技術領域

本發明涉及網絡安全，尤其涉及其中在單主機系統中設置了至少兩個單獨的主機的、用于處理包數據的基于多主機的網絡安全設備，以及使用該網絡安全設備處理包數據的方法。

背景技術

隨著計算機和因特網使用的廣泛普及，用戶在電腦跟前花費了更多的時間而網絡安全也被認為是一個重要因素。網絡安全防止通過諸如連接到網絡的計算機系統的操作系統、服務器以及應用程序等易受攻擊點的入侵，或者是來自外部的非法入侵以及對內部信息的非法訪問。

為此，通常使用基于硬件或基于軟件的網絡安全設備。圖1a和1b分別示出了常規的基于硬件和基于軟件的網絡安全設備的配置。

包數據在圖1a的網絡安全設備中處理如下。

當通過接口1接收到包數據時，第一安全模塊3的模式匹配引擎5根據已加載的關于阻塞策略的信息檢查包數據的首部和內容。如果在匹配引擎5中確定存在匹配的包數據，則處理引擎7根據預先存儲的策略阻塞或旁路掉相關的包數據。第一安全模塊3中的處理結果和被旁路掉的包通過外圍組件互聯(PCI)接口9被發送到第二安全模塊11。

在接收包時，第二安全模塊11的主中央處理單元(CPU)13根據閾值檢查接收到的包是否試圖進行動態攻擊，例如拒絕服務(DoS)攻擊以及分布式拒絕服務攻擊(DDoS)。主CPU將檢查結果返回給第一安全模塊3的模式匹配引擎5。然后，模式匹配引擎5確定是否阻塞該包的通信。

圖1b的網絡安全設備中的包數據將被處理如下。

安全功能模塊24、26或28通過網卡20在網絡上接收包，并在主CPU?22的控制下使用軟件檢查該包。安全功能模塊中的至少一個被選擇性地設置。

然而，這種常規安全設備有以下問題。

該安全設備對單系統僅設置一個主機。即，由于主CPU?13或22執行一般安全功能，所以許多安全功能由于有限的硬件資源而不能被執行。

例如，在圖1a的安全設備中，當包數據模式與所存儲的模式不匹配時，需要具體地檢查該包是否試圖進行動態攻擊(例如，DoS和DDoS)。然而，與CPU和存儲器相關連的有限的硬件資源使得難以執行這種高級安全功能。在圖1b的安全設備中，設置了一個或多個安全功能模塊24、26和28用于執行多個安全功能，但是由于主CPU?22應當執行所有的安全功能，所以該安全設備表現出有限的性能。

此外，由于該安全設備基于單主機，所以不能處理大量包數據的通信。雖然該基于單主機的安全設備試圖處理大量的包數據，但由于處理時延所以未處理的包數據增多。因此，包數據可能會丟失。

發明內容

本發明預期解決上述問題。相應地，本發明的一個目的是提供用于處理包數據的網絡安全設備，其中在單系統中設置了各具有諸如中央處理單元和存儲器等資源的多個主機，以及提供使用該網絡安全設備處理包數據的方法。

本發明的另一目的是使用至少兩個單獨的主機執行多個安全功能。

本發明的另一目的是使用至少兩個單獨的主機同時處理大量包數據。

根據用于實現這些目的的本發明的一個方面，提供了一種網絡安全設備，其包括：至少兩個主機，用于根據不同的安全策略分別執行安全功能；以及包處理單元，用于根據藉之向相應主機分配預定優先級的包分類策略，將通過網絡接收到的包數據發送到具有第一優先級的主機，并且在該主機確定包數據正常的情況下順序地將該正常包數據發送到具有次優先級的主機以繼續執行安全功能。

該包處理單元可在其中任何一個主機確定包數據有害的情況下阻塞該包數據。

每個主機可包括含中央處理單元(CPU)和存儲器在內的用以在單主機系統內執行不同任務的單獨的資源。

優選地，每個主機執行從包括防火墻/服務質量(QoS)安全功能、入侵檢測安全功能以及動態和會話處理安全功能的組中選出的任一功能。

根據本發明的另一方面，提供了一種網絡安全設備，其包括：至少兩個主機，用于根據包數據的傳輸協議分別處理包數據；包處理單元，用于參照包分類策略根據傳輸協議將包數據分類，并將經分類的包數據發送到相關主機；以及包策略模塊，用于向包處理單元提供包分類策略。

在接收到兩個或多個包數據時，包處理單元可根據包分類策略并行地將包數據發送到各相關主機以允許各主機同時處理接收到的包數據。

優選地，主機處理傳輸控制協議(TCP)、用戶數據報協議(UCP)/IP版本互聯網控制信息協議(ICMP)和超文本傳輸協議(HTTP)包。