CN1768516A

CN1768516A - 智能集成网络安全设备

Info

Publication number: CN1768516A
Application number: CN200480008628.0A
Authority: CN
Inventors: 尼尔·祖克
Original assignee: Jungle Network
Current assignee: Juniper Networks Inc
Priority date: 2003-03-28
Filing date: 2004-03-29
Publication date: 2006-05-03
Anticipated expiration: 2024-03-29
Also published as: US20140259146A1; CN100556031C; EP1618724B1; EP1618724A2; JP2006521776A; JP4906504B2; US8332948B2; US8726016B2; US20100132030A1; ATE369691T1; WO2004088952A2; US9100364B2; US7650634B2; US20130067561A1; DE602004008055T2; DE602004008055D1; US20040030927A1; WO2004088952A3

Abstract

描述了用于处理数据分组的方法、计算机程序产品和装置。该方法包括以下步骤：接收该数据分组；检查该数据分组；确定与该分组关联的单一流量记录；以及从该单一流量记录中抽取两台或多台设备的流量指令。

Description

智能集成网络安全设备

技术领域

本发明涉及用于控制计算机网络安全的方法。

背景技术

防火墙和入侵检测系统是用来保护计算机网络免于非授权或破坏性用户访问的设备。可以使用防火墙来保护局域网不受该局域网外部的用户访问。防火墙检查、路由并且常常标记发送到局域网外部的用户或局域网外部的用户发送的所有信息。可以使用入侵检测系统(IDS)来检查正在网络内传送的信息以识别可疑行为模式。可以使用IDS获得的信息来阻止非授权或破坏性用户访问网络。入侵预防系统(IPS)是IDS的内嵌方式。可以使用IPS来检查正在网络内传送的信息以识别可疑行为模式。

基于流量的路由器(FBR)允许不同网络管理员依照某个网络管理员定义的网络策略实现分组转发和路由。FBR允许不同网络管理员实现通过网络中的特定路径选择性地路由分组的策略。也可以使用FBR来确保在路由分组时某些类型的分组接收有差别的优先服务。常规路由器能够根据可用路由信息向其目的地址转发分组。FBR可以使网络管理员实现以下路由策略，即，根据包括应用、协议、分组大小和终端系统之身份在内的多种其它标准允许或拒绝分组，而不是仅仅根据目的地址进行路由。

分组过滤器能够对网络层上的数据起作用，以保护可信任的网络免于不可信任的网络的攻击。分组过滤器可以在网络层上运行以检查TCP/IP报头的各个字段，包括协议类型、源和目的IP地址以及源和目的端口号。分组过滤器的缺点是速度慢，并且大型网络中的安全策略管理非常复杂。由于分组过滤器不知道指定通信信息的上下文，所以分组过滤器本身不能提供强壮的保护。另外，分组过滤器不检查应用层的数据，所以分组过滤器很容易受到使用应用层的尝试安全入侵的攻击。

代理服务器可以对应用层传送的数值起作用，以隔离可信任的网络和不可信任的网络。在应用代理服务器中，建立两个TCP连接：一个在分组信源和代理服务器之间，另一个在代理服务器和分组目的地之间。应用代理服务器可以代表目的服务器接收到达的分组。代理服务器可以组合并检查这些应用数据，可以打开代理服务器和目的服务器之间的第二TCP连接以便向目的服务器转发允许的分组。由于在应用层检查分组需要额外的协议栈开销，所以代理服务器可能较慢。此外，由于每个应用都需要唯一代理，所以代理服务器的实现可能很复杂并且很难进行修改以支持新的应用。另外，由于代理服务器仅仅检查应用分组，所以代理服务器未必能够检测TCP层或网络层上的尝试网络安全入侵。

发明内容

本发明提供用于处理数据分组和用于实现计算机网络安全的方法和装置，包括计算机程序产品。

本发明的优点包括以下特征中的一个或多个特征。可以使用所公开的技术来检测尝试的网络安全入侵并且可能阻止与该安全入侵有关的当前分组。所公开的技术可以提供强壮、有效的网络安全并且包括多种安全设备，但只有一个流量表。网络安全信息是从其它网络安全设备中获取的并且存储在该流量表中的单一流量记录内。通过使用单一流量记录来确定是否允许分组能够导致更快的响应时间。

附图和下面的详细说明书阐述本发明之一个或多个实现的细节。通过阅读详细说明书、附图和权利要求书，本发明的其它特征和优点将更加明显。

附图说明

图1表示包含会话模块的网络拓扑；

图2说明会话模块的框图；

图3表示流量表的结构；

图4是一个流程图，描述会话模块的操作；

图5是一个流程图，描述会话分类；

图6表示由会话模块生成的准重组信息；

图7表示防火墙中包含会话模块的网络拓扑；

图8表示会话模块与防火墙、IPS和路由器串联运行的网络拓扑；以及

图9表示单一安全设备中包含会话模块、防火墙、IPS和路由器的网络拓扑。

在不同附图中，相同参考号数和指示表示相同组成部分。

具体实施方式

图1表示包含局域网(LAN)(100)的网络拓扑，LAN 100包括服务器(102)、若干工作站(W/S)(104)和安全系统124。安全系统124包括会话模块122和多种其它安全设备。在所示实现中，安全系统124包括两个安全设备，第一安全设备106和第二安全设备108。LAN 100通过安全系统124与诸如因特网(114)之类的外部网络相连。并且LAN 100与第二个LAN(116)(通过路由器(118))和卫星120相连。第二个LAN 116包括web服务器(110)、电子邮件服务器(112)、服务器102、若干工作站104以及安全系统124。通过使用诸如电线、光纤和无线电波之类的多种数据传输介质，互连LAN内的计算机、服务器和其它设备。会话模块122监控正在该网络内传送的分组。在一种实现中，第一安全设备106是防火墙，而第二安全设备108是IPS。会话模块122可以与第一安全设备106和第二安全设备108一道起作用，以帮助阻止与尝试的网络安全入侵有关的分组。

图2表示会话模块122的框图。会话模块122包括用于接收分组的输入分组接口205。流量处理引擎(FPE)202分析所接收的分组以确定尝试的网络安全入侵是否正在进行。会话模块122还包括流量表215。流量表215用于存储与所接收的分组有关的流量方面的信息。会话模块122还包括该网络上的其它安全设备的接口。在一种实现中，会话模块122包括防火墙接口220、IPS接口225和流量路由器接口230。会话模块使用安全设备接口220获取有关所接收的分组的信息，与该分组关联的流量方面的信息，以便确定是否允许或修改所接收的分组。除此之外，会话模块122使用安全设备接口218传送安全设备所需的流量信息以方便分组的处理。

图3说明流量表300的结构。流量表300包括与当前的TCP/IP流量关联的流量记录302。TCP/IP流量包括在一个方向上在源和目的地之间传送信息的数据分组序列。利用索引关键字305给流量记录编排索引。利用索引关键字305来存储和检索与所接收的分组关联的适合流量记录。在一种实现中，索引关键字305可以是哈希关键字，而流量表300可以用哈希表实现。会话模块122(图2)在同一流量记录中存储用于该网络上的两个或多个安全设备的指令。在会话模块122的一种实现中，在流量记录302中存储三个安全设备(即，设备310、315和320)的指令。流量记录302可以存储策略信息(应用于该流量的防火墙策略、IP策略等)以及该安全设备使用的其它信息，如加密参数、地址转换参数、薄记信息和统计信息。流量记录302也可以包括会话模块122所需的流量信息，以便确定是否允许该分组。此类信息包括实现网络策略所需的信息，网络策略如连接超时、时间记帐以及带宽使用率。指定序号为10/070,683，题目为“Multi-MethodGateway-Based Network Security Systems and Methods(多种方法的基于网关的网络安全系统和方法)”的共同未决共同拥有专利申请详细描述流量、会话和流量表，本文明确引用其内容作为参考。

图4是一个流程图，描述FPE 202(图2)的操作。现在参照图2和图4，会话模块接收输入分组(步骤400)。重组IP分组(步骤402)并且验证每个IP分组的IP报头(步骤403)。在验证步骤中，抽取于指定分组关联的IP报头并且检查抽取的IP报头以查找基础缺陷。此后，FPE 202确定是否允许该会话(步骤415)。

如果该分组是TCP报头(步骤404)，则验证该TCP报头(步骤405)并且重组该TCP分组(步骤410)。验证处理包括抽取TCP报头数据并评估该报头以查找基础缺陷。会话模块122可以向其它安全设备传送在步骤410中产生的准重组信息，以帮助其它安全设备处理该分组。在“Multi-Method Gateway-Based Network SecuritySystems and Methods”和下文中详细描述重组。

在步骤415中，FPE 202通过使用与指定的所接收的分组关联的TCP/IP报头数据执行会话分类。会话模块122可以根据所获得的与所接收的分组关联的TCP/IP流量方面的信息和从流量表420中检索的信息确定是否允许该分组。另外，会话模块122可以使用诸如防火墙425、IPS 430或基于流量的路由器435之类的其它安全设备中的某个设备返回的信息。此外，会话模块122也可以方便安全设备的处理，其方法是当处理指定分组的设备需要流量信息时，向各设备传送该信息。最后，如果允许该分组，则FPE 202转发该分组(步骤440)。否则，在步骤445中用不同方式处理该分组。其它处理包括记录有关该分组的特定信息的日志，保存该分组，修改和/或丢弃该分组。由此完成FPE 202的操作的描述。

图5是一个流程图，表示会话分类(步骤415)中包含的步骤。会话分类步骤接收分组(步骤500)并且抽取用于确定是否允许该分组时所需的信息。抽取的信息包括源和目的IP地址、源和目的端口号以及协议(步骤505)。可以使用抽取的信息来搜索流量表(步骤510)以便确定该分组是否与已知的会话流量相关联。对于已知的会话流量，步骤510将在该流量表中生成匹配的流量记录(步骤515)。如果找到匹配的流量记录，则FPE 202(图2)可以从匹配的流量记录中抽取所接收的分组的TCP/IP会话信息(步骤520)。FPE 202通过使用在步骤520中获得的TCP/IP会话信息确定是否允许所接收的分组。更准确地说，FPE 202从匹配的流量记录中抽取信息，并向安全设备传送该信息(例如，传送流量记录中的会话ID，TCP/IP会话信息以及其它安全设备特有的信息)(步骤525)。根据来自安全设备的返回结果，FPE 202可以转发、丢弃、记录日志、存储、修改或按不同方式处理指定分组(步骤530)。

在步骤515中，如果在该流量表中找不到匹配的流量记录，则可以把所接收的分组和新的TCP/IP会话联系起来(步骤532)。对于新的TCP/IP会话，FPE 202可以为新建会话指派一个会话ID，并且FPE202可以与其它安全设备(例如，防火墙、IPS、流量路由器)通信，以确定与新建会话关联的分组的安全策略。例如，FPE 202可以从防火墙540中获取信息以便确定是否允许所接收的与新建会话关联的分组。FPE 202可以与IPS 545通信以便确定是否阻止所接收的分组，因为它与尝试的网络安全入侵的已知攻击签名匹配。FPE 202可以从流量路由器550中获取与新建会话关联的所有网络策略。FPE 202可以充当不同安全设备之间的仲裁器，并且使用或者从各个安全设备中或者从安全设备之组合中获取的信息确定是否允许与新的TCP/IP会话关联的分组。FPE 202可以使用从这些安全设备中获取的信息来创建新的流量记录并在流量表中存储新的流量记录(步骤555)。新的流量记录包括与所接收的分组关联的新建会话的TCP/IP会话信息以及所有其它特定安全设备信息。此后，正如连同图4描述的那样，FPE202可以方便与指定TCP/IP会话关联的所接收的分组的处理，包括从相应的流量记录中向安全设备传送会话ID、TCP/IP会话信息以及安全设备特有的信息。

正如连同图4描述的那样，除通过使用各种各样的安全设备确定所接收的分组是否与尝试的网络安全入侵相关联之外，会话模块还可以对所接收的TCP/IP分组执行准重组处理。图6表示该会话模块生成的准重组信息。准重组信息包括存储器中的指定分组的位置的指针600，以及包含流量中的分组的相对位置的信息的指针605。在一种实现中，IPS可以执行被动TCP/IP重组，并且可以使用该分组的位置的指针来确定该分组在该IPS内的位置。在另一种实现中，可以使用包含该流量中的该分组的相对位置的信息的指针来获得与该分组关联的TCP/IP报头中包含的TCP/IP序号。需要时可以向与会话模块122(图2)相连的安全设备传送准重组信息。安全设备可以使用准重组信息处理所接收的分组。

可以在许多不同网络拓扑中使用会话模块。图7表示将会话模块710集成到防火墙705中的网络拓扑。防火墙705包括与路由器720和IPS 715的接口。防火墙705接收来自外部网络接口700的分组。防火墙705与IPS 715通信，目的是根据已知的攻击签名确定是否阻止所接收的分组。如果防火墙705和IPS 715确定允许该分组通过，则防火墙705向路由器720发送所接收的分组。路由器720根据该路由器中存储的网络策略，通过使用内部网络接口725向其预定目的地转发输出分组。

图8表示通过使用会话模块实现计算机网络安全的选择配置。在本配置中，会话模块820与防火墙805、IPS 810和路由器815串联运行。利用防火墙805过滤通过使用外部网络接口800接收的分组，然后传送给路由器815。防火墙805还向IPS 810发送有关接收的分组的信息。IPS 810检查接收的分组，并且如果根据已知的攻击签名应该阻止所接收的分组，则通知会话模块820。路由器815向会话模块820发送该分组以便进一步处理。如果会话模块820确定应该允许所接收的分组，则它通过使用内部网络接口825向其预定目的地转发所接收的分组。

可以用数字电子电路，或用计算机硬件、固件、软件或其组合的方式，实现本发明。可以用计算机程序产品的方式实现本发明，计算机程序产品如计算机载体中包含的计算机程序，计算机载体如机器可读存储设备或传播信号，程序产品由数据处理装置执行或用来控制数据处理装置的操作，数据处理装置如可编程处理器、计算机或多台计算机。可以用任何形式的程序设计语言，包括编译或解释语言，来编写计算机程序，并且可以用任何方式进行部署，包括以单机程序的方式，或者以模块、组件、子程序、或适合在计算环境中使用的其它单元的方式进行部署。计算机程序可以部署为在一个站点的一台或多台计算机上运行，或者分发到利用通信网络互连的多个站点上。

可以利用执行计算机程序的一个或多个可编程处理器执行本发明的方法步骤，可编程处理器通过处理输入数据并生成输出执行本发明的功能。同样，可以利用专用逻辑电路，如FPGA(现场可编程门阵列)或ASIC(专用集成电路)，来执行上述方法步骤或实现本发明的装置。

举例来说，适合执行计算机程序的处理器包括通用和专用微处理器，以及各种类型的数字计算机的任何一个或多个处理器。通常，处理器接收来自只读存储器或随机存取存储器或二者的指令和数据。计算机的主要元件是用于执行指令的处理器以及用于存储指令和数据的一个或多个存储设备。通常，计算机还包括或连接有用于存储数据的一个或多个海量存储设备，以便接收数据、传送数据或者接收并传送数据，海量存储设备如磁盘、磁光盘或光盘。适合于包含计算机程序指令和数据的信息载体包括各种形式的非易失存储器，举例来说，非易失存储器包括半导体存储设备，如EPROM、EEPROM和闪存设备；磁盘，如内部硬盘或可抽取磁盘；磁光盘；以及CD-ROM和DVD-ROM盘片。可以用专用逻辑电路补充或合并处理器和存储器。

可以在计算系统中实现本发明，计算系统包括诸如数据服务器之类的后端组件，诸如应用服务器之类的中间件组件，诸如客户计算机之类的前端组件，或此类后端、中间件或前端组件之任意组合，其中客户计算机具有图形用户界面或web浏览器，用户通过该图形用户界面或web浏览器与本发明的实现进行交互。可以利用诸如通信网络之类的任何形式或介质的数字数据通信互连该系统的各种组件。通信网络的例子包括局域网(LAN)和诸如因特网之类的广域网(WAN)。

计算机系统可以包括客户机和服务器。客户机和服务器通常彼此相距很远，并且通常通过通信网络进行交互。客户机和服务器的相互关系是由在各自计算机上运行的彼此具有客户机服务器关系的计算机程序引起的。

尽管本发明是用特定实施方式描述的。然而，应该理解，可以进行各种修改而并不背离本发明的实质和范围。例如，可以以不同顺序执行本发明的步骤而仍能获得所需结果。另外，可以将会话模块、IPS、防火墙和路由器集成到诸如图9所示配置之类的单一设备中。与一台或多台安全设备封装在一起的会话模块的其它配置也是可行的。因此，其它实施方式也在下述权利要求书的范围内。

Claims

1.一种用于检查与计算机网络中的流量相关联的数据分组的方法，该计算机网络具有用于处理该分组的一台或多台设备，每个数据分组具有关联的报头数据，该方法包括以下步骤：

接收该数据分组；

检查该数据分组；

确定与该分组相关联的单一流量记录；以及

从该单一流量记录中抽取两台或多台设备的流量指令并将该指令转发给各自设备以方便该分组的处理。

2.权利要求1的方法，其中该设备为安全设备。

3.权利要求2的方法，其中该设备是从入侵检测系统、入侵预防系统、防火墙和基于流量的路由器中选择的。

4.权利要求1的方法，其中检查该数据分组包括检查有关报头数据以确定是否允许该数据分组。

5.权利要求1的方法，其中确定与该数据分组相关联的单一流量记录包括通过使用有关报头数据确定流量记录的位置。

6.权利要求1的方法，其中从该单一流量记录中抽取两台或多台设备的流量指令包括获取用于对存储器中的该数据分组进行定位的信息，以及用于提供该流量中的该数据分组的相对位置的信息。

7.权利要求1的方法，其中确定与该数据分组相关联的流量记录包括：

通过使用至少有关报头数据确定分组标识符；

通过使用该分组标识符评估流量表；

如果有匹配的流量表条目，则检索匹配的流量记录；

如果没有匹配的流量表条目，则创建新的流量记录；以及

将新的流量记录存储到该流量表中。

8.权利要求7的方法，其中从匹配的流量记录中抽取流量指令包括：

从匹配的流量记录中抽取会话ID和流量信息；以及

向该设备传送该会话ID和流量信息。

9.权利要求7的方法，其中创建新的流量记录包括：

创建新的会话ID；

从至少两台设备中抽取与该数据分组关联的设备特有的流量信息；以及

把新的会话ID与设备特有的流量信息和新的流量记录联系起来。

10.权利要求9的方法进一步包括，使用设备特有的流量信息创建每台设备的指令以处理该分组。

11.权利要求9的方法，其中一台或多台设备为安全设备，该方法进一步包括在该单一流量记录中存储每台安全设备的安全设备特有的流量信息以及新的会话ID。

12.权利要求1的方法进一步包括，使用抽取的流量信息处理两台或多台设备的每台设备中的数据分组。

13.权利要求1的方法，其中至少两台设备为安全设备，该方法进一步包括：

接收来自该安全设备的评估信息，该评估信息是处理该分组时在各自设备中生成的；以及

处理该分组包括使用该评估信息。

14.权利要求13的方法，其中处理该分组的步骤包括转发、丢弃、修改、记录日志或存储该分组中的一项或多项处理。

15.权利要求13的方法，其中该处理步骤包括确定是否转发该分组。

16.权利要求2的方法，其中该单一流量记录包括用于一台或多台安全设备的策略信息。

17.权利要求2的方法，其中该单一流量记录包括防火墙策略以及入侵预防系统策略。

18.权利要求1的方法，其中该单一流量记录包括供一台设备使用的加密参数。

19.权利要求1的方法，其中该单一流量记录包括地址转换参数。

20.权利要求1的方法，其中该单一流量记录包括薄记和统计信息。

21.权利要求1的方法，其中该单一流量记录包括用于描述应用于一台或多台设备使用的指定流量的策略的信息。

22.权利要求1的方法，其中该设备为安全设备并且该单一流量记录包括用于处理该分组的两台或多台设备使用的策略信息。

23.一种信息载体中包含的用于检查与计算机网络中的流量相关联的数据分组的计算机程序产品，该计算机网络具有用于处理数据分组的一台或多台设备，每个数据分组具有关联的报头数据，该计算机程序产品包括可以使数据处理设备执行以下处理的指令：

接收该数据分组；

检查该数据分组；

确定与该分组相关联的单一流量记录；以及

24.权利要求23的计算机程序产品，其中该设备为安全设备。

25.权利要求24的计算机程序产品，其中该设备是从入侵检测系统、入侵预防系统、防火墙和基于流量的路由器中选择的。

26.权利要求23的计算机程序产品，其中检查该数据分组的指令包括检查有关报头数据以确定是否允许该数据分组的指令。

27.权利要求23的计算机程序产品，其中确定与该数据分组相关联的单一流量记录的指令包括通过使用有关报头数据确定流量记录的位置的指令。

28.权利要求23的计算机程序产品，其中从该单一流量记录中抽取两台或多台设备的流量指令的指令包括，获取用于对存储器中的该数据分组进行定位的信息以及用于提供该流量中的该数据分组的相对位置的信息的指令。

29.权利要求23的计算机程序产品，其中确定与该数据分组关联的流量记录的指令包括执行以下处理的指令：

通过使用至少有关报头数据确定分组标识符；

通过使用该分组标识符评估流量表；

如果有匹配的流量表条目，则检索匹配的流量记录；

如果没有匹配的流量表条目，则创建新的流量记录；以及

将新的流量记录存储到该流量表中。

30.权利要求29的计算机程序产品，其中从匹配的流量记录中抽取流量指令的指令包括执行以下处理的指令：

从匹配的流量记录中抽取会话ID和流量信息；以及

向该设备传送该会话ID和流量信息。

31.权利要求29的计算机程序产品，其中创建新的流量记录的指令包括执行以下处理的指令：

创建新的会话ID；

32.权利要求31的计算机程序产品进一步包括执行以下处理的指令，使用设备特有的流量信息创建每台设备的指令以处理该分组。

33.权利要求31的计算机程序产品，其中一台或多台设备为安全设备，该计算机程序产品进一步包括执行以下处理的指令，在该单一流量记录中存储每台安全设备的安全设备特有的流量信息以及新的会话ID。

34.权利要求23的计算机程序产品进一步包括执行以下处理的指令，使用抽取的流量信息处理两台或多台设备的每台设备中的数据分组。

35.权利要求23的计算机程序产品，其中至少两台设备为安全设备，该计算机程序产品进一步包括执行以下处理的指令：

处理该分组包括使用该评估信息。

36.权利要求35的计算机程序产品，其中处理该分组的指令包括转发、丢弃、修改、记录日志或存储该分组中的一条或多条指令。

37.权利要求35的计算机程序产品，其中处理指令包括确定是否转发该分组的指令。

38.权利要求24的计算机程序产品，其中该单一流量记录包括用于一台或多台安全设备的策略信息。

39.权利要求24的计算机程序产品，其中该单一流量记录包括防火墙策略以及入侵预防系统策略。

40.权利要求23的计算机程序产品，其中该单一流量记录包括供一台设备使用的加密参数。

41.权利要求23的计算机程序产品，其中该单一流量记录包括地址转换参数。

42.权利要求23的计算机程序产品，其中该单一流量记录包括薄记和统计信息。

43.权利要求23的计算机程序产品，其中该单一流量记录包括用于描述应用于一台或多台设备使用的指定流量的策略的信息。

44.权利要求23的计算机程序产品，其中该设备为安全设备并且该单一流量记录包括用于处理该分组的两台或多台设备使用的策略信息。

45.一种用于处理数据分组的装置，包括：

能够确定每个接收的数据分组的流量信息的模块；

包括该模块检测的每个流量的流量记录的流量表，每个流量记录包括用于多台处理设备的流量信息；以及

用于向与该装置相连的多台处理设备的每台设备传送设备特有的流量信息的接口。

46.权利要求45的装置进一步包括会话模块，该会话模块可以评估用于标识与指定分组关联的特定流量的信息，确定与所标识的流量关联的流量表中的流量记录的位置，向每台处理设备传送设备特有的流量信息，接收一台或多台处理设备的评估信息，以及根据该评估信息处理该分组。

47.权利要求46的装置，其中该会话模块对该分组的处理包括丢弃、记录日志、存储或转发该分组之一。

48.权利要求45的装置，其中该流量表包括索引关键字以及与该装置相连的多台安全设备的设备特有的流量信息。

49.权利要求45的装置，该处理设备是从防火墙、基于流量的路由器、入侵检测系统以及入侵预防系统中选择的。

50.权利要求45的装置，其中该流量表包括一条或多条流量记录，该流量记录包括处理该分组的一台或多台安全设备使用的策略信息。