技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)行為實(shí)時(shí)分析及管理設(shè)備，特別涉及一種基于堆疊結(jié)構(gòu)的10G高性能寬 帶網(wǎng)絡(luò)行為實(shí)時(shí)分析及安全管理系統(tǒng)。在1G單板上基于網(wǎng)絡(luò)處理器采用硬件的模式匹配引 擎利用流水線處理架構(gòu)，能夠?qū)崿F(xiàn)對(duì)2000種業(yè)務(wù)的實(shí)時(shí)檢測(cè)和控制，由多塊1G設(shè)備堆疊而 成的10G方案能夠?qū)⑻幚韼捰?G擴(kuò)展至10G，從而對(duì)校園網(wǎng)或企業(yè)網(wǎng)的接入提供有效的 安全保障。

背景技術(shù)

深度包檢測(cè)(DPI)技術(shù)是為了提高當(dāng)前網(wǎng)絡(luò)防火墻性能而提出的一項(xiàng)重要的改進(jìn)技術(shù)。因 為隨著近年來網(wǎng)絡(luò)應(yīng)用的高速發(fā)展，各種網(wǎng)絡(luò)危險(xiǎn)應(yīng)運(yùn)而生，此時(shí)防火墻就充當(dāng)著一個(gè)重要 的角色，它是防御網(wǎng)絡(luò)入侵的最有效機(jī)制，防火墻的發(fā)展階段包括訪問控制列表、應(yīng)用代理 服務(wù)、狀態(tài)檢測(cè)3個(gè)階段。而深度包檢測(cè)(DPI)能看作是傳統(tǒng)防火墻技術(shù)的入侵檢測(cè)(IDS)和入 侵阻止(IPS)的整合，是解決傳統(tǒng)防火墻目前遇到難題的一項(xiàng)新技術(shù)，是防火墻技術(shù)發(fā)展的一 個(gè)重要階段，將該技術(shù)融入寬帶網(wǎng)絡(luò)行為實(shí)時(shí)安全管理在技術(shù)上將實(shí)現(xiàn)一次飛躍。

雖然傳統(tǒng)的防火墻通過檢測(cè)包頭部分是一種較為經(jīng)濟(jì)的方式，但是可以發(fā)現(xiàn)越來越多的 惡意行為可能隱藏在數(shù)據(jù)載荷中，順利穿透防御邊界后在安全體系內(nèi)部產(chǎn)生嚴(yán)重的危害。同 時(shí)由于數(shù)據(jù)載荷中可能充斥著垃圾郵件、廣告、蠕蟲病毒以及很多企業(yè)、事業(yè)單位不欣賞的 P2P傳輸，各種電子商務(wù)程序的HTML和XML格式數(shù)據(jù)中也可能夾帶著后門和木馬程序在 網(wǎng)絡(luò)節(jié)點(diǎn)之間交換。所以，在應(yīng)用形式及其格式以爆炸速度增長(zhǎng)的今天，僅僅依照數(shù)據(jù)包的 第三層信息決定其是否準(zhǔn)入，實(shí)在無法滿足安全的要求。

深度包檢測(cè)(DPI)技術(shù)是一種深入檢查通過防火墻的每個(gè)數(shù)據(jù)包及其應(yīng)用載荷的技術(shù)。通 過在應(yīng)用層深入到正在進(jìn)入服務(wù)器的數(shù)據(jù)包的有效載荷所封裝的內(nèi)容部分，搜尋合法或非法 的內(nèi)容以決定是否允許數(shù)據(jù)包通過，或者查找常見的攻擊，并丟棄與之相關(guān)的會(huì)話。

隨著計(jì)算機(jī)網(wǎng)絡(luò)與電信網(wǎng)絡(luò)融合進(jìn)程的推進(jìn)，高速的城市網(wǎng)絡(luò)發(fā)展，需要不斷提高寬帶 網(wǎng)絡(luò)容量，尋求低成本效益的解決方案。10G以太網(wǎng)技術(shù)既提供速率優(yōu)勢(shì)，又具有靈活性、 可升級(jí)性及技術(shù)簡(jiǎn)單等特點(diǎn)。10G以太網(wǎng)技術(shù)的推出，無疑在向一個(gè)目標(biāo)前進(jìn)——從接入到 骨干網(wǎng)絡(luò)都采用以太網(wǎng)技術(shù)，從而可構(gòu)架出一個(gè)與傳統(tǒng)電信網(wǎng)絡(luò)不同的寬帶網(wǎng)絡(luò)。10G以太 網(wǎng)較大的帶寬使之可以成為園區(qū)骨干網(wǎng)或企業(yè)數(shù)據(jù)中心。同時(shí)10G以太網(wǎng)的出現(xiàn)也將加速電 子商務(wù)的應(yīng)用及以太網(wǎng)高速接入Internet的實(shí)現(xiàn)。如何有效實(shí)現(xiàn)10G以太網(wǎng)的深度包檢測(cè)(DPI) 成為當(dāng)前研究的技術(shù)難點(diǎn)。傳統(tǒng)的網(wǎng)絡(luò)處理器處理性能遠(yuǎn)遠(yuǎn)達(dá)不到10G網(wǎng)絡(luò)帶寬的要求，而 能夠?qū)崿F(xiàn)10G以太網(wǎng)深度包處理的芯片尚未得到商用，因而在當(dāng)前的技術(shù)條件下，采用堆疊 結(jié)構(gòu)的10G深度包檢測(cè)(DPI)系統(tǒng)為高帶寬網(wǎng)絡(luò)安全提供了最有效的解決方案。

因此，基于堆疊結(jié)構(gòu)的10G深度包檢測(cè)(DPI)系統(tǒng)具備以下優(yōu)點(diǎn)：

(1)高處理帶寬、線速處理能力使骨干網(wǎng)的應(yīng)用得以實(shí)現(xiàn)；

(2)相比軟件實(shí)現(xiàn)所需的巨大處理開銷，大大減少對(duì)處理器的資源消耗；

(3)構(gòu)建靈活、配置方便，可以為不同帶寬要求提供相應(yīng)的解決方案；

發(fā)明內(nèi)容

本發(fā)明的目的在于提供了一種基于堆疊結(jié)構(gòu)的10G高性能寬帶網(wǎng)絡(luò)行為實(shí)時(shí)安全管理系 統(tǒng)，在實(shí)現(xiàn)以太數(shù)據(jù)傳輸轉(zhuǎn)發(fā)的同時(shí)，具備數(shù)據(jù)包有效載荷檢測(cè)及處理功能，解決了對(duì)互聯(lián) 網(wǎng)上高速流動(dòng)的數(shù)據(jù)進(jìn)行實(shí)時(shí)有效的分析和控制的問題，從而保證網(wǎng)絡(luò)的正常運(yùn)行。

為達(dá)到上述目的，本發(fā)明采用下述技術(shù)方案：

一種基于堆疊結(jié)構(gòu)的10G高性能寬帶網(wǎng)絡(luò)行為實(shí)時(shí)分析及管理系統(tǒng)，包括10G交換機(jī)和 10塊具有1G網(wǎng)絡(luò)處理能力的深度包檢測(cè)(DPI)設(shè)備，其特征在于：所述1G流量的深度包檢 測(cè)DPI設(shè)備具有四個(gè)10/100/1000以太網(wǎng)接口模塊，所述10G交換機(jī)是具有兩個(gè)10G以太網(wǎng) 接口與24個(gè)10/100/1000以太網(wǎng)接口的電信交換機(jī)；1G深度包檢測(cè)DPI設(shè)備作為系統(tǒng)的核心 處理單元，其四個(gè)10/100/1000以太網(wǎng)接口根據(jù)堆疊方式以相應(yīng)連接方式連接到10G交換機(jī) 的10/100/1000以太網(wǎng)接口上，10G交換機(jī)的10G以太網(wǎng)接口作為整個(gè)系統(tǒng)的對(duì)外接口，實(shí) 現(xiàn)系統(tǒng)的10G網(wǎng)絡(luò)處理能力。