專利名稱:防火墻/虛擬專用網(wǎng)集成系統(tǒng)以及電路的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)系統(tǒng),更具體的是涉及一種防火墻和虛擬專用網(wǎng)(VPN)的集成系 統(tǒng)以及電路����。
背景技術(shù):
隨著hternet在企業(yè)領(lǐng)域的應(yīng)用的迅速普及與深化,VPN(Virtual Private Network��,簡稱VPN)作為一種廉價安全的組網(wǎng)方案越來越受到歡迎�。傳統(tǒng)的VPN/防火墻集 成系統(tǒng),采用VPN軟件平臺實現(xiàn)數(shù)據(jù)包的封裝���、拆封裝�、加密���、解密���,在進行數(shù)據(jù)處理時,難 以實現(xiàn)高速數(shù)據(jù)處理�,并且數(shù)據(jù)包處理的效率比較低��。發(fā)明內(nèi)容
本發(fā)明要解決的技術(shù)問題在于提供一種防火墻/VPN集成系統(tǒng)以及電路���,使數(shù)據(jù) 流的性能在系統(tǒng)級別上得以提升,并且通過硬件平臺的靈活可變的分層設(shè)計�����,保證數(shù)據(jù)的 高速處理���,同時不喪失系統(tǒng)的安全性�����。
本發(fā)明所述的防火墻/VPN集成系統(tǒng)用于將至少一個廣域網(wǎng)(WAN)和至少一個局 域網(wǎng)(LAN)相連接���,該防火墻/VPN集成系統(tǒng)包括防火墻/VPN集成芯片組,用于發(fā)送和接收 該WAN與該LAN之間的數(shù)據(jù)包���。根據(jù)所述數(shù)據(jù)包分析訪問控制功能,該防火墻/VPN集成芯 片組至少包括提供該WAN與該LAN之間的訪問控制功能的防火墻部分�����、為該LAN與該WAN 之間的數(shù)據(jù)提供安全功能的VPN部分以及用于分析所述WAN和所述LAN之間的完整的數(shù)據(jù) 包,并且根據(jù)分析結(jié)果��,指示包緩沖區(qū)釋放數(shù)據(jù)的二級防火墻引擎���。該防火墻部分包括防火 墻硬件平臺和防火墻軟件平臺��,其中至少該防火墻硬件平臺提供與該訪問控制相關(guān)的重復(fù) 迭代功能�;該VPN部分包括VPN硬件平臺和VPN軟件平臺��,其中至少該VPN硬件平臺提供與 該安全功能相關(guān)的重復(fù)迭代功能���。
本發(fā)明所述的防火墻/VPN集成系統(tǒng)�,所述防火墻/VPN集成芯片組還包括路由 器��,用于路由所述LAN和所述WAN之間的數(shù)據(jù)��。
本發(fā)明所述的防火墻/VPN集成系統(tǒng)��,所述防火墻硬件平臺至少包括提供靜態(tài)和/ 或動態(tài)數(shù)據(jù)包過濾的電路����。
本發(fā)明所述的防火墻/VPN集成系統(tǒng),所述電路包括在所述數(shù)據(jù)的選定報頭中提 供模式匹配功能的報頭匹配數(shù)據(jù)包過濾電路�。
本發(fā)明所述的防火墻/VPN集成系統(tǒng)��,所述防火墻/VPN集成芯片組進一步根據(jù)所 述數(shù)據(jù)包的預(yù)選字節(jié)分析所述訪問控制功能�����。
本發(fā)明所述的防火墻/VPN集成系統(tǒng)����,所述預(yù)選字節(jié)包括所述數(shù)據(jù)包的前144字節(jié)�。
本發(fā)明所述的防火墻/VPN集成系統(tǒng),所述VPN部分的安全功能包括所述數(shù)據(jù)包 的加密����、解密、封裝和拆封裝����。
本發(fā)明所述的防火墻/VPN集成系統(tǒng),所述防火墻部分的訪問控制功能包括用戶自定義的訪問控制功能�。
此外,本發(fā)明還提供防火墻/VPN集成電路���,該防火墻/VPN集成電路至少包括路由 器核心�、防火墻系統(tǒng)���、VPN引擎以及二級防火墻引擎����。其中�����,該路由器核心連接至少一不可信 網(wǎng)絡(luò)和至少一可信網(wǎng)絡(luò)以發(fā)送和接收不可信網(wǎng)絡(luò)與可信網(wǎng)絡(luò)之間的數(shù)據(jù)包�;該防火墻系統(tǒng) 提供該不可信網(wǎng)絡(luò)與該可信網(wǎng)絡(luò)之間的訪問控制,該防火墻系統(tǒng)至少包括防火墻硬件平臺 和防火墻軟件平臺��,其中至少該防火墻硬件平臺提供與該訪問控制相關(guān)的重復(fù)迭代功能��, 并且分析所述數(shù)據(jù)包上的訪問控制功能���;該VPN引擎為該不可信網(wǎng)絡(luò)與該可信網(wǎng)絡(luò)之間傳 輸?shù)臄?shù)據(jù)提供安全功能��,該VPN引擎包括VPN硬件平臺和VPN軟件平臺�����,其中至少該VPN硬 件平臺提供與該安全功能相關(guān)的重復(fù)迭代功能�����;該二級防火墻引擎分析該不可信網(wǎng)絡(luò)和該 可信網(wǎng)絡(luò)之間的完整的數(shù)據(jù)包�,并且根據(jù)分析結(jié)果,指示包緩沖區(qū)釋放數(shù)據(jù)��。
本發(fā)明所述的防火墻/VPN集成電路����,所述防火墻硬件平臺至少包括提供靜態(tài)和/ 或動態(tài)數(shù)據(jù)包過濾的電路。
本發(fā)明所述的防火墻/VPN集成電路����,所述電路包括在所述數(shù)據(jù)的選定報頭中提 供模式匹配功能的報頭匹配數(shù)據(jù)包過濾電路。
本發(fā)明所述的防火墻/VPN集成電路��,所述防火墻系統(tǒng)進一步根據(jù)所述數(shù)據(jù)包的 預(yù)選字節(jié)分析所述訪問控制功能�����。
本發(fā)明所述的防火墻/VPN集成電路����,所述預(yù)選字節(jié)包括所述數(shù)據(jù)包的前144字節(jié)。
本發(fā)明所述的防火墻/VPN集成電路����,所述VPN引擎的安全功能包括所述數(shù)據(jù)包 的加密�����、解密、封裝和拆封裝�����。
本發(fā)明所述的防火墻/VPN集成電路�,所述防火墻系統(tǒng)的訪問控制功能包括用戶 自定義的訪問控制功能。
采用本發(fā)明所述的防火墻/VPN集成系統(tǒng)以及電路��,使數(shù)據(jù)流的性能在系統(tǒng)級別 上得以提升���,并且通過硬件平臺的靈活可變的分層設(shè)計�,保證數(shù)據(jù)的高速處理����,同時不喪失 系統(tǒng)的安全性。
圖1所示為根據(jù)本發(fā)明一個實施例的防火墻/VPN集成系統(tǒng)的結(jié)構(gòu)框圖2所示為根據(jù)本發(fā)明一個實施例的防火墻/VPN集成系統(tǒng)的功能框圖3所示為根據(jù)本發(fā)明一個實施例的防火墻/VPN集成系統(tǒng)的軟件和硬件組件的 示范性框圖4所示為根據(jù)本發(fā)明一個實施例的防火墻/VPN集成系統(tǒng)的示范性應(yīng)用的詳細 的網(wǎng)絡(luò)級框圖5所示為根據(jù)本發(fā)明另一個實施例的防火墻/VPN集成系統(tǒng)的功能框圖���。
具體實施方式
本發(fā)明的其它特性和優(yōu)點將在以下詳細描述并結(jié)合圖示的說明中更為明顯���,其中 相同的數(shù)字表示相同元件�����。
以下將對本發(fā)明的實施例給出詳細的說明�。盡管本發(fā)明通過這些實施方式進行闡述和說明����,但需要注意的是本發(fā)明并不僅僅只局限于這些實施方式。相反����,本發(fā)明涵蓋權(quán)利 要求所定義的發(fā)明精神和發(fā)明范圍內(nèi)的所有替代物、變體和等同物��。
另外���,為了更好的說明本發(fā)明����,在下文的具體實施方式
中給出了眾多的具體細節(jié)����。 本領(lǐng)域技術(shù)人員將理解��,沒有這些具體細節(jié)����,本發(fā)明同樣可以實施����。在另外一些實例中,對 于大家熟知的方法���、流程、元件和電路未作詳細描述����,以便于凸顯本發(fā)明的主旨。
圖1所示為根據(jù)本發(fā)明一個實施例的防火墻/VPN集成系統(tǒng)100的結(jié)構(gòu)框圖��。在一 個示范性實施例中�����,防火墻/VPN集成系統(tǒng)100包括VPN部分102和防火墻部分104�,該防火 墻部分104監(jiān)控廣域網(wǎng)(WAN) 106與局域網(wǎng)(LAN) 108之間的網(wǎng)絡(luò)流量。通常�����,VPN部分102 提供WAN 106側(cè)的網(wǎng)關(guān)之間數(shù)據(jù)包的安全加密和解密功能。VPN部分102包括VPN硬件平 臺110和VPN軟件平臺112���,該VPN硬件平臺110和VPN軟件平臺112采用本領(lǐng)域技術(shù)人員 熟知的常規(guī)的和/或?qū)S玫募用?解密算法(進程)進行加密/解密��。防火墻部分104監(jiān) 控LAN 108和WAN 106之間的網(wǎng)絡(luò)流量(以本領(lǐng)域技術(shù)人員所熟知的方式)�����,其包括監(jiān)控網(wǎng) 絡(luò)流量的防火墻硬件平臺114和防火墻軟件平臺116����。本發(fā)明使軟件平臺和硬件平臺得以 最優(yōu)化���,來實現(xiàn)VPN和防火墻的集成功能���,并使數(shù)據(jù)流的性能在系統(tǒng)級別上得以提升。
圖2所示為本發(fā)明防火墻/VPN集成系統(tǒng)的功能框圖200�����。功能框圖200中顯示出 數(shù)據(jù)流及其在VPN部分和防火墻部分中的處理過程�。由網(wǎng)絡(luò)接口 204接收來自LAN或WAN 的輸入數(shù)據(jù)202(以包數(shù)據(jù)流(packet stream)的形式)��。在本實施例中����,如本領(lǐng)域技術(shù)人 員所熟知的����,網(wǎng)絡(luò)接口 204將處理特定LAN/WAN環(huán)境下的協(xié)議。網(wǎng)絡(luò)接口 204接收包數(shù)據(jù) 流����,并將該包數(shù)據(jù)流放入包緩存區(qū)(packet buffer memory) 206。另外�����,系統(tǒng)可以配置有額 外的和/或外部的存儲設(shè)備�����,例如閃存��、同步動態(tài)隨機內(nèi)存(SDRAM)等��,該存儲設(shè)備用于臨 時性存儲數(shù)據(jù)包�����。在本實施例中��,外部存儲器208用于存儲網(wǎng)際協(xié)議(IP)數(shù)據(jù)包�。
網(wǎng)絡(luò)接口 204判定輸入數(shù)據(jù)202是來自LAN的未加密數(shù)據(jù)或是來自WAN的加密數(shù) 據(jù)。若輸入數(shù)據(jù)202是來自LAN的未加密數(shù)據(jù)����,則網(wǎng)絡(luò)接口 204通過數(shù)據(jù)路徑222將包數(shù) 據(jù)流中預(yù)選的若干字節(jié)發(fā)送至防火墻220。在本實施例中�,包數(shù)據(jù)流中前144字節(jié)被選中, 因為這些字節(jié)包括了第2層至第7層的報頭和內(nèi)容信息����。然而,144字節(jié)只是示范性的舉例 說明����,還可以有其他預(yù)選的值,如根據(jù)期望的防火墻安全級別或處理效率設(shè)定其他值����。若網(wǎng) 絡(luò)接口 204判定輸入數(shù)據(jù)202是來自WAN的加密數(shù)據(jù),則輸入的包數(shù)據(jù)流將被發(fā)送至內(nèi)部 VPN 引擎 210�����。
內(nèi)部VPN引擎210通常包括將加密數(shù)據(jù)轉(zhuǎn)換成未加密IP包數(shù)據(jù)的解密和拆封裝 進程。本發(fā)明的VPN部分利用硬件和軟件提高VPN引擎的效率將結(jié)合圖3進一步詳述���。沿 數(shù)據(jù)路徑2 到達的輸入數(shù)據(jù)202存儲在常規(guī)的VPN包緩沖器212中�。內(nèi)部VPN處理器 214將輸入數(shù)據(jù)202處理成解密和拆封裝的未加密IP包數(shù)據(jù)�����。按照本領(lǐng)域技術(shù)人員所熟知 的方式提供的內(nèi)部安全關(guān)聯(lián)數(shù)據(jù)庫216包括聯(lián)系WAN側(cè)兩個網(wǎng)關(guān)的通道數(shù)據(jù)庫��。內(nèi)部VPN 處理器214采用內(nèi)部安全關(guān)聯(lián)數(shù)據(jù)庫216中的通道信息將輸入數(shù)據(jù)202解密和拆封裝��。另 外����,提供包括微編碼的協(xié)議指令218指示內(nèi)部VPN處理器214按通用的和/或用戶自定義的 安全協(xié)議和相關(guān)程序?qū)⑤斎霐?shù)據(jù)202解密和/或拆封裝��。一旦輸入數(shù)據(jù)202被解密和/或 拆封裝��,得到的未加密IP包數(shù)據(jù)將沿著數(shù)據(jù)路徑225被發(fā)送到網(wǎng)絡(luò)接口 204���。按上述方法����, 輸入數(shù)據(jù)202的預(yù)選字節(jié)(例如,前144字節(jié))將沿著數(shù)據(jù)路徑222被發(fā)送至防火墻220�����。
防火墻220從網(wǎng)絡(luò)接口 204接收預(yù)選的若干字節(jié)��,從而開始進行包過濾和路由選擇���。本發(fā)明的防火墻部分利用硬件和軟件提高防火墻的效率將結(jié)合圖3進一步詳述��。防火 墻部分按照預(yù)設(shè)或用戶自定義的安全策略以常規(guī)方式分析輸入數(shù)據(jù)�����。其中�����,該安全策略是 本領(lǐng)域技術(shù)人員所熟知的�����,并可包括通用和/或?qū)S玫陌踩呗?��。防火墻部分實質(zhì)上提供 一不可信網(wǎng)(WAN)與一可信網(wǎng)(LAN)之間的訪問控制����。
在本實施例中����,防火墻220選用適當(dāng)?shù)挠布蛙浖治鲱A(yù)選的數(shù)據(jù),而不是處理 整個數(shù)據(jù)包��。這樣可以提高防火墻的整體速度和效率���。本領(lǐng)域技術(shù)人員應(yīng)認識到��,較多的 預(yù)選數(shù)據(jù)可提高安全性能�����,但也有可能降低防火墻處理的速度��。因此,在本發(fā)明的其他實施 例中允許用戶調(diào)整防火墻的設(shè)置����,從而符合期望的安全性能和/或期望的速度要求��。
一旦數(shù)據(jù)通過安全策略����,本發(fā)明也可以采用質(zhì)量管理進程242和服務(wù)質(zhì)量進程 226�。質(zhì)量管理進程2 管理包緩存區(qū)206,從而維持外部存儲器208中排隊等候處理的數(shù) 據(jù)包之間的鏈路�����。服務(wù)質(zhì)量進程2 作為數(shù)據(jù)包優(yōu)先權(quán)調(diào)度程序���,并從服務(wù)質(zhì)量映射和處 理器2 接收信息�����。實質(zhì)上���,如本領(lǐng)域技術(shù)人員所熟知的,服務(wù)質(zhì)量進程2 分析到達的數(shù) 據(jù)���,根據(jù)數(shù)據(jù)類型(例如��,聲音��、IP�����、視頻等)或網(wǎng)絡(luò)帶寬的考慮�,從而判定先發(fā)送哪個數(shù)據(jù)。 服務(wù)質(zhì)量進程226也可以為數(shù)據(jù)判定網(wǎng)絡(luò)中最好的路徑��。
一般來說��,若離開防火墻的數(shù)據(jù)將去往LAN��,服務(wù)質(zhì)量進程2 將按照如前所述的 流程進行處理����,處理一旦完成即將一個控制信號227發(fā)送到輸出接口 238,從而指示包緩存 區(qū)206釋放數(shù)據(jù)���。若離開防火墻的數(shù)據(jù)將去往WAN���,則在數(shù)據(jù)發(fā)送到WAN之前需要加密/封 裝數(shù)據(jù)。這種情況下��,可采用外部VPN引擎230加密和/或封裝輸出至WAN的數(shù)據(jù)。外部 VPN引擎230包括外部VPN處理器232���,該外部VPN處理器232根據(jù)協(xié)議指令234和外部安 全關(guān)聯(lián)數(shù)據(jù)庫236加密和封裝數(shù)據(jù),其處理方式類似于內(nèi)部VPN引擎210(如上所述)�����。在 一個實施例中��,外部安全關(guān)聯(lián)數(shù)據(jù)庫236中的安全策略與防火墻220中的安全策略匹配�����。一 旦數(shù)據(jù)被加密�����,則被發(fā)送到輸出接口 238并離開防火墻去往WANM0���。
圖3所示為根據(jù)本發(fā)明一個實施例的防火墻/VPN集成系統(tǒng)的軟件平臺和硬件平 臺示范性框圖300�。通常�����,軟件平臺302進一步包括防火墻軟件平臺308和VPN軟件平臺 306,而硬件平臺304(例如���,特定用途集成電路��,簡稱為ASIC)平臺進一步包括防火墻硬件 平臺310和VPN硬件平臺312�。如上所示�,本發(fā)明采用硬件和軟件來提高總體效率。一般 來說����,具有高度重復(fù)性和/或密集數(shù)學(xué)運算的進程在硬件中固化,而其他進程采用軟件實 現(xiàn)���。硬件平臺304中的每個進程包括一個或多個執(zhí)行上述任務(wù)的分布式精簡指令集計算機 (RSIC)型處理器����,當(dāng)然也可以采用其它類型處理器���。應(yīng)當(dāng)說明的是����,如圖3中不同層次所 示����,一示例性實施例提供了層次化方法來實現(xiàn)硬件和軟件功能���。當(dāng)然,本領(lǐng)域的技術(shù)人員應(yīng) 認識到���,圖3僅代表一示例性方法,還存在其它并不脫離本發(fā)明精神和范圍的層次化設(shè)計 方法��。下面將對圖3的每個單元加以詳述����。
參考圖3,如下將詳細描述本發(fā)明的一個實施例的防火墻硬件平臺310���。
集成內(nèi)嵌數(shù)據(jù)包捕獲/媒體訪問控制單元314接收來自網(wǎng)絡(luò)的以幀為單位的網(wǎng)絡(luò) 數(shù)據(jù)��。路由器核心316確保根據(jù)不同目的地地址和基于防火墻或VPN的關(guān)聯(lián)的安全策略發(fā) 送數(shù)據(jù)包����。TCP/UDP/ICMP連接監(jiān)測單元318判定連接狀態(tài)是否被完全監(jiān)測�����。該TCP/UDP/ ICMP連接監(jiān)測單元318可用于哈希查詢(hashapproach),接著搜索將到達的數(shù)據(jù)包是否在 被監(jiān)測和已注冊的連接上傳輸����。當(dāng)將到達的數(shù)據(jù)包被證明在狀態(tài)能夠被完全監(jiān)測的連接上 傳輸時,數(shù)據(jù)包能被直接發(fā)送從而加快安全策略的進程����。這樣,當(dāng)目前的連接狀態(tài)被完全監(jiān)測并且數(shù)據(jù)包被直接發(fā)送時����,狀態(tài)被關(guān)閉,以權(quán)衡防火墻/VPN集成系統(tǒng)的性能�。
內(nèi)容/簽名監(jiān)測單元320對輸入數(shù)據(jù)包的144字節(jié)進行實時分析,從而判斷該輸 入數(shù)據(jù)包中是否存在有限數(shù)量的模式����,該模式可能是已知的病毒或蠕蟲的代碼。安全策略 靜態(tài)規(guī)則監(jiān)測單元322提供靜態(tài)包過濾的功能����。其中,該靜態(tài)過濾特征是指研究當(dāng)前單個 數(shù)據(jù)包的包過濾��,而不是查找該數(shù)據(jù)包之前或者之后數(shù)據(jù)包相關(guān)性或上下文關(guān)系的包過 濾���。協(xié)議狀態(tài)檢測單元3M通過檢查連接協(xié)議的動態(tài)狀況識別該連接�����,因此采用TCP����、UDP 或ICMP協(xié)議的不同應(yīng)用可利用該協(xié)議狀態(tài)檢測單元3M分析輸入數(shù)據(jù)。在分析該輸入數(shù) 據(jù)的組成之后�,該協(xié)議狀態(tài)檢測單元3M將與TCP/UDP/ICMP連接監(jiān)測單元318通信從而進 一步檢查連接速度�。
數(shù)據(jù)包丟棄處理單元3 接收來自下層處理單元(協(xié)議狀態(tài)檢測單元324、TCP/ UDP/ICMP連接監(jiān)測單元318�����、內(nèi)容/簽名監(jiān)測單元320和安全策略靜態(tài)規(guī)則監(jiān)測單元322) 的輸出結(jié)果���,根據(jù)安全策略做出讓數(shù)據(jù)包通過或拒絕數(shù)據(jù)包通過的決定���。建立/結(jié)束會話 單元3 分析并跟蹤連接或會話的起始和終止。由于TCP連接的建立會導(dǎo)致連接兩端狀態(tài) 變化�,因此TCP連接的安全依靠這些狀態(tài)轉(zhuǎn)換。通過建立/結(jié)束會話單元328的跟蹤����,本發(fā) 明的一個實施例運用硬件速度監(jiān)控并查找該連接的建立���、查找和結(jié)束狀態(tài)。防火墻策略管 理單元330通常管理安全策略的硬件存儲器��,該硬件存儲器包括內(nèi)部存儲器����。警報產(chǎn)生單 元332通過引起軟件堆棧中相關(guān)的中斷事件,從而產(chǎn)生特殊事件作為警報�。基于不同的安 全策略或設(shè)置規(guī)則的統(tǒng)計結(jié)果可以由軟件單獨計算從而產(chǎn)生日志報告���。
參考圖3�����,如下將詳細描述本發(fā)明的一個實施例的VPN硬件平臺312�����。
協(xié)議感知VPN引擎342包括若干個硬件內(nèi)核嵌入功能部分���,該硬件內(nèi)核嵌入功能 部分包括封裝單元336����、認證單元338和加密/解密單元340����。考慮到靈活性與安全性�,還 可在該協(xié)議感知VPN引擎342中使用面向RSIC的分布式專用內(nèi)核。通過改變每個獨立微 處理器的微代碼�����,該協(xié)議感知VPN引擎342可根據(jù)所要求的不同協(xié)議執(zhí)行不同的任務(wù)�,例如 IPv4或IPv6所需的較高性能的II^sec協(xié)議�����。
IPsec安全關(guān)聯(lián)庫/安全策略庫單元346包括II^sec通道屬性數(shù)據(jù)庫的硬件存儲 器和規(guī)則選擇器���。其中��,所述II3sec通道內(nèi)至少一些數(shù)據(jù)包需要參考該數(shù)據(jù)庫���,從而確定適 用于該Psec協(xié)議的數(shù)據(jù)包所采用的處理���。通過優(yōu)化該II^sec安全關(guān)聯(lián)庫/安全策略庫單 元346達到IPsec協(xié)議應(yīng)用所需。該數(shù)據(jù)庫的內(nèi)容來自經(jīng)由IKE進程協(xié)商而來的通道�。微 代碼匯總單元348為不同安全協(xié)議保存不同的微代碼。警報產(chǎn)生單元350根據(jù)所選標(biāo)準(zhǔn)產(chǎn) 生警報�,例如通道有效期終止、遇到惡意的加密數(shù)據(jù)包��、由于通道同步導(dǎo)致數(shù)據(jù)包處理失敗 等事件�。日志單元352通過硬件統(tǒng)計支持VPN相關(guān)的常規(guī)記錄和基于每個通道的記錄。
參考圖3�����,如下將詳細描述本發(fā)明的一個實施例的軟件平臺302���。
設(shè)備驅(qū)動器邪4提供軟件平臺302與硬件平臺304間的接口�����。安全策略匯總單 元356提供用于安全策略實施的管理軟件����。狀態(tài)表追蹤應(yīng)用單元358提供詳細調(diào)查以查 明哪些應(yīng)用采用了 TCP/UCP/ICMP協(xié)議的軟件組件;接著��,為安全保護目的�����,根據(jù)不同應(yīng)用 需要和其狀態(tài)檢測����,該狀態(tài)表追蹤應(yīng)用單元358在防火墻系統(tǒng)中生成相關(guān)聯(lián)網(wǎng)關(guān)。應(yīng)用代 理單元360通常位于內(nèi)核級�,并根據(jù)應(yīng)用的級別提供更詳細的調(diào)查,其中��,該進程將內(nèi)嵌網(wǎng) 絡(luò)流量的數(shù)據(jù)流和上下文重新組合��,從而生成更詳細的內(nèi)容分析或在數(shù)據(jù)庫中進行病毒或 蠕蟲的模式搜索或或過濾不需要的指令����。管理軟件堆棧362為系統(tǒng)執(zhí)行管理任務(wù)����,其中,該任務(wù)包括防火墻系統(tǒng)和VPN引擎系統(tǒng)���。簡單網(wǎng)絡(luò)管理協(xié)議(smallnetwork management protocol����,簡稱SNMP)堆棧364根據(jù)常規(guī)請求注解(RFC)的需求執(zhí)行SNMP。該SNMP堆棧 364是通用網(wǎng)絡(luò)設(shè)備或網(wǎng)絡(luò)軟件堆棧的接口��,通過該接口可獲取系統(tǒng)中的狀態(tài)或任何統(tǒng)計 或記錄信息�。
攻擊/警報數(shù)據(jù)庫366收集來自硬件平臺304和軟件平臺302的攻擊或警報。該 事件以數(shù)據(jù)庫形式存放�,并可以與在該內(nèi)核之上級別使用的數(shù)據(jù)庫應(yīng)用方便連接。自動鍵/ 安全屬性管理(IKE/ISAMP)單元368根據(jù)RFC2048需求提供II^sec中的主要協(xié)議���,從而手動 或自動處理鍵和安全屬性(SA)��。該自動鍵/安全屬性管理(IKE/ISAMP)單元368與IPsec 功能相關(guān)聯(lián)�。認證協(xié)議匯總單元370支持II^sec認證要求����。該認證協(xié)議匯總單元370包括 封裝安全負載(Encapsulating Security Payload,簡稱 ESP)和認證報頭(Authentication Header�,簡稱AH)中的消息認證協(xié)議(HMAC-96) [RFC-2104]。所述認證機制確保數(shù)據(jù)包為可 信����,并且在傳輸過程中不可更改����。
網(wǎng)絡(luò)瀏覽器管理單元372提供基于網(wǎng)絡(luò)的管理圖形用戶界面(⑶I)組件���。在本發(fā) 明的一個實施例中�,系統(tǒng)通用CPU在HTTPS協(xié)議下主管網(wǎng)絡(luò)服務(wù)器���,管理網(wǎng)頁存儲在該網(wǎng)絡(luò) 服務(wù)器中�����。系統(tǒng)的全部配置和管理進程可集成顯示在所述管理網(wǎng)頁上���。通過安全套接字協(xié) 議層(Secure Socket Layer,簡稱SSL)���,可遠程瀏覽在WAN主機上的管理網(wǎng)頁�����,或者在具有 加密連接(例如�,為提供高密度保密����,采用選定的加密算法的連接)的本地安全LAN主機上 瀏覽管理網(wǎng)頁。本地命令行接口 /小型文件系統(tǒng)374通過命令行提供本地訪問和提供配置 文件的交互功能��。
圖4所示為根據(jù)本發(fā)明的防火墻/VPN集成系統(tǒng)的示范性應(yīng)用的詳細網(wǎng)絡(luò)級框圖 400����。如上所述,防火墻/VPN集成系統(tǒng)402作為公共網(wǎng)絡(luò)(WAN) 414和一個或多個LAN網(wǎng)絡(luò) 408和/或410的訪問控制模塊��。在本實施例中�,防火墻/VPN集成系統(tǒng)402通過常規(guī)外設(shè) 元件互連(PCI)總線404與代理服務(wù)器406相連。圖中路由器和其它部分對于本領(lǐng)域的技 術(shù)人員為常識性內(nèi)容��,在此不再贅述了����。
系統(tǒng)概述和具體示范性應(yīng)用
作為小結(jié),以下說明詳述了圖2�、圖3、圖4所示本發(fā)明的一些具體實施例���。這些實 施例只是示范性的��,所以本發(fā)明的應(yīng)用并不受限于這些實施例����。本發(fā)明提供片上系統(tǒng)方案 用于獲得集成VPN功能的高性能防火墻。防火墻部分作為密碼系統(tǒng)���,給靜態(tài)/動態(tài)包過濾 引擎的多個層提供不同密度的實時策略檢測和靈活標(biāo)準(zhǔn)策略管理��。除了為復(fù)雜標(biāo)準(zhǔn)檢測進 行靜態(tài)/動態(tài)包過濾之外����,本發(fā)明的實施例還包括為TCP/UDP/ICMP連接的“狀態(tài)檢測”提 供的匹配引擎�。因此本發(fā)明明確地為建立起的TCP/UDP連接內(nèi)的數(shù)據(jù)包加快了包過濾的速 度。
在一個示范性的實施例中�����,對于硬件包過濾系統(tǒng)覆蓋不到或無法處理的罕見病毒 或蠕蟲���,該罕見病毒或蠕蟲包含超出144字節(jié)范圍且具有非常危險的內(nèi)容�����,系統(tǒng)會將該數(shù) 據(jù)包連同預(yù)先分析的結(jié)果一起發(fā)送到CPU或網(wǎng)絡(luò)處理部件(NPU)上運行的保護代理進程����。 在本實施例中,保護代理進程采用硬件引擎分析數(shù)據(jù)包的報頭和內(nèi)容����,并且進行預(yù)分析處 理�,以此減輕CPU(或NPU)中分析或處理單個數(shù)據(jù)包的工作負荷。
通過采用硬件���,本發(fā)明的防火墻能夠具有3(ibs以太網(wǎng)連接線速度和200Mbs 3DES VPN和IPsec�,從而適合現(xiàn)代網(wǎng)絡(luò)基礎(chǔ)架構(gòu)中的高安全性能的所有方面��。9
以下將說明硬件平臺和軟件平臺各種組件的示范性功能
1.路由器核心和配置端口
在一個示范性實施例中�,路由器核心316提供基本路由選擇功能,將不同的數(shù)據(jù) 包發(fā)往多個邏輯端口���。例如�����,如圖4所示�,防火墻/VPN集成系統(tǒng)402可與多個不同的端口 相連一個連接到因特網(wǎng)路由器的不可信端口�,一個可信端口,一個隔離區(qū)(DMZ)端口���,一 個CPU主機端口和一個可選擇的NPU端口���。每個端口都有自己的IP級子網(wǎng)(除了可在路 由表中手工配置的NPU端口)���。為了利用本發(fā)明的高處理帶寬,端口結(jié)構(gòu)可以提供兩種配置 設(shè)置���,例如�,一個(^bs端口或多個10/100MbS端口����。處理不可信網(wǎng)絡(luò)流量和可信網(wǎng)絡(luò)流量的 端口有兩種。若該種靈活端口被配置成10/100MbS速率�,進入端口將由路由器合并在一起 并且作為單一邏輯端口處理。同樣地��,對于出口情況����,端口邏輯上合并成一個端口,其中根 據(jù)出口數(shù)據(jù)包的地址來選擇出口端口����。
2.靈活和可升級的四層防火墻系統(tǒng)
四層防火墻包括面向硬件的靜態(tài)/動態(tài)數(shù)據(jù)包過濾引擎的三層和定制的病毒或 蠕蟲監(jiān)測代理的一層�����。防護系統(tǒng)的每一層都有自身的特征����,并提供不同級別的安全防護���。
第一層是報頭匹配數(shù)據(jù)包過濾引擎(Header Match packetf iltering Engine,簡 稱為HEM)���,該HEM主要負責(zé)對于監(jiān)測到的數(shù)據(jù)包的報頭進行模式匹配�����,該報頭包括OSI第二 層�����、第三層和第四層報頭�。由于報頭字段具有一定程度上的包含于報頭模式中的密度和期 望內(nèi)容����,該層對數(shù)據(jù)包的過濾通常更為直接�����。因此��,該層規(guī)則的編輯和管理可以簡單形式實 現(xiàn)����,從而減輕IT用戶的操作負擔(dān)�。該層在持續(xù)的(ibs帶寬狀態(tài)內(nèi)處理網(wǎng)絡(luò)流量,無需犧牲 高帶寬性能就實現(xiàn)簡易操作�����。
在一個示范性實施例中�����,對于在第一層(HEM)中沒有被識別出來的病毒或蠕蟲���, 本發(fā)明的防火墻的第二層嵌入了具有內(nèi)容匹配硬件的數(shù)據(jù)包過濾引擎(Contents Match hardwarepacket filtering Engine��,簡稱為CME)��。該CME可分析數(shù)據(jù)報頭的144字節(jié)���,其 分析要比報頭匹配數(shù)據(jù)包過濾引擎的分析更為深入�����。
防火墻系統(tǒng)中第三層包括CPU (或NPU)中運行的幾組不同應(yīng)用代理���。由于純硬件 數(shù)據(jù)包過濾引擎的局限性,它不能滿足在超過144字節(jié)的內(nèi)容進行罕見模式的監(jiān)測需要���。 盡管CPU軟件代理提供該深層次的第三層防護,通過分析來自第一層和第二層的內(nèi)容得到 的“預(yù)先分析”結(jié)果還是做出很多貢獻���,且當(dāng)數(shù)據(jù)包需要發(fā)送給CPU端口時���,預(yù)先分析結(jié)果 可以與深層次的第三層防護的結(jié)果相結(jié)合。這種體系結(jié)構(gòu)會大大減輕來自常規(guī)CPU的處理 負擔(dān)�,CPU在偵測深層病毒情況下會運行不同代理。
會話匹配引擎(Session Match Engine�,簡稱SME)作為防火墻系統(tǒng)的第四層。該 SME包括一個嵌入式會話查找表���,該嵌入式會話查找表存儲由“狀態(tài)檢測”邏輯建立的TCP/ UDP連接����。在一個示范性實施例中,TCP/UDP的連接建立步驟經(jīng)過三方握手聯(lián)絡(luò)�����,TCP/UDP 握手控制信息包由防火墻系統(tǒng)的SME捕獲�,接著被發(fā)送到常規(guī)CPU來追蹤建立進程。等CPU 執(zhí)行并記錄連接建立進程后�����,該SME將連接套接口地址編寫到會話查找表中���,供將來該連 接上收到的數(shù)據(jù)包查詢�。在該嵌入式會話查找表中搜尋流經(jīng)該SME的TCP/UDP數(shù)據(jù)包���,通 過檢查數(shù)據(jù)包是否在建立的連接(會話)內(nèi)來決定放行還是丟棄該數(shù)據(jù)包�����,從而加快TCP/ UDP連接檢測速度���。
所有的四部分硬件單元集成在一起�,從而在使得系統(tǒng)靈活和可升級的同時也具有高安全性���。
3.協(xié)議感知VPN引擎
在一個示范性實施例中���,在協(xié)議感知VPN引擎中,一個微碼陣列Uf3S是不同安全協(xié) 議(包括IPsec在內(nèi))靈活應(yīng)用的基礎(chǔ)�。這些微處理器包括可編程的指令存儲器以提供多 協(xié)議的更新功能。
為此����,高帶寬性能需求被設(shè)計到VPN引擎中。兩條獨立的邏輯流水線處理內(nèi)部和 外部VPN網(wǎng)絡(luò)流量��。每條流水線采用微碼陣列11 執(zhí)行分配的任務(wù)��。每條流水線有一個獨 立可編程IP���,該IP執(zhí)行分配給該流水線的特定任務(wù),并在工作周期內(nèi)完成任務(wù)以提供持續(xù) 的可用帶寬����。該VPN引擎執(zhí)行各類VPN安全功能�����,包括通過不同微碼編程以保持?jǐn)?shù)據(jù)的完 整性和數(shù)據(jù)來源�。該基本的認證由專用硬件HMAC-MD5-96和HMAC-SHA-1-96提供�����。在一 個示范性實施例中�����,數(shù)據(jù)機密性的基本算法依據(jù)數(shù)據(jù)加密標(biāo)準(zhǔn)(DES/3DES)�、高級加密標(biāo)準(zhǔn) (AES)的硬件核心,因此數(shù)據(jù)處理的延遲時間是可預(yù)見的�。出于靈活性考慮,一流水線IP將 提供一外部系統(tǒng)總線�����,該外部系統(tǒng)總線與外部專用加(解)密芯片相連接���,從而無需任何公 共系統(tǒng)總線開銷��。
另外�����,系統(tǒng)包括一集成智能卡讀卡器�����,該集成智能卡讀卡器在建立VPN通道時�,為 定期產(chǎn)生公用密碼鑰匙(shared keys)或密碼鑰匙組(key pair)有效地存儲種子。
具有輸入緩沖/輸出排隊體系結(jié)構(gòu)是本發(fā)明的特點���,該體系結(jié)構(gòu)可消除路由器操 作中線頭阻塞(head of line blocking)����。輸入緩沖管理單元將接收到的IP數(shù)據(jù)包存儲在 一個鏈接表結(jié)構(gòu)(Linked List Structure)中����,從而允許轉(zhuǎn)發(fā)模塊簡單訪問并修改接收到 的IP數(shù)據(jù)包。輸出排隊方案也支持每個端口的帶寬管理功能���。該帶寬管理功能作為輸出 排隊功能模塊的一組成部分?���;诓呗缘木W(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)/網(wǎng)絡(luò)地址端口轉(zhuǎn)換(NAPT) 響應(yīng)匹配策略執(zhí)行與IP源地址的對應(yīng)的NAT轉(zhuǎn)換以及TCP/UDP端口轉(zhuǎn)換和恢復(fù)��。
本發(fā)明還提供服務(wù)質(zhì)量(Quality of krvice�����,簡稱QoS)支持����。在一個示范性實施 例中����,服務(wù)質(zhì)量性能依據(jù)策略引擎中設(shè)置的和匹配的策略。數(shù)據(jù)包的報頭的服務(wù)類型(Type of Service���,簡稱T0S)域作為區(qū)別服務(wù)(Different Service�����,簡稱DiffServ)標(biāo)記和虛擬 局域網(wǎng)(VLAN)標(biāo)記����,通過該TOS域�����,每一個輸出數(shù)據(jù)包的優(yōu)先權(quán)得以判定或排隊。通過策 略分類進程和Diffkrv映射����,數(shù)據(jù)包將根據(jù)其帶寬要求得到不同的排隊策略,從而滿足網(wǎng) 絡(luò)流量管理要求�。
系統(tǒng)通過端口鏡像(ports mirroring)方案和部分邊界網(wǎng)關(guān)協(xié)議(BGP)/開放最 短路徑優(yōu)先(OSPF)路由協(xié)議支持冗余故障切換和負載平衡。安全通道要求定期地使某些 狀態(tài)信息維持同步��。端口鏡像通過使用一以太網(wǎng)端口和BGP/0SPF消息傳送與備份網(wǎng)關(guān)傳 遞狀態(tài)信息��,如此將所需切換時間縮至最短��。
本發(fā)明的模塊化軟件堆棧允許系統(tǒng)高效工作�。為權(quán)衡安全與最優(yōu)化性能間的利 弊,嵌入式軟件堆棧提供幾個基本代理�,這些基本代理位于基于Limix系統(tǒng)的內(nèi)核中。軟件 還包括“透明代理”或“混合代理”特性����,從而通過硬件自動啟動數(shù)據(jù)包過濾,并將數(shù)據(jù)包轉(zhuǎn) 發(fā)到相關(guān)代理����。該方法的一個優(yōu)點是從用戶角度看不到此過程,并且用戶不需要為外部服 務(wù)通信設(shè)置系統(tǒng)����。作為替代,系統(tǒng)中途攔截數(shù)據(jù)包�����,并由設(shè)置代理的用戶將數(shù)據(jù)包轉(zhuǎn)發(fā)到系 統(tǒng)代理堆棧����。采用該通用結(jié)構(gòu),系統(tǒng)具備由代理提供的更完善的安全措施���,并且具有硬件過 濾數(shù)據(jù)包的高速性能����。系統(tǒng)代理堆??梢允荈TP代理、Telnet代理���、郵件代理(POP�����、P0P3等)�����,這些代理為高度具體應(yīng)用相關(guān)的功能提供病毒保護功能�。
在配置管理方面,軟件具備可訪問分布式系統(tǒng)中所有元件的集中式管理控制��。 例如���,軟件包括提供適應(yīng)多種命令腳本形式的命令行接口�,包括直觀易懂的圖形用戶界 面(⑶I)的基于網(wǎng)絡(luò)的接口����,在中央控制管理站中建立并在需要時上傳到VPN網(wǎng)關(guān)的配 置文件,供第三方供應(yīng)商為網(wǎng)絡(luò)配置系統(tǒng)開發(fā)管理軟件的應(yīng)用編程接口(Application Programming Interface��,簡禾爾 API)���。
本發(fā)明的集成特性包括集成硬件防火墻/VPN的ASIC芯片�����,適用于企業(yè)級鏈接的 IGb速率接口和靈活10/100MbS的以太網(wǎng)接口�,采用專有加密/解密ASIC芯片的靈活外部 接口,與常規(guī)CPU連接的PCI-X (133/66/33MHZ)接口���,與NPU連接的專用接口總線�����。
本發(fā)明的示范性性能特征包括持續(xù)2. IGbs以太網(wǎng)線速度和實時報頭或內(nèi)容分 析的防火墻吞吐量,每個數(shù)據(jù)包都采用確定的時鐘信號的兩層硬件包過濾引擎(兩個硬件 包過濾引擎都支持動態(tài)數(shù)據(jù)包過濾方案)�,以800Mbs、VPN吞吐量為630Mbs/3DES����,lGbs/DES 速率操作的TCP/UDP連接過濾系統(tǒng)。
如下所述為典型的防火墻系統(tǒng)特性
在一個實施例中�����,防火墻系統(tǒng)包括外部靜態(tài)存儲器(SRAM)陣列支持的片上1000 條策略和可增加的可變數(shù)量的策略�����。數(shù)據(jù)包過濾以線速分析數(shù)據(jù)包自IP層起144字節(jié) 的內(nèi)容����,從而提供無需增加額外開銷或固定成本的內(nèi)容感知安全功能���。所有數(shù)據(jù)包過濾 引擎支持根據(jù)接收數(shù)據(jù)包內(nèi)容對策略進行動態(tài)更改。通過在會話查找表中的硬件搜尋�����, 連接過濾引擎提供對TCP/UDP握手建立到連接的狀態(tài)檢測���?�?山Y(jié)合媒質(zhì)訪問控制地址 (MAC address)和入口端標(biāo)識來監(jiān)測網(wǎng)絡(luò)拓撲結(jié)構(gòu)的變化��?����;诓呗缘木W(wǎng)絡(luò)地址端口轉(zhuǎn)換 (NAPT, network address/porttranslation)可以將多個內(nèi)部IP地址轉(zhuǎn)換成一個外部IP 地址實現(xiàn)擴展虛擬網(wǎng)(VPN)應(yīng)用�。這樣�����,內(nèi)部地址也安全地隱藏���。支持在分離的網(wǎng)絡(luò)地址 轉(zhuǎn)換(NAT)中透明交換模式��。由單一策略密度控制的網(wǎng)絡(luò)流量和速率調(diào)整��。高密度和靈活 策略設(shè)置防止對ICMP聚集通道的非法攻擊��。免遭TCP_SYNFL00D�����、Ping of Death, TearDrop 等高速拒絕服務(wù)攻擊的防護�����。
如下所述為典型的VPN特性
完全支持IPv4網(wǎng)絡(luò)流量的IPsec安全服務(wù)�。支持IPsec中的二層通道協(xié)議 (L2TP)��。支持大約1000個片上通道�����、提供具有高速和各種商用級別性能的遠程的或國外 的可控制安全����。提供HMAC-MD5-96和HMAC-SHA-1-16、速率為800Mbs的認證服務(wù)����。采用 DES/3DES的數(shù)據(jù)保密性和專有加密/解密ASIC芯片的外部接口總線��。采用容納801. IQ的 VLAN以提供增強的安全措施����。
如下所述為典型的QoS網(wǎng)絡(luò)流量控制特征
網(wǎng)絡(luò)流量調(diào)整(Traffic Shape)控制����,保證帶寬,語音IP (Voice overIP)���,優(yōu)先帶覓ο
如下所述為系統(tǒng)的其它典型特征
關(guān)鍵任務(wù)應(yīng)用的狀態(tài)備份切換����。配置(ibs端口或10/100MbS端口能夠提供企業(yè)級 帶寬鏈接�。多個10/100MbS端口可以提供鏈路聚合和物理鏈路故障的自動切換。一個示范 性實施例是基于0. 15 μ m先進的CMOS技術(shù)實現(xiàn)的��。
圖5所示為根據(jù)本發(fā)明另外一個實施例的防火墻/VPN集成系統(tǒng)的功能框圖500��。圖5中的防火墻/VPN集成系統(tǒng)與圖2中的防火墻/VPN集成系統(tǒng)相似�����,其中相同的附圖標(biāo) 號表示相同的部件。出于清晰的目的����,圖5的防火墻/VPN集成系統(tǒng)中與圖2的防火墻/VPN 集成系統(tǒng)中相似的元件和特征在此不再贅述。
防火墻/VPN集成系統(tǒng)500中的數(shù)據(jù)流與圖2所示的數(shù)據(jù)流相似����。來自LAN或WAN 的輸入數(shù)據(jù)(以包數(shù)據(jù)流502(packetStream)的形式)由網(wǎng)絡(luò)接口 504接收。如本領(lǐng)域技 術(shù)人員所熟知的�,網(wǎng)絡(luò)接口 504將處理特定LAN/WAN環(huán)境下的協(xié)議。網(wǎng)絡(luò)接口 504接收包 數(shù)據(jù)流502并將該包數(shù)據(jù)流502放入一包緩存區(qū)(packet buffer memory) 506�。另外,防火 墻/VPN集成系統(tǒng)500可以配置有額外的和/或外部存儲器508 (例如�,內(nèi)存���、同步動態(tài)隨機 存取內(nèi)存(SDRAM)等此類存儲設(shè)備)���,該外部存儲器508可臨時性存儲數(shù)據(jù)包。
如上文所述�����,包數(shù)據(jù)流中前144字節(jié)或其它預(yù)選值字節(jié)的數(shù)據(jù)被直接發(fā)送至防火 墻520或經(jīng)由內(nèi)部VPN引擎被發(fā)送至防火墻520���。本發(fā)明中����,防火墻520選用適當(dāng)?shù)能浖?和硬件分析預(yù)選的數(shù)據(jù),而不是處理整個數(shù)據(jù)包�����。這樣可以提高防火墻的整體速度和效率���。 本領(lǐng)域的技術(shù)人員應(yīng)認識到��,較多的預(yù)選數(shù)據(jù)可提高安全性能�����,但也有可能降低防火墻處 理的速度��。因此���,本發(fā)明允許用戶調(diào)整防火墻的設(shè)置,從而符合期望的安全性能和/或期望 的速度要求��。
一旦數(shù)據(jù)通過安全策略,本發(fā)明也可采用質(zhì)量管理進程5 和服務(wù)質(zhì)量進程526���。 質(zhì)量管理進程5 管理包緩存區(qū)506�����,從而維持外部存儲器508中排隊等候處理的包之間的 鏈路�����。服務(wù)質(zhì)量進程5 作為數(shù)據(jù)包優(yōu)先權(quán)調(diào)度程序�����,并從服務(wù)質(zhì)量映射和處理器5 接 收數(shù)據(jù)�。
一般來說�,若離開防火墻引擎520的數(shù)據(jù)將去往LAN,服務(wù)質(zhì)量進程5 將按照如 前所述進行處理���,處理一旦完成即將一個控制信號527發(fā)送到輸出接口 538,從而指示包緩 存區(qū)506釋放數(shù)據(jù)����。若離開防火墻的數(shù)據(jù)將去往WAN,則在數(shù)據(jù)發(fā)送到WAN之前需要加密/ 封裝數(shù)據(jù)����。這種情況下���,可采用外部VPN引擎530加密和/或封裝輸出至WAN的數(shù)據(jù)。一 旦數(shù)據(jù)被加密��,則被發(fā)送到傳輸接口并離開防火墻去往WAN 5400
根據(jù)本發(fā)明的一個實施例���,防火墻/VPN集成系統(tǒng)500還包括二級防火墻引擎550��。 該二級防火墻引擎550還包括檢查包數(shù)據(jù)流的內(nèi)容的策略�。一旦包數(shù)據(jù)流中前144字節(jié)或 其它預(yù)選值字節(jié)的數(shù)據(jù)滿足該檢查包數(shù)據(jù)流的內(nèi)容的策略�,該二級防火墻引擎550將被觸 發(fā)。當(dāng)滿足策略時����,包緩存區(qū)506釋放數(shù)據(jù)至二級防火墻引擎550。
該二級防火墻引擎550選用適當(dāng)?shù)挠布蛙浖治鐾暾臄?shù)據(jù)包���。一旦完整的數(shù) 據(jù)包通過安全策略���,該數(shù)據(jù)包將被發(fā)送至輸出接口 538,從而指示包緩存區(qū)506釋放數(shù)據(jù)。 結(jié)合防火墻引擎520�,該防火墻/VPN集成系統(tǒng)500能夠?qū)⑼ㄟ^分析預(yù)選數(shù)據(jù)實現(xiàn)的高效操 作與通過分析完整數(shù)據(jù)包實現(xiàn)的完整操作結(jié)合起來。
根據(jù)實施例的一示范性方法包括一種提供防火墻訪問控制功能的方法���,該方法包 括步驟定義一個或更多訪問控制協(xié)議�����;接收一數(shù)據(jù)包�;選擇該數(shù)據(jù)包的若干字節(jié)�����;并采用 該訪問控制協(xié)議處理所選若干字節(jié)�。
實施例的防火墻/VPN集成系統(tǒng)可用于提供包括因特網(wǎng)網(wǎng)絡(luò)安全解決方案、統(tǒng)一 的網(wǎng)絡(luò)管理和全面的基于網(wǎng)絡(luò)流量的用戶使用報告在內(nèi)的整體解決方案�。另外,由于VPN 通道連接接收固有的防火墻保護�,因此實施例可以防止來自因特網(wǎng)的攻擊。采用集成防火 墻可以監(jiān)測到普通的“拒絕服務(wù)”(denial ofservice��,簡稱DOS)攻擊并予以適當(dāng)處理���,該攻擊可能會危及一獨立的VPN網(wǎng)關(guān)的安全。
實施例包括嵌入式的并行策略,該策略提供了適合VPN網(wǎng)絡(luò)流量的全面的安全功 能���,因此��,該策略為所有的網(wǎng)絡(luò)流量提供了訪問控制����。防火墻和VPN可共享同一個用戶認 證服務(wù)����,因此,個人用戶和預(yù)定的組用戶在訪問授權(quán)的資源時����,可以享有同一級別的安全服務(wù)。
數(shù)據(jù)庫更新和安全策略管理可同時應(yīng)用于VPN和防火墻���,該數(shù)據(jù)庫更新和安全策 略管理能夠減少復(fù)雜網(wǎng)絡(luò)環(huán)境中的處理延時影響�����,并提供集中式管理和較簡單的系統(tǒng)結(jié) 構(gòu)�。因此���,網(wǎng)絡(luò)管理不必在多系統(tǒng)間進行用戶認證�����。
本發(fā)明的防火墻/VPN集成系統(tǒng)可以通過每個單一策略來進行帶寬管理��。通過調(diào) 整防火墻策略�����,本發(fā)明也可以有效的實現(xiàn)VPN通道帶寬管理�。
進一步的安全功能可通過將基于策略的網(wǎng)絡(luò)地址端口轉(zhuǎn)換(NAPT,Network Address Port Translation)和網(wǎng)絡(luò)協(xié)議安全(IPsec) VPN的封裝通道模式集成來實現(xiàn)����。
本技術(shù)領(lǐng)域的技術(shù)人員應(yīng)認識到,雖然以上詳細描述基于描述較佳實施例�����,本發(fā) 明并不受限于這些實施例�。開始就應(yīng)認識到,本發(fā)明將使用“軟件”或“模塊化進程”這些 術(shù)語�����,并且這些術(shù)語應(yīng)被廣泛解釋為包括一個或多個程序進程、數(shù)據(jù)結(jié)構(gòu)��、源代碼����、程序代 碼等術(shù)語����,和/或一個或多個傳統(tǒng)的通用處理器和/或?qū)S锰幚砥鞯钠渌鎯?shù)據(jù),該處理 器可包括存儲器存儲裝置(例如����,隨機存儲存儲器(RAM)和只讀存儲器(ROM))和存儲設(shè)備 (例如,計算機可讀存儲器�、磁盤陣列、直接訪問內(nèi)存)��。進一步說��,該方法或模塊處理器可 采用定制或/和現(xiàn)成的電路元件按照本領(lǐng)域公知的方式配置來實現(xiàn)該功能���。
盡管前述說明和附圖代表了本發(fā)明優(yōu)選的實施方式�����,但應(yīng)當(dāng)理解�,可在不偏離由 權(quán)利要求所限定的本發(fā)明精神和主旨范圍的情況下,對其進行多種添附��、修正以及替換�����。本 領(lǐng)域的技術(shù)人員應(yīng)當(dāng)理解����,在使用本發(fā)明中,可進行形式��、結(jié)構(gòu)�、配置、比例����、材料、元素和部 件的多種修正���,以及在本發(fā)明實施中尤其適于特定環(huán)境條件和操作要求而進行的不偏離本 發(fā)明主旨的其它修正�。因此����,該披露的實施方式應(yīng)當(dāng)被完全地理解說明性的�����,而非限制性 的,本發(fā)明的范圍由權(quán)利要求及其法定等同方式�����,而并不局限于前述說明�。1權(quán)利要求
1.一種防火墻/虛擬專用網(wǎng)集成系統(tǒng),用于將至少一個局域網(wǎng)連接至一個廣域網(wǎng)��,其 特征在于��,所述防火墻/虛擬專用網(wǎng)集成系統(tǒng)至少包括防火墻/虛擬專用網(wǎng)集成芯片組����,用于發(fā)送和接收所述廣域網(wǎng)和所述局域網(wǎng)之間的數(shù) 據(jù)包,根據(jù)所述數(shù)據(jù)包分析訪問控制功能��,所述防火墻/虛擬專用網(wǎng)集成芯片組至少包括 防火墻部分�����,用于提供所述廣域網(wǎng)與所述局域網(wǎng)之間的訪問控制功能; 虛擬專用網(wǎng)部分�����,用于為所述廣域網(wǎng)與所述局域網(wǎng)之間的數(shù)據(jù)提供安全功能��;和 二級防火墻引擎��,用于分析所述廣域網(wǎng)和所述局域網(wǎng)之間的完整的數(shù)據(jù)包���,并且根據(jù) 分析結(jié)果�,指示包緩沖區(qū)釋放數(shù)據(jù)�;其中,所述防火墻部分至少包括防火墻硬件平臺和防火墻軟件平臺����,其中至少所述防 火墻硬件平臺用于提供與所述訪問控制功能相關(guān)的重復(fù)迭代功能,所述虛擬專用網(wǎng)部分至 少包括虛擬專用網(wǎng)硬件平臺和虛擬專用網(wǎng)軟件平臺����,其中至少所述虛擬專用網(wǎng)硬件平臺用 于提供與所述安全功能相關(guān)的重復(fù)迭代功能。
2.根據(jù)權(quán)利要求1所述的防火墻/虛擬專用網(wǎng)集成系統(tǒng)��,其特征在于,所述防火墻/虛 擬專用網(wǎng)集成芯片組還包括路由器�����,用于路由所述局域網(wǎng)和所述廣域網(wǎng)之間的數(shù)據(jù)�。
3.根據(jù)權(quán)利要求1所述的防火墻/虛擬專用網(wǎng)集成系統(tǒng),其特征在于����,所述防火墻硬件 平臺至少包括提供靜態(tài)和/或動態(tài)數(shù)據(jù)包過濾的電路。
4.根據(jù)權(quán)利要求3所述的防火墻/虛擬專用網(wǎng)集成系統(tǒng)����,其特征在于�,所述電路包括在 所述數(shù)據(jù)的選定報頭中提供模式匹配功能的報頭匹配數(shù)據(jù)包過濾電路。
5.根據(jù)權(quán)利要求1所述的防火墻/虛擬專用網(wǎng)集成系統(tǒng)���,其特征在于��,所述防火墻/虛 擬專用網(wǎng)集成芯片組進一步根據(jù)所述數(shù)據(jù)包的預(yù)選字節(jié)分析所述訪問控制功能�����。
6.根據(jù)權(quán)利要求5所述的防火墻/虛擬專用網(wǎng)集成系統(tǒng)�����,其特征在于���,所述預(yù)選字節(jié)包 括所述數(shù)據(jù)包的前144字節(jié)���。
7.根據(jù)權(quán)利要求1所述的防火墻/虛擬專用網(wǎng)集成系統(tǒng),其特征在于����,所述虛擬專用網(wǎng) 部分的安全功能包括所述數(shù)據(jù)包的加密、解密����、封裝和拆封裝。
8.根據(jù)權(quán)利要求1所述的防火墻/虛擬專用網(wǎng)集成系統(tǒng)���,其特征在于���,所述防火墻部分 的訪問控制功能包括用戶自定義的訪問控制功能。
9.一種防火墻/虛擬專用網(wǎng)集成電路�����,其特征在于,所述防火墻/虛擬專用網(wǎng)集成電路 至少包括路由器核心��,用于連接至少一不可信網(wǎng)絡(luò)和至少一可信網(wǎng)絡(luò)以發(fā)送和接收所述不可信 網(wǎng)絡(luò)與所述可信網(wǎng)絡(luò)之間的數(shù)據(jù)包��;防火墻系統(tǒng)����,用于提供所述不可信網(wǎng)絡(luò)和所述可信網(wǎng)絡(luò)之間的訪問控制功能,所述防 火墻系統(tǒng)至少包括防火墻硬件平臺和防火墻軟件平臺�����,其中至少所述防火墻硬件平臺用于 提供與所述訪問控制功能相關(guān)的重復(fù)迭代功能����,并且分析所述數(shù)據(jù)包上的訪問控制功能�; 虛擬專用網(wǎng)引擎,用于為所述不可信網(wǎng)絡(luò)和所述可信網(wǎng)絡(luò)之間的數(shù)據(jù)提供安全功能�����, 所述虛擬專用網(wǎng)引擎包括虛擬專用網(wǎng)硬件平臺和虛擬專用網(wǎng)軟件平臺�����,其中至少所述虛擬 專用網(wǎng)硬件平臺用于提供與所述安全功能相關(guān)的重復(fù)迭代功能;和二級防火墻引擎����,用于分析所述不可信網(wǎng)絡(luò)和所述可信網(wǎng)絡(luò)之間的完整的數(shù)據(jù)包,并 且根據(jù)分析結(jié)果��,指示包緩沖區(qū)釋放數(shù)據(jù)���。
10.根據(jù)權(quán)利要求9所述的防火墻/虛擬專用網(wǎng)集成電路��,其特征在于�����,所述防火墻硬 件平臺至少包括提供靜態(tài)和/或動態(tài)數(shù)據(jù)包過濾的電路��。
11.根據(jù)權(quán)利要求10所述的防火墻/虛擬專用網(wǎng)集成電路����,其特征在于�����,所述電路包括 在所述數(shù)據(jù)的選定報頭中提供模式匹配功能的報頭匹配數(shù)據(jù)包過濾電路�。
12.根據(jù)權(quán)利要求9所述的防火墻/虛擬專用網(wǎng)集成電路����,其特征在于��,所述防火墻系 統(tǒng)進一步根據(jù)所述數(shù)據(jù)包的預(yù)選字節(jié)分析所述訪問控制功能����。
13.根據(jù)權(quán)利要求12所述的防火墻/虛擬專用網(wǎng)集成電路,其特征在于����,所述預(yù)選字節(jié) 包括所述數(shù)據(jù)包的前144字節(jié)。
14.根據(jù)權(quán)利要求9所述的防火墻/虛擬專用網(wǎng)集成電路���,其特征在于����,所述虛擬專用 網(wǎng)引擎的安全功能包括所述數(shù)據(jù)包的加密����、解密��、封裝和拆封裝��。
15.根據(jù)權(quán)利要求9所述的防火墻/虛擬專用網(wǎng)集成電路,其特征在于���,所述防火墻系 統(tǒng)的訪問控制功能包括用戶自定義的訪問控制功能��。
全文摘要
一種防火墻/虛擬專用網(wǎng)集成系統(tǒng)以及電路�,用于將至少一個局域網(wǎng)(LAN)連接至一個廣域網(wǎng)(WAN)�����,包括防火墻/虛擬專用網(wǎng)(VPN)集成芯片組���,用于發(fā)送和接收WAN和LAN之間的數(shù)據(jù)包����,根據(jù)數(shù)據(jù)包分析訪問控制功能�����,防火墻/VPN集成芯片組至少包括防火墻部分�,用于提供WAN與LAN之間的訪問控制功能;VPN部分���,用于為WAN與LAN之間的數(shù)據(jù)提供安全功能���;二級防火墻引擎��,用于分析WAN和LAN之間的完整的數(shù)據(jù)包�,并且根據(jù)分析結(jié)果�,指示包緩沖區(qū)釋放數(shù)據(jù)。防火墻部分至少包括防火墻硬件平臺和防火墻軟件平臺���,至少防火墻硬件平臺用于提供與訪問控制相關(guān)的重復(fù)迭代功能�����,VPN部分至少包括VPN硬件平臺和VPN軟件平臺�,至少VPN硬件平臺用于提供與安全功能相關(guān)的重復(fù)迭代功能�。
文檔編號H04L29/06GK102035821SQ20101023906
公開日2011年4月27日 申請日期2010年7月23日 優(yōu)先權(quán)日2009年9月29日
發(fā)明者陳之翔 申請人:凹凸電子(武漢)有限公司