專利名稱:交換機的制作方法
技術領域:
本實用新型涉及通信技術�,尤其是一種交換機。
背景技術:
現(xiàn)有的機箱式集中轉發(fā)交換機��,也稱為集中式轉發(fā)交換機或交換機�����,通常包括管 理板與一個或多個線卡�����,另外還包括風扇��、電源等關鍵組件�����。其中�,管理板也稱為管理引擎 或主控板,是整個交換機管理與控制的匯聚點���,主要用于對線卡進行各種操作�����,以及運行各 種協(xié)議���,它一旦失效,整個交換機將不可用����。每個線卡連接有一個或多個網(wǎng)絡接口 ,主要用 于通過網(wǎng)絡接口與其它通信裝置進行數(shù)據(jù)報文的轉發(fā)�。如圖l所示���,為機箱式集中轉發(fā)交 換機的一個結構示意圖。 為了避免非法報文在網(wǎng)絡中的傳輸�,保證網(wǎng)絡的安全,通常情況下����,在交換機 中部署安全處理引擎,并根據(jù)安全處理策略��,分析需要交換機轉發(fā)的報文特征�,對需要 交換機轉發(fā)的報文進行過濾處理,轉發(fā)合法報文��。目前�,以太網(wǎng)交換機已經(jīng)使用安全 處理引擎,在如下應用中實現(xiàn)了安全控制安全全局地址綁定���、訪問控制列表(Access Control List,以下簡稱ACL)�、服務質量(Quality of Server,以下簡稱QoS)����、全局安 全網(wǎng)絡(Global SecurityNetwork����,以下簡稱GSN)�、動態(tài)主機配置協(xié)議(Dynamic Host ConfigureProtocol��,以下簡稱DHCP)地址綁定����、基于802. lx協(xié)議的用戶授權等。由于安 全處理策略的存儲容量的硬件設備比較昂貴�����,每個安全處理策略的存儲容量都是有限的�����, 通常只有幾千條����。 現(xiàn)有技術中,可以將安全處理引擎部署在管理板上或者各線卡上����。其中,將安全處 理引擎部署在管理板上實現(xiàn)安全控制的方法也稱為集中式安全控制方法���,將安全處理引擎 部署在各線卡上實現(xiàn)安全控制的方法也稱為分散式式安全控制方法�。如圖2所示,為應用 分散式安全控制方法的交換機結構示意圖��。在分散式安全控制方法中�,各線卡分別對其連 接的網(wǎng)絡接口發(fā)送的報文進行過濾處理,將合法報文發(fā)送到管理板進行轉發(fā)處理�。由于需 要分別在不同線卡上分別配置安全處理策略,交換機所能支持的總安全處理策略數(shù)據(jù)��,等 于交換機中所有線卡上安全處理策略數(shù)據(jù)的總和����。在交換機不同線卡的網(wǎng)絡接口配置的安 全處理策略相同時,該安全處理策略也稱為全局安全處理策略�����。應用分散式安全控制方法 實現(xiàn)安全控制時��,至少存在以下問題由于需要將這些相同的安全處理策略分別配置到交 換機所有線卡的安全處理引擎上�����,在全局安全處理策略比較多的情況下,這些安全處理策 略在所有線卡上都需要占用相同多的容量��,因此��,每個線卡上所剩余的����、能夠給該線卡連接 的網(wǎng)絡接口的使用策略容量就變得極為有限��;另外���,在全局安全處理策略發(fā)生變化時���,需要 更新交換機中所有線卡上的安全處理策略,工作量較大�,安全處理策略的可管理性較差,降 低了安全控制效果����。 如圖3所示,為應用集中式安全控制方法的交換機結構示意圖�。在集中式安全控 制方法中,管理板對發(fā)送的報文進行過濾處理�����,丟棄非法報文,并對合法報文進行轉發(fā)處 理���。在交換機需要對不同線卡連接的網(wǎng)絡接口配置特定的安全處理策略時���,該安全處理策
4略與網(wǎng)絡接口相關,因此也稱為接口安全處理策略��。應用集中式安全控制方法實現(xiàn)安全控 制時�,至少存在以下問題可能需要采用特定的安全處理策略對特定線卡連接的網(wǎng)絡接口 上接收的數(shù)據(jù)報文進行安全處理,因此�����,就需要為特定線卡連接的網(wǎng)絡接口配置特定的安 全處理策略��,由于交換機中所有線卡連接的網(wǎng)絡接口共用管理板上安全處理策略的存儲容 量�,都需要占用全局資源,因此�,能夠分配給每個線卡連接的網(wǎng)絡接口的安全處理策略的存 儲容量極為有限。尤其是在不同線卡連接的網(wǎng)絡接口的安全處理策略相差較大時�����,能夠分 配給每個線卡連接的網(wǎng)絡接口的安全處理策略的存儲容量就更少,無法根據(jù)管理板上的安 全處理策略�,對數(shù)據(jù)報文進行有效過濾,降低了安全控制效果���。
實用新型內容本實用新型實施例的目的是提供一種交換機��,在線卡上設置利用接口安全處理 策略對網(wǎng)絡接口發(fā)送的數(shù)據(jù)報文進行第一次過濾的第一安全處理引擎,在管理板上設置利 用全局安全處理策略對第一次過濾后輸出的數(shù)據(jù)報文進行第二次過濾的第二安全處理引 擎��,從而合理利用線卡與管理板上的安全處理策略的存儲容量����,有效實現(xiàn)對數(shù)據(jù)報文的安 全控制。 本實用新型實施例提供的一種交換機��,包括管理板與一個或多個線卡���,所述線卡 上設置有利用接口安全處理策略對接收到的數(shù)據(jù)報文進行第一次過濾的第一安全處理引 擎���; 所述管理板上設置有利用全局安全處理策略對第一次過濾后輸出的數(shù)據(jù)報文進 行第二次過濾的第二安全處理引擎。 基于本實用新型上述實施例提供的交換機����,可以在線卡上設置第一安全處理引 擎,來利用其中部署的接口安全處理策略對數(shù)據(jù)報文進行第一次過濾,并在管理板上設置 第二安全處理引擎���,來利用其中部署的全局安全處理策略對數(shù)據(jù)報文進行第二次過濾��,合 理利用了管理板與線卡上安全處理策略的存儲容量���,提高了安全控制效果。與現(xiàn)有的分散 式安全控制方法相比����,避免了相同安全處理策略在所有線卡上都占用相同多的容量,從而 盡可能多的為線卡連接的網(wǎng)絡接口的使用策略留有容量�����,并且��,在全局安全處理策略發(fā)生 變化時���,只需要對管理板上的全局安全處理策略進行一次更新�����,而不需要分別更新交換機 中所有線卡上的安全處理策略���,提高了安全處理策略的可管理性與更新速度��,提高了安全 控制效果����;與現(xiàn)有的集中式安全控制方法相比��,將與網(wǎng)絡接口相關的接口安全策略設置在 相應的線卡上���,從而節(jié)省全局資源�����,有效利用全局資源設置全局安全處理策略,來對數(shù)據(jù)報 文進行有效過濾�����,從而提高安全控制效果�����。 下面通過附圖和實施例����,對本實用新型的技術方案做進一步的詳細描述����。
圖1為機箱式集中轉發(fā)交換機的一個結構示意圖��; 圖2為應用分散式安全控制方法的交換機結構示意圖����; 圖3為應用集中式安全控制方法的交換機結構示意圖; 圖4為本實用新型交換機一個實施例的結構示意圖�����; 圖5為本實用新型交換機另一個實施例的結構示意5[0016] 圖6為本實用新型第一安全處理引擎一個實施例的結構示意圖��; 圖7為本實用新型交換機又一個實施例的結構示意圖���; 圖8為本實用新型第二安全處理引擎一個實施例的結構示意圖���; 圖9為本實用新型交換機再一個實施例的結構示意圖; 圖10為本實用新型交換機還一個實施例的結構示意圖�; 圖11為本實用新型交換機又一個實施例的結構示意圖; 圖12為利用本實用新型交換機進行安全控制的一個實施例的流程圖����; 圖13為利用本實用新型交換機對數(shù)據(jù)報文進行第一次過濾的一個實施例的流程圖�����。
具體實施方式本實用新型實施例中��,在線卡上設置第一安全處理引擎�����,并在其中部署接口安全 處理策略����,據(jù)此實現(xiàn)對數(shù)據(jù)報文的第一次過濾�����,在管理板上設置第二安全處理引擎�,并在其 中部署全局安全處理策略����,據(jù)此實現(xiàn)對數(shù)據(jù)報文的二次過濾,合理利用線卡與交換機上的 安全處理策略的存儲容量���,提高線卡與交換機上的安全處理引擎的容量利用率�,并有效實 現(xiàn)對數(shù)據(jù)報文的安全控制。 圖4為本實用新型交換機一個實施例的結構示意圖����。如圖4所示,該實施例的交 換機包括管理板101與一個或多個線卡102�����。其中�, 線卡102上設置有第一安全處理引擎200,可用于利用接口安全處理策略對接收 到的數(shù)據(jù)報文進行第一次過濾���,并在第一次過濾后輸出數(shù)據(jù)報文時���,將該輸出的數(shù)據(jù)報文 發(fā)送給管理板101,以及接收管理板101發(fā)送的待發(fā)送數(shù)據(jù)報文��,通過該待發(fā)送數(shù)據(jù)報文攜 帶的發(fā)送網(wǎng)絡接口信息相應的網(wǎng)絡接口發(fā)送該數(shù)據(jù)報文���。 將與網(wǎng)絡接口相關的安全處理策略部署在相應的線卡上��,就避免了接口安全處理 策略占用管理板上安全處理策略的存儲容量��,從而節(jié)省了全局資源��,可以更加有效��、合理的 分配與利用全局資源���,并且可以利用線卡上的存儲容量有效設置接口安全處理策略來對數(shù) 據(jù)報文進行有效過濾���,提高安全控制效果。 管理板101上設置有第二安全處理引擎300���,可用于利用全局安全處理策略對線 卡102輸出的數(shù)據(jù)報文進行第二次過濾��,并在第二次過濾后輸出合法的數(shù)據(jù)報文時���,對該 合法的數(shù)據(jù)報文進行轉發(fā)處理,即對該合法的數(shù)據(jù)報文標識發(fā)送該合法的數(shù)據(jù)報文的發(fā) 送網(wǎng)絡接口信息�,生成的待發(fā)送數(shù)據(jù)報文并發(fā)送給發(fā)送網(wǎng)絡接口信息對應的線卡102����。 將全局安全處理策略部署在管理版上,從而不需要將其分別部署在各線卡上����,因 此����,所占用的存儲空間較少�����;并且�����,可管理性較好���,在全局安全處理策略變化時����,只需要對全 局安全處理策略進行更新即可���,減小了安全處理策略的更新工作量����。 本實用新型安全控制方法實施例在線卡上設置第一安全處理引擎,利用其中部署 的接口安全處理策略對數(shù)據(jù)報文進行第一次過濾�,并在管理板上設置第二安全處理引擎, 利用其中部署的全局安全處理策略對數(shù)據(jù)報文進行第二次過濾���,合理利用了管理板與線卡 上安全處理策略的存儲容量���,提高了安全控制效果。例如在管理板上的第二安全處理引擎 中部署與所有網(wǎng)絡接口關聯(lián)的安全ACL�����,以應對常見的網(wǎng)絡攻擊以及計算機病毒�����,并在各線 卡上的第一安全處理引擎中分別部署與該線卡中的網(wǎng)絡接口關聯(lián)的用戶認證授權策略��,例如在一個線卡的第一安全處理引擎中部署與其連接的網(wǎng)絡接口關聯(lián)的802. lx用戶授權 策略��,在另一個線卡的第一安全處理引擎中部署與其網(wǎng)絡接口關聯(lián)的DHCP的IP地址與介 質訪問控制(MediaAccess Control,以下簡稱MAC)地址綁定策略����。 圖5為本實用新型交換機另一個實施例的結構示意圖。與圖4所示的實施例相比����, 該實施例中,線卡102包括第一接收模塊201���、第一安全處理引擎200�、第一發(fā)送模塊202與 一個或多個網(wǎng)絡接口 203�。 其中,第一接收模塊201 ����、第一安全處理引擎200與第一發(fā)送模塊202依次連接,第 一接收模塊201還與第一發(fā)送模塊202連接��,第一接收模塊201還分別與該第一接收模塊 201所在線卡102中的各網(wǎng)絡接口 203�����、管理板101連接��,第一發(fā)送模塊202還分別與該第 一發(fā)送模塊202所在線卡102中的各網(wǎng)絡接口 203�����、管理板101連接��。其中,網(wǎng)絡接口 203 可用于接收網(wǎng)絡中的數(shù)據(jù)報文���,并將該數(shù)據(jù)報文轉發(fā)給第一接收模塊201��,以及接收第一發(fā) 送模塊202發(fā)送的待發(fā)送數(shù)據(jù)報文�,剝離該待發(fā)送數(shù)據(jù)報文攜帶的發(fā)送網(wǎng)絡接口信息后�, 發(fā)送該數(shù)據(jù)報文。第一接收模塊201用于接收網(wǎng)絡接口 203發(fā)送的數(shù)據(jù)報文�����,以及接收管 理板101發(fā)送的待發(fā)送數(shù)據(jù)報文��。第一安全處理引擎200中部署有接口安全處理策略���,用 于利用該接口安全處理策略���,對第一接收模塊201接收到的數(shù)據(jù)報文進行第一次過濾。第 一發(fā)送模塊202用于在第一安全處理引擎200輸出數(shù)據(jù)報文時�,將該輸出的數(shù)據(jù)報文發(fā)送 給管理板101,以及根據(jù)待發(fā)送數(shù)據(jù)報文攜帶的發(fā)送網(wǎng)絡接口信息�,將待發(fā)送數(shù)據(jù)報文轉發(fā) 給用于發(fā)送該數(shù)據(jù)報文的相應網(wǎng)絡接口 203。 在圖5所示的實施例中�,網(wǎng)絡接口 203還可用于對接收到的數(shù)據(jù)報文標識接收該 數(shù)據(jù)報文的接收網(wǎng)絡接口信息���。相應的,圖6為本實用新型第一安全處理引擎一個實施例 的結構示意圖��。如圖6所示���,第一安全處理引擎200包括第一解析單元21、第一存儲單元
22���、 第一比較單元23����、第一選取單元24�����、第一獲取單元25與第一過濾單元26����。第一解析單 元21和第一過濾單元26分別與第一接收模塊201連接,第一解析單元21��、第一比較單元
23���、 第一選取單元24�、第一獲取單元25與第一過濾單元26依次連接,第一獲取單元25和第 一比較單元23還分別與第一存儲單元22連接�����,第一過濾單元26還與第一發(fā)送模塊202連 接�����。 其中���,第一解析單元21用于對第一接收模塊201接收到的數(shù)據(jù)報文進行解析�����,獲 取該數(shù)據(jù)報文各字段的數(shù)據(jù)內容及接收網(wǎng)絡接口信息�����。第一存儲單元22用于存儲第一策 略表�,該第一策略表中包括一個或多個接口安全處理策略����。第一比較單元23用于比較第一 解析單元21獲取到的各字段的數(shù)據(jù)內容及接收網(wǎng)絡接口信息���,是否與第一存儲單元22存 儲的第一策略表中的各接口安全處理策略匹配。第一選取單元24用于根據(jù)第一比較單元 23的比較結果���,在各字段的數(shù)據(jù)內容及接收網(wǎng)絡接口信息與第一策略表中的多條接口安全 處理策略匹配時���,根據(jù)預先設定����,從多條接口安全處理策略中選取一條接口安全處理策略。 第一獲取單元25用于根據(jù)第一 比較單元23的比較結果�����,在各字段的數(shù)據(jù)內容及網(wǎng)絡接口 信息與第一策略表中的一條接口安全處理策略匹配時���,從第一存儲單元22存儲的第一策 略表中獲取該接口安全處理策略對應的過濾行為���,以及在各字段的數(shù)據(jù)內容及接收網(wǎng)絡接 口信息與第一策略表中的多條接口安全處理策略匹配時,從第一存儲單元22存儲的第一 策略表中獲取第一選取單元24選取的接口安全處理策略對應的過濾行為���。第一過濾單元 26用于利用第一獲取單元25獲取的過濾行為��,對第一接收模塊201接收到的數(shù)據(jù)報文進行
7第一次過濾���。相應的�����,第一發(fā)送模塊202用于在第一過濾單元26輸出數(shù)據(jù)報文時��,將該輸出的數(shù)據(jù)報文發(fā)送給管理板101����。 圖7為本實用新型交換機又一個實施例的結構示意圖�����,與圖7或圖8所示的實施例相比����,該實施例中,管理板101包括第二接收模塊301����、第二安全處理引擎300、確定模塊302�、標識模塊303與第二發(fā)送模塊304�,第二接收模塊301�����、第二安全處理引擎300���、確定模塊302�、標識模塊303與第二發(fā)送模塊304依次連接��,第二接收模塊301分別與每個線卡102或線卡102中的第一發(fā)送模塊202連接��;第二發(fā)送模塊304分別與每個線卡102或線卡102中的第一接收模塊201連接����。其中����,第二接收模塊301用于接收線卡102輸出的數(shù)據(jù)報文。第二安全處理引擎300中部署有全局安全處理策略���,用于利用該全局安全處理策略�,對第二接收模塊301接收到的數(shù)據(jù)報文進行第二次過濾���。確定模塊302用于在第二安全處理引擎300輸出合法的數(shù)據(jù)報文時�����,根據(jù)該合法的數(shù)據(jù)報文中的轉發(fā)目的地址��,確定發(fā)送該合法的數(shù)據(jù)報文的發(fā)送網(wǎng)絡接口 203���。標識模塊303用于對合法的數(shù)據(jù)報文標識發(fā)送該合法的數(shù)據(jù)報文的發(fā)送網(wǎng)絡接口信息��,生成待發(fā)送數(shù)據(jù)報文�。第二發(fā)送模塊304用于根據(jù)發(fā)送網(wǎng)絡接口信息�����,將標識模塊303生成的待發(fā)送數(shù)據(jù)報文發(fā)送給設置該發(fā)送網(wǎng)絡接口的線卡102�����。 圖8為本實用新型第二安全處理引擎一個實施例的結構示意圖���。如圖8所示�,該第二安全處理引擎300包括第二解析單元31、第二存儲單元32�、第二比較單元33、第二選取單元34��、第二獲取單元35與第二過濾單元36�,第二解析單元31和第二過濾單元36分別與第二接收模塊301連接;第二解析單元31��、第二比較單元33���、第二選取單元34����、第二獲取單元35與第二過濾單元36依次連接�����,第二獲取單元35和第二比較單元33還分別與第二存儲單元32連接�����,第二過濾單元36還與確定模塊302連接���。其中,第二解析單元31用于對第二接收模塊301接收到的數(shù)據(jù)報文進行解析,獲取該數(shù)據(jù)報文各字段的數(shù)據(jù)內容�����。第二存儲單元32用于存儲第二策略表�,該第二策略表中包括一個或多個全局安全處理策略。第二比較單元33用于比較第二解析單元31獲取到的各字段的數(shù)據(jù)內容是否與第二存儲單元32存儲的第二策略表中的各全局安全處理策略匹配����。第二選取單元34用于根據(jù)第二比較單元33的比較結果,在各字段的數(shù)據(jù)內容與第二策略表中的多條全局安全處理策略匹配時�����,根據(jù)預先設定����,從多條全局安全處理策略中選取一條全局安全處理策略。第二獲取單元35用于根據(jù)第二比較單元33的比較結果�����,在各字段的數(shù)據(jù)內容與第二策略表中的一條全局安全處理策略匹配時����,從第二存儲單元32存儲的第二策略表中獲取該全局安全處理策略對應的過濾行為,以及在各字段的數(shù)據(jù)內容與第二策略表中的多條全局安全處理策略匹配時,從第二存儲單元32存儲的第二策略表中獲取第二選取單元34選取的全局安全處理策略對應的過濾行為����。第二過濾單元36用于利用第二獲取單元35獲取的過濾行為,對第二接收模塊301接收到的數(shù)據(jù)報文進行第二次過濾��。 圖9為本實用新型交換機再一個實施例的結構示意圖����。該實施例中,第一安全處理引擎200采用了圖6所示的實施例����,第二安全處理引擎300采用了圖8所示的實施例。圖9中�����,僅示出了一個線卡102�����、每個線卡102包括一個網(wǎng)絡接口 203��,對于交換機中包括的其它線卡102�����、網(wǎng)絡接口 203的連接關系與圖9中的相同�����。 另外���,根據(jù)本實用新型的一個實施例��,可以在管理板101上安全處理策略的存儲容量不足時�����,將無法存儲在管理板101上的全局安全處理策略設置在線卡102中���,即在本實用新型圖4-圖9任意實施例所示的線卡102中,還可以設置利用全局安全處理策略對接收到的數(shù)據(jù)報文進行第三次過濾或者對第一次過濾后輸出的數(shù)據(jù)報文進行第三次過濾的第三安全處理引擎400���。作為本實用新型的一個實施例����,該第三安全處理引擎400可以設置在第一接收模塊201與第一安全處理引擎200之間��,先利用全局安全處理策略對第一接收模塊201接收到的數(shù)據(jù)報文先進行第三次過濾,并將第三次過濾后輸出的數(shù)據(jù)報文發(fā)送給第一安全處理引擎200進行第一次過濾��。作為本實用新型的另一個實施例�,該第三安全處理引擎400也可以設置在第一安全處理引擎200與第一發(fā)送模塊202之間,利用全局安全處理策略對第一安全處理引擎200第一次過濾后輸出的數(shù)據(jù)報文進行第三次過濾���,并將第三次過濾后輸出的數(shù)據(jù)報文發(fā)送給第一發(fā)送模塊202����。相應的���,第二安全處理引擎300利用全局安全處理策略對第一次過濾與第三次過濾后輸出的數(shù)據(jù)報文進行第二次過濾�。圖10為本實用新型交換機還一個實施例的結構示意圖�。具體地,該第三安全處理引擎400可以采用圖7或圖8所示第二安全處理引擎300的結構實現(xiàn)����。 根據(jù)本實用新型的另一個實施例,可以在線卡102上安全處理策略的存儲容量不足時�,將無法存儲在線卡102上的接口安全處理策略設置在管理板101中,即在本實用新型圖4-圖IO任意實施例所示的管理板IOI中���,還可以設置利用接口安全處理策略對第一次過濾后輸出的數(shù)據(jù)報文或第二次過濾后輸出的數(shù)據(jù)報文進行第四次過濾的第四安全處理引擎500���。作為本實用新型的一個實施例,該第四安全處理引擎500可以設置在第二接收模塊301與第二安全處理引擎300之間���,先利用接口安全處理策略對第二接收模塊301接收到的數(shù)據(jù)報文先進行第四次過濾���,并將第四次過濾后輸出的數(shù)據(jù)報文發(fā)送給第二安全處理引擎300進行第二次過濾。作為本實用新型的另一個實施例�����,該第四安全處理引擎500也可以設置在第二安全處理引擎300與確定模塊302之間���,利用接口安全處理策略對第二安全處理引擎300過濾后輸出的數(shù)據(jù)報文進行第四次過濾��,并將第四次過濾后輸出的數(shù)據(jù)報文發(fā)送給確定模塊302�����。相應的��,確定模塊302用于在第四安全處理引擎500輸出合法的數(shù)據(jù)報文時����,根據(jù)該合法的數(shù)據(jù)報文中的轉發(fā)目的地址,確定發(fā)送該合法的數(shù)據(jù)報文的發(fā)送網(wǎng)絡接口 203�。圖ll為本實用新型交換機又一個實施例的結構示意圖。具體地����,該第四安全處理引擎500可以采用圖5或圖6所示第一安全處理引擎200的結構實現(xiàn)。[0040] 圖12為利用本實用新型交換機進行安全控制的一個實施例的流程圖����。如圖12所示,其包括 步驟401��,網(wǎng)絡接口 203接收網(wǎng)絡中的數(shù)據(jù)報文�����,該網(wǎng)絡接口 203也稱為接收網(wǎng)絡接口 203����,并對接收到的數(shù)據(jù)報文標識接收該數(shù)據(jù)報文的接收網(wǎng)絡接口信息后發(fā)送給第一接收模塊201。其中的網(wǎng)絡接口信息可以是網(wǎng)絡接口號或網(wǎng)絡接口名稱���,也可以是其它唯一標識交換機上該網(wǎng)絡接口的其它信息���。 步驟402��,第一接收模塊201將網(wǎng)絡接口 203發(fā)送的數(shù)據(jù)報文發(fā)送給該線卡上的第一安全處理引擎200���。 步驟403,第一安全處理引擎200利用其中部署的接口安全處理策略���,對第一接收模塊201接收到的數(shù)據(jù)報文進行第一次過濾,丟棄非法數(shù)據(jù)報文���。[0044] 具體地����,該步驟403可以通過以下方式實現(xiàn) 第一安全處理引擎200對數(shù)據(jù)報文進行解析�����,獲取數(shù)據(jù)報文各字段的數(shù)據(jù)內容及接收網(wǎng)絡接口信息��;[0046] 比較各字段的數(shù)據(jù)內容及接收網(wǎng)絡接口信息��,是否與第一安全處理引擎200上第一策略表中的各接口安全處理策略匹配����。其中的接口安全處理策略可以包括是否關心接收網(wǎng)絡接口���、接收網(wǎng)絡接口號、數(shù)據(jù)報文類型�、數(shù)據(jù)報文類型的字段與各字段的數(shù)據(jù)內容中的任意一個或多個,與該接口安全處理策略對應的過濾行為���。其中的過濾行為也可以稱為數(shù)據(jù)報文轉發(fā)行為�,包括丟棄該數(shù)據(jù)報文����、轉發(fā)該數(shù)據(jù)報文、將該數(shù)據(jù)報文的某個字段的數(shù)據(jù)內容修改為預設內容�����、或將該數(shù)據(jù)報文轉發(fā)到指定目的地址�����; 若各字段的數(shù)據(jù)內容及接收網(wǎng)絡接口信息與第一策略表中的一條接口安全處理策略匹配��,則獲取該接口安全處理策略對應的過濾行為���,并利用該過濾行為對數(shù)據(jù)報文進行第一次過濾�; 若各字段的數(shù)據(jù)內容及接收網(wǎng)絡接口信息與第一策略表中的多條接口安全處理策略匹配,則根據(jù)預先設定��,從多條接口安全處理策略中選取一條接口安全處理策略����,例如選取第一策略表中第一條匹配的接口安全處理策略,獲取該選取的接口安全處理策略對應的過濾行為���,并利用該過濾行為對數(shù)據(jù)報文進行第一次過濾。如果獲取或選取的過濾行為是將該數(shù)據(jù)報文轉發(fā)到指定目的地址���,則相應的����,利用該過濾行為對數(shù)據(jù)報文進行第一次過濾具體為將數(shù)據(jù)報文的目的轉發(fā)地址修改為指定目的地址�����。 步驟404�����,第一發(fā)送模塊202在第一安全處理引擎200第一次過濾后輸出數(shù)據(jù)報文時,將該輸出的數(shù)據(jù)報文發(fā)送給管理板101上的第二接收模塊301����。 步驟405,第二安全處理引擎300利用其中部署的全局安全處理策略����,對第二接收模塊301接收到的數(shù)據(jù)報文進行第二次過濾,丟棄非法數(shù)據(jù)報文�,輸出合法的數(shù)據(jù)報文。[0051] 具體地�,該步驟405可以通過以下流程實現(xiàn) 第二安全處理引擎300對輸出的數(shù)據(jù)報文進行解析,獲取輸出的數(shù)據(jù)報文各字段的數(shù)據(jù)內容�; 比較各字段的數(shù)據(jù)內容是否與第二安全處理引擎300上第二策略表中的各全局安全處理策略匹配。其中的全局安全處理策略可以包括數(shù)據(jù)報文類型����、數(shù)據(jù)報文類型的字段與各字段的數(shù)據(jù)內容中的任意一個或多個,與該接口安全處理策略對應的過濾行為��。其中的過濾行為也可以稱為數(shù)據(jù)報文轉發(fā)行為����,包括丟棄該數(shù)據(jù)報文、轉發(fā)該數(shù)據(jù)報文�����、將該數(shù)據(jù)報文的某個字段的數(shù)據(jù)內容修改為預設內容、或將該數(shù)據(jù)報文轉發(fā)到指定目的地址����;[0054] 若各字段的數(shù)據(jù)內容與第二策略表中的一條全局安全處理策略匹配,則獲取該全局安全處理策略對應的過濾行為���,并利用該過濾行為對輸出的數(shù)據(jù)報文進行第二次過濾����;[0055] 若各字段的數(shù)據(jù)內容與第二策略表中的多條全局安全處理策略匹配�����,則根據(jù)預先設定����,從多條全局安全處理策略中選取一條全局安全處理策略���,例如選取第一策略表中第一條匹配的接口安全處理策略���,獲取該選取的全局安全處理策略對應的過濾行為,并利用該過濾行為對輸出的數(shù)據(jù)報文進行第二次過濾。如果獲取或選取的過濾行為是將該數(shù)據(jù)報文轉發(fā)到指定目的地址�,則相應的,利用該過濾行為對數(shù)據(jù)報文進行第二次過濾具體為將數(shù)據(jù)報文的目的轉發(fā)地址修改為指定目的地址��。 步驟406����,確定模塊302在第二次過濾后輸出合法的數(shù)據(jù)報文時,根據(jù)合法的數(shù)據(jù)報文中的轉發(fā)目的地址����,確定發(fā)送該合法的數(shù)據(jù)報文的網(wǎng)絡接口 203,該網(wǎng)絡接口也稱為發(fā)送網(wǎng)絡接口 203�。 步驟407,標識模塊303對合法的數(shù)據(jù)報文標識發(fā)送網(wǎng)絡接口信息�,生成待發(fā)送數(shù)據(jù)報文,并通過第二發(fā)送模塊304將該待發(fā)送數(shù)據(jù)報文發(fā)送給相應的線卡102上的第一接收模塊201���。 步驟408����,第一接收模塊201根據(jù)待發(fā)送數(shù)據(jù)報文攜帶的發(fā)送網(wǎng)絡接口信息���,將該待發(fā)送數(shù)據(jù)報文轉發(fā)給相應的發(fā)送網(wǎng)絡接口 203�����。 步驟409�,發(fā)送網(wǎng)絡接口 203剝離該待發(fā)送數(shù)據(jù)報文攜帶的發(fā)送網(wǎng)絡接口信息,然
后輸出數(shù)據(jù)報文���,根據(jù)該數(shù)據(jù)報文中的目的轉發(fā)地址發(fā)送該數(shù)據(jù)報文��。 假設第一安全處理引擎200中部署的接口安全處理策略包括是否關心接收網(wǎng)絡
接口��、接收網(wǎng)絡接口號�、數(shù)據(jù)報文類型�、數(shù)據(jù)報文類型的字段與各字段的數(shù)據(jù)內容。對數(shù)據(jù)
報文進行解析����,獲取數(shù)據(jù)報文各字段的數(shù)據(jù)內容及接收網(wǎng)絡接口信息后,針對每一條接口
安全處理策略��。如圖13所示���,為利用本實用新型交換機對數(shù)據(jù)報文進行第一次過濾的一個
實施例的流程圖,其包括 步驟501��,是否不關心接收網(wǎng)絡接口,或數(shù)據(jù)報文的接收網(wǎng)絡接口號與接口安全處理策略中的接收網(wǎng)絡接口號相同��。若不關心接收網(wǎng)絡接口����,或數(shù)據(jù)報文的接收網(wǎng)絡接口號與接口安全處理策略中的接收網(wǎng)絡接口號相同,執(zhí)行步驟502 ;否則����,若關心接收網(wǎng)絡接口并且數(shù)據(jù)報文的接收網(wǎng)絡接口號與接口安全處理策略中的接收網(wǎng)絡接口號不同,執(zhí)行步驟508����。 步驟502,比較接收到的數(shù)據(jù)報文的類型與接口安全處理策略中的數(shù)據(jù)報文類型是否一致��。若一致�,執(zhí)行步驟503 ;否則,執(zhí)行步驟508�。[0063] 步驟503,讀取接口安全處理策略中的第一個字段��。 步驟504�����,比較接收到的數(shù)據(jù)報文中相應字段的數(shù)據(jù)內容與接口安全處理策略中的第一個字段的數(shù)據(jù)內容是否相同。若相同����,執(zhí)行步驟505 ;否則,執(zhí)行步驟508���。[0065] 步驟505��,判斷接口安全處理策略中是否存在下一個字段����。若存在�,以該下一個字段作為第一個字段,執(zhí)行步驟503 ;否則����,執(zhí)行步驟506。 步驟506�����,認為接收到的數(shù)據(jù)報文與該接口安全處理策略匹配����,從該接口安全處理策略中獲取相應的過濾行為。 步驟507���,利用獲取到的過濾行為對接收到的數(shù)據(jù)報文進行第一次過濾�。之后����,不再執(zhí)行本實施例的后續(xù)流程。 步驟508���,認為接收到的數(shù)據(jù)報文與該接口安全處理策略不匹配�����,不對接收到的數(shù)據(jù)報文進行第一次過濾����。 作為本實用新型的一個具體實施例�����,不對接收到的數(shù)據(jù)報文進行第一次過濾時���,可以根據(jù)預先設定���,直接轉發(fā)該數(shù)據(jù)報文����,也可以丟棄該數(shù)據(jù)報文�����,或者對該數(shù)據(jù)報文進行其它處理����。 步驟509,查詢第一策略表中是否存在下一條接口安全處理策略����,若存在,針對下一條接口安全處理策略���,執(zhí)行步驟501 ;否則�,若不存在����,不對接收到的數(shù)據(jù)報文進行第一次過濾,線卡可以直接向管理板轉發(fā)該數(shù)據(jù)報文。 在圖13所示的實施例中���,默認利用第一策略表中第一條匹配的接口安全處理策略對接收到的數(shù)據(jù)報文進行第一次過濾。如果根據(jù)預先設定��,不是利用第一策略表中第一條匹配的接口安全處理策略對接收到的數(shù)據(jù)報文進行第一次過濾���,例如采用第一策略表中最后一條匹配的接口安全處理策略對接收到的數(shù)據(jù)報文進行第一次過濾��,則步驟505中�����,不存在下一個字段時����,直接執(zhí)行步驟509���,從而選出第一策略表中所有匹配的接口安全處理策略��,并根據(jù)預先設定����,從中選取一條接口安全處理策略,獲取該選取的接口安全處理策略對應的過濾行為����,并利用該過濾行為對數(shù)據(jù)報文進行第一次過濾。 另外�����,在本實用新型安全控制方法的各實施例中���,也可以在線卡上的存儲容量不足以存儲接口安全處理策略時�����,將一部分策略接口安全處理策略部署到管理板上的安全處理引擎中����,宏觀上提高線卡上的接口安全策略的容量�����;以及在管理板上的存儲容量不足以存儲全局安全處理策略時����,將一部分全局安全策略部署到線卡上的安全處理引擎中��。[0073] 本領域普通技術人員可以理解實現(xiàn)上述方法實施例的全部或部分步驟可以通過程序指令相關的硬件來完成���,前述的程序可以存儲于一計算機可讀取存儲介質中,該程序在執(zhí)行時�����,執(zhí)行包括上述方法實施例的步驟����;而前述的存儲介質包括ROM���、 RAM�、磁碟或者光盤等各種可以存儲程序代碼的介質�。 本實用新型實施例可以在線卡上設置第一安全處理引擎,利用其中部署的接口安全處理策略對數(shù)據(jù)報文進行第一次過濾�����,并在管理板上設置第二安全處理引擎�,利用其中部署的全局安全處理策略對數(shù)據(jù)報文進行第二次過濾,合理利用了管理板與線卡上安全處理策略的存儲容量���,提高了安全控制效果�。 最后所應說明的是以上實施例僅用以說明本實用新型的技術方案,而非對本實用新型作限制性理解���。盡管參照上述較佳實施例對本實用新型進行了詳細說明�����,本領域的普通技術人員應當理解其依然可以對本實用新型的技術方案進行修改或者等同替換�,而這種修改或者等同替換并不脫離本實用新型技術方案的精神和范圍�。
權利要求一種交換機,包括管理板與一個或多個線卡�����,其特征在于�����,所述線卡上設置有利用接口安全處理策略對接收到的數(shù)據(jù)報文進行第一次過濾的第一安全處理引擎���;所述管理板上設置有利用全局安全處理策略對第一次過濾后輸出的數(shù)據(jù)報文進行第二次過濾的第二安全處理引擎����。
2. 根據(jù)權利要求l所述的交換機,其特征在于�,所述線卡包括一個或多個網(wǎng)絡接口 ; 接收所述網(wǎng)絡接口發(fā)送的數(shù)據(jù)報文����,以及接收所述管理板發(fā)送的待發(fā)送數(shù)據(jù)報文的第一接 收模塊;和利用接口安全處理策略��,對所述第一接收模塊接收到的所述數(shù)據(jù)報文進行第一 次過濾的第一安全處理引擎��;和將所述第一安全處理引擎輸出的數(shù)據(jù)報文發(fā)送給所述管理 板���,以及根據(jù)所述待發(fā)送數(shù)據(jù)報文攜帶的發(fā)送網(wǎng)絡接口信息,將所述待發(fā)送數(shù)據(jù)報文轉發(fā) 給相應的網(wǎng)絡接口的第一發(fā)送模塊����;所述第一接收模塊、所述第一安全處理引擎與所述第一發(fā)送模塊依次連接�����,所述第一 接收模塊還與所述第一發(fā)送模塊連接�;所述第一接收模塊還分別與所在線卡中的網(wǎng)絡接 口 、所述管理板連接��;所述第一發(fā)送模塊還分別與所在線卡中網(wǎng)絡接口 、所述管理板連接�����。
3. 根據(jù)權利要求2所述的交換機�,其特征在于,所述第一安全處理引擎包括對所述第一接收模塊接收到的數(shù)據(jù)報文進行解析��,獲取所述數(shù)據(jù)報文各字段的數(shù)據(jù)內容及所述接收 網(wǎng)絡接口信息的第一解析單元����;和存儲第一策略表的第一存儲單元,所述第一策略表中包 括一個或多個接口安全處理策略�����;和比較所述第一解析單元獲取到的所述各字段的數(shù)據(jù)內 容及所述接收網(wǎng)絡接口信息是否與所述第一策略表中的各接口安全處理策略匹配的第一 比較單元��;和根據(jù)第一比較單元的比較結果���,在所述各字段的數(shù)據(jù)內容及所述接收網(wǎng)絡接 口信息與所述第一策略表中的多條接口安全處理策略匹配時����,根據(jù)預先設定����,從所述多條 接口安全處理策略中選取一條接口安全處理策略的第一選取單元����;和根據(jù)第一 比較單元的 比較結果�,在所述各字段的數(shù)據(jù)內容及所述網(wǎng)絡接口信息與所述第一策略表中的一條接口 安全處理策略匹配時,獲取該接口安全處理策略對應的過濾行為����,以及在所述各字段的數(shù) 據(jù)內容及所述接收網(wǎng)絡接口信息與所述第一策略表中的多條接口安全處理策略匹配時,獲 取所述第一選取單元選取的接口安全處理策略對應的過濾行為的第一獲取單元��;和利用所 述第一獲取單元獲取的過濾行為�����,對所述第一接收模塊接收到的數(shù)據(jù)報文進行第一次過濾 的第一過濾單元��;所述第一解析單元和所述第一過濾單元分別與所述第一接收模塊連接��;所述第一解 析單元��、第一比較單元��、所述第一選取單元���、所述第一獲取單元與所述第一過濾單元依次連 接�����;所述第一獲取單元和所述第一比較單元還分別與所述第一存儲單元連接�����;所述第一過 濾單元還與所述第一發(fā)送模塊連接�����。
4. 根據(jù)權利要求1��、2或3所述的交換機�����,其特征在于����,所述管理板包括接收所述線卡 發(fā)送的輸出的數(shù)據(jù)報文的第二接收模塊��;和利用全局安全處理策略,對所述第二接收模塊 接收到的所述輸出的數(shù)據(jù)報文進行第二次過濾的第二安全處理引擎��;和所述第二安全處理 引擎輸出合法的數(shù)據(jù)報文時�,根據(jù)所述合法的數(shù)據(jù)報文中的轉發(fā)目的地址,確定發(fā)送該合 法的數(shù)據(jù)報文的發(fā)送網(wǎng)絡接口的確定模塊����;和對所述合法的數(shù)據(jù)報文標識發(fā)送該合法的數(shù) 據(jù)報文的所述發(fā)送網(wǎng)絡接口信息,生成待發(fā)送數(shù)據(jù)報文的標識模塊���;和根據(jù)所述發(fā)送網(wǎng)絡 接口信息���,將所述待發(fā)送數(shù)據(jù)報文發(fā)送給相應的線卡的第二發(fā)送模塊;所述第二接收模塊����、所述第二安全處理引擎、所述確定模塊����、所述標識模塊與所述第二發(fā)送模塊依次連接���;所述第二接收模塊分別與每個線卡或線卡中的第一發(fā)送模塊連接�����;所 述第二發(fā)送模塊分別與每個線卡或線卡中的第一接收模塊連接�。
5. 根據(jù)權利要求4所述的交換機,其特征在于�,所述第二安全處理引擎包括對所述第 二接收模塊接收到的數(shù)據(jù)報文進行解析,獲取所述數(shù)據(jù)報文各字段的數(shù)據(jù)內容的第二解析 單元�;和存儲第二策略表的第二存儲單元,所述第二策略表中包括一個或多個全局安全處 理策略����;比較所述第二解析單元獲取到的所述各字段的數(shù)據(jù)內容是否與所述第二策略表中 的各全局安全處理策略匹配的第二比較單元;和根據(jù)第二比較單元的比較結果�����,在所述各 字段的數(shù)據(jù)內容與所述第二策略表中的多條全局安全處理策略匹配時���,根據(jù)預先設定�����,從 所述多條全局安全處理策略中選取一條全局安全處理策略的第二選取單元����;和根據(jù)第二比 較單元的比較結果,在所述各字段的數(shù)據(jù)內容與所述第二策略表中的一條全局安全處理策 略匹配時�����,獲取該全局安全處理策略對應的過濾行為����,以及在所述各字段的數(shù)據(jù)內容與所 述第二策略表中的多條全局安全處理策略匹配時,獲取所述第二選取單元選取的全局安全 處理策略對應的過濾行為的第二獲取單元�����;和利用所述第二獲取單元獲取的過濾行為���,對 所述第二接收模塊接收到的數(shù)據(jù)報文進行第二次過濾的第二過濾單元�����;所述第二解析單元和所述第二過濾單元分別與所述第二接收模塊連接����;所述第二解 析單元��、第二比較單元����、所述第二選取單元、所述第二獲取單元與所述第二過濾單元依次連 接�;所述第二獲取單元和所述第二比較單元還分別與所述第二存儲單元連接;所述第二過 濾單元還與所述確定模塊連接�����。
6. 根據(jù)權利要求4所述的交換機�����,其特征在于��,所述線卡上還設置有利用全局安全處 理策略對接收到的數(shù)據(jù)報文進行第三次過濾或者對第一次過濾后輸出的數(shù)據(jù)報文進行第 三次過濾的第三安全處理引擎��;相應的����,所述第二安全處理引擎為利用全局安全處理策略對第一次過濾與第三次過濾 后輸出的數(shù)據(jù)報文進行第二次過濾的第二安全處理引擎。
7. 根據(jù)權利要求4所述的交換機�,其特征在于,所述管理板上還設置有利用接口安全 處理策略對第一次過濾后輸出的數(shù)據(jù)報文或第二次過濾后輸出的數(shù)據(jù)報文進行第四次過 濾的第四安全處理引擎����。
專利摘要本實用新型公開了一種交換機�,包括管理板與一個或多個線卡��,所述線卡上設置有利用接口安全處理策略對接收到的數(shù)據(jù)報文進行第一次過濾的第一安全處理引擎���;所述管理板上設置有利用全局安全處理策略對第一次過濾后輸出的數(shù)據(jù)報文進行第二次過濾的第二安全處理引擎����。本實用新型實施例可以合理利用線卡與管理板上的安全處理策略的存儲容量�,并有效實現(xiàn)對數(shù)據(jù)報文的安全控制。
文檔編號H04L29/06GK201467157SQ20092010868
公開日2010年5月12日 申請日期2009年6月1日 優(yōu)先權日2009年6月1日
發(fā)明者郭偉 申請人:北京星網(wǎng)銳捷網(wǎng)絡技術有限公司