【技术实现步骤摘要】
一种路由交换设备内生安全动态防护功能的处理方法
本专利技术涉及通信网络安全
,尤其涉及一种路由交换设备内生安全动态防护功能的处理方法。
技术介绍
传统的路由交换设备重点关注路由处理及数据转发等功能,仅提供很弱的安全防护功能。例如AAA认证功能仅能解决基本的用户登录访问安全问题,ACL过滤功能仅能针对报文4层及以下内容进行五元组匹配过滤。随着网络的应用规模扩大,出现了越来越多的网络攻击、数据窃取、破坏等安全问题,正是由于网络所存在的诸多不安全因素,使得网络建设和使用者必须采用相应的网络安全技术来堵塞安全漏洞,提供安全的通信服务,防火墙设备孕育而生。防火墙设备特有网络安全功能能够从不同的角度保证网络信息不受侵犯,但由于防火墙大部分都设置在网络数据流的关键路径上,通过访问控制的方式来将系统内部与外部隔离开,对于恶意的代码(如木马、病毒、缓冲区溢出)攻击以及其它来自内部的攻击等,防火墙束手无策。加之防火墙设备大都采用被动的静态防护,系统欠缺遭受入侵攻击后快速恢复能力。在早期网络安全部署中,路由交换设备与防火墙设备串接在网络中是一种比较常见的安全防护措施,这样分离式的安全防护部署能够在一定程度上具备较全面的防护能力,但在基于应用层的网络攻击防御、网络精细化管理、主动防御的时效性、动态策略联动方面有所欠缺,部分安全防护设备的性能瓶颈也会严重影响网络性能和效率,同时增加了网络的维护成本。因此在路由交换设备上提供内生安全动态防护功能有助于解决上述问题,是有益且必要的。
技术实现思路
为了解决上述问题,本专利 ...
【技术保护点】
1.一种路由交换设备内生安全动态防护功能的处理方法,其特征在于,依靠路由交换设备内部的交换芯片与多核处理器实现安全防护,安全防护包括:对报文2-7层内容进行检测和识别,根据分类结果实施精细化安全控制策略;交换芯片针对报文2-4层完成报文过滤和攻击防御功能;多核处理器针对报文3-7层内容进行检测,完成深度安全防御检测,并向交换芯片主动下发安全控制策略,最终由交换芯片执行完成。/n
【技术特征摘要】
1.一种路由交换设备内生安全动态防护功能的处理方法,其特征在于,依靠路由交换设备内部的交换芯片与多核处理器实现安全防护,安全防护包括:对报文2-7层内容进行检测和识别,根据分类结果实施精细化安全控制策略;交换芯片针对报文2-4层完成报文过滤和攻击防御功能;多核处理器针对报文3-7层内容进行检测,完成深度安全防御检测,并向交换芯片主动下发安全控制策略,最终由交换芯片执行完成。
2.根据权利要求1所述的一种路由交换设备内生安全动态防护功能的处理方法,其特征在于,交换芯片与多核处理器采用PCIe总线连接,实现协议报文交互、交换芯片配置下发功能;交换芯片前面板业务端口数目、内部业务端口数目与多核处理器内部端口数目一致,一一对应,内部业务端口采用Serdes总线连接,实现业务报文的交互;多核处理器中控制平面与数据平面相互独立,实现设备管理与报文处理的高效并行运作。
3.根据权利要求1所述的一种路由交换设备内生安全动态防护功能的处理方法,其特征在于,交换芯片针对报文2-4层完成包括ACL基于五元组的过滤及控制、防DoS攻击和防CPU攻击的功能;多核处理器并行工作,针对报文3-7层内容完成自动识别和分类,报文属性与安全策略条件匹配后向交换芯片主动下发安全控制策略,交换芯片执行包括转发、丢弃和限速的安全防护功能;内生安全防护功能主要包括报文过滤及控制策略、入侵检测防御策略和访问限制策略。
4.根据权利要求3所述的一种路由交换设备内生安全动态防护功能的处理方法,其特征在于,所述报文过滤及控制策略包括:通过匹配ACL条件结合安全控制策略对报文实施过滤及控制;过滤策略主要基于报包中五元组和报文传递的方向信息,所述五元组包括IP层协议号、源/目的IP地址、源/目的端口号;安全控制策略主要包括转发、限速和丢弃。
5.根据权利要求4所述的一种路由交换设备内生安全动态防护功能的处理方法,其特征在于,所述报文过滤及控制策略包括以下步骤:
步骤11:报文进入交换芯片,判断报文过滤策略是否使能,若未使能则进行步骤12操作;若使能则进行步骤31操作;
步骤12:交换芯片进入转发处理直至结束;
步骤13:交换芯片针对报文4层及以下内容进行基于五元组匹配,若失败则进入转发处理直至结束,否则进行步骤14操作;
步骤14:交换芯片执行安全控制策略,直至结束。
6.根据权利要求5所述的一种路由交换设备内生安全动态防护功能的处理方法,其特征在于,所述入侵检测防御策略包括:通过分析、比对网络流量特征识别出攻击行为,并通过响应方式对其进行实时中止;
所述...
【专利技术属性】
技术研发人员:吴海涛,王宏,谢卫,杨素梅,梁文婷,杨玉发,胡贵,华铭轩,
申请(专利权)人:中国电子科技集团公司第三十研究所,
类型:发明
国别省市:四川;51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。