【技术实现步骤摘要】
本专利技术涉及安全检测技术,尤其涉及一种开放流表安全增强方法及装置。
技术介绍
如图1所示,传统的安全设备,如防火墙、入侵检测预防、安全虚拟专用网、统一威胁管理等均是整体式架构,其中的接口板100、安全业务板102、主控板106及交换板104是紧耦合连接的,通常位于一个物理盒子中;其中,接口板100提供安全设备的接口并将数据流提交给安全业务板102,接口板100通常由网络处理器(NP,Network Processor)或应用专用集成芯片(ASIC,Application Specific Integrated Circuit)实现。安全业务板 102完成访问策略控制、网络地址转换、入侵检测防御、防病毒、安全虚拟专用网(VPN,VirtualPrivateNetwork)等功能,安全业务板102通常由通用CPU或多核处理器实现。主控板106完成整台设备的管理配置、路由学习及配置发送等。交换板104使多线卡之间可以同时通信。传统的安全设备整体的、紧耦合的架构,用户难以部署新的安全业务。对于部署了多个安全执行单元的企业,在企业的安全管理中心对各个安全执行单元进行配置...
【技术保护点】
一种开放流表安全增强方法,其特征在于,使安全控制功能及安全执行功能分离;所述方法包括:获取各安全业务对应的安全应用,并从各安全应用中提取与各种安全业务对应的安全策略、安全协议及特征库;对安全业务的安全策略进行解析,生成安全流表,并在所述安全流表中创建匹配规则;根据所述安全流表中的匹配规则,对报文执行访问控制,以及状态防火墙、安全虚拟专用网VPN和深度报文的检测。
【技术特征摘要】
1.一种开放流表安全增强方法,其特征在于,使安全控制功能及安全执行功能分离;所述方法包括: 获取各安全业务对应的安全应用,并从各安全应用中提取与各种安全业务对应的安全策略、安全协议及特征库; 对安全业务的安全策略进行解析,生成安全流表,并在所述安全流表中创建匹配规则; 根据所述安全流表中的匹配规则,对报文执行访问控制,以及状态防火墙、安全虚拟专用网VPN和深度报文的检测。2.根据权利要求1所述的方法,其特征在于,所述安全控制功能及安全执行功能之间通过报文转发及控制分离的协议进行信息交互。3.根据权利要求2所述的方法,其特征在于,所述报文转发及控制分离的协议包括开放流表OpenFlow协议,转发和控制件分离ForCES协议。4.根据权利要求1至3任一项所述的方法,其特征在于,所述对安全业务的安全策略进行解析,生成安全流表,包括: 解析遵循特定语法的安全策略文件,转换成流表的规则定义及条目。5.根据权利要求4所述的方法 ,其特征在于,所述安全流表包括以下流表中的至少一种: 流状态表,用于提供状态防火墙功能,抵御拒绝服务攻击DoS的恶意攻击; 防火墙流表,用于提供访问控制表ACL功能; 安全VPN流表,用于提供互联网协议安全性IPsec VPN、安全套接层SSLVPN功能,为报文提供端到端的安全保护; 深度报文检测流表,用于提供应用识别和入侵检测功能。6.根据权利要求5所述的方法,其特征在于,所述方法还包括: 对未知报文进行深度解析,生成所述未知报文的深度解析条目,并将所述深度解析条目发送至深度报文检测流表或防火墙流表。7.根据权利要求4所述的方法,其特征在于,所述安全应用具体提供以下功能的至少一种: 安全策略,用于为各安全应用提供安全规则; 防火墙,用于配置管理访问控制和基本的抵御DoS攻击; 入侵检测预防,用于为恶意代码攻击、拒绝服务攻击提供特征库; 安全VPN,用于配置管理IPsec VPN及SSL VPN,提供密钥管理协商的控制面的协议; 防病毒,用于配置管理病毒攻击、恶意软件的策略,提供病毒特征库; 用户认证授权,用于识别合法用户,与安全流表建立关联; 应用识别,用于设定允许或不允许的应用标识,并对应用进行统计分析,进行合规性检查。8.一种开放流表安全增强装置,其特征在于,所述装置包括...
【专利技术属性】
技术研发人员:韦银星,
申请(专利权)人:中兴通讯股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。