專利名稱:交換機(jī)的制作方法
技術(shù)領(lǐng)域:
本實(shí)用新型涉及通信技術(shù)�����,尤其是一種交換機(jī)���。
背景技術(shù):
現(xiàn)有的機(jī)箱式集中轉(zhuǎn)發(fā)交換機(jī)����,也稱為集中式轉(zhuǎn)發(fā)交換機(jī)或交換機(jī),通常包括管 理板與一個(gè)或多個(gè)線卡�����,另外還包括風(fēng)扇���、電源等關(guān)鍵組件。其中�����,管理板也稱為管理引擎 或主控板��,是整個(gè)交換機(jī)管理與控制的匯聚點(diǎn)���,主要用于對(duì)線卡進(jìn)行各種操作���,以及運(yùn)行各 種協(xié)議,它一旦失效�,整個(gè)交換機(jī)將不可用。每個(gè)線卡連接有一個(gè)或多個(gè)網(wǎng)絡(luò)接口 ,主要用 于通過網(wǎng)絡(luò)接口與其它通信裝置進(jìn)行數(shù)據(jù)報(bào)文的轉(zhuǎn)發(fā)�����。如圖l所示�����,為機(jī)箱式集中轉(zhuǎn)發(fā)交 換機(jī)的一個(gè)結(jié)構(gòu)示意圖�。 為了避免非法報(bào)文在網(wǎng)絡(luò)中的傳輸,保證網(wǎng)絡(luò)的安全���,通常情況下��,在交換機(jī) 中部署安全處理引擎�,并根據(jù)安全處理策略��,分析需要交換機(jī)轉(zhuǎn)發(fā)的報(bào)文特征�����,對(duì)需要 交換機(jī)轉(zhuǎn)發(fā)的報(bào)文進(jìn)行過濾處理���,轉(zhuǎn)發(fā)合法報(bào)文�����。目前����,以太網(wǎng)交換機(jī)已經(jīng)使用安全 處理引擎,在如下應(yīng)用中實(shí)現(xiàn)了安全控制安全全局地址綁定��、訪問控制列表(Access Control List,以下簡(jiǎn)稱ACL)��、服務(wù)質(zhì)量(Quality of Server,以下簡(jiǎn)稱QoS)�、全局安 全網(wǎng)絡(luò)(Global SecurityNetwork,以下簡(jiǎn)稱GSN)�、動(dòng)態(tài)主機(jī)配置協(xié)議(Dynamic Host ConfigureProtocol���,以下簡(jiǎn)稱DHCP)地址綁定�、基于802. lx協(xié)議的用戶授權(quán)等��。由于安 全處理策略的存儲(chǔ)容量的硬件設(shè)備比較昂貴��,每個(gè)安全處理策略的存儲(chǔ)容量都是有限的���, 通常只有幾千條��。 現(xiàn)有技術(shù)中�����,可以將安全處理引擎部署在管理板上或者各線卡上�。其中,將安全處 理引擎部署在管理板上實(shí)現(xiàn)安全控制的方法也稱為集中式安全控制方法�,將安全處理引擎 部署在各線卡上實(shí)現(xiàn)安全控制的方法也稱為分散式式安全控制方法。如圖2所示����,為應(yīng)用 分散式安全控制方法的交換機(jī)結(jié)構(gòu)示意圖。在分散式安全控制方法中�����,各線卡分別對(duì)其連 接的網(wǎng)絡(luò)接口發(fā)送的報(bào)文進(jìn)行過濾處理�,將合法報(bào)文發(fā)送到管理板進(jìn)行轉(zhuǎn)發(fā)處理。由于需 要分別在不同線卡上分別配置安全處理策略�����,交換機(jī)所能支持的總安全處理策略數(shù)據(jù)����,等 于交換機(jī)中所有線卡上安全處理策略數(shù)據(jù)的總和����。在交換機(jī)不同線卡的網(wǎng)絡(luò)接口配置的安 全處理策略相同時(shí)�,該安全處理策略也稱為全局安全處理策略。應(yīng)用分散式安全控制方法 實(shí)現(xiàn)安全控制時(shí)���,至少存在以下問題由于需要將這些相同的安全處理策略分別配置到交 換機(jī)所有線卡的安全處理引擎上��,在全局安全處理策略比較多的情況下����,這些安全處理策 略在所有線卡上都需要占用相同多的容量�,因此,每個(gè)線卡上所剩余的���、能夠給該線卡連接 的網(wǎng)絡(luò)接口的使用策略容量就變得極為有限���;另外��,在全局安全處理策略發(fā)生變化時(shí)�,需要 更新交換機(jī)中所有線卡上的安全處理策略,工作量較大�,安全處理策略的可管理性較差�,降 低了安全控制效果��。 如圖3所示�,為應(yīng)用集中式安全控制方法的交換機(jī)結(jié)構(gòu)示意圖。在集中式安全控 制方法中���,管理板對(duì)發(fā)送的報(bào)文進(jìn)行過濾處理���,丟棄非法報(bào)文,并對(duì)合法報(bào)文進(jìn)行轉(zhuǎn)發(fā)處 理����。在交換機(jī)需要對(duì)不同線卡連接的網(wǎng)絡(luò)接口配置特定的安全處理策略時(shí),該安全處理策
4略與網(wǎng)絡(luò)接口相關(guān)��,因此也稱為接口安全處理策略�����。應(yīng)用集中式安全控制方法實(shí)現(xiàn)安全控 制時(shí)����,至少存在以下問題可能需要采用特定的安全處理策略對(duì)特定線卡連接的網(wǎng)絡(luò)接口 上接收的數(shù)據(jù)報(bào)文進(jìn)行安全處理,因此��,就需要為特定線卡連接的網(wǎng)絡(luò)接口配置特定的安 全處理策略,由于交換機(jī)中所有線卡連接的網(wǎng)絡(luò)接口共用管理板上安全處理策略的存儲(chǔ)容 量�����,都需要占用全局資源�����,因此�����,能夠分配給每個(gè)線卡連接的網(wǎng)絡(luò)接口的安全處理策略的存 儲(chǔ)容量極為有限�。尤其是在不同線卡連接的網(wǎng)絡(luò)接口的安全處理策略相差較大時(shí),能夠分 配給每個(gè)線卡連接的網(wǎng)絡(luò)接口的安全處理策略的存儲(chǔ)容量就更少��,無法根據(jù)管理板上的安 全處理策略���,對(duì)數(shù)據(jù)報(bào)文進(jìn)行有效過濾���,降低了安全控制效果。
實(shí)用新型內(nèi)容本實(shí)用新型實(shí)施例的目的是提供一種交換機(jī)���,在線卡上設(shè)置利用接口安全處理 策略對(duì)網(wǎng)絡(luò)接口發(fā)送的數(shù)據(jù)報(bào)文進(jìn)行第一次過濾的第一安全處理引擎�����,在管理板上設(shè)置利 用全局安全處理策略對(duì)第一次過濾后輸出的數(shù)據(jù)報(bào)文進(jìn)行第二次過濾的第二安全處理引 擎���,從而合理利用線卡與管理板上的安全處理策略的存儲(chǔ)容量,有效實(shí)現(xiàn)對(duì)數(shù)據(jù)報(bào)文的安 全控制�。 本實(shí)用新型實(shí)施例提供的一種交換機(jī),包括管理板與一個(gè)或多個(gè)線卡�����,所述線卡 上設(shè)置有利用接口安全處理策略對(duì)接收到的數(shù)據(jù)報(bào)文進(jìn)行第一次過濾的第一安全處理引 擎�����; 所述管理板上設(shè)置有利用全局安全處理策略對(duì)第一次過濾后輸出的數(shù)據(jù)報(bào)文進(jìn) 行第二次過濾的第二安全處理引擎�。 基于本實(shí)用新型上述實(shí)施例提供的交換機(jī),可以在線卡上設(shè)置第一安全處理引 擎���,來利用其中部署的接口安全處理策略對(duì)數(shù)據(jù)報(bào)文進(jìn)行第一次過濾��,并在管理板上設(shè)置 第二安全處理引擎����,來利用其中部署的全局安全處理策略對(duì)數(shù)據(jù)報(bào)文進(jìn)行第二次過濾,合 理利用了管理板與線卡上安全處理策略的存儲(chǔ)容量�,提高了安全控制效果。與現(xiàn)有的分散 式安全控制方法相比���,避免了相同安全處理策略在所有線卡上都占用相同多的容量��,從而 盡可能多的為線卡連接的網(wǎng)絡(luò)接口的使用策略留有容量�����,并且���,在全局安全處理策略發(fā)生 變化時(shí),只需要對(duì)管理板上的全局安全處理策略進(jìn)行一次更新���,而不需要分別更新交換機(jī) 中所有線卡上的安全處理策略�,提高了安全處理策略的可管理性與更新速度�,提高了安全 控制效果;與現(xiàn)有的集中式安全控制方法相比�����,將與網(wǎng)絡(luò)接口相關(guān)的接口安全策略設(shè)置在 相應(yīng)的線卡上,從而節(jié)省全局資源��,有效利用全局資源設(shè)置全局安全處理策略����,來對(duì)數(shù)據(jù)報(bào) 文進(jìn)行有效過濾����,從而提高安全控制效果。 下面通過附圖和實(shí)施例�����,對(duì)本實(shí)用新型的技術(shù)方案做進(jìn)一步的詳細(xì)描述�。
圖1為機(jī)箱式集中轉(zhuǎn)發(fā)交換機(jī)的一個(gè)結(jié)構(gòu)示意圖; 圖2為應(yīng)用分散式安全控制方法的交換機(jī)結(jié)構(gòu)示意圖�; 圖3為應(yīng)用集中式安全控制方法的交換機(jī)結(jié)構(gòu)示意圖; 圖4為本實(shí)用新型交換機(jī)一個(gè)實(shí)施例的結(jié)構(gòu)示意圖����; 圖5為本實(shí)用新型交換機(jī)另一個(gè)實(shí)施例的結(jié)構(gòu)示意5[0016] 圖6為本實(shí)用新型第一安全處理引擎一個(gè)實(shí)施例的結(jié)構(gòu)示意圖; 圖7為本實(shí)用新型交換機(jī)又一個(gè)實(shí)施例的結(jié)構(gòu)示意圖���; 圖8為本實(shí)用新型第二安全處理引擎一個(gè)實(shí)施例的結(jié)構(gòu)示意圖����; 圖9為本實(shí)用新型交換機(jī)再一個(gè)實(shí)施例的結(jié)構(gòu)示意圖; 圖10為本實(shí)用新型交換機(jī)還一個(gè)實(shí)施例的結(jié)構(gòu)示意圖�����; 圖11為本實(shí)用新型交換機(jī)又一個(gè)實(shí)施例的結(jié)構(gòu)示意圖��; 圖12為利用本實(shí)用新型交換機(jī)進(jìn)行安全控制的一個(gè)實(shí)施例的流程圖�����; 圖13為利用本實(shí)用新型交換機(jī)對(duì)數(shù)據(jù)報(bào)文進(jìn)行第一次過濾的一個(gè)實(shí)施例的流程圖����。
具體實(shí)施方式本實(shí)用新型實(shí)施例中,在線卡上設(shè)置第一安全處理引擎����,并在其中部署接口安全 處理策略,據(jù)此實(shí)現(xiàn)對(duì)數(shù)據(jù)報(bào)文的第一次過濾����,在管理板上設(shè)置第二安全處理引擎,并在其 中部署全局安全處理策略�����,據(jù)此實(shí)現(xiàn)對(duì)數(shù)據(jù)報(bào)文的二次過濾,合理利用線卡與交換機(jī)上的 安全處理策略的存儲(chǔ)容量����,提高線卡與交換機(jī)上的安全處理引擎的容量利用率��,并有效實(shí) 現(xiàn)對(duì)數(shù)據(jù)報(bào)文的安全控制�����。 圖4為本實(shí)用新型交換機(jī)一個(gè)實(shí)施例的結(jié)構(gòu)示意圖���。如圖4所示���,該實(shí)施例的交 換機(jī)包括管理板101與一個(gè)或多個(gè)線卡102。其中��, 線卡102上設(shè)置有第一安全處理引擎200�,可用于利用接口安全處理策略對(duì)接收 到的數(shù)據(jù)報(bào)文進(jìn)行第一次過濾,并在第一次過濾后輸出數(shù)據(jù)報(bào)文時(shí)�����,將該輸出的數(shù)據(jù)報(bào)文 發(fā)送給管理板101,以及接收管理板101發(fā)送的待發(fā)送數(shù)據(jù)報(bào)文�����,通過該待發(fā)送數(shù)據(jù)報(bào)文攜 帶的發(fā)送網(wǎng)絡(luò)接口信息相應(yīng)的網(wǎng)絡(luò)接口發(fā)送該數(shù)據(jù)報(bào)文��。 將與網(wǎng)絡(luò)接口相關(guān)的安全處理策略部署在相應(yīng)的線卡上�����,就避免了接口安全處理 策略占用管理板上安全處理策略的存儲(chǔ)容量�,從而節(jié)省了全局資源,可以更加有效�、合理的 分配與利用全局資源,并且可以利用線卡上的存儲(chǔ)容量有效設(shè)置接口安全處理策略來對(duì)數(shù) 據(jù)報(bào)文進(jìn)行有效過濾���,提高安全控制效果��。 管理板101上設(shè)置有第二安全處理引擎300���,可用于利用全局安全處理策略對(duì)線 卡102輸出的數(shù)據(jù)報(bào)文進(jìn)行第二次過濾,并在第二次過濾后輸出合法的數(shù)據(jù)報(bào)文時(shí)���,對(duì)該 合法的數(shù)據(jù)報(bào)文進(jìn)行轉(zhuǎn)發(fā)處理�,即對(duì)該合法的數(shù)據(jù)報(bào)文標(biāo)識(shí)發(fā)送該合法的數(shù)據(jù)報(bào)文的發(fā) 送網(wǎng)絡(luò)接口信息,生成的待發(fā)送數(shù)據(jù)報(bào)文并發(fā)送給發(fā)送網(wǎng)絡(luò)接口信息對(duì)應(yīng)的線卡102����。 將全局安全處理策略部署在管理版上,從而不需要將其分別部署在各線卡上�����,因 此��,所占用的存儲(chǔ)空間較少��;并且��,可管理性較好��,在全局安全處理策略變化時(shí)���,只需要對(duì)全 局安全處理策略進(jìn)行更新即可,減小了安全處理策略的更新工作量�����。 本實(shí)用新型安全控制方法實(shí)施例在線卡上設(shè)置第一安全處理引擎����,利用其中部署 的接口安全處理策略對(duì)數(shù)據(jù)報(bào)文進(jìn)行第一次過濾�,并在管理板上設(shè)置第二安全處理引擎���, 利用其中部署的全局安全處理策略對(duì)數(shù)據(jù)報(bào)文進(jìn)行第二次過濾�����,合理利用了管理板與線卡 上安全處理策略的存儲(chǔ)容量�����,提高了安全控制效果�。例如在管理板上的第二安全處理引擎 中部署與所有網(wǎng)絡(luò)接口關(guān)聯(lián)的安全ACL����,以應(yīng)對(duì)常見的網(wǎng)絡(luò)攻擊以及計(jì)算機(jī)病毒,并在各線 卡上的第一安全處理引擎中分別部署與該線卡中的網(wǎng)絡(luò)接口關(guān)聯(lián)的用戶認(rèn)證授權(quán)策略����,例如在一個(gè)線卡的第一安全處理引擎中部署與其連接的網(wǎng)絡(luò)接口關(guān)聯(lián)的802. lx用戶授權(quán) 策略,在另一個(gè)線卡的第一安全處理引擎中部署與其網(wǎng)絡(luò)接口關(guān)聯(lián)的DHCP的IP地址與介 質(zhì)訪問控制(MediaAccess Control,以下簡(jiǎn)稱MAC)地址綁定策略��。 圖5為本實(shí)用新型交換機(jī)另一個(gè)實(shí)施例的結(jié)構(gòu)示意圖���。與圖4所示的實(shí)施例相比����, 該實(shí)施例中,線卡102包括第一接收模塊201��、第一安全處理引擎200�、第一發(fā)送模塊202與 一個(gè)或多個(gè)網(wǎng)絡(luò)接口 203。 其中����,第一接收模塊201 、第一安全處理引擎200與第一發(fā)送模塊202依次連接�,第 一接收模塊201還與第一發(fā)送模塊202連接,第一接收模塊201還分別與該第一接收模塊 201所在線卡102中的各網(wǎng)絡(luò)接口 203�����、管理板101連接����,第一發(fā)送模塊202還分別與該第 一發(fā)送模塊202所在線卡102中的各網(wǎng)絡(luò)接口 203��、管理板101連接�����。其中,網(wǎng)絡(luò)接口 203 可用于接收網(wǎng)絡(luò)中的數(shù)據(jù)報(bào)文�,并將該數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)給第一接收模塊201,以及接收第一發(fā) 送模塊202發(fā)送的待發(fā)送數(shù)據(jù)報(bào)文����,剝離該待發(fā)送數(shù)據(jù)報(bào)文攜帶的發(fā)送網(wǎng)絡(luò)接口信息后, 發(fā)送該數(shù)據(jù)報(bào)文�����。第一接收模塊201用于接收網(wǎng)絡(luò)接口 203發(fā)送的數(shù)據(jù)報(bào)文�,以及接收管 理板101發(fā)送的待發(fā)送數(shù)據(jù)報(bào)文���。第一安全處理引擎200中部署有接口安全處理策略�����,用 于利用該接口安全處理策略��,對(duì)第一接收模塊201接收到的數(shù)據(jù)報(bào)文進(jìn)行第一次過濾����。第 一發(fā)送模塊202用于在第一安全處理引擎200輸出數(shù)據(jù)報(bào)文時(shí)����,將該輸出的數(shù)據(jù)報(bào)文發(fā)送 給管理板101�����,以及根據(jù)待發(fā)送數(shù)據(jù)報(bào)文攜帶的發(fā)送網(wǎng)絡(luò)接口信息��,將待發(fā)送數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā) 給用于發(fā)送該數(shù)據(jù)報(bào)文的相應(yīng)網(wǎng)絡(luò)接口 203�����。 在圖5所示的實(shí)施例中��,網(wǎng)絡(luò)接口 203還可用于對(duì)接收到的數(shù)據(jù)報(bào)文標(biāo)識(shí)接收該 數(shù)據(jù)報(bào)文的接收網(wǎng)絡(luò)接口信息�����。相應(yīng)的����,圖6為本實(shí)用新型第一安全處理引擎一個(gè)實(shí)施例 的結(jié)構(gòu)示意圖����。如圖6所示���,第一安全處理引擎200包括第一解析單元21、第一存儲(chǔ)單元
22����、 第一比較單元23、第一選取單元24����、第一獲取單元25與第一過濾單元26。第一解析單 元21和第一過濾單元26分別與第一接收模塊201連接�����,第一解析單元21�、第一比較單元
23、 第一選取單元24�����、第一獲取單元25與第一過濾單元26依次連接���,第一獲取單元25和第 一比較單元23還分別與第一存儲(chǔ)單元22連接���,第一過濾單元26還與第一發(fā)送模塊202連 接���。 其中,第一解析單元21用于對(duì)第一接收模塊201接收到的數(shù)據(jù)報(bào)文進(jìn)行解析����,獲 取該數(shù)據(jù)報(bào)文各字段的數(shù)據(jù)內(nèi)容及接收網(wǎng)絡(luò)接口信息。第一存儲(chǔ)單元22用于存儲(chǔ)第一策 略表�����,該第一策略表中包括一個(gè)或多個(gè)接口安全處理策略��。第一比較單元23用于比較第一 解析單元21獲取到的各字段的數(shù)據(jù)內(nèi)容及接收網(wǎng)絡(luò)接口信息���,是否與第一存儲(chǔ)單元22存 儲(chǔ)的第一策略表中的各接口安全處理策略匹配��。第一選取單元24用于根據(jù)第一比較單元 23的比較結(jié)果���,在各字段的數(shù)據(jù)內(nèi)容及接收網(wǎng)絡(luò)接口信息與第一策略表中的多條接口安全 處理策略匹配時(shí),根據(jù)預(yù)先設(shè)定���,從多條接口安全處理策略中選取一條接口安全處理策略。 第一獲取單元25用于根據(jù)第一 比較單元23的比較結(jié)果,在各字段的數(shù)據(jù)內(nèi)容及網(wǎng)絡(luò)接口 信息與第一策略表中的一條接口安全處理策略匹配時(shí)�����,從第一存儲(chǔ)單元22存儲(chǔ)的第一策 略表中獲取該接口安全處理策略對(duì)應(yīng)的過濾行為��,以及在各字段的數(shù)據(jù)內(nèi)容及接收網(wǎng)絡(luò)接 口信息與第一策略表中的多條接口安全處理策略匹配時(shí)�,從第一存儲(chǔ)單元22存儲(chǔ)的第一 策略表中獲取第一選取單元24選取的接口安全處理策略對(duì)應(yīng)的過濾行為。第一過濾單元 26用于利用第一獲取單元25獲取的過濾行為����,對(duì)第一接收模塊201接收到的數(shù)據(jù)報(bào)文進(jìn)行
7第一次過濾。相應(yīng)的�,第一發(fā)送模塊202用于在第一過濾單元26輸出數(shù)據(jù)報(bào)文時(shí),將該輸出的數(shù)據(jù)報(bào)文發(fā)送給管理板101�。 圖7為本實(shí)用新型交換機(jī)又一個(gè)實(shí)施例的結(jié)構(gòu)示意圖,與圖7或圖8所示的實(shí)施例相比�,該實(shí)施例中,管理板101包括第二接收模塊301���、第二安全處理引擎300��、確定模塊302���、標(biāo)識(shí)模塊303與第二發(fā)送模塊304����,第二接收模塊301����、第二安全處理引擎300、確定模塊302����、標(biāo)識(shí)模塊303與第二發(fā)送模塊304依次連接,第二接收模塊301分別與每個(gè)線卡102或線卡102中的第一發(fā)送模塊202連接�����;第二發(fā)送模塊304分別與每個(gè)線卡102或線卡102中的第一接收模塊201連接�����。其中��,第二接收模塊301用于接收線卡102輸出的數(shù)據(jù)報(bào)文��。第二安全處理引擎300中部署有全局安全處理策略�,用于利用該全局安全處理策略,對(duì)第二接收模塊301接收到的數(shù)據(jù)報(bào)文進(jìn)行第二次過濾�����。確定模塊302用于在第二安全處理引擎300輸出合法的數(shù)據(jù)報(bào)文時(shí),根據(jù)該合法的數(shù)據(jù)報(bào)文中的轉(zhuǎn)發(fā)目的地址����,確定發(fā)送該合法的數(shù)據(jù)報(bào)文的發(fā)送網(wǎng)絡(luò)接口 203����。標(biāo)識(shí)模塊303用于對(duì)合法的數(shù)據(jù)報(bào)文標(biāo)識(shí)發(fā)送該合法的數(shù)據(jù)報(bào)文的發(fā)送網(wǎng)絡(luò)接口信息,生成待發(fā)送數(shù)據(jù)報(bào)文����。第二發(fā)送模塊304用于根據(jù)發(fā)送網(wǎng)絡(luò)接口信息,將標(biāo)識(shí)模塊303生成的待發(fā)送數(shù)據(jù)報(bào)文發(fā)送給設(shè)置該發(fā)送網(wǎng)絡(luò)接口的線卡102����。 圖8為本實(shí)用新型第二安全處理引擎一個(gè)實(shí)施例的結(jié)構(gòu)示意圖。如圖8所示�,該第二安全處理引擎300包括第二解析單元31、第二存儲(chǔ)單元32�����、第二比較單元33���、第二選取單元34���、第二獲取單元35與第二過濾單元36���,第二解析單元31和第二過濾單元36分別與第二接收模塊301連接;第二解析單元31��、第二比較單元33�、第二選取單元34、第二獲取單元35與第二過濾單元36依次連接���,第二獲取單元35和第二比較單元33還分別與第二存儲(chǔ)單元32連接��,第二過濾單元36還與確定模塊302連接���。其中,第二解析單元31用于對(duì)第二接收模塊301接收到的數(shù)據(jù)報(bào)文進(jìn)行解析����,獲取該數(shù)據(jù)報(bào)文各字段的數(shù)據(jù)內(nèi)容。第二存儲(chǔ)單元32用于存儲(chǔ)第二策略表�,該第二策略表中包括一個(gè)或多個(gè)全局安全處理策略。第二比較單元33用于比較第二解析單元31獲取到的各字段的數(shù)據(jù)內(nèi)容是否與第二存儲(chǔ)單元32存儲(chǔ)的第二策略表中的各全局安全處理策略匹配�����。第二選取單元34用于根據(jù)第二比較單元33的比較結(jié)果,在各字段的數(shù)據(jù)內(nèi)容與第二策略表中的多條全局安全處理策略匹配時(shí)���,根據(jù)預(yù)先設(shè)定�����,從多條全局安全處理策略中選取一條全局安全處理策略。第二獲取單元35用于根據(jù)第二比較單元33的比較結(jié)果��,在各字段的數(shù)據(jù)內(nèi)容與第二策略表中的一條全局安全處理策略匹配時(shí)�����,從第二存儲(chǔ)單元32存儲(chǔ)的第二策略表中獲取該全局安全處理策略對(duì)應(yīng)的過濾行為��,以及在各字段的數(shù)據(jù)內(nèi)容與第二策略表中的多條全局安全處理策略匹配時(shí)��,從第二存儲(chǔ)單元32存儲(chǔ)的第二策略表中獲取第二選取單元34選取的全局安全處理策略對(duì)應(yīng)的過濾行為�。第二過濾單元36用于利用第二獲取單元35獲取的過濾行為,對(duì)第二接收模塊301接收到的數(shù)據(jù)報(bào)文進(jìn)行第二次過濾��。 圖9為本實(shí)用新型交換機(jī)再一個(gè)實(shí)施例的結(jié)構(gòu)示意圖�。該實(shí)施例中��,第一安全處理引擎200采用了圖6所示的實(shí)施例����,第二安全處理引擎300采用了圖8所示的實(shí)施例�。圖9中,僅示出了一個(gè)線卡102����、每個(gè)線卡102包括一個(gè)網(wǎng)絡(luò)接口 203,對(duì)于交換機(jī)中包括的其它線卡102�、網(wǎng)絡(luò)接口 203的連接關(guān)系與圖9中的相同。 另外��,根據(jù)本實(shí)用新型的一個(gè)實(shí)施例����,可以在管理板101上安全處理策略的存儲(chǔ)容量不足時(shí),將無法存儲(chǔ)在管理板101上的全局安全處理策略設(shè)置在線卡102中����,即在本實(shí)用新型圖4-圖9任意實(shí)施例所示的線卡102中,還可以設(shè)置利用全局安全處理策略對(duì)接收到的數(shù)據(jù)報(bào)文進(jìn)行第三次過濾或者對(duì)第一次過濾后輸出的數(shù)據(jù)報(bào)文進(jìn)行第三次過濾的第三安全處理引擎400�����。作為本實(shí)用新型的一個(gè)實(shí)施例,該第三安全處理引擎400可以設(shè)置在第一接收模塊201與第一安全處理引擎200之間�����,先利用全局安全處理策略對(duì)第一接收模塊201接收到的數(shù)據(jù)報(bào)文先進(jìn)行第三次過濾�,并將第三次過濾后輸出的數(shù)據(jù)報(bào)文發(fā)送給第一安全處理引擎200進(jìn)行第一次過濾。作為本實(shí)用新型的另一個(gè)實(shí)施例�����,該第三安全處理引擎400也可以設(shè)置在第一安全處理引擎200與第一發(fā)送模塊202之間�����,利用全局安全處理策略對(duì)第一安全處理引擎200第一次過濾后輸出的數(shù)據(jù)報(bào)文進(jìn)行第三次過濾��,并將第三次過濾后輸出的數(shù)據(jù)報(bào)文發(fā)送給第一發(fā)送模塊202����。相應(yīng)的�����,第二安全處理引擎300利用全局安全處理策略對(duì)第一次過濾與第三次過濾后輸出的數(shù)據(jù)報(bào)文進(jìn)行第二次過濾�。圖10為本實(shí)用新型交換機(jī)還一個(gè)實(shí)施例的結(jié)構(gòu)示意圖����。具體地�,該第三安全處理引擎400可以采用圖7或圖8所示第二安全處理引擎300的結(jié)構(gòu)實(shí)現(xiàn)。 根據(jù)本實(shí)用新型的另一個(gè)實(shí)施例���,可以在線卡102上安全處理策略的存儲(chǔ)容量不足時(shí)����,將無法存儲(chǔ)在線卡102上的接口安全處理策略設(shè)置在管理板101中����,即在本實(shí)用新型圖4-圖IO任意實(shí)施例所示的管理板IOI中,還可以設(shè)置利用接口安全處理策略對(duì)第一次過濾后輸出的數(shù)據(jù)報(bào)文或第二次過濾后輸出的數(shù)據(jù)報(bào)文進(jìn)行第四次過濾的第四安全處理引擎500����。作為本實(shí)用新型的一個(gè)實(shí)施例,該第四安全處理引擎500可以設(shè)置在第二接收模塊301與第二安全處理引擎300之間���,先利用接口安全處理策略對(duì)第二接收模塊301接收到的數(shù)據(jù)報(bào)文先進(jìn)行第四次過濾�����,并將第四次過濾后輸出的數(shù)據(jù)報(bào)文發(fā)送給第二安全處理引擎300進(jìn)行第二次過濾�。作為本實(shí)用新型的另一個(gè)實(shí)施例,該第四安全處理引擎500也可以設(shè)置在第二安全處理引擎300與確定模塊302之間��,利用接口安全處理策略對(duì)第二安全處理引擎300過濾后輸出的數(shù)據(jù)報(bào)文進(jìn)行第四次過濾��,并將第四次過濾后輸出的數(shù)據(jù)報(bào)文發(fā)送給確定模塊302����。相應(yīng)的,確定模塊302用于在第四安全處理引擎500輸出合法的數(shù)據(jù)報(bào)文時(shí)�,根據(jù)該合法的數(shù)據(jù)報(bào)文中的轉(zhuǎn)發(fā)目的地址,確定發(fā)送該合法的數(shù)據(jù)報(bào)文的發(fā)送網(wǎng)絡(luò)接口 203���。圖ll為本實(shí)用新型交換機(jī)又一個(gè)實(shí)施例的結(jié)構(gòu)示意圖���。具體地�,該第四安全處理引擎500可以采用圖5或圖6所示第一安全處理引擎200的結(jié)構(gòu)實(shí)現(xiàn)。[0040] 圖12為利用本實(shí)用新型交換機(jī)進(jìn)行安全控制的一個(gè)實(shí)施例的流程圖�。如圖12所示,其包括 步驟401���,網(wǎng)絡(luò)接口 203接收網(wǎng)絡(luò)中的數(shù)據(jù)報(bào)文��,該網(wǎng)絡(luò)接口 203也稱為接收網(wǎng)絡(luò)接口 203����,并對(duì)接收到的數(shù)據(jù)報(bào)文標(biāo)識(shí)接收該數(shù)據(jù)報(bào)文的接收網(wǎng)絡(luò)接口信息后發(fā)送給第一接收模塊201。其中的網(wǎng)絡(luò)接口信息可以是網(wǎng)絡(luò)接口號(hào)或網(wǎng)絡(luò)接口名稱�����,也可以是其它唯一標(biāo)識(shí)交換機(jī)上該網(wǎng)絡(luò)接口的其它信息�����。 步驟402����,第一接收模塊201將網(wǎng)絡(luò)接口 203發(fā)送的數(shù)據(jù)報(bào)文發(fā)送給該線卡上的第一安全處理引擎200。 步驟403����,第一安全處理引擎200利用其中部署的接口安全處理策略,對(duì)第一接收模塊201接收到的數(shù)據(jù)報(bào)文進(jìn)行第一次過濾�,丟棄非法數(shù)據(jù)報(bào)文。[0044] 具體地�,該步驟403可以通過以下方式實(shí)現(xiàn) 第一安全處理引擎200對(duì)數(shù)據(jù)報(bào)文進(jìn)行解析,獲取數(shù)據(jù)報(bào)文各字段的數(shù)據(jù)內(nèi)容及接收網(wǎng)絡(luò)接口信息��;[0046] 比較各字段的數(shù)據(jù)內(nèi)容及接收網(wǎng)絡(luò)接口信息,是否與第一安全處理引擎200上第一策略表中的各接口安全處理策略匹配���。其中的接口安全處理策略可以包括是否關(guān)心接收網(wǎng)絡(luò)接口�����、接收網(wǎng)絡(luò)接口號(hào)����、數(shù)據(jù)報(bào)文類型��、數(shù)據(jù)報(bào)文類型的字段與各字段的數(shù)據(jù)內(nèi)容中的任意一個(gè)或多個(gè)�,與該接口安全處理策略對(duì)應(yīng)的過濾行為。其中的過濾行為也可以稱為數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)行為��,包括丟棄該數(shù)據(jù)報(bào)文����、轉(zhuǎn)發(fā)該數(shù)據(jù)報(bào)文、將該數(shù)據(jù)報(bào)文的某個(gè)字段的數(shù)據(jù)內(nèi)容修改為預(yù)設(shè)內(nèi)容����、或?qū)⒃摂?shù)據(jù)報(bào)文轉(zhuǎn)發(fā)到指定目的地址���; 若各字段的數(shù)據(jù)內(nèi)容及接收網(wǎng)絡(luò)接口信息與第一策略表中的一條接口安全處理策略匹配���,則獲取該接口安全處理策略對(duì)應(yīng)的過濾行為����,并利用該過濾行為對(duì)數(shù)據(jù)報(bào)文進(jìn)行第一次過濾��; 若各字段的數(shù)據(jù)內(nèi)容及接收網(wǎng)絡(luò)接口信息與第一策略表中的多條接口安全處理策略匹配����,則根據(jù)預(yù)先設(shè)定,從多條接口安全處理策略中選取一條接口安全處理策略����,例如選取第一策略表中第一條匹配的接口安全處理策略,獲取該選取的接口安全處理策略對(duì)應(yīng)的過濾行為��,并利用該過濾行為對(duì)數(shù)據(jù)報(bào)文進(jìn)行第一次過濾�����。如果獲取或選取的過濾行為是將該數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)到指定目的地址��,則相應(yīng)的����,利用該過濾行為對(duì)數(shù)據(jù)報(bào)文進(jìn)行第一次過濾具體為將數(shù)據(jù)報(bào)文的目的轉(zhuǎn)發(fā)地址修改為指定目的地址�。 步驟404��,第一發(fā)送模塊202在第一安全處理引擎200第一次過濾后輸出數(shù)據(jù)報(bào)文時(shí)�����,將該輸出的數(shù)據(jù)報(bào)文發(fā)送給管理板101上的第二接收模塊301��。 步驟405�����,第二安全處理引擎300利用其中部署的全局安全處理策略���,對(duì)第二接收模塊301接收到的數(shù)據(jù)報(bào)文進(jìn)行第二次過濾�,丟棄非法數(shù)據(jù)報(bào)文���,輸出合法的數(shù)據(jù)報(bào)文�。[0051] 具體地���,該步驟405可以通過以下流程實(shí)現(xiàn) 第二安全處理引擎300對(duì)輸出的數(shù)據(jù)報(bào)文進(jìn)行解析�,獲取輸出的數(shù)據(jù)報(bào)文各字段的數(shù)據(jù)內(nèi)容�����; 比較各字段的數(shù)據(jù)內(nèi)容是否與第二安全處理引擎300上第二策略表中的各全局安全處理策略匹配��。其中的全局安全處理策略可以包括數(shù)據(jù)報(bào)文類型���、數(shù)據(jù)報(bào)文類型的字段與各字段的數(shù)據(jù)內(nèi)容中的任意一個(gè)或多個(gè)�,與該接口安全處理策略對(duì)應(yīng)的過濾行為�。其中的過濾行為也可以稱為數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)行為,包括丟棄該數(shù)據(jù)報(bào)文����、轉(zhuǎn)發(fā)該數(shù)據(jù)報(bào)文、將該數(shù)據(jù)報(bào)文的某個(gè)字段的數(shù)據(jù)內(nèi)容修改為預(yù)設(shè)內(nèi)容���、或?qū)⒃摂?shù)據(jù)報(bào)文轉(zhuǎn)發(fā)到指定目的地址�;[0054] 若各字段的數(shù)據(jù)內(nèi)容與第二策略表中的一條全局安全處理策略匹配�����,則獲取該全局安全處理策略對(duì)應(yīng)的過濾行為�,并利用該過濾行為對(duì)輸出的數(shù)據(jù)報(bào)文進(jìn)行第二次過濾���;[0055] 若各字段的數(shù)據(jù)內(nèi)容與第二策略表中的多條全局安全處理策略匹配,則根據(jù)預(yù)先設(shè)定���,從多條全局安全處理策略中選取一條全局安全處理策略��,例如選取第一策略表中第一條匹配的接口安全處理策略�,獲取該選取的全局安全處理策略對(duì)應(yīng)的過濾行為���,并利用該過濾行為對(duì)輸出的數(shù)據(jù)報(bào)文進(jìn)行第二次過濾���。如果獲取或選取的過濾行為是將該數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)到指定目的地址,則相應(yīng)的��,利用該過濾行為對(duì)數(shù)據(jù)報(bào)文進(jìn)行第二次過濾具體為將數(shù)據(jù)報(bào)文的目的轉(zhuǎn)發(fā)地址修改為指定目的地址�。 步驟406,確定模塊302在第二次過濾后輸出合法的數(shù)據(jù)報(bào)文時(shí)����,根據(jù)合法的數(shù)據(jù)報(bào)文中的轉(zhuǎn)發(fā)目的地址,確定發(fā)送該合法的數(shù)據(jù)報(bào)文的網(wǎng)絡(luò)接口 203����,該網(wǎng)絡(luò)接口也稱為發(fā)送網(wǎng)絡(luò)接口 203��。 步驟407����,標(biāo)識(shí)模塊303對(duì)合法的數(shù)據(jù)報(bào)文標(biāo)識(shí)發(fā)送網(wǎng)絡(luò)接口信息�,生成待發(fā)送數(shù)據(jù)報(bào)文����,并通過第二發(fā)送模塊304將該待發(fā)送數(shù)據(jù)報(bào)文發(fā)送給相應(yīng)的線卡102上的第一接收模塊201。 步驟408�,第一接收模塊201根據(jù)待發(fā)送數(shù)據(jù)報(bào)文攜帶的發(fā)送網(wǎng)絡(luò)接口信息,將該待發(fā)送數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)給相應(yīng)的發(fā)送網(wǎng)絡(luò)接口 203�����。 步驟409�����,發(fā)送網(wǎng)絡(luò)接口 203剝離該待發(fā)送數(shù)據(jù)報(bào)文攜帶的發(fā)送網(wǎng)絡(luò)接口信息�����,然
后輸出數(shù)據(jù)報(bào)文,根據(jù)該數(shù)據(jù)報(bào)文中的目的轉(zhuǎn)發(fā)地址發(fā)送該數(shù)據(jù)報(bào)文�����。 假設(shè)第一安全處理引擎200中部署的接口安全處理策略包括是否關(guān)心接收網(wǎng)絡(luò)
接口����、接收網(wǎng)絡(luò)接口號(hào)、數(shù)據(jù)報(bào)文類型�����、數(shù)據(jù)報(bào)文類型的字段與各字段的數(shù)據(jù)內(nèi)容����。對(duì)數(shù)據(jù)
報(bào)文進(jìn)行解析,獲取數(shù)據(jù)報(bào)文各字段的數(shù)據(jù)內(nèi)容及接收網(wǎng)絡(luò)接口信息后��,針對(duì)每一條接口
安全處理策略��。如圖13所示���,為利用本實(shí)用新型交換機(jī)對(duì)數(shù)據(jù)報(bào)文進(jìn)行第一次過濾的一個(gè)
實(shí)施例的流程圖����,其包括 步驟501,是否不關(guān)心接收網(wǎng)絡(luò)接口����,或數(shù)據(jù)報(bào)文的接收網(wǎng)絡(luò)接口號(hào)與接口安全處理策略中的接收網(wǎng)絡(luò)接口號(hào)相同。若不關(guān)心接收網(wǎng)絡(luò)接口���,或數(shù)據(jù)報(bào)文的接收網(wǎng)絡(luò)接口號(hào)與接口安全處理策略中的接收網(wǎng)絡(luò)接口號(hào)相同�����,執(zhí)行步驟502 ;否則,若關(guān)心接收網(wǎng)絡(luò)接口并且數(shù)據(jù)報(bào)文的接收網(wǎng)絡(luò)接口號(hào)與接口安全處理策略中的接收網(wǎng)絡(luò)接口號(hào)不同����,執(zhí)行步驟508。 步驟502�,比較接收到的數(shù)據(jù)報(bào)文的類型與接口安全處理策略中的數(shù)據(jù)報(bào)文類型是否一致。若一致����,執(zhí)行步驟503 ;否則,執(zhí)行步驟508���。[0063] 步驟503��,讀取接口安全處理策略中的第一個(gè)字段����。 步驟504,比較接收到的數(shù)據(jù)報(bào)文中相應(yīng)字段的數(shù)據(jù)內(nèi)容與接口安全處理策略中的第一個(gè)字段的數(shù)據(jù)內(nèi)容是否相同��。若相同�,執(zhí)行步驟505 ;否則,執(zhí)行步驟508���。[0065] 步驟505���,判斷接口安全處理策略中是否存在下一個(gè)字段。若存在����,以該下一個(gè)字段作為第一個(gè)字段,執(zhí)行步驟503 ;否則��,執(zhí)行步驟506���。 步驟506��,認(rèn)為接收到的數(shù)據(jù)報(bào)文與該接口安全處理策略匹配�,從該接口安全處理策略中獲取相應(yīng)的過濾行為。 步驟507���,利用獲取到的過濾行為對(duì)接收到的數(shù)據(jù)報(bào)文進(jìn)行第一次過濾���。之后,不再執(zhí)行本實(shí)施例的后續(xù)流程��。 步驟508��,認(rèn)為接收到的數(shù)據(jù)報(bào)文與該接口安全處理策略不匹配����,不對(duì)接收到的數(shù)據(jù)報(bào)文進(jìn)行第一次過濾�。 作為本實(shí)用新型的一個(gè)具體實(shí)施例,不對(duì)接收到的數(shù)據(jù)報(bào)文進(jìn)行第一次過濾時(shí)����,可以根據(jù)預(yù)先設(shè)定,直接轉(zhuǎn)發(fā)該數(shù)據(jù)報(bào)文���,也可以丟棄該數(shù)據(jù)報(bào)文�,或者對(duì)該數(shù)據(jù)報(bào)文進(jìn)行其它處理����。 步驟509�����,查詢第一策略表中是否存在下一條接口安全處理策略�����,若存在���,針對(duì)下一條接口安全處理策略,執(zhí)行步驟501 ;否則�,若不存在,不對(duì)接收到的數(shù)據(jù)報(bào)文進(jìn)行第一次過濾����,線卡可以直接向管理板轉(zhuǎn)發(fā)該數(shù)據(jù)報(bào)文。 在圖13所示的實(shí)施例中�����,默認(rèn)利用第一策略表中第一條匹配的接口安全處理策略對(duì)接收到的數(shù)據(jù)報(bào)文進(jìn)行第一次過濾�。如果根據(jù)預(yù)先設(shè)定,不是利用第一策略表中第一條匹配的接口安全處理策略對(duì)接收到的數(shù)據(jù)報(bào)文進(jìn)行第一次過濾���,例如采用第一策略表中最后一條匹配的接口安全處理策略對(duì)接收到的數(shù)據(jù)報(bào)文進(jìn)行第一次過濾��,則步驟505中����,不存在下一個(gè)字段時(shí),直接執(zhí)行步驟509�����,從而選出第一策略表中所有匹配的接口安全處理策略��,并根據(jù)預(yù)先設(shè)定���,從中選取一條接口安全處理策略��,獲取該選取的接口安全處理策略對(duì)應(yīng)的過濾行為�,并利用該過濾行為對(duì)數(shù)據(jù)報(bào)文進(jìn)行第一次過濾�����。 另外���,在本實(shí)用新型安全控制方法的各實(shí)施例中���,也可以在線卡上的存儲(chǔ)容量不足以存儲(chǔ)接口安全處理策略時(shí),將一部分策略接口安全處理策略部署到管理板上的安全處理引擎中�,宏觀上提高線卡上的接口安全策略的容量;以及在管理板上的存儲(chǔ)容量不足以存儲(chǔ)全局安全處理策略時(shí)�,將一部分全局安全策略部署到線卡上的安全處理引擎中。[0073] 本領(lǐng)域普通技術(shù)人員可以理解實(shí)現(xiàn)上述方法實(shí)施例的全部或部分步驟可以通過程序指令相關(guān)的硬件來完成��,前述的程序可以存儲(chǔ)于一計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì)中��,該程序在執(zhí)行時(shí)���,執(zhí)行包括上述方法實(shí)施例的步驟����;而前述的存儲(chǔ)介質(zhì)包括ROM��、 RAM�����、磁碟或者光盤等各種可以存儲(chǔ)程序代碼的介質(zhì)����。 本實(shí)用新型實(shí)施例可以在線卡上設(shè)置第一安全處理引擎�����,利用其中部署的接口安全處理策略對(duì)數(shù)據(jù)報(bào)文進(jìn)行第一次過濾�����,并在管理板上設(shè)置第二安全處理引擎�����,利用其中部署的全局安全處理策略對(duì)數(shù)據(jù)報(bào)文進(jìn)行第二次過濾���,合理利用了管理板與線卡上安全處理策略的存儲(chǔ)容量,提高了安全控制效果��。 最后所應(yīng)說明的是以上實(shí)施例僅用以說明本實(shí)用新型的技術(shù)方案���,而非對(duì)本實(shí)用新型作限制性理解�。盡管參照上述較佳實(shí)施例對(duì)本實(shí)用新型進(jìn)行了詳細(xì)說明�,本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解其依然可以對(duì)本實(shí)用新型的技術(shù)方案進(jìn)行修改或者等同替換�,而這種修改或者等同替換并不脫離本實(shí)用新型技術(shù)方案的精神和范圍。
權(quán)利要求一種交換機(jī)��,包括管理板與一個(gè)或多個(gè)線卡,其特征在于���,所述線卡上設(shè)置有利用接口安全處理策略對(duì)接收到的數(shù)據(jù)報(bào)文進(jìn)行第一次過濾的第一安全處理引擎����;所述管理板上設(shè)置有利用全局安全處理策略對(duì)第一次過濾后輸出的數(shù)據(jù)報(bào)文進(jìn)行第二次過濾的第二安全處理引擎�。
2. 根據(jù)權(quán)利要求l所述的交換機(jī),其特征在于�����,所述線卡包括一個(gè)或多個(gè)網(wǎng)絡(luò)接口 �����; 接收所述網(wǎng)絡(luò)接口發(fā)送的數(shù)據(jù)報(bào)文�,以及接收所述管理板發(fā)送的待發(fā)送數(shù)據(jù)報(bào)文的第一接 收模塊;和利用接口安全處理策略�,對(duì)所述第一接收模塊接收到的所述數(shù)據(jù)報(bào)文進(jìn)行第一 次過濾的第一安全處理引擎;和將所述第一安全處理引擎輸出的數(shù)據(jù)報(bào)文發(fā)送給所述管理 板�����,以及根據(jù)所述待發(fā)送數(shù)據(jù)報(bào)文攜帶的發(fā)送網(wǎng)絡(luò)接口信息,將所述待發(fā)送數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā) 給相應(yīng)的網(wǎng)絡(luò)接口的第一發(fā)送模塊����;所述第一接收模塊、所述第一安全處理引擎與所述第一發(fā)送模塊依次連接�,所述第一 接收模塊還與所述第一發(fā)送模塊連接;所述第一接收模塊還分別與所在線卡中的網(wǎng)絡(luò)接 口 �、所述管理板連接;所述第一發(fā)送模塊還分別與所在線卡中網(wǎng)絡(luò)接口 ���、所述管理板連接��。
3. 根據(jù)權(quán)利要求2所述的交換機(jī)��,其特征在于�,所述第一安全處理引擎包括對(duì)所述第一接收模塊接收到的數(shù)據(jù)報(bào)文進(jìn)行解析���,獲取所述數(shù)據(jù)報(bào)文各字段的數(shù)據(jù)內(nèi)容及所述接收 網(wǎng)絡(luò)接口信息的第一解析單元�����;和存儲(chǔ)第一策略表的第一存儲(chǔ)單元����,所述第一策略表中包 括一個(gè)或多個(gè)接口安全處理策略;和比較所述第一解析單元獲取到的所述各字段的數(shù)據(jù)內(nèi) 容及所述接收網(wǎng)絡(luò)接口信息是否與所述第一策略表中的各接口安全處理策略匹配的第一 比較單元��;和根據(jù)第一比較單元的比較結(jié)果�����,在所述各字段的數(shù)據(jù)內(nèi)容及所述接收網(wǎng)絡(luò)接 口信息與所述第一策略表中的多條接口安全處理策略匹配時(shí)�����,根據(jù)預(yù)先設(shè)定����,從所述多條 接口安全處理策略中選取一條接口安全處理策略的第一選取單元�;和根據(jù)第一 比較單元的 比較結(jié)果,在所述各字段的數(shù)據(jù)內(nèi)容及所述網(wǎng)絡(luò)接口信息與所述第一策略表中的一條接口 安全處理策略匹配時(shí)�����,獲取該接口安全處理策略對(duì)應(yīng)的過濾行為���,以及在所述各字段的數(shù) 據(jù)內(nèi)容及所述接收網(wǎng)絡(luò)接口信息與所述第一策略表中的多條接口安全處理策略匹配時(shí)�,獲 取所述第一選取單元選取的接口安全處理策略對(duì)應(yīng)的過濾行為的第一獲取單元�����;和利用所 述第一獲取單元獲取的過濾行為,對(duì)所述第一接收模塊接收到的數(shù)據(jù)報(bào)文進(jìn)行第一次過濾 的第一過濾單元�;所述第一解析單元和所述第一過濾單元分別與所述第一接收模塊連接;所述第一解 析單元�、第一比較單元、所述第一選取單元�、所述第一獲取單元與所述第一過濾單元依次連 接;所述第一獲取單元和所述第一比較單元還分別與所述第一存儲(chǔ)單元連接�;所述第一過 濾單元還與所述第一發(fā)送模塊連接。
4. 根據(jù)權(quán)利要求1�、2或3所述的交換機(jī),其特征在于��,所述管理板包括接收所述線卡 發(fā)送的輸出的數(shù)據(jù)報(bào)文的第二接收模塊�;和利用全局安全處理策略,對(duì)所述第二接收模塊 接收到的所述輸出的數(shù)據(jù)報(bào)文進(jìn)行第二次過濾的第二安全處理引擎�����;和所述第二安全處理 引擎輸出合法的數(shù)據(jù)報(bào)文時(shí)�����,根據(jù)所述合法的數(shù)據(jù)報(bào)文中的轉(zhuǎn)發(fā)目的地址���,確定發(fā)送該合 法的數(shù)據(jù)報(bào)文的發(fā)送網(wǎng)絡(luò)接口的確定模塊�����;和對(duì)所述合法的數(shù)據(jù)報(bào)文標(biāo)識(shí)發(fā)送該合法的數(shù) 據(jù)報(bào)文的所述發(fā)送網(wǎng)絡(luò)接口信息����,生成待發(fā)送數(shù)據(jù)報(bào)文的標(biāo)識(shí)模塊�;和根據(jù)所述發(fā)送網(wǎng)絡(luò) 接口信息,將所述待發(fā)送數(shù)據(jù)報(bào)文發(fā)送給相應(yīng)的線卡的第二發(fā)送模塊�;所述第二接收模塊、所述第二安全處理引擎�����、所述確定模塊�、所述標(biāo)識(shí)模塊與所述第二發(fā)送模塊依次連接;所述第二接收模塊分別與每個(gè)線卡或線卡中的第一發(fā)送模塊連接�����;所 述第二發(fā)送模塊分別與每個(gè)線卡或線卡中的第一接收模塊連接���。
5. 根據(jù)權(quán)利要求4所述的交換機(jī)�����,其特征在于�,所述第二安全處理引擎包括對(duì)所述第 二接收模塊接收到的數(shù)據(jù)報(bào)文進(jìn)行解析,獲取所述數(shù)據(jù)報(bào)文各字段的數(shù)據(jù)內(nèi)容的第二解析 單元���;和存儲(chǔ)第二策略表的第二存儲(chǔ)單元��,所述第二策略表中包括一個(gè)或多個(gè)全局安全處 理策略����;比較所述第二解析單元獲取到的所述各字段的數(shù)據(jù)內(nèi)容是否與所述第二策略表中 的各全局安全處理策略匹配的第二比較單元��;和根據(jù)第二比較單元的比較結(jié)果���,在所述各 字段的數(shù)據(jù)內(nèi)容與所述第二策略表中的多條全局安全處理策略匹配時(shí)��,根據(jù)預(yù)先設(shè)定�,從 所述多條全局安全處理策略中選取一條全局安全處理策略的第二選取單元���;和根據(jù)第二比 較單元的比較結(jié)果��,在所述各字段的數(shù)據(jù)內(nèi)容與所述第二策略表中的一條全局安全處理策 略匹配時(shí)����,獲取該全局安全處理策略對(duì)應(yīng)的過濾行為,以及在所述各字段的數(shù)據(jù)內(nèi)容與所 述第二策略表中的多條全局安全處理策略匹配時(shí)�,獲取所述第二選取單元選取的全局安全 處理策略對(duì)應(yīng)的過濾行為的第二獲取單元;和利用所述第二獲取單元獲取的過濾行為�,對(duì) 所述第二接收模塊接收到的數(shù)據(jù)報(bào)文進(jìn)行第二次過濾的第二過濾單元;所述第二解析單元和所述第二過濾單元分別與所述第二接收模塊連接���;所述第二解 析單元��、第二比較單元、所述第二選取單元�����、所述第二獲取單元與所述第二過濾單元依次連 接��;所述第二獲取單元和所述第二比較單元還分別與所述第二存儲(chǔ)單元連接����;所述第二過 濾單元還與所述確定模塊連接。
6. 根據(jù)權(quán)利要求4所述的交換機(jī)����,其特征在于�,所述線卡上還設(shè)置有利用全局安全處 理策略對(duì)接收到的數(shù)據(jù)報(bào)文進(jìn)行第三次過濾或者對(duì)第一次過濾后輸出的數(shù)據(jù)報(bào)文進(jìn)行第 三次過濾的第三安全處理引擎�����;相應(yīng)的��,所述第二安全處理引擎為利用全局安全處理策略對(duì)第一次過濾與第三次過濾 后輸出的數(shù)據(jù)報(bào)文進(jìn)行第二次過濾的第二安全處理引擎�����。
7. 根據(jù)權(quán)利要求4所述的交換機(jī)�����,其特征在于�,所述管理板上還設(shè)置有利用接口安全 處理策略對(duì)第一次過濾后輸出的數(shù)據(jù)報(bào)文或第二次過濾后輸出的數(shù)據(jù)報(bào)文進(jìn)行第四次過 濾的第四安全處理引擎。
專利摘要本實(shí)用新型公開了一種交換機(jī)�����,包括管理板與一個(gè)或多個(gè)線卡��,所述線卡上設(shè)置有利用接口安全處理策略對(duì)接收到的數(shù)據(jù)報(bào)文進(jìn)行第一次過濾的第一安全處理引擎�����;所述管理板上設(shè)置有利用全局安全處理策略對(duì)第一次過濾后輸出的數(shù)據(jù)報(bào)文進(jìn)行第二次過濾的第二安全處理引擎。本實(shí)用新型實(shí)施例可以合理利用線卡與管理板上的安全處理策略的存儲(chǔ)容量���,并有效實(shí)現(xiàn)對(duì)數(shù)據(jù)報(bào)文的安全控制��。
文檔編號(hào)H04L29/06GK201467157SQ20092010868
公開日2010年5月12日 申請(qǐng)日期2009年6月1日 優(yōu)先權(quán)日2009年6月1日
發(fā)明者郭偉 申請(qǐng)人:北京星網(wǎng)銳捷網(wǎng)絡(luò)技術(shù)有限公司