KR20070109527A - Securtioy system and method for controlling a traffic using the same - Google Patents

Securtioy system and method for controlling a traffic using the same Download PDF

Info

Publication number
KR20070109527A
KR20070109527A KR1020060042605A KR20060042605A KR20070109527A KR 20070109527 A KR20070109527 A KR 20070109527A KR 1020060042605 A KR1020060042605 A KR 1020060042605A KR 20060042605 A KR20060042605 A KR 20060042605A KR 20070109527 A KR20070109527 A KR 20070109527A
Authority
KR
South Korea
Prior art keywords
network
information
module
link
traffic
Prior art date
Application number
KR1020060042605A
Other languages
Korean (ko)
Other versions
KR100794520B1 (en
Inventor
표승종
유연식
손소라
Original Assignee
엘지엔시스(주)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 엘지엔시스(주) filed Critical 엘지엔시스(주)
Priority to KR1020060042605A priority Critical patent/KR100794520B1/en
Publication of KR20070109527A publication Critical patent/KR20070109527A/en
Application granted granted Critical
Publication of KR100794520B1 publication Critical patent/KR100794520B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/55Prevention, detection or correction of errors
    • H04L49/552Prevention, detection or correction of errors by ensuring the integrity of packets received through redundant connections
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

A security system and method for controlling a traffic using the same are provided to share traffic, state, policy, environment information with a different traffic control module in all duplicated network structures, thereby performing synchronization between network service modules and continuously providing network services without disconnecting a network. A security system includes a traffic module, a link detecting unit, a managing unit, an information transceiving control unit, and a packet mirroring control unit. The traffic module(10) monitors a traffic which is inputted to a network. The link detecting unit(22) monitors a link connection state of the network. The managing unit(28) arbitrarily changes a different link state of the network according to partial link state information of the network. The information transceiving control unit(26) receives security policy information or transmits the security policy information. The packet mirroring control unit transceives information about sessions and packets.

Description

보안 시스템 및 트래픽 제어방법{SECURTIOY SYSTEM AND METHOD FOR CONTROLLING A TRAFFIC USING THE SAME} Security system and traffic control method {SECURTIOY SYSTEM AND METHOD FOR CONTROLLING A TRAFFIC USING THE SAME}

도 1은 일반적으로 이중화된 네트워크 구성도.1 is a general redundant network diagram.

도 2는 도 1에서 이상 트래픽 제어모듈이 네트워크상에 구비된 구성도.2 is a configuration diagram in which the abnormal traffic control module is provided on the network in FIG.

도 3은 본 발명의 바람직한 실시 예에 따른 보안 시스템 구성도.3 is a block diagram of a security system according to an embodiment of the present invention.

도 4는 도 3의 보안 시스템이 구비된 네트워크 구성도.FIG. 4 is a diagram illustrating a network equipped with the security system of FIG. 3.

*도면의 주요 부분에 대한 부호의 설명** Description of the symbols for the main parts of the drawings *

10 : 이상 트래픽 제어모듈 12 : 네트워크 인터페이스10: abnormal traffic control module 12: network interface

14 : 입력 패킷 복사부 16 : 패킷 미러링 인터페이스14 input packet copy unit 16 packet mirroring interface

18 : 세션 처리부 20 : 이상 트래픽 제어부18: session processing unit 20: abnormal traffic control unit

22 : 링크 검사부 24 : 엔진상태 검사부22: link inspection unit 24: engine condition inspection unit

26 : 정보송수신 제어부 28 : 관리부26: information transmission and reception control unit 28: management unit

30 : 정책 적용부30: policy application

본 발명은 이중화 구조로 된 네트워크 보안 시스템에 관한 것으로서, 특히 네트워크 및 장비 이상으로 발생되는 네트워크 서비스 단절을 방지하도록 제어하는 보안 시스템 및 트래픽 제어방법에 관한 것이다.The present invention relates to a network security system having a redundant structure, and more particularly, to a security system and a traffic control method for controlling to prevent network service disconnection caused by abnormal network and equipment.

일반적으로, 네트워크에서는 생존성과 신뢰성을 목적으로 두개의 모듈을 이용한 이중화 시스템을 사용한다. 즉, 하나의 모듈은 현재 네트워크 서비스를 제공하는 액티브 모듈과 상기 액티브 모듈의 고장 또는 다른 이유에 의해서 연속적으로 네트워크 서비스를 제공하지 못하는 경우, 상기 액티브 모듈의 권한을 부여받아 연속적으로 네트워크 서비스를 제공하는 스탠바이 모듈을 사용하는 것이다.In general, the network uses a redundancy system using two modules for survivability and reliability. That is, when one module cannot continuously provide network service due to a failure of the active module and the active module that currently provide network service or other reasons, the one module is continuously authorized to provide network service. Using a standby module.

도 1은 이와 같은 일반적으로 이중화된 네트워크 구성도를 개략적으로 도시하고 있다.1 schematically illustrates such a generally redundant network configuration.

도시된 바에 따르면, 액티브 모듈로서의 제 1 상단/하단 네트워크 모듈(1)(3)과 스탠바이 모듈로서의 제 2 상단/하단 네트워크 서비스 모듈(5)(7)로 구비되어, 전체적으로 이중화된 네트워크 구성을 제공한다. 이러한 네트워크 구성에 따라 제 1 상단/하단 네트워크 모듈(1)(3)이 네트워크 서비스를 제공하지 못한 상태가 되면 자동적으로 제 2 상단/하단 네트워크 모듈(5)(7)로 권한이 부여되어 그 제 2 상단/하단 네트워크 모듈(5)(7)에 의해 서비스가 제공된다.As shown, there is provided a first top / bottom network module (1) (3) as an active module and a second top / bottom network service module (5) (7) as a standby module to provide a totally redundant network configuration. do. According to this network configuration, when the first upper / lower network module (1) (3) fails to provide the network service, the second upper / lower network module (5) (7) is automatically granted authority. 2 Service is provided by the top / bottom network module 5 (7).

즉, 상기 제 1 상단 네트워크 모듈(1)과 제 1 하단 네트워크 모듈(3) 상호간의 접속이 단절(Link Down)되면, 상기 제 1 하단 네트워크 모듈(3)은 유입된 트래픽을 제 2 하단 네트워크 모듈(7)로 전송하도록 경로를 변경하고, 또한 상기 제 1 상단 네트워크 모듈(1)도 유입된 트래픽을 상기 제 2 상단 네트워크 모듈(5)로 전 송하도록 경로를 변경하여 네트워크 단절없이 서비스를 제공하는 것이다.That is, when the connection between the first upper network module 1 and the first lower network module 3 is disconnected (Link Down), the first lower network module 3 transmits the incoming traffic to the second lower network module. Change the path to transmit to the (7), and also change the path to send the incoming traffic to the second upper network module (5) to provide services without network disconnection. will be.

하지만, 이와 같은 네트워크 구성만으로는 이상 트래픽에 대해 대처할 수 없었다. 이상 트래픽은 예컨대 특정 서버를 오버로딩(overloading) 시켜서 시스템을 다운시킬 의도로 비교적 짧은 시간동안 발생되는 다수의 요청(request)과 같은 형태이다. 따라서 상기 이상 트래픽을 검사할 수 있는 모듈이 상기 네트워크 상에 구비되어 있지 않으면 부당한 패킷이라도 아무런 제지없이 해당 트래픽이 유입될 수 있다. 이에 최근에는 상기한 바와 같이 잠재적 위협을 인지한 후 부당한 패킷이라고 판단되면 해당 IP 주소 또는 유입 트래픽을 봉쇄하고, 반면 합법적인 트래픽에 대해서는 아무런 방해나 서비스 지연없이 수신측에 전달하도록 하는 네트워크 보안 기술인 침입방지시스템 또는 네트워크 트래픽 관리장비 등과 같은 이상 트래픽 제어 장치가 구비된다.However, such a network configuration alone could not cope with abnormal traffic. Anomalous traffic is, for example, a number of requests that occur over a relatively short time, with the intention of bringing down a system by overloading a particular server. Accordingly, if a module capable of inspecting the abnormal traffic is not provided on the network, the corresponding traffic may be introduced without any unreasonable packet. In recent years, as described above, after recognizing a potential threat, if it is determined to be an invalid packet, an intrusion that is a network security technology that blocks the IP address or incoming traffic, and delivers legitimate traffic to the receiver without any interruption or service delay. An abnormal traffic control device such as a prevention system or network traffic management equipment is provided.

도 2는 상기한 이상 트래픽 제어모듈이 네트워크상에 구비된 구성도를 보이고 있다.2 shows a configuration in which the abnormal traffic control module is provided on the network.

전술한 도 1의 이중화된 네트워크 구성도와 같이 액티브 모듈로서의 제 1 상단 네트워크 모듈(1)과 제 1 하단 네트워크 모듈(3) 사이에 제 1 이상 트래픽 제어모듈(2)이 구성되고, 마찬가지로 상기 스탠바이 모듈로서의 제 2 상단 네트워크 모듈(5)과 제 2 하단 네트워크 모듈(7) 사이에 제 2 이상 트래픽 제어모듈(6)이 구성된다.As described above, in the redundant network configuration of FIG. 1, a first abnormal traffic control module 2 is configured between the first upper network module 1 and the first lower network module 3 as an active module. A second abnormal traffic control module 6 is configured between the second upper network module 5 and the second lower network module 7 as.

이러한 구성에서, 만일 상기 제 1 상단 네트워크 모듈(1)과 상기 제 1 이상 트래픽 제어모듈(2) 상호간의 링크가 단절되더라도 상기 제 1 하단 네트워크 모 듈(3)과 상기 제 1 이상 트래픽 제어모듈(2) 상간의 링크는 정상이기 때문에, 상기 제 1 하단 네트워크 모듈(3)로 트래픽 유입되는 경우 상기 트래픽은 상기 제 1 이상 트래픽 제어모듈(2)에 의해 제 1 상단 네트워크 모듈(1)로 전송되려고 할 것이다. 하지만, 상기 제 1 상단 네트워크 모듈(1)과 상기 제 1 이상 트래픽 제어모듈(2) 간의 링크 단절로 인하여 서비스가 정상적으로 제공되지 않게 된다.In this configuration, even if a link between the first upper network module 1 and the first abnormal traffic control module 2 is disconnected, the first lower network module 3 and the first abnormal traffic control module ( 2) Since the link between phases is normal, when traffic flows into the first lower network module 3, the traffic is to be transmitted by the first abnormal traffic control module 2 to the first upper network module 1. something to do. However, the service is not normally provided due to the link disconnection between the first upper network module 1 and the first abnormal traffic control module 2.

또한, 상기 액티브 모듈의 고장 또는 다른 이유에 인하여 스탠바이 모듈로 네트워크 경로가 변경되었다 할지라도, 상기 액티브 모듈의 제 1 상단/하단 네트워크 모듈(1)(3)이 가지는 세션(session) 정보는 상기 스탠바이 모듈의 제 2 상단/하단 네트워크 모듈로(5)(7) 전송될 수 있는 경로가 형성되어 있지 않아 상기 세션 정보의 전송이 불가능하여 상기 세션 정보가 유실되는 문제가 발생된다. 뿐만 아니라 상기 액티브 모듈에 적용되는 보안 정책도 상기 스탠바이 모듈로 전송되지 못하기 때문에 스탠바이 모듈을 통해 네트워크 서비스를 제공한다고 할지라도 이상 트래픽에 대한 적절한 대처가 어려운 문제가 발생된다.In addition, even if the network path is changed to the standby module due to a failure or other reason of the active module, the session information of the first upper / lower network module (1) 3 of the active module is stored in the standby mode. Since a path that can be transmitted to the second upper / lower network module 5 (7) of the module is not formed, the session information cannot be transmitted and thus the session information is lost. In addition, since the security policy applied to the active module is not transmitted to the standby module, even when providing a network service through the standby module, it is difficult to properly deal with abnormal traffic.

그리고, 다수 발생되는 패킷 데이터를 액티브 모듈 또는 스탠바이 모듈 중 어느 하나의 모듈에서 모두 처리하여야 하지만, 만일 도 1 및 도 2의 네트워크 구조가 비대칭적으로 제공된 경우에는 유입되는 트래픽이 분산되어 유입될 수도 있다. 이 경우 상기 액티브 모듈과 스탠바이 모듈에 각각 구비된 이상 트래픽 제어모듈(2)(6)은 자신에게 유입되는 트래픽에 대한 패킷 데이터만을 검사하기 때문에 세션 처리가 정확하게 이루어지지 못하는 문제가 있다.In addition, although a plurality of generated packet data must be processed by either one of an active module and a standby module, if the network structure of FIGS. 1 and 2 is provided asymmetrically, the incoming traffic may be distributed and introduced. . In this case, since the abnormal traffic control modules 2 and 6 provided in the active module and the standby module respectively inspect only packet data of traffic flowing into the active module, the session processing cannot be performed correctly.

이에 본 발명의 목적은 대칭-대칭, 또는 대칭-비대칭 방식으로 이중화된 네트워크 구조에서 각 네트워크 서비스 모듈에서 처리하는 트래픽 정보 및 세션 정보 등을 상호 공유하도록 하여 지속적인 네트워크 서비스를 실행하도록 하는 보안 시스템 및 트래픽 제어방법을 제공함에 있다.Accordingly, an object of the present invention is to provide a security system and traffic for continuously executing network services by sharing traffic information and session information processed by each network service module in a symmetric-symmetric or symmetric-asymmetric duplex network structure. To provide a control method.

또한, 본 발명은 네트워크 서비스 모듈의 링크상태정보, 엔진상태정보, 세션정보, 환경정보, 정책정보 등을 공유하도록 하는데 다른 목적이 있다.Another object of the present invention is to share link state information, engine state information, session information, environment information, policy information, and the like of a network service module.

또한, 본 발명은 네트워크 모듈에 포함된 한 쌍의 네트워크 인터페이스를 감시하면서 하나의 네트워크 링크가 단절되면 나머지 링크도 자동으로 단절시키고, 다시 어느 하나의 링크가 복구되면 나머지 링크도 자동으로 복구시키도록 하는데 또 다른 목적이 있다.In addition, the present invention monitors a pair of network interfaces included in the network module, and when one network link is disconnected, the other link is automatically disconnected, and if any one link is restored, the other link is automatically restored. There is another purpose.

상기한 목적을 달성하기 위한 본 발명의 특징은, 이중화 구조로 된 네트워크의 보안 시스템에 있어서, 상기 네트워크로 유입되는 트래픽을 감시하는 이상트래픽모듈과, 상기 네트워크의 링크 연결상태를 감시하는 링크 검사부와, 그리고 상기 네트워크의 일부분의 링크 상태 정보에 따라 상기 네트워크의 다른 링크의 상태도 임의적으로 변경시키는 관리부를 포함한다.A feature of the present invention for achieving the above object is, in the security system of a network having a redundant structure, an abnormal traffic module for monitoring the traffic flowing into the network, and a link inspection unit for monitoring the link connection state of the network; And a management unit for arbitrarily changing a state of another link of the network according to link state information of a portion of the network.

또한 본 발명의 다른 특징은, 이중화 구조로 된 네트워크의 보안 시스템에 있어서, 상기 네트워크로 유입되는 트래픽을 감시하는 이상트래픽모듈과, 상기 네 트워크에 적용되는 보안정책정보를 다른 네트워크로 송신하거나 다른 네트워크의 보안정책정보를 수신하는 정보송수신제어부와, 상기 네트워크에 유입되는 패킷 및 세션에 대한 정보를 선택적으로 다른 네트워크에 송신하거나 다른 네트워크에서 송신되는 상기 정보를 수신하는 패킷미러링제어부를 포함한다.In addition, another aspect of the present invention, in the security system of a network having a redundant structure, the abnormal traffic module for monitoring the traffic flowing into the network, and transmits the security policy information applied to the network to another network or another network An information transmission and reception control unit for receiving the security policy information of the packet and the packet mirroring control unit for selectively transmitting information about the packets and sessions flowing into the network to another network or receiving the information transmitted from another network.

또한 본 발명의 다른 특징은, 이중화 구조로 된 네트워크의 보안 시스템에 있어서, 상기 네트워크로 유입되는 트래픽을 감시하는 이상트래픽모듈과, 상기 네트워크 링크 연결상태를 감시하는 링크 검사부와, 상기 네트워크의 일부분의 링크 상태 정보에 따라 상기 네트워크의 다른 링크의 상태도 임의적으로 변경시키는 관리부와, 상기 네트워크에 적용되는 보안정책정보를 다른 네트워크로 송신하거나 다른 네트워크의 보안정책정보를 수신하는 정보송수신제어부와, 상기 네트워크에 유입되는 패킷 및 세션에 대한 정보를 선택적으로 다른 네트워크에 송신하거나 다른 네트워크에서 송신되는 상기 정보를 수신하는 패킷미러링제어부를 포함한다.In addition, another aspect of the present invention, in the security system of a network having a redundant structure, the abnormal traffic module for monitoring the traffic flowing into the network, the link inspection unit for monitoring the network link connection state, and a portion of the network A management unit for arbitrarily changing the state of other links of the network according to link state information, an information transmission and reception control unit for transmitting security policy information applied to the network to another network or receiving security policy information of another network, and the network. And a packet mirroring control unit for selectively transmitting the information about the packet and the session introduced into the other network or receiving the information transmitted from the other network.

본 발명은, 상기 보안정책정보를 비교하고 상이한 경우에 자신의 보안정책정보를 수정하여 다른 네트워크와 동기화시키는 정책적용부를 더 포함한다.The present invention further includes a policy applying unit for comparing the security policy information and modifying its security policy information in different cases and synchronizing with other networks.

본 발명은, 상기 네트워크에 유입되는 패킷 및 세션에 대한 정보를 상기 패킷미러링제어부로 송신하는 입력패킷복사부를 더 포함한다.The present invention further includes an input packet copying unit which transmits information on packets and sessions flowing into the network to the packet mirroring control unit.

본 발명의 상기 보안정책정보는, 링크상태정보, 엔진상태정보, 탐지/차단정보를 갖는 정책정보, 상기 이상트래픽모듈의 구동 환경정보, 세션정보를 나타낸다.The security policy information of the present invention represents link status information, engine status information, policy information having detection / blocking information, driving environment information of the abnormal traffic module, and session information.

본 발명에서 상기 정보송수신제어부의 정상 구동을 확인하기 위하여 명령/응답 데이터가 사용되며, 상기 명령/응답 데이터는 Ping 명령이다.In the present invention, the command / response data is used to confirm the normal operation of the information transmission and reception control unit, the command / response data is a ping command.

본 발명의 상기 이중화 구조는, 대칭 네트워크 구조로서 액티브 모듈 - 스탠바이 모듈과, 액티브 모듈 - 액티브 모듈, 그리고 비대칭 네트워크 구조로서 액티브 모듈 - 액티브 모듈 중 어느 하나가 제공된다.In the redundant structure of the present invention, any one of an active module-standby module, an active module-active module, and an active module-active module is provided as an asymmetric network structure.

또한 본 발명의 다른 견지에 따르면, 이중화 구조로 된 보안 시스템의 트래픽 제어방법에 있어서, 네트워크로 유입되는 트래픽의 패킷정보를 복사하는 단계와, 상기 패킷정보와 네트워크에 적용된 보안정책정보를 다른 네트워크로 송신하거나 다른 네트워크의 패킷정보와 보안정책정보를 수신받는 단계를 포함하는 것을 특징으로 한다.According to another aspect of the present invention, in a traffic control method of a security system having a redundant structure, copying packet information of traffic flowing into a network, and transferring the packet information and security policy information applied to the network to another network. Transmitting or receiving packet information and security policy information of another network.

본 발명은, 상기 네트워크에 적용된 보안정책정보와 다른 네트워크의 보안정책정보가 상이한 경우 어느 하나의 보안정책정보를 수정하여 동기화하는 단계를 더 포함한다.The present invention may further include modifying and synchronizing any one of the security policy information when the security policy information applied to the network is different from the security policy information of another network.

본 발명은 상기 네트워크의 일부분의 링크 상태 정보에 따라 상기 네트워크의 다른 링크 상태를 임의적으로 변경할 수 있다.The present invention may arbitrarily change other link states of the network according to link state information of a portion of the network.

본 발명은 상기 네트워크에 적용되는 보안정책정보를 다른 네트워크로 송신할 때 다른 네트워크의 정상 여부를 확인하게 된다. 그러한 정상 여부는 Ping 명령과 그 응답 명령의 송수신에 의해 확인할 수 있다.The present invention checks whether the other network is normal when transmitting security policy information applied to the network to another network. Such normality can be confirmed by sending and receiving a ping command and its response command.

본 발명의 상기 보안정책정보는, 링크상태정보, 엔진상태정보, 탐지/차단정보를 갖는 정책정보, 구동 환경정보, 세션정보 중 하나 이상이 제공된다.The security policy information of the present invention is provided with at least one of link status information, engine status information, policy information having detection / blocking information, driving environment information, and session information.

본 발명의 상기 네트워크는, 대칭 네트워크 구조로서 액티브 모듈 - 스탠바이 모듈과, 액티브 모듈 - 액티브 모듈, 그리고 비대칭 네트워크 구조로서 액티브 모듈 - 액티브 모듈 중 어느 하나이다.The network of the present invention is any one of an active module-standby module as a symmetric network structure, an active module-active module, and an active module-active module as an asymmetric network structure.

이와 같은 구성을 갖는 본 발명에 따르면, 이중화 네트워크 상에서 어느 하나의 네트워크 서비스 모듈은 자신의 정보를 다른 네트워크 서비스 모듈과 공유할 수 있어 네트워크 장애시 스탠바이 네트워크 라인을 통해 정보가 손실되지 않으면서 네트워크를 계속 운영할 수 있다.According to the present invention having such a configuration, any network service module on a redundant network can share its information with other network service modules, so that in the event of a network failure, the network can be continued without losing information through the standby network line. Can operate.

이하, 본 발명에 의한 이중화 구조로 된 네트워크의 보안 시스템 및 트래픽 제어방법을 첨부된 도면에 도시된 바람직한 실시 예를 참조하여 상세하게 설명한다.Hereinafter, a security system and a traffic control method of a network having a redundant structure according to the present invention will be described in detail with reference to a preferred embodiment shown in the accompanying drawings.

도 3에는 본 발명의 바람직한 실시 예에 따른 보안 시스템 구성도가 도시되어 있고, 도 4에는 도 3의 보안 시스템이 구비된 네트워크 구성도가 도시되어 있다.3 is a diagram illustrating a security system according to a preferred embodiment of the present invention, and FIG. 4 is a diagram illustrating a network equipped with the security system of FIG. 3.

본 발명의 실시 예를 설명함에 있어 종래 기술에서 설명한 네트워크 구성을 인용하여 설명한다. In describing the embodiments of the present invention, the network configuration described in the prior art will be cited.

도시된 도면에 따르면, 이상 트래픽 제어모듈(10)(10')은 한 쌍(제 1 및 제 2 이상 트래픽 제어모듈)이 제공되며, 제 1 네트워크 서비스 모듈(A)로서의 제 1 상단 네트워크 모듈(1)과 제 1 하단 네트워크 모듈(3) 사이, 그리고 제 2 네트워크 서비스 모듈(B)로서의 제 2 상단 네트워크 모듈(5)과 제 2 하단 네트워크 모듈(7) 사이에 각각 구비된다. 상기 제 1 네트워크 서비스 모듈(A)과 제 2 네트워크 서비스 모듈(B)은 액티브 모듈 또는 서비스 모듈로 동작하며 그 네트워크 구성도 대칭적 또는 비대칭적으로 구성된다. 따라서, 본 발명의 이중화된 네트워크 구성은 대칭 네트워크 구조로서 액티브 모듈 - 스탠바이 모듈과, 액티브 모듈 - 액티브 모듈, 그리고 비대칭 네트워크 구조로서 액티브 모듈 - 액티브 모듈로 구성될 수 있기 때문에, 이를 각각 구분하여 설명할 것이다.According to the figure, the abnormal traffic control module 10 (10 ') is provided with a pair (first and second abnormal traffic control module), the first upper network module (A) as the first network service module (A) Between 1) and the first bottom network module 3 and between the second top network module 5 and the second bottom network module 7 as the second network service module B, respectively. The first network service module (A) and the second network service module (B) operate as an active module or a service module, and their network configuration is symmetrically or asymmetrically. Therefore, since the redundant network configuration of the present invention may be composed of an active module-a standby module as a symmetric network structure, an active module-active module, and an active module-active module as an asymmetric network structure, it will be described separately. will be.

그리고 트래픽을 감시하는 이상 트래픽 제어모듈(10)(10')은 다음과 같은 구성을 제공한다. 상기 이상 트래픽 제어모듈(10)에 대해서만 설명하며, 나머지 10'은 동일 구성으로서 부호만 상이하게 부여된다.And the abnormal traffic control module 10 (10 ') for monitoring the traffic provides the following configuration. Only the above-described abnormal traffic control module 10 will be described, and the remaining 10 'is the same configuration, and only the symbols are given differently.

네트워크로부터 유입되는 트래픽에 대한 패킷 데이터 및 본 발명의 이상 트래픽 제어모듈(10)에서 유출되는 트래픽에 대한 패킷 데이터를 송수신하는 네트워크 인터페이스(12)가 구비된다. 상기 네트워크 인터페이스(12)는 이중화된 네트워크 구성이기 때문에 1 쌍의 송수신부가 구비된다. 즉 제 1 상단 네트워크 모듈(1)과 제 1 하단 네트워크 모듈(3)에 송신부/수신부가 각각 구비된다.A network interface 12 is provided to transmit and receive packet data on traffic flowing from the network and packet data on traffic flowing out of the abnormal traffic control module 10 of the present invention. Since the network interface 12 is a redundant network configuration, a pair of transceivers is provided. That is, a transmitter / receiver is provided in the first upper network module 1 and the first lower network module 3, respectively.

상기 네트워크 인터페이스(12)로부터 유입되는 패킷 데이터를 복사하는 입력 패킷 복사부(14)와, 상기 입력 패킷 복사부(14)에 의해 복사된 패킷 데이터를 제 2 네트워크 서비스 모듈(B)에 구비된 제 2 이상 트래픽 제어모듈(10')로 전송하는 패킷 미러링 인터페이스(16)가 구비된다. 상기 패킷 미러링 인터페이스(16)에도 송신부와 수신부가 각각 제공된다. 따라서 제 1 이상 트래픽 제어모듈(10)의 패킷 미러링 인터페이스(16) 송신부는 제 2 이상 트래픽 제어모듈(10')의 패킷 미러링 인터페이스 수신부와 연결되어 패킷 데이터를 전송하도록 구성된다. 마찬가지로 상기 제 1 이상 트래픽 제어모듈(10)의 패킷 미러링 인터페이스 수신부는 상기 제 2 이상 트래픽 제어모듈(10')의 패킷 미러링 인터페이스 송신부와 연결되어 패킷 데이 터를 전송받도록 구성된다.The second network service module (B) includes an input packet copying unit (14) for copying packet data flowing from the network interface (12) and the packet data copied by the input packet copying unit (14). A packet mirroring interface 16 for transmitting to two or more traffic control modules 10 'is provided. The packet mirroring interface 16 is also provided with a transmitter and a receiver, respectively. Therefore, the packet mirroring interface 16 transmitter of the first abnormal traffic control module 10 is configured to be connected to the packet mirroring interface receiver of the second abnormal traffic control module 10 'to transmit packet data. Similarly, the packet mirroring interface receiver of the first abnormal traffic control module 10 is configured to be connected to the packet mirroring interface transmitter of the second abnormal traffic control module 10 'to receive packet data.

제 1 상단 네트워크 모듈(1)과 제 1 하단 네트워크 모듈(3)을 통해 유입되는 패킷 데이터와 패킷 미러링 인터페이스(16)를 통해 제 2 이상 트래픽 제어모듈(10')로부터 유입되는 패킷 데이터를 처리하는 세션 처리부(18)가 구비된다. 상기 세션 처리부(18)는 입력되는 모든 세션 정보를 처리하며 비대칭 네트워크 및 네트워크 장애발생시 자신의 세션 정보를 다른 네트워크 서비스 모듈로 전송하는 것이다. Packet data flowing through the first upper network module 1 and the first lower network module 3 and packet data flowing from the second abnormal traffic control module 10 'through the packet mirroring interface 16 are processed. The session processing unit 18 is provided. The session processor 18 processes all input session information and transmits its session information to another network service module when an asymmetric network and a network failure occur.

상기 세션 처리부(18)로부터 전송된 패킷 데이터를 검사하여 이상 트래픽 여부를 판단하고 그에 대한 제어를 수행하는 이상트래픽 제어부(20)를 구비한다. An abnormal traffic control unit 20 is provided to examine the packet data transmitted from the session processor 18 to determine whether abnormal traffic is present and to control the abnormal traffic.

상기 네트워크 모듈(1)(3) 상호간의 링크(Link) 상태를 검사하는 링크검사부(22)를 구비한다. 상기 링크검사부(22)는 상기 상단 또는 하단 네트워크 모듈(1)(3)의 링크 상태를 검사하며, 상기 어느 하나의 네트워크 모듈(1)(3)의 링크가 다운(down)되면 다른 하나의 네트워크 모듈의 링크도 강제적으로 다운(down)시키는 역할을 한다. 또한 상기 다운된 어느 하나의 네트워크 모듈의 링크가 복구되면 나머지 다른 하나의 네트워크 모듈의 링크도 강제적으로 복구시키는 역할을 한다. 상기 링크검사부(22)는 검사된 링크 상태정보를 후술하는 정보송수신제어부(26)로 전송한다. And a link check unit 22 for checking a link state between the network modules 1 and 3. The link checker 22 checks the link state of the upper or lower network module 1 and 3, and if the link of any one network module 1 or 3 is down, the other network The link of the module is also forced to down. In addition, when the downlink of any one network module is restored, the other network module is forcibly restored. The link inspection unit 22 transmits the inspected link state information to the information transmission and reception control unit 26 which will be described later.

본 발명의 이상 트래픽 제어장치의 엔진의 구동상태를 검사하는 엔진상태 검사부(24)를 구비한다. 상기 엔진상태 검사부(24)도 자신이 속하는 이상 트래픽 제어모듈(10)의 엔진이 정상 구동되는지 검사하고 그 엔진 상태정보를 상기 정보송수 신제어부(26)로 전송한다.An engine state inspection unit 24 for inspecting the driving state of the engine of the abnormal traffic control apparatus of the present invention is provided. The engine state inspection unit 24 also checks whether the engine of the traffic control module 10 is abnormally to which it belongs and transmits the engine state information to the information transmission / reception control unit 26.

그리고, 정보송수신제어부(26)는 상기 링크상태정보, 엔진상태정보, 정책정보, 환경정보, 및 세션정보를 전달받고 이중화 구성된 다른 네트워크 서비스 모듈(B)의 이상 트래픽 제어모듈(10')로 전송하는 역할을 한다. In addition, the information transmission and reception control unit 26 receives the link status information, engine status information, policy information, environment information, and session information, and transmits them to the abnormal traffic control module 10 'of another network service module B configured redundantly. It plays a role.

상기 정보송수신제어부(26)는 UNIX명령의 하나로 대상이 되는 장비가 정상적으로 가동하는지를 확인할 때 사용되는 'Ping' 명령 전송 후, 그 전송 결과에 따라 상대방 이상 트래픽 제어모듈(10')의 정상 여부를 확인한다. 여기서, 상기 정책정보는 이상 트래픽 제어모듈(10)(10')의 탐지 및 차단 정책을 말한다. 또한 상기 환경정보는 이상 트래픽 제어모듈(10)(10')의 구동에 따른 환경 정보를 말한다.The information transmission and reception control unit 26 checks whether the counterpart abnormality traffic control module 10 is normal according to the transmission result after transmitting the 'Ping' command used when the target equipment is normally operated as one of UNIX commands. do. Here, the policy information refers to a detection and blocking policy of the abnormal traffic control module 10 (10 '). In addition, the environmental information refers to environmental information according to the operation of the abnormal traffic control module 10 (10 ').

상기 정보송수신제어부(26)로부터 전달받은 상대방 이상 트래픽 제어모듈(10')의 정책정보와 환경정보를 적용하고, 또한 관리부(28)로부터 자신의 정책정보와 환경정보를 전달받아 이를 적용하며, 상기 자신의 정보와 상대방 정보를 비교하여 서로 정보가 상이한 경우 자신의 정보를 수정하여 정보를 동기화시키는 정책적용부(30)를 구비한다. 상기 정책적용부(30)에 의해 처리된 정보는 정책DB(32)에 저장된다.Applying the policy information and environmental information of the other party's abnormal traffic control module 10 'received from the information transmission and reception control unit 26, and receives and applies their policy information and environmental information from the management unit 28, Comparing one's own information with the other party's information, if the information is different from each other, it is provided with a policy applying unit 30 for synchronizing the information by modifying its information. The information processed by the policy applying unit 30 is stored in the policy DB 32.

또한, 상기 관리부(28)는, 링크검사부(22), 엔진상태검사부(24), 이상 트래픽 제어부(20), 정보송수신제어부(26), 정책적용부(30)에서 전달받은 정보를 사용자 인터페이스(34)로 전송하는 역할을 한다. 아울러 상기 관리부(28)는 상기 링크검사부(22)에 검사된 링크 상태 정보에 따라 상기 네트워크의 다른 링크의 상태도 임의적으로 변경시키는 역할을 한다.In addition, the management unit 28, the link inspection unit 22, the engine state inspection unit 24, the abnormal traffic control unit 20, information transmission and reception control unit 26, the policy application unit 30, the information received from the user interface ( 34) to transmit. In addition, the management unit 28 plays a role of arbitrarily changing the state of other links of the network according to the link state information inspected by the link inspection unit 22.

이어, 상기한 바와 같은 구성을 가지는 본 발명에 의한 이중화된 네트워크 보안 시스템에서의 트래픽 제어방법을 상세하게 설명한다.Next, the traffic control method in the redundant network security system according to the present invention having the configuration as described above will be described in detail.

본 발명은 이중화된 네트워크 구성으로 제공되며, 전술한 바와 같이 대칭 네트워크 구조로서 액티브 모듈-스탠바이 모듈과, 액티브 모듈 - 액티브 모듈로 구성될 수 있으며, 또한 비대칭 네트워크 구조로서 액티브 모듈 - 액티브 모듈로 구성될 수 있기 때문에, 이와 같이 구분되는 네트워크 구조에서의 제어방법을 설명한다.The present invention is provided in a redundant network configuration, and as described above, may be composed of an active module-standby module and an active module-active module as a symmetric network structure, and an active module-active module as an asymmetric network structure. Therefore, the control method in the network structure thus divided will be described.

먼저, 액티브 모듈- 스탠바이 모듈로서 대칭적으로 네트워크 구성이 이중화된 경우이다.First, the network configuration is symmetrically duplicated as an active module-standby module.

이 경우, 네트워크 및 이상 트래픽 제어모듈(10)에서 발생되는 모든 트래픽 정보는 제 1 네트워크 서비스 모듈(A)의 제 1 상단 네트워크 모듈(1) 또는 제 1 하단 네트워크 모듈(3)을 통해 유입과 유출이 이루어지며, 본 발명에 따라 네트워크에서 발생된 트래픽 정보가 유입되는 과정을 설명하기로 한다.In this case, all traffic information generated by the network and the abnormal traffic control module 10 flows in and out through the first upper network module 1 or the first lower network module 3 of the first network service module A. This is made, and the process of introducing the traffic information generated in the network according to the present invention will be described.

상기 트래픽 정보가 제 1 네트워크 서비스 모듈(A)의 제 1 상단 네트워크 모듈(1) 또는 제 1 하단 네트워크 모듈(3)을 통해 발생하면, 상기 네트워크 인터페이스(12)를 통해 상기 트래픽 정보가 유입된다.When the traffic information is generated through the first upper network module 1 or the first lower network module 3 of the first network service module A, the traffic information is introduced through the network interface 12.

그러면, 상기 입력패킷 복사부(14)는 상기 네트워크 인터페이스(12)로부터 상기 트래픽 정보를 전달받고, 상기 트래픽 정보에 대한 패킷 데이터를 복사한 후 패킷 미러링 인터페이스(16)로 전송한다. 따라서, 상기 패킷 미러링 인터페이스(16)는 상기 네트워크 인터페이스(12)에 유입된 모든 패킷 데이터에 대한 정보를 갖게 된다. Then, the input packet copying unit 14 receives the traffic information from the network interface 12, copies the packet data for the traffic information, and transmits the packet information to the packet mirroring interface 16. Accordingly, the packet mirroring interface 16 has information on all packet data flowing into the network interface 12.

상기 패킷 미러링 인터페이스(16)는 송신부와 연결되어 있는 이중화 구성된 제 2 네트워크 서비스 모듈(B)의 패킷 미러링 인터페이스(16')를 매개하여 상기 패킷 데이터를 제 2 이상 트래픽 제어모듈(10')로 전송한다. 이에 따라 상기 제 1 이상 트래픽 제어모듈(10)이 처리하는 트래픽 정보를 상기 제 2 이상 트래픽 제어모듈(10')도 가지게 되는 것이다. 즉 상기 제 2 이상 트래픽 제어모듈(10')를 통해 직접 유입되는 트래픽 정보는 발생하지 않지만, 상기 제 1 이상 트래픽 제어모듈(10)이 유입한 트래픽의 세션 정보를 공유하게 된다.The packet mirroring interface 16 transmits the packet data to the second or more traffic control module 10 'via the packet mirroring interface 16' of the duplexed second network service module B connected to the transmitter. do. Accordingly, the second abnormal traffic control module 10 ′ also has traffic information processed by the first abnormal traffic control module 10. That is, although the traffic information directly flowing through the second abnormal traffic control module 10 'does not occur, the first abnormal traffic control module 10 shares the session information of the introduced traffic.

이와 같은 세션 정보 공유와 함께, 상기 제 1 이상 트래픽 제어모듈(10)에 구비된 정보송수신제어부(26)는 자신의 상태정보, 환경정보, 정책정보 등을 상기 제 2 이상 트래픽 제어모듈(10')에 구비된 정보송수신제어부(26')로 전송한다. 그러면 상기 제 2 이상 트래픽 제어모듈(10')의 정책적용부(30')은 상기 전송받은 정보들을 비교하고, 그 정보 공유에 따라 상기 제 1 및 제 2 이상 트래픽 제어모듈(10)(10') 상호간에는 정확한 동기가 이루어진다.With such session information sharing, the information transmission / reception control unit 26 provided in the first abnormal traffic control module 10 transmits its own state information, environmental information, policy information, etc. to the second abnormal traffic control module 10 '. Is transmitted to the information transmission and reception control unit 26 '. Then, the policy application unit 30 'of the second abnormal traffic control module 10' compares the received information, and the first and second abnormal traffic control modules 10 and 10 'according to the information sharing. ) Exact motivation is achieved between each other.

다음, 상기 링크 검사부(22)는 상기 제 1 상단 네트워크 모듈(1) 또는 제 1 하단 네트워크 모듈(3)에 대한 링크 상태를 지속적으로 검사한다. 만일 어느 하나의 링크가 다운되면 상기 링크 검사부(22)는 다른 하나의 링크를 다운시키도록 하며, 반대로 링크 다운 상태에서 어느 하나의 링크가 복구되면 나머지 링크를 강제적으로 복구시키게 된다. 즉, 상기 링크 검사부(22)에 의해 어느 하나의 링크가 다운되면 다른 하나의 링크도 다운시키고 현재 활성화 상태였던 제 1 네트워크 서비 스 모듈(A)의 네트워크 경로를 차단하고 제 2 네트워크 서비스 모듈(B)의 네트워크 경로로 경로 변경을 실시한다. Next, the link checker 22 continuously checks the link state of the first upper network module 1 or the first lower network module 3. If one link is down, the link checker 22 causes the other link to be down. On the contrary, if any one link is restored in the link down state, the link checker 22 forcibly restores the other link. That is, when any one link is down by the link checker 22, the other link is also down and the network path of the first network service module A which is currently active is blocked and the second network service module B is disconnected. Change the path to the network path.

이때 상기 제 1 이상 트래픽 제어모듈(10)의 상태정보, 환경정보, 정책정보, 및 세션정보 등을 상기 제 2 이상 트래픽 제어모듈(10')로 이미 전송 완료되어 동기화가 선행되었기 때문에 정보 손실없이 계속적인 서비스 제공이 가능하다.At this time, since the state information, environment information, policy information, and session information of the first abnormal traffic control module 10 are already transmitted to the second abnormal traffic control module 10 ', synchronization is preceded without loss of information. Continuous service provision is possible.

다시 말해, 상기 정보송수신제어부(26)는 링크상태정보와, 엔진상태정보와, 이상 트래픽 제어모듈(10)의 환경정보와, 이상트래픽 제어모듈(10)의 탐지 및 차단정책을 나타내는 정책정보를 대응하는 상대방 이상 트래픽 제어모듈(10')로 송신하고, 상기 세션 정보는 패킷 미러잉 인터페이스(16)를 이용하여 송신함으로써, 상기 제 1 이상 트래픽 제어모듈(10)과 제 2 이상 트래픽 제어모듈(10')은 동일한 정보를 공유하는 것이다. 여기서 상기 세션정보에는 상기 이상트래픽 제어부(20)에 의해 검사가 이루어진 이상 트래픽에 대한 정보 등도 포함된다.In other words, the information transmission and reception control unit 26 provides link status information, engine status information, environmental information of the abnormal traffic control module 10, and policy information indicating a detection and blocking policy of the abnormal traffic control module 10. The first abnormal traffic control module 10 and the second abnormal traffic control module 10 are transmitted to the corresponding counterpart abnormal traffic control module 10 'and the session information is transmitted using the packet mirroring interface 16. 10 ') share the same information. In this case, the session information includes information on abnormal traffic inspected by the abnormal traffic controller 20.

따라서, 상기 제 2 이상 트래픽 제어모듈(10')의 정책 적용부(30')는 상기 전송받은 정보 등을 참조하여 정책정보와 이상 트래픽 제어모듈(10')의 환경 설정 정보를 새롭게 적용할 수 있다.Accordingly, the policy application unit 30 'of the second abnormal traffic control module 10' may newly apply policy information and environment setting information of the abnormal traffic control module 10 'with reference to the received information. have.

한편, 상기 정보송수신제어부(26)는 상기 정보들을 송수신할 때 제 2 이상 트래픽 제어모듈(10')이 정상적으로 구동하는지를 확인해야 한다.Meanwhile, the information transmission / reception control unit 26 should check whether the second abnormal traffic control module 10 'normally operates when transmitting and receiving the information.

이를 위해 상기 제 1 이상 트래픽 제어모듈(10)의 제 1 정보송수신제어부(26)가 제 2 이상 트래픽 제어모듈(10')의 제 2 정보송수신제어부(26')로 정보를 전달하고자 하는 경우, 먼저 제 1정보송수신제어부(26)는 상지 제 2 정보송수신제 어부(26')로 'Ping' 정보를 전송한다. 상기 'Ping' 정보는 전술한바 있는 'UNIX'명령의 하나로 대상이 되는 장비가 정상적으로 가동하는지를 확인할 때 사용되는 명령으로 통상 인터넷 제어 메시지 프로토콜(ICMP)을 사용한다. To this end, when the first information transmission and reception control unit 26 of the first abnormal traffic control module 10 intends to transfer information to the second information transmission and reception control unit 26 'of the second abnormal traffic control module 10', First, the first information transmission and reception control unit 26 transmits the 'Ping' information to the second information transmission and reception control unit 26 '. The 'Ping' information is one of the above-mentioned 'UNIX' commands and is used to check whether the target device is normally operated. The Internet Control Message Protocol (ICMP) is generally used.

이에 상기 제 2 정보송수신제어부(26')로부터 'Ping' 정보에 대한 응답정보가 전송되면 상기 제 1정보송수신제어부(26)는 상기 제 2정보송수신제어부(26')의 이상 트래픽 제어모듈(10')이 정상적으로 구동하고 있음을 판단한다. 그리고 제 1 이상 트래픽 제어모듈(10)은 자신의 링크상태정보, 엔진상태정보, 정책정보, 환경정보, 세션정보 등을 제 2 이상 트래픽 제어모듈(10')로 전송하는 것이다. 마찬가지로 상기 제 2 이상 트래픽 제어모듈(10')은 자신의 정보를 제 1 이상 트래픽 제어모듈(10)로 전송한다. 이때 상기 수신받은 정보 중에서 만일 엔진 구동상태가 비정상적이면, 해당 관리부(28)(28')는 이를 사용자 인터페이스(34)(34')로 전송하여 엔진 상태를 알려준다. 이러한 정보 등은 정책적용부(30)(30')에 의해 적용되며 상기 정책DB(32)(32')에 저장관리된다.Accordingly, when response information for 'Ping' information is transmitted from the second information transmission / reception control unit 26 ', the first information transmission / reception control unit 26 is an abnormal traffic control module 10 of the second information transmission / reception control unit 26'. ') Is operating normally. The first abnormal traffic control module 10 transmits its link status information, engine status information, policy information, environment information, session information, etc. to the second abnormal traffic control module 10 '. Similarly, the second abnormal traffic control module 10 ′ transmits its information to the first abnormal traffic control module 10. At this time, if the engine driving state is abnormal among the received information, the management unit 28 (28 ') transmits it to the user interface 34 (34') to inform the engine state. Such information and the like are applied by the policy application unit 30 (30 ') and stored and managed in the policy DB (32) (32').

그리고, 상기에서 'Ping' 정보 전송에 대한 응답 정보가 발생되지 않으면 상기 제 1 정보송수신제어부(26)는 상기 제 2 이상 트래픽 제어모듈(10')과의 연결 케이블이 불량이거나 또는 제 2 이상 트래픽 제어모듈(10') 및 제 2 네트워크 서비스 모듈(B)의 전원이 오프되어 있거나 또는 비정상 상태로 판단한다. 물론 상기 판단 결과에 따른 정보는 자신의 관리부(28)를 통해 사용자 인터페이스(34)로 전송한다.If the response information for 'Ping' information transmission is not generated, the first information transmission / reception control unit 26 may have a bad connection cable with the second abnormal traffic control module 10 'or the second abnormal traffic. It is determined that the power supply of the control module 10 'and the second network service module B is off or abnormal. Of course, the information according to the determination result is transmitted to the user interface 34 through its management unit 28.

이와 같이 대칭 네트워크 구조로서의 액티브-스탠바이 모듈로 구성시에 액티 브 모듈(제 1 네트워크 서비스 모듈, A)의 이상 트래픽 제어모듈(10)은 유입되는 트래픽을 스탠바이 모듈(제 2 네트워크 서비스 모듈, B)의 이상트래픽 제어모듈(10')로 전달하며, 또한 각각의 이상 트래픽 제어모듈(10)(10')은 자신의 상태정보/환경정보/정책정보/세션정보 등을 공유하기 때문에 동기화를 정확하게 실시한다.The abnormal traffic control module 10 of the active module (the first network service module, A), when configured as an active-standby module as a symmetric network structure, receives the incoming traffic from the standby module (the second network service module, B). The abnormal traffic control module 10 'and the abnormal traffic control module 10 and 10' share their own status information / environmental information / policy information / session information. do.

그리고, 링크 검사부(22)는 상기 제 1 상단/하단 네트워크 모듈(1)(3)의 링크 상태를 실시간으로 감시하며 만일 어느 하나의 네트워크 링크가 단절되게 되면 나머지 하나의 네트워크 링크도 강제적으로 단절시키게 된다. 이에 따라 상기 제 1 네트워크 서비스 모듈(A)의 전체 네트워크 경로가 차단되고 상기 제 2 네트워크 서비스 모듈(B)로 자동으로 변경되기 때문에, 상기 동기화로 인하여 정보 손실없이 계속적으로 네트워크 서비스를 제공할 수 있다.The link checker 22 monitors the link state of the first upper / lower network module 1 and 3 in real time, and if one network link is disconnected, forcibly disconnects the other network link. do. Accordingly, since the entire network path of the first network service module A is blocked and automatically changed to the second network service module B, the network service can be continuously provided without loss of information due to the synchronization. .

다음 액티브 모듈- 액티브 모듈로서 대칭적으로 네트워크 구성이 이중화된 경우이다.The next active module-an active module, in which the network configuration is symmetrically duplicated.

이는 전술한 액티브 모듈- 스탠바이 모듈로 네트워크를 이중화한 구성과 동일하게 진행된다. This is the same as the configuration in which the network is redundant with the above-described active module-standby module.

따라서, 어느 하나의 액티브 모듈에서 장애가 발생되더라도 다른 액티브 모듈을 통해 서비스가 지속적으로 이루어질 수 있다. 물론 어느 하나의 액티브 모듈에 대한 모든 정보는 다른 액티브 모듈로 전송되며, 따라서 정보 공유화가 가능하다. Therefore, even if a failure occurs in one active module, the service may be continuously provided through the other active module. Of course, all information about one active module is transmitted to another active module, and thus information sharing is possible.

다음, 액티브 모듈- 액티브 모듈로 비대칭적으로 네트워크 구성이 이중화된 경우이다.Next, the network configuration is asymmetrically duplicated with an active module-active module.

상기 비대칭 네트워크로 이중화되어 구성된 경우, 임의의 액티브 모듈에서 유입한 패킷 데이터를 패킷 미러링 인터페이스(16)(16')를 통해 다른 액티브 모듈로 전송하기 때문에 상기 패킷 데이터를 공유하게 된다. 그리고, 상기 정보송수신제어부(26)(26')를 통해 각각의 액티브 모듈은 자신의 상태정보/환경정보/정책정보/세션정보 등을 공유할 수 있다. 따라서 어느 하나의 네트워크에서 장애가 발생되더라도 지속적인 네트워크 서비스가 가능하다.In the redundant configuration of the asymmetric network, the packet data flowing from any active module is transmitted to other active modules through the packet mirroring interfaces 16 and 16 ', thereby sharing the packet data. Each active module may share its own state information, environment information, policy information, session information, and the like through the information transmission and reception control unit 26 (26 '). Therefore, continuous network service is possible even if one network fails.

즉, 종래 비대칭 네트워크 구조에서는 세션 공유 및 상기한 정보들의 공유가 불가능하여 세션 처리가 정확하게 처리되지 못하였던 것이다.That is, in the conventional asymmetric network structure, the session sharing and the sharing of the above information are impossible, so the session processing was not processed correctly.

이와 같이 상기 실시 예에 설명되고 있는 본 발명은 이중 구조로 이루어진 각 네트워크 서비스 모듈 상호간의 동기화가 가능하고, 상기 동기화에 의한 정보 공유로 인하여 하나의 네트워크 라인에서 소정 부위에 링크가 단절되면 동일 라인에 있는 나머지 링크도 강제적으로 링크 단절시키더라도 다른 네트워크 라인을 통해 세션단절 없이 정상적인 서비스가 가능함을 알 수 있다.As described above, the present invention described in the above embodiments can synchronize each network service module having a dual structure, and if the link is disconnected at a predetermined part in one network line due to the information sharing by the synchronization, Even if the remaining link is forcibly disconnected, it can be seen that normal service is possible without disconnecting the session through another network line.

이상에서 설명한 바와 같이 본 발명의 보안 시스템 및 트래픽 제어방법에 따르면 다음과 같은 효과가 있다.As described above, the security system and the traffic control method of the present invention have the following effects.

먼저, 대칭 또는 비대칭적으로 이중화된 모든 네트워크 구조에서 어느 하나의 네트워크 서비스 모듈로 유입되는 트래픽 정보 및 그 네트워크 서비스 모듈의 이상 트래픽 제어모듈의 상태정보(링크상태/엔진상태), 정책정보, 환경정보를 대응되는 다른 이상 트래픽 제어모듈과 상호간 공유하기 때문에, 상기 네트워크 서비스 모듈 상호간의 동기화가 가능하여 네트워크 단절없이 계속적인 네트워크 서비스를 제공할 수 있는 효과가 있다.First, traffic information flowing into any one network service module in all network structures symmetrically or asymmetrically duplicated, and status information (link state / engine state), policy information, and environment information of the abnormal traffic control module of the network service module. Since it is shared with other corresponding traffic control module corresponding to each other, it is possible to synchronize between the network service modules can provide a continuous network service without network disconnection.

또한, 상기 이중화된 네트워크 구조에서 어느 하나의 네트워크 서비스 모듈에 제공되는 상단 또는 하단 네트워크 모듈 중 어느 하나의 모듈이 이상 트래픽 제어모듈과 링크 단절되면, 나머지 모듈과의 링크를 강제적으로 단절시키고 자동으로 다른 네트워크 서비스 모듈로 네트워크 경로를 변경 제공하기 때문에, 상기 정보 동기화로 인하여 세션정보 및 다양한 정보들의 손실 없이도 이상 트래픽 제어 서비스를 계속 제공할 수 있는 효과도 있다.In addition, when any one of the upper or lower network modules provided to any one network service module is disconnected from the abnormal traffic control module in the redundant network structure, the link with the remaining modules is forcibly disconnected and automatically Since the network path is changed and provided to the network service module, it is possible to continue to provide the abnormal traffic control service without losing session information and various information due to the information synchronization.

Claims (16)

이중화 구조로 된 네트워크의 보안 시스템에 있어서,In the security system of a network having a redundant structure, 상기 네트워크로 유입되는 트래픽을 감시하는 이상트래픽모듈과,An abnormal traffic module for monitoring the traffic flowing into the network; 상기 네트워크의 링크 연결상태를 감시하는 링크 검사부와,A link check unit for monitoring a link connection state of the network; 상기 네트워크의 일부분의 링크 상태 정보에 따라 상기 네트워크의 다른 링크의 상태도 임의적으로 변경시키는 관리부를 포함하는 것을 특징으로 하는 보안 시스템.And a management unit for arbitrarily changing a state of another link of the network according to link state information of a portion of the network. 이중화 구조로 된 네트워크의 보안 시스템에 있어서,In the security system of a network having a redundant structure, 상기 네트워크로 유입되는 트래픽을 감시하는 이상트래픽모듈과,An abnormal traffic module for monitoring the traffic flowing into the network; 상기 네트워크에 적용되는 보안정책정보를 다른 네트워크로 송신하거나 다른 네트워크의 보안정책정보를 수신하는 정보송수신제어부와,An information transmission and reception control unit for transmitting security policy information applied to the network to another network or receiving security policy information of another network; 상기 네트워크에 유입되는 패킷 및 세션에 대한 정보를 선택적으로 다른 네트워크에 송신하거나 다른 네트워크에서 송신되는 상기 정보를 수신하는 패킷미러링제어부를 포함하는 것을 특징으로 하는 보안 시스템.And a packet mirroring control unit for selectively transmitting information about packets and sessions flowing into the network to another network or receiving the information transmitted from another network. 이중화 구조로 된 네트워크의 보안 시스템에 있어서,In the security system of a network having a redundant structure, 상기 네트워크로 유입되는 트래픽을 감시하는 이상트래픽모듈과, An abnormal traffic module for monitoring the traffic flowing into the network; 상기 네트워크 링크 연결상태를 감시하는 링크 검사부와,A link inspection unit for monitoring the network link connection state; 상기 네트워크의 일부분의 링크 상태 정보에 따라 상기 네트워크의 다른 링크의 상태도 임의적으로 변경시키는 관리부와,A management unit for arbitrarily changing a state of another link of the network according to link state information of a part of the network; 상기 네트워크에 적용되는 보안정책정보를 다른 네트워크로 송신하거나 다른 네트워크의 보안정책정보를 수신하는 정보송수신제어부와,An information transmission and reception control unit for transmitting security policy information applied to the network to another network or receiving security policy information of another network; 상기 네트워크에 유입되는 패킷 및 세션에 대한 정보를 선택적으로 다른 네트워크에 송신하거나 다른 네트워크에서 송신되는 상기 정보를 수신하는 패킷미러링제어부를 포함하는 것을 특징으로 하는 보안 시스템.And a packet mirroring control unit for selectively transmitting information about packets and sessions flowing into the network to another network or receiving the information transmitted from another network. 제 1항 내지 제 3항 중 어느 한 항에 있어서,The method according to any one of claims 1 to 3, 상기 네트워크의 보안정책정보를 비교하고 상이한 경우에 자신의 보안정책정보를 수정하여 다른 네트워크와 동기화시키는 정책적용부를 더 포함하는 것을 특징으로 하는 보안 시스템.And a policy application unit for comparing the security policy information of the network and modifying its security policy information and synchronizing with other networks in different cases. 제 2항 또는 제 3항에 있어서,The method of claim 2 or 3, 상기 네트워크에 유입되는 패킷 및 세션에 대한 정보를 상기 패킷미러링제어부로 송신하는 입력패킷복사부를 더 포함하는 것을 특징으로 하는 보안 시스템.And an input packet copying unit which transmits information on packets and sessions flowing into the network to the packet mirroring control unit. 제 2항 또는 제 3항에 있어서,The method of claim 2 or 3, 상기 보안정책정보는, The security policy information, 링크상태정보, 엔진상태정보, 탐지/차단정보를 갖는 정책정보, 상기 이상트 래픽모듈의 구동 환경정보, 세션정보인 것을 특징으로 하는 보안 시스템.Security information, characterized in that the link status information, engine status information, policy information having detection / blocking information, driving environment information of the abnormal traffic module, session information. 제 2항 또는 제 3항에 있어서,The method of claim 2 or 3, 상기 정보송수신제어부의 정상 구동을 확인하기 위하여 명령/응답 데이터를 사용하는 것을 특징으로 하는 보안 시스템.And using command / response data to confirm normal operation of the information transmission and reception control unit. 제 7항에 있어서,The method of claim 7, wherein 상기 명령/응답 데이터는 Ping 명령인 것을 특징으로 하는 보안 시스템.And the command / response data is a ping command. 제 1항 내지 제 3항 중 어느 한 항에 있어서, The method according to any one of claims 1 to 3, 상기 이중화 구조는, The redundant structure, 대칭 네트워크 구조로서 액티브 모듈 - 스탠바이 모듈과, 액티브 모듈 - 액티브 모듈, 그리고 비대칭 네트워크 구조로서 액티브 모듈 - 액티브 모듈 중 어느 하나인 것을 특징으로 하는 보안 시스템.A security system, which is any one of an active module-a standby module as a symmetric network structure, an active module-an active module, and an active module-an active module as an asymmetric network structure. 이중화 구조로 된 보안 시스템의 트래픽 제어방법에 있어서,In the traffic control method of a security system having a redundant structure, 네트워크로 유입되는 트래픽의 패킷정보를 복사하는 단계와, Copying packet information of traffic flowing into the network; 상기 패킷정보와 네트워크에 적용된 보안정책정보를 다른 네트워크로 송신하거나 다른 네트워크의 패킷정보와 보안정책정보를 수신받는 단계를 포함하는 것을 특징으로 하는 보안 시스템의 트래픽 제어방법. And transmitting the packet information and the security policy information applied to the network to another network, or receiving the packet information and the security policy information of the other network. 제 10항에 있어서,The method of claim 10, 상기 네트워크에 적용된 보안정책정보와 다른 네트워크의 보안정책정보가 상이한 경우 어느 하나의 보안정책정보를 수정하여 동기화하는 단계를 더 포함하는 것을 특징으로 하는 보안 시스템의 트래픽 제어방법.And when the security policy information applied to the network is different from the security policy information of another network, modifying and synchronizing any one of the security policy information. 제 10항에 있어서,The method of claim 10, 상기 네트워크의 일부분의 링크 상태 정보에 따라 상기 네트워크의 다른 링크 상태를 임의적으로 변경하는 것을 특징으로 하는 보안 시스템의 트래픽 제어방법.And randomly changing another link state of the network according to link state information of a portion of the network. 제 10항에 있어서,The method of claim 10, 상기 네트워크에 적용되는 보안정책정보를 다른 네트워크로 송신할 때 다른 네트워크의 정상 여부를 확인하는 것을 특징으로 하는 보안 시스템의 트래픽 제어방법.When the transmission of the security policy information applied to the network to another network, the traffic control method of the security system, characterized in that it checks whether the other network is normal. 제 13항에 있어서,The method of claim 13, 상기 정상 여부는 Ping 명령과 그 응답 명령의 송수신에 의해 확인하는 것을 특징으로 하는 보안 시스템의 트래픽 제어방법.The normality of the traffic control method of the security system, characterized in that by confirming the transmission and reception of the ping command and its response command. 제 10항에 있어서,The method of claim 10, 상기 보안정책정보는, 링크상태정보, 엔진상태정보, 탐지/차단정보를 갖는 정책정보, 구동 환경정보, 세션정보 중 하나 이상인 것을 특징으로 하는 보안 시스템의 트래픽 제어방법.The security policy information is at least one of link status information, engine status information, policy information having detection / blocking information, driving environment information, and session information. 제 10항에 있어서,The method of claim 10, 상기 네트워크는, The network, 대칭 네트워크 구조로서 액티브 모듈 - 스탠바이 모듈과, 액티브 모듈 - 액티브 모듈, 그리고 비대칭 네트워크 구조로서 액티브 모듈 - 액티브 모듈 중 어느 하나인 것을 특징으로 하는 보안 시스템의 트래픽 제어방법.A method for controlling traffic of a security system, the method comprising: an active module-a standby module as a symmetric network structure, an active module-an active module, and an active module-an active module as an asymmetric network structure.
KR1020060042605A 2006-05-11 2006-05-11 Securtioy system and method for controlling a traffic using the same KR100794520B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020060042605A KR100794520B1 (en) 2006-05-11 2006-05-11 Securtioy system and method for controlling a traffic using the same

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020060042605A KR100794520B1 (en) 2006-05-11 2006-05-11 Securtioy system and method for controlling a traffic using the same

Publications (2)

Publication Number Publication Date
KR20070109527A true KR20070109527A (en) 2007-11-15
KR100794520B1 KR100794520B1 (en) 2008-01-14

Family

ID=39064024

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020060042605A KR100794520B1 (en) 2006-05-11 2006-05-11 Securtioy system and method for controlling a traffic using the same

Country Status (1)

Country Link
KR (1) KR100794520B1 (en)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101355503B (en) * 2008-09-03 2011-01-05 中兴通讯股份有限公司 System and method for automatic mirror-image of packet
KR101104121B1 (en) * 2011-08-08 2012-01-13 플러스기술주식회사 Method and system for managing network traffic of internet television
KR101338247B1 (en) * 2012-03-23 2013-12-09 플러스기술주식회사 Device and method for classifying and controlling network traffic of internet television
WO2014193708A1 (en) * 2013-05-25 2014-12-04 North Carolina State University Large-scale, time-sensitive secure distributed control systems and methods
KR101468965B1 (en) * 2013-04-05 2014-12-04 (주)텔레필드 Apparatus and method of ring topology information auto sharing for MPLS-TP ring protection switching

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3270924B2 (en) * 1996-11-08 2002-04-02 富士通株式会社 Bypass control method for ring transmission equipment
JP2000332771A (en) * 1999-05-17 2000-11-30 Nec Corp Uninterruptible path changeover system and control method
KR100898241B1 (en) * 2002-09-30 2009-05-18 주식회사 케이티 System of dynamic security service for intrusion detection and prevention from cyber attack by using path configuration and method thereof
KR100977124B1 (en) * 2003-06-27 2010-08-23 주식회사 케이티 A customer network management service System and Method by monitoring traffic of the customer's network and controlling illegal or abnormal traffic
JP2005260321A (en) * 2004-03-09 2005-09-22 Nec Corp Alternative control system of label path network
KR101021278B1 (en) * 2004-08-09 2011-03-11 삼성전자주식회사 A Device and method for router control plane redundancy by using OSPF
KR100512273B1 (en) * 2005-05-30 2005-09-05 펌킨넷코리아 (주) Fail-over system and method thereof of network security equipment using single load balancer, and fail-over system and method thereof of network security equipment and load balancers using the same

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101355503B (en) * 2008-09-03 2011-01-05 中兴通讯股份有限公司 System and method for automatic mirror-image of packet
KR101104121B1 (en) * 2011-08-08 2012-01-13 플러스기술주식회사 Method and system for managing network traffic of internet television
KR101338247B1 (en) * 2012-03-23 2013-12-09 플러스기술주식회사 Device and method for classifying and controlling network traffic of internet television
KR101468965B1 (en) * 2013-04-05 2014-12-04 (주)텔레필드 Apparatus and method of ring topology information auto sharing for MPLS-TP ring protection switching
WO2014193708A1 (en) * 2013-05-25 2014-12-04 North Carolina State University Large-scale, time-sensitive secure distributed control systems and methods
US9910982B2 (en) 2013-05-25 2018-03-06 North Carolina State University Large-scale, time-sensitive secure distributed control systems and methods

Also Published As

Publication number Publication date
KR100794520B1 (en) 2008-01-14

Similar Documents

Publication Publication Date Title
US9749011B2 (en) Physical unidirectional communication apparatus and method
US6594776B1 (en) Mechanism to clear MAC address from Ethernet switch address table to enable network link fail-over across two network segments
KR100794520B1 (en) Securtioy system and method for controlling a traffic using the same
WO2016095344A1 (en) Link switching method and device, and line card
CN108270593B (en) Dual-computer hot backup method and system
US7978597B2 (en) Communication management system, communication management method, and communication management device
JP4340731B2 (en) Network fault monitoring processing system and method
CN107959626B (en) Communication method, device and system of data center
KR200398406Y1 (en) Apparatus for controlling network traffic of High availability
EP3979078B1 (en) System and method for secure connections in a high availability industrial controller
US7675850B2 (en) Apparatus for realizing soft-switch allopatric disaster recovery based on packet network
KR100569860B1 (en) Apparatus and method for controlling network traffic of high availability
US8553530B1 (en) Operating state control in redundancy protection systems
CN113852514A (en) Data processing system with uninterrupted service, processing equipment switching method and connecting equipment
CN107302452B (en) Control method for PBX service continuity
US20090019140A1 (en) Method for backup switching spatially separated switching systems
JP2008287632A (en) Control device recovery system
JPH08298535A (en) Osi communication system
JP2008204113A (en) Network monitoring system
JP3358801B2 (en) Transmit burst reception monitor circuit
KR101397993B1 (en) Duplex System and Method of Access Switching Processor
JP4803194B2 (en) COMMUNICATION SYSTEM, COMMUNICATION METHOD, PROGRAM, AND RECORDING MEDIUM
US8195758B1 (en) Control for signal redundancy
JPH1188391A (en) Network management system
RU2286014C2 (en) Systems for protective controlling of communication line

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
N231 Notification of change of applicant
GRNT Written decision to grant
G170 Publication of correction
FPAY Annual fee payment

Payment date: 20130109

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20131227

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20141230

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20151208

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20170103

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20180102

Year of fee payment: 11

FPAY Annual fee payment

Payment date: 20190102

Year of fee payment: 12

FPAY Annual fee payment

Payment date: 20200102

Year of fee payment: 13