一种用于分布式多重处理安全网关的系统和方法创建主机侧会话、基于网络信息为服务器选择代理服务器网络地址、以及使用代理服务器网络地址来创建服务器侧会话。选择代理服务器网络地址,以分配同一处理元件处理来自服务器侧会话和主机侧会话的数据包。网络信息包括安全网关网络地址和主机网络地址。通过以这种方式分配处理元件,来提供更高能力的安全网关。
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术大体上涉及数据网络,更具体地,用于分布式多重处理 安全网关的系统和方法。
技术介绍
随着越来越多的计算4几通过凄史据网络连4妄并且越来越多的应 用程序将数据网络用作它们的功能,数据网络活动性增大。因此, 避免数据网络违反安全性变得更加重要。当前存在许多安全网关,例如,防火墙、VPN防火墙、父母控 制应用、电子邮件病毒4企测网关、用于网络钓鱼(phishing)和间 谍软件(spyware)的专用网关、入侵检测和防护应用、4妻入控制网 关、身份管理网关、以及许多其他类型的安全网关。这些产品通常 利用通用4效处理器(例如,Intel Pentium、 AMD处理器或SPARC 处理器)、或者基于^者:^MIPS架构、PowerPC架构、或ARM架构 的RISC架构的嵌入式孩先处理器来实现。孩史处理器架构在其处理能力方面受到限制。通常它们能够处理 达到每秒千兆比特的带宽。在过去几年中,凝:据网络带宽利用以快 于微处理器能力的提高的速度在增加。今天,在许多介质和大的安 全公司数据网络中不难见到每秒几千兆比特的数据网络带宽利用。 期望提供一种使在包括小型商业数据网络、居民网络和服务提供商 数据网络的大多数数据网络中变得更加流行的方案。增加数据网络使用的趋势显示出了对更好和更高能力的安全 网关的需要,特别是在使用多个处理元件中(每个处理元件都是孩爻 处理器,或者基于微处理架构),以相互合作地工作来保护数据网 络。
技术实现思路
一种创建主枳J则 会话,基于网络信息选择服务器的代理服务器网络地址,以及使用 该代理服务器网络地址创建服务器侧会话。选择代理服务器网络地的数据包。网络信息包括安全网关网络地址和主才几网络地址。通过 以这种方式分配处理元件,提供了更高能力的安全网关。附图说明图la示出了安全数据网络。图lb示出了网络i也址專争」换(NAT)处理的扭兑略图。 图lc示出了用于TCP会话的NAT处理。 图2示出了分布式多重处理安全网关。 图3示出了调度处理。图4示出了代理服务器网络地址选择处理。具体实施例方式图la示出了安全数据网络。安全网关170保护安全数据网络199。在一个实施例中,安全数据网络199是居民凝:据网症各。在一个 实施例中,安全数据网络199是企业网络。在一个实施例中,安全 数据网络199是区域企业网络。在一个实施例中,安全数据网络199 是服务l是供商网络。在一个实施例中,安全网关170是居民宽带网关。在一个实施 例中,安全网关170是企业防火墙。在一个实施例中,安全网关170 是区域/>司防火墙或者部门防火墙。在一个实施例中,安全网络170 是企业虚拟专用网络(VPN)防火墙。在一个实施例中,安全网关 170是服务提供商网络的互联网网关。当安全数据网络199中的主机130访问安全数据网络199外的 服务器110时,主机130通过安全网关170创建与服务器110的会 话。在会话中在主机130和服务器110之间交换的数据包通过安全 网关170进行传递。在会话中处理数据包期间,安全网关170应用 多个安全策略。安全策略的实例包4舌网络地址-f呆护、内容过滤、病 毒检测和侵袭防护、间谍软件或网络钓鱼阻止、网络入侵或拒绝服 务防护、lt据流量监控、或者凄t据流量截取(interception )。图lb示出了网络i也址專t换(NAT)处理的冲既略图。在一个实施例中,安全策略是保护主机130的网络地址。主才几 130在主才几130和月l务器110之间的会话160中^f吏用主才几网纟各;t也址 183。在一个实施例中,主4几网全各i也址183包4舌主才几130的IP i也址。 在另 一实施例中,主才几网3各地址183包4舌主才几130的会话端口 i也址。安全网关170通过不泄露主才几网络地址183来4呆护主才几130。 当主才几130将对会话160的会话请求发送到安全网关170时,会话 i青求包4舌主4几网络地址183 。安全网关170创建与主才几130的主才几侧会话169。主才几130在 会话169中4吏用主才几网络地址183。安全网关170选择代理服务器网络地址187。安全网关170使 用代理服务器网络地址187来创建与服务器110的服务器侧会话 165。会话160包括服务器侧会话165和主机侧会话169-安全网关170对会话160执行网络地址转换(NAT)处理。安 全网关170通过以主机网络地址183代替代理服务器网络地址187 来对在服务器侧会话165上接收到的数据包执行网络地址转换处 理。安全网关170将转换的数据包传输到主机侧会话169上。类似 地,安全网关170通过以代理服务器网络地址187代替主机网络地 址183来对在主机侧会话169上接收到的数据包执行网络地址转换 处理。安全网关170将转换的数据包传输到服务器侧会话165上。在一个实施例中,会话160是传输控制协议(TCP)会话。在 一个实施例中,会话160是用户数据报协议(UDP)会话。在一个 实施例中,会话160是网间控制才艮文协议(ICMP)会话。在一个 实施例中,会话160基于在IP协议上的传输会话协议。在一个实施 例中,会话160基于在IP协议上的应用会话协议。图lc示出了用于TCP会话的NAT处理。主机130发送用于创建与服务器110的会话160的会话请求 192。会话160是TCP会话。会话请求192包括主机网络地址183 和服务器网络地址184。安全网关170接收会话请求192。安全网 关170 乂人会话_清求192中才是取主才几网络地址183。安全网关170确 定^^理良务器网络地址187。在一个实施例中,主才几网络地址183 包括主才几的IP地址,并且安全网关170确定用^理服务器IP地址 来代替主才几的IP地址。在一个实施例中,主才几网络地址183包4舌主 机的TCP端口号,并且安全网关170确定用代理月l务器TCP端口 号来代替主机的TCP端口号。安全网关170从会话请求192中^是取 服务器网络地址184。安全网关170基于服务器网络地址184和代 理服务器网络地址187创建与服务器110的服务器侧会话165。月良 务器侧会话165是TCP会话。安全网关170还通过响应于会话请求192来创建与主机130的 主才几侧会话169。在创建服务器侧会话165和主机侧会话169之后,安全网关170 处理来自服务器侧会话165和主机侧会话169的数据包。在一个实施例中,安全网关170接收来自月良务器侧会话165的 数据包185。数据包185包括月良务器网络地址184和代理服务器网 络地址187。安全网关170才是取月良务器网络地址184和^理月l务器 网络地址187。安全网关170基于所提取的网络地址来确定主才几侧 会i舌169。安全网关170还乂人主才几侧会话169中确定主才几网络;也址 183。安全网关170通过首先以主机网络地址183代替代理服务器 网络地址187来更改tt据包185。安全网关170更改凄t据包185的 其他部分,例如,TCP4交-验和、IP报头校-验和。在一个实施例中, 安全网关170通过以主机网络地址183代替任何使用的代理服务器 网络地址187来更改凄t据包185的有效载本文档来自技高网...
【技术保护点】
一种用于提供包括多个处理元件的安全网关的方法,包括以下步骤: (a)创建主机侧会话; (b)基于网络信息为服务器选择代理服务器网络地址;以及 (c)使用所述代理服务器网络地址来创建服务器侧会话,其中,选择所述代理服务器网络地址,以分配同一处理元件来处理来自所述服务器侧会话和所述主机侧会话的数据包。
【技术特征摘要】
【国外来华专利技术】US 2006-8-8 11/501,6071.一种用于提供包括多个处理元件的安全网关的方法,包括以下步骤(a)创建主机侧会话;(b)基于网络信息为服务器选择代理服务器网络地址;以及(c)使用所述代理服务器网络地址来创建服务器侧会话,其中,选择所述代理服务器网络地址,以分配同一处理元件来处理来自所述服务器侧会话和所述主机侧会话的数据包。2. 根据权利要求1所述的方法,其中,所述网络信息包括安全网 关网纟各i也i止和主才几网纟各i也i止。3. 根据权利要求1所述的方法,还包括(d)接收来自所述主机侧会话的数据包;(e )才艮据所述凄t提包中的月l务器网结-地址和主才几网络地 址来计算所述处玉里元4牛的标i只;以及(f) 将所述凄t据包的处理分配给所述处理元件,其中, 才艮据安全策略对所述凄t据包进4亍处理。4. 根据权利要求3所述的方法,还包括(g) 接收所处理的数据包;(h )以所述4<理良务器网络地址来K替所述所处理的凄t 据包中的所述主才几网络地址;以及(i)将所述所处理的数据包发送到所述服务器侧会话。5. 根据权利要求1所述的方法,还包括(d)接收来自所述服务器侧会话的数据包;(e )才艮据所述数据包中的服务器网络地址和代理服务器 网络地址来计算所述处理元件的标识;以及(f) 将所述lt据包的处理分配给所述处理元件,其中, 根据安全策略对所述数据包进行处理。6. 根据权利要求5所述的方法,还包括(g) 接收所处理的数据包;(h) 以所述主才几网络地址来代/齐所述所处理的凝:寺居包中 的所述代理月l务器网络地址;以及(i) 将所述所处理的凄t据包发送到所述主才几侧会话。7. 根据权利要求1所述的方法,其中,所述选择步骤(b)包括(bl )基于主机网络地址选择所述代理服务器网络地址;以及(b2 )通过将所述代理服务器网络地址与数据存储器的 地址进^f亍比專交来确定所述代理月良务器网络地址在现有会话中 未被使用。8. —种安全网关,包4舌多个处...
【专利技术属性】
技术研发人员:陈澧,司徒伟伦,
申请(专利权)人:瑞科网信科技有限公司,
类型:发明
国别省市:US[美国]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。