專利名稱:一種基于應(yīng)用代理的網(wǎng)管系統(tǒng)隔離控制裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)技術(shù)�,特別涉及一種基于應(yīng)用代理的網(wǎng)管系統(tǒng)隔離控制裝置。
背景技術(shù):
為了實現(xiàn)不同網(wǎng)管系統(tǒng)間網(wǎng)絡(luò)隔離和數(shù)據(jù)交換�,解決網(wǎng)系間用戶流和網(wǎng)絡(luò)流 無法隔離問題,需要基于應(yīng)用代理對網(wǎng)管系統(tǒng)進行隔離控制�����,尤其是保證通用對象請求 代理體系協(xié)議(Common Object Request Broker Architecture�����,CORBA)����、簡單網(wǎng)絡(luò)管理 協(xié)議(Simple Network Management Protocol, SNMP)協(xié)議、通用管理信息協(xié)議(Common Management Information Protocol, CMIP)等不同網(wǎng)管協(xié)議間的有效隔離���。傳統(tǒng)的邊界邏輯隔離設(shè)備一般都是包過濾防火墻����,在網(wǎng)絡(luò)層根據(jù)因特網(wǎng)協(xié)議 (Internet Protocol, IP)包頭信息定義隔離策略,判斷轉(zhuǎn)發(fā)或丟棄IP數(shù)據(jù)包���,其工作過程 更多的過濾工作都在網(wǎng)絡(luò)層實現(xiàn)����,很難做到在應(yīng)用層一級對網(wǎng)間進出數(shù)據(jù)的業(yè)務(wù)類型��、用 戶信息等進行有效的識別和控制�,且基于包過濾方式的過濾和控制粒度偏弱,無法滿足高 安全高可控網(wǎng)絡(luò)環(huán)境下的邊界隔離需求�。基于普通代理(Proxy)中的會話(Session)網(wǎng)絡(luò)接口間通信機制如圖1所示����。 代理兩端的數(shù)據(jù)源是對稱的,兩邊采用相同的通訊方式����,即都是通過IP協(xié)議套接字將內(nèi) 外部網(wǎng)絡(luò)接口相連,并且都采用標準的傳輸控制協(xié)議/因特網(wǎng)協(xié)議(Transport Control Protocol/Internet Protocol, TCP/IP)棧��。這樣就無法避免攻擊者利用TCP/IP協(xié)議 本身的漏洞進行網(wǎng)絡(luò)攻擊����,如同步碼泛洪攻擊(SynFlood attack)�����、拒絕服務(wù)攻擊(DoS attack)���、字段異常攻擊(Flag Exception attack)等�。
發(fā)明內(nèi)容
本發(fā)明的目的在于,提供一種基于應(yīng)用代理的網(wǎng)管系統(tǒng)隔離控制裝置�����。本發(fā)明的基于應(yīng)用代理的網(wǎng)管系統(tǒng)隔離控制裝置����,包括內(nèi)網(wǎng)處理單元、外網(wǎng)處理 單元和數(shù)據(jù)交換單元��,其中�,內(nèi)網(wǎng)處理單元,包括隔離交換控制模塊��、應(yīng)用代理模塊��。其中�,內(nèi)網(wǎng)處理單元的隔離交換控制模塊���,用于實現(xiàn)內(nèi)外網(wǎng)處理單元之間傳輸數(shù) 據(jù)的專用格式封裝與還原,即從底層驅(qū)動獲取外網(wǎng)處理單元傳輸過來的數(shù)據(jù)����,依次從數(shù)據(jù) 鏈路層到應(yīng)用層進行封裝與還原,并將數(shù)據(jù)根據(jù)協(xié)議特征分發(fā)給應(yīng)用代理模塊進行處理����; 內(nèi)網(wǎng)處理單元的應(yīng)用代理模塊,實現(xiàn)應(yīng)用協(xié)議分析處理功能�����,對每一種網(wǎng)管協(xié)議進行分析 處理����,即從隔離交換控制單元獲取數(shù)據(jù),并根據(jù)應(yīng)用代理模塊中預(yù)定義的協(xié)議和數(shù)據(jù)格式 進行解析����;外網(wǎng)處理單元,包括隔離交換控制模塊���、應(yīng)用代理模塊��,其中����,外網(wǎng)處理單元的隔 離交換控制模塊,用于實現(xiàn)內(nèi)外網(wǎng)處理單元之間傳輸數(shù)據(jù)的專用格式封裝與還原�,即從底 層驅(qū)動獲取內(nèi)網(wǎng)處理單元傳輸過來的數(shù)據(jù),依次從數(shù)據(jù)鏈路層到應(yīng)用層進行封裝與還原�, 并將數(shù)據(jù)根據(jù)協(xié)議特征分發(fā)給應(yīng)用代理模塊進行處理;外網(wǎng)處理單元的應(yīng)用代理模塊���,實 現(xiàn)應(yīng)用協(xié)議分析處理功能,對每一種網(wǎng)管協(xié)議進行分析處理��,即從隔離交換控制單元獲取網(wǎng)管數(shù)據(jù)�����,并根據(jù)應(yīng)用代理模塊中預(yù)定義的協(xié)議和數(shù)據(jù)格式進行解析���;數(shù)據(jù)交換單元���,由專用總線接口和總線開關(guān)兩部份組成,該單元基于非IP協(xié)議�����, 通過專用數(shù)據(jù)總線將內(nèi)外網(wǎng)處理單元之間的數(shù)據(jù)進行交換,阻擋了源自TCP/IP協(xié)議本身 漏洞的攻擊���。其中���,所述內(nèi)網(wǎng)處理單元,進一步包括隔離交換驅(qū)動模塊和狀態(tài)檢測包過濾控制 模塊���,其中����,隔離交換驅(qū)動模塊����,用于截獲來自內(nèi)部隔離交換接口的數(shù)據(jù)包,并將數(shù)據(jù)放入 接收緩沖區(qū)隊列�;并將數(shù)據(jù)從接收緩沖區(qū)取出形成發(fā)送緩沖區(qū),調(diào)用網(wǎng)絡(luò)接口卡驅(qū)動的函 數(shù)將數(shù)據(jù)發(fā)送到上層隔離交換控制模塊�;期間對隔離交換數(shù)據(jù)接收緩沖區(qū)隊列、發(fā)送緩沖 區(qū)隊列進行管理��;狀態(tài)檢測包過濾控制模塊,用于接收來自內(nèi)/外部網(wǎng)絡(luò)接口的數(shù)據(jù)�����,并根 據(jù)五元組信息對數(shù)據(jù)包進行過濾����。并與上層應(yīng)用代理模塊中預(yù)定義的協(xié)議和數(shù)據(jù)格式相結(jié) 合,識別出應(yīng)用協(xié)議數(shù)據(jù)流����,并將這些數(shù)據(jù)流交由運行在用戶空間的應(yīng)用代理模塊作進一 步的分析處理。其中�,所述外網(wǎng)處理單元,進一步包括隔離交換驅(qū)動模塊和狀態(tài)檢測包過濾控制 模塊���,其中,隔離交換驅(qū)動模塊����,用于截獲來自內(nèi)部隔離交換接口的數(shù)據(jù)包,并將數(shù)據(jù)放入 接收緩沖區(qū)隊列����;并將數(shù)據(jù)從接收緩沖區(qū)取出形成發(fā)送緩沖區(qū),調(diào)用網(wǎng)絡(luò)接口卡驅(qū)動的函 數(shù)將數(shù)據(jù)發(fā)送到上層隔離交換控制模塊;期間對隔離交換數(shù)據(jù)接收緩沖區(qū)隊列�、發(fā)送緩沖 區(qū)隊列進行管理;狀態(tài)檢測包過濾控制模塊���,用于接收來自內(nèi)/外部網(wǎng)絡(luò)接口的數(shù)據(jù)���,并根 據(jù)五元組信息對數(shù)據(jù)包進行過濾。并與與上層應(yīng)用代理模塊中預(yù)定義的協(xié)議和數(shù)據(jù)格式相 結(jié)合�����,識別出應(yīng)用協(xié)議數(shù)據(jù)流�����,并將這些數(shù)據(jù)流交由運行在用戶空間的應(yīng)用代理模塊作進 一步的分析處理��。其中�,五元組信息,包括源IP����、目的IP、源端口�、目的端口�����、協(xié)議�����。其中���,在所述應(yīng)用代理模塊中,對每一種網(wǎng)管協(xié)議進行分析處理��,包括對網(wǎng)管協(xié)議 分別進行解碼�、分析、應(yīng)用協(xié)議狀態(tài)表的建立與維護���、格式檢查的處理�。其中����,所述內(nèi)網(wǎng)處理單元和外網(wǎng)處理單元�,分別進一步包括內(nèi)容檢查過濾模塊、 管理控制模塊和日志審計模塊�����,其中,內(nèi)容檢查過濾模塊��,用于根據(jù)安全過濾規(guī)則��,對流經(jīng) 設(shè)備的網(wǎng)絡(luò)數(shù)據(jù)�,在網(wǎng)絡(luò)層、傳輸層�����、應(yīng)用層進行安全檢查和過濾控制����;管理控制模塊,用于 通過管理控制通信接口對設(shè)備進行管理控制��、狀態(tài)監(jiān)視操作��;日志審計模塊�,用于采集設(shè)備 中各個安全處理模塊產(chǎn)生的各種審計日志信息并記錄。另外����,內(nèi)網(wǎng)處理單元���、外網(wǎng)處理單元構(gòu)建在專用的經(jīng)過裁剪改造的LINUX操作系 統(tǒng)之上,分為操作系統(tǒng)用戶空間和操作系統(tǒng)內(nèi)核空間兩部分���,其中����,隔離交換控制模塊����、應(yīng) 用代理模塊、內(nèi)容檢查過濾模塊��、管理控制模塊和日志審計模塊運行于操作系統(tǒng)用戶空間�����; 隔離交換驅(qū)動模塊和狀態(tài)檢測包過濾控制模塊是底層驅(qū)動��,運行于操作系統(tǒng)內(nèi)核空間���。其中����,所述隔離交換控制模塊���,以多進程的形式運行于系統(tǒng)中��,一個進程對應(yīng)一種 應(yīng)用代理�,通過進程間通信機制IPC與應(yīng)用代理進程相連�,通過字符設(shè)備文件與隔離交換 驅(qū)動模塊交互。本發(fā)明的有益效果是依照本發(fā)明的基于應(yīng)用代理的網(wǎng)管系統(tǒng)隔離控制裝置�����,具 有如下優(yōu)點(1)本發(fā)明采用特定非IP協(xié)議和專用通道����,利用“數(shù)據(jù)拷貝”、應(yīng)用代理等手段來 解決網(wǎng)管系統(tǒng)數(shù)據(jù)交換問題��,控制力度明顯增強�。
(2)本發(fā)明提供的方法在應(yīng)用層(即通過應(yīng)用代理模塊)一級對網(wǎng)間進出數(shù)據(jù)進 行請求連接的建立,滿足了高安全高可控網(wǎng)絡(luò)環(huán)境下的隔離需求�����。(3)該方法可以實現(xiàn)抽象層面的應(yīng)用層命令解析��、控制與轉(zhuǎn)換,以及應(yīng)用層數(shù)據(jù)檢 查與轉(zhuǎn)換���,除安全隔離外還可用于實現(xiàn)不同數(shù)據(jù)格式�����,網(wǎng)絡(luò)協(xié)議與應(yīng)用協(xié)議間的轉(zhuǎn)換�。
圖1為基于普通代理(Proxy)中的會話(Session)網(wǎng)絡(luò)接口間通信機制的示意 圖���;圖2為本發(fā)明的系統(tǒng)架構(gòu)示意圖�����;圖3為隔離交換控制模塊與應(yīng)用代理模塊的關(guān)系示意圖�����;圖4為基于隔離交換應(yīng)用代理的通信會話示意圖��;圖5為隔離交換連接建立和數(shù)據(jù)收發(fā)過程示意圖���。
具體實施例方式以下,參考附圖1 5詳細描述本發(fā)明的基于應(yīng)用代理的網(wǎng)管系統(tǒng)隔離控制裝置。如圖2所示�,本發(fā)明的基于應(yīng)用代理的網(wǎng)管系統(tǒng)隔離控制裝置,包括內(nèi)網(wǎng)處理單 元����、外網(wǎng)處理單元和數(shù)據(jù)交換單元��。其中���,內(nèi)網(wǎng)處理單元��,包括隔離交換控制模塊��、應(yīng)用代理模塊����,其中��,內(nèi)網(wǎng)處理單元 的隔離交換控制模塊����,用于實現(xiàn)內(nèi)外網(wǎng)處理單元之間傳輸數(shù)據(jù)的專用格式封裝與還原,即 從底層驅(qū)動獲取外網(wǎng)處理單元傳輸過來的數(shù)據(jù)�,依次從數(shù)據(jù)鏈路層到應(yīng)用層進行封裝與還 原,并將數(shù)據(jù)根據(jù)協(xié)議特征分發(fā)給應(yīng)用代理模塊進行處理;內(nèi)網(wǎng)處理單元的應(yīng)用代理模塊����, 實現(xiàn)應(yīng)用協(xié)議分析處理功能,對每一種網(wǎng)管協(xié)議進行分析處理����,即從隔離交換控制單元獲 取數(shù)據(jù),并根據(jù)應(yīng)用代理模塊中預(yù)定義的協(xié)議和數(shù)據(jù)格式進行解析�����。外網(wǎng)處理單元����,包括隔離交換控制模塊、應(yīng)用代理模塊��,其中���,外網(wǎng)處理單元的隔 離交換控制模塊�����,用于實現(xiàn)內(nèi)外網(wǎng)處理單元之間傳輸數(shù)據(jù)的專用格式封裝與還原���,即從底 層驅(qū)動獲取內(nèi)網(wǎng)處理單元傳輸過來的數(shù)據(jù)�����,依次從數(shù)據(jù)鏈路層到應(yīng)用層進行封裝與還原�, 并將數(shù)據(jù)根據(jù)協(xié)議特征分發(fā)給應(yīng)用代理模塊進行處理��;外網(wǎng)處理單元的應(yīng)用代理模塊���,實 現(xiàn)應(yīng)用協(xié)議分析處理功能,對每一種網(wǎng)管協(xié)議進行分析處理�,即從隔離交換控制單元獲取 網(wǎng)管數(shù)據(jù),并根據(jù)應(yīng)用代理模塊中預(yù)定義的協(xié)議和數(shù)據(jù)格式進行解析��;數(shù)據(jù)交換單元��,由專用總線接口和總線開關(guān)兩部份組成�����,該單元基于非IP協(xié)議���, 通過專用數(shù)據(jù)總線將內(nèi)外網(wǎng)處理單元之間的數(shù)據(jù)進行交換�,阻擋了源自TCP/IP協(xié)議本身 漏洞的攻擊。內(nèi)網(wǎng)處理單元�����,進一步包括隔離交換驅(qū)動模塊和狀態(tài)檢測包過濾控制模塊����。其中, 隔離交換驅(qū)動模塊����,用于截獲來自內(nèi)部隔離交換接口的數(shù)據(jù)包,并將數(shù)據(jù)放入接收緩沖區(qū) 隊列�;并將數(shù)據(jù)從接收緩沖區(qū)取出形成發(fā)送緩沖區(qū),調(diào)用網(wǎng)絡(luò)接口卡驅(qū)動的函數(shù)將數(shù)據(jù)發(fā) 送到上層隔離交換控制模塊���;期間對隔離交換數(shù)據(jù)接收緩沖區(qū)隊列����、發(fā)送緩沖區(qū)隊列進行 管理�����。狀態(tài)檢測包過濾控制模塊���,用于接收來自內(nèi)/外部網(wǎng)絡(luò)接口的數(shù)據(jù)���,并根據(jù)五元組信 息對數(shù)據(jù)包進行過濾�����。并與上層應(yīng)用代理模塊中預(yù)定義的協(xié)議和數(shù)據(jù)格式相結(jié)合����,識別出 應(yīng)用協(xié)議數(shù)據(jù)流����,并將這些數(shù)據(jù)流交由運行在用戶空間的應(yīng)用代理模塊作進一步的分析處理���。外網(wǎng)處理單元�����,也進一步包括隔離交換驅(qū)動模塊和狀態(tài)檢測包過濾控制模塊��,其 中����,隔離交換驅(qū)動模塊,用于截獲來自內(nèi)部隔離交換接口的數(shù)據(jù)包��,并將數(shù)據(jù)放入接收緩沖 區(qū)隊列�����;并將數(shù)據(jù)從接收緩沖區(qū)取出形成發(fā)送緩沖區(qū)�,調(diào)用網(wǎng)絡(luò)接口卡驅(qū)動的函數(shù)將數(shù)據(jù) 發(fā)送到上層隔離交換控制模塊;期間對隔離交換數(shù)據(jù)接收緩沖區(qū)隊列����、發(fā)送緩沖區(qū)隊列進 行管理。狀態(tài)檢測包過濾控制模塊�����,用于接收來自內(nèi)/外部網(wǎng)絡(luò)接口的數(shù)據(jù)��,并根據(jù)五元組 信息對數(shù)據(jù)包進行過濾�����。并與與上層應(yīng)用代理模塊中預(yù)定義的協(xié)議和數(shù)據(jù)格式相結(jié)合����,識 別出應(yīng)用協(xié)議數(shù)據(jù)流��,并將這些數(shù)據(jù)流交由運行在用戶空間的應(yīng)用代理模塊作進一步的分 析處理��。其中����,五元組信息����,包括源IP、目的IP���、源端口��、目的端口���、協(xié)議��。另外�����,內(nèi)網(wǎng)處理單元和外網(wǎng)處理單元����,分別進一步包括內(nèi)容檢查過濾模塊���、管理 控制模塊和日志審計模塊,其中�����,內(nèi)容檢查過濾模塊����,用于根據(jù)安全過濾規(guī)則,對流經(jīng)設(shè)備 的網(wǎng)絡(luò)數(shù)據(jù)���,在網(wǎng)絡(luò)層����、傳輸層�、應(yīng)用層進行安全檢查和過濾控制;管理控制模塊���,用于通過 管理控制通信接口對設(shè)備進行管理控制���、狀態(tài)監(jiān)視操作��;日志審計模塊��,用于采集設(shè)備中各 個安全處理模塊產(chǎn)生的各種審計日志信息并記錄��。數(shù)據(jù)交換單元由專用總線接口和總線開關(guān)兩部份組成���,該單元基于非IP協(xié)議,通 過專用數(shù)據(jù)總線將內(nèi)外網(wǎng)處理單元之間的數(shù)據(jù)進行交換��,阻擋了源自TCP/IP協(xié)議本身漏 洞的攻擊����。其中,內(nèi)網(wǎng)處理單元���、外網(wǎng)處理單元構(gòu)建在專用的經(jīng)過裁剪改造的LINUX操作系 統(tǒng)之上���,分為操作系統(tǒng)用戶空間和操作系統(tǒng)內(nèi)核空間兩部分。隔離交換控制模塊����、應(yīng)用代理 模塊�����、內(nèi)容檢查過濾模塊、管理控制模塊和日志審計模塊等模塊運行于操作系統(tǒng)用戶空間���。 隔離交換驅(qū)動模塊和狀態(tài)檢測包過濾控制模塊是底層驅(qū)動��,運行于操作系統(tǒng)內(nèi)核空間���。隔離交換控制模塊與應(yīng)用代理模塊的關(guān)系如圖3所示。隔離交換控制模塊是連 接應(yīng)用代理和內(nèi)部隔離交換接口的唯一通路�,隔離交換控制模塊與隔離交換驅(qū)動模塊直接 交互,從而繞過TCP/IP協(xié)議棧的處理��,實現(xiàn)將應(yīng)用數(shù)據(jù)直接以自定義的內(nèi)部封裝格式通過 “內(nèi)部隔離交換接口”進行數(shù)據(jù)交換�。隔離交換控制模塊以多進程的形式運行于系統(tǒng)中,一 個進程對應(yīng)一種應(yīng)用代理�,通過進程間通信機制(Inter-Process Communication, IPC)與 應(yīng)用代理進程相連,通過字符設(shè)備文件與隔離交換驅(qū)動模塊交互�。隔離交換控制模塊這種 多進程方式的設(shè)計,有利于提高CPU利用率�,進而減少系統(tǒng)資源占用。圖3中應(yīng)用代理(Proxy)的實現(xiàn)基礎(chǔ)是數(shù)據(jù)流重定向�。當內(nèi)核層的包過濾機制在 檢測到數(shù)據(jù)包目的端口是Proxy要處理的網(wǎng)絡(luò)服務(wù)使用端口時,將該數(shù)據(jù)包重定向到用戶 空間的相應(yīng)應(yīng)用代理(Proxy)進程處理。這樣Proxy就截獲到了數(shù)據(jù)����,對數(shù)據(jù)包的數(shù)據(jù)進 行分析處理后,通過與隔離交換控制模塊的內(nèi)部隔離交換接口將數(shù)據(jù)包交給隔離交換控制 模塊���?�;诟綦x交換應(yīng)用代理的通信會話過程如圖4所示��,應(yīng)用代理(Proxy)兩端的數(shù) 據(jù)源是不對稱的���,一邊是標準的TCP/IP協(xié)議棧,采用標準的IP包格式�����;另一邊是非IP的專 用隔離交換協(xié)議棧����,使用自定義的數(shù)據(jù)封包格式。由于專用的協(xié)議棧不采用標準的IP封裝 格式�,那么Proxy要對兩端采用不同的通訊方式。標準TCP/IP協(xié)議棧這邊使用TCP/IP協(xié) 議套接字��,而專用協(xié)議棧這邊采用進程間通訊機制(IPC,一種UNIX域協(xié)議套字)與隔離交 換控制模塊進程連接���。
7
圖4中每個Proxy服務(wù)進程需要兩個監(jiān)聽套接字(1) 一個處理來自TCP/IP協(xié)議 棧的外部連接請求當標準TCP/IP協(xié)議棧有連接請求時,Proxy的IP協(xié)議監(jiān)聽套接字捕獲 到請求并創(chuàng)建IP協(xié)議套接字連接�,然后Proxy作為客戶端主動發(fā)起與專用協(xié)議封裝進程的 IPC連接,建立一個Proxy Session. (2)另一個處理與內(nèi)部專用協(xié)議封裝進程的IPC連接�, 通過輸入/輸出(Input/Output,1/0)復(fù)用來輪詢當連接請求來自專用協(xié)議棧時�����,Proxy 的IPC UNIX域監(jiān)聽套接字應(yīng)答連接請求并建立本地的IPC連接�,然后主動發(fā)起與外網(wǎng)的IP 協(xié)議套接字連接,建立一個Proxy Session����。上述內(nèi)部專用協(xié)議為內(nèi)網(wǎng)處理單元和外網(wǎng)處理單元中隔離交換控制進程之間的 內(nèi)部通信協(xié)議,該協(xié)議在隔離交換控制模塊中實現(xiàn)���。由于內(nèi)部隔離交換接口上的MTU有最 大限制�,而需要交換的應(yīng)用數(shù)據(jù)長度可能會大于MTU����,因此需要在隔離交換驅(qū)動內(nèi)核模塊中 實現(xiàn)數(shù)據(jù)分片和重組功能��。內(nèi)部專用協(xié)議數(shù)據(jù)幀封裝格式定義如表1所示上表中各字段說明如下AppID 1字節(jié)長����,表示應(yīng)用代理的類型Flags 1字節(jié)長����,表示報文標識;SN 2字節(jié)長�,表示序列號DataLen 2字節(jié)長,表示數(shù)據(jù)總長度��;Offset 2字節(jié)長�,表示本幀應(yīng)用數(shù)據(jù)偏移量;Data 4字節(jié)長����,表示數(shù)據(jù)。經(jīng)過上述過程后����,兩臺進行通信的主機之間的連接建立了。該通信主機之間的網(wǎng) 絡(luò)服務(wù)數(shù)據(jù)傳輸都將經(jīng)過Proxy���,這樣就可以在Proxy進行數(shù)據(jù)分析處理(比如應(yīng)用協(xié)議命 令過濾����,數(shù)據(jù)內(nèi)容過慮,病毒掃描等)�。下面根據(jù)圖5介紹隔離交換連接建立、數(shù)據(jù)收發(fā)�、連 接關(guān)閉三個過程����。1、隔離交換連接建立過程說明如下1. 1主機CLIENT向主機SERVER發(fā)起連接請求�,該連接請求被狀態(tài)檢測包過濾模塊 A截獲;1. 2連接請求被重定向到應(yīng)用代理模塊A�,應(yīng)用代理模塊A與主機CLIENT建立連 接;1.3應(yīng)用代理模塊A從狀態(tài)檢測包過濾模塊A獲取實際連接的五元組信息〈源IP�、 目的IP、源端口��、目的端口��、協(xié)議〉�����;1. 4應(yīng)用代理模塊代理A通過UNIX域套接字(通過五元組信息生成UNIX路徑) 與隔離交換控制模塊A建立IPC連接�����;1. 5隔離交換控制模塊A根據(jù)應(yīng)用代理模塊A使用的UNIX路徑獲取五元組信息;1. 6隔離交換控制模塊A根據(jù)五元組消息內(nèi)容����,構(gòu)造會話請求消息發(fā)送給隔離交 換驅(qū)動模塊A,隔離交換驅(qū)動模塊A再通過隔離交換數(shù)據(jù)通道轉(zhuǎn)發(fā)給隔離交換驅(qū)動模塊B �����;1. 7隔離交換驅(qū)動模塊B將信息轉(zhuǎn)發(fā)給隔離交換控制模塊B��,隔離交換控制模塊B收到會話請求消息�����,并解析還原出連接五元組����;1. 8隔離交換控制模塊B通過UNIX域套接字(通過五元組信息生成UNIX路徑) 與應(yīng)用代理模塊B建立IPC連接;1. 9應(yīng)用代理模塊B根據(jù)隔離交換控制模塊B使用的UNIX路徑獲取五元組信息�;1. 10應(yīng)用代理模塊B將連接五元組信息轉(zhuǎn)發(fā)給狀態(tài)檢測包過濾模塊B ;1. 11連接請求被重定向到應(yīng)用代理模塊B ����;1.12應(yīng)用代理模塊B向主機SERVER發(fā)起連接建立請求��;1. 13通過狀態(tài)檢測包過濾模塊B��,應(yīng)用代理B與主機SERVER連接建立�����;至此連接 建立完成�。2���、隔離交換數(shù)據(jù)收發(fā)過程2. 1以隔離交換控制模塊B向隔離交換控制模塊A發(fā)送應(yīng)用數(shù)據(jù)為例,隔離交換數(shù) 據(jù)收發(fā)過程說明如下2. 2隔離交換控制模塊B收到應(yīng)用代理模塊B發(fā)來的應(yīng)用數(shù)據(jù)(假定應(yīng)用數(shù)據(jù)較 大���,需要分片處理)�����;2. 3隔離交換控制模塊B查詢隔離交換會話狀態(tài)表����,獲取相關(guān)信息�,檢查應(yīng)用數(shù)據(jù) 大小,判斷是否需要分片處理����;2. 4隔離交換控制模塊B對應(yīng)用數(shù)據(jù)進行必要的分片����,并逐一將每個分片數(shù)據(jù)幀 連續(xù)發(fā)給隔離交換控制模塊A �;2. 5隔離交換控制模塊A逐一連續(xù)接收并解析數(shù)據(jù)幀消息,重組應(yīng)用數(shù)據(jù)分片���,直 至整個應(yīng)用數(shù)據(jù)收完�����;2. 6隔離交換控制模塊A將收到的整個應(yīng)用數(shù)據(jù)發(fā)給應(yīng)用代理模塊A���。3、隔離交換連接關(guān)閉過程主機CLIENT啟動連接關(guān)閉過程如下所示3. 1主機CLIENT關(guān)閉與主機SERVER的連接����;3. 2狀態(tài)檢測包過濾模塊A捕獲該連接關(guān)閉請求,并重定向到應(yīng)用代理模塊A ����;3. 3應(yīng)用代理模塊A關(guān)閉與CLIENT相應(yīng)的連接,關(guān)閉與該連接對應(yīng)的與隔離交換 控制模塊A的連接;3. 4隔離交換控制模塊A檢測到與應(yīng)用代理模塊A的連接關(guān)閉事件�,查詢隔離交換 會話狀態(tài)表,獲取相應(yīng)連接狀態(tài)信息����,并構(gòu)造會話關(guān)閉消息;3. 5隔離交換控制模塊A將會話關(guān)閉消息發(fā)給隔離交換控制驅(qū)動模塊A�,隔離交換 控制驅(qū)動模塊A通過隔離交換數(shù)據(jù)傳輸通道轉(zhuǎn)發(fā)給隔離交換驅(qū)動模塊B ;3. 6隔離交換驅(qū)動模塊B收到會話關(guān)閉消息將信息轉(zhuǎn)發(fā)給隔離交換控制模塊B���,隔 離交換控制模塊B收到會話請求消息���;3. 7隔離交換控制模塊B收到并解析會話關(guān)閉消息,查詢隔離交換會話狀態(tài)表���,獲 取相應(yīng)連接信息,關(guān)閉該會話隔離交換控制模塊B與應(yīng)用代理模塊B的相應(yīng)連接����,刪除該連 接狀態(tài)條目,并向隔離交換控制模塊A發(fā)送會話關(guān)閉回應(yīng)消息��;3. 8應(yīng)用代理模塊B檢測到與隔離交換模塊B的連接關(guān)閉事件并關(guān)閉與隔離交換 模塊B的連接�;3. 9隔離交換模塊B關(guān)閉與該連接對應(yīng)的與主機SERVER的連接;
9
3. 10隔離交換控制模塊B收到會話關(guān)閉回應(yīng)消息����,關(guān)閉隔離交換控制模塊B與應(yīng) 用代理模塊B的相應(yīng)連接����,刪除該連接狀態(tài)條目���。以上過程中會話狀態(tài)表的設(shè)計如表2所示表 權(quán)利要求
1.一種基于應(yīng)用代理的網(wǎng)管系統(tǒng)隔離控制裝置����,其特征在于��,包括內(nèi)網(wǎng)處理單元����、外網(wǎng) 處理單元和數(shù)據(jù)交換單元,其中��,內(nèi)網(wǎng)處理單元��,包括隔離交換控制模塊�、應(yīng)用代理模塊,其中�����,內(nèi)網(wǎng)處理單元的隔離交換控制模塊,用于實現(xiàn)內(nèi)外網(wǎng)處理單元之間傳輸數(shù)據(jù)的專用格 式封裝與還原��,即從底層驅(qū)動獲取外網(wǎng)處理單元傳輸過來的數(shù)據(jù)�����,依次從數(shù)據(jù)鏈路層到應(yīng) 用層進行封裝與還原���,并將數(shù)據(jù)根據(jù)協(xié)議特征分發(fā)給應(yīng)用代理模塊進行處理���;內(nèi)網(wǎng)處理單元的應(yīng)用代理模塊,實現(xiàn)應(yīng)用協(xié)議分析處理功能�����,對每一種網(wǎng)管協(xié)議進行 分析處理�,即從隔離交換控制單元獲取數(shù)據(jù)����,并根據(jù)應(yīng)用代理模塊中預(yù)定義的協(xié)議和數(shù)據(jù) 格式進行解析;外網(wǎng)處理單元�����,包括隔離交換控制模塊、應(yīng)用代理模塊�����,其中����,外網(wǎng)處理單元的隔離交換控制模塊,用于實現(xiàn)內(nèi)外網(wǎng)處理單元之間傳輸數(shù)據(jù)的專用格 式封裝與還原�����,即從底層驅(qū)動獲取內(nèi)網(wǎng)處理單元傳輸過來的數(shù)據(jù)��,依次從數(shù)據(jù)鏈路層到應(yīng) 用層進行封裝與還原�,并將數(shù)據(jù)根據(jù)協(xié)議特征分發(fā)給應(yīng)用代理模塊進行處理;外網(wǎng)處理單元的應(yīng)用代理模塊��,實現(xiàn)應(yīng)用協(xié)議分析處理功能����,對每一種網(wǎng)管協(xié)議進行 分析處理,即從隔離交換控制單元獲取網(wǎng)管數(shù)據(jù)����,并根據(jù)應(yīng)用代理模塊中預(yù)定義的協(xié)議和 數(shù)據(jù)格式進行解析��;數(shù)據(jù)交換單元����,由專用總線接口和總線開關(guān)兩部份組成�,該單元基于非IP協(xié)議,通過 專用數(shù)據(jù)總線將內(nèi)外網(wǎng)處理單元之間的數(shù)據(jù)進行交換����,阻擋了源自TCP/IP協(xié)議本身漏洞 的攻擊。
2.如權(quán)利要求1所述的基于應(yīng)用代理的網(wǎng)管系統(tǒng)隔離控制裝置���,其特征在于�����,所述內(nèi) 網(wǎng)處理單元����,進一步包括隔離交換驅(qū)動模塊和狀態(tài)檢測包過濾控制模塊�����,其中��,隔離交換驅(qū)動模塊�,用于截獲來自內(nèi)部隔離交換接口的數(shù)據(jù)包,并將數(shù)據(jù)放入接收緩 沖區(qū)隊列�;并將數(shù)據(jù)從接收緩沖區(qū)取出形成發(fā)送緩沖區(qū),調(diào)用網(wǎng)絡(luò)接口卡驅(qū)動的函數(shù)將數(shù) 據(jù)發(fā)送到上層隔離交換控制模塊�;期間對隔離交換數(shù)據(jù)接收緩沖區(qū)隊列、發(fā)送緩沖區(qū)隊列 進行管理����;狀態(tài)檢測包過濾控制模塊,用于接收來自內(nèi)/外部網(wǎng)絡(luò)接口的數(shù)據(jù)����,并根據(jù)五元組信 息對數(shù)據(jù)包進行過濾。并與上層應(yīng)用代理模塊中預(yù)定義的協(xié)議和數(shù)據(jù)格式相結(jié)合���,識別出 應(yīng)用協(xié)議數(shù)據(jù)流�����,并將這些數(shù)據(jù)流交由運行在用戶空間的應(yīng)用代理模塊作進一步的分析處理��。
3.如權(quán)利要求1所述的基于應(yīng)用代理的網(wǎng)管系統(tǒng)隔離控制裝置�,其特征在于,所述外 網(wǎng)處理單元��,進一步包括隔離交換驅(qū)動模塊和狀態(tài)檢測包過濾控制模塊���,其中�����,隔離交換驅(qū)動模塊����,用于截獲來自內(nèi)部隔離交換接口的數(shù)據(jù)包���,并將數(shù)據(jù)放入接收緩 沖區(qū)隊列�����;并將數(shù)據(jù)從接收緩沖區(qū)取出形成發(fā)送緩沖區(qū)��,調(diào)用網(wǎng)絡(luò)接口卡驅(qū)動的函數(shù)將數(shù) 據(jù)發(fā)送到上層隔離交換控制模塊�����;期間對隔離交換數(shù)據(jù)接收緩沖區(qū)隊列����、發(fā)送緩沖區(qū)隊列 進行管理��;狀態(tài)檢測包過濾控制模塊�,用于接收來自內(nèi)/外部網(wǎng)絡(luò)接口的數(shù)據(jù),并根據(jù)五元組信 息對數(shù)據(jù)包進行過濾��。并與與上層應(yīng)用代理模塊中預(yù)定義的協(xié)議和數(shù)據(jù)格式相結(jié)合�,識別 出應(yīng)用協(xié)議數(shù)據(jù)流,并將這些數(shù)據(jù)流交由運行在用戶空間的應(yīng)用代理模塊作進一步的分析處理�。
4.如權(quán)利要求2或3所述的基于應(yīng)用代理的網(wǎng)管系統(tǒng)隔離控制裝置,其特征在于���,五元 組信息�,包括源IP�、目的IP、源端口�、目的端口、協(xié)議�����。
5.如權(quán)利要求2或3所述的基于應(yīng)用代理的網(wǎng)管系統(tǒng)隔離控制裝置��,其特征在于,在 所述應(yīng)用代理模塊中�,對每一種網(wǎng)管協(xié)議進行分析處理,包括對網(wǎng)管協(xié)議分別進行解碼����、分 析、應(yīng)用協(xié)議狀態(tài)表的建立與維護��、格式檢查的處理��。
6.如權(quán)利要求2或3所述的基于應(yīng)用代理的網(wǎng)管系統(tǒng)隔離控制裝置�,其特征在于,所述 內(nèi)網(wǎng)處理單元和外網(wǎng)處理單元�����,分別進一步包括內(nèi)容檢查過濾模塊���、管理控制模塊和日志 審計模塊���,其中,內(nèi)容檢查過濾模塊�����,用于根據(jù)安全過濾規(guī)則,對流經(jīng)設(shè)備的網(wǎng)絡(luò)數(shù)據(jù)�����,在網(wǎng)絡(luò)層�����、傳輸 層�����、應(yīng)用層進行安全檢查和過濾控制����;管理控制模塊�����,用于通過管理控制通信接口對設(shè)備進行管理控制����、狀態(tài)監(jiān)視操作; 日志審計模塊,用于采集設(shè)備中各個安全處理模塊產(chǎn)生的各種審計日志信息并記錄���。
7.如權(quán)利要求2或3所述的基于應(yīng)用代理的網(wǎng)管系統(tǒng)隔離控制裝置���,其特征在于,內(nèi)網(wǎng) 處理單元�����、外網(wǎng)處理單元構(gòu)建在專用的經(jīng)過裁剪改造的LINUX操作系統(tǒng)之上�����,分為操作系 統(tǒng)用戶空間和操作系統(tǒng)內(nèi)核空間兩部分��,其中�,隔離交換控制模塊、應(yīng)用代理模塊�����、內(nèi)容檢查過濾模塊���、管理控制模塊和日志審計模塊 運行于操作系統(tǒng)用戶空間�����;隔離交換驅(qū)動模塊和狀態(tài)檢測包過濾控制模塊是底層驅(qū)動���,運行于操作系統(tǒng)內(nèi)核空間�。
8.如權(quán)利要求2或3所述的基于應(yīng)用代理的網(wǎng)管系統(tǒng)隔離控制裝置�����,其特征在于�����,所述 隔離交換控制模塊���,以多進程的形式運行于系統(tǒng)中,一個進程對應(yīng)一種應(yīng)用代理�����,通過進程 間通信機制IPC與應(yīng)用代理進程相連�,通過字符設(shè)備文件與隔離交換驅(qū)動模塊交互。
全文摘要
本發(fā)明提供一種基于應(yīng)用代理的網(wǎng)管系統(tǒng)隔離控制裝置����,包括內(nèi)網(wǎng)處理單元���、外網(wǎng)處理單元和數(shù)據(jù)交換單元,其中��,內(nèi)網(wǎng)處理單元����,包括隔離交換控制模塊、應(yīng)用代理模塊�����;外網(wǎng)處理單元��,包括隔離交換控制模塊�、應(yīng)用代理模塊。數(shù)據(jù)交換單元�����,由專用總線接口和總線開關(guān)兩部份組成�����,該單元基于非IP協(xié)議,通過專用數(shù)據(jù)總線將內(nèi)外網(wǎng)處理單元之間的數(shù)據(jù)進行交換���,阻擋了源自TCP/IP協(xié)議本身漏洞的攻擊�。本發(fā)明采用特定非IP協(xié)議和內(nèi)部隔離交換接口����,能阻擋針對TCP協(xié)議棧的網(wǎng)絡(luò)攻擊行為。
文檔編號H04L12/56GK102006307SQ20101059119
公開日2011年4月6日 申請日期2010年12月16日 優(yōu)先權(quán)日2010年12月16日
發(fā)明者劉曉毅, 唐晉, 曾夢岐, 鄒繼偉 申請人:中國電子科技集團公司第三十研究所