多功能综合安全网关系统

1.一种多功能综合安全网关系统，其特征在于：包括管理中心、数据中心、报文接收模块、报文处理模块、报文发送模块、行为知识库及统一特征库；网络报文首先通过所述的报文接收模块进行预处理后进入所述的报文处理模块，在报文处理模块中，防火墙进行2～3层过滤，VPN负责接入控制，其中模块匹配引擎和行为分析引擎分别根据所述的统一特征库和行为知识库进行匹配查找；其次利用完全性保护技术在报文处理过程中，实时将网络层数据负载重组为应用层对象，再通过动态更新病毒和蠕虫特征来进行扫描和分析；最后，对于合法报文直接交由所述的报文发送模块进行报文转发，对于非法报文，送交相应的处理引擎进行处理；其中整个过程的日志信息和数据流量信息送所述的数据中心进行监控和备案，所述管理中心负责整体的配置和调整。
2.根据权利要求1所述的多功能综合安全网关系统，其特征在于：系统处理大量的数据报文采用OS操作系统和ASIC加速技术，通过ASIC芯片、智能排队、管道管理和紧密型模式识别语言方式，对收发和处理报文进行加速处理。
3.根据权利要求2所述的多功能综合安全网关系统，其特征在于：系统进一步利用动态威胁管理检测技术，将内容过滤、IPS、防病毒、防垃圾邮件无缝集成在一起，对各种检测过程进行关联，并跟踪每一个安全环节的检测活动。

多功能综合安全网关系统\n技术领域\n[0001] 本发明涉及网络安全网关技术领域，特别是一种多功能综合安全网关系统。\n背景技术\n[0002] 现有技术主要有防火墙，防火墙采用先进的内核状态检测包过滤技术，在操作系统的内核级实现了多层次的数据流检测，实现对数据流的细粒度检测。防火墙在数据链路层上实现了对数据帧的控制，网络层、传输层实现策略路由和状态检测包过滤，应用层实现了通用的内容过滤。日志的生成也是由内核提交给日志守护进程，使日志信息异常丰富，能够精确到每一个会话的数据流量。从中可以看出防火墙主要是检测网络层和传输层的数据包状态，并根据相应的策略作处理，其技术是一种用来加强网络之间访问控制，主要基于数据包的五元组信息对数据包进行过滤，对所有的进出数据包的状态进行检测，一般工作于网络OSI参考模型的3～4层，对于应用层防火墙只能简单的识别常见服务，无法深层次分析，如面对隐藏在应用中的病毒、木马是毫无办法的。可见防火墙功能较单一，无法解决整个网络层次应用的安全，需和带有其它功能的设备组合使用，如防病毒、入侵防御、反垃圾邮件和内容过滤等。\n发明内容\n[0003] 鉴于上述的技术不足，本发明的目的是提供一种多功能综合安全网关系统，其实现将防病毒与入侵检测功能融合于防火墙中，提供从网络层到应用层的全面安全保护。\n[0004] 本发明是这样实现的，一种多功能综合安全网关系统，其特征在于：包括管理中心、数据中心、报文接收模块、报文处理模块、报文发送模块、行为知识库及统一特征库；网络报文首先通过所述的报文接收模块进行预处理后进入所述的报文处理模块，在报文处理模块中，防火墙进行2～3层过滤，VPN负责接入控制，其中模块匹配引擎和行为分析引擎分别根据所述的统一特征库和行为知识库进行匹配查找；其次利用完全性保护技术在报文处理过程中，实时将网络层数据负载重组为应用层对象，再通过动态更新病毒和蠕虫特征来进行扫描和分析；最后，对于合法报文直接交由所述的报文发送模块进行报文转发，对于非法报文，送交相应的处理引擎进行处理；其中整个过程的日志信息和数据流量信息送所述的数据中心进行监控和备案，所述管理中心负责整体的配置和调整。\n[0005] 本发明具有以下有益效果：\n[0006] 1、将防病毒和入侵检测功能融合于防火墙之中，成为防御混合型攻击的利剑。\n[0007] 2、提供综合的功能和安全的性能，降低了复杂度，也降低了成本，适合企业、服务提供商和中小办公用户的网络环境。\n[0008] 3、能为用户定制安全策略，提供灵活性。用户既可以使用综合安全网关的全部功能，也可酌情使用最需要的某一特定功能。\n[0009] 4、能提供全面的管理、报告和日志平台，用户可以统一地管理全部安全特性，包括特征库更新和日志报告等。\n附图说明\n[0010] 图1是本发明的系统架构原理示意图。\n[0011] 图2是本发明的硬件架构示意图。\n具体实施方式\n[0012] 下面结合附图及实施例子对本发明做进一步说明。\n[0013] 首先，为让一般技术人员充分了解本发明，这里我们先对本发明采用的相关技术进行简述：\n[0014] 1)、完全性内容保护(CCP)\n[0015] CCP提供对OSI网络模型所有层次上的网络威胁的实时保护。这种方法比防火墙状态检测(检查数据包头)和深度包检测(在状态检测包过滤基础上提供额外检查)等技术先进。它具备在千兆网络环境中，实时将网络层数据负载重组为应用层对象(如文件和文档)的能力，而且重组之后的应用层对象可以通过动态更新病毒和蠕虫特征来进行扫描和分析。CCP还可探测其他各种威胁，包括不良Web内容、垃圾邮件、间谍软件和网络钓鱼欺骗。\n[0016] 2)、ASIC加速技术\n[0017] ASIC芯片是综合安全网关产品的一个关键组成部分。为了提供千兆级实时的应用层安全服务(如防病毒和内容过滤)的平台，专门为网络骨干和边界上高性能内容处理设计的体系结构是必不可少的。ASIC芯片集成了硬件扫描引擎、硬件加密和实时内容分析处理能力，提供防火墙、加密/解密，特征匹配和启发式数据包扫描，以及流量整形的加速功能。由于CCP需要强劲的处理能力和更大容量的内存来支持，仅利用通用服务器和网络系统要实现内容处理往往在性能上达不到要求。\n[0018] 3)、定制的操作系统OS\n[0019] 专用的强化安全的OS提供精简的、高性能防火墙和内容安全检测平台。基于内容处理加速模块的硬件加速，加上智能排队和管道管理，OS使各种类型流量的处理时间达到最小，从而给用户提供最好的实时系统，有效地实现防病毒、防火墙、VPN、反垃圾邮件、IDP等功能。\n[0020] 4)、紧密型模式识别语言(CPRL)\n[0021] 这一智能技术是针对完全的内容防护中大量计算程式所需求的加速而设计的。状态检测防火墙、防病毒检测和入侵检测的功能要求，引发了新的安全算法包括基于行为的启发式算法，利用在安全要素之间共享信息的优势。这无疑是对付零日攻击、提升检测威胁能力的好办法。\n[0022] 5)、动态威胁管理检测技术(CPRL)\n[0023] 动态威胁防御系统(Dynamic Threat Prevention System，简称DTPS)是由针对已知和未知威胁而增强检测能力的技术。DTPS将防病毒、IDS、IPS和防火墙等各种安全模块无缝集成在一起，将其中的攻击信息相互关联和共享，以识别可疑的恶意流量特征。DTPS通过将各种检测过程关联在一起，跟踪每一安全环节的检测活动，并通过启发式扫描和异常检测引擎检查，提高整个系统的检测精确度。\n[0024] 本发明从“一体化”的角度考虑，从底层操作系统，到各个功能模块，再到安全事件库，各个部分之间的关系不是独立的，是紧密配合、相互补充的。如图1所示，本发明包括管理中心、数据中心、报文接收模块、报文处理模块、报文发送模块、行为知识库和统一特征库。网络报文首先通过报文接收模块进行预处理后进入报文处理模块，在报文处理模块，防火墙进行2～3层过滤，VPN负责接入控制；其次模块匹配引擎和行为分析引擎分别根据统一特征库和行为知识库进行匹配查找；利用完全性保护技术在报文处理过程中，实时将网络层数据负载重组为应用层对象(如文件和文档)的能力，而且重组之后的应用层对象可以通过动态更新病毒和蠕虫特征来进行扫描和分析。最后，对于合法报文直接交由报文发送模块进行报文转发，对于非法报文，送交响应的处理引擎进行处理。整个过程的日志信息和数据流量信息送数据中心监控和备案，管理中心负责整体的配置和调整。针对系统所需处理大量数据报文，综合安全网关采用定制的操作系统和ASIC加速技术，通过ASIC芯片、智能排队、管道管理和紧密型模式识别语言等方式，对收发和处理报文进行加速处理。如：\n防病毒处理过程，在数据经过报文接收模块时，通过报文预处理和分流后，利用ASIC芯片分流出与防病毒相关的数据流，然后把数据送至防病毒处理引擎，防病毒内容处理引擎对数据流进行处理后，软件再调用ASIC加速器进行加速，符合要求则放行，不符后则丢弃。最后利用动态威胁管理检测技术，将内容过滤、IPS、防病毒、防垃圾邮件等无缝集成在一起，对各种检测过程进行关联，并跟踪每一个安全环节的检测活动，以提高系统的检测精确度，对系统安全高效运行提供有效保障。\n[0025] 下面对本发明的相关硬件结构进行介绍，请继续参考图2，图2是本发明的硬件架构示意图，由图可知综合安全网关利用硬件板卡技术，每一种安全应用均有独立的CPU、存储、总线等，各安全应用之间不存在资源的竞争，因此能够保证在多种安全功能同时打开时，仍然能够保证整个设备的高性能。同时还能够实现所谓“数据量安全调度”的能力，提高设备的处理效率。\n[0026] 此外，本发明所利用的处理器是经过定制的处理器，可以实现将已有的攻击特征库与内存中的数据进行匹配。内存中目标可以是网络流量数据包，或者是压缩后文档中的文件。这些处理器对协议识别和解析是高度适配的，允许它们从数据中快速组合目标，并对可疑的内容进行检测。\n[0027] 为了提供千兆级实时的应用层安全服务(如防病毒和内容过滤)的平台，专门为网络骨干和边界上高性能内容处理设计相应的体系结构。从图2可以看出，CPU板卡中可放置相应处理器。其中内容处理器并不是设置在流量通道中，当通用处理器(GPU)下达指令时，内容处理器自动地执行相关功能。内容处理器还包括加密引擎，在目标与“已知”的威胁比对时，能起到加速防病毒和IP技术。当系统需要大量计算时，内容处理器则使GPU免除高密度计算。网络处理器是高速执行和处理网络流量的硬件设备。它主要设置在数据通道上，自动地处理许多与基于数据包通信、一般TCP处理、加密/解密和网络地址翻译(NAT)有关的任务，以减轻其他系统单元的负荷。\n[0028] 以上所述仅为本发明的较佳实施例，凡依本发明申请专利范围所做的均等变化与修饰，皆应属本发明的涵盖范围。