双核心双出口星型网络的防毒方法、装置及系统制造方法及图纸

本发明专利技术公开了一种双核心双出口星型网络的防毒方法、装置及系统。其中方法包括：在双核心双出口星型网络的两侧链路上分别部署一台防毒墙，两侧防毒墙各自利用扣包方法检测和阻断病毒，并且彼此直连。在TCP连接的双向数据流各自通过单侧防毒墙的情形下，两侧防毒墙根据传输协议类型进行必要的信息同步，使得对端防毒墙能够获知带毒文件的网络位置，或者在FTP协议下跟踪子连接。从而使得防毒墙在只捕获单向数据流时，不仅能做到病毒阻断，而且能报告带毒文件的精确网络位置。双侧防毒墙之间的同步链路为松散耦合，不存在单点失效的风险，不破坏双核心双出口星型网络的冗余特性。

【技术实现步骤摘要】
双核心双出口星型网络的防毒方法、装置及系统
本专利技术涉及网络
，特别是涉及一种双核心双出口星型网络的防毒方法、装置及系统。
技术介绍
目前大型园区网普遍采用双核心双出口星型结构，双核心双出口星型网络的实质是冗余配置。如图1所示，在核心层中，核心路由器Ra和Rb互为热备，并分别通过链路1和链路2连接上层网络；在汇聚层中，汇聚路由器分别与每个核心路由器建立连接，如R1通过链路3和链路4连接核心路由器Ra和Rb。这种连接方式能够保障与上层网络的连通性不会因单点失效（比如Ra崩溃）而中断。双核心星型结构除链路冗余外，还承担负载均衡的功能。核心路由器Ra和Rb相对于汇聚层路由器是等距的，通过路由协议，如OSPF协议的等价多路径负载均衡，或者策略路由，主机10.1.3.68访问上层网络的出流量（黑色虚线表示），既可以选择路径(R1,Ra)，也可以选择路径(R1,Rb)，从而使得双核心设备和出口带宽得到充分利用。同理，从上层网络返回到10.1.3.68的流量，也可以选择路径(Ra,R1)或(Rb,R1)。目前，一般采用透明代理防毒墙对网络传输中的病毒进行过滤，以保证网络安全。透明代理防毒墙的原理如图2所示（图2右下侧方框是防毒墙的框架结构），在透明代理防毒墙系统中，客户端与服务器之间的原始连接被客户端与防毒墙系统之间的接管连接以及防毒墙系统与服务器之间的代理连接所取代。防毒墙系统的透明代理保证代理连接所使用的IP源地址和TCP源端口与原始连接一致；防毒墙系统的协议代理模块负责接管原始连接和发起代理连接，解析应用层协议，还原和缓存文件，并交给查毒引擎查杀。透明代理防毒墙功能有效性的必要条件是：代理TCP连接的双向流量都必须通过同一台防毒墙，否则透明代理防毒墙会发生功能失效，甚至导致网络中断。在图1中，对于在路由器Ra出口链路1上布置的防毒墙，如果10.1.3.68访问上层网络的流量经过Ra，但由于多链路负载均衡的原因，上层网络返回10.1.3.68的流量可能经过Rb一侧，就会发生防毒墙功能失效。因此，如何实现在双核心双出口星型网络中，防毒墙只捕获TCP连接单向数据流的前提下，仍能做到病毒阻断，并报告带毒文件的网络位置信息是个亟待解决的问题。
技术实现思路
本专利技术提供了一种双核心双出口星型网络的防毒方法、装置及系统，在双核心双出口星型网络中，防毒墙只捕获TCP连接单个方向流量的前提下，仍能做到病毒阻断，并报告带毒文件的网络位置。为实现本专利技术目的而提供的一种双核心双出口星型网络的防毒方法，包括如下步骤：S100，在双核心双出口星型网络的双链路上各自部署一台防毒墙，双侧防毒墙之间彼此直连，两台防毒墙各自采用扣包方法查杀和阻断病毒；S200，TCP连接的双向数据流经过防毒墙时，防毒墙各自独立地采用扣包方法查杀并阻断数据流中带毒文件的传输；TCP连接的单向数据流经过一侧防毒墙时，该侧防毒墙根据传输协议类型将同步信息同步到对端防毒墙；S300，任一侧防毒墙根据对端防毒墙同步过来的同步信息，辅助进行子连接跟踪，并各自独立地对经过的TCP连接的单向数据流采用扣包方法进行病毒查杀，在发现病毒时报告带毒文件的精确网络位置。较佳地，作为一种可实施方式，两侧防毒墙中各自设定用于发送和/或接收同步信息的网卡；所述两侧防毒墙之间通过双绞线进行物理直连。较佳地，作为一种可实施方式，所述S200包括以下步骤：S210，两侧防毒墙同时判断TCP连接双向数据流是否经过同侧防毒墙，如果是则执行步骤S220，否则执行步骤S230；S220，防毒墙捕获并解析TCP连接的双向数据流，直接利用扣包方法对带毒数据流进行查杀和阻断后结束返回；S230，一侧防毒墙捕获经过的TCP连接的单向数据流，根据传输协议类型判断是否需要同步所述同步信息到对端防毒墙；并在判断出需要同步所述同步信息到对端防毒墙时，提取出子连接协商信息或者传输文件的网络位置信息作为同步信息通过防毒墙间同步链路发送给对端防毒墙。较佳地，作为一种可实施方式，所述S230，包括以下步骤：S231，判断TCP连接的单向数据流的传输协议类型；S232，当判断出所述传输协议为HTTP传输协议时，本侧防毒墙从TCP连接的单向数据流中捕获到GET信息作为同步信息，通过防毒墙间同步链路将所述GET信息发送给对端防毒墙；S233，当判断出所述传输协议为SMTP或者POP3传输协议时，本侧防毒墙不提取同步信息，也不发送同步信息到对端防毒墙，两侧防毒墙各自从邮件本身中提取网络位置信息；S234，当判断出所述传输协议为FTP传输协议时，本侧防毒墙以PORT、STOR、RETR、CWD和227应答作为同步信息，通过防毒墙间同步链路将所述PORT、STOR、RETR、CWD和227应答发送给对端防毒墙。较佳地，作为一种可实施方式，所述S300包括以下步骤：S310，判断所述TCP连接的单向数据流的传输协议类型；S320，当判断出所述传输协议为HTTP传输协议时，本侧防毒墙对经过的单方向数据流利用扣包方法查杀和阻断病毒，并利用对端同步过来的GET请求中的URL信息对所查杀的病毒报告精确的网络位置；当所述传输协议为SMTP或者POP3传输协议时，本侧防毒墙对经过的单向数据流直接利用扣包方法查杀和阻断病毒，并独立地从邮件本身中解析出网络位置信息；当所述传输协议为FTP传输协议时，根据FTP文件传输模式和类型，本侧防毒墙选择利用对端同步信息中的PORT命令或227应答获知FTP数据连接的协商信息并跟踪数据连接，利用扣包方法查杀和阻断病毒，选择利用对端同步信息中的CWD、RETR和STOR命令获取带毒文件的网络位置信息。较佳地，作为一种可实施方式，所述当所述传输协议为FTP传输协议时，根据FTP文件传输模式和类型，本侧防毒墙选择利用对端同步信息中的PORT命令或227应答获知FTP数据连接的协商信息并跟踪数据连接，利用扣包方法查杀和阻断病毒，选择利用对端同步信息中的CWD、RETR和STOR命令获取带毒文件的网络位置信息，包括以下步骤：S321，判断所述FTP文件传输模式和类型；S322，当判断出所述FTP文件传输为主动连接-文件上传时，上传方向的防毒墙直接对上传文件采用扣包进行病毒的查杀和阻断；并独立地获得子连接协商信息和文件路径信息；S323，当判断出所述FTP文件传输为主动连接-文件下载时，下载方向的防毒墙利用对端同步的子连接协商信息和文件路径信息对下载文件采用扣包方法进行病毒的查杀和阻断；S324，当判断出所述FTP文件传输为被动连接-文件上传时，上传方向的防毒墙利用对端同步的子连接协商信息采用扣包方法进行病毒的查杀和阻断，并独立地获得文件路径信息；S325，当判断出所述FTP文件传输为被动连接-文件下载时，下载方向的防毒墙独立地获得子连接协商信息，采用扣包方法进行病毒的查杀和阻断，并获得对端同步过来的文件路径信息。较佳地，两台防毒墙处于松散耦合关系，同步信息的丢失或者任一台防毒墙的宕机不会影响对端防毒墙的数据包转发和病毒阻断。基于同一专利技术构思的一种双核心双出口星型网络的防毒装置：在双侧链路上各部署一台防毒墙，两侧防毒墙之间通过同步链路连接，其中：双核心网络与外部网络的交互流量通过防毒墙进行传输；所述同步链路物理连接两本文档来自技高网...

【技术保护点】
一种双核心双出口星型网络的防毒方法，其特征在于，包括以下步骤：S100，在双核心双出口星型网络的双链路上各自部署一台防毒墙，双侧防毒墙之间彼此直连，两台防毒墙各自采用扣包方法查杀和阻断病毒；S200，TCP连接的双向数据流经过防毒墙时，防毒墙各自独立地采用扣包方法查杀并阻断数据流中带毒文件的传输；TCP连接的单向数据流经过一侧防毒墙时，该侧防毒墙根据传输协议类型将同步信息同步到对端防毒墙；S300，任一侧防毒墙根据对端防毒墙同步过来的同步信息，辅助进行子连接跟踪，并各自独立地对经过的TCP连接的单向数据流采用扣包方法进行病毒查杀，在发现病毒时报告带毒文件的精确网络位置。

【技术特征摘要】
1.一种双核心双出口星型网络的防毒方法，其特征在于，包括以下步骤：S100，在双核心双出口星型网络的双链路上各自部署一台防毒墙，双侧防毒墙之间彼此直连，两台防毒墙各自采用扣包方法查杀和阻断病毒；S200，TCP连接的双向数据流经过防毒墙时，防毒墙各自独立地采用扣包方法查杀并阻断数据流中带毒文件的传输；TCP连接的单向数据流经过一侧防毒墙时，根据传输协议类型判断是否需要同步所述同步信息到对端防毒墙；并在判断出需要同步所述同步信息到对端防毒墙时，该侧防毒墙根据传输协议类型将同步信息同步到对端防毒墙；S300，任一侧防毒墙根据对端防毒墙同步过来的同步信息，辅助进行子连接跟踪，并各自独立地对经过的TCP连接的单向数据流采用扣包方法进行病毒查杀，在发现病毒时报告带毒文件的精确网络位置。2.根据权利要求1所述的双核心双出口星型网络的防毒方法，其特征在于：两侧防毒墙中各自设定用于发送和/或接收同步信息的网卡；所述两侧防毒墙之间通过双绞线进行物理直连。3.根据权利要求1所述的双核心双出口星型网络的防毒方法，其特征在于，所述S200，包括以下步骤：S210，两侧防毒墙同时判断TCP连接双向数据流是否经过同侧防毒墙，如果是则执行步骤S220，否则执行步骤S230；S220，防毒墙捕获并解析TCP连接的双向数据流，直接利用扣包方法对带毒数据流进行查杀和阻断后结束返回；S230，一侧防毒墙捕获经过的TCP连接的单向数据流，根据传输协议类型判断是否需要同步所述同步信息到对端防毒墙；并在判断出需要同步所述同步信息到对端防毒墙时，提取出子连接协商信息或者传输文件的网络位置信息作为同步信息通过防毒墙间同步链路发送给对端防毒墙。4.根据权利要求3所述的双核心双出口星型网络的防毒方法，其特征在于，所述S230，包括以下步骤：S231，判断TCP连接的单向数据流的传输协议类型；S232，当判断出所述传输协议为HTTP传输协议时，本侧防毒墙从TCP连接的单向数据流中捕获到GET信息作为同步信息，通过防毒墙间同步链路将所述GET信息发送给对端防毒墙；S233，当判断出所述传输协议为SMTP或者POP3传输协议时，本侧防毒墙不提取同步信息，也不发送同步信息到对端防毒墙，两侧防毒墙各自从邮件本身中提取网络位置信息；S234，当判断出所述传输协议为FTP传输协议时，本侧防毒墙以PORT、STOR、RETR、CWD和227应答作为同步信息，通过防毒墙间同步链路将所述PORT、STOR、RETR、CWD和227应答发送给对端防毒墙。5.根据权利要求4所述的双核心双出口星型网络的防毒方法，其特征在于，所述S300，包括以下步骤：S310，判断所述TCP连接的单向数据流的传输协议类型；S320，当判断出所述传输协议为HTTP传输协议时，本侧防毒墙对经过的单方向数据流利用扣包方法查杀和阻断病毒，并利用对端同步过来的GET请求中的URL信息对所查杀的病毒报告精确的网络位置；当所述传输协议为SMTP或者POP3传输协议时，本侧防毒墙对经过的单向数据流直接利用扣包方法查杀和阻断病毒，并独立地从邮件本身中解析出网络位置信息；当所述传输协议为FTP传输协议时，根据FTP文件传输模式和类型，本侧防毒墙选择利用对端同步信息中的PORT命令或227应答获知FTP数据连接的协商信息并跟踪数据连接，利用扣包方法查杀和阻断病毒，选择利用对端同步信息中的CWD、RETR和STOR命令获取带毒文件的网络位置信息。6.根据权利要求5所述的双核心双出口星型网络的防毒方法，其特征在于，所述当所述传输协议为FTP传输协议时，根据FTP文件传输模式和类型，本侧防毒墙选择...

【专利技术属性】
技术研发人员：张量，张亚庆，
申请(专利权)人：北京瑞星信息技术有限公司，
类型：发明
国别省市：北京;11