專利名稱:安全控制方法與交換機的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù),尤其是一種安全控制方法與交換機。
背景技術(shù):
現(xiàn)有的機箱式集中轉(zhuǎn)發(fā)交換機,也稱為集中式轉(zhuǎn)發(fā)交換機或交換機, 通常包括管理板與一個或多個線卡,另外還包括風扇、電源等關(guān)鍵組件。其 中,管理板也稱為管理引擎或主控板,是整個交換機管理與控制的匯聚點, 主要用于對線卡進行各種操作,以及運行各種協(xié)議,它一旦失效,整個交換 機將不可用。每個線卡上設(shè)置有一個或多個網(wǎng)絡(luò)接口,主要用于通過網(wǎng)絡(luò)接 口與其它通信裝置進行數(shù)據(jù)報文的轉(zhuǎn)發(fā)。如圖1所示,為機箱式集中轉(zhuǎn)發(fā)交 換機的一個結(jié)構(gòu)示意圖。
為了避免非法報文在網(wǎng)絡(luò)中的傳輸,保證網(wǎng)絡(luò)的安全,通常情況下,在 交換機中部署安全處理引擎,并根據(jù)安全處理策略,分析需要交換機轉(zhuǎn)發(fā)的 報文特征,對需要交換機轉(zhuǎn)發(fā)的報文進行過濾處理,轉(zhuǎn)發(fā)合法報文。目前, 以太網(wǎng)交換機已經(jīng)使用安全處理引擎,在如下應(yīng)用中實現(xiàn)了安全控制安全 全局地址綁定、訪問控制列表(Access Control List,以下簡稱ACL)、服 務(wù)質(zhì)量(Quality of Server,以下簡稱QoS )、全局安全網(wǎng)絡(luò)(Global Security Network,以下簡稱GSN )、動態(tài)主才幾配置十辦i義(Dynamic Host Configure Protocol,以下簡稱DHCP)地址綁定、基于802.1x協(xié)議的用戶授權(quán)等。由 于安全處理策略的存儲容量的硬件設(shè)備比較昂貴,每個安全處理策略的存儲 容量都是有限的,通常只有幾千條。
現(xiàn)有技術(shù)中,可以將安全處理引擎部署在管理板上或者各線卡上。其中, 將安全處理引擎部署在管理板上實現(xiàn)安全控制的方法也稱為集中式安全控制方法,將安全處理引擎部署在各線卡上實現(xiàn)安全控制的方法也稱為分散式式
安全控制方法。如圖2所示,為應(yīng)用分散式安全控制方法的交換機結(jié)構(gòu)示意
圖。在^t式安全控制方法中,各線卡分別對其網(wǎng)絡(luò)接口發(fā)送的報文進行過 濾處理,將合法報文發(fā)送到管理板進行轉(zhuǎn)發(fā)處理。由于需要分別在不同線卡 上分別配置安全處理策略,交換機所能支持的總安全處理策略數(shù)據(jù),等于交 換機中所有線卡上安全處理策略數(shù)據(jù)的總和。在交換機不同線卡上網(wǎng)絡(luò)接口 配置的安全處理策略相同時,該安全處理策略也稱為全局安全處理策略。應(yīng)
用分散式安全控制方法實現(xiàn)安全控制時,至少存在以下問題由于需要將這 些相同的安全處理策略分別配置到交換機所有線卡的安全處理引擎上,在全 局安全處理策略比較多的情況下,這些安全處理策略在所有線卡上都需要占 用相同多的容量,因此,每個線卡上所剩余的、能夠給該線卡上網(wǎng)絡(luò)接口的 使用策略容量就變得極為有限;另外,在全局安全處理策略發(fā)生變化時,需 要更新交換機中所有線卡上的安全處理策略,工作量較大,安全處理策略的 可管理性較差,降^^了安全控制效果。
如圖3所示,為應(yīng)用集中式安全控制方法的交換機結(jié)構(gòu)示意圖。在集中 式安全控制方法中,管理板對發(fā)送的報文進行過濾處理,丟棄非法報文,并 對合法報文進行轉(zhuǎn)發(fā)處理。在交換機需要對不同線卡上網(wǎng)絡(luò)接口配置特定的 安全處理策略時,該安全處理策略與網(wǎng)絡(luò)接口相關(guān),因此也稱為接口安全處 理策略。應(yīng)用集中式安全控制方法實現(xiàn)安全控制時,至少存在以下問題可 能需要采用特定的安全處理策略對特定線卡上網(wǎng)絡(luò)接口上接收的數(shù)據(jù)報文進 行安全處理,因此,就需要為特定線卡上網(wǎng)絡(luò)接口配置特定的安全處理策略, 由于交換機中所有線卡上網(wǎng)絡(luò)接口共用管理板上安全處理策略的存儲容量, 都需要占用全局資源,因此,能夠分配給每個線卡上網(wǎng)絡(luò)接口的安全處理策 略的存儲容量極為有限。尤其是在不同線卡上網(wǎng)絡(luò)接口的安全處理策略相差 較大時,能夠分配給每個線卡上網(wǎng)絡(luò)接口的安全處理策略的存儲容量就更少, 無法根據(jù)管理板上的安全處理策略,對數(shù)據(jù)報文進行有效過濾,降低了安全控制效果。
發(fā)明內(nèi)容
本發(fā)明實施例的目的是提供一種安全控制方法與交換機,在線卡上 利用接口安全處理策略對數(shù)據(jù)報文進行第 一次過濾,在管理板上利用全局 安全處理策略對數(shù)據(jù)報文進行二次過濾,合理利用線卡與管理板上的安全 處理策略的存儲容量,并有效實現(xiàn)對數(shù)據(jù)報文的安全控制。
本發(fā)明實施例提供的一種安全控制方法,包括
線卡上的網(wǎng)絡(luò)接口接收數(shù)據(jù)報文;
所述線卡上的第 一安全處理引擎利用接口安全處理策略對所述數(shù)據(jù)報 文進行第一次過濾;
所述線卡在第一次過濾后輸出數(shù)據(jù)報文時,將該輸出的數(shù)據(jù)報文發(fā)送給 管理板;
所述管理板上的第二安全處理引擎利用全局安全處理策略對所述輸出 的數(shù)據(jù)報文進行第二次過濾;
所述管理板在第二次過濾后輸出合法的數(shù)據(jù)報文時,對該合法的數(shù)據(jù)報 文進行轉(zhuǎn)發(fā)處理。
本發(fā)明實施例提供的一種交換機,包括管理板與一個或多個線卡,所述 線卡上設(shè)置有第 一安全處理引擎,用于利用接口安全處理策略對接收到的 數(shù)據(jù)報文進行第一次過濾,并在第 一次過濾后輸出數(shù)據(jù)報文時,將該輸出的 數(shù)據(jù)報文發(fā)送給所述管理板,以及接收所述管理板發(fā)送的待發(fā)送數(shù)據(jù)報文, 通過該待發(fā)送數(shù)據(jù)報文攜帶的發(fā)送網(wǎng)絡(luò)接口信息相應(yīng)的網(wǎng)絡(luò)接口發(fā)送該待發(fā) 送數(shù)據(jù)報文;
所述管理板上設(shè)置有第二安全處理引擎,用于利用全局安全處理策略對 所述輸出的數(shù)據(jù)報文進行第二次過濾,并在第二次過濾后輸出合法的數(shù)據(jù)報 文時,對該合法的數(shù)據(jù)報文標識發(fā)送該合法的數(shù)據(jù)報文的所述發(fā)送網(wǎng)絡(luò)接口信息,并將標識該發(fā)送網(wǎng)絡(luò)接口信息后生成的待發(fā)送數(shù)據(jù)報文發(fā)送給所述發(fā) 送網(wǎng)絡(luò)4妄口信息對應(yīng)的線卡。
基于本發(fā)明上述實施例提供的安全控制方法與交換機,可以在線卡上設(shè) 置第一安全處理引擎,利用其中部署的接口安全處理策略對數(shù)據(jù)^R文進行 第一次過濾,并在管理板上設(shè)置第二安全處理引擎,利用其中部署的全局 安全處理策略對數(shù)據(jù)報文進行第二次過濾,合理利用了管理板與線卡上安 全處理策略的存儲容量,提高了安全控制效果。與現(xiàn)有的M式安全控制 方法相比,避免了相同安全處理策略在所有線卡上都占用相同多的容量,從 而盡可能多的為線卡上網(wǎng)絡(luò)接口的使用策略留有容量,并且,在全局安全處 理策略發(fā)生變化時,只需要對管理板上的全局安全處理策略進行一次更新, 而不需要分別更新交換機中所有線卡上的安全處理策略,提高了安全處理策
略的可管理性與更新速度,提高了安全控制效果;與現(xiàn)有的集中式安全控制 方法相比,將與網(wǎng)絡(luò)接口相關(guān)的接口安全策略設(shè)置在相應(yīng)的線卡上,從而節(jié) 省全局資源,有效利用全局資源設(shè)置全局安全處理策略,來對數(shù)據(jù)報文進行 有效過濾,從而提高安全控制效果。
下面通過附圖和實施例,對本發(fā)明的技術(shù)方案做進一步的詳細描述。
圖1為機箱式集中轉(zhuǎn)發(fā)交換機的一個結(jié)構(gòu)示意圖2為應(yīng)用分散式安全控制方法的交換機結(jié)構(gòu)示意圖3為應(yīng)用集中式安全控制方法的交換機結(jié)構(gòu)示意圖4為本發(fā)明安全控制方法一個實施例的流程圖5為本發(fā)明安全控制方法另一個實施例的流程圖6為本發(fā)明對數(shù)據(jù)報文進行第一次過濾一個實施例的流程圖7為本發(fā)明交換機一個實施例的結(jié)構(gòu)示意圖8為本發(fā)明交換機另一個實施例的結(jié)構(gòu)示意圖;圖9為本發(fā)明第一安全處理引擎一個實施例的結(jié)構(gòu)示意圖IO為本發(fā)明交換機又一個實施例的結(jié)構(gòu)示意圖11為本發(fā)明第二安全處理引擎一個實施例的結(jié)構(gòu)示意圖。
具體實施例方式
本發(fā)明實施例中,在線卡上設(shè)置第一安全處理引擎,并在其中部署接 口安全處理策略,據(jù)此實現(xiàn)對數(shù)據(jù)報文的第一次過濾,在管理板上設(shè)置第 二安全處理引擎,并在其中部署全局安全處理策略,據(jù)此實現(xiàn)對數(shù)據(jù)報文 的二次過濾,合理利用線卡與交換機上的安全處理策略的存儲容量,提高 線卡與交換機上的安全處理引擎的容量利用率,并有效實現(xiàn)對數(shù)據(jù)報文的 安全控制。
圖4為本發(fā)明安全控制方法一個實施例的流程圖。該實施例的流程可 以由機箱式集中轉(zhuǎn)發(fā)交換機實現(xiàn)。如圖4所示,該實施例的流程包括 步驟IOI,線卡上的網(wǎng)絡(luò)接口接收數(shù)據(jù)報文。
步驟102,線卡上的第一安全處理引擎利用接口安全處理策略對數(shù)據(jù)報 文進行第一次過濾。
將與網(wǎng)絡(luò)接口相關(guān)的安全處理策略部署在相應(yīng)的線卡上,就避免了接 口安全處理策略占用管理板上安全處理策略的存儲容量,從而節(jié)省了全局資 源,可以更加有效、合理的分配與利用全局資源,并且可以利用線卡上的存 儲容量有效設(shè)置接口安全處理策略來對數(shù)據(jù)報文進行有效過濾,提高安全控 制效果。
步驟103,線卡在第一次過濾后輸出數(shù)據(jù)報文時,將該輸出的數(shù)據(jù)報文 發(fā)送給管理板。
步驟104,管理板上的第二安全處理引擎利用全局安全處理策略對輸出 的數(shù)據(jù)報文進行第二次過濾。
將全局安全處理策略部署在管理版上,從而不需要將其分別部署在各線卡上,因此,所占用的存儲空間較少;并且,可管理性較好,在全局安全處
理策略變化時,只需要對全局安全處理策略進行更新即可,減小了安全處理 策略的更新工作量。
步驟105,管理板在第二次過濾后輸出合法的數(shù)據(jù)報文時,對該合法的 數(shù)據(jù)報文進行轉(zhuǎn)發(fā)處理。
本發(fā)明安全控制方法實施例在線卡上設(shè)置第一安全處理引擎,利用其中 部署的接口安全處理策略對數(shù)據(jù)報文進行第一次過濾,并在管理板上設(shè)置 第二安全處理引擎,利用其中部署的全局安全處理策略對數(shù)據(jù)報文進行第
安全控制效果。例如在管理板上的第二安全處理引擎中部署與所有網(wǎng)絡(luò) 接口關(guān)聯(lián)的安全ACL,以應(yīng)對常見的網(wǎng)絡(luò)攻擊以及計算機病毒,并在各線 卡上的第一安全處理引擎中分別部署與該線卡上網(wǎng)絡(luò)接口關(guān)聯(lián)的用戶認 證授權(quán)策略,例如在一個線卡的第一安全處理引擎中部署其網(wǎng)絡(luò)接口關(guān) 聯(lián)的802.1x用戶授權(quán)策略,在另一個線卡的第一安全處理引擎中部署其網(wǎng) 絡(luò)接口關(guān)聯(lián)的DHCP的IP地址與介質(zhì)訪問控制(Media Access Control, 以下簡稱MAC)地址綁定策略。
圖5為本發(fā)明安全控制方法另一個實施例的流程圖。該實施例的流程 也可以由機箱式集中轉(zhuǎn)發(fā)交換機實現(xiàn)。如圖5所示,該實施例的流程包括
步驟201,線卡上的網(wǎng)絡(luò)接口接收網(wǎng)絡(luò)中的數(shù)據(jù)報文,該網(wǎng)絡(luò)接口也
稱為接收網(wǎng)絡(luò)接口 ,并對接收到的數(shù)據(jù)報文標識接收該數(shù)據(jù)報文的接收網(wǎng)
絡(luò)接口信息后發(fā)送給第 一接收模塊。其中的網(wǎng)絡(luò)接口信息可以是網(wǎng)絡(luò)接口
號或網(wǎng)絡(luò)接口名稱,也可以是其它唯一標識交換機上該網(wǎng)絡(luò)接口的其它信 臺
步驟202,第一接收模塊將網(wǎng)絡(luò)接口發(fā)送的數(shù)據(jù)報文發(fā)送給該線卡上 的第一安全處理引擎。
步驟203,第一安全處理引擎利用其中部署的接口安全處理策略,對數(shù)據(jù)報文進行第一次過濾,丟棄非法數(shù)據(jù)報文,并將輸出的數(shù)據(jù)報文發(fā)送給第 一發(fā)送模塊。
步驟204,線卡上的第一發(fā)送模塊在第一次過濾后輸出數(shù)據(jù)報文時,將 該輸出的數(shù)據(jù)報文發(fā)送給管理板上的第二接收模塊。
步驟205 ,管理板上的第二安全處理引擎利用其中部署的全局安全處理 策略,對第二接收模塊接收到的數(shù)據(jù)報文進行第二次過濾,丟棄非法數(shù)據(jù)報 文,輸出合法的數(shù)據(jù)才艮文。
步驟206,管理板上的確定模塊在第二安全處理引擎進行第二次過濾后 輸出合法的數(shù)據(jù)報文時,根據(jù)合法的數(shù)據(jù)報文中的轉(zhuǎn)發(fā)目的地址,確定發(fā)送 該合法的數(shù)據(jù)報文的網(wǎng)絡(luò)接口 ,該網(wǎng)絡(luò)接口也稱為發(fā)送網(wǎng)絡(luò)接口 。
步驟207,管理板上的標識模塊對合法的數(shù)據(jù)報文標識發(fā)送網(wǎng)絡(luò)接口信 息,生成待發(fā)送數(shù)據(jù)報文,并通過第二發(fā)送4莫塊將該待發(fā)送數(shù)據(jù)報文發(fā)送給 設(shè)置該發(fā)送網(wǎng)絡(luò)接口的線卡上的第一接收模塊。
步驟208,第一接收模塊根據(jù)待發(fā)送數(shù)據(jù)報文攜帶的發(fā)送網(wǎng)絡(luò)接口信息, 將該待發(fā)送數(shù)據(jù)報文轉(zhuǎn)發(fā)給相應(yīng)的發(fā)送網(wǎng)絡(luò)接口 。
步驟209,發(fā)送網(wǎng)絡(luò)接口剝離該待發(fā)送數(shù)據(jù)報文攜帶的發(fā)送網(wǎng)絡(luò)接口信 息,然后輸出數(shù)據(jù)報文,根據(jù)該數(shù)據(jù)報文中的目的轉(zhuǎn)發(fā)地址發(fā)送該數(shù)據(jù)報 文。
作為本發(fā)明的一個實施例,步驟102與步驟203可以通過以下流程實
現(xiàn)
第一安全處理引擎對數(shù)據(jù)報文進行解析,獲取數(shù)據(jù)報文各字段的數(shù)據(jù)內(nèi) 容及接收網(wǎng)絡(luò)接口信息;
比較各字段的數(shù)據(jù)內(nèi)容及接收網(wǎng)絡(luò)接口信息,是否與第 一安全處理引 擎上第 一策略表中的各接口安全處理策略匹配。其中的接口安全處理策略 可以包括是否關(guān)心接收網(wǎng)絡(luò)接口、接收網(wǎng)絡(luò)接口號、數(shù)據(jù)報文類型、數(shù) 據(jù)報文類型的字段與各字段的數(shù)據(jù)內(nèi)容中的任意一個或多個,與該接口安全處理策略對應(yīng)的過濾行為。其中的過濾行為也可以稱為數(shù)據(jù)報文轉(zhuǎn)發(fā)行 為,包括丟棄該數(shù)據(jù)報文、轉(zhuǎn)發(fā)該數(shù)據(jù)報文、將該數(shù)據(jù)報文的某個字段的
數(shù)據(jù)內(nèi)容修改為預(yù)設(shè)內(nèi)容、或?qū)⒃摂?shù)據(jù)報文轉(zhuǎn)發(fā)到指定目的地址;
若各字段的數(shù)據(jù)內(nèi)容及接收網(wǎng)絡(luò)接口信息與第 一策略表中的 一條接口安 全處理策略匹配,則獲取該接口安全處理策略對應(yīng)的過濾行為,并利用該過 濾行為對數(shù)據(jù)報文進行第 一次過濾;
若各字段的數(shù)據(jù)內(nèi)容及接收網(wǎng)絡(luò)接口信息與第 一策略表中的多條接口安 全處理策略匹配,則根據(jù)預(yù)先設(shè)定,從多條接口安全處理策略中選取一條接 口安全處理策略,例如選取第一策略表中第一條匹配的接口安全處理策略, 獲取該選取的接口安全處理策略對應(yīng)的過濾行為,并利用該過濾行為對數(shù)據(jù) 報文進行第一次過濾。如果獲取或選取的過濾行為是將該數(shù)據(jù)報文轉(zhuǎn)發(fā)到指 定目的地址,則相應(yīng)的,利用該過濾行為對數(shù)據(jù)報文進行第一次過濾具體為 將數(shù)據(jù)報文的目的轉(zhuǎn)發(fā)地址修改為指定目的地址。
作為本發(fā)明的另一個實施例,步驟104與步驟205可以通過以下流程 實現(xiàn)
第二安全處理引擎對輸出的數(shù)據(jù)報文進行解析,獲取輸出的數(shù)據(jù)報文各 字,殳的凝:據(jù)內(nèi)容;
比較各字段的數(shù)據(jù)內(nèi)容是否與第二安全處理引擎上第二策略表中的各 全局安全處理策略匹配。其中的全局安全處理策略可以包括數(shù)據(jù)才艮文類 型、數(shù)據(jù)報文類型的字段與各字段的數(shù)據(jù)內(nèi)容中的任意一個或多個,與該 接口安全處理策略對應(yīng)的過濾行為。其中的過濾行為也可以稱為數(shù)據(jù)報文 轉(zhuǎn)發(fā)行為,包括丟棄該數(shù)據(jù)報文、轉(zhuǎn)發(fā)該數(shù)據(jù)報文、將該數(shù)據(jù)報文的某個 字段的數(shù)據(jù)內(nèi)容修改為預(yù)設(shè)內(nèi)容、或?qū)⒃摂?shù)據(jù)報文轉(zhuǎn)發(fā)到指定目的地址;
若各字段的數(shù)據(jù)內(nèi)容與第二策略表中的一條全局安全處理策略匹配,則 獲取該全局安全處理策略對應(yīng)的過濾行為,并利用該過濾行為對輸出的數(shù)據(jù) 報文進行第二次過濾;若各字段的數(shù)據(jù)內(nèi)容與第二策略表中的多條全局安全處理策略匹配,則 根據(jù)預(yù)先設(shè)定,從多條全局安全處理策略中選取一條全局安全處理策略,例
如選取第一策略表中第一條匹配的接口安全處理策略,獲取該選取的全局 安全處理策略對應(yīng)的過濾行為,并利用該過濾行為對輸出的數(shù)據(jù)^R文進行第 二次過濾。如果獲取或選取的過濾行為是將該數(shù)據(jù)報文轉(zhuǎn)發(fā)到指定目的地 址,則相應(yīng)的,利用該過濾行為對數(shù)據(jù)報文進行第二次過濾具體為將數(shù)據(jù) 報文的目的轉(zhuǎn)發(fā)地址修改為指定目的地址。
圖6為本發(fā)明對數(shù)據(jù)^l艮文進行第一次過濾一個實施例的流程圖。該實 施例的流程可以由第 一安全處理引擎實現(xiàn)。假設(shè)第 一安全處理引擎中部署 的接口安全處理策略包括是否關(guān)心接收網(wǎng)絡(luò)接口、接收網(wǎng)絡(luò)接口號、數(shù)據(jù) 報文類型、數(shù)據(jù)報文類型的字段與各字段的數(shù)據(jù)內(nèi)容。對數(shù)據(jù)報文進行解 析,獲取數(shù)據(jù)報文各字段的數(shù)據(jù)內(nèi)容及接收網(wǎng)絡(luò)接口信息后,針對每一條接 口安全處理策略,如圖6所示,4丸行本實施例的如下流程
步驟301,是否不關(guān)心接收網(wǎng)絡(luò)接口,或數(shù)據(jù)報文的接收網(wǎng)絡(luò)接口號與 接口安全處理策略中的接收網(wǎng)絡(luò)接口號相同。若不關(guān)心接收網(wǎng)絡(luò)接口,或 數(shù)據(jù)報文的接收網(wǎng)絡(luò)接口號與接口安全處理策略中的接收網(wǎng)絡(luò)接口號相 同,執(zhí)行步驟302;否則,若關(guān)心接收網(wǎng)絡(luò)接口并且數(shù)據(jù)報文的接收網(wǎng)絡(luò) 接口號與接口安全處理策略中的接收網(wǎng)絡(luò)接口號不同,執(zhí)行步驟308。
步驟302,比較接收到的數(shù)據(jù)報文的類型與接口安全處理策略中的數(shù) 據(jù)報文類型是否一致。若一致,執(zhí)行步驟303;否則,執(zhí)行步驟308。
步驟303,讀取接口安全處理策略中的第一個字段。
步驟304,比較接收到的數(shù)據(jù)報文中相應(yīng)字段的數(shù)據(jù)內(nèi)容與接口安全 處理策略中的第一個字段的數(shù)據(jù)內(nèi)容是否相同。若相同,執(zhí)行步驟305; 否則,執(zhí)行步驟308。
步驟305,判斷接口安全處理策略中是否存在下一個字段。若存在, 以該下一個字段作為第一個字段,執(zhí)行步驟303;否則,執(zhí)行步驟306。步驟306,認為接收到的數(shù)據(jù)報文與該接口安全處理策略匹配,從該接 口安全處理策略中獲取相應(yīng)的過濾行為。
步驟307,利用獲取到的過濾行為對接收到的數(shù)據(jù)報文進行第一次過濾。 之后,不再執(zhí)行本實施例的后續(xù)流程。
步驟308,認為接收到的數(shù)據(jù)報文與該接口安全處理策略不匹配,不對 接收到的數(shù)據(jù)報文進行第 一次過濾。
作為本發(fā)明的 一個具體實施例,不對接收到的數(shù)據(jù)報文進行第一次過 濾時,可以根據(jù)預(yù)先設(shè)定,直接轉(zhuǎn)發(fā)該數(shù)據(jù)報文,也可以丟棄該數(shù)據(jù)報文, 或者對該數(shù)據(jù)報文進行其它處理。
步驟309,查詢第一策略表中是否存在下一條接口安全處理策略,若存 在,針對下一條接口安全處理策略,執(zhí)行步驟301;否則,若不存在,不 對接收到的數(shù)據(jù)報文進行第一次過濾,線卡可以直接向管理板轉(zhuǎn)發(fā)該數(shù)據(jù)報 文。
在圖6所示的實施例中,默認利用第一策略表中第一條匹配的接口安全 處理策略對接收到的數(shù)據(jù)報文進行第一次過濾。如果根據(jù)預(yù)先設(shè)定,不是利 用第一策略表中第一條匹配的接口安全處理策略對接收到的數(shù)據(jù)報文進行第 一次過濾,例如采用第一策略表中最后一條匹配的接口安全處理策略對4妻 收到的數(shù)據(jù)報文進行第一次過濾,則步驟305中,不存在下一個字段時,直 接執(zhí)行步驟309,從而選出第一策略表中所有匹配的接口安全處理策略,并 根據(jù)預(yù)先設(shè)定,從中選取一條接口安全處理策略,獲取該選取的接口安全處 理策略對應(yīng)的過濾行為,并利用該過濾行為對數(shù)據(jù)報文進行第一次過濾。
另外,在本發(fā)明安全控制方法的各實施例中,也可以在線卡上的存儲容 量不足以存儲接口安全處理策略時,將一部分策略接口安全處理策略部署到 管理板上的安全處理引擎中,宏觀上^l是高線卡上的接口安全策略的容量;以 及在管理板上的存儲容量不足以存儲全局安全處理策略時,將一部分全局安 全策略部署到線卡上的安全處理引擎中。圖7為本發(fā)明交換機一個實施例的結(jié)構(gòu)示意圖,該實施例的交換機可
用于實現(xiàn)如本發(fā)明圖4至圖6所示實施例的流程。如圖7所示,該實施例 的交換機包括管理板401與一個或多個線卡402。
其中,線卡402上設(shè)置有第一安全處理引擎500,用于利用接口安全 處理策略對接收到的數(shù)據(jù)報文進行第一次過濾,并在第一次過濾后輸出數(shù)據(jù) 報文時,將該輸出的數(shù)據(jù)報文發(fā)送給管理板401,以及接收管理板401發(fā)送 的待發(fā)送數(shù)據(jù)報文,通過該待發(fā)送數(shù)據(jù)報文攜帶的發(fā)送網(wǎng)絡(luò)接口信息,相應(yīng) 的網(wǎng)絡(luò)接口發(fā)送該數(shù)據(jù)報文。
管理板401上設(shè)置有第二安全處理引擎600,用于利用全局安全處理策 略對線卡402輸出的數(shù)據(jù)報文進行第二次過濾,并在第二次過濾后輸出合法 的數(shù)據(jù)報文時,對該合法的數(shù)據(jù)報文標識發(fā)送該合法的數(shù)據(jù)報文的發(fā)送網(wǎng)絡(luò) 接口信息,生成的待發(fā)送數(shù)據(jù)報文并發(fā)送給發(fā)送網(wǎng)絡(luò)接口信息對應(yīng)的線卡 402。
本發(fā)明實施例在交換機的線卡上設(shè)置第 一安全處理引擎,利用其中部 署的接口安全處理策略對數(shù)據(jù)報文進行第一次過濾,并在管理板上設(shè)置第 二安全處理引擎,利用其中部署的全局安全處理策略對數(shù)據(jù)報文進行第二 次過濾,合理利用了管理板與線卡上安全處理策略的存儲容量,提高了安 全控制效果。
圖8為本發(fā)明交換機另一個實施例的結(jié)構(gòu)示意圖,該實施例的交換機 也可用于實現(xiàn)如本發(fā)明圖4至圖6所示實施例的流程。與圖7所示的實施 例相比,該實施例中,線卡402包括第一接收模塊501、第一安全處理引 擎500、第一發(fā)送模塊502與一個或多個網(wǎng)絡(luò)接口 503。其中,網(wǎng)絡(luò)接口 503用于接收網(wǎng)絡(luò)中的數(shù)據(jù)報文,并將該數(shù)據(jù)報文轉(zhuǎn)發(fā)給第一接收模塊 501,以及用于接收第一發(fā)送模塊502發(fā)送的待發(fā)送數(shù)據(jù)報文,剝離該待 發(fā)送數(shù)據(jù)報文攜帶的發(fā)送網(wǎng)絡(luò)接口信息后,發(fā)送該數(shù)據(jù)報文。第一接收模 塊501用于接收網(wǎng)絡(luò)接口 503發(fā)送的數(shù)據(jù)報文,以及接收管理板401發(fā)送的待發(fā)送數(shù)據(jù)報文。第一安全處理引擎500中部署有接口安全處理策略,用 于利用該接口安全處理策略,對第一接收模塊501接收到的數(shù)據(jù)報文進行第 一次過濾。第一發(fā)送模塊502用于在第一安全處理引擎500輸出數(shù)據(jù)報文時, 將該輸出的數(shù)據(jù)報文發(fā)送給管理板401,以及根據(jù)待發(fā)送數(shù)據(jù)報文攜帶的發(fā) 送網(wǎng)絡(luò)接口信息,將待發(fā)送數(shù)據(jù)報文轉(zhuǎn)發(fā)給用于發(fā)送該數(shù)據(jù)報文的相應(yīng)網(wǎng)絡(luò) 接口 503。
在圖8所示的實施例中,網(wǎng)絡(luò)接口 503還可用于對接收到的數(shù)據(jù)報文 標識接收該數(shù)據(jù)報文的接收網(wǎng)絡(luò)接口信息。相應(yīng)的,圖9為本發(fā)明第一安 全處理引擎一個實施例的結(jié)構(gòu)示意圖。如圖9所示,第一安全處理引擎500 包括第一解析單元51、第一存儲單元52、第一比較單元53、第一選取單元 54、第一獲fl單元55與第一過濾單元56。其中,第一解析單元51用于對 第一接收模塊501接收到的數(shù)據(jù)報文進行解析,獲取該數(shù)據(jù)報文各字段的數(shù) 據(jù)內(nèi)容及接收網(wǎng)絡(luò)接口信息。第 一存儲單元52用于存儲第 一策略表,該第一 策略表中包括一個或多個接口安全處理策略。第一比較單元53用于比較第一 解析單元51獲取到的各字段的數(shù)據(jù)內(nèi)容及接收網(wǎng)絡(luò)接口信息,是否與第一存 儲單元52存儲的第一策略表中的各接口安全處理策略匹配。第一選取單元 54用于根據(jù)第 一比較單元53的比較結(jié)果,在各字段的數(shù)據(jù)內(nèi)容及接收網(wǎng)絡(luò) 接口信息與第 一策略表中的多條接口安全處理策略匹配時,根據(jù)預(yù)先設(shè)定, 從多條接口安全處理策略中選取一條接口安全處理策略。第一獲取單元55 用于根據(jù)第一比較單元53的比較結(jié)果,在各字段的數(shù)據(jù)內(nèi)容及網(wǎng)絡(luò)接口信 息與第一策略表中的一條接口安全處理策略匹配時,從第一存儲單元52存 儲的第一策略表中獲取該接口安全處理策略對應(yīng)的過濾行為,以及在各字段 的數(shù)據(jù)內(nèi)容及接收網(wǎng)絡(luò)接口信息與第一策略表中的多條接口安全處理策略匹 配時,從第 一存儲單元52存儲的第 一策略表中獲取第 一選取單元54選取的 接口安全處理策略對應(yīng)的過濾行為。第一過濾單元56用于利用第一獲取單元 55獲取的過濾行為,對第一接收^t塊501接收到的數(shù)據(jù)報文進行第一次過濾。相應(yīng)的,第一發(fā)送模塊502用于在第一過濾單元56輸出數(shù)據(jù)報文時,將該 輸出的數(shù)據(jù)報文發(fā)送給管理板401 。
圖10為本發(fā)明交換機又一個實施例的結(jié)構(gòu)示意圖,該實施例的交換機 也可用于實現(xiàn)如本發(fā)明圖4至圖6所示實施例的流程。與圖7或圖8所示 的實施例相比,該實施例中,管理板401包括第二接收模塊601、第二安 全處理引擎600、確定模塊602、標識模塊603與第二發(fā)送模塊604。其中, 第二接收模塊601用于接收線卡402輸出的數(shù)據(jù)報文。第二安全處理引擎 600中部署有全局安全處理策略,用于利用該全局安全處理策略,對第二接 收模塊601接收到的數(shù)據(jù)報文進行第二次過濾。確定模塊602用于在第二安 全處理引擎600輸出合法的數(shù)據(jù)報文時,根據(jù)該合法的數(shù)據(jù)報文中的轉(zhuǎn)發(fā)目 的地址,確定發(fā)送該合法的數(shù)據(jù)報文的發(fā)送網(wǎng)絡(luò)接口 503。標識模塊603用 于對合法的數(shù)據(jù)報文標識發(fā)送該合法的數(shù)據(jù)報文的發(fā)送網(wǎng)絡(luò)接口信息,生成 待發(fā)送數(shù)據(jù)報文。第二發(fā)送模塊604用于根據(jù)發(fā)送網(wǎng)絡(luò)接口信息,將標識 模塊603生成的待發(fā)送數(shù)據(jù)報文發(fā)送給設(shè)置發(fā)送網(wǎng)絡(luò)接口的線卡402。
圖11為本發(fā)明第二安全處理引擎一個實施例的結(jié)構(gòu)示意圖。如圖11 所示,該第二安全處理引擎600包括第二解析單元61、第二存儲單元62、 第二比較單元63、第二選取單元64、第二獲取單元65與第二過濾單元66。 其中,第二解析單元61用于對第二接收模塊601接收到的數(shù)據(jù)報文進行解析, 獲取該數(shù)據(jù)報文各字段的數(shù)據(jù)內(nèi)容。第二存儲單元62用于存儲第二策略表, 該第二策略表中包括一個或多個全局安全處理策略。第二比較單元63用于比 較第二解析單元61獲取到的各字段的數(shù)據(jù)內(nèi)容是否與第二存儲單元62存儲 的第二策略表中的各全局安全處理策略匹配。第二選取單元64用于根據(jù)第 二比較單元63的比較結(jié)果,在各字段的數(shù)據(jù)內(nèi)容與第二策略表中的多條全 局安全處理策略匹配時,根據(jù)預(yù)先設(shè)定,從多條全局安全處理策略中選耳又一 條全局安全處理策略。第二獲取單元65用于根據(jù)第二比較單元63的比較 結(jié)果,在各字段的數(shù)據(jù)內(nèi)容與第二策略表中的 一條全局安全處理策略匹配時,從第二存儲單元62存儲的第二策略表中獲取該全局安全處理策略對應(yīng) 的過濾行為,以及在各字段的數(shù)據(jù)內(nèi)容與第二策略表中的多條全局安全處理 策略匹配時,從第二存儲單元62存儲的第二策略表中獲取第二選取單元 64選取的全局安全處理策略對應(yīng)的過濾行為。第二過濾單元66用于利用第 二獲取單元65獲取的過濾行為,對第二接收模塊601接收到的數(shù)據(jù)報文進行 第二次過濾。
本領(lǐng)域普通技術(shù)人員可以理解實現(xiàn)上述方法實施例的全部或部分步 驟可以通過程序指令相關(guān)的硬件來完成,前述的程序可以存儲于一計算機 可讀取存儲介質(zhì)中,該程序在執(zhí)行時,執(zhí)行包括上述方法實施例的步驟; 而前述的存儲介質(zhì)包括ROM、 RAM、磁碟或者光盤等各種可以存儲程 序代碼的介質(zhì)。
本發(fā)明實施例可以在線卡上設(shè)置第一安全處理引擎,利用其中部署的 接口安全處理策略對數(shù)據(jù)報文進行第一次過濾,并在管理板上設(shè)置第二安 全處理引擎,利用其中部署的全局安全處理策略對數(shù)據(jù)報文進行第二次過 濾,合理利用了管理板與線卡上安全處理策略的存儲容量,提高了安全控
制效果。
最后所應(yīng)說明的是以上實施例僅用以說明本發(fā)明的技術(shù)方案,而非對 本發(fā)明作限制性理解。盡管參照上述較佳實施例對本發(fā)明進行了詳細說明, 本領(lǐng)域的普通技術(shù)人員應(yīng)當理解其依然可以對本發(fā)明的技術(shù)方案進行修改 或者等同替換,而這種修改或者等同替換并不脫離本發(fā)明技術(shù)方案的精神和范圍。
權(quán)利要求
1、一種安全控制方法,其特征在于,包括線卡上的網(wǎng)絡(luò)接口接收數(shù)據(jù)報文;所述線卡上的第一安全處理引擎利用接口安全處理策略對所述數(shù)據(jù)報文進行第一次過濾;所述線卡在第一次過濾后輸出數(shù)據(jù)報文時,將該輸出的數(shù)據(jù)報文發(fā)送給管理板;所述管理板上的第二安全處理引擎利用全局安全處理策略對所述輸出的數(shù)據(jù)報文進行第二次過濾;所述管理板在第二次過濾后輸出合法的數(shù)據(jù)報文時,對該合法的數(shù)據(jù)報文進行轉(zhuǎn)發(fā)處理。
2、 根據(jù)權(quán)利要求1所述的方法,其特征在于,還包括 在所述第一安全處理引擎上部署接口安全處理策略;以及 在所述第二安全處理引擎上部署全局安全處理策略。
3、 根據(jù)權(quán)利要求2所述的方法,其特征在于,所述線卡上的網(wǎng)絡(luò)接口 接收數(shù)據(jù)報文后,還對該接收到的數(shù)據(jù)報文標識接收該數(shù)據(jù)報文的接收網(wǎng) 絡(luò)接口信息。
4、 根據(jù)權(quán)利要求3所述的方法,其特征在于,所述第一安全處理引 擎利用接口安全處理策略對所述數(shù)據(jù)報文進行第 一次過濾包括所述第一安全處理引擎對所述數(shù)據(jù)報文進行解析,獲取所述數(shù)據(jù)報文各 字段的數(shù)據(jù)內(nèi)容及所述接收網(wǎng)絡(luò)接口信息;比較所述各字段的數(shù)據(jù)內(nèi)容及所述接收網(wǎng)絡(luò)接口信息,是否與所述第一 安全處理引擎上第一策略表中的各接口安全處理策略匹配;若所述各字段的數(shù)據(jù)內(nèi)容及所述接收網(wǎng)絡(luò)接口信息與所述第 一策略表中 的 一條接口安全處理策略匹配,則獲耳又該4妻口安全處理策略對應(yīng)的過濾行 為,并利用該過濾行為對所述數(shù)據(jù)報文進行第一次過濾;若所述各字段的數(shù)據(jù)內(nèi)容及所述接收網(wǎng)絡(luò)接口信息與所述第 一策略表中 的多條接口安全處理策略匹配,則根據(jù)預(yù)先設(shè)定,從所述多條接口安全處理 策略中選耳又一條4妄口安全處理策略,獲取該選取的4妻口安全處理策略對應(yīng)的 過濾行為,并利用該過濾行為對所述數(shù)據(jù)報文進行第一次過濾。
5、 根據(jù)權(quán)利要求1至4任意一項所述的方法,其特征在于,所述管理板上的第二安全處理引擎利用全局安全處理策略對所述輸出的數(shù)據(jù)報文進行第二次過濾包括所述第二安全處理引擎對所述輸出的數(shù)據(jù)報文進行解析,獲取所述輸出 的數(shù)據(jù)報文各字段的數(shù)據(jù)內(nèi)容;比較所述各字段的數(shù)據(jù)內(nèi)容是否與所述第二安全處理引擎上第二策略 表中的各全局安全處理策略匹配;若所述各字段的數(shù)據(jù)內(nèi)容與所述第二策略表中的一條全局安全處理策略 匹配,則獲耳又該全局安全處理策略對應(yīng)的過濾行為,并利用該過濾行為對所 述輸出的數(shù)據(jù)報文進行第二次過濾;若所述各字段的數(shù)據(jù)內(nèi)容與所述第二策略表中的多條全局安全處理策略 匹配,則根據(jù)預(yù)先設(shè)定,從所述多條全局安全處理策略中選取一條全局安全 處理策略,獲取該選耳又的全局安全處理策略對應(yīng)的過濾行為,并利用該過濾 行為對所述輸出的數(shù)據(jù)報文進行第二次過濾。
6、 一種交換機,包括管理板與一個或多個線卡,其特征在于,所述線 卡上設(shè)置有第 一安全處理引擎,用于利用接口安全處理策略對接收到的數(shù) 據(jù)報文進行第一次過濾,并在第一次過濾后輸出數(shù)據(jù)報文時,將該輸出的數(shù) 據(jù)報文發(fā)送給所述管理板,以及接收所述管理板發(fā)送的待發(fā)送數(shù)據(jù)報文,通 過該待發(fā)送數(shù)據(jù)報文攜帶的發(fā)送網(wǎng)絡(luò)接口信息相應(yīng)的網(wǎng)絡(luò)接口發(fā)送該待發(fā)送 數(shù)據(jù)報文;所述管理板上設(shè)置有第二安全處理引擎,用于利用全局安全處理策略對 所述輸出的數(shù)據(jù)報文進行第二次過濾,并在第二次過濾后輸出合法的數(shù)據(jù)報文時,對該合法的數(shù)據(jù)報文標識發(fā)送該合法的數(shù)據(jù)報文的所述發(fā)送網(wǎng)絡(luò)接口 送網(wǎng)絡(luò)>接口信息對應(yīng)的線卡。
7、 根據(jù)權(quán)利要求6所述的交換機,其特征在于,所述線卡還包括 一個或多個網(wǎng)絡(luò)接口、第一接收模塊與第一發(fā)送模塊;所述網(wǎng)絡(luò)接口 ,用于接收所述數(shù)據(jù)報文并將該數(shù)據(jù)報文轉(zhuǎn)發(fā)給所述第 一接收模塊,以及接收所述第一發(fā)送模塊發(fā)送的待發(fā)送數(shù)據(jù)報文,剝離所 述待發(fā)送數(shù)據(jù)報文攜帶的發(fā)送網(wǎng)絡(luò)接口信息后發(fā)送該數(shù)據(jù)報文;所述第一接收模塊,用于接收所述網(wǎng)絡(luò)接口發(fā)送的數(shù)據(jù)報文,以及接 收所述管理板發(fā)送的所述待發(fā)送數(shù)據(jù)報文;所述第一安全處理引擎,用于利用接口安全處理策略,對所述第一接 收模塊接收到的所述數(shù)據(jù)報文進行第 一次過濾;所述第一發(fā)送模塊,用于在所述第一安全處理引擎輸出數(shù)據(jù)報文時,將 該輸出的數(shù)據(jù)報文發(fā)送給所述管理板,以及根據(jù)所述待發(fā)送數(shù)據(jù)報文攜帶的絡(luò)接口 。
8、 根據(jù)權(quán)利要求7所述的交換機,其特征在于,所述網(wǎng)絡(luò)接口還用 于對接收到的所述數(shù)據(jù)報文標識接收該數(shù)據(jù)報文的接收網(wǎng)絡(luò)接口信息;所述第一安全處理引擎包括第 一解析單元,用于對所述第 一接收模塊接收到的數(shù)據(jù)報文進行解析, 獲取所述數(shù)據(jù)報文各字段的數(shù)據(jù)內(nèi)容及所述接收網(wǎng)絡(luò)接口信息;第一存儲單元,用于存儲第一策略表,該第一策略表中包括一個或多個 接口安全處理策略;第一比較單元,用于比較所述各字段的數(shù)據(jù)內(nèi)容及所述接收網(wǎng)絡(luò)接口信 息,是否與所述第一策略表中的各接口安全處理策略匹配;第一選取單元,用于根據(jù)第一比較單元的比較結(jié)果,在所述各字段的數(shù)據(jù)內(nèi)容及所述接收網(wǎng)絡(luò)接口信息與所述第 一策略表中的多條接口安全處理 策略匹配時,根據(jù)預(yù)先設(shè)定,從所述多條接口安全處理策略中選取一條接口安全處理策略;第一獲取單元,用于根據(jù)第一比較單元的比較結(jié)果,在所述各字段的 數(shù)據(jù)內(nèi)容及所述網(wǎng)絡(luò)接口信息與所述第 一策略表中的 一條接口安全處理策略 匹配時,獲取該接口安全處理策略對應(yīng)的過濾行為,以及在所述各字段的數(shù) 據(jù)內(nèi)容及所述接收網(wǎng)絡(luò)接口信息與所述第 一策略表中的多條接口安全處理策 略匹配時,獲取所述第一選取單元選取的接口安全處理策略對應(yīng)的過濾行 為;第一過濾單元,用于利用所述第一獲取單元獲取的過濾行為,對所述第 一接收模塊接收到的數(shù)據(jù)報文進行第一次過濾。
9、 根據(jù)權(quán)利要求6所述的交換機,其特征在于,所述管理板包括 第二接收模塊,用于接收所述線卡發(fā)送的輸出的數(shù)據(jù)報文;第二安全處理引擎,用于利用全局安全處理策略,對所述第二接收模塊 接收到的所述輸出的數(shù)據(jù)報文進行第二次過濾;確定模塊,用于在所述第二安全處理引擎輸出合法的數(shù)據(jù)報文時,根據(jù) 所述合法的數(shù)據(jù)報文中的轉(zhuǎn)發(fā)目的地址,確定發(fā)送該合法的數(shù)據(jù)報文的發(fā)送 網(wǎng)絡(luò)接口 ;述發(fā)送網(wǎng)絡(luò)接口信息,生成待發(fā)送數(shù)據(jù)報文;第二發(fā)送模塊,用于根據(jù)所述發(fā)送網(wǎng)絡(luò)接口信息,將所述待發(fā)送數(shù)據(jù) 報文發(fā)送給相應(yīng)的線卡。
10、 根據(jù)權(quán)利要求9所述的交換機,其特征在于,所述第二安全處理 引擎包括第二解析單元,用于對所述第二接收模塊接收到的數(shù)據(jù)報文進行解析, 獲取所述數(shù)據(jù)報文各字段的數(shù)據(jù)內(nèi)容;第二存儲單元,用于存儲第二策略表,該第二策略表中包括一個或多個全局安全處理策略;第二比較單元,用于比較所述各字段的數(shù)據(jù)內(nèi)容是否與所述第二策略表 中的各全局安全處理策略匹配;第二選取單元,用于根據(jù)第二比較單元的比較結(jié)果,在所述各字段的 數(shù)據(jù)內(nèi)容與所述第二策略表中的多條全局安全處理策略匹配時,根據(jù)預(yù)先設(shè) 定,從所述多條全局安全處理策略中選取一條全局安全處理策略;第二獲取單元,用于根據(jù)第二比較單元的比較結(jié)果,在所述各字段的 數(shù)據(jù)內(nèi)容與所述第二策略表中的一條全局安全處理策略匹配時,獲取該全局 安全處理策略對應(yīng)的過濾行為,以及在所述各字段的數(shù)據(jù)內(nèi)容與所述第二策 略表中的多條全局安全處理策略匹配時,獲耳又所述第二選取單元選取的全 局安全處理策略對應(yīng)的過濾行為;第二過濾單元,用于利用所述第二獲取單元獲取的過濾行為,對所述第 二接收模塊接收到的數(shù)據(jù)報文進行第二次過濾。
全文摘要
本發(fā)明實施例公開了一種安全控制方法與交換機,其中,安全控制方法包括線卡上的網(wǎng)絡(luò)接口接收數(shù)據(jù)報文;所述線卡上的第一安全處理引擎利用接口安全處理策略對所述數(shù)據(jù)報文進行第一次過濾;所述線卡在第一次過濾后輸出數(shù)據(jù)報文時,將該輸出的數(shù)據(jù)報文發(fā)送給管理板;所述管理板上的第二安全處理引擎利用全局安全處理策略對所述輸出的數(shù)據(jù)報文進行第二次過濾;所述管理板在第二次過濾后輸出合法的數(shù)據(jù)報文時,對該合法的數(shù)據(jù)報文進行轉(zhuǎn)發(fā)處理。本發(fā)明實施例可以合理利用線卡與管理板上的安全處理策略的存儲容量,并有效實現(xiàn)對數(shù)據(jù)報文的安全控制。
文檔編號H04L12/56GK101567848SQ20091008584
公開日2009年10月28日 申請日期2009年6月1日 優(yōu)先權(quán)日2009年6月1日
發(fā)明者偉 郭 申請人:北京星網(wǎng)銳捷網(wǎng)絡(luò)技術(shù)有限公司