WO2009135427A1 - 一种分布式网络设备安全集中防护的装置与方法 - Google Patents

Description

一种分布式网络设备安全集中防护的装置与方法 本申请要求于 2008 年 5 月 6 日提交中国专利局， 申请号为 200810097219.2, 发明名称为 "一种分布式网络设备安全集中防护的 装置与方法"的中国专利申请的优先权， 其全部内容通过引用结合在 本申请中。 技术领域

本发明实施例涉及通信技术领域，尤其涉及一种分布式网络设备 安全集中防护的装置与方法。 背景技术

随着 Internet技术的发展， 组网环境日趋复杂， 网络攻击日益频 繁， 攻击种类日益繁多， 如 DOS ( Denial of Service, 拒绝服务） 攻 击， 网络仿冒攻击， 网页恶意代码攻击， 病毒、 蠕虫、 木马攻击、 系 统漏洞、垃圾邮件攻击等。其中尤其以 DOS攻击、 DDOS ( Distributed Denial of Service, 分布式拒绝服务）攻击尤为常见， 对网络设备造成 的危害性也最大。 DOS 攻击指拒绝服务攻击， 攻击者短时间内使用 大量数据包或畸形报文向网络设备不断发起连接或请求响应，致使网 络设备负荷过重而不能处理合法业务，从而导致设备业务中断甚至设 备瘫痪。

为了应对网络攻击、 病毒等， 网络设备必须具备可靠的安全防范 措施。 对上送网络设备控制核心进行处理的控制数据和管理数据， 必 须具备更加有效牢靠的安全策略，例如上送 CPU( Center Process Unit, 中央处理单元）进行处理的数据等。 否则一旦攻击发生将造成网络设 备的瘫痪， 从而引发网络灾难。 分布式网络设备通常使用接口单元集 成安全防护功能的设备安全加固方案，接口单元集成设备安全防护功 能， 即各接口单元（负责业务接入）的安全策略都随板集中在了自身 的处理流程中。 在实现本发明的过程中， 发明人发现现有技术中存在以下缺点： 现有技术中， 设备安全防护功能受接口单元资源瓶颈制约， 可扩 充性差，且每种不同类型的接口单元需结合自身特征进行防护功能设 计、 开发， 工作量大， 成本高。 另外， 由于病毒、 木马等攻击方式更 新速度非常快， 必然要求网络设备的攻击防范方法也随之更新， 因接 口单元主要负责业务接入， 有大量的业务接入特性， 这些业务接入特 性的控制管理流程通常不会发生大的变化，即接口单元的业务版本通 常是比较固定的，由此如果需要升级接口单元的安全防范方法必然会 导致整个接口单元的版本发生变换，即可能影响到原有的设备业务的 正常运转。 发明内容

本发明实施例提供了一种分布式网络设备安全集中防护的装置 与方法， 以实现增强分布式网络设备防护能力， 方便进行升级和维护 等管理。

为达到上述目的，本发明实施例提供了一种分布式网络设备安全 集中防护的装置， 包括：

至少一个接口单元，用于将接收到的数据发送到集中防护单元进 行清洗， 并发送所述清洗后的数据；

集中防护单元， 用于对来自所述接口单元的数据进行清洗， 并将 经过清洗的数据发送回对应的接口单元。

本发明实施例提供了一种分布式网络设备安全集中防护的方法， 包括：

接收至少一个接口单元转发的数据；

根据安全策略对所述数据进行清洗；

将经过清洗后的数据发送回对应的接口单元。

与现有技术相比， 本发明的实施例中， 由于占用接口单元的资源 减少， 使设备防护能力得到大幅提升； 另外， 设备安全策略在集中防 护单元统一定义， 统一管理， 可扩展性好； 且只需升级集中防护单元 版本， 不需要升级各个接口单元版本。 附图说明

图 1 是本发明实施例一中分布式网络设备安全集中防护装置结 构图；

图 2 是本发明实施例二分布式网络设备安全集中防护装置结构 图；

图 3是本发明实施例中接口单元结构图；

图 4是本发明实施例中集中防护单元结构图；

图 5 是本发明实施例中分布式网络设备安全集中防护的方法流 程图。 具体实施方式

本发明实施例一提供了一种分布式网络设备安全集中防护的装 置， 适合在防火墙、 路由器、 以太网交换机、 宽带接入设备上实现， 但不局限于上述设备， 也可以在其他设备上使用。 该装置如图 1所示， 包括： 至少一个接口单元和集中防护单元。

接口单元， 用于接收数据， 将该数据发送到集中防护单元进行清 洗， 并将发送经过清洗的数据；

集中防护单元， 作为分布式网络设备控制管理数据的清洗中心， 负责网络设备自身的安全防护， 对来自接口单元的数据进行清洗， 并 将经过清洗的数据发送回对应的接口单元。

进一步的，本发明实施例二提供的一种分布式网络设备安全集中 防护的装置还可以包括其他单元， 如图 2所示：

接口单元， 用于接收数据， 将该数据发送到集中防护单元进行清 洗， 并将发送经过清洗的数据； 为便于理解， 附图中仅示出了 2个接 口单元， 实际应用中， 分布式网络设备中可以有多个接口单元。 集中防护单元， 作为分布式网络设备控制管理数据的清洗中心， 负责网络设备自身的安全防护， 对来自接口单元的数据进行清洗， 并 将经过清洗的数据发送回对应的接口单元。

主控单元， 用于进行分布式网络设备整体的所有协议控制、转发 控制以及分布式网络设备管理；

交换矩阵， 用于分布式网络设备集中防护装置的内部数据交换。 具体的， 本实施例中， 交换矩阵用于分布式网络设备集中防护装 置的主控单元、 接口单元和集中防护单元之间的数据交换；

其中， 接口单元如图 3所示， 包括：

数据接收子单元 110, 用于接收数据；

重定向子单元 120, 用于将所述数据接收子单元接收到的数据通 过所述交换矩阵发送到所述集中防护单元；

处理后数据接收子单元 130, 用于接收所述集中防护单元清洗过 的数据；

核心处理子单元 140, 用于将所述清洗后的数据通过所述交换矩 阵发送到主控单元。

集中防护单元如图 4所示， 包括：

接收子单元 210, 用于接收所述接口单元发送的数据；

清洗子单元 220, 用于根据安全策略对所述数据进行清洗； 发送子单元 230, 用于根据所述数据的转发信息， 将清洗后的数 据返回对应的接口单元。

本实施例中， 所述数据的转发信息包括： 所述数据来自的接口单 元的槽位以及端口号等信息。 当集中防护单元接收到接口单元发送的 数据时， 记录这些信息， 以便当集中防护单元根据安全策略对数据进 行清洗后， 能将数据发送回正确的接口单元。

进一步的， 如图 4所示， 集中防护单元还包括：

可维护性子单元 240, 用于当清洗子单元 220根据安全策略对所 述数据进行清洗后， 对丟弃的数据进行可维护性管理。

本实施例中， 可维护性管理包括： 溯源、 统计、 告警、 记录日志 等至少一项。 其中， 溯源是指查找发送数据的源接口单元； 统计是指 统计丟弃数据包的数量；告警是指在确定丟弃数据包的数量达到预设 值时， 发送告警； 记录日志是指记录丟弃数据包的时间。

本发明实施例还提供了一种分布式网络设备安全集中防护的方 法， 如图 5所示， 包括：

501 , 接口单元接收数据， 并将该数据转发到集中防护单元。 本实施例中， 接口单元可以通过重定向、 自动转发数据、 手工配 置转发数据目的等方法， 将该数据转发到集中防护单元。 其中， 重定 向是指将发往一个目的的数据转发到另一个目的。

502, 集中防护单元在接收到各接口单元的数据后， 根据预设的 安全策略进行流量清洗， 安全策略包括但不限于黑名单处理， 白名单 处理、 CP-CAR (限制上送 CPU处理数据带宽）策略或包过滤等。

若集中防护单元根据安全策略需要丟弃数据，则集中防护单元负 责丟弃数据后的溯源、 统计、 告警、 记录日志等至少一项可维护性管 理。 本实施例中， 溯源是指查找发送数据的源接口单元； 统计是指统 计丟弃数据包的数量；告警是指集中防护单元在确定丟弃数据包的数 量达到预设值时， 发送告警； 记录日志是指集中防护单元记录丟弃数 据包的时间。

其中， 黑名单处理具体为： 确定已知垃圾邮件制造者及其 ISP ( Internet service Provider, 互联网服务提供商） 的域名或 IP地址， 然 后将这些域名或 IP地址整理成黑名单，将黑名单存储在集中防护单元 中， 使集中防护单元拒绝处理 /丟弃任何来自黑名单上的数据。 白名 单处理是： 使优先向各接口单元发送符合白名单定义特征的数据。 CP-CAR策略， 对来自接口单元的数据进行分类， 例如按照数据报文 类型、 接收数据顺序、 数据发送源信息等进行分类， 并根据数据的类 型限制发送给主控单元的带宽， 保证系统的安全性。 包过滤， 通过预 先设置的 ACL ( Access Control List, 访问控制列表）对来自接口单元 的数据进行过滤。

本发明实施例中， 根据安全策略对所述数据进行清洗后， 对丟弃 的数据进行可维护性管理， 具体为： 查找发送所述丟弃的数据的接口 单元； 和 /或统计丟弃数据的数据包数量； 和 /或当丟弃的数据的数据 包数量达到预设值时， 发送告警； 和 /或记录丟弃数据的时间。

503, 集中防护单元根据接收数据时记录的转发信息， 将清洗后 的安全数据流量送回到对应的接口单元。 本实施例中， 数据的转发信 息包括接口单元槽位、 端口号等信息。

504, 接口单元在接收到集中防护单元转发的数据后不再进行清 洗， 直接上送主控单元进行处理。

本发明的实施例中， 由于占用接口单元的资源减少， 使设备防护 能力得到大幅提升； 另外， 设备安全策略在集中防护单元统一定义， 统一管理， 可扩展性好； 且只需升级集中防护单元版本， 不需要升级 各个接口单元版本。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解 到本发明可以通过硬件实现，也可以可借助软件加必要的通用硬件平 台的方式来实现基于这样的理解，本发明的技术方案可以以软件产品 的形式体现出来， 该软件产品可以存储在一个非易失性存储介质（可 以是 CD-ROM, U盘， 移动硬盘等） 中， 包括若干指令用以使得一 台计算机设备（可以是个人计算机， 服务器， 或者网络设备等）执行 本发明各个实施例所述的方法。

总之， 以上所述仅为本发明的较佳实施例而已， 并非用于限定本 发明的保护范围。 凡在本发明的精神和原则之内， 所作的任何修改、 等同替换、 改进等， 均应包含在本发明的保护范围之内。

Claims

权利要求

1、 一种分布式网络设备安全集中防护的装置， 其特征在于， 包 括：

至少一个接口单元，用于将接收到的数据发送到集中防护单元进 行清洗， 并发送所述清洗后的数据；

集中防护单元， 用于对来自所述接口单元的数据进行清洗， 并将 经过清洗的数据发送回对应的接口单元。

2、 如权利要求 1所述分布式网络设备安全集中防护的装置， 其 特征在于， 所述装置还包括：

主控单元， 用于进行设备整体的所有协议控制、转发控制以及设 备管理；

交换矩阵， 用于分布式网络设备集中防护装置的内部数据交换。

3、 如权利要求 2所述分布式网络设备安全集中防护的装置， 其 特征在于，所述交换矩阵用于分布式网络设备集中防护装置的内部数 据交换， 具体为：

所述交换矩阵用于所述主控单元、接口单元和集中防护单元之间 的数据交换。

4、 如权利要求 3所述分布式网络设备安全集中防护的装置， 其 特征在于， 所述接口单元具体包括：

数据接收子单元， 用于接收数据；

重定向子单元，用于将所述数据接收子单元接收到的数据通过所 述交换矩阵发送到所述集中防护单元；

处理后数据接收子单元，用于接收所述集中防护单元清洗过的数 据；

核心处理子单元，用于将所述清洗后的数据通过所述交换矩阵发 送到所述主控单元。

5、如权利要求 3或 4所述分布式网络设备安全集中防护的装置， 其特征在于， 所述集中防护单元具体包括： 接收子单元， 用于接收所述接口单元发送的数据； 清洗子单元， 用于根据安全策略对所述数据进行清洗； 发送子单元， 用于根据所述数据的转发信息， 将清洗后的数据返 回对应的接口单元。

6、 如权利要求 5所述分布式网络设备安全集中防护的装置， 其 特征在于， 所述集中防护单元还包括：

可维护性子单元，用于当所述清洗子单元根据安全策略对所述数 据进行清洗后， 对丟弃的数据进行可维护性管理。

7、 一种分布式网络设备安全集中防护的方法， 其特征在于， 包 括：

接收至少一个接口单元转发的数据；

根据安全策略对所述数据进行清洗；

将经过清洗后的数据发送回对应的接口单元。

8、 如权利要求 7所述分布式网络设备安全集中防护的方法， 其 特征在于， 所述将经过清洗后的数据发送回对应的接口单元， 具体包 括：

根据所述数据的转发信息， 将清洗后的数据返回对应的接口单 元。

9、 如权利要求 8所述分布式网络设备安全集中防护的方法， 其 特征在于， 所述转发信息包括接收所述数据时记录的接口单元槽位、 端口号。

10、如权利要求 7所述分布式网络设备安全集中防护的方法， 其 特征在于， 所述安全策略包括： CP-CAR策略、 黑名单策略、 白名单 策略或包过滤。

11、 如权利要求 10所述分布式网络设备安全集中防护的方法， 其特征在于， 在所述根据安全策略对所述数据进行清洗的步骤后， 所 述方法还包括： 对丟弃的数据进行可维护性管理。

12、 如权利要求 11所述分布式网络设备安全集中防护的方法， 其特征在于， 对丟弃的数据进行可维护性管理， 具体为： 查找发送所述丟弃的数据的接口单元； 和 /或

统计丟弃数据的数据包数量； 和 /或

当丟弃的数据的数据包数量达到预设值时， 发送告警； 和 /或 记录丟弃数据的时间。