CN101567848B - 安全控制方法与交换机 - Google Patents
安全控制方法与交换机 Download PDFInfo
- Publication number
- CN101567848B CN101567848B CN2009100858454A CN200910085845A CN101567848B CN 101567848 B CN101567848 B CN 101567848B CN 2009100858454 A CN2009100858454 A CN 2009100858454A CN 200910085845 A CN200910085845 A CN 200910085845A CN 101567848 B CN101567848 B CN 101567848B
- Authority
- CN
- China
- Prior art keywords
- data message
- safety processing
- safe handling
- processing engine
- policy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Abstract
本发明实施例公开了一种安全控制方法与交换机,其中,安全控制方法包括:线卡上的网络接口接收数据报文;所述线卡上的第一安全处理引擎利用接口安全处理策略对所述数据报文进行第一次过滤;所述线卡在第一次过滤后输出数据报文时,将该输出的数据报文发送给管理板;所述管理板上的第二安全处理引擎利用全局安全处理策略对所述输出的数据报文进行第二次过滤;所述管理板在第二次过滤后输出合法的数据报文时,对该合法的数据报文进行转发处理。本发明实施例可以合理利用线卡与管理板上的安全处理策略的存储容量,并有效实现对数据报文的安全控制。
Description
技术领域
本发明涉及通信技术,尤其是一种安全控制方法与交换机。
背景技术
现有的机箱式集中转发交换机,也称为:集中式转发交换机或交换机,通常包括管理板与一个或多个线卡,另外还包括风扇、电源等关键组件。其中,管理板也称为管理引擎或主控板,是整个交换机管理与控制的汇聚点,主要用于对线卡进行各种操作,以及运行各种协议,它一旦失效,整个交换机将不可用。每个线卡上设置有一个或多个网络接口,主要用于通过网络接口与其它通信装置进行数据报文的转发。如图1所示,为机箱式集中转发交换机的一个结构示意图。
为了避免非法报文在网络中的传输,保证网络的安全,通常情况下,在交换机中部署安全处理引擎,并根据安全处理策略,分析需要交换机转发的报文特征,对需要交换机转发的报文进行过滤处理,转发合法报文。目前,以太网交换机已经使用安全处理引擎,在如下应用中实现了安全控制:安全全局地址绑定、访问控制列表(Access Control List,以下简称:ACL)、服务质量(Quality of Server,以下简称:QoS)、全局安全网络(Global SecurityNetwork,以下简称:GSN)、动态主机配置协议(Dynamic Host ConfigureProtocol,以下简称:DHCP)地址绑定、基于802.1x协议的用户授权等。由于安全处理策略的存储容量的硬件设备比较昂贵,每个安全处理策略的存储容量都是有限的,通常只有几千条。
现有技术中,可以将安全处理引擎部署在管理板上或者各线卡上。其中,将安全处理引擎部署在管理板上实现安全控制的方法也称为集中式安全控制 方法,将安全处理引擎部署在各线卡上实现安全控制的方法也称为分散式式安全控制方法。如图2所示,为应用分散式安全控制方法的交换机结构示意图。在分散式安全控制方法中,各线卡分别对其网络接口发送的报文进行过滤处理,将合法报文发送到管理板进行转发处理。由于需要分别在不同线卡上分别配置安全处理策略,交换机所能支持的总安全处理策略数据,等于交换机中所有线卡上安全处理策略数据的总和。在交换机不同线卡上网络接口配置的安全处理策略相同时,该安全处理策略也称为全局安全处理策略。应用分散式安全控制方法实现安全控制时,至少存在以下问题:由于需要将这些相同的安全处理策略分别配置到交换机所有线卡的安全处理引擎上,在全局安全处理策略比较多的情况下,这些安全处理策略在所有线卡上都需要占用相同多的容量,因此,每个线卡上所剩余的、能够给该线卡上网络接口的使用策略容量就变得极为有限;另外,在全局安全处理策略发生变化时,需要更新交换机中所有线卡上的安全处理策略,工作量较大,安全处理策略的可管理性较差,降低了安全控制效果。
如图3所示,为应用集中式安全控制方法的交换机结构示意图。在集中式安全控制方法中,管理板对发送的报文进行过滤处理,丢弃非法报文,并对合法报文进行转发处理。在交换机需要对不同线卡上网络接口配置特定的安全处理策略时,该安全处理策略与网络接口相关,因此也称为接口安全处理策略。应用集中式安全控制方法实现安全控制时,至少存在以下问题:可能需要采用特定的安全处理策略对特定线卡上网络接口上接收的数据报文进行安全处理,因此,就需要为特定线卡上网络接口配置特定的安全处理策略,由于交换机中所有线卡上网络接口共用管理板上安全处理策略的存储容量,都需要占用全局资源,因此,能够分配给每个线卡上网络接口的安全处理策略的存储容量极为有限。尤其是在不同线卡上网络接口的安全处理策略相差较大时,能够分配给每个线卡上网络接口的安全处理策略的存储容量就更少,无法根据管理板上的安全处理策略,对数据报文进行有效过滤,降低了安全 控制效果。
发明内容
本发明实施例的目的是:提供一种安全控制方法与交换机,在线卡上利用接口安全处理策略对数据报文进行第一次过滤,在管理板上利用全局安全处理策略对数据报文进行二次过滤,合理利用线卡与管理板上的安全处理策略的存储容量,并有效实现对数据报文的安全控制。
本发明实施例提供的一种安全控制方法,包括:
线卡上的网络接口接收数据报文;
所述线卡上的第一安全处理引擎利用接口安全处理策略对所述数据报文进行第一次过滤;
所述线卡在第一次过滤后输出数据报文时,将该输出的数据报文发送给管理板;
所述管理板上的第二安全处理引擎利用全局安全处理策略对所述输出的数据报文进行第二次过滤;
所述管理板在第二次过滤后输出合法的数据报文时,对该合法的数据报文进行转发处理;
如果所述线卡上的存储容量不足,所述第二安全处理引擎上还部署有部分接口安全处理策略,所述第一安全处理引擎上部署剩余接口安全处理策略;相应的,所述线卡上的第一安全处理引擎利用剩余接口安全处理策略对所述数据报文进行第一次过滤;所述管理板上的第二安全处理引擎利用全局安全处理策略和部分接口安全处理策略对所述数据报文进行第二次过滤;
如果所述管理板上的存储容量不足,所述第一安全处理引擎上还部署有部分全局安全处理策略,所述第二安全处理引擎上部署剩余全局安全处理策略;相应的,所述线卡上的第一安全处理引擎利用接口安全处理策略和部分全局安全处理策略对所述数据报文进行第一次过滤;所述管理板上的第二安全处理引擎利用剩余全局安全处理策略对所述数据报文进行第二次过滤。
本发明实施例提供的一种交换机,包括管理板与一个或多个线卡,所述线卡上设置有第一安全处理引擎,用于利用接口安全处理策略对接收到的数据报文进行第一次过滤,并在第一次过滤后输出数据报文时,将该输出的数据报文发送给所述管理板,以及接收所述管理板发送的待发送数据报文,通过该待发送数据报文携带的发送网络接口信息相应的网络接口发送该待发送数据报文;
所述管理板上设置有第二安全处理引擎,用于利用全局安全处理策略对所述输出的数据报文进行第二次过滤,并在第二次过滤后输出合法的数据报文时,对该合法的数据报文标识发送该合法的数据报文的所述发送网络接口 信息,并将标识该发送网络接口信息后生成的待发送数据报文发送给所述发送网络接口信息对应的线卡;
如果所述线卡上的存储容量不足,所述第二安全处理引擎上还部署有部分接口安全处理策略,所述第一安全处理引擎上部署剩余接口安全处理策略;相应的,所述线卡上的第一安全处理引擎利用剩余接口安全处理策略对所述数据报文进行第一次过滤;所述管理板上的第二安全处理引擎利用全局安全处理策略和部分接口安全处理策略对所述数据报文进行第二次过滤;
如果所述管理板上的存储容量不足,所述第一安全处理引擎上还部署有部分全局安全处理策略,所述第二安全处理引擎上部署剩余全局安全处理策略;相应的,所述线卡上的第一安全处理引擎利用接口安全处理策略和部分全局安全处理策略对所述数据报文进行第一次过滤;所述管理板上的第二安全处理引擎利用剩余全局安全处理策略对所述数据报文进行第二次过滤。
基于本发明上述实施例提供的安全控制方法与交换机,可以在线卡上设置第一安全处理引擎,利用其中部署的接口安全处理策略对数据报文进行第一次过滤,并在管理板上设置第二安全处理引擎,利用其中部署的全局安全处理策略对数据报文进行第二次过滤,合理利用了管理板与线卡上安全处理策略的存储容量,提高了安全控制效果。与现有的分散式安全控制方法相比,避免了相同安全处理策略在所有线卡上都占用相同多的容量,从而尽可能多的为线卡上网络接口的使用策略留有容量,并且,在全局安全处理策略发生变化时,只需要对管理板上的全局安全处理策略进行一次更新,而不需要分别更新交换机中所有线卡上的安全处理策略,提高了安全处理策略的可管理性与更新速度,提高了安全控制效果;与现有的集中式安全控制方法相比,将与网络接口相关的接口安全策略设置在相应的线卡上,从而节省全局资源,有效利用全局资源设置全局安全处理策略,来对数据报文进行有效过滤,从而提高安全控制效果。
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
附图说明
图1为机箱式集中转发交换机的一个结构示意图;
图2为应用分散式安全控制方法的交换机结构示意图;
图3为应用集中式安全控制方法的交换机结构示意图;
图4为本发明安全控制方法一个实施例的流程图;
图5为本发明安全控制方法另一个实施例的流程图;
图6为本发明对数据报文进行第一次过滤一个实施例的流程图;
图7为本发明交换机一个实施例的结构示意图;
图8为本发明交换机另一个实施例的结构示意图;
图9为本发明第一安全处理引擎一个实施例的结构示意图;
图10为本发明交换机又一个实施例的结构示意图;
图11为本发明第二安全处理引擎一个实施例的结构示意图。
具体实施方式
本发明实施例中,在线卡上设置第一安全处理引擎,并在其中部署接口安全处理策略,据此实现对数据报文的第一次过滤,在管理板上设置第二安全处理引擎,并在其中部署全局安全处理策略,据此实现对数据报文的二次过滤,合理利用线卡与交换机上的安全处理策略的存储容量,提高线卡与交换机上的安全处理引擎的容量利用率,并有效实现对数据报文的安全控制。
图4为本发明安全控制方法一个实施例的流程图。该实施例的流程可以由机箱式集中转发交换机实现。如图4所示,该实施例的流程包括:
步骤101,线卡上的网络接口接收数据报文。
步骤102,线卡上的第一安全处理引擎利用接口安全处理策略对数据报文进行第一次过滤。
将与网络接口相关的安全处理策略部署在相应的线卡上,就避免了接口安全处理策略占用管理板上安全处理策略的存储容量,从而节省了全局资源,可以更加有效、合理的分配与利用全局资源,并且可以利用线卡上的存储容量有效设置接口安全处理策略来对数据报文进行有效过滤,提高安全控制效果。
步骤103,线卡在第一次过滤后输出数据报文时,将该输出的数据报文发送给管理板。
步骤104,管理板上的第二安全处理引擎利用全局安全处理策略对输出的数据报文进行第二次过滤。
将全局安全处理策略部署在管理版上,从而不需要将其分别部署在各线 卡上,因此,所占用的存储空间较少;并且,可管理性较好,在全局安全处理策略变化时,只需要对全局安全处理策略进行更新即可,减小了安全处理策略的更新工作量。
步骤105,管理板在第二次过滤后输出合法的数据报文时,对该合法的数据报文进行转发处理。
本发明安全控制方法实施例在线卡上设置第一安全处理引擎,利用其中部署的接口安全处理策略对数据报文进行第一次过滤,并在管理板上设置第二安全处理引擎,利用其中部署的全局安全处理策略对数据报文进行第二次过滤,合理利用了管理板与线卡上安全处理策略的存储容量,提高了安全控制效果。例如:在管理板上的第二安全处理引擎中部署与所有网络接口关联的安全ACL,以应对常见的网络攻击以及计算机病毒,并在各线卡上的第一安全处理引擎中分别部署与该线卡上网络接口关联的用户认证授权策略,例如:在一个线卡的第一安全处理引擎中部署其网络接口关联的802.1x用户授权策略,在另一个线卡的第一安全处理引擎中部署其网络接口关联的DHCP的IP地址与介质访问控制(Media Access Control,以下简称:MAC)地址绑定策略。
图5为本发明安全控制方法另一个实施例的流程图。该实施例的流程也可以由机箱式集中转发交换机实现。如图5所示,该实施例的流程包括:
步骤201,线卡上的网络接口接收网络中的数据报文,该网络接口也称为接收网络接口,并对接收到的数据报文标识接收该数据报文的接收网络接口信息后发送给第一接收模块。其中的网络接口信息可以是网络接口号或网络接口名称,也可以是其它唯一标识交换机上该网络接口的其它信息。
步骤202,第一接收模块将网络接口发送的数据报文发送给该线卡上的第一安全处理引擎。
步骤203,第一安全处理引擎利用其中部署的接口安全处理策略,对数 据报文进行第一次过滤,丢弃非法数据报文,并将输出的数据报文发送给第一发送模块。
步骤204,线卡上的第一发送模块在第一次过滤后输出数据报文时,将该输出的数据报文发送给管理板上的第二接收模块。
步骤205,管理板上的第二安全处理引擎利用其中部署的全局安全处理策略,对第二接收模块接收到的数据报文进行第二次过滤,丢弃非法数据报文,输出合法的数据报文。
步骤206,管理板上的确定模块在第二安全处理引擎进行第二次过滤后输出合法的数据报文时,根据合法的数据报文中的转发目的地址,确定发送该合法的数据报文的网络接口,该网络接口也称为发送网络接口。
步骤207,管理板上的标识模块对合法的数据报文标识发送网络接口信息,生成待发送数据报文,并通过第二发送模块将该待发送数据报文发送给设置该发送网络接口的线卡上的第一接收模块。
步骤208,第一接收模块根据待发送数据报文携带的发送网络接口信息,将该待发送数据报文转发给相应的发送网络接口。
步骤209,发送网络接口剥离该待发送数据报文携带的发送网络接口信息,然后输出数据报文,根据该数据报文中的目的转发地址发送该数据报文。
作为本发明的一个实施例,步骤102与步骤203可以通过以下流程实现:
第一安全处理引擎对数据报文进行解析,获取数据报文各字段的数据内容及接收网络接口信息;
比较各字段的数据内容及接收网络接口信息,是否与第一安全处理引擎上第一策略表中的各接口安全处理策略匹配。其中的接口安全处理策略可以包括:是否关心接收网络接口、接收网络接口号、数据报文类型、数据报文类型的字段与各字段的数据内容中的任意一个或多个,与该接口安 全处理策略对应的过滤行为。其中的过滤行为也可以称为数据报文转发行为,包括丢弃该数据报文、转发该数据报文、将该数据报文的某个字段的数据内容修改为预设内容、或将该数据报文转发到指定目的地址;
若各字段的数据内容及接收网络接口信息与第一策略表中的一条接口安全处理策略匹配,则获取该接口安全处理策略对应的过滤行为,并利用该过滤行为对数据报文进行第一次过滤;
若各字段的数据内容及接收网络接口信息与第一策略表中的多条接口安全处理策略匹配,则根据预先设定,从多条接口安全处理策略中选取一条接口安全处理策略,例如:选取第一策略表中第一条匹配的接口安全处理策略,获取该选取的接口安全处理策略对应的过滤行为,并利用该过滤行为对数据报文进行第一次过滤。如果获取或选取的过滤行为是将该数据报文转发到指定目的地址,则相应的,利用该过滤行为对数据报文进行第一次过滤具体为:将数据报文的目的转发地址修改为指定目的地址。
作为本发明的另一个实施例,步骤104与步骤205可以通过以下流程实现:
第二安全处理引擎对输出的数据报文进行解析,获取输出的数据报文各字段的数据内容;
比较各字段的数据内容是否与第二安全处理引擎上第二策略表中的各全局安全处理策略匹配。其中的全局安全处理策略可以包括:数据报文类型、数据报文类型的字段与各字段的数据内容中的任意一个或多个,与该接口安全处理策略对应的过滤行为。其中的过滤行为也可以称为数据报文转发行为,包括丢弃该数据报文、转发该数据报文、将该数据报文的某个字段的数据内容修改为预设内容、或将该数据报文转发到指定目的地址;
若各字段的数据内容与第二策略表中的一条全局安全处理策略匹配,则获取该全局安全处理策略对应的过滤行为,并利用该过滤行为对输出的数据报文进行第二次过滤;
若各字段的数据内容与第二策略表中的多条全局安全处理策略匹配,则根据预先设定,从多条全局安全处理策略中选取一条全局安全处理策略,例如:选取第一策略表中第一条匹配的接口安全处理策略,获取该选取的全局安全处理策略对应的过滤行为,并利用该过滤行为对输出的数据报文进行第二次过滤。如果获取或选取的过滤行为是将该数据报文转发到指定目的地址,则相应的,利用该过滤行为对数据报文进行第二次过滤具体为:将数据报文的目的转发地址修改为指定目的地址。
图6为本发明对数据报文进行第一次过滤一个实施例的流程图。该实施例的流程可以由第一安全处理引擎实现。假设第一安全处理引擎中部署的接口安全处理策略包括是否关心接收网络接口、接收网络接口号、数据报文类型、数据报文类型的字段与各字段的数据内容。对数据报文进行解析,获取数据报文各字段的数据内容及接收网络接口信息后,针对每一条接口安全处理策略,如图6所示,执行本实施例的如下流程:
步骤301,是否不关心接收网络接口,或数据报文的接收网络接口号与接口安全处理策略中的接收网络接口号相同。若不关心接收网络接口,或数据报文的接收网络接口号与接口安全处理策略中的接收网络接口号相同,执行步骤302;否则,若关心接收网络接口并且数据报文的接收网络接口号与接口安全处理策略中的接收网络接口号不同,执行步骤308。
步骤302,比较接收到的数据报文的类型与接口安全处理策略中的数据报文类型是否一致。若一致,执行步骤303;否则,执行步骤308。
步骤303,读取接口安全处理策略中的第一个字段。
步骤304,比较接收到的数据报文中相应字段的数据内容与接口安全处理策略中的第一个字段的数据内容是否相同。若相同,执行步骤305;否则,执行步骤308。
步骤305,判断接口安全处理策略中是否存在下一个字段。若存在,以该下一个字段作为第一个字段,执行步骤303;否则,执行步骤306。
步骤306,认为接收到的数据报文与该接口安全处理策略匹配,从该接口安全处理策略中获取相应的过滤行为。
步骤307,利用获取到的过滤行为对接收到的数据报文进行第一次过滤。之后,不再执行本实施例的后续流程。
步骤308,认为接收到的数据报文与该接口安全处理策略不匹配,不对接收到的数据报文进行第一次过滤。
作为本发明的一个具体实施例,不对接收到的数据报文进行第一次过滤时,可以根据预先设定,直接转发该数据报文,也可以丢弃该数据报文,或者对该数据报文进行其它处理。
步骤309,查询第一策略表中是否存在下一条接口安全处理策略,若存在,针对下一条接口安全处理策略,执行步骤301;否则,若不存在,不对接收到的数据报文进行第一次过滤,线卡可以直接向管理板转发该数据报文。
在图6所示的实施例中,默认利用第一策略表中第一条匹配的接口安全处理策略对接收到的数据报文进行第一次过滤。如果根据预先设定,不是利用第一策略表中第一条匹配的接口安全处理策略对接收到的数据报文进行第一次过滤,例如:采用第一策略表中最后一条匹配的接口安全处理策略对接收到的数据报文进行第一次过滤,则步骤305中,不存在下一个字段时,直接执行步骤309,从而选出第一策略表中所有匹配的接口安全处理策略,并根据预先设定,从中选取一条接口安全处理策略,获取该选取的接口安全处理策略对应的过滤行为,并利用该过滤行为对数据报文进行第一次过滤。
另外,在本发明安全控制方法的各实施例中,也可以在线卡上的存储容量不足以存储接口安全处理策略时,将一部分策略接口安全处理策略部署到管理板上的安全处理引擎中,宏观上提高线卡上的接口安全策略的容量;以及在管理板上的存储容量不足以存储全局安全处理策略时,将一部分全局安全策略部署到线卡上的安全处理引擎中。
图7为本发明交换机一个实施例的结构示意图,该实施例的交换机可用于实现如本发明图4至图6所示实施例的流程。如图7所示,该实施例的交换机包括管理板401与一个或多个线卡402。
其中,线卡402上设置有第一安全处理引擎500,用于利用接口安全处理策略对接收到的数据报文进行第一次过滤,并在第一次过滤后输出数据报文时,将该输出的数据报文发送给管理板401,以及接收管理板401发送的待发送数据报文,通过该待发送数据报文携带的发送网络接口信息,相应的网络接口发送该数据报文。
管理板401上设置有第二安全处理引擎600,用于利用全局安全处理策略对线卡402输出的数据报文进行第二次过滤,并在第二次过滤后输出合法的数据报文时,对该合法的数据报文标识发送该合法的数据报文的发送网络接口信息,生成的待发送数据报文并发送给发送网络接口信息对应的线卡402。
本发明实施例在交换机的线卡上设置第一安全处理引擎,利用其中部署的接口安全处理策略对数据报文进行第一次过滤,并在管理板上设置第二安全处理引擎,利用其中部署的全局安全处理策略对数据报文进行第二次过滤,合理利用了管理板与线卡上安全处理策略的存储容量,提高了安全控制效果。
图8为本发明交换机另一个实施例的结构示意图,该实施例的交换机也可用于实现如本发明图4至图6所示实施例的流程。与图7所示的实施例相比,该实施例中,线卡402包括第一接收模块501、第一安全处理引擎500、第一发送模块502与一个或多个网络接口503。其中,网络接口503用于接收网络中的数据报文,并将该数据报文转发给第一接收模块501,以及用于接收第一发送模块502发送的待发送数据报文,剥离该待发送数据报文携带的发送网络接口信息后,发送该数据报文。第一接收模块501用于接收网络接口503发送的数据报文,以及接收管理板401发送 的待发送数据报文。第一安全处理引擎500中部署有接口安全处理策略,用于利用该接口安全处理策略,对第一接收模块501接收到的数据报文进行第一次过滤。第一发送模块502用于在第一安全处理引擎500输出数据报文时,将该输出的数据报文发送给管理板401,以及根据待发送数据报文携带的发送网络接口信息,将待发送数据报文转发给用于发送该数据报文的相应网络接口503。
在图8所示的实施例中,网络接口503还可用于对接收到的数据报文标识接收该数据报文的接收网络接口信息。相应的,图9为本发明第一安全处理引擎一个实施例的结构示意图。如图9所示,第一安全处理引擎500包括第一解析单元51、第一存储单元52、第一比较单元53、第一选取单元54、第一获取单元55与第一过滤单元56。其中,第一解析单元51用于对第一接收模块501接收到的数据报文进行解析,获取该数据报文各字段的数据内容及接收网络接口信息。第一存储单元52用于存储第一策略表,该第一策略表中包括一个或多个接口安全处理策略。第一比较单元53用于比较第一解析单元51获取到的各字段的数据内容及接收网络接口信息,是否与第一存储单元52存储的第一策略表中的各接口安全处理策略匹配。第一选取单元54用于根据第一比较单元53的比较结果,在各字段的数据内容及接收网络接口信息与第一策略表中的多条接口安全处理策略匹配时,根据预先设定,从多条接口安全处理策略中选取一条接口安全处理策略。第一获取单元55用于根据第一比较单元53的比较结果,在各字段的数据内容及网络接口信息与第一策略表中的一条接口安全处理策略匹配时,从第一存储单元52存储的第一策略表中获取该接口安全处理策略对应的过滤行为,以及在各字段的数据内容及接收网络接口信息与第一策略表中的多条接口安全处理策略匹配时,从第一存储单元52存储的第一策略表中获取第一选取单元54选取的接口安全处理策略对应的过滤行为。第一过滤单元56用于利用第一获取单元55获取的过滤行为,对第一接收模块501接收到的数据报文进行第一次过滤。 相应的,第一发送模块502用于在第一过滤单元56输出数据报文时,将该输出的数据报文发送给管理板401。
图10为本发明交换机又一个实施例的结构示意图,该实施例的交换机也可用于实现如本发明图4至图6所示实施例的流程。与图7或图8所示的实施例相比,该实施例中,管理板401包括第二接收模块601、第二安全处理引擎600、确定模块602、标识模块603与第二发送模块604。其中,第二接收模块601用于接收线卡402输出的数据报文。第二安全处理引擎600中部署有全局安全处理策略,用于利用该全局安全处理策略,对第二接收模块601接收到的数据报文进行第二次过滤。确定模块602用于在第二安全处理引擎600输出合法的数据报文时,根据该合法的数据报文中的转发目的地址,确定发送该合法的数据报文的发送网络接口503。标识模块603用于对合法的数据报文标识发送该合法的数据报文的发送网络接口信息,生成待发送数据报文。第二发送模块604用于根据发送网络接口信息,将标识模块603生成的待发送数据报文发送给设置发送网络接口的线卡402。
图11为本发明第二安全处理引擎一个实施例的结构示意图。如图11所示,该第二安全处理引擎600包括第二解析单元61、第二存储单元62、第二比较单元63、第二选取单元64、第二获取单元65与第二过滤单元66。其中,第二解析单元61用于对第二接收模块601接收到的数据报文进行解析,获取该数据报文各字段的数据内容。第二存储单元62用于存储第二策略表,该第二策略表中包括一个或多个全局安全处理策略。第二比较单元63用于比较第二解析单元61获取到的各字段的数据内容是否与第二存储单元62存储的第二策略表中的各全局安全处理策略匹配。第二选取单元64用于根据第二比较单元63的比较结果,在各字段的数据内容与第二策略表中的多条全局安全处理策略匹配时,根据预先设定,从多条全局安全处理策略中选取一条全局安全处理策略。第二获取单元65用于根据第二比较单元63的比较结果,在各字段的数据内容与第二策略表中的一条全局安全处理策略匹配 时,从第二存储单元62存储的第二策略表中获取该全局安全处理策略对应的过滤行为,以及在各字段的数据内容与第二策略表中的多条全局安全处理策略匹配时,从第二存储单元62存储的第二策略表中获取第二选取单元64选取的全局安全处理策略对应的过滤行为。第二过滤单元66用于利用第二获取单元65获取的过滤行为,对第二接收模块601接收到的数据报文进行第二次过滤。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
本发明实施例可以在线卡上设置第一安全处理引擎,利用其中部署的接口安全处理策略对数据报文进行第一次过滤,并在管理板上设置第二安全处理引擎,利用其中部署的全局安全处理策略对数据报文进行第二次过滤,合理利用了管理板与线卡上安全处理策略的存储容量,提高了安全控制效果。
最后所应说明的是:以上实施例仅用以说明本发明的技术方案,而非对本发明作限制性理解。尽管参照上述较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解:其依然可以对本发明的技术方案进行修改或者等同替换,而这种修改或者等同替换并不脱离本发明技术方案的精神和范围。
Claims (10)
1.一种安全控制方法,其特征在于,包括:
线卡上的网络接口接收数据报文;
所述线卡上的第一安全处理引擎利用接口安全处理策略对所述数据报文进行第一次过滤;
所述线卡在第一次过滤后输出数据报文时,将该输出的数据报文发送给管理板;
所述管理板上的第二安全处理引擎利用全局安全处理策略对所述输出的数据报文进行第二次过滤;
所述管理板在第二次过滤后输出合法的数据报文时,对该合法的数据报文进行转发处理;
如果所述线卡上的存储容量不足,所述第二安全处理引擎上还部署有部分接口安全处理策略,所述第一安全处理引擎上部署剩余接口安全处理策略;相应的,所述线卡上的第一安全处理引擎利用剩余接口安全处理策略对所述数据报文进行第一次过滤;所述管理板上的第二安全处理引擎利用全局安全处理策略和部分接口安全处理策略对所述数据报文进行第二次过滤;
如果所述管理板上的存储容量不足,所述第一安全处理引擎上还部署有部分全局安全处理策略,所述第二安全处理引擎上部署剩余全局安全处理策略;相应的,所述线卡上的第一安全处理引擎利用接口安全处理策略和部分全局安全处理策略对所述数据报文进行第一次过滤;所述管理板上的第二安全处理引擎利用剩余全局安全处理策略对所述数据报文进行第二次过滤。
2.根据权利要求1所述的方法,其特征在于,还包括:
在所述第一安全处理引擎上部署接口安全处理策略;以及
在所述第二安全处理引擎上部署全局安全处理策略。
3.根据权利要求2所述的方法,其特征在于,所述线卡上的网络接口接收数据报文后,还对该接收到的数据报文标识接收该数据报文的接收网络接口信息。
4.根据权利要求3所述的方法,其特征在于,所述第一安全处理引擎利用接口安全处理策略对所述数据报文进行第一次过滤包括:
所述第一安全处理引擎对所述数据报文进行解析,获取所述数据报文各字段的数据内容及所述接收网络接口信息;
比较所述各字段的数据内容及所述接收网络接口信息,是否与所述第一安全处理引擎上第一策略表中的各接口安全处理策略匹配;
若所述各字段的数据内容及所述接收网络接口信息与所述第一策略表中的一条接口安全处理策略匹配,则获取该接口安全处理策略对应的过滤行为,并利用该过滤行为对所述数据报文进行第一次过滤;
若所述各字段的数据内容及所述接收网络接口信息与所述第一策略表中的多条接口安全处理策略匹配,则根据预先设定,从所述多条接口安全处理策略中选取一条接口安全处理策略,获取该选取的接口安全处理策略对应的过滤行为,并利用该过滤行为对所述数据报文进行第一次过滤。
5.根据权利要求1至4任意一项所述的方法,其特征在于,所述管理板上的第二安全处理引擎利用全局安全处理策略对所述输出的数据报文进行第二次过滤包括:
所述第二安全处理引擎对所述输出的数据报文进行解析,获取所述输出的数据报文各字段的数据内容;
比较所述各字段的数据内容是否与所述第二安全处理引擎上第二策略表中的各全局安全处理策略匹配;
若所述各字段的数据内容与所述第二策略表中的一条全局安全处理策略匹配,则获取该全局安全处理策略对应的过滤行为,并利用该过滤行为对所述输出的数据报文进行第二次过滤;
若所述各字段的数据内容与所述第二策略表中的多条全局安全处理策略匹配,则根据预先设定,从所述多条全局安全处理策略中选取一条全局安全处理策略,获取该选取的全局安全处理策略对应的过滤行为,并利用该过滤行为对所述输出的数据报文进行第二次过滤。
6.一种交换机,包括管理板与一个或多个线卡,其特征在于,所述线卡上设置有第一安全处理引擎,用于利用接口安全处理策略对接收到的数据报文进行第一次过滤,并在第一次过滤后输出数据报文时,将该输出的数据报文发送给所述管理板,以及接收所述管理板发送的待发送数据报文,通过该待发送数据报文携带的发送网络接口信息相应的网络接口发送该待发送数据报文;
所述管理板上设置有第二安全处理引擎,用于利用全局安全处理策略对所述输出的数据报文进行第二次过滤,并在第二次过滤后输出合法的数据报文时,对该合法的数据报文标识发送该合法的数据报文的所述发送网络接口信息,并将标识该发送网络接口信息后生成的待发送数据报文发送给所述发送网络接口信息对应的线卡;
如果所述线卡上的存储容量不足,所述第二安全处理引擎上还部署有部分接口安全处理策略,所述第一安全处理引擎上部署剩余接口安全处理策略;相应的,所述线卡上的第一安全处理引擎利用剩余接口安全处理策略对所述数据报文进行第一次过滤;所述管理板上的第二安全处理引擎利用全局安全处理策略和部分接口安全处理策略对所述数据报文进行第二次过滤;
如果所述管理板上的存储容量不足,所述第一安全处理引擎上还部署有部分全局安全处理策略,所述第二安全处理引擎上部署剩余全局安全处理策略;相应的,所述线卡上的第一安全处理引擎利用接口安全处理策略和部分全局安全处理策略对所述数据报文进行第一次过滤;所述管理板上的第二安全处理引擎利用剩余全局安全处理策略对所述数据报文进行第二次过滤。
7.根据权利要求6所述的交换机,其特征在于,所述线卡还包括:一个或多个网络接口、第一接收模块与第一发送模块;
所述网络接口,用于接收所述数据报文并将该数据报文转发给所述第一接收模块,以及接收所述第一发送模块发送的待发送数据报文,剥离所述待发送数据报文携带的发送网络接口信息后发送该数据报文;
所述第一接收模块,用于接收所述网络接口发送的数据报文,以及接收所述管理板发送的所述待发送数据报文;
所述第一安全处理引擎,用于利用接口安全处理策略,对所述第一接收模块接收到的所述数据报文进行第一次过滤;
所述第一发送模块,用于在所述第一安全处理引擎输出数据报文时,将该输出的数据报文发送给所述管理板,以及根据所述待发送数据报文携带的发送网络接口信息,将所述待发送数据报文转发给用于发送该数据报文的网络接口。
8.根据权利要求7所述的交换机,其特征在于,所述网络接口还用于对接收到的所述数据报文标识接收该数据报文的接收网络接口信息;
所述第一安全处理引擎包括:
第一解析单元,用于对所述第一接收模块接收到的数据报文进行解析,获取所述数据报文各字段的数据内容及所述接收网络接口信息;
第一存储单元,用于存储第一策略表,该第一策略表中包括一个或多个接口安全处理策略;
第一比较单元,用于比较所述各字段的数据内容及所述接收网络接口信息,是否与所述第一策略表中的各接口安全处理策略匹配;
第一选取单元,用于根据第一比较单元的比较结果,在所述各字段的数据内容及所述接收网络接口信息与所述第一策略表中的多条接口安全处理策略匹配时,根据预先设定,从所述多条接口安全处理策略中选取一条接口安全处理策略;
第一获取单元,用于根据第一比较单元的比较结果,在所述各字段的数据内容及所述网络接口信息与所述第一策略表中的一条接口安全处理策略匹配时,获取该接口安全处理策略对应的过滤行为,以及在所述各字段的数据内容及所述接收网络接口信息与所述第一策略表中的多条接口安全处理策略匹配时,获取所述第一选取单元选取的接口安全处理策略对应的过滤行为;
第一过滤单元,用于利用所述第一获取单元获取的过滤行为,对所述第一接收模块接收到的数据报文进行第一次过滤。
9.根据权利要求6所述的交换机,其特征在于,所述管理板包括:
第二接收模块,用于接收所述线卡发送的输出的数据报文;
第二安全处理引擎,用于利用全局安全处理策略,对所述第二接收模块接收到的所述输出的数据报文进行第二次过滤;
确定模块,用于在所述第二安全处理引擎输出合法的数据报文时,根据所述合法的数据报文中的转发目的地址,确定发送该合法的数据报文的发送网络接口;
标识模块,用于对所述合法的数据报文标识发送该合法的数据报文的所述发送网络接口信息,生成待发送数据报文;
第二发送模块,用于根据所述发送网络接口信息,将所述待发送数据报文发送给相应的线卡。
10.根据权利要求9所述的交换机,其特征在于,所述第二安全处理引擎包括:
第二解析单元,用于对所述第二接收模块接收到的数据报文进行解析,获取所述数据报文各字段的数据内容;
第二存储单元,用于存储第二策略表,该第二策略表中包括一个或多个全局安全处理策略;
第二比较单元,用于比较所述各字段的数据内容是否与所述第二策略表中的各全局安全处理策略匹配;
第二选取单元,用于根据第二比较单元的比较结果,在所述各字段的数据内容与所述第二策略表中的多条全局安全处理策略匹配时,根据预先设定,从所述多条全局安全处理策略中选取一条全局安全处理策略;
第二获取单元,用于根据第二比较单元的比较结果,在所述各字段的数据内容与所述第二策略表中的一条全局安全处理策略匹配时,获取该全局安全处理策略对应的过滤行为,以及在所述各字段的数据内容与所述第二策略表中的多条全局安全处理策略匹配时,获取所述第二选取单元选取的全局安全处理策略对应的过滤行为;
第二过滤单元,用于利用所述第二获取单元获取的过滤行为,对所述第二接收模块接收到的数据报文进行第二次过滤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009100858454A CN101567848B (zh) | 2009-06-01 | 2009-06-01 | 安全控制方法与交换机 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009100858454A CN101567848B (zh) | 2009-06-01 | 2009-06-01 | 安全控制方法与交换机 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101567848A CN101567848A (zh) | 2009-10-28 |
| CN101567848B true CN101567848B (zh) | 2012-01-25 |
Family
ID=41283806
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009100858454A Expired - Fee Related CN101567848B (zh) | 2009-06-01 | 2009-06-01 | 安全控制方法与交换机 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101567848B (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102137082A (zh) * | 2010-08-19 | 2011-07-27 | 华为技术有限公司 | 内容过滤的方法及装置 |
| CN102427429B (zh) * | 2012-01-12 | 2016-12-14 | 神州数码网络(北京)有限公司 | 一种实现交换机内部报文安全防护的方法、系统以及交换机 |
| WO2014067043A1 (zh) * | 2012-10-29 | 2014-05-08 | 华为技术有限公司 | 网络流量检测方法、系统、设备及控制器 |
| GB201302402D0 (en) * | 2013-02-11 | 2013-03-27 | Telecom Ltd Q | Communication apparatus |
| CN104601578B (zh) * | 2015-01-19 | 2018-05-22 | 福建星网锐捷网络有限公司 | 一种攻击报文识别方法、装置及核心设备 |
| CN106385450A (zh) * | 2016-09-13 | 2017-02-08 | 宇龙计算机通信科技(深圳)有限公司 | 数据过滤方法及系统 |
| CN106603523A (zh) * | 2016-12-09 | 2017-04-26 | 北京东土军悦科技有限公司 | 一种报文转发方法及网络交换设备 |
| CN110460475B (zh) * | 2019-08-22 | 2022-04-05 | 北京物芯科技有限责任公司 | 一种报文安全处理系统和方法 |
| CN114338438B (zh) * | 2021-12-02 | 2023-07-28 | 中国联合网络通信集团有限公司 | 一种上网行为的管理方法、系统存储介质及设备 |
-
2009
- 2009-06-01 CN CN2009100858454A patent/CN101567848B/zh not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| CN101567848A (zh) | 2009-10-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101567848B (zh) | 安全控制方法与交换机 | |
| CN100361066C (zh) | 网络中共享资源的使用、及其控制和监视的方法和装置 | |
| US8719170B2 (en) | Method and system for transferring software and hardware feature licenses between devices | |
| CN101442425B (zh) | 网关的管理方法及装置、系统 | |
| CN100417142C (zh) | 将接口流量在多个网络处理器引擎中均担的方法 | |
| NL8301458A (nl) | Werkwijze voor het distribueren en benutten van vercijferingssleutels. | |
| CN104133776B (zh) | 存储阵列自动化配置方法、装置及存储系统 | |
| JP5466723B2 (ja) | ホスト提供システム及び通信制御方法 | |
| CN103152282A (zh) | 用于高级负载均衡及故障排除功能性的单一逻辑网络接口 | |
| CN101883090A (zh) | 一种客户端的接入方法、设备及系统 | |
| CN105024839B (zh) | 一种软件版本升级的方法及装置 | |
| CN102843286A (zh) | 虚拟路由器的实现方法、装置及系统 | |
| JP2005530401A (ja) | ワイヤレス・ワークグループのトークン制御構成 | |
| CN102594660A (zh) | 一种虚拟接口交换方法、装置及系统 | |
| CN102148751B (zh) | 逻辑接口管理方法、装置及网络设备 | |
| CN102571996A (zh) | Ip地址分配方法、装置以及网络系统 | |
| CN108347731A (zh) | 一种进行安全绑定的方法、介质、设备及终端 | |
| US8051416B2 (en) | Method for a user-specific configuration of a computer from a group of prepared computers | |
| CN104919762A (zh) | 软件定义网络中的控制方法,控制设备和处理器 | |
| CN106464745A (zh) | Dns的服务器、客户端及数据同步方法 | |
| CN201467157U (zh) | 交换机 | |
| CN107148020A (zh) | WiFi共享系统及其方法、无线网络设备及路由器 | |
| CN102811338A (zh) | 一种视频会议系统中多级回传视频信号的控制方法及装置 | |
| CN106790182B (zh) | 分布式业务服务系统及集中服务控制方法与其相应的装置 | |
| CN102006267A (zh) | 基于简单网络协议的接入认证方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120125 Termination date: 20210601 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |