[发明专利]开放流表安全增强方法及装置

说明书

技术领域

本发明涉及安全检测技术，尤其涉及一种开放流表安全增强方法及装置。

背景技术

如图1所示，传统的安全设备，如防火墙、入侵检测预防、安全虚拟专用网、统一威胁管理等均是整体式架构，其中的接口板100、安全业务板102、主控板106及交换板104是紧耦合连接的，通常位于一个物理盒子中；其中，接口板100提供安全设备的接口并将数据流提交给安全业务板102，接口板100通常由网络处理器(NP，Network Processor)或应用专用集成芯片(ASIC，Application Specific Integrated Circuit)实现。安全业务板102完成访问策略控制、网络地址转换、入侵检测防御、防病毒、安全虚拟专用网(VPN，Virtual PrivateNetwork)等功能，安全业务板102通常由通用CPU或多核处理器实现。主控板106完成整台设备的管理配置、路由学习及配置发送等。交换板104使多线卡之间可以同时通信。

传统的安全设备整体的、紧耦合的架构，用户难以部署新的安全业务。对于部署了多个安全执行单元的企业，在企业的安全管理中心对各个安全执行单元进行配置管理。这种架构存在以下局限性：(1)企业难以在安全执行单元上部署新的安全应用，通常需要购买整个设备才能完成新特性的升级；(2)不同厂商提供的安全执行单元差异比较大，安全策略不一致，难以实现互操作，难以实现集中控制和管理；(3)传统的安全执行单元通常部署在企业的边缘处，对于虚拟化多租户的场景难以胜任。

发明内容

有鉴于此，本发明的主要目的在于提供一种开放流表安全增强方法及装置，能使安全设备实现安全控制功能及安全执行功能分离，能兼容各种安全应用，支持各种安全业务。

为达到上述目的，本发明的技术方案是这样实现的：

一种开放流表安全增强方法，使安全控制功能及安全执行功能分离；所述方法包括：

获取各安全业务对应的安全应用，并从各安全应用中提取与各种安全业务对应的安全策略、安全协议及特征库；

对安全业务的安全策略进行解析，生成安全流表，并在所述安全流表中创建匹配规则；

根据所述安全流表中的匹配规则，对报文执行访问控制，以及状态防火墙、安全虚拟专用网VPN和深度报文的检测。

优选地，上述技术方案中，所述安全控制功能及安全执行功能之间通过报文转发及控制分离的协议进行信息交互。

优选地，上述技术方案中，所述报文转发及控制分离的协议包括开放流表OpenFlow协议，转发和控制件分离ForCES协议。

优选地，上述技术方案中，所述对安全业务的安全策略进行解析，生成安全流表，包括：

解析遵循特定语法的安全策略文件，转换成流表的规则定义及条目。

优选地，上述技术方案中，所述安全流表包括以下流表中的至少一种：

流状态表，用于提供状态防火墙功能，抵御拒绝服务攻击DoS的恶意攻击；

防火墙流表，用于提供访问控制表ACL功能；

安全VPN流表，用于提供互联网协议安全性IPsec VPN、安全套接层SSLVPN功能，为报文提供端到端的安全保护；

深度报文检测流表，用于提供应用识别和入侵检测功能。

优选地，上述技术方案中，所述方法还包括：

对未知报文进行深度解析，生成所述未知报文的深度解析条目，并将所述深度解析条目发送至深度报文检测流表或防火墙流表。

优选地，上述技术方案中，所述安全应用具体提供以下功能的至少一种：

安全策略，用于为各安全应用提供安全规则；

防火墙，用于配置管理访问控制和基本的抵御DoS攻击；

入侵检测预防，用于为恶意代码攻击、拒绝服务攻击提供特征库；

安全VPN，用于配置管理IPsec VPN和SSL VPN，提供密钥管理协商的控制面的协议；

防病毒，用于配置管理病毒攻击、恶意软件的策略，提供病毒特征库；

用户认证授权，用于识别合法用户，与安全流表建立关联；

应用识别，用于设定允许或不允许的应用标识，并对应用进行统计分析，进行合规性检查。

一种开放流表安全增强装置，包括安全应用单元、安全控制单元和安全执行单元，其中：

安全应用单元，用于提供各种安全业务的安全应用，以及与所述各种安全业务对应的安全策略、安全协议及特征库；