一种双重监测安全控制方法及系统技术方案

本发明专利技术公开了一种双重监测安全控制方法及系统，包括小型防火墙装置和综合流量分析装置，其中所述小型防火墙装置包括交换单元和中央处理单元。所述交换单元对于业务网络中的基本数据报文直接转发，将可疑数据报文复制到中央处理单元；中央处理单元与本地预设的数据库进行比较，将与本地预设的数据库不匹配的数据报文发往综合流量分析装置，下发访问控制列表到交换单元，进行安全控制；所述综合流量分析装置接收上传的数据报文，与本地预设的数据库进行比较，下发对应的访问控制列表到交换单元进行安全控制。本发明专利技术对经过小型防火墙装置的流量进行双重监测，安全可靠，即使小型防火墙装置的CPU故障，也不影响正常业务流的通信。

A double monitoring safety control method and system

The invention discloses a dual monitoring security control method and system, including a small firewall device and an integrated flow analysis device, in which the small firewall device includes a switching unit and a central processing unit. The switching unit forwards the basic data message in the business network, copies the suspicious data message to the central processing unit, and compares the central processing unit with the local database, and sends the data message that does not match the local database to the integrated flow analysis device and sends the access control list. The integrated traffic analysis device receives the uploaded data message, compares it with the local database, and sends the corresponding access control list to the switching unit for security control. The invention has double monitoring on the flow of small firewalls, and it is safe and reliable, even if the CPU failure of the small firewall device does not affect the communication of the normal traffic flow.

【技术实现步骤摘要】
一种双重监测安全控制方法及系统
本专利技术属于网络安全
，尤其涉及一种双重监测安全控制方法及系统。
技术介绍
随着互联网技术的发展，网络已经延伸到千家万户，网络安全也越来越显得重要。特别是一些网络中的服务器，访问流量大，特别容易受到攻击，从而对整个网络造成伤害。为了防止攻击，在很多大型的专业网络中，例如在视频监控网络中，会在监控业务服务器前端增加一个小型的防火墙装置，进行基于白名单的流量过滤。典型的做法是，初始只放开注册通道，终端可以进行正常的注册，服务器认可注册之后，通知该小型的防火墙装置放开针对该终端的后续业务数据通道。然而，上述方案存在如下问题：由于所有流量的转发压力均由该小型的防火墙装置的CPU承担，而CPU是不稳定的，所以该小型的防火墙装置一旦故障，很容易导致通道瘫痪，影响业务通信。
技术实现思路
本专利技术的目的是提供一种双重监测安全控制方法及系统，用于解决现有技术CPU不稳定容易导致通道瘫痪，影响业务通信的技术问题。为了实现上述目的，本专利技术技术方案如下：一种双重监测安全控制系统，用于对业务网络中的服务器进行安全控制，所述双重监测安全控制系统包括设置于所述服务器前端的小型防火墙装置，以及与所述小型防火墙装置网络连接的综合流量分析装置，其中：所述小型防火墙装置包括交换单元和中央处理单元；所述交换单元接收流经的数据报文，识别数据报文的类型，对于业务网络中的基本数据报文，直接转发到所连接的服务器，而将非基本数据报文作为可疑数据报文复制到中央处理单元；所述中央处理单元接收到可疑数据报文后，与本地预设的数据库进行比较，将与本地预设的数据库不匹配的数据报文发往综合流量分析装置，下发访问控制列表到交换单元，通知交换单元丢掉与中央处理单元本地预设的数据库匹配的数据报文；所述综合流量分析装置接收业务网络中小型防火墙装置上传的数据报文，与本地预设的数据库进行比较，确定数据报文是否合法，通过所述小型防火墙装置的中央处理单元下发对应的访问控制列表到交换单元；所述交换单元根据中央处理单元下发的访问控制列表，对数据报文进行安全控制。本专利技术所述中央处理单元接收到可疑数据报文后，还可以将数据报文全部发往综合流量分析装置。本专利技术所述综合流量分析装置接收业务网络中各小型防火墙装置上传的数据报文，与本地预设的数据库进行比较，确定数据报文是否合法，通过所述中央处理单元下发对应的访问控制列表到交换单元，包括：当数据报文与本地预设的数据库匹配时，确定该数据报文为非法，通过所述中央处理单元下发访问控制列表到交换单元，丢弃该数据报文；当数据报文与本地预设的数据库不匹配时，确定该数据报文为合法，通过所述中央处理单元下发访问控制列表到交换单元，允许该数据报文通过。本专利技术所述交换单元在不能将可疑数据报文复制到中央处理单元时，允许对应的可疑数据报文通过。本专利技术所述综合流量分析装置通过所述小型防火墙装置的中央处理单元下发对应的访问控制列表到交换单元时，还将对应的访问控制列表同步给业务网络中的其他所有小型防火墙装置。本专利技术还提出了一种双重监测安全控制方法，用于对业务网络中的服务器进行安全控制，所述业务网络还包括设置于所述服务器前端的小型防火墙装置，以及与所述小型防火墙装置网络连接的综合流量分析装置，所述小型防火墙装置包括交换单元和中央处理单元，所述双重监测安全控制方法，包括：所述交换单元接收流经的数据报文，识别数据报文的类型，对于业务网络中的基本数据报文，直接转发到所连接的服务器，而将非基本数据报文作为可疑数据报文复制到中央处理单元；所述中央处理单元接收到可疑数据报文后，与本地预设的数据库进行比较，将与本地预设的数据库不匹配的数据报文发往综合流量分析装置，下发访问控制列表到交换单元，通知交换单元丢掉与中央处理单元本地预设的数据库匹配的数据报文；所述综合流量分析装置接收业务网络中小型防火墙装置上传的数据报文，与本地预设的数据库进行比较，确定数据报文是否合法，通过所述小型防火墙装置的中央处理单元下发对应的访问控制列表到交换单元；所述交换单元根据中央处理单元下发的访问控制列表，对数据报文进行安全控制。本专利技术提出的一种双重监测安全控制方法及系统，通过在服务器前端设置小型防火墙装置，在业务网络中设置综合流量分析装置，对经过小型防火墙装置的流量进行双重监测，安全可靠。通过综合流量分析装置产生的访问控制列表同步到网络中的所有小型防火墙装置，省去了其他防火墙再检测、再阻隔的工作量。即使小型防火墙装置的CPU故障，也不影响正常业务流的通信。附图说明图1为本专利技术实施例双重监测安全控制系统组网结构示意图；图2为本专利技术一种双重监测安全控制方法流程图。具体实施方式下面结合附图和实施例对本专利技术技术方案做进一步详细说明，以下实施例不构成对本专利技术的限定。本实施例一种双重监测安全控制系统，用于对业务网络中的服务器进行安全控制。业务网络以视频监控网络为例，如图1所示，业务网络中具有各种服务器，例如视频管理服务器、媒体管理服务器等，在图中以服务器1～服务器n连表示，为了对服务器进行安全防护，在其前端加上对应的一个小型防火墙装置，分别为小型防火墙装置1～小型防火墙装置n，另外在业务网络中还设置了综合流量分析装置。本实施例一种双重监测安全控制系统包括设置于服务器前端的小型防火墙装置，以及与小型防火墙装置网络连接的综合流量分析装置，其中：该小型防火墙装置部署在服务器前端，所有前往服务器的流量都先流经该小型防火墙装置。该小型防火墙装置包括交换单元和中央处理单元，交换单元采用交换转发芯片，主要进行流量的转发和ACL访问控制，而中央处理单元采用CPU处理器，来进行流量的分析。具体地，交换单元接收流经的数据报文，识别数据报文的类型，对于业务网络中的基本数据报文，直接转发到所连接的服务器，而将非基本数据报文作为可疑数据报文复制到中央处理单元。例如，流经小型防火墙装置的流量默认全走交换单元转发，同时，交换单元针对流经的业务数据报文，会识别该数据报文类型，如果是基本的数据报文，如SIP、UDP、TCP等，则直接放行；若不是这些基本报文，则交换单元已经无法确认流经的数据报文是否可靠，则会将这些流量复制一份传给中央处理单元，也就是业界常提到的镜像技术(目前马维尔芯片、BCM芯片均已支持该技术)，由中央处理单元对这些交换单元不认识的可疑数据报文流量进行处理。需要说明的是，不同的业务网络，对基本数据报文的定义不同，在视频监控网络中，基本的业务数据报文是SIP、UDP、TCP等，这些基本的数据报文可以通过预先定义来进行识别，这里不再赘述。中央处理单元接收到可疑数据报文后，与本地预设的数据库进行比较，将与本地预设的数据库不匹配的数据报文发往综合流量分析装置，下发访问控制列表到交换单元，通知交换单元丢掉与中央处理单元本地预设的数据库匹配的数据报文。例如，CPU收到交换转发芯片镜像上来的可疑数据报文后，会将这些数据报文重组成文件(用户发送的文件在网络中传输时会先被分片成一个个的数据报文，待到达接收者处，再将这个分片数据重组成原始文件)，然后会在本地预设的数据库(例如特征库和病毒库)里去查找匹配的文件，此时会有两种结果出现：a.在库中找到匹配文件，则确定可疑数据报文为非法数据报文，不允许进入服务器。CPU向交换转发本文档来自技高网...

【技术保护点】
1.一种双重监测安全控制系统，用于对业务网络中的服务器进行安全控制，其特征在于，所述双重监测安全控制系统包括设置于所述服务器前端的小型防火墙装置，以及与所述小型防火墙装置网络连接的综合流量分析装置，其中：所述小型防火墙装置包括交换单元和中央处理单元；所述交换单元接收流经的数据报文，识别数据报文的类型，对于业务网络中的基本数据报文，直接转发到所连接的服务器，而将非基本数据报文作为可疑数据报文复制到中央处理单元；所述中央处理单元接收到可疑数据报文后，与本地预设的数据库进行比较，将与本地预设的数据库不匹配的数据报文发往综合流量分析装置，下发访问控制列表到交换单元，通知交换单元丢掉与中央处理单元本地预设的数据库匹配的数据报文；所述综合流量分析装置接收业务网络中小型防火墙装置上传的数据报文，与本地预设的数据库进行比较，确定数据报文是否合法，通过所述小型防火墙装置的中央处理单元下发对应的访问控制列表到交换单元；所述交换单元根据中央处理单元下发的访问控制列表，对数据报文进行安全控制。

【技术特征摘要】
1.一种双重监测安全控制系统，用于对业务网络中的服务器进行安全控制，其特征在于，所述双重监测安全控制系统包括设置于所述服务器前端的小型防火墙装置，以及与所述小型防火墙装置网络连接的综合流量分析装置，其中：所述小型防火墙装置包括交换单元和中央处理单元；所述交换单元接收流经的数据报文，识别数据报文的类型，对于业务网络中的基本数据报文，直接转发到所连接的服务器，而将非基本数据报文作为可疑数据报文复制到中央处理单元；所述中央处理单元接收到可疑数据报文后，与本地预设的数据库进行比较，将与本地预设的数据库不匹配的数据报文发往综合流量分析装置，下发访问控制列表到交换单元，通知交换单元丢掉与中央处理单元本地预设的数据库匹配的数据报文；所述综合流量分析装置接收业务网络中小型防火墙装置上传的数据报文，与本地预设的数据库进行比较，确定数据报文是否合法，通过所述小型防火墙装置的中央处理单元下发对应的访问控制列表到交换单元；所述交换单元根据中央处理单元下发的访问控制列表，对数据报文进行安全控制。2.如权利要求1所述的双重监测安全控制系统，其特征在于，所述中央处理单元接收到可疑数据报文后，将数据报文发往综合流量分析装置。3.如权利要求1所述的双重监测安全控制系统，其特征在于，所述综合流量分析装置接收业务网络中各小型防火墙装置上传的数据报文，与本地预设的数据库进行比较，确定数据报文是否合法，通过所述中央处理单元下发对应的访问控制列表到交换单元，包括：当数据报文与本地预设的数据库匹配时，确定该数据报文为非法，通过所述中央处理单元下发访问控制列表到交换单元，丢弃该数据报文；当数据报文与本地预设的数据库不匹配时，确定该数据报文为合法，通过所述中央处理单元下发访问控制列表到交换单元，允许该数据报文通过。4.如权利要求1所述的双重监测安全控制系统，其特征在于，所述交换单元在不能将可疑数据报文复制到中央处理单元时，允许对应的可疑数据报文通过。5.如权利要求1所述的双重监测安全控制系统，其特征在于，所述综合流量分析装置通过所述小型防火墙装置的中央处理单元下发对应的访问控制列表到交换单元时，还将对应的访问控制列表同步给业务网络中的其他所有小型防火墙装置。6.一种...

【专利技术属性】
技术研发人员：周迪，王盼，
申请(专利权)人：浙江宇视科技有限公司，
类型：发明
国别省市：浙江,33