CN101714958B - 多功能综合安全网关系统 - Google Patents
多功能综合安全网关系统 Download PDFInfo
- Publication number
- CN101714958B CN101714958B CN2009102088942A CN200910208894A CN101714958B CN 101714958 B CN101714958 B CN 101714958B CN 2009102088942 A CN2009102088942 A CN 2009102088942A CN 200910208894 A CN200910208894 A CN 200910208894A CN 101714958 B CN101714958 B CN 101714958B
- Authority
- CN
- China
- Prior art keywords
- message
- module
- security gateway
- network
- virus
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000012545 processing Methods 0.000 claims abstract description 32
- 230000002155 anti-virotic effect Effects 0.000 claims abstract description 16
- 238000001514 detection method Methods 0.000 claims abstract description 15
- 238000005516 engineering process Methods 0.000 claims abstract description 15
- 238000000034 method Methods 0.000 claims abstract description 15
- 230000008569 process Effects 0.000 claims abstract description 8
- 241000700605 Viruses Species 0.000 claims abstract description 6
- 238000001914 filtration Methods 0.000 claims description 12
- 230000003542 behavioural effect Effects 0.000 claims description 3
- 230000000694 effects Effects 0.000 claims description 3
- 238000003909 pattern recognition Methods 0.000 claims description 3
- 238000012360 testing method Methods 0.000 claims description 3
- 238000012546 transfer Methods 0.000 claims description 3
- 230000006870 function Effects 0.000 abstract description 8
- 238000012423 maintenance Methods 0.000 abstract 1
- 230000006399 behavior Effects 0.000 description 5
- 238000013461 design Methods 0.000 description 3
- 238000007689 inspection Methods 0.000 description 3
- RZWWGOCLMSGROE-UHFFFAOYSA-N n-(2,6-dichlorophenyl)-5,7-dimethyl-[1,2,4]triazolo[1,5-a]pyrimidine-2-sulfonamide Chemical compound N1=C2N=C(C)C=C(C)N2N=C1S(=O)(=O)NC1=C(Cl)C=CC=C1Cl RZWWGOCLMSGROE-UHFFFAOYSA-N 0.000 description 3
- 230000001133 acceleration Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000002265 prevention Effects 0.000 description 2
- 230000008521 reorganization Effects 0.000 description 2
- 230000005856 abnormality Effects 0.000 description 1
- 230000003044 adaptive effect Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000006835 compression Effects 0.000 description 1
- 238000007906 compression Methods 0.000 description 1
- 238000005314 correlation function Methods 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000007493 shaping process Methods 0.000 description 1
- 238000001228 spectrum Methods 0.000 description 1
- 238000005728 strengthening Methods 0.000 description 1
- 230000007306 turnover Effects 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及一种多功能综合安全网关系统,其特征在于:包括管理中心、数据中心、报文接收模块、报文处理模块、报文发送模块、行为知识库及统一特征库;网络报文首先通过所述的报文接收模块进行预处理后进入所述的报文处理模块,其次利用完全性保护技术在报文处理过程中,实时将网络层数据负载重组为应用层对象,再通过动态更新病毒和蠕虫特征来进行扫描和分析;最后,对于合法报文进行报文转发,对于非法报文,送交响应的处理引擎进行处理;本发明将防病毒和入侵检测功能融合于防火墙中,能有效提高网络安全性能,维护开销小,总体拥有成本低,具有一定的市场价值。
Description
技术领域
本发明涉及网络安全网关技术领域,特别是一种多功能综合安全网关系统。
背景技术
现有技术主要有防火墙,防火墙采用先进的内核状态检测包过滤技术,在操作系统的内核级实现了多层次的数据流检测,实现对数据流的细粒度检测。防火墙在数据链路层上实现了对数据帧的控制,网络层、传输层实现策略路由和状态检测包过滤,应用层实现了通用的内容过滤。日志的生成也是由内核提交给日志守护进程,使日志信息异常丰富,能够精确到每一个会话的数据流量。从中可以看出防火墙主要是检测网络层和传输层的数据包状态,并根据相应的策略作处理,其技术是一种用来加强网络之间访问控制,主要基于数据包的五元组信息对数据包进行过滤,对所有的进出数据包的状态进行检测,一般工作于网络OSI参考模型的3~4层,对于应用层防火墙只能简单的识别常见服务,无法深层次分析,如面对隐藏在应用中的病毒、木马是毫无办法的。可见防火墙功能较单一,无法解决整个网络层次应用的安全,需和带有其它功能的设备组合使用,如防病毒、入侵防御、反垃圾邮件和内容过滤等。
发明内容
鉴于上述的技术不足,本发明的目的是提供一种多功能综合安全网关系统,其实现将防病毒与入侵检测功能融合于防火墙中,提供从网络层到应用层的全面安全保护。
本发明是这样实现的,一种多功能综合安全网关系统,其特征在于:包括管理中心、数据中心、报文接收模块、报文处理模块、报文发送模块、行为知识库及统一特征库;网络报文首先通过所述的报文接收模块进行预处理后进入所述的报文处理模块,在报文处理模块中,防火墙进行2~3层过滤,VPN负责接入控制,其中模块匹配引擎和行为分析引擎分别根据所述的统一特征库和行为知识库进行匹配查找;其次利用完全性保护技术在报文处理过程中,实时将网络层数据负载重组为应用层对象,再通过动态更新病毒和蠕虫特征来进行扫描和分析;最后,对于合法报文直接交由所述的报文发送模块进行报文转发,对于非法报文,送交相应的处理引擎进行处理;其中整个过程的日志信息和数据流量信息送所述的数据中心进行监控和备案,所述管理中心负责整体的配置和调整。
本发明具有以下有益效果:
1、将防病毒和入侵检测功能融合于防火墙之中,成为防御混合型攻击的利剑。
2、提供综合的功能和安全的性能,降低了复杂度,也降低了成本,适合企业、服务提供商和中小办公用户的网络环境。
3、能为用户定制安全策略,提供灵活性。用户既可以使用综合安全网关的全部功能,也可酌情使用最需要的某一特定功能。
4、能提供全面的管理、报告和日志平台,用户可以统一地管理全部安全特性,包括特征库更新和日志报告等。
附图说明
图1是本发明的系统架构原理示意图。
图2是本发明的硬件架构示意图。
具体实施方式
下面结合附图及实施例子对本发明做进一步说明。
首先,为让一般技术人员充分了解本发明,这里我们先对本发明采用的相关技术进行简述:
1)、完全性内容保护(CCP)
CCP提供对OSI网络模型所有层次上的网络威胁的实时保护。这种方法比防火墙状态检测(检查数据包头)和深度包检测(在状态检测包过滤基础上提供额外检查)等技术先进。它具备在千兆网络环境中,实时将网络层数据负载重组为应用层对象(如文件和文档)的能力,而且重组之后的应用层对象可以通过动态更新病毒和蠕虫特征来进行扫描和分析。CCP还可探测其他各种威胁,包括不良Web内容、垃圾邮件、间谍软件和网络钓鱼欺骗。
2)、ASIC加速技术
ASIC芯片是综合安全网关产品的一个关键组成部分。为了提供千兆级实时的应用层安全服务(如防病毒和内容过滤)的平台,专门为网络骨干和边界上高性能内容处理设计的体系结构是必不可少的。ASIC芯片集成了硬件扫描引擎、硬件加密和实时内容分析处理能力,提供防火墙、加密/解密,特征匹配和启发式数据包扫描,以及流量整形的加速功能。由于CCP需要强劲的处理能力和更大容量的内存来支持,仅利用通用服务器和网络系统要实现内容处理往往在性能上达不到要求。
3)、定制的操作系统OS
专用的强化安全的OS提供精简的、高性能防火墙和内容安全检测平台。基于内容处理加速模块的硬件加速,加上智能排队和管道管理,OS使各种类型流量的处理时间达到最小,从而给用户提供最好的实时系统,有效地实现防病毒、防火墙、VPN、反垃圾邮件、IDP等功能。
4)、紧密型模式识别语言(CPRL)
这一智能技术是针对完全的内容防护中大量计算程式所需求的加速而设计的。状态检测防火墙、防病毒检测和入侵检测的功能要求,引发了新的安全算法包括基于行为的启发式算法,利用在安全要素之间共享信息的优势。这无疑是对付零日攻击、提升检测威胁能力的好办法。
5)、动态威胁管理检测技术(CPRL)
动态威胁防御系统(Dynamic Threat Prevention System,简称DTPS)是由针对已知和未知威胁而增强检测能力的技术。DTPS将防病毒、IDS、IPS和防火墙等各种安全模块无缝集成在一起,将其中的攻击信息相互关联和共享,以识别可疑的恶意流量特征。DTPS通过将各种检测过程关联在一起,跟踪每一安全环节的检测活动,并通过启发式扫描和异常检测引擎检查,提高整个系统的检测精确度。
本发明从“一体化”的角度考虑,从底层操作系统,到各个功能模块,再到安全事件库,各个部分之间的关系不是独立的,是紧密配合、相互补充的。如图1所示,本发明包括管理中心、数据中心、报文接收模块、报文处理模块、报文发送模块、行为知识库和统一特征库。网络报文首先通过报文接收模块进行预处理后进入报文处理模块,在报文处理模块,防火墙进行2~3层过滤,VPN负责接入控制;其次模块匹配引擎和行为分析引擎分别根据统一特征库和行为知识库进行匹配查找;利用完全性保护技术在报文处理过程中,实时将网络层数据负载重组为应用层对象(如文件和文档)的能力,而且重组之后的应用层对象可以通过动态更新病毒和蠕虫特征来进行扫描和分析。最后,对于合法报文直接交由报文发送模块进行报文转发,对于非法报文,送交响应的处理引擎进行处理。整个过程的日志信息和数据流量信息送数据中心监控和备案,管理中心负责整体的配置和调整。针对系统所需处理大量数据报文,综合安全网关采用定制的操作系统和ASIC加速技术,通过ASIC芯片、智能排队、管道管理和紧密型模式识别语言等方式,对收发和处理报文进行加速处理。如:防病毒处理过程,在数据经过报文接收模块时,通过报文预处理和分流后,利用ASIC芯片分流出与防病毒相关的数据流,然后把数据送至防病毒处理引擎,防病毒内容处理引擎对数据流进行处理后,软件再调用ASIC加速器进行加速,符合要求则放行,不符后则丢弃。最后利用动态威胁管理检测技术,将内容过滤、IPS、防病毒、防垃圾邮件等无缝集成在一起,对各种检测过程进行关联,并跟踪每一个安全环节的检测活动,以提高系统的检测精确度,对系统安全高效运行提供有效保障。
下面对本发明的相关硬件结构进行介绍,请继续参考图2,图2是本发明的硬件架构示意图,由图可知综合安全网关利用硬件板卡技术,每一种安全应用均有独立的CPU、存储、总线等,各安全应用之间不存在资源的竞争,因此能够保证在多种安全功能同时打开时,仍然能够保证整个设备的高性能。同时还能够实现所谓“数据量安全调度”的能力,提高设备的处理效率。
此外,本发明所利用的处理器是经过定制的处理器,可以实现将已有的攻击特征库与内存中的数据进行匹配。内存中目标可以是网络流量数据包,或者是压缩后文档中的文件。这些处理器对协议识别和解析是高度适配的,允许它们从数据中快速组合目标,并对可疑的内容进行检测。
为了提供千兆级实时的应用层安全服务(如防病毒和内容过滤)的平台,专门为网络骨干和边界上高性能内容处理设计相应的体系结构。从图2可以看出,CPU板卡中可放置相应处理器。其中内容处理器并不是设置在流量通道中,当通用处理器(GPU)下达指令时,内容处理器自动地执行相关功能。内容处理器还包括加密引擎,在目标与“已知”的威胁比对时,能起到加速防病毒和IP技术。当系统需要大量计算时,内容处理器则使GPU免除高密度计算。网络处理器是高速执行和处理网络流量的硬件设备。它主要设置在数据通道上,自动地处理许多与基于数据包通信、一般TCP处理、加密/解密和网络地址翻译(NAT)有关的任务,以减轻其他系统单元的负荷。
以上所述仅为本发明的较佳实施例,凡依本发明申请专利范围所做的均等变化与修饰,皆应属本发明的涵盖范围。
Claims (3)
1.一种多功能综合安全网关系统,其特征在于:包括管理中心、数据中心、报文接收模块、报文处理模块、报文发送模块、行为知识库及统一特征库;网络报文首先通过所述的报文接收模块进行预处理后进入所述的报文处理模块,在报文处理模块中,防火墙进行2~3层过滤,VPN负责接入控制,其中模块匹配引擎和行为分析引擎分别根据所述的统一特征库和行为知识库进行匹配查找;其次利用完全性保护技术在报文处理过程中,实时将网络层数据负载重组为应用层对象,再通过动态更新病毒和蠕虫特征来进行扫描和分析;最后,对于合法报文直接交由所述的报文发送模块进行报文转发,对于非法报文,送交相应的处理引擎进行处理;其中整个过程的日志信息和数据流量信息送所述的数据中心进行监控和备案,所述管理中心负责整体的配置和调整。
2.根据权利要求1所述的多功能综合安全网关系统,其特征在于:系统处理大量的数据报文采用OS操作系统和ASIC加速技术,通过ASIC芯片、智能排队、管道管理和紧密型模式识别语言方式,对收发和处理报文进行加速处理。
3.根据权利要求2所述的多功能综合安全网关系统,其特征在于:系统进一步利用动态威胁管理检测技术,将内容过滤、IPS、防病毒、防垃圾邮件无缝集成在一起,对各种检测过程进行关联,并跟踪每一个安全环节的检测活动。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009102088942A CN101714958B (zh) | 2009-10-31 | 2009-10-31 | 多功能综合安全网关系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009102088942A CN101714958B (zh) | 2009-10-31 | 2009-10-31 | 多功能综合安全网关系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101714958A CN101714958A (zh) | 2010-05-26 |
| CN101714958B true CN101714958B (zh) | 2011-11-30 |
Family
ID=42418245
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009102088942A Active CN101714958B (zh) | 2009-10-31 | 2009-10-31 | 多功能综合安全网关系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101714958B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102571786A (zh) * | 2011-12-30 | 2012-07-11 | 深信服网络科技(深圳)有限公司 | 防火墙中多个安全模块之间联动防御的方法及防火墙 |
| CN103384241B (zh) * | 2012-12-21 | 2016-07-13 | 北京安天电子设备有限公司 | 一种面向安全事件数据的分布式分析方法及系统 |
| CN103746909B (zh) * | 2013-12-23 | 2017-04-19 | 华为技术有限公司 | 报文处理方法及装置 |
| CN113608741B (zh) * | 2021-07-07 | 2023-08-29 | 中国电子科技集团公司第三十研究所 | 一种网络安全服务整合方法及装置 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1581803A (zh) * | 2004-05-20 | 2005-02-16 | 中国科学院软件研究所 | 用于网络数据交换的安全平台 |
| CN101052046A (zh) * | 2007-05-22 | 2007-10-10 | 网御神州科技(北京)有限公司 | 一种用于防火墙的防病毒方法及装置 |
-
2009
- 2009-10-31 CN CN2009102088942A patent/CN101714958B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1581803A (zh) * | 2004-05-20 | 2005-02-16 | 中国科学院软件研究所 | 用于网络数据交换的安全平台 |
| CN101052046A (zh) * | 2007-05-22 | 2007-10-10 | 网御神州科技(北京)有限公司 | 一种用于防火墙的防病毒方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101714958A (zh) | 2010-05-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Modi et al. | A survey of intrusion detection techniques in cloud | |
| CN105141604B (zh) | 一种基于可信业务流的网络安全威胁检测方法及系统 | |
| US7454499B2 (en) | Active network defense system and method | |
| Bringer et al. | A survey: Recent advances and future trends in honeypot research | |
| Singh et al. | Automated Worm Fingerprinting. | |
| US8171554B2 (en) | System that provides early detection, alert, and response to electronic threats | |
| US7725936B2 (en) | Host-based network intrusion detection systems | |
| EP1887754B1 (en) | A system that provides early detection, alert, and response to electronic threats | |
| US20060191008A1 (en) | Apparatus and method for accelerating intrusion detection and prevention systems using pre-filtering | |
| US20110154492A1 (en) | Malicious traffic isolation system and method using botnet information | |
| US20110238855A1 (en) | Processing data flows with a data flow processor | |
| KR100684602B1 (ko) | 세션 상태전이를 이용한 시나리오 기반 침입대응 시스템 및그 방법 | |
| CN101572700A (zh) | 一种HTTP Flood分布式拒绝服务攻击防御方法 | |
| CN108134761A (zh) | 一种apt检测方法、系统及装置 | |
| CN101714958B (zh) | 多功能综合安全网关系统 | |
| Kondra et al. | Honeypot-based intrusion detection system: A performance analysis | |
| Teng et al. | A cooperative intrusion detection model for cloud computing networks | |
| Schear et al. | Glavlit: Preventing exfiltration at wire speed | |
| CN101453363A (zh) | 网络入侵检测系统 | |
| KR20020072618A (ko) | 네트워크 기반 침입탐지 시스템 | |
| Veena et al. | Implementing file and real time based intrusion detections in secure direct method using advanced honeypot | |
| Yue et al. | The research of firewall technology in computer network security | |
| CN213693762U (zh) | 一种网络入侵防御系统 | |
| Meng et al. | Enhancing list-based packet filter using IP verification mechanism against IP spoofing attack in network intrusion detection | |
| Comer | Network processors: programmable technology for building network systems |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| PP01 | Preservation of patent right |
Effective date of registration: 20151001 Granted publication date: 20111130 |
|
| RINS | Preservation of patent right or utility model and its discharge | ||
| PD01 | Discharge of preservation of patent |
Date of cancellation: 20160401 Granted publication date: 20111130 |
|
| RINS | Preservation of patent right or utility model and its discharge | ||
| PP01 | Preservation of patent right |
Effective date of registration: 20160811 Granted publication date: 20111130 |
|
| RINS | Preservation of patent right or utility model and its discharge | ||
| PD01 | Discharge of preservation of patent | ||
| PD01 | Discharge of preservation of patent |
Date of cancellation: 20170811 Granted publication date: 20111130 |
|
| PP01 | Preservation of patent right | ||
| PP01 | Preservation of patent right |
Effective date of registration: 20220816 Granted publication date: 20111130 |