[发明专利]一种整合网络安全设备的方法及装置

说明书

技术领域

本发明涉及网络安全技术领域，具体涉及一种整合网络安全设备的方法及装置。

背景技术

随着计算机网络技术的迅速发展，网络在经济、军事、文教、金融、商业等诸多领域得到广泛应用，可以说网络无处不在，它正在改变我们的工作方式和生活方式。计算机网络在给人们提供便利、带来效益的同时，也使人类面临着信息安全的巨大挑战。如何保护个人、企业、国家的机密信息不受黑客和间谍的入侵，如何保证计算机网络安全并不间断地工作，是国家和单位信息化建设必须考虑的重要问题。然而，计算机网络的安全是一个错综复杂的问题，涉及面非常广，既有技术因素，又有管理因素；既有自然因素，又有人为因素；既有外部的安全威胁，又有内部的安全隐患。

计算机网络安全是指利用网络管理控制和技术措施，保证在一个网络环境里，信息数据的保密性、完整性和可使用性受到保护。网络安全防护的根本目的，就是防止计算机网络存储、传输的信息被非法使用、破坏和篡改。防火墙技术正是实现上述目的一种常用的计算机网络安全技术。

所谓“防火墙”，是指一种将内部网和公众访问网(如Internet)分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问网络，防止更改、拷贝、毁坏重要信息。

目前对网络的安全防护主要包括：包括二层网络攻击防护（数据链路层防护），三层网络攻击防护（网络层防护）和四层网络攻击防护（传输层防护）。

目前网络安全防护的方法为：

（一）购买多个网络安全应用设备，并将设备进行串联防护，实现每个单一功能的简单叠加和安全防护目的；

（二）在单个网络安全设备上添加网络安全模块，对购买的模块进行应用化独立配置和维护，达到网络安全防护目的。

其中购买多个网络安全应用设备，例如购买防火墙设备防止三层业务网络攻击，购买ddos设备放在二层业务网络攻击，购买waf、ips和ids设备防止4层业务网络攻击，并将设备进行串联，达到对流量的清洗目的，此种方法对用户来说，成本高、维护南、效率低。

IP的五元组指的是:源IP地址、目的IP地址、协议号、源端口及目的端口。通常防火墙都是基于IP五元组对数据流进行连接状态的报文转发，此种方法的优点在于可以对初次验证通过的报文进行安全检查后即可形成连接表象，后续对表象匹配成功的报文都可认为是安全的，也就无需再进行检查直接放行，达到报文的快速安全检查转发的目的。对于有些报文需要进行非五元组业务的检查，此防火墙就需要额外添加检查模块，最终形态变成了防火墙处理一遍三层业务，四层业务再次进行扫描处理，如果因为对二层业务进行攻击防护的处理需要，那么还需要再加上一个专门针对二层防攻击的业务处理，实际上就是简单地将二层、三层、四层业务进行串行化处理，如果单独使用IP五元组处理速度会很快，但如果同时需要处理以上三种业务，同一数据包经过每层业务不断的被扫描，创建连接表，再次扫描，再次创建连接表，那么处理速度就会变的很慢。

因此，有必要提出一种整合网络安全设备的方法以解决上述的问题。

发明内容

针对上述问题，本发明提供一种整合网络安全设备的方法及装置。

根据本发明的一个方面，提供了一种整合网络安全设备的方法，包括以下步骤：S1,将接收到的需要进行安全检查的首报文进行分解，分解为与各层网络转发信息相关的各部分数据；S2,将所述各部分数据分发给对应的各层网络的防护模块进行安全检查；S3,根据各防护模块输出的检查结果，建立对应的转发表或黑名单表；S4,将需要安全检查的后续报文与所述转发表或黑名单表进行匹配，根据匹配结果，进行相应操作。

更进一步地，所述各层网络的防护模块为在同一设备中矩阵化整合的防护模块。

更进一步地，所述各层网络的防护模块包括：二层网络防护模块、三层网络防护模块和四层网络防护模块；

其中，所述步骤S1具体为：将接收到的需要进行安全检查的首报文进行分解,分解提取二层头部数据、三层头部数据和四层头部数据；

所述步骤S2具体为：将报文的二层头部数据拷贝之后分发给二层网络防护模块，将报文的三层头部数据拷贝之后分发给三层网络防护模块，将四层头部数据拷贝之后分发给四层网络防护模块。