專利名稱:用于高度可實(shí)現(xiàn)性應(yīng)用的智能集成網(wǎng)絡(luò)安全設(shè)備的制作方法
技術(shù)領(lǐng)域:
與本發(fā)明的原理相一致的系統(tǒng)���、設(shè)備和方法總體上涉及控制計(jì)算機(jī)網(wǎng)絡(luò)安全���。
背景技術(shù):
防火墻和侵入檢測(cè)系統(tǒng)都是可用于保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)使其免受未經(jīng)授權(quán)的或破壞性的用戶侵入的設(shè)備��。防火墻可保護(hù)局域網(wǎng)的安全,使局域網(wǎng)外部的用戶無(wú)法進(jìn)入。防火墻對(duì)于發(fā)送到或者來(lái)自局域網(wǎng)外部的用戶的所有信息進(jìn)行檢查、路由并頻繁地添加標(biāo)注�����。侵入檢測(cè)系統(tǒng)(IDS)可用于檢驗(yàn)在網(wǎng)絡(luò)內(nèi)傳輸?shù)男畔?�,以識(shí)別出可疑的行為模式�。
基于流的路由器(FBR)可允許網(wǎng)絡(luò)管理員根據(jù)網(wǎng)絡(luò)管理員所規(guī)定的網(wǎng)絡(luò)策略來(lái)實(shí)現(xiàn)數(shù)據(jù)包的轉(zhuǎn)發(fā)和路由���。FBR可允許網(wǎng)絡(luò)管理員實(shí)現(xiàn)有選擇性地通過(guò)網(wǎng)絡(luò)中的指定路徑對(duì)數(shù)據(jù)包進(jìn)行路由的策略�。FBR也可以用來(lái)確保特定類(lèi)型的數(shù)據(jù)包當(dāng)它們被路由時(shí)接受有區(qū)別的、優(yōu)選的業(yè)務(wù)��。常規(guī)路由器可以根據(jù)可用的路由信息將數(shù)據(jù)包轉(zhuǎn)發(fā)到它們的目的地址。與僅僅根據(jù)目的地址來(lái)進(jìn)行路由不同的是���,F(xiàn)BR允許網(wǎng)絡(luò)管理員實(shí)現(xiàn)路由策略�����,以根據(jù)多種其他的標(biāo)準(zhǔn)來(lái)接受或拒絕數(shù)據(jù)包����,這些其他的標(biāo)準(zhǔn)包括應(yīng)用����、協(xié)議、數(shù)據(jù)包大小以及終端系統(tǒng)的身份��。
數(shù)據(jù)包過(guò)濾器可以對(duì)網(wǎng)絡(luò)層中的數(shù)據(jù)進(jìn)行操作���,以保護(hù)所信任的網(wǎng)絡(luò)免于受到來(lái)自不信任的網(wǎng)絡(luò)的攻擊��。例如,數(shù)據(jù)包過(guò)濾器檢查傳輸控制協(xié)議/互聯(lián)網(wǎng)協(xié)議(TCP/IP)包頭的字段,包括協(xié)議類(lèi)型、互聯(lián)網(wǎng)協(xié)議(IP)的源地址和目的地址��、源端口號(hào)和目的端口號(hào)�。數(shù)據(jù)包過(guò)濾器的缺點(diǎn)是速度慢���、而且對(duì)具有復(fù)雜安全策略的大型網(wǎng)絡(luò)的管理很困難����。
代理服務(wù)器可以對(duì)應(yīng)用層中承載的數(shù)據(jù)進(jìn)行操作�����,從而將所信任的網(wǎng)絡(luò)和不信任的網(wǎng)絡(luò)隔離開(kāi)來(lái)。在一個(gè)應(yīng)用代理服務(wù)器中�,可以建立兩條傳輸控制協(xié)議(TCP)連接一條連接在數(shù)據(jù)包源服務(wù)器和代理服務(wù)器之間�����,另一條連接在代理服務(wù)器和數(shù)據(jù)包目的服務(wù)器之間�。應(yīng)用代理服務(wù)器可以以目的服務(wù)器的名義接收到來(lái)的數(shù)據(jù)包��。應(yīng)用數(shù)據(jù)可以由代理服務(wù)器來(lái)組裝和檢驗(yàn)��,而第二條TCP連接在代理服務(wù)器和目的服務(wù)器之間可以是開(kāi)放的,從而將已接受的數(shù)據(jù)包中繼轉(zhuǎn)發(fā)到目的服務(wù)器��。代理服務(wù)器可能很慢,因?yàn)樵趹?yīng)用層中檢查數(shù)據(jù)包需要附帶的協(xié)議棧開(kāi)銷(xiāo)���。此外,由于對(duì)于每個(gè)應(yīng)用可能需要一個(gè)唯一的代理服務(wù)器���,代理服務(wù)器的實(shí)現(xiàn)可能會(huì)很復(fù)雜����,且很難加以修改以支持新的應(yīng)用��。另外,由于代理服務(wù)器僅檢驗(yàn)應(yīng)用數(shù)據(jù)包���,因此代理服務(wù)器不可能在TCP或網(wǎng)絡(luò)層上檢測(cè)到試圖發(fā)起的網(wǎng)絡(luò)安全侵入��。
發(fā)明內(nèi)容
本發(fā)明提供了用于檢查數(shù)據(jù)包的方法和設(shè)備�����。
在第一個(gè)方面����,提供了用于檢查數(shù)據(jù)包的方法。該方法可包括配置一個(gè)初級(jí)安全系統(tǒng)以處理數(shù)據(jù)包��,其中這個(gè)初級(jí)安全系統(tǒng)可被操作以保持一組設(shè)備的流信息��,以便于處理數(shù)據(jù)包��;指定一個(gè)當(dāng)發(fā)生故障事件時(shí)用于處理數(shù)據(jù)包的次級(jí)安全系統(tǒng)����;并且將來(lái)自初級(jí)安全系統(tǒng)的流記錄與次級(jí)安全系統(tǒng)共享。
在第二個(gè)方面�����,提供了一種系統(tǒng)。該系統(tǒng)可包括一個(gè)第一設(shè)備���。這個(gè)第一設(shè)備可包括一個(gè)第一安全裝置、一個(gè)可操作以保持與從一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)接收到的數(shù)據(jù)包相關(guān)聯(lián)的流信息的第一模塊、以及一個(gè)可操作以允許與一個(gè)第二設(shè)備交換流記錄的通信接口。所述第一模塊還可操作以將對(duì)于設(shè)備特定的流信息與第一安全設(shè)備共享。
在第三個(gè)方面��,提供了一種用于檢查數(shù)據(jù)包的系統(tǒng)��。該系統(tǒng)可包括一個(gè)初級(jí)安全設(shè)備�����,這個(gè)初級(jí)安全設(shè)備可操作以接收和處理數(shù)據(jù)包��。所述初級(jí)安全設(shè)備可包括用于保持包含在初級(jí)安全設(shè)備內(nèi)的一組設(shè)備的流信息的裝置����。一個(gè)次級(jí)設(shè)備可操作以當(dāng)發(fā)生故障事件時(shí)處理初級(jí)安全設(shè)備的數(shù)據(jù)包�����。所述次級(jí)安全設(shè)備還包括用于在一組設(shè)備之間共享信息的裝置。該系統(tǒng)還包括用于將來(lái)自初級(jí)安全設(shè)備的流記錄與次級(jí)安全設(shè)備共享的裝置��。
本發(fā)明的一個(gè)或多個(gè)實(shí)施例的細(xì)節(jié)在附圖和下面的說(shuō)明中描述�����。本發(fā)明的其他特征和優(yōu)點(diǎn)通過(guò)說(shuō)明書(shū)���、附圖和權(quán)利要求變得更為清楚。
圖1示出了包括一個(gè)會(huì)話模塊的網(wǎng)絡(luò)拓?fù)鋱D���。
圖2示出了所述會(huì)話模塊的框圖��。
圖3示出了流表的結(jié)構(gòu)���。
圖4示出了描述所述會(huì)話模塊的操作的流程圖�����。
圖5示出了描述所述會(huì)話分類(lèi)的流程圖。
圖6示出了由所述會(huì)話模塊生成的準(zhǔn)重新組裝信息���。
圖7示出了所述會(huì)話模塊包含在一個(gè)防火墻中的情況下的網(wǎng)絡(luò)拓?fù)鋱D��。
圖8示出了所述會(huì)話模塊與防火墻���、IPS和路由器協(xié)同工作時(shí)的網(wǎng)絡(luò)拓?fù)鋱D。
圖9示出了會(huì)話模塊����、防火墻、IPS和路由器包含在一個(gè)安全設(shè)備中的情況下的網(wǎng)絡(luò)拓?fù)鋱D���。
圖10示出了一組安全設(shè)備包含在一個(gè)高可用性結(jié)構(gòu)中的情況下的網(wǎng)絡(luò)拓?fù)鋱D�����。
圖11a-c描述了用于在圖10所示網(wǎng)絡(luò)拓?fù)鋱D中提供故障保護(hù)的處理過(guò)程�����。
在不同的附圖中用相同的附圖標(biāo)記和標(biāo)號(hào)來(lái)表示相同的單元���。
具體實(shí)施例方式
圖1示出了一個(gè)實(shí)例性的網(wǎng)絡(luò)拓?fù)鋱D����,其包含一個(gè)局域網(wǎng)(LAN)100����,所述局域網(wǎng)包括一個(gè)服務(wù)器102、多個(gè)工作站(W/S)104a-104c(在總體上用“104”表示)�、以及一個(gè)安全系統(tǒng)124。所述安全系統(tǒng)124可包括一個(gè)會(huì)話模塊122和一組其他安全設(shè)備�。在所示的實(shí)施方式中,安全系統(tǒng)124可包括兩個(gè)安全設(shè)備�,即第一安全設(shè)備106和第二安全設(shè)備108����。LAN 100可以通過(guò)安全系統(tǒng)124連接到一個(gè)外部網(wǎng)絡(luò),例如互聯(lián)網(wǎng)114b�����。第二個(gè)LAN 116可包括一個(gè)Web服務(wù)器110����、一個(gè)Email服務(wù)器112��、一個(gè)服務(wù)器138��、多個(gè)工作站134a-134f(在總體上用“134”表示)���、以及一個(gè)安全系統(tǒng)124。LAN 116可經(jīng)由安全系統(tǒng)126連接到互聯(lián)網(wǎng)114a����。安全系統(tǒng)126可包括一個(gè)第一安全設(shè)備128、一個(gè)第二安全設(shè)備130�����、以及一個(gè)會(huì)話模塊132��。LAN中的計(jì)算機(jī)���、服務(wù)器和其他設(shè)備可以使用多種數(shù)據(jù)傳輸介質(zhì)相互連接��,這些數(shù)據(jù)傳輸介質(zhì)如導(dǎo)線���、光纖、無(wú)線電波等���。安全系統(tǒng)124和安全系統(tǒng)126可以類(lèi)似的方式操作����。例如使用安全系統(tǒng)124,會(huì)話模塊122可以監(jiān)控網(wǎng)絡(luò)內(nèi)傳輸?shù)臄?shù)據(jù)包����。在一個(gè)實(shí)施方式中,第一安全設(shè)備106可以是一個(gè)防火墻����,而第二安全設(shè)備可以是IPS。會(huì)話模塊122可以與第一安全設(shè)備106和第二安全設(shè)備108相關(guān)聯(lián)地工作�,以便于阻止與試圖發(fā)起網(wǎng)絡(luò)安全侵入相關(guān)的數(shù)據(jù)包。
圖2示出了一個(gè)實(shí)例性的會(huì)話模塊的框圖�,如會(huì)話模塊122。會(huì)話模塊122可包括一個(gè)用于接收數(shù)據(jù)包的輸入包接口205��。會(huì)話模塊132可以類(lèi)似的方式操作�����。接收到的數(shù)據(jù)包可以由流處理引擎(FPE)202進(jìn)行分析��,以判斷是否正在進(jìn)行網(wǎng)絡(luò)安全侵入的嘗試��。會(huì)話模塊122也可以包括一個(gè)流表215�。流表215可用于存儲(chǔ)關(guān)于與接收到的數(shù)據(jù)包相關(guān)的流的信息。會(huì)話模塊122還可以包括與網(wǎng)絡(luò)上的其他安全設(shè)備的接口���。在一個(gè)實(shí)施方式中����,會(huì)話模塊122可包括一個(gè)防火墻接口220����、一個(gè)IPS接口225、以及一個(gè)基于流的路由器接口230�����。安全設(shè)備接口218可以被會(huì)話模塊122用來(lái)獲得關(guān)于接收到的數(shù)據(jù)包的信息����、以及關(guān)于與數(shù)據(jù)包相關(guān)的流的信息,從而判斷接收到的數(shù)據(jù)包是否應(yīng)該被準(zhǔn)許或更改���。安全設(shè)備接口218也可以被會(huì)話模塊122用來(lái)傳輸可由安全設(shè)備所使用的流信息�����,以便于處理數(shù)據(jù)包���。
圖3示出了一個(gè)流表215的結(jié)構(gòu)�����,這個(gè)流表在實(shí)踐中可以按照本發(fā)明的原理來(lái)使用����。流表215可包括與當(dāng)前的TCP/IP流相關(guān)的流記錄302a-302e(在總體上用“302”表示)�����。一個(gè)TCP/IP流可包括一系列在一個(gè)方向上在源和目的地之間傳輸數(shù)據(jù)包的信息���。流記錄可以用索引鍵值305來(lái)編入索引�。索引鍵值305可用來(lái)存儲(chǔ)和獲得與接收到的數(shù)據(jù)包相關(guān)的適當(dāng)?shù)牧饔涗?。在一個(gè)實(shí)施方式中,索引鍵值305可以是一個(gè)混列鍵值(hash key)���,而流表215可以作為混列表來(lái)實(shí)現(xiàn)。會(huì)話模塊122(圖2)可以在相同的流記錄中存儲(chǔ)網(wǎng)絡(luò)上兩個(gè)或多個(gè)安全設(shè)備的指令���。在會(huì)話模塊122的一個(gè)實(shí)施例中����,在流記錄302中可以存儲(chǔ)三個(gè)安全設(shè)備(例如設(shè)備310、315和320)的指令��。流記錄302可以存儲(chǔ)策略信息(例如防火墻策略�、IPS策略等,以應(yīng)用于這個(gè)流)�����,以及存儲(chǔ)可以由安全設(shè)備所使用的其他信息��,如加密參數(shù)�����、地址轉(zhuǎn)換參數(shù)���、簿記(bookkeeping)信息和統(tǒng)計(jì)數(shù)據(jù)���。流記錄302也可以包括由會(huì)話模塊122用來(lái)判斷是否應(yīng)該準(zhǔn)許該數(shù)據(jù)包的流信息325。這種信息可包括實(shí)現(xiàn)例如關(guān)于連接超時(shí)、時(shí)間記帳�、以及帶寬使用的網(wǎng)絡(luò)策略所需的信息。在同時(shí)申請(qǐng)和申請(qǐng)人共有的名為“Multi-Method Gateway-based Network Security Systems and Methods”的專利申請(qǐng)(美國(guó)專利申請(qǐng)?zhí)枮?0/072683)中更詳細(xì)地描述了流�����、會(huì)話和流表���,該專利申請(qǐng)的內(nèi)容在此整個(gè)并入作為參考�。
圖4是描述了在與本發(fā)明的原理相一致的一個(gè)實(shí)施方式中FPE202(圖2)的示例性操作的流程圖��。輸入數(shù)據(jù)包可以由會(huì)話模塊122接收(步驟400)�。IP數(shù)據(jù)包可以被分段(步驟402),并且IP包頭可以對(duì)于每個(gè)IP數(shù)據(jù)包被驗(yàn)證(步驟403)��。在步驟403期間���,與一個(gè)給定數(shù)據(jù)包相關(guān)的IP包頭可以被提取出來(lái)���,并檢查是否存在基本的缺陷。
如果所述數(shù)據(jù)包是一個(gè)TCP數(shù)據(jù)包(步驟404)����,TCP包頭可以被確認(rèn)有效(步驟405)�,并且TCP數(shù)據(jù)包可以被重組(步驟410)�。確認(rèn)有效的過(guò)程可包括提取TCP包頭數(shù)據(jù)���,并對(duì)包頭進(jìn)行分析以查找基本缺陷�����。在步驟410中形成的準(zhǔn)重組(quasi-reassembly)信息可以通過(guò)會(huì)話模塊122傳送到其他安全設(shè)備����,以便于由其他安全設(shè)備對(duì)數(shù)據(jù)包進(jìn)行處理����。下面的說(shuō)明以及美國(guó)專利申請(qǐng)?zhí)?0/072683中更詳細(xì)地描述了重組步驟。
在步驟415中�����,PE 202可以使用與給定的接收數(shù)據(jù)包相關(guān)聯(lián)的TCP/IP包頭來(lái)執(zhí)行會(huì)話分類(lèi)�。會(huì)話模塊122可以根據(jù)考慮與所述接收數(shù)據(jù)包相關(guān)聯(lián)的TCP/IP流得到的信息、以及從流表入口獲得的信息來(lái)判斷該數(shù)據(jù)包是否應(yīng)該被準(zhǔn)許(步驟420)另外���,會(huì)話模塊122可以利用從其他安全設(shè)備�����,例如防火墻(步驟425)���、IPS(步驟430)以及基于流的路由器(步驟435)中的一個(gè)安全設(shè)備所返回的信息�。此外�����,會(huì)話模塊122也可以通過(guò)將流信息傳送到用于處理給定的數(shù)據(jù)包的相應(yīng)設(shè)備�,從而便于安全設(shè)備的操作。最后�����,如果該數(shù)據(jù)包應(yīng)該被準(zhǔn)許的話����,則FPE 202可以將該數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)(步驟440)。否則���,對(duì)該數(shù)據(jù)包進(jìn)行其他的處理(步驟445)�。其他處理可包括記錄關(guān)于該數(shù)據(jù)包的特殊信息�����、保存該數(shù)據(jù)包、或者更改和/或丟棄該數(shù)據(jù)包���。
圖5是示出了可包括在會(huì)話分類(lèi)(圖4的步驟415)中的示例處理的流程圖��。這個(gè)會(huì)話分類(lèi)步驟可以接收一個(gè)數(shù)據(jù)包(步驟500),并提取可用于判斷該數(shù)據(jù)包是否應(yīng)該被準(zhǔn)許的信息�����。所提取的信息可包括源IP地址和目的IP地址�����,源端口號(hào)和目的端口號(hào)��,以及一個(gè)協(xié)議(步驟505)���。所提取的信息可用來(lái)搜索流表215(步驟510)��,以判斷該數(shù)據(jù)包是否和一個(gè)已知的會(huì)話流相關(guān)聯(lián)�����。對(duì)于一個(gè)已知的會(huì)話流�����,步驟510可在流表215中產(chǎn)生一個(gè)匹配的流記錄(步驟515)���。如果找到了一個(gè)匹配的流記錄����,F(xiàn)PE 202(圖2)可以從這個(gè)匹配的流記錄中提取出用于接收到的數(shù)據(jù)包的TCP/IP會(huì)話信息(步驟520)��。FPE 202利用步驟520期間所獲得的TCP/IP會(huì)話信息來(lái)判斷接收到的數(shù)據(jù)包是否應(yīng)該被準(zhǔn)許����。更具體地說(shuō),F(xiàn)PE 202可以從匹配的流記錄中提取信息��,并可將這個(gè)信息傳送給安全設(shè)備(例如傳送來(lái)自流記錄的會(huì)話ID和TCP/IP會(huì)話信息���,以及其他對(duì)于安全設(shè)備特定的信息)(步驟525)���。根據(jù)從安全設(shè)備所返回的結(jié)果,F(xiàn)PE 202能夠轉(zhuǎn)發(fā)�����、丟棄、記錄���、存儲(chǔ)�、更改或者處理給定的數(shù)據(jù)包(步驟530)��。
如果在步驟515期間在流表中沒(méi)有找到匹配的流記錄�����,則接收到的數(shù)據(jù)包可以和一個(gè)新的TCP/IP會(huì)話相關(guān)聯(lián)(步驟532)����。對(duì)于一個(gè)新的TCP/IP會(huì)話�,F(xiàn)PE 202可以為這個(gè)新的會(huì)話分配一個(gè)會(huì)話ID,并且FPE 202可以與其他安全設(shè)備(例如防火墻�����、IPS�、流路由器)進(jìn)行通信,從而為與新的會(huì)話相關(guān)聯(lián)的數(shù)據(jù)包確定安全策略����。例如��,F(xiàn)PE 202可以從一個(gè)防火墻獲取信息(步驟540)����,以判斷接收到的與新的會(huì)話相關(guān)聯(lián)的數(shù)據(jù)包是否應(yīng)該被準(zhǔn)許���。FPE 202可以與一個(gè)IPS進(jìn)行通信(步驟545)���,以判斷接收到的數(shù)據(jù)包是否應(yīng)該被阻止,因?yàn)樗c試圖發(fā)起網(wǎng)絡(luò)安全侵入的已知攻擊信號(hào)相匹配�。FPE 202可以從一個(gè)流路由器中獲取與新的會(huì)話相關(guān)聯(lián)的任何網(wǎng)絡(luò)策略(步驟550)。FPE 202可以作為不同安全設(shè)備之間的裁判者����,利用單獨(dú)地或結(jié)合地從安全設(shè)備中獲得的信息來(lái)判斷與新的TCP/IP會(huì)話相關(guān)聯(lián)的數(shù)據(jù)包是否應(yīng)該被準(zhǔn)許。FPE 202可以利用從安全設(shè)備獲得的信息來(lái)創(chuàng)建一個(gè)新的流記錄��,并可以將這個(gè)新的流記錄存儲(chǔ)到流表215中(步驟555)�����。這個(gè)新的流記錄可包括用于和接收到的數(shù)據(jù)包相關(guān)聯(lián)的新的會(huì)話的TCP/IP會(huì)話信息,以及其他特定安全設(shè)備信息����。在此之后,如上面接合圖4所描述的����,F(xiàn)PE 202可以便于對(duì)接收到的和給定的TCP/IP會(huì)話相關(guān)聯(lián)的數(shù)據(jù)包進(jìn)行處理,包括將會(huì)話ID���、TCP/IP會(huì)話信息和對(duì)于安全設(shè)備特定的信息從相應(yīng)的流記錄傳送到安全設(shè)備��。
除了利用各種安全設(shè)備來(lái)判斷一個(gè)接收到的數(shù)據(jù)包是否和一個(gè)試圖發(fā)起的網(wǎng)絡(luò)安全侵入相關(guān)聯(lián)之外��,如上面接合圖4所描述的那樣���,會(huì)話模塊122(圖2)還可以對(duì)接收到的TCP/IP包進(jìn)行準(zhǔn)重組(quasi-reassembly)��。圖6示出了可由會(huì)話模塊122所生成的示例性的準(zhǔn)重組信息�。準(zhǔn)重組信息可以包括一個(gè)指向存儲(chǔ)器中給定數(shù)據(jù)包600的位置的指針,以及一個(gè)指向包括該數(shù)據(jù)包在流605中的相對(duì)位置的信息的指針�����。在一種實(shí)施方式中,IPS可執(zhí)行被動(dòng)的TCP/IP重組�,并且指向數(shù)據(jù)包600的位置的指針可以用來(lái)將該數(shù)據(jù)包在IPS內(nèi)定位。在另一種實(shí)施方式中���,指向包含該數(shù)據(jù)包在流605內(nèi)的相對(duì)位置的信息的指針可以用來(lái)獲取包含在與該數(shù)據(jù)包相關(guān)的TCP/IP包頭內(nèi)的TCP/IP序列號(hào)�。準(zhǔn)重組信息可以被傳送給連接到會(huì)話模塊122的安全設(shè)備(圖2)�����。安全設(shè)備可以利用準(zhǔn)重組信息來(lái)處理接收到的數(shù)據(jù)包�。
如上所述,會(huì)話模塊122可以用在多個(gè)不同的網(wǎng)絡(luò)拓?fù)渲?�。圖7示出了一種將會(huì)話模塊122集成到防火墻705中的網(wǎng)絡(luò)拓?fù)?����。防火?05可包括一個(gè)與路由器720和IPS 715的接口���。防火墻705可以從一個(gè)外部網(wǎng)絡(luò)接口700接收數(shù)據(jù)包�����。防火墻705可以與IPS 715進(jìn)行通信����,以根據(jù)已知的攻擊信號(hào)來(lái)判斷所接收到的數(shù)據(jù)包是否應(yīng)該被阻止。如果防火墻705和IPS 715確定該數(shù)據(jù)包應(yīng)該被準(zhǔn)許通過(guò)����,則防火墻705可以將接收到的數(shù)據(jù)包發(fā)送到路由器720。路由器720可以根據(jù)存儲(chǔ)在路由器內(nèi)的網(wǎng)絡(luò)策略��,利用一個(gè)內(nèi)部網(wǎng)絡(luò)接口725��,將輸出的數(shù)據(jù)包轉(zhuǎn)發(fā)到其所目的地��。
圖8示出了一個(gè)利用會(huì)話模塊122來(lái)實(shí)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)安全的示例性替代實(shí)施例����。在這個(gè)實(shí)施例中,會(huì)話模塊820可以和防火墻805��、IPS 810和路由器815相結(jié)合來(lái)工作�����。通過(guò)外部網(wǎng)絡(luò)接口800接收到的數(shù)據(jù)包可以在傳送到路由器815之前由防火墻805來(lái)過(guò)濾��。防火墻805也可以將關(guān)于接收到的數(shù)據(jù)包的信息發(fā)送到IPS 810�����。IPS 810可以對(duì)接收到的數(shù)據(jù)包進(jìn)行檢驗(yàn)���,并可以根據(jù)已知的攻擊信號(hào)通知會(huì)話模塊820是否應(yīng)該阻止接收到的數(shù)據(jù)包����。路由器815可以將數(shù)據(jù)包發(fā)送到會(huì)話模塊820以進(jìn)一步處理�。如果會(huì)話模塊820確定接收到的數(shù)據(jù)包應(yīng)該被準(zhǔn)許,則它可以通過(guò)一個(gè)內(nèi)部網(wǎng)絡(luò)接口825將接收到的數(shù)據(jù)包轉(zhuǎn)發(fā)到其目的地���。
圖9示出了一個(gè)利用會(huì)話模塊122來(lái)實(shí)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)安全的示例性的具有高度可實(shí)現(xiàn)性的實(shí)施例�。在這個(gè)實(shí)施例中���,網(wǎng)絡(luò)拓?fù)淇梢园ㄒ粋€(gè)局域網(wǎng)(LAN)900�,包括外部網(wǎng)絡(luò)接口902a�、內(nèi)部網(wǎng)絡(luò)接口904a、和一個(gè)第一安全系統(tǒng)924a�。第一安全系統(tǒng)924a可包括會(huì)話模塊122a和一組其他安全設(shè)備。在所示的實(shí)施方式中��,第一安全系統(tǒng)924a包括兩個(gè)安全設(shè)備����、一個(gè)防火墻設(shè)備905a和一個(gè)IPS設(shè)備910a���。在另一種實(shí)施方式中,第一安全系統(tǒng)924a可包括更多的或更少的安全設(shè)備��,例如包括一個(gè)防火墻905a�,而沒(méi)有IPS。LAN 900可通過(guò)外部網(wǎng)絡(luò)接口902a����,經(jīng)由第一安全系統(tǒng)924a連接到一個(gè)外部網(wǎng)絡(luò),例如互聯(lián)網(wǎng)���。LAN 900也可通過(guò)外部網(wǎng)絡(luò)接口902b�,經(jīng)由一個(gè)第二安全系統(tǒng)924b連接到外部網(wǎng)絡(luò)�,例如互聯(lián)網(wǎng)。第二安全系統(tǒng)924b可包括會(huì)話模塊122b和一組安全設(shè)備�����。在所示的實(shí)施方式中���,第二安全系統(tǒng)924b可包括兩個(gè)安全設(shè)備���、一個(gè)防火墻設(shè)備905b和一個(gè)IPS設(shè)備910b,以及一個(gè)內(nèi)部網(wǎng)絡(luò)接口904b���。在另一種實(shí)施方式中�����,第二安全系統(tǒng)924b可包括更多的或更少的安全設(shè)備��,例如包括一個(gè)防火墻905b����,而沒(méi)有IPS���。第一和第二安全系統(tǒng)924a/b可以以相同方式配置���。第一和第二安全系統(tǒng)924a/b可以經(jīng)由一條鏈路929來(lái)連接。鏈路929可以是連接至LAN 900的內(nèi)部鏈路��,或者作為替代�����,也可以是作為外部網(wǎng)絡(luò)的一部分的鏈路。第二安全系統(tǒng)924b可以通過(guò)外部網(wǎng)絡(luò)接口902b直接耦合到一個(gè)外部網(wǎng)絡(luò)�,例如互聯(lián)網(wǎng)。作為替代���,第二安全系統(tǒng)924b也可以經(jīng)由第一安全系統(tǒng)924a耦合到外部網(wǎng)絡(luò)��。類(lèi)似地�,第一和第二安全系統(tǒng)924a/b可以共享一個(gè)內(nèi)部網(wǎng)絡(luò)接口�。LAN 900內(nèi)的計(jì)算機(jī)、服務(wù)器和其他設(shè)備可以通過(guò)多個(gè)數(shù)據(jù)傳輸介質(zhì)相互連接���,這些數(shù)據(jù)傳輸介質(zhì)包括����、但不限于線路��、光纖和無(wú)線電波�����。
用于具有高度可實(shí)現(xiàn)性的網(wǎng)絡(luò)拓?fù)涞钠渌渲靡彩强赡艿?��。在每種配置中���,第二安全系統(tǒng)924b可以在出現(xiàn)故障時(shí)用來(lái)支持由第一安全系統(tǒng)924a所處理的數(shù)據(jù)流��。在與本發(fā)明的原理相一致的一種實(shí)施方式中,第二安全系統(tǒng)924b可以由一個(gè)安全系統(tǒng)池來(lái)提供����。在這個(gè)系統(tǒng)池中,至少一個(gè)安全系統(tǒng)可以和基本故障系統(tǒng)相同�。在這個(gè)系統(tǒng)池中的一個(gè)或多個(gè)其它安全系統(tǒng)可以和次級(jí)故障系統(tǒng)相同。第二安全系統(tǒng)中的每一個(gè)可以被動(dòng)地(即直到故障事件出現(xiàn)之前處于閑置狀態(tài))也可以主動(dòng)地處理數(shù)據(jù)包�����,以支持其自身的網(wǎng)絡(luò)需求����。在與本發(fā)明的原理相一致的一種實(shí)施方式中,第一和第二安全系統(tǒng)可以分別為對(duì)方提供故障保護(hù)�。在這種實(shí)施方式中,可以在這兩個(gè)安全系統(tǒng)之間交換故障數(shù)據(jù)���。下面將更詳細(xì)地討論在出現(xiàn)故障之前以及在支持故障保護(hù)時(shí)安全系統(tǒng)的操作�����。
在圖9所示的具有高度可實(shí)現(xiàn)性的實(shí)施方式中�,第二安全系統(tǒng)924b可以被配置為在第一安全系統(tǒng)924a出現(xiàn)故障時(shí)進(jìn)行操作。故障可能在網(wǎng)絡(luò)拓?fù)渲械牡谝话踩到y(tǒng)924a或者連接至第一安全系統(tǒng)924a的鏈路出錯(cuò)時(shí)發(fā)生�����。故障可以由第二安全系統(tǒng)924b通過(guò)檢測(cè)接收“保持激活(keep-alive)信號(hào)”�����、數(shù)據(jù)或其他狀態(tài)信息時(shí)發(fā)生的錯(cuò)誤而檢測(cè)出來(lái)�。在與本發(fā)明的原理相一致的一種實(shí)施方式中,第一安全系統(tǒng)924a可包括一個(gè)故障引擎930���。故障引擎930可以操作用來(lái)將故障數(shù)據(jù)發(fā)送到另一個(gè)安全系統(tǒng)(例如第二安全系統(tǒng)924b)�����,從而使兩個(gè)安全系統(tǒng)同步����。在與本發(fā)明的原理相一致的一種實(shí)施方式中�,故障數(shù)據(jù)可包括來(lái)自與各個(gè)安全系統(tǒng)(例如第一安全系統(tǒng)924a)相關(guān)聯(lián)的流表215(作為會(huì)話模塊122的一部分)的數(shù)據(jù)。更具體地說(shuō),在發(fā)生故障之后�����,第二個(gè)安全系統(tǒng)(例如第二安全系統(tǒng)924b)可以接收最初預(yù)定由第一個(gè)安全系統(tǒng)(例如第一安全系統(tǒng)924a)處理的數(shù)據(jù)包��,以進(jìn)行路由和處理(即對(duì)于出現(xiàn)故障的情況)�。所接收的數(shù)據(jù)包中的一部分涉及先前已經(jīng)在第一安全系統(tǒng)中被處理和識(shí)別的會(huì)話。在發(fā)生故障之前共享流信息可以允許第二安全系統(tǒng)無(wú)縫地處理已接收的現(xiàn)有流的數(shù)據(jù)包���。常規(guī)的系統(tǒng)不能在發(fā)生故障之前共享流信息,因此必須丟棄涉及現(xiàn)有會(huì)話(即在發(fā)生故障時(shí)的當(dāng)前會(huì)話)的所有數(shù)據(jù)包��,或者作為替代���,重復(fù)處理步驟���。
如上所述,第一安全系統(tǒng)924a中的會(huì)話模塊122a可以監(jiān)控在網(wǎng)絡(luò)內(nèi)傳輸?shù)臄?shù)據(jù)包���。會(huì)話模塊122a可以與防火墻設(shè)備905a和IPS 910a協(xié)同工作�����,以便于阻止與試圖發(fā)起的網(wǎng)絡(luò)安全侵入相關(guān)的數(shù)據(jù)包�。
第二安全系統(tǒng)924b的故障引擎930(圖9)可以操作以檢測(cè)一個(gè)或多個(gè)初級(jí)安全系統(tǒng)(例如第一安全系統(tǒng))中的故障,為此一個(gè)給定的安全系統(tǒng)可以被指定作為故障設(shè)備���。故障引擎930可以操作以檢測(cè)給定的初級(jí)安全系統(tǒng)的鏈路或操作中的故障�����。在與本發(fā)明的原理相一致的一種實(shí)施方式中�,一個(gè)給定的安全系統(tǒng)可以作為一個(gè)或多個(gè)其它安全系統(tǒng)的故障系統(tǒng)�。故障引擎930可以控制相應(yīng)設(shè)備中流表215的信息的接收和更新。更具體地說(shuō)�,故障引擎930可以操作以從初級(jí)安全系統(tǒng)向次級(jí)安全系統(tǒng)提供同步信息,隨時(shí)間更新同步信息��,檢測(cè)初級(jí)安全系統(tǒng)的故障���,并且啟動(dòng)在次級(jí)安全系統(tǒng)中對(duì)數(shù)據(jù)包的處理�����,這些數(shù)據(jù)包原本應(yīng)由初級(jí)安全系統(tǒng)處理���,但由于檢測(cè)到發(fā)生故障而只能由次級(jí)安全系統(tǒng)處理�����。
現(xiàn)在參照?qǐng)D10�����,示出了會(huì)話模塊122的另一種實(shí)現(xiàn)方式����。會(huì)話模塊122的這種實(shí)現(xiàn)方式可包括用于接收數(shù)據(jù)包的到來(lái)數(shù)據(jù)包接口205���。接收到的數(shù)據(jù)包可以由流處理引擎(FPE)202進(jìn)行分析,以判斷是否正在試圖發(fā)起網(wǎng)絡(luò)安全侵入����。會(huì)話模塊122也可以包括流表215。流表215可以用來(lái)存儲(chǔ)關(guān)于與接收到的數(shù)據(jù)包相關(guān)的流的信息�。流表215可以包括一個(gè)初級(jí)部分或激活部分1002,以及一個(gè)次級(jí)部分1004���。初級(jí)部分1002可以是流表中專門(mén)用來(lái)存儲(chǔ)與作為初級(jí)安全系統(tǒng)的給定會(huì)話模塊的操作相關(guān)的信息的部分(例如存儲(chǔ)該會(huì)話模塊主動(dòng)參與數(shù)據(jù)包處理的流信息)����。次級(jí)部分1004可以是流表中專門(mén)用來(lái)存儲(chǔ)與作為次級(jí)安全系統(tǒng)的給定會(huì)話模塊的操作相關(guān)的信息的部分(例如該會(huì)話模塊在發(fā)生故障的情況下可能要處理的流的故障/同步信息)。在一種實(shí)施方式中���,初級(jí)和次級(jí)部分1002和1004可以集成到流表215中�����。在另一種實(shí)施方式中���,流表215可以存儲(chǔ)對(duì)應(yīng)于多個(gè)初級(jí)安全系統(tǒng)的多個(gè)次級(jí)部分,一個(gè)給定的會(huì)話模塊可以為這些初級(jí)安全系統(tǒng)提供故障支持�����。
會(huì)話模塊122也可以包括與網(wǎng)絡(luò)上的其他安全設(shè)備的接口���,以及一個(gè)或多個(gè)與其他安全系統(tǒng)的接口��。在與本發(fā)明的原理相一致的一種實(shí)施方式中�����,會(huì)話模塊122可以包括一個(gè)防火墻接口220�、一個(gè)IPS接口225�����、以及一個(gè)故障接口1000。這些安全設(shè)備接口由會(huì)話模塊122用來(lái)獲得關(guān)于接收到的數(shù)據(jù)包的信息�����,以及關(guān)于和該數(shù)據(jù)包相關(guān)的流的信息�����,從而判斷接收到的數(shù)據(jù)包是否應(yīng)該被準(zhǔn)許或修改�����。故障接口1000可以用來(lái)將同步信息發(fā)送到網(wǎng)絡(luò)中的其他安全系統(tǒng)�。
在與本發(fā)明的原理相一致的一種實(shí)施方式中,初級(jí)和次級(jí)安全系統(tǒng)中的每一個(gè)可以包括會(huì)話模塊122���,而會(huì)話模塊122可包括故障引擎930。在這樣的實(shí)施方式中��,第一安全系統(tǒng)924a和第二安全系統(tǒng)924b(圖9)除了會(huì)話模塊122之外并沒(méi)有單獨(dú)的故障引擎930�。
對(duì)于第一安全系統(tǒng)(即被操作用來(lái)以常規(guī)方式傳遞數(shù)據(jù)包的初級(jí)安全系統(tǒng))的處理步驟可以包括對(duì)會(huì)話模塊122中的流表215進(jìn)行初始化(步驟1102)。在初始化之后���,故障引擎930可以識(shí)別反映流表215的初始狀態(tài)/當(dāng)前狀態(tài)的信息(步驟1104)����,并可經(jīng)由故障接口1000將該信息傳送到第二安全系統(tǒng)(其中它例如存儲(chǔ)在次級(jí)部分1004中)。在初始化之后�,第一安全系統(tǒng)的會(huì)話模塊122可以對(duì)數(shù)據(jù)包進(jìn)行分析,并進(jìn)行其他的會(huì)話��,如上所述����,存儲(chǔ)在流表215中或從流表215中刪除的其他信息涉及圖3-5(步驟1108)。在預(yù)定的時(shí)刻�����,故障引擎930可以從流表215經(jīng)由故障接口1000向一個(gè)或多個(gè)次級(jí)安全系統(tǒng)提供信息(步驟1110)�。這一過(guò)程可以重復(fù)進(jìn)行,從而在第二安全系統(tǒng)(例如在流表215的相應(yīng)的次級(jí)部分中)中保持來(lái)自流表215的信息的當(dāng)前拷貝����。
在一種實(shí)施方式中,流表215可以在預(yù)定的時(shí)刻被復(fù)制���,并整個(gè)提供給第二安全系統(tǒng)����。在一種替代實(shí)施方式中,流表215僅有一部分被復(fù)制�����。在一種實(shí)施方式中�����,每次當(dāng)在第一安全系統(tǒng)中創(chuàng)建一個(gè)會(huì)話或斷開(kāi)(torn down)一個(gè)會(huì)話時(shí)發(fā)送一條消息��。在一種實(shí)施方式中�����,可以為每個(gè)新的會(huì)話提供超時(shí)信息��。在這種實(shí)施方式中���,只要當(dāng)?shù)谝话踩到y(tǒng)中的相關(guān)定時(shí)器被復(fù)位時(shí),可以向每個(gè)第二安全系統(tǒng)發(fā)送一條刷新消息(即在第二安全系統(tǒng)中刷新定時(shí)器)�。作為替代,未將超時(shí)信息與傳送給第二安全系統(tǒng)的會(huì)話信息一起發(fā)送�。在這種配置中���,第二安全系統(tǒng)可以在啟動(dòng)(set-up)時(shí)接收刷新消息,并中斷第一安全系統(tǒng)中的會(huì)話���。
在一種實(shí)施方式中�,可以為每個(gè)新創(chuàng)建的會(huì)話提供超時(shí)信息�����。在第二安全系統(tǒng)中��,超時(shí)功能可以被禁止(即第二安全系統(tǒng)沒(méi)有在超時(shí)期間屆滿后從流表中刪除會(huì)話)��。在一種實(shí)施方式中��,只有當(dāng)?shù)诙踩到y(tǒng)在發(fā)生故障后接管數(shù)據(jù)包處理時(shí)����,定時(shí)器才被啟動(dòng),以對(duì)與第一安全系統(tǒng)相關(guān)的數(shù)據(jù)流進(jìn)行定時(shí)����。
第二安全系統(tǒng)(例如操作用來(lái)在發(fā)生故障時(shí)處理來(lái)自第一安全系統(tǒng)的數(shù)據(jù)包的安全系統(tǒng))的處理步驟可包括對(duì)第二安全系統(tǒng)的會(huì)話模塊122中的流表215進(jìn)行初始化(步驟1122)。反映流表215的初始狀態(tài)的信息可以由第二安全系統(tǒng)通過(guò)故障接口1000來(lái)接收(步驟1124)���,并存儲(chǔ)在流表215的次級(jí)部分中(步驟1126)���。第二安全系統(tǒng)可以繼續(xù)以預(yù)定的時(shí)間間隔接收來(lái)自第一安全系統(tǒng)的更新(步驟1128)����,并且流表215可以被更新(步驟1126)�����。當(dāng)故障引擎930檢測(cè)到發(fā)生故障時(shí)(步驟1130)�����,第二安全系統(tǒng)的會(huì)話模塊122可以對(duì)流表215進(jìn)行初始化(步驟1132)����。故障可以由一個(gè)外部實(shí)體或者由第二安全系統(tǒng)檢測(cè)出來(lái)。數(shù)據(jù)包可以提供給第一和第二安全系統(tǒng)以進(jìn)行處理���。然而�,第二安全系統(tǒng)可以被配置為不處理數(shù)據(jù)包���,除非已經(jīng)檢測(cè)到故障發(fā)生�����。故障檢測(cè)可以通過(guò)查詢(ping)或保持激活(keep-alive)信號(hào)被檢測(cè)出來(lái)���。在一種實(shí)施方式中,第一安全系統(tǒng)可以向第二安全系統(tǒng)提供一個(gè)保持激活信號(hào)���。作為替代�����,第二安全系統(tǒng)可以以間歇方式對(duì)第一安全系統(tǒng)進(jìn)行查詢(ping)�,以判斷第一安全系統(tǒng)是否正常工作���。在另一種實(shí)施方式中�����,外部實(shí)體可以監(jiān)控第一安全系統(tǒng)的操作����。當(dāng)檢測(cè)到第一安全系統(tǒng)或與之相關(guān)的連接路徑中存在故障時(shí),可以生成一個(gè)接管(take-over)信號(hào)��,并將其傳送給適當(dāng)?shù)牡诙踩到y(tǒng)�����。
對(duì)第二安全系統(tǒng)中的流表215進(jìn)行初始化可包括激活流表215的適當(dāng)?shù)拇渭?jí)部分1004�����。初始化過(guò)程可包括對(duì)流表215進(jìn)行重新排序��,從而將初級(jí)部分1002和次級(jí)部分1004的記錄分別結(jié)合起來(lái)(例如如果第二安全系統(tǒng)主動(dòng)支持發(fā)生故障之前的其他數(shù)據(jù)包處理)�����。在一種實(shí)施方式中���,每條記錄可包括指明該記錄屬于哪個(gè)安全系統(tǒng)的標(biāo)簽�。在初級(jí)安全系統(tǒng)恢復(fù)正常工作的情況下��,所述標(biāo)簽可用來(lái)很容易地清除來(lái)自第二安全系統(tǒng)的流表的初級(jí)部分的記錄���。在此之后��,如上面參照?qǐng)D3-5所述��,第二系統(tǒng)中的會(huì)話模塊122可以開(kāi)始接收并分析數(shù)據(jù)包(進(jìn)行其他的會(huì)話�,并處理存儲(chǔ)在流表215中/從流表215中刪除的其他信息)(步驟1124)。在預(yù)定的時(shí)刻�����,會(huì)話模塊122的故障引擎930可以經(jīng)由其故障接口1000向一個(gè)或多個(gè)第三安全系統(tǒng)提供來(lái)自流表215的信息(步驟1136)���。更新信息可以以預(yù)定的時(shí)間間隔提供給第三安全系統(tǒng),從而在一個(gè)或多個(gè)第三安全系統(tǒng)中保持來(lái)自流表215的信息的當(dāng)前拷貝���。在一種實(shí)施方式中���,流表215可以在預(yù)定的時(shí)刻被復(fù)制,并正給提供給一個(gè)或多個(gè)第三安全系統(tǒng)�����。在一種替代實(shí)施方式中���,可以只復(fù)制流表215的一部分���。在一種實(shí)施方式中����,可以繼續(xù)對(duì)數(shù)據(jù)包執(zhí)行上述操作����,直到發(fā)生預(yù)定的事件。所述預(yù)定的事件可以是第一安全系統(tǒng)從故障狀態(tài)恢復(fù)到正常工作��。
現(xiàn)在參照?qǐng)D11c����,示出了在一個(gè)安全網(wǎng)絡(luò)中提供高度可實(shí)現(xiàn)性的處理過(guò)程。一個(gè)初級(jí)安全系統(tǒng)可以被識(shí)別(步驟1152)����,并且一個(gè)或多個(gè)次級(jí)安全系統(tǒng)可以被識(shí)別(步驟1154)。初級(jí)安全系統(tǒng)可以是操作用來(lái)處理直到故障事件發(fā)生時(shí)該初級(jí)安全系統(tǒng)所接收的數(shù)據(jù)包的安全系統(tǒng)��。所述故障可包括初級(jí)安全系統(tǒng)的故障�����,以及從初級(jí)安全系統(tǒng)到網(wǎng)絡(luò)的鏈接的故障�����。次級(jí)安全系統(tǒng)可以被指定為在故障事件發(fā)生后用來(lái)處理與初級(jí)安全系統(tǒng)相關(guān)的數(shù)據(jù)包的荷載。在一種實(shí)施方式中�,可以識(shí)別一個(gè)次級(jí)安全系統(tǒng)。在一種替代實(shí)施方式中�,可以識(shí)別一個(gè)次級(jí)安全系統(tǒng)池。在系統(tǒng)池的一種實(shí)現(xiàn)方式中�����,一個(gè)次級(jí)安全系統(tǒng)可以被指定為主機(jī)��,而一個(gè)或多個(gè)其它的次級(jí)安全系統(tǒng)可以被指定為從機(jī)���。當(dāng)發(fā)生故障時(shí),作為主機(jī)的次級(jí)系統(tǒng)可用來(lái)處理發(fā)生故障的初級(jí)安全系統(tǒng)的數(shù)據(jù)包����。當(dāng)作為主機(jī)的設(shè)備發(fā)生故障時(shí),從機(jī)可進(jìn)行操作以取代主機(jī)的作用��。
回到高度可實(shí)現(xiàn)性的處理過(guò)程����,初級(jí)安全系統(tǒng)可以對(duì)流表215進(jìn)行初始化(步驟1156)��,并且流表的初始配置可以被傳送給次級(jí)安全系統(tǒng)(步驟1158)�。數(shù)據(jù)包可以按照常規(guī)方式由初級(jí)安全系統(tǒng)進(jìn)行處理���,并且流表215可以被相應(yīng)地更新(步驟1160)���。在預(yù)定的時(shí)刻,來(lái)自次級(jí)系統(tǒng)的流表215可以用來(lái)自初級(jí)安全系統(tǒng)的信息來(lái)更新(步驟1162)���。當(dāng)檢測(cè)到發(fā)生故障事件時(shí)(步驟1164)�����,次級(jí)安全系統(tǒng)可以對(duì)次級(jí)系統(tǒng)中的流表215進(jìn)行初始化�����,并且可以開(kāi)始處理路由至初級(jí)安全系統(tǒng)的數(shù)據(jù)包(步驟1166)��。在一種實(shí)施方式中����,當(dāng)故障事件被糾正后�����,初級(jí)安全系統(tǒng)可以被重新初始化,包括更新流表215�,并且初級(jí)安全系統(tǒng)可以恢復(fù)執(zhí)行數(shù)據(jù)包處理。
如上面參照?qǐng)D9所描述的�����,當(dāng)初級(jí)和次級(jí)安全系統(tǒng)包括多個(gè)安全設(shè)備時(shí)(例如防火墻和IPS)��,不需要對(duì)各個(gè)設(shè)備進(jìn)行單獨(dú)的同步����。因此�,減少了要在各個(gè)設(shè)備之間傳遞的數(shù)據(jù)量。另外���,隨著要傳遞的信息量的減少�,可以提高可靠性�����。在圖9所示的配置中�,每個(gè)安全設(shè)備可以共享統(tǒng)一的流表215中的信息�。其他處理功能可以在次級(jí)安全系統(tǒng)中實(shí)現(xiàn)��。例如��,當(dāng)發(fā)生故障時(shí)�,先前確定為已識(shí)別的流表的一部分的數(shù)據(jù)包可以由IPS進(jìn)行旁路處理。在一種實(shí)施方式中��,兩個(gè)安全系統(tǒng)可以彼此作為故障設(shè)備(例如第一系統(tǒng)作為第二系統(tǒng)的故障設(shè)備��,反之亦然)���。在另外的實(shí)施方式中��,故障安全設(shè)備可以是常規(guī)的系統(tǒng)(即在設(shè)備之間沒(méi)有共享的流信息)����,并且由故障安全系統(tǒng)所接收的流信息可以由多個(gè)設(shè)備共享�����。
與本發(fā)明的原理相一致的實(shí)施例可以通過(guò)數(shù)字電子電路來(lái)實(shí)現(xiàn)��,或者通過(guò)計(jì)算機(jī)硬件、固件�、軟件來(lái)實(shí)現(xiàn),或者通過(guò)它們的結(jié)合來(lái)實(shí)現(xiàn)����。本發(fā)明的實(shí)施例可以實(shí)現(xiàn)為計(jì)算機(jī)程序產(chǎn)品,即實(shí)際嵌入到信息載體����、例如機(jī)器可讀的存儲(chǔ)設(shè)備或者所傳播的信號(hào)中的計(jì)算機(jī)程序,用于由數(shù)據(jù)處理設(shè)備����,例如可編程處理器、計(jì)算機(jī)或多個(gè)計(jì)算機(jī)來(lái)執(zhí)行�,或者對(duì)其操作進(jìn)行控制。計(jì)算機(jī)程序可以用任何形式的編程語(yǔ)言來(lái)寫(xiě)成����,包括匯編語(yǔ)言或解釋語(yǔ)言�,并且它可以以任何形式來(lái)調(diào)用,包括作為獨(dú)立的程序或者作為模塊��、組件���、子程序或其他適用在運(yùn)算環(huán)境下的單元��。計(jì)算機(jī)程序可以被調(diào)用��,以在一臺(tái)計(jì)算機(jī)上或者在位于一個(gè)站點(diǎn)處或分布在多個(gè)站點(diǎn)上��、由通信網(wǎng)絡(luò)互聯(lián)的多臺(tái)計(jì)算機(jī)上執(zhí)行��。
本發(fā)明的方法步驟可以由一個(gè)或多個(gè)執(zhí)行計(jì)算機(jī)程序的可編程處理器來(lái)實(shí)現(xiàn)����,通過(guò)對(duì)輸入數(shù)據(jù)進(jìn)行操作并生成輸出數(shù)據(jù)來(lái)實(shí)現(xiàn)本發(fā)明的功能。本發(fā)明的方法步驟以及設(shè)備也可以由專用邏輯電路����,例如FPGA(現(xiàn)場(chǎng)可編程門(mén)陣列)或ASIC(專用集成電路)來(lái)實(shí)現(xiàn)。
作為示例��,適用于執(zhí)行計(jì)算機(jī)程序的處理器既包括通用微處理器也包括專用微處理器���,以及任意的一個(gè)或多個(gè)用于任何類(lèi)型的數(shù)字計(jì)算機(jī)的處理器��?����?偟膩?lái)說(shuō)�����,處理器能夠從只讀存儲(chǔ)器或隨機(jī)訪問(wèn)存儲(chǔ)器或者同時(shí)從這兩者接受指令和數(shù)據(jù)���。計(jì)算機(jī)的基本元件是用于執(zhí)行指令的處理器��,以及一個(gè)或多個(gè)用于存儲(chǔ)指令和數(shù)據(jù)的存儲(chǔ)設(shè)備��??偟膩?lái)說(shuō)����,計(jì)算機(jī)也可包括或可操作地連接到一個(gè)或多個(gè)用于存儲(chǔ)數(shù)據(jù)的海量存儲(chǔ)設(shè)備,例如磁盤(pán)����、磁-光盤(pán)、或者光盤(pán)���,用于從這些存儲(chǔ)設(shè)備接收數(shù)據(jù)或者將數(shù)據(jù)發(fā)送到這些存儲(chǔ)設(shè)備�����。適用于承載計(jì)算機(jī)程序指令和數(shù)據(jù)的信息載體可包括所有形式的非易失性存儲(chǔ)器�,例如包括半導(dǎo)體存儲(chǔ)設(shè)備�����,如EPROM��、EEPROM及閃存設(shè)備��;磁盤(pán),如內(nèi)部的硬盤(pán)或可移動(dòng)磁盤(pán)���;磁-光盤(pán)����;以及CD-ROM和DVD-ROM光盤(pán)�。處理器和存儲(chǔ)器可以通過(guò)專用邏輯電路來(lái)補(bǔ)充����,或者結(jié)合到專用邏輯電路中�。
與本發(fā)明的原理相一致的實(shí)施例可以通過(guò)運(yùn)算系統(tǒng)來(lái)實(shí)現(xiàn)���,這種運(yùn)算系統(tǒng)包括后端組件�����、例如數(shù)據(jù)服務(wù)器�,或者包括中間設(shè)備組件����、例如應(yīng)用服務(wù)器��,或者包括前端組件、例如具有圖形用戶界面或Web瀏覽器的客戶端計(jì)算機(jī)�,用戶可以通過(guò)它與本發(fā)明的應(yīng)用進(jìn)行互動(dòng)���,或者包括上述的后端����、中間設(shè)備�、前端組件的結(jié)合。這種系統(tǒng)的組件可以通過(guò)任何形式或介質(zhì)的數(shù)字?jǐn)?shù)據(jù)通信�����、例如通信網(wǎng)絡(luò)來(lái)互聯(lián)。通信網(wǎng)絡(luò)的例子例如包括局域網(wǎng)(“LAN”)和廣域網(wǎng)(“WAN”)�����,如互聯(lián)網(wǎng)�����。
運(yùn)算系統(tǒng)可包括客戶端和服務(wù)器���??蛻舳撕头?wù)器可以彼此遠(yuǎn)距離放置��,并可通過(guò)通信網(wǎng)絡(luò)來(lái)互動(dòng)?��?蛻舳撕头?wù)器之間的關(guān)系借助于在各個(gè)計(jì)算機(jī)上運(yùn)行��、彼此具有客戶端-服務(wù)器關(guān)系的計(jì)算機(jī)程序來(lái)實(shí)現(xiàn)。
本發(fā)明已經(jīng)在特定實(shí)施例中進(jìn)行了描述��。然而應(yīng)該理解�,在不背離本發(fā)明的構(gòu)思和保護(hù)范圍的情況下可以做出各種改動(dòng)。例如�����,本發(fā)明的步驟可以按照不同的順序來(lái)執(zhí)行,仍可以達(dá)到所希望的效果����。此外,會(huì)話模塊����、IPS���、防火墻和路由器都可以組合為一個(gè)單個(gè)的設(shè)備�,如圖9所示的配置���。將會(huì)話模塊與一個(gè)或多個(gè)安全設(shè)備封裝在一起的其他配置也是可能的���。因此,其他實(shí)施方式也都在后面的權(quán)利要求所要保護(hù)的范圍之內(nèi)���。
權(quán)利要求
1.用在計(jì)算機(jī)網(wǎng)絡(luò)中的方法���,包括配置一個(gè)初級(jí)安全系統(tǒng)以處理數(shù)據(jù)包,所述初級(jí)安全系統(tǒng)可操作以保持多個(gè)設(shè)備的流信息�����,以便于對(duì)數(shù)據(jù)包進(jìn)行處理;指定一個(gè)用于當(dāng)發(fā)生故障事件時(shí)處理數(shù)據(jù)包的次級(jí)安全系統(tǒng)���;并且將來(lái)自初級(jí)安全系統(tǒng)的流記錄與次級(jí)安全系統(tǒng)共享���。
2.如權(quán)利要求1的方法,還包括判斷是否發(fā)生了故障事件����;并且當(dāng)發(fā)生故障事件時(shí),由次級(jí)安全系統(tǒng)為初級(jí)安全系統(tǒng)處理數(shù)據(jù)包���。
3.如權(quán)利要求2的方法��,其中所述故障事件包括初級(jí)系統(tǒng)的故障�。
4.如權(quán)利要求2的方法��,其中所述故障事件包括從初級(jí)系統(tǒng)至計(jì)算機(jī)網(wǎng)絡(luò)的鏈路的故障�����。
5.如權(quán)利要求2的方法,其中所述判斷在次級(jí)安全系統(tǒng)處進(jìn)行����。
6.如權(quán)利要求2的方法,其中所述判斷還包括檢測(cè)是否缺少保持激活信號(hào)���。
7.如權(quán)利要求2的方法��,其中所述判斷還包括監(jiān)控初級(jí)安全系統(tǒng)的操作���,并且當(dāng)上述監(jiān)控操作中檢測(cè)到故障時(shí)��,向次級(jí)安全系統(tǒng)發(fā)送一個(gè)接管信號(hào)���。
8.如權(quán)利要求1的方法����,其中所述次級(jí)安全系統(tǒng)被配置為基本上與初級(jí)安全系統(tǒng)相同�����。
9.如權(quán)利要求1的方法�����,其中共享流記錄還包括以預(yù)定的時(shí)間間隔在初級(jí)安全系統(tǒng)和次級(jí)安全系統(tǒng)之間共享流記錄。
10.如權(quán)利要求1的方法�����,其中共享流記錄還包括當(dāng)次級(jí)安全系統(tǒng)接收到一個(gè)刷新消息時(shí)��,在初級(jí)安全系統(tǒng)和次級(jí)安全系統(tǒng)之間共享流記錄����。
11.如權(quán)利要求10的方法,其中當(dāng)建立或斷開(kāi)一個(gè)會(huì)話時(shí)��,初級(jí)安全系統(tǒng)發(fā)送所述刷新消息����。
12.如權(quán)利要求2的方法,還包括當(dāng)引起故障事件的狀況被消除時(shí)�,在初級(jí)安全系統(tǒng)處恢復(fù)對(duì)數(shù)據(jù)包的接收和處理。
13.如權(quán)利要求2的方法���,其中初級(jí)安全系統(tǒng)為次級(jí)安全系統(tǒng)提供故障支持����,次級(jí)安全系統(tǒng)為初級(jí)安全系統(tǒng)提供故障支持。
14.一種系統(tǒng)�,包括一個(gè)第一設(shè)備,包括一個(gè)第一安全設(shè)備��;一個(gè)第一模塊���,可操作以保持與從計(jì)算機(jī)網(wǎng)絡(luò)接收的數(shù)據(jù)包相關(guān)聯(lián)的流信息��,并與所述第一安全設(shè)備共享對(duì)于設(shè)備特定的流信息��;以及一個(gè)通信接口���,可操作以允許與一個(gè)第二設(shè)備交換流記錄。
15.如權(quán)利要求14的系統(tǒng)�,還包括所述的第二設(shè)備,包括一個(gè)第二安全設(shè)備���;以及一個(gè)第二模塊,可操作以保持與從計(jì)算機(jī)網(wǎng)絡(luò)接收的數(shù)據(jù)包相關(guān)聯(lián)的流信息����,并與所述第二安全設(shè)備共享對(duì)于設(shè)備特定的流信息。
16.如權(quán)利要求14的系統(tǒng)��,其中第一設(shè)備和第二設(shè)備中的一個(gè)被配置以判斷是否發(fā)生了與第一設(shè)備或第二設(shè)備中的另一個(gè)相關(guān)聯(lián)的故障事件,并且當(dāng)確定故障事件已經(jīng)發(fā)生時(shí)��,第一設(shè)備或第二設(shè)備中的一個(gè)可操作從而為第一設(shè)備或第二設(shè)備中的另一個(gè)處理數(shù)據(jù)包����。
17.如權(quán)利要求16的系統(tǒng),其中在發(fā)生故障事件之后����,當(dāng)引起故障事件的狀況被消除時(shí),第一設(shè)備或第二設(shè)備中的另一個(gè)恢復(fù)對(duì)數(shù)據(jù)包的處理�����。
18.如權(quán)利要求16的系統(tǒng)��,其中所述故障事件包括第一設(shè)備或第二設(shè)備中的一個(gè)的故障�。
19.如權(quán)利要求16的系統(tǒng),其中所述故障事件包括來(lái)自第一設(shè)備或第二設(shè)備中的一個(gè)的鏈路的故障�。
20.如權(quán)利要求16的系統(tǒng),其中第一設(shè)備可操作以與第二設(shè)備共享流記錄���。
21.如權(quán)利要求16的系統(tǒng)���,其中第一設(shè)備可操作以當(dāng)?shù)诙O(shè)備接收了一個(gè)刷新消息時(shí)與第二設(shè)備共享流記錄��。
22.如權(quán)利要求16的系統(tǒng)�,其中第二設(shè)備可操作以通過(guò)檢測(cè)是否缺少保持激活信號(hào)來(lái)判斷故障事件是否發(fā)生�����,并為第一設(shè)備提供故障支持��。
23.如權(quán)利要求16的系統(tǒng)�,其中第二設(shè)備可操作以通過(guò)接收一個(gè)接管信號(hào)來(lái)判斷故障事件是否發(fā)生。
24.如權(quán)利要求16的系統(tǒng)���,其中第二設(shè)備可操作從而以預(yù)定的時(shí)間間隔來(lái)判斷故障事件是否發(fā)生���。
25.如權(quán)利要求23的系統(tǒng),還包括一個(gè)第三設(shè)備�,可操作以監(jiān)控第一設(shè)備的操作,并當(dāng)?shù)谌O(shè)備檢測(cè)到與第一設(shè)備相關(guān)的故障時(shí)向第二設(shè)備發(fā)送接管信號(hào)����。
26.如權(quán)利要求15的系統(tǒng)����,其中第一設(shè)備和第二設(shè)備以基本上相同的方式配置���。
27.如權(quán)利要求21的系統(tǒng),其中第一設(shè)備可操作以當(dāng)建立或斷開(kāi)一個(gè)會(huì)話時(shí)發(fā)送刷新消息���。
28.如權(quán)利要求14的系統(tǒng)�����,其中所述第一安全設(shè)備包括防火墻�����、侵入檢測(cè)系統(tǒng)�����、或防止侵入系統(tǒng)�。
29.一種系統(tǒng)����,包括一個(gè)初級(jí)安全設(shè)備,可操作以接收和處理數(shù)據(jù)包�,該初級(jí)安全系統(tǒng)包括用于保持包含在所述初級(jí)安全系統(tǒng)中的多個(gè)設(shè)備的流信息的裝置;一個(gè)次級(jí)安全設(shè)備�����,可操作以當(dāng)發(fā)生故障事件時(shí)為初級(jí)安全設(shè)備處理數(shù)據(jù)包,該次級(jí)安全設(shè)備包括用于在多個(gè)設(shè)備之間共享流信息的裝置����;以及用于將來(lái)自初級(jí)安全設(shè)備的流記錄與次級(jí)安全設(shè)備共享的裝置。
30.如權(quán)利要求29的系統(tǒng)���,還包括用于判斷是否發(fā)生了與初級(jí)安全設(shè)備相關(guān)的故障事件的裝置�����;以及當(dāng)上述用于判斷的裝置確定發(fā)生了故障事件時(shí)��,用于使次級(jí)安全設(shè)備為初級(jí)安全設(shè)備處理數(shù)據(jù)包的裝置��。
31.如權(quán)利要求29的系統(tǒng)�,其中所述故障事件包括初級(jí)安全設(shè)備的故障或者來(lái)自初級(jí)安全設(shè)備的鏈路的故障�����。
32.如權(quán)利要求30的系統(tǒng)���,其中次級(jí)安全設(shè)備包括用于判斷是否發(fā)生了與初級(jí)安全設(shè)備相關(guān)的故障事件的裝置�。
33.如權(quán)利要求30的系統(tǒng)����,其中用于判斷是否發(fā)生了與初級(jí)安全設(shè)備相關(guān)的故障事件的裝置還包括用于檢測(cè)是否缺少保持激活信號(hào)的裝置。
34.如權(quán)利要求30的系統(tǒng)��,其中用于判斷是否發(fā)生了與初級(jí)安全設(shè)備相關(guān)的故障事件的裝置還包括用于監(jiān)控初級(jí)安全設(shè)備的操作的裝置��,以及當(dāng)上述用于監(jiān)控的裝置檢測(cè)到故障時(shí)��,用于向次級(jí)安全設(shè)備發(fā)送一個(gè)接管信號(hào)的裝置���。
35.如權(quán)利要求29的系統(tǒng)�,其中用于將來(lái)自初級(jí)安全設(shè)備的流記錄與次級(jí)安全設(shè)備共享的裝置還包括用于以預(yù)定的時(shí)間間隔共享流記錄的裝置�����。
36.如權(quán)利要求29的系統(tǒng)�,其中用于將來(lái)自初級(jí)安全設(shè)備的流記錄與次級(jí)安全設(shè)備共享的裝置還包括用于當(dāng)接收到一個(gè)刷新消息時(shí)共享流記錄的裝置。
37.如權(quán)利要求36的系統(tǒng)�,其中所述初級(jí)安全設(shè)備還包括用于當(dāng)建立或斷開(kāi)一個(gè)會(huì)話時(shí)發(fā)送刷新消息的裝置。
38.如權(quán)利要求30的系統(tǒng)����,還包括當(dāng)引起故障事件的狀況被消除時(shí)�,用于使初級(jí)安全設(shè)備恢復(fù)對(duì)數(shù)據(jù)包的處理的裝置�。
39.如權(quán)利要求29的系統(tǒng),其中所述初級(jí)安全設(shè)備還包括用于為次級(jí)安全設(shè)備提供故障支持的裝置�。
全文摘要
提供了用于檢查數(shù)據(jù)包的方法和設(shè)備。一個(gè)初級(jí)安全系統(tǒng)可以被配置以處理數(shù)據(jù)包�����。該初級(jí)安全系統(tǒng)可操作以保持一組設(shè)備的流信息��,以便于對(duì)數(shù)據(jù)包進(jìn)行處理�����?��?芍付ㄒ粋€(gè)當(dāng)發(fā)生故障事件時(shí)處理數(shù)據(jù)包的次級(jí)安全系統(tǒng)�����??梢詫?lái)自初級(jí)安全系統(tǒng)的流記錄與次級(jí)安全系統(tǒng)共享����。
文檔編號(hào)H04L29/06GK1761240SQ200510106769
公開(kāi)日2006年4月19日 申請(qǐng)日期2005年10月12日 優(yōu)先權(quán)日2004年10月12日
發(fā)明者尼爾·朱克, 毛宇明, 科沃斯科·古魯斯瓦米 申請(qǐng)人:叢林網(wǎng)絡(luò)公司