專利名稱:安全控制方法與交換機(jī)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)���,尤其是一種安全控制方法與交換機(jī)�。
背景技術(shù):
現(xiàn)有的機(jī)箱式集中轉(zhuǎn)發(fā)交換機(jī),也稱為集中式轉(zhuǎn)發(fā)交換機(jī)或交換機(jī)�, 通常包括管理板與一個(gè)或多個(gè)線卡,另外還包括風(fēng)扇�����、電源等關(guān)鍵組件���。其 中�,管理板也稱為管理引擎或主控板���,是整個(gè)交換機(jī)管理與控制的匯聚點(diǎn)�����, 主要用于對(duì)線卡進(jìn)行各種操作�,以及運(yùn)行各種協(xié)議���,它一旦失效�,整個(gè)交換 機(jī)將不可用��。每個(gè)線卡上設(shè)置有一個(gè)或多個(gè)網(wǎng)絡(luò)接口,主要用于通過(guò)網(wǎng)絡(luò)接 口與其它通信裝置進(jìn)行數(shù)據(jù)報(bào)文的轉(zhuǎn)發(fā)���。如圖1所示��,為機(jī)箱式集中轉(zhuǎn)發(fā)交 換機(jī)的一個(gè)結(jié)構(gòu)示意圖�。
為了避免非法報(bào)文在網(wǎng)絡(luò)中的傳輸���,保證網(wǎng)絡(luò)的安全�����,通常情況下,在 交換機(jī)中部署安全處理引擎��,并根據(jù)安全處理策略�����,分析需要交換機(jī)轉(zhuǎn)發(fā)的 報(bào)文特征��,對(duì)需要交換機(jī)轉(zhuǎn)發(fā)的報(bào)文進(jìn)行過(guò)濾處理���,轉(zhuǎn)發(fā)合法報(bào)文����。目前, 以太網(wǎng)交換機(jī)已經(jīng)使用安全處理引擎����,在如下應(yīng)用中實(shí)現(xiàn)了安全控制安全 全局地址綁定、訪問(wèn)控制列表(Access Control List���,以下簡(jiǎn)稱ACL)��、服 務(wù)質(zhì)量(Quality of Server,以下簡(jiǎn)稱QoS )�����、全局安全網(wǎng)絡(luò)(Global Security Network,以下簡(jiǎn)稱GSN )�、動(dòng)態(tài)主才幾配置十辦i義(Dynamic Host Configure Protocol,以下簡(jiǎn)稱DHCP)地址綁定�、基于802.1x協(xié)議的用戶授權(quán)等。由 于安全處理策略的存儲(chǔ)容量的硬件設(shè)備比較昂貴�,每個(gè)安全處理策略的存儲(chǔ) 容量都是有限的,通常只有幾千條��。
現(xiàn)有技術(shù)中�,可以將安全處理引擎部署在管理板上或者各線卡上。其中��, 將安全處理引擎部署在管理板上實(shí)現(xiàn)安全控制的方法也稱為集中式安全控制方法,將安全處理引擎部署在各線卡上實(shí)現(xiàn)安全控制的方法也稱為分散式式
安全控制方法�。如圖2所示,為應(yīng)用分散式安全控制方法的交換機(jī)結(jié)構(gòu)示意
圖����。在^t式安全控制方法中,各線卡分別對(duì)其網(wǎng)絡(luò)接口發(fā)送的報(bào)文進(jìn)行過(guò) 濾處理���,將合法報(bào)文發(fā)送到管理板進(jìn)行轉(zhuǎn)發(fā)處理�����。由于需要分別在不同線卡 上分別配置安全處理策略���,交換機(jī)所能支持的總安全處理策略數(shù)據(jù),等于交 換機(jī)中所有線卡上安全處理策略數(shù)據(jù)的總和�����。在交換機(jī)不同線卡上網(wǎng)絡(luò)接口 配置的安全處理策略相同時(shí)����,該安全處理策略也稱為全局安全處理策略���。應(yīng)
用分散式安全控制方法實(shí)現(xiàn)安全控制時(shí)��,至少存在以下問(wèn)題由于需要將這 些相同的安全處理策略分別配置到交換機(jī)所有線卡的安全處理引擎上�����,在全 局安全處理策略比較多的情況下��,這些安全處理策略在所有線卡上都需要占 用相同多的容量�����,因此����,每個(gè)線卡上所剩余的、能夠給該線卡上網(wǎng)絡(luò)接口的 使用策略容量就變得極為有限�;另外,在全局安全處理策略發(fā)生變化時(shí)��,需 要更新交換機(jī)中所有線卡上的安全處理策略���,工作量較大�����,安全處理策略的 可管理性較差���,降^^了安全控制效果���。
如圖3所示,為應(yīng)用集中式安全控制方法的交換機(jī)結(jié)構(gòu)示意圖�。在集中 式安全控制方法中,管理板對(duì)發(fā)送的報(bào)文進(jìn)行過(guò)濾處理�����,丟棄非法報(bào)文���,并 對(duì)合法報(bào)文進(jìn)行轉(zhuǎn)發(fā)處理�����。在交換機(jī)需要對(duì)不同線卡上網(wǎng)絡(luò)接口配置特定的 安全處理策略時(shí)����,該安全處理策略與網(wǎng)絡(luò)接口相關(guān)����,因此也稱為接口安全處 理策略。應(yīng)用集中式安全控制方法實(shí)現(xiàn)安全控制時(shí)���,至少存在以下問(wèn)題可 能需要采用特定的安全處理策略對(duì)特定線卡上網(wǎng)絡(luò)接口上接收的數(shù)據(jù)報(bào)文進(jìn) 行安全處理���,因此,就需要為特定線卡上網(wǎng)絡(luò)接口配置特定的安全處理策略�, 由于交換機(jī)中所有線卡上網(wǎng)絡(luò)接口共用管理板上安全處理策略的存儲(chǔ)容量, 都需要占用全局資源���,因此�����,能夠分配給每個(gè)線卡上網(wǎng)絡(luò)接口的安全處理策 略的存儲(chǔ)容量極為有限��。尤其是在不同線卡上網(wǎng)絡(luò)接口的安全處理策略相差 較大時(shí)�����,能夠分配給每個(gè)線卡上網(wǎng)絡(luò)接口的安全處理策略的存儲(chǔ)容量就更少, 無(wú)法根據(jù)管理板上的安全處理策略�����,對(duì)數(shù)據(jù)報(bào)文進(jìn)行有效過(guò)濾��,降低了安全控制效果。
發(fā)明內(nèi)容
本發(fā)明實(shí)施例的目的是提供一種安全控制方法與交換機(jī),在線卡上 利用接口安全處理策略對(duì)數(shù)據(jù)報(bào)文進(jìn)行第 一次過(guò)濾,在管理板上利用全局 安全處理策略對(duì)數(shù)據(jù)報(bào)文進(jìn)行二次過(guò)濾,合理利用線卡與管理板上的安全 處理策略的存儲(chǔ)容量,并有效實(shí)現(xiàn)對(duì)數(shù)據(jù)報(bào)文的安全控制。
本發(fā)明實(shí)施例提供的一種安全控制方法�,包括
線卡上的網(wǎng)絡(luò)接口接收數(shù)據(jù)報(bào)文�;
所述線卡上的第 一安全處理引擎利用接口安全處理策略對(duì)所述數(shù)據(jù)報(bào) 文進(jìn)行第一次過(guò)濾;
所述線卡在第一次過(guò)濾后輸出數(shù)據(jù)報(bào)文時(shí)�����,將該輸出的數(shù)據(jù)報(bào)文發(fā)送給 管理板�����;
所述管理板上的第二安全處理引擎利用全局安全處理策略對(duì)所述輸出 的數(shù)據(jù)報(bào)文進(jìn)行第二次過(guò)濾��;
所述管理板在第二次過(guò)濾后輸出合法的數(shù)據(jù)報(bào)文時(shí)�����,對(duì)該合法的數(shù)據(jù)報(bào) 文進(jìn)行轉(zhuǎn)發(fā)處理�。
本發(fā)明實(shí)施例提供的一種交換機(jī)�����,包括管理板與一個(gè)或多個(gè)線卡���,所述 線卡上設(shè)置有第 一安全處理引擎���,用于利用接口安全處理策略對(duì)接收到的 數(shù)據(jù)報(bào)文進(jìn)行第一次過(guò)濾,并在第 一次過(guò)濾后輸出數(shù)據(jù)報(bào)文時(shí)��,將該輸出的 數(shù)據(jù)報(bào)文發(fā)送給所述管理板�,以及接收所述管理板發(fā)送的待發(fā)送數(shù)據(jù)報(bào)文, 通過(guò)該待發(fā)送數(shù)據(jù)報(bào)文攜帶的發(fā)送網(wǎng)絡(luò)接口信息相應(yīng)的網(wǎng)絡(luò)接口發(fā)送該待發(fā) 送數(shù)據(jù)報(bào)文;
所述管理板上設(shè)置有第二安全處理引擎����,用于利用全局安全處理策略對(duì) 所述輸出的數(shù)據(jù)報(bào)文進(jìn)行第二次過(guò)濾����,并在第二次過(guò)濾后輸出合法的數(shù)據(jù)報(bào) 文時(shí)���,對(duì)該合法的數(shù)據(jù)報(bào)文標(biāo)識(shí)發(fā)送該合法的數(shù)據(jù)報(bào)文的所述發(fā)送網(wǎng)絡(luò)接口信息����,并將標(biāo)識(shí)該發(fā)送網(wǎng)絡(luò)接口信息后生成的待發(fā)送數(shù)據(jù)報(bào)文發(fā)送給所述發(fā) 送網(wǎng)絡(luò)4妄口信息對(duì)應(yīng)的線卡��。
基于本發(fā)明上述實(shí)施例提供的安全控制方法與交換機(jī),可以在線卡上設(shè) 置第一安全處理引擎,利用其中部署的接口安全處理策略對(duì)數(shù)據(jù)^R文進(jìn)行 第一次過(guò)濾,并在管理板上設(shè)置第二安全處理引擎��,利用其中部署的全局 安全處理策略對(duì)數(shù)據(jù)報(bào)文進(jìn)行第二次過(guò)濾,合理利用了管理板與線卡上安 全處理策略的存儲(chǔ)容量����,提高了安全控制效果。與現(xiàn)有的M式安全控制 方法相比�,避免了相同安全處理策略在所有線卡上都占用相同多的容量,從 而盡可能多的為線卡上網(wǎng)絡(luò)接口的使用策略留有容量��,并且�����,在全局安全處 理策略發(fā)生變化時(shí)����,只需要對(duì)管理板上的全局安全處理策略進(jìn)行一次更新, 而不需要分別更新交換機(jī)中所有線卡上的安全處理策略��,提高了安全處理策
略的可管理性與更新速度���,提高了安全控制效果����;與現(xiàn)有的集中式安全控制 方法相比����,將與網(wǎng)絡(luò)接口相關(guān)的接口安全策略設(shè)置在相應(yīng)的線卡上�,從而節(jié) 省全局資源���,有效利用全局資源設(shè)置全局安全處理策略���,來(lái)對(duì)數(shù)據(jù)報(bào)文進(jìn)行 有效過(guò)濾,從而提高安全控制效果�。
下面通過(guò)附圖和實(shí)施例,對(duì)本發(fā)明的技術(shù)方案做進(jìn)一步的詳細(xì)描述���。
圖1為機(jī)箱式集中轉(zhuǎn)發(fā)交換機(jī)的一個(gè)結(jié)構(gòu)示意圖2為應(yīng)用分散式安全控制方法的交換機(jī)結(jié)構(gòu)示意圖3為應(yīng)用集中式安全控制方法的交換機(jī)結(jié)構(gòu)示意圖4為本發(fā)明安全控制方法一個(gè)實(shí)施例的流程圖5為本發(fā)明安全控制方法另一個(gè)實(shí)施例的流程圖6為本發(fā)明對(duì)數(shù)據(jù)報(bào)文進(jìn)行第一次過(guò)濾一個(gè)實(shí)施例的流程圖7為本發(fā)明交換機(jī)一個(gè)實(shí)施例的結(jié)構(gòu)示意圖8為本發(fā)明交換機(jī)另一個(gè)實(shí)施例的結(jié)構(gòu)示意圖����;圖9為本發(fā)明第一安全處理引擎一個(gè)實(shí)施例的結(jié)構(gòu)示意圖IO為本發(fā)明交換機(jī)又一個(gè)實(shí)施例的結(jié)構(gòu)示意圖11為本發(fā)明第二安全處理引擎一個(gè)實(shí)施例的結(jié)構(gòu)示意圖����。
具體實(shí)施例方式
本發(fā)明實(shí)施例中�����,在線卡上設(shè)置第一安全處理引擎��,并在其中部署接 口安全處理策略,據(jù)此實(shí)現(xiàn)對(duì)數(shù)據(jù)報(bào)文的第一次過(guò)濾�,在管理板上設(shè)置第 二安全處理引擎,并在其中部署全局安全處理策略���,據(jù)此實(shí)現(xiàn)對(duì)數(shù)據(jù)報(bào)文 的二次過(guò)濾��,合理利用線卡與交換機(jī)上的安全處理策略的存儲(chǔ)容量�����,提高 線卡與交換機(jī)上的安全處理引擎的容量利用率���,并有效實(shí)現(xiàn)對(duì)數(shù)據(jù)報(bào)文的 安全控制。
圖4為本發(fā)明安全控制方法一個(gè)實(shí)施例的流程圖�。該實(shí)施例的流程可 以由機(jī)箱式集中轉(zhuǎn)發(fā)交換機(jī)實(shí)現(xiàn)。如圖4所示���,該實(shí)施例的流程包括 步驟IOI��,線卡上的網(wǎng)絡(luò)接口接收數(shù)據(jù)報(bào)文��。
步驟102,線卡上的第一安全處理引擎利用接口安全處理策略對(duì)數(shù)據(jù)報(bào) 文進(jìn)行第一次過(guò)濾�����。
將與網(wǎng)絡(luò)接口相關(guān)的安全處理策略部署在相應(yīng)的線卡上��,就避免了接 口安全處理策略占用管理板上安全處理策略的存儲(chǔ)容量�,從而節(jié)省了全局資 源,可以更加有效��、合理的分配與利用全局資源�����,并且可以利用線卡上的存 儲(chǔ)容量有效設(shè)置接口安全處理策略來(lái)對(duì)數(shù)據(jù)報(bào)文進(jìn)行有效過(guò)濾�,提高安全控 制效果。
步驟103,線卡在第一次過(guò)濾后輸出數(shù)據(jù)報(bào)文時(shí)����,將該輸出的數(shù)據(jù)報(bào)文 發(fā)送給管理板。
步驟104,管理板上的第二安全處理引擎利用全局安全處理策略對(duì)輸出 的數(shù)據(jù)報(bào)文進(jìn)行第二次過(guò)濾��。
將全局安全處理策略部署在管理版上�����,從而不需要將其分別部署在各線卡上�,因此����,所占用的存儲(chǔ)空間較少����;并且��,可管理性較好���,在全局安全處
理策略變化時(shí)��,只需要對(duì)全局安全處理策略進(jìn)行更新即可�����,減小了安全處理 策略的更新工作量��。
步驟105��,管理板在第二次過(guò)濾后輸出合法的數(shù)據(jù)報(bào)文時(shí)����,對(duì)該合法的 數(shù)據(jù)報(bào)文進(jìn)行轉(zhuǎn)發(fā)處理��。
本發(fā)明安全控制方法實(shí)施例在線卡上設(shè)置第一安全處理引擎,利用其中 部署的接口安全處理策略對(duì)數(shù)據(jù)報(bào)文進(jìn)行第一次過(guò)濾���,并在管理板上設(shè)置 第二安全處理引擎���,利用其中部署的全局安全處理策略對(duì)數(shù)據(jù)報(bào)文進(jìn)行第
安全控制效果。例如在管理板上的第二安全處理引擎中部署與所有網(wǎng)絡(luò) 接口關(guān)聯(lián)的安全ACL����,以應(yīng)對(duì)常見的網(wǎng)絡(luò)攻擊以及計(jì)算機(jī)病毒,并在各線 卡上的第一安全處理引擎中分別部署與該線卡上網(wǎng)絡(luò)接口關(guān)聯(lián)的用戶認(rèn) 證授權(quán)策略�,例如在一個(gè)線卡的第一安全處理引擎中部署其網(wǎng)絡(luò)接口關(guān) 聯(lián)的802.1x用戶授權(quán)策略,在另一個(gè)線卡的第一安全處理引擎中部署其網(wǎng) 絡(luò)接口關(guān)聯(lián)的DHCP的IP地址與介質(zhì)訪問(wèn)控制(Media Access Control, 以下簡(jiǎn)稱MAC)地址綁定策略��。
圖5為本發(fā)明安全控制方法另一個(gè)實(shí)施例的流程圖�����。該實(shí)施例的流程 也可以由機(jī)箱式集中轉(zhuǎn)發(fā)交換機(jī)實(shí)現(xiàn)����。如圖5所示,該實(shí)施例的流程包括
步驟201���,線卡上的網(wǎng)絡(luò)接口接收網(wǎng)絡(luò)中的數(shù)據(jù)報(bào)文,該網(wǎng)絡(luò)接口也
稱為接收網(wǎng)絡(luò)接口 �����,并對(duì)接收到的數(shù)據(jù)報(bào)文標(biāo)識(shí)接收該數(shù)據(jù)報(bào)文的接收網(wǎng)
絡(luò)接口信息后發(fā)送給第 一接收模塊。其中的網(wǎng)絡(luò)接口信息可以是網(wǎng)絡(luò)接口
號(hào)或網(wǎng)絡(luò)接口名稱�,也可以是其它唯一標(biāo)識(shí)交換機(jī)上該網(wǎng)絡(luò)接口的其它信 臺(tái)
步驟202,第一接收模塊將網(wǎng)絡(luò)接口發(fā)送的數(shù)據(jù)報(bào)文發(fā)送給該線卡上 的第一安全處理引擎�����。
步驟203����,第一安全處理引擎利用其中部署的接口安全處理策略,對(duì)數(shù)據(jù)報(bào)文進(jìn)行第一次過(guò)濾�����,丟棄非法數(shù)據(jù)報(bào)文���,并將輸出的數(shù)據(jù)報(bào)文發(fā)送給第 一發(fā)送模塊��。
步驟204,線卡上的第一發(fā)送模塊在第一次過(guò)濾后輸出數(shù)據(jù)報(bào)文時(shí)��,將 該輸出的數(shù)據(jù)報(bào)文發(fā)送給管理板上的第二接收模塊����。
步驟205 ,管理板上的第二安全處理引擎利用其中部署的全局安全處理 策略����,對(duì)第二接收模塊接收到的數(shù)據(jù)報(bào)文進(jìn)行第二次過(guò)濾,丟棄非法數(shù)據(jù)報(bào) 文�����,輸出合法的數(shù)據(jù)才艮文��。
步驟206��,管理板上的確定模塊在第二安全處理引擎進(jìn)行第二次過(guò)濾后 輸出合法的數(shù)據(jù)報(bào)文時(shí)�,根據(jù)合法的數(shù)據(jù)報(bào)文中的轉(zhuǎn)發(fā)目的地址,確定發(fā)送 該合法的數(shù)據(jù)報(bào)文的網(wǎng)絡(luò)接口 �,該網(wǎng)絡(luò)接口也稱為發(fā)送網(wǎng)絡(luò)接口 。
步驟207,管理板上的標(biāo)識(shí)模塊對(duì)合法的數(shù)據(jù)報(bào)文標(biāo)識(shí)發(fā)送網(wǎng)絡(luò)接口信 息����,生成待發(fā)送數(shù)據(jù)報(bào)文,并通過(guò)第二發(fā)送4莫塊將該待發(fā)送數(shù)據(jù)報(bào)文發(fā)送給 設(shè)置該發(fā)送網(wǎng)絡(luò)接口的線卡上的第一接收模塊�����。
步驟208,第一接收模塊根據(jù)待發(fā)送數(shù)據(jù)報(bào)文攜帶的發(fā)送網(wǎng)絡(luò)接口信息����, 將該待發(fā)送數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)給相應(yīng)的發(fā)送網(wǎng)絡(luò)接口 ���。
步驟209��,發(fā)送網(wǎng)絡(luò)接口剝離該待發(fā)送數(shù)據(jù)報(bào)文攜帶的發(fā)送網(wǎng)絡(luò)接口信 息�����,然后輸出數(shù)據(jù)報(bào)文��,根據(jù)該數(shù)據(jù)報(bào)文中的目的轉(zhuǎn)發(fā)地址發(fā)送該數(shù)據(jù)報(bào) 文�����。
作為本發(fā)明的一個(gè)實(shí)施例�,步驟102與步驟203可以通過(guò)以下流程實(shí)
現(xiàn)
第一安全處理引擎對(duì)數(shù)據(jù)報(bào)文進(jìn)行解析����,獲取數(shù)據(jù)報(bào)文各字段的數(shù)據(jù)內(nèi) 容及接收網(wǎng)絡(luò)接口信息;
比較各字段的數(shù)據(jù)內(nèi)容及接收網(wǎng)絡(luò)接口信息����,是否與第 一安全處理引 擎上第 一策略表中的各接口安全處理策略匹配����。其中的接口安全處理策略 可以包括是否關(guān)心接收網(wǎng)絡(luò)接口����、接收網(wǎng)絡(luò)接口號(hào)、數(shù)據(jù)報(bào)文類型���、數(shù) 據(jù)報(bào)文類型的字段與各字段的數(shù)據(jù)內(nèi)容中的任意一個(gè)或多個(gè)��,與該接口安全處理策略對(duì)應(yīng)的過(guò)濾行為��。其中的過(guò)濾行為也可以稱為數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)行 為����,包括丟棄該數(shù)據(jù)報(bào)文�、轉(zhuǎn)發(fā)該數(shù)據(jù)報(bào)文、將該數(shù)據(jù)報(bào)文的某個(gè)字段的
數(shù)據(jù)內(nèi)容修改為預(yù)設(shè)內(nèi)容��、或?qū)⒃摂?shù)據(jù)報(bào)文轉(zhuǎn)發(fā)到指定目的地址����;
若各字段的數(shù)據(jù)內(nèi)容及接收網(wǎng)絡(luò)接口信息與第 一策略表中的 一條接口安 全處理策略匹配�����,則獲取該接口安全處理策略對(duì)應(yīng)的過(guò)濾行為�,并利用該過(guò) 濾行為對(duì)數(shù)據(jù)報(bào)文進(jìn)行第 一次過(guò)濾���;
若各字段的數(shù)據(jù)內(nèi)容及接收網(wǎng)絡(luò)接口信息與第 一策略表中的多條接口安 全處理策略匹配,則根據(jù)預(yù)先設(shè)定�,從多條接口安全處理策略中選取一條接 口安全處理策略,例如選取第一策略表中第一條匹配的接口安全處理策略����, 獲取該選取的接口安全處理策略對(duì)應(yīng)的過(guò)濾行為,并利用該過(guò)濾行為對(duì)數(shù)據(jù) 報(bào)文進(jìn)行第一次過(guò)濾���。如果獲取或選取的過(guò)濾行為是將該數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)到指 定目的地址��,則相應(yīng)的����,利用該過(guò)濾行為對(duì)數(shù)據(jù)報(bào)文進(jìn)行第一次過(guò)濾具體為 將數(shù)據(jù)報(bào)文的目的轉(zhuǎn)發(fā)地址修改為指定目的地址�。
作為本發(fā)明的另一個(gè)實(shí)施例,步驟104與步驟205可以通過(guò)以下流程 實(shí)現(xiàn)
第二安全處理引擎對(duì)輸出的數(shù)據(jù)報(bào)文進(jìn)行解析��,獲取輸出的數(shù)據(jù)報(bào)文各 字,殳的凝:據(jù)內(nèi)容;
比較各字段的數(shù)據(jù)內(nèi)容是否與第二安全處理引擎上第二策略表中的各 全局安全處理策略匹配����。其中的全局安全處理策略可以包括數(shù)據(jù)才艮文類 型、數(shù)據(jù)報(bào)文類型的字段與各字段的數(shù)據(jù)內(nèi)容中的任意一個(gè)或多個(gè)��,與該 接口安全處理策略對(duì)應(yīng)的過(guò)濾行為�����。其中的過(guò)濾行為也可以稱為數(shù)據(jù)報(bào)文 轉(zhuǎn)發(fā)行為��,包括丟棄該數(shù)據(jù)報(bào)文��、轉(zhuǎn)發(fā)該數(shù)據(jù)報(bào)文�、將該數(shù)據(jù)報(bào)文的某個(gè) 字段的數(shù)據(jù)內(nèi)容修改為預(yù)設(shè)內(nèi)容、或?qū)⒃摂?shù)據(jù)報(bào)文轉(zhuǎn)發(fā)到指定目的地址����;
若各字段的數(shù)據(jù)內(nèi)容與第二策略表中的一條全局安全處理策略匹配,則 獲取該全局安全處理策略對(duì)應(yīng)的過(guò)濾行為��,并利用該過(guò)濾行為對(duì)輸出的數(shù)據(jù) 報(bào)文進(jìn)行第二次過(guò)濾���;若各字段的數(shù)據(jù)內(nèi)容與第二策略表中的多條全局安全處理策略匹配��,則 根據(jù)預(yù)先設(shè)定���,從多條全局安全處理策略中選取一條全局安全處理策略�,例
如選取第一策略表中第一條匹配的接口安全處理策略���,獲取該選取的全局 安全處理策略對(duì)應(yīng)的過(guò)濾行為����,并利用該過(guò)濾行為對(duì)輸出的數(shù)據(jù)^R文進(jìn)行第 二次過(guò)濾��。如果獲取或選取的過(guò)濾行為是將該數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)到指定目的地 址��,則相應(yīng)的�����,利用該過(guò)濾行為對(duì)數(shù)據(jù)報(bào)文進(jìn)行第二次過(guò)濾具體為將數(shù)據(jù) 報(bào)文的目的轉(zhuǎn)發(fā)地址修改為指定目的地址�。
圖6為本發(fā)明對(duì)數(shù)據(jù)^l艮文進(jìn)行第一次過(guò)濾一個(gè)實(shí)施例的流程圖�。該實(shí) 施例的流程可以由第 一安全處理引擎實(shí)現(xiàn)。假設(shè)第 一安全處理引擎中部署 的接口安全處理策略包括是否關(guān)心接收網(wǎng)絡(luò)接口�、接收網(wǎng)絡(luò)接口號(hào)、數(shù)據(jù) 報(bào)文類型�����、數(shù)據(jù)報(bào)文類型的字段與各字段的數(shù)據(jù)內(nèi)容。對(duì)數(shù)據(jù)報(bào)文進(jìn)行解 析��,獲取數(shù)據(jù)報(bào)文各字段的數(shù)據(jù)內(nèi)容及接收網(wǎng)絡(luò)接口信息后�����,針對(duì)每一條接 口安全處理策略����,如圖6所示,4丸行本實(shí)施例的如下流程
步驟301�,是否不關(guān)心接收網(wǎng)絡(luò)接口,或數(shù)據(jù)報(bào)文的接收網(wǎng)絡(luò)接口號(hào)與 接口安全處理策略中的接收網(wǎng)絡(luò)接口號(hào)相同���。若不關(guān)心接收網(wǎng)絡(luò)接口�����,或 數(shù)據(jù)報(bào)文的接收網(wǎng)絡(luò)接口號(hào)與接口安全處理策略中的接收網(wǎng)絡(luò)接口號(hào)相 同��,執(zhí)行步驟302;否則�����,若關(guān)心接收網(wǎng)絡(luò)接口并且數(shù)據(jù)報(bào)文的接收網(wǎng)絡(luò) 接口號(hào)與接口安全處理策略中的接收網(wǎng)絡(luò)接口號(hào)不同���,執(zhí)行步驟308��。
步驟302��,比較接收到的數(shù)據(jù)報(bào)文的類型與接口安全處理策略中的數(shù) 據(jù)報(bào)文類型是否一致�。若一致�����,執(zhí)行步驟303;否則�����,執(zhí)行步驟308�。
步驟303,讀取接口安全處理策略中的第一個(gè)字段��。
步驟304,比較接收到的數(shù)據(jù)報(bào)文中相應(yīng)字段的數(shù)據(jù)內(nèi)容與接口安全 處理策略中的第一個(gè)字段的數(shù)據(jù)內(nèi)容是否相同����。若相同,執(zhí)行步驟305; 否則,執(zhí)行步驟308��。
步驟305,判斷接口安全處理策略中是否存在下一個(gè)字段���。若存在���, 以該下一個(gè)字段作為第一個(gè)字段,執(zhí)行步驟303;否則�,執(zhí)行步驟306。步驟306,認(rèn)為接收到的數(shù)據(jù)報(bào)文與該接口安全處理策略匹配�,從該接 口安全處理策略中獲取相應(yīng)的過(guò)濾行為。
步驟307,利用獲取到的過(guò)濾行為對(duì)接收到的數(shù)據(jù)報(bào)文進(jìn)行第一次過(guò)濾���。 之后���,不再執(zhí)行本實(shí)施例的后續(xù)流程。
步驟308,認(rèn)為接收到的數(shù)據(jù)報(bào)文與該接口安全處理策略不匹配�����,不對(duì) 接收到的數(shù)據(jù)報(bào)文進(jìn)行第 一次過(guò)濾��。
作為本發(fā)明的 一個(gè)具體實(shí)施例�����,不對(duì)接收到的數(shù)據(jù)報(bào)文進(jìn)行第一次過(guò) 濾時(shí),可以根據(jù)預(yù)先設(shè)定�,直接轉(zhuǎn)發(fā)該數(shù)據(jù)報(bào)文,也可以丟棄該數(shù)據(jù)報(bào)文����, 或者對(duì)該數(shù)據(jù)報(bào)文進(jìn)行其它處理。
步驟309,查詢第一策略表中是否存在下一條接口安全處理策略���,若存 在��,針對(duì)下一條接口安全處理策略���,執(zhí)行步驟301;否則,若不存在���,不 對(duì)接收到的數(shù)據(jù)報(bào)文進(jìn)行第一次過(guò)濾�,線卡可以直接向管理板轉(zhuǎn)發(fā)該數(shù)據(jù)報(bào) 文�����。
在圖6所示的實(shí)施例中��,默認(rèn)利用第一策略表中第一條匹配的接口安全 處理策略對(duì)接收到的數(shù)據(jù)報(bào)文進(jìn)行第一次過(guò)濾�。如果根據(jù)預(yù)先設(shè)定,不是利 用第一策略表中第一條匹配的接口安全處理策略對(duì)接收到的數(shù)據(jù)報(bào)文進(jìn)行第 一次過(guò)濾����,例如采用第一策略表中最后一條匹配的接口安全處理策略對(duì)4妻 收到的數(shù)據(jù)報(bào)文進(jìn)行第一次過(guò)濾,則步驟305中��,不存在下一個(gè)字段時(shí)�����,直 接執(zhí)行步驟309��,從而選出第一策略表中所有匹配的接口安全處理策略��,并 根據(jù)預(yù)先設(shè)定����,從中選取一條接口安全處理策略,獲取該選取的接口安全處 理策略對(duì)應(yīng)的過(guò)濾行為�����,并利用該過(guò)濾行為對(duì)數(shù)據(jù)報(bào)文進(jìn)行第一次過(guò)濾���。
另外���,在本發(fā)明安全控制方法的各實(shí)施例中����,也可以在線卡上的存儲(chǔ)容 量不足以存儲(chǔ)接口安全處理策略時(shí)���,將一部分策略接口安全處理策略部署到 管理板上的安全處理引擎中�����,宏觀上^l是高線卡上的接口安全策略的容量����;以 及在管理板上的存儲(chǔ)容量不足以存儲(chǔ)全局安全處理策略時(shí)����,將一部分全局安 全策略部署到線卡上的安全處理引擎中。圖7為本發(fā)明交換機(jī)一個(gè)實(shí)施例的結(jié)構(gòu)示意圖�����,該實(shí)施例的交換機(jī)可
用于實(shí)現(xiàn)如本發(fā)明圖4至圖6所示實(shí)施例的流程��。如圖7所示���,該實(shí)施例 的交換機(jī)包括管理板401與一個(gè)或多個(gè)線卡402���。
其中,線卡402上設(shè)置有第一安全處理引擎500,用于利用接口安全 處理策略對(duì)接收到的數(shù)據(jù)報(bào)文進(jìn)行第一次過(guò)濾���,并在第一次過(guò)濾后輸出數(shù)據(jù) 報(bào)文時(shí)����,將該輸出的數(shù)據(jù)報(bào)文發(fā)送給管理板401�����,以及接收管理板401發(fā)送 的待發(fā)送數(shù)據(jù)報(bào)文��,通過(guò)該待發(fā)送數(shù)據(jù)報(bào)文攜帶的發(fā)送網(wǎng)絡(luò)接口信息��,相應(yīng) 的網(wǎng)絡(luò)接口發(fā)送該數(shù)據(jù)報(bào)文����。
管理板401上設(shè)置有第二安全處理引擎600,用于利用全局安全處理策 略對(duì)線卡402輸出的數(shù)據(jù)報(bào)文進(jìn)行第二次過(guò)濾��,并在第二次過(guò)濾后輸出合法 的數(shù)據(jù)報(bào)文時(shí),對(duì)該合法的數(shù)據(jù)報(bào)文標(biāo)識(shí)發(fā)送該合法的數(shù)據(jù)報(bào)文的發(fā)送網(wǎng)絡(luò) 接口信息��,生成的待發(fā)送數(shù)據(jù)報(bào)文并發(fā)送給發(fā)送網(wǎng)絡(luò)接口信息對(duì)應(yīng)的線卡 402�。
本發(fā)明實(shí)施例在交換機(jī)的線卡上設(shè)置第 一安全處理引擎,利用其中部 署的接口安全處理策略對(duì)數(shù)據(jù)報(bào)文進(jìn)行第一次過(guò)濾�����,并在管理板上設(shè)置第 二安全處理引擎�,利用其中部署的全局安全處理策略對(duì)數(shù)據(jù)報(bào)文進(jìn)行第二 次過(guò)濾,合理利用了管理板與線卡上安全處理策略的存儲(chǔ)容量��,提高了安 全控制效果�。
圖8為本發(fā)明交換機(jī)另一個(gè)實(shí)施例的結(jié)構(gòu)示意圖,該實(shí)施例的交換機(jī) 也可用于實(shí)現(xiàn)如本發(fā)明圖4至圖6所示實(shí)施例的流程����。與圖7所示的實(shí)施 例相比,該實(shí)施例中��,線卡402包括第一接收模塊501����、第一安全處理引 擎500、第一發(fā)送模塊502與一個(gè)或多個(gè)網(wǎng)絡(luò)接口 503。其中����,網(wǎng)絡(luò)接口 503用于接收網(wǎng)絡(luò)中的數(shù)據(jù)報(bào)文,并將該數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)給第一接收模塊 501�����,以及用于接收第一發(fā)送模塊502發(fā)送的待發(fā)送數(shù)據(jù)報(bào)文��,剝離該待 發(fā)送數(shù)據(jù)報(bào)文攜帶的發(fā)送網(wǎng)絡(luò)接口信息后�����,發(fā)送該數(shù)據(jù)報(bào)文���。第一接收模 塊501用于接收網(wǎng)絡(luò)接口 503發(fā)送的數(shù)據(jù)報(bào)文,以及接收管理板401發(fā)送的待發(fā)送數(shù)據(jù)報(bào)文��。第一安全處理引擎500中部署有接口安全處理策略��,用 于利用該接口安全處理策略�,對(duì)第一接收模塊501接收到的數(shù)據(jù)報(bào)文進(jìn)行第 一次過(guò)濾。第一發(fā)送模塊502用于在第一安全處理引擎500輸出數(shù)據(jù)報(bào)文時(shí)���, 將該輸出的數(shù)據(jù)報(bào)文發(fā)送給管理板401���,以及根據(jù)待發(fā)送數(shù)據(jù)報(bào)文攜帶的發(fā) 送網(wǎng)絡(luò)接口信息�,將待發(fā)送數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)給用于發(fā)送該數(shù)據(jù)報(bào)文的相應(yīng)網(wǎng)絡(luò) 接口 503���。
在圖8所示的實(shí)施例中����,網(wǎng)絡(luò)接口 503還可用于對(duì)接收到的數(shù)據(jù)報(bào)文 標(biāo)識(shí)接收該數(shù)據(jù)報(bào)文的接收網(wǎng)絡(luò)接口信息��。相應(yīng)的�,圖9為本發(fā)明第一安 全處理引擎一個(gè)實(shí)施例的結(jié)構(gòu)示意圖。如圖9所示�����,第一安全處理引擎500 包括第一解析單元51��、第一存儲(chǔ)單元52�、第一比較單元53、第一選取單元 54����、第一獲fl單元55與第一過(guò)濾單元56。其中,第一解析單元51用于對(duì) 第一接收模塊501接收到的數(shù)據(jù)報(bào)文進(jìn)行解析����,獲取該數(shù)據(jù)報(bào)文各字段的數(shù) 據(jù)內(nèi)容及接收網(wǎng)絡(luò)接口信息。第 一存儲(chǔ)單元52用于存儲(chǔ)第 一策略表�,該第一 策略表中包括一個(gè)或多個(gè)接口安全處理策略。第一比較單元53用于比較第一 解析單元51獲取到的各字段的數(shù)據(jù)內(nèi)容及接收網(wǎng)絡(luò)接口信息����,是否與第一存 儲(chǔ)單元52存儲(chǔ)的第一策略表中的各接口安全處理策略匹配�����。第一選取單元 54用于根據(jù)第 一比較單元53的比較結(jié)果�����,在各字段的數(shù)據(jù)內(nèi)容及接收網(wǎng)絡(luò) 接口信息與第 一策略表中的多條接口安全處理策略匹配時(shí)�,根據(jù)預(yù)先設(shè)定, 從多條接口安全處理策略中選取一條接口安全處理策略��。第一獲取單元55 用于根據(jù)第一比較單元53的比較結(jié)果���,在各字段的數(shù)據(jù)內(nèi)容及網(wǎng)絡(luò)接口信 息與第一策略表中的一條接口安全處理策略匹配時(shí)�,從第一存儲(chǔ)單元52存 儲(chǔ)的第一策略表中獲取該接口安全處理策略對(duì)應(yīng)的過(guò)濾行為,以及在各字段 的數(shù)據(jù)內(nèi)容及接收網(wǎng)絡(luò)接口信息與第一策略表中的多條接口安全處理策略匹 配時(shí)�����,從第 一存儲(chǔ)單元52存儲(chǔ)的第 一策略表中獲取第 一選取單元54選取的 接口安全處理策略對(duì)應(yīng)的過(guò)濾行為���。第一過(guò)濾單元56用于利用第一獲取單元 55獲取的過(guò)濾行為��,對(duì)第一接收^t塊501接收到的數(shù)據(jù)報(bào)文進(jìn)行第一次過(guò)濾�����。相應(yīng)的���,第一發(fā)送模塊502用于在第一過(guò)濾單元56輸出數(shù)據(jù)報(bào)文時(shí),將該 輸出的數(shù)據(jù)報(bào)文發(fā)送給管理板401 ��。
圖10為本發(fā)明交換機(jī)又一個(gè)實(shí)施例的結(jié)構(gòu)示意圖�,該實(shí)施例的交換機(jī) 也可用于實(shí)現(xiàn)如本發(fā)明圖4至圖6所示實(shí)施例的流程。與圖7或圖8所示 的實(shí)施例相比�,該實(shí)施例中,管理板401包括第二接收模塊601����、第二安 全處理引擎600����、確定模塊602�����、標(biāo)識(shí)模塊603與第二發(fā)送模塊604�。其中, 第二接收模塊601用于接收線卡402輸出的數(shù)據(jù)報(bào)文��。第二安全處理引擎 600中部署有全局安全處理策略�,用于利用該全局安全處理策略,對(duì)第二接 收模塊601接收到的數(shù)據(jù)報(bào)文進(jìn)行第二次過(guò)濾���。確定模塊602用于在第二安 全處理引擎600輸出合法的數(shù)據(jù)報(bào)文時(shí),根據(jù)該合法的數(shù)據(jù)報(bào)文中的轉(zhuǎn)發(fā)目 的地址�,確定發(fā)送該合法的數(shù)據(jù)報(bào)文的發(fā)送網(wǎng)絡(luò)接口 503。標(biāo)識(shí)模塊603用 于對(duì)合法的數(shù)據(jù)報(bào)文標(biāo)識(shí)發(fā)送該合法的數(shù)據(jù)報(bào)文的發(fā)送網(wǎng)絡(luò)接口信息����,生成 待發(fā)送數(shù)據(jù)報(bào)文。第二發(fā)送模塊604用于根據(jù)發(fā)送網(wǎng)絡(luò)接口信息����,將標(biāo)識(shí) 模塊603生成的待發(fā)送數(shù)據(jù)報(bào)文發(fā)送給設(shè)置發(fā)送網(wǎng)絡(luò)接口的線卡402���。
圖11為本發(fā)明第二安全處理引擎一個(gè)實(shí)施例的結(jié)構(gòu)示意圖。如圖11 所示����,該第二安全處理引擎600包括第二解析單元61、第二存儲(chǔ)單元62����、 第二比較單元63、第二選取單元64�、第二獲取單元65與第二過(guò)濾單元66。 其中����,第二解析單元61用于對(duì)第二接收模塊601接收到的數(shù)據(jù)報(bào)文進(jìn)行解析, 獲取該數(shù)據(jù)報(bào)文各字段的數(shù)據(jù)內(nèi)容�����。第二存儲(chǔ)單元62用于存儲(chǔ)第二策略表�����, 該第二策略表中包括一個(gè)或多個(gè)全局安全處理策略�。第二比較單元63用于比 較第二解析單元61獲取到的各字段的數(shù)據(jù)內(nèi)容是否與第二存儲(chǔ)單元62存儲(chǔ) 的第二策略表中的各全局安全處理策略匹配。第二選取單元64用于根據(jù)第 二比較單元63的比較結(jié)果��,在各字段的數(shù)據(jù)內(nèi)容與第二策略表中的多條全 局安全處理策略匹配時(shí)�����,根據(jù)預(yù)先設(shè)定����,從多條全局安全處理策略中選耳又一 條全局安全處理策略。第二獲取單元65用于根據(jù)第二比較單元63的比較 結(jié)果��,在各字段的數(shù)據(jù)內(nèi)容與第二策略表中的 一條全局安全處理策略匹配時(shí)��,從第二存儲(chǔ)單元62存儲(chǔ)的第二策略表中獲取該全局安全處理策略對(duì)應(yīng) 的過(guò)濾行為����,以及在各字段的數(shù)據(jù)內(nèi)容與第二策略表中的多條全局安全處理 策略匹配時(shí)���,從第二存儲(chǔ)單元62存儲(chǔ)的第二策略表中獲取第二選取單元 64選取的全局安全處理策略對(duì)應(yīng)的過(guò)濾行為����。第二過(guò)濾單元66用于利用第 二獲取單元65獲取的過(guò)濾行為�,對(duì)第二接收模塊601接收到的數(shù)據(jù)報(bào)文進(jìn)行 第二次過(guò)濾��。
本領(lǐng)域普通技術(shù)人員可以理解實(shí)現(xiàn)上述方法實(shí)施例的全部或部分步 驟可以通過(guò)程序指令相關(guān)的硬件來(lái)完成�,前述的程序可以存儲(chǔ)于一計(jì)算機(jī) 可讀取存儲(chǔ)介質(zhì)中���,該程序在執(zhí)行時(shí)�����,執(zhí)行包括上述方法實(shí)施例的步驟����; 而前述的存儲(chǔ)介質(zhì)包括ROM��、 RAM���、磁碟或者光盤等各種可以存儲(chǔ)程 序代碼的介質(zhì)�����。
本發(fā)明實(shí)施例可以在線卡上設(shè)置第一安全處理引擎���,利用其中部署的 接口安全處理策略對(duì)數(shù)據(jù)報(bào)文進(jìn)行第一次過(guò)濾,并在管理板上設(shè)置第二安 全處理引擎��,利用其中部署的全局安全處理策略對(duì)數(shù)據(jù)報(bào)文進(jìn)行第二次過(guò) 濾,合理利用了管理板與線卡上安全處理策略的存儲(chǔ)容量�,提高了安全控
制效果。
最后所應(yīng)說(shuō)明的是以上實(shí)施例僅用以說(shuō)明本發(fā)明的技術(shù)方案��,而非對(duì) 本發(fā)明作限制性理解�。盡管參照上述較佳實(shí)施例對(duì)本發(fā)明進(jìn)行了詳細(xì)說(shuō)明, 本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解其依然可以對(duì)本發(fā)明的技術(shù)方案進(jìn)行修改 或者等同替換���,而這種修改或者等同替換并不脫離本發(fā)明技術(shù)方案的精神和范圍�。
權(quán)利要求
1���、一種安全控制方法����,其特征在于�����,包括線卡上的網(wǎng)絡(luò)接口接收數(shù)據(jù)報(bào)文�����;所述線卡上的第一安全處理引擎利用接口安全處理策略對(duì)所述數(shù)據(jù)報(bào)文進(jìn)行第一次過(guò)濾�;所述線卡在第一次過(guò)濾后輸出數(shù)據(jù)報(bào)文時(shí),將該輸出的數(shù)據(jù)報(bào)文發(fā)送給管理板��;所述管理板上的第二安全處理引擎利用全局安全處理策略對(duì)所述輸出的數(shù)據(jù)報(bào)文進(jìn)行第二次過(guò)濾�;所述管理板在第二次過(guò)濾后輸出合法的數(shù)據(jù)報(bào)文時(shí),對(duì)該合法的數(shù)據(jù)報(bào)文進(jìn)行轉(zhuǎn)發(fā)處理���。
2�����、 根據(jù)權(quán)利要求1所述的方法���,其特征在于,還包括 在所述第一安全處理引擎上部署接口安全處理策略�;以及 在所述第二安全處理引擎上部署全局安全處理策略。
3���、 根據(jù)權(quán)利要求2所述的方法����,其特征在于�����,所述線卡上的網(wǎng)絡(luò)接口 接收數(shù)據(jù)報(bào)文后,還對(duì)該接收到的數(shù)據(jù)報(bào)文標(biāo)識(shí)接收該數(shù)據(jù)報(bào)文的接收網(wǎng) 絡(luò)接口信息�。
4、 根據(jù)權(quán)利要求3所述的方法�����,其特征在于��,所述第一安全處理引 擎利用接口安全處理策略對(duì)所述數(shù)據(jù)報(bào)文進(jìn)行第 一次過(guò)濾包括所述第一安全處理引擎對(duì)所述數(shù)據(jù)報(bào)文進(jìn)行解析����,獲取所述數(shù)據(jù)報(bào)文各 字段的數(shù)據(jù)內(nèi)容及所述接收網(wǎng)絡(luò)接口信息;比較所述各字段的數(shù)據(jù)內(nèi)容及所述接收網(wǎng)絡(luò)接口信息�����,是否與所述第一 安全處理引擎上第一策略表中的各接口安全處理策略匹配�;若所述各字段的數(shù)據(jù)內(nèi)容及所述接收網(wǎng)絡(luò)接口信息與所述第 一策略表中 的 一條接口安全處理策略匹配,則獲耳又該4妻口安全處理策略對(duì)應(yīng)的過(guò)濾行 為�,并利用該過(guò)濾行為對(duì)所述數(shù)據(jù)報(bào)文進(jìn)行第一次過(guò)濾;若所述各字段的數(shù)據(jù)內(nèi)容及所述接收網(wǎng)絡(luò)接口信息與所述第 一策略表中 的多條接口安全處理策略匹配��,則根據(jù)預(yù)先設(shè)定���,從所述多條接口安全處理 策略中選耳又一條4妄口安全處理策略�����,獲取該選取的4妻口安全處理策略對(duì)應(yīng)的 過(guò)濾行為����,并利用該過(guò)濾行為對(duì)所述數(shù)據(jù)報(bào)文進(jìn)行第一次過(guò)濾�����。
5���、 根據(jù)權(quán)利要求1至4任意一項(xiàng)所述的方法�,其特征在于�����,所述管理板上的第二安全處理引擎利用全局安全處理策略對(duì)所述輸出的數(shù)據(jù)報(bào)文進(jìn)行第二次過(guò)濾包括所述第二安全處理引擎對(duì)所述輸出的數(shù)據(jù)報(bào)文進(jìn)行解析����,獲取所述輸出 的數(shù)據(jù)報(bào)文各字段的數(shù)據(jù)內(nèi)容;比較所述各字段的數(shù)據(jù)內(nèi)容是否與所述第二安全處理引擎上第二策略 表中的各全局安全處理策略匹配����;若所述各字段的數(shù)據(jù)內(nèi)容與所述第二策略表中的一條全局安全處理策略 匹配�����,則獲耳又該全局安全處理策略對(duì)應(yīng)的過(guò)濾行為����,并利用該過(guò)濾行為對(duì)所 述輸出的數(shù)據(jù)報(bào)文進(jìn)行第二次過(guò)濾��;若所述各字段的數(shù)據(jù)內(nèi)容與所述第二策略表中的多條全局安全處理策略 匹配���,則根據(jù)預(yù)先設(shè)定����,從所述多條全局安全處理策略中選取一條全局安全 處理策略���,獲取該選耳又的全局安全處理策略對(duì)應(yīng)的過(guò)濾行為�,并利用該過(guò)濾 行為對(duì)所述輸出的數(shù)據(jù)報(bào)文進(jìn)行第二次過(guò)濾����。
6、 一種交換機(jī)����,包括管理板與一個(gè)或多個(gè)線卡���,其特征在于,所述線 卡上設(shè)置有第 一安全處理引擎���,用于利用接口安全處理策略對(duì)接收到的數(shù) 據(jù)報(bào)文進(jìn)行第一次過(guò)濾,并在第一次過(guò)濾后輸出數(shù)據(jù)報(bào)文時(shí)�,將該輸出的數(shù) 據(jù)報(bào)文發(fā)送給所述管理板,以及接收所述管理板發(fā)送的待發(fā)送數(shù)據(jù)報(bào)文���,通 過(guò)該待發(fā)送數(shù)據(jù)報(bào)文攜帶的發(fā)送網(wǎng)絡(luò)接口信息相應(yīng)的網(wǎng)絡(luò)接口發(fā)送該待發(fā)送 數(shù)據(jù)報(bào)文����;所述管理板上設(shè)置有第二安全處理引擎����,用于利用全局安全處理策略對(duì) 所述輸出的數(shù)據(jù)報(bào)文進(jìn)行第二次過(guò)濾,并在第二次過(guò)濾后輸出合法的數(shù)據(jù)報(bào)文時(shí)���,對(duì)該合法的數(shù)據(jù)報(bào)文標(biāo)識(shí)發(fā)送該合法的數(shù)據(jù)報(bào)文的所述發(fā)送網(wǎng)絡(luò)接口 送網(wǎng)絡(luò)>接口信息對(duì)應(yīng)的線卡�����。
7����、 根據(jù)權(quán)利要求6所述的交換機(jī),其特征在于����,所述線卡還包括 一個(gè)或多個(gè)網(wǎng)絡(luò)接口、第一接收模塊與第一發(fā)送模塊�����;所述網(wǎng)絡(luò)接口 �����,用于接收所述數(shù)據(jù)報(bào)文并將該數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)給所述第 一接收模塊��,以及接收所述第一發(fā)送模塊發(fā)送的待發(fā)送數(shù)據(jù)報(bào)文�,剝離所 述待發(fā)送數(shù)據(jù)報(bào)文攜帶的發(fā)送網(wǎng)絡(luò)接口信息后發(fā)送該數(shù)據(jù)報(bào)文;所述第一接收模塊�����,用于接收所述網(wǎng)絡(luò)接口發(fā)送的數(shù)據(jù)報(bào)文�,以及接 收所述管理板發(fā)送的所述待發(fā)送數(shù)據(jù)報(bào)文�;所述第一安全處理引擎����,用于利用接口安全處理策略,對(duì)所述第一接 收模塊接收到的所述數(shù)據(jù)報(bào)文進(jìn)行第 一次過(guò)濾���;所述第一發(fā)送模塊����,用于在所述第一安全處理引擎輸出數(shù)據(jù)報(bào)文時(shí)��,將 該輸出的數(shù)據(jù)報(bào)文發(fā)送給所述管理板���,以及根據(jù)所述待發(fā)送數(shù)據(jù)報(bào)文攜帶的絡(luò)接口 。
8����、 根據(jù)權(quán)利要求7所述的交換機(jī),其特征在于�����,所述網(wǎng)絡(luò)接口還用 于對(duì)接收到的所述數(shù)據(jù)報(bào)文標(biāo)識(shí)接收該數(shù)據(jù)報(bào)文的接收網(wǎng)絡(luò)接口信息����;所述第一安全處理引擎包括第 一解析單元���,用于對(duì)所述第 一接收模塊接收到的數(shù)據(jù)報(bào)文進(jìn)行解析, 獲取所述數(shù)據(jù)報(bào)文各字段的數(shù)據(jù)內(nèi)容及所述接收網(wǎng)絡(luò)接口信息�����;第一存儲(chǔ)單元���,用于存儲(chǔ)第一策略表����,該第一策略表中包括一個(gè)或多個(gè) 接口安全處理策略�����;第一比較單元�����,用于比較所述各字段的數(shù)據(jù)內(nèi)容及所述接收網(wǎng)絡(luò)接口信 息���,是否與所述第一策略表中的各接口安全處理策略匹配�;第一選取單元,用于根據(jù)第一比較單元的比較結(jié)果����,在所述各字段的數(shù)據(jù)內(nèi)容及所述接收網(wǎng)絡(luò)接口信息與所述第 一策略表中的多條接口安全處理 策略匹配時(shí),根據(jù)預(yù)先設(shè)定����,從所述多條接口安全處理策略中選取一條接口安全處理策略;第一獲取單元�,用于根據(jù)第一比較單元的比較結(jié)果,在所述各字段的 數(shù)據(jù)內(nèi)容及所述網(wǎng)絡(luò)接口信息與所述第 一策略表中的 一條接口安全處理策略 匹配時(shí)�,獲取該接口安全處理策略對(duì)應(yīng)的過(guò)濾行為,以及在所述各字段的數(shù) 據(jù)內(nèi)容及所述接收網(wǎng)絡(luò)接口信息與所述第 一策略表中的多條接口安全處理策 略匹配時(shí)����,獲取所述第一選取單元選取的接口安全處理策略對(duì)應(yīng)的過(guò)濾行 為����;第一過(guò)濾單元,用于利用所述第一獲取單元獲取的過(guò)濾行為��,對(duì)所述第 一接收模塊接收到的數(shù)據(jù)報(bào)文進(jìn)行第一次過(guò)濾����。
9����、 根據(jù)權(quán)利要求6所述的交換機(jī)��,其特征在于���,所述管理板包括 第二接收模塊�,用于接收所述線卡發(fā)送的輸出的數(shù)據(jù)報(bào)文���;第二安全處理引擎���,用于利用全局安全處理策略,對(duì)所述第二接收模塊 接收到的所述輸出的數(shù)據(jù)報(bào)文進(jìn)行第二次過(guò)濾�����;確定模塊����,用于在所述第二安全處理引擎輸出合法的數(shù)據(jù)報(bào)文時(shí),根據(jù) 所述合法的數(shù)據(jù)報(bào)文中的轉(zhuǎn)發(fā)目的地址����,確定發(fā)送該合法的數(shù)據(jù)報(bào)文的發(fā)送 網(wǎng)絡(luò)接口 ��;述發(fā)送網(wǎng)絡(luò)接口信息��,生成待發(fā)送數(shù)據(jù)報(bào)文�;第二發(fā)送模塊����,用于根據(jù)所述發(fā)送網(wǎng)絡(luò)接口信息,將所述待發(fā)送數(shù)據(jù) 報(bào)文發(fā)送給相應(yīng)的線卡���。
10�����、 根據(jù)權(quán)利要求9所述的交換機(jī)���,其特征在于�����,所述第二安全處理 引擎包括第二解析單元����,用于對(duì)所述第二接收模塊接收到的數(shù)據(jù)報(bào)文進(jìn)行解析�, 獲取所述數(shù)據(jù)報(bào)文各字段的數(shù)據(jù)內(nèi)容��;第二存儲(chǔ)單元���,用于存儲(chǔ)第二策略表�����,該第二策略表中包括一個(gè)或多個(gè)全局安全處理策略�����;第二比較單元�,用于比較所述各字段的數(shù)據(jù)內(nèi)容是否與所述第二策略表 中的各全局安全處理策略匹配��;第二選取單元�,用于根據(jù)第二比較單元的比較結(jié)果,在所述各字段的 數(shù)據(jù)內(nèi)容與所述第二策略表中的多條全局安全處理策略匹配時(shí)���,根據(jù)預(yù)先設(shè) 定��,從所述多條全局安全處理策略中選取一條全局安全處理策略��;第二獲取單元�����,用于根據(jù)第二比較單元的比較結(jié)果���,在所述各字段的 數(shù)據(jù)內(nèi)容與所述第二策略表中的一條全局安全處理策略匹配時(shí)�����,獲取該全局 安全處理策略對(duì)應(yīng)的過(guò)濾行為���,以及在所述各字段的數(shù)據(jù)內(nèi)容與所述第二策 略表中的多條全局安全處理策略匹配時(shí),獲耳又所述第二選取單元選取的全 局安全處理策略對(duì)應(yīng)的過(guò)濾行為��;第二過(guò)濾單元���,用于利用所述第二獲取單元獲取的過(guò)濾行為�����,對(duì)所述第 二接收模塊接收到的數(shù)據(jù)報(bào)文進(jìn)行第二次過(guò)濾��。
全文摘要
本發(fā)明實(shí)施例公開了一種安全控制方法與交換機(jī),其中,安全控制方法包括線卡上的網(wǎng)絡(luò)接口接收數(shù)據(jù)報(bào)文�;所述線卡上的第一安全處理引擎利用接口安全處理策略對(duì)所述數(shù)據(jù)報(bào)文進(jìn)行第一次過(guò)濾;所述線卡在第一次過(guò)濾后輸出數(shù)據(jù)報(bào)文時(shí)�,將該輸出的數(shù)據(jù)報(bào)文發(fā)送給管理板;所述管理板上的第二安全處理引擎利用全局安全處理策略對(duì)所述輸出的數(shù)據(jù)報(bào)文進(jìn)行第二次過(guò)濾����;所述管理板在第二次過(guò)濾后輸出合法的數(shù)據(jù)報(bào)文時(shí),對(duì)該合法的數(shù)據(jù)報(bào)文進(jìn)行轉(zhuǎn)發(fā)處理��。本發(fā)明實(shí)施例可以合理利用線卡與管理板上的安全處理策略的存儲(chǔ)容量�����,并有效實(shí)現(xiàn)對(duì)數(shù)據(jù)報(bào)文的安全控制����。
文檔編號(hào)H04L12/56GK101567848SQ20091008584
公開日2009年10月28日 申請(qǐng)日期2009年6月1日 優(yōu)先權(quán)日2009年6月1日
發(fā)明者偉 郭 申請(qǐng)人:北京星網(wǎng)銳捷網(wǎng)絡(luò)技術(shù)有限公司