[发明专利]网络安全设备以及使用该网络安全设备处理包数据的方法

说明书

技术领域

本发明涉及网络安全，尤其涉及其中在单主机系统中设置了至少两个单独的主机的、用于处理包数据的基于多主机的网络安全设备，以及使用该网络安全设备处理包数据的方法。

背景技术

随着计算机和因特网使用的广泛普及，用户在电脑跟前花费了更多的时间而网络安全也被认为是一个重要因素。网络安全防止通过诸如连接到网络的计算机系统的操作系统、服务器以及应用程序等易受攻击点的入侵，或者是来自外部的非法入侵以及对内部信息的非法访问。

为此，通常使用基于硬件或基于软件的网络安全设备。图1a和1b分别示出了常规的基于硬件和基于软件的网络安全设备的配置。

包数据在图1a的网络安全设备中处理如下。

当通过接口1接收到包数据时，第一安全模块3的模式匹配引擎5根据已加载的关于阻塞策略的信息检查包数据的首部和内容。如果在匹配引擎5中确定存在匹配的包数据，则处理引擎7根据预先存储的策略阻塞或旁路掉相关的包数据。第一安全模块3中的处理结果和被旁路掉的包通过外围组件互联(PCI)接口9被发送到第二安全模块11。

在接收包时，第二安全模块11的主中央处理单元(CPU)13根据阈值检查接收到的包是否试图进行动态攻击，例如拒绝服务(DoS)攻击以及分布式拒绝服务攻击(DDoS)。主CPU将检查结果返回给第一安全模块3的模式匹配引擎5。然后，模式匹配引擎5确定是否阻塞该包的通信。

图1b的网络安全设备中的包数据将被处理如下。

安全功能模块24、26或28通过网卡20在网络上接收包，并在主CPU 22的控制下使用软件检查该包。安全功能模块中的至少一个被选择性地设置。

然而，这种常规安全设备有以下问题。

该安全设备对单系统仅设置一个主机。即，由于主CPU 13或22执行一般安全功能，所以许多安全功能由于有限的硬件资源而不能被执行。

例如，在图1a的安全设备中，当包数据模式与所存储的模式不匹配时，需要具体地检查该包是否试图进行动态攻击(例如，DoS和DDoS)。然而，与CPU和存储器相关连的有限的硬件资源使得难以执行这种高级安全功能。在图1b的安全设备中，设置了一个或多个安全功能模块24、26和28用于执行多个安全功能，但是由于主CPU 22应当执行所有的安全功能，所以该安全设备表现出有限的性能。

此外，由于该安全设备基于单主机，所以不能处理大量包数据的通信。虽然该基于单主机的安全设备试图处理大量的包数据，但由于处理时延所以未处理的包数据增多。因此，包数据可能会丢失。

发明内容

本发明预期解决上述问题。相应地，本发明的一个目的是提供用于处理包数据的网络安全设备，其中在单系统中设置了各具有诸如中央处理单元和存储器等资源的多个主机，以及提供使用该网络安全设备处理包数据的方法。

本发明的另一目的是使用至少两个单独的主机执行多个安全功能。

本发明的另一目的是使用至少两个单独的主机同时处理大量包数据。

根据用于实现这些目的的本发明的一个方面，提供了一种网络安全设备，其包括：至少两个主机，用于根据不同的安全策略分别执行安全功能；以及包处理单元，用于根据藉之向相应主机分配预定优先级的包分类策略，将通过网络接收到的包数据发送到具有第一优先级的主机，并且在该主机确定包数据正常的情况下顺序地将该正常包数据发送到具有次优先级的主机以继续执行安全功能。

该包处理单元可在其中任何一个主机确定包数据有害的情况下阻塞该包数据。

每个主机可包括含中央处理单元(CPU)和存储器在内的用以在单主机系统内执行不同任务的单独的资源。

优选地，每个主机执行从包括防火墙/服务质量(QoS)安全功能、入侵检测安全功能以及动态和会话处理安全功能的组中选出的任一功能。

根据本发明的另一方面，提供了一种网络安全设备，其包括：至少两个主机，用于根据包数据的传输协议分别处理包数据；包处理单元，用于参照包分类策略根据传输协议将包数据分类，并将经分类的包数据发送到相关主机；以及包策略模块，用于向包处理单元提供包分类策略。

在接收到两个或多个包数据时，包处理单元可根据包分类策略并行地将包数据发送到各相关主机以允许各主机同时处理接收到的包数据。

优选地，主机处理传输控制协议(TCP)、用户数据报协议(UCP)/IP版本互联网控制信息协议(ICMP)和超文本传输协议(HTTP)包。