为,在组建安全系统时设置作为主控安全处理设备的安全处理设备,可以通过将用于标识安全处理设备的框号,设置为主控安全处理设备特有的框号,来提示其他安全处理设备。比如框号为0的安全处理设备为主控安全处理设备。另外一种为,在安全系统初始化过程种通过广播报文自携商主控安全处理设备。具体协商的依据可以是:每个安全处理设备可以各自生成一个随机数,各安全处理设备根据随机数的大小来决定哪个安全处理设备为主控安全处理设备。
其中,安全系统内具体的配置过程可以是:安全系统中各安全处理设备在确定的自身角色之后,附属安全处理设备中的主控单元负责收集设备内各单元物理信息,包括接口单元以及业务处理单元,并负责各单板的启动,将收集到的物理信息发送给主控安全处理设备内的主控单元。主控安全处理设备内的主控单元除了需要收到自身各单元的物理信息,还要接收其他各附属安全处理设备发送的物理信息,主控安全处理设备根据收集到的物理信息获得对应的配置信息。该获得配置信息的方法可以是交由管理员进行确定,或者有主控安全处理设备自身生成。
另外,当该安全系统内有新的接口单元和/或业务处理单元加入时,该接口单元和/或业务处理单元所在的安全处理设备中的主控单元收到该新加入的接口单元和/或业务处理单元的物理信息,在自身所在安全处理设备为主控安全处理设备时,根据物理信息得到该新加入的接口单元和/或业务处理单元的配置信息,并将配置信息发送给当前新加入的接口单元和/或业务处理单元进行初始化配置。在自身所在安全处理设备不为主控安全处理设备时,将收集的物理信息发送给主控安全处理设备,将从主控安全处理设备收到配置信息发送给当前新加入的接口单元和/或业务处理单元进行配置。当有接口单元和/或业务处理单元拔出时,主控安全处理设备需要根据当前新拔出的接口单元和/或业务处理单元处理的业务,生成配置信息,用于将该业务切换到其他接口单元和/或业务处理单元处理。
本发明的安全系统可以是防火墙、IPS系统、或者其他的L4~L7网络系统。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。