[发明专利]用于分布式多重处理安全网关的系统和方法

说明书

技术领域

本发明大体上涉及数据网络，更具体地，用于分布式多重处理安全网关的系统和方法。

背景技术

随着越来越多的计算机通过数据网络连接并且越来越多的应用程序将数据网络用作它们的功能，数据网络活动性增大。因此，避免数据网络违反安全性变得更加重要。

当前存在许多安全网关，例如，防火墙、VPN防火墙、父母控制应用、电子邮件病毒检测网关、用于网络钓鱼(phishing)和间谍软件(spyware)的专用网关、入侵检测和防护应用、接入控制网关、身份管理网关、以及许多其他类型的安全网关。这些产品通常利用通用微处理器(例如，Intel Pentium、AMD处理器或SPARC处理器)、或者基于诸如MIPS架构、PowerPC架构、或ARM架构的RISC架构的嵌入式微处理器来实现。

微处理器架构在其处理能力方面受到限制。通常它们能够处理达到每秒千兆比特的带宽。在过去几年中，数据网络带宽利用以快于微处理器能力的提高的速度在增加。今天，在许多介质和大的安全公司数据网络中不难见到每秒几千兆比特的数据网络带宽利用。期望提供一种使在包括小型商业数据网络、居民网络和服务提供商数据网络的大多数数据网络中变得更加流行的方案。

增加数据网络使用的趋势显示出了对更好和更高能力的安全网关的需要，特别是在使用多个处理元件中(每个处理元件都是微处理器，或者基于微处理架构)，以相互合作地工作来保护数据网络。

发明内容

一种用于分布式多重处理安全网关的系统和方法创建主机侧会话，基于网络信息选择服务器的代理服务器网络地址，以及使用该代理服务器网络地址创建服务器侧会话。选择代理服务器网络地址，以分配相同的处理元件来处理来自服务器侧会话和主机侧会话的数据包。网络信息包括安全网关网络地址和主机网络地址。通过以这种方式分配处理元件，提供了更高能力的安全网关。

附图说明

图1a示出了安全数据网络。

图1b示出了网络地址转换(NAT)处理的概略图。

图1c示出了用于TCP会话的NAT处理。

图2示出了分布式多重处理安全网关。

图3示出了调度处理。

图4示出了代理服务器网络地址选择处理。

具体实施方式

图1a示出了安全数据网络。安全网关170保护安全数据网络199。

在一个实施例中，安全数据网络199是居民数据网络。在一个实施例中，安全数据网络199是企业网络。在一个实施例中，安全数据网络199是区域企业网络。在一个实施例中，安全数据网络199是服务提供商网络。

在一个实施例中，安全网关170是居民宽带网关。在一个实施例中，安全网关170是企业防火墙。在一个实施例中，安全网关170是区域公司防火墙或者部门防火墙。在一个实施例中，安全网络170是企业虚拟专用网络(VPN)防火墙。在一个实施例中，安全网关170是服务提供商网络的互联网网关。

当安全数据网络199中的主机130访问安全数据网络199外的服务器110时，主机130通过安全网关170创建与服务器110的会话。在会话中在主机130和服务器110之间交换的数据包通过安全网关170进行传递。在会话中处理数据包期间，安全网关170应用多个安全策略。安全策略的实例包括网络地址保护、内容过滤、病毒检测和侵袭防护、间谍软件或网络钓鱼阻止、网络入侵或拒绝服务防护、数据流量监控、或者数据流量截取(interception)。

图1b示出了网络地址转换(NAT)处理的概略图。

在一个实施例中，安全策略是保护主机130的网络地址。主机130在主机130和服务器110之间的会话160中使用主机网络地址183。在一个实施例中，主机网络地址183包括主机130的IP地址。在另一实施例中，主机网路地址183包括主机130的会话端口地址。

安全网关170通过不泄露主机网络地址183来保护主机130。当主机130将对会话160的会话请求发送到安全网关170时，会话请求包括主机网络地址183。

安全网关170创建与主机130的主机侧会话169。主机130在会话169中使用主机网络地址183。

安全网关170选择代理服务器网络地址187。安全网关170使用代理服务器网络地址187来创建与服务器110的服务器侧会话165。

服务器侧会话165是在安全网关170与服务器110之间的会话。主机侧会话169是在安全网关170与主机130之间的会话。会话160包括服务器侧会话165和主机侧会话169。