本發明公開了一種實現網關自動防御病毒系統，其中方法包括：安全網關集群預先在多個安全網關設備中選舉其中一個作為主安全網關，其他作為備份安全網關；主安全網關識別出需要進行殺毒的數據流，通過查詢集群狀態數據庫和預定負載均衡策略將需要進行殺毒的數據流發送到備份安全網關上；備份安全網關將接收到的需要進行殺毒的數據流進行殺毒處理，并將經過處理的數據流封裝后發送給主安全網關；主安全網關對經殺毒處理的數據包進行解封裝并轉發；本發明實現了安全網關集群的透明性與高性能的統一，在保持安全網關集群高可用性的基礎上，通過有效的動態負載均衡機制，提升了安全網關集群的整體資源利用率。

技術領域

本發明涉及網絡安全技術領域，尤其涉及一種網關自動防御病毒系統。

背景技術

隨著網絡技術與網絡安全技術的不斷發展，傳統的安全網關功能已經不能滿足日益出現的各種新需求。傳統的安全網關只在網絡層做集中訪問控制，對應用層的安全無能為力，新一代的安全網關需要對應用層的安全也進行集中控制，以實現網絡從二層到七層的立體安全控制。在新興的應用層安全功能中，防病毒功能有著非常重要的地位，安全網關需要對經過安全網關的FTP，HTTP，POP3，SMTP，IMAP等流量進行實時病毒掃描，對比文件中的內容和防病毒庫中存儲的特征碼，并對含有病毒的文件進行相關處理，如果傳輸的文件是某種壓縮格式的文件，則病毒掃描模塊需要將文件進行壓縮，掃描其中所有的文件，以實現全面的殺毒功能。安全網關殺毒是CPU密集型動作，如果數據流量較大，防病毒模塊會占用比較多的處理器時間和內存，將不可避免的對整個系統的其他功能產生一定的影響，降低系統的使用效能。

為了提高安全網關殺毒的能力，一般通過將需要進行病毒掃描的流量通過一定的方式分配到不同的安全網關集群設備上，以此來提高整個系統的吞吐率。目前主要有兩種實現方法：

第一種方法，通過在安全網關集群上進行多個工作組的劃分，也達到負載均衡的效果，不同的殺毒流量被強行的發送到集群中的不同工作組，集群中的每一個工作組在接收到流量后都會進行處理，從而實現殺毒流量的靜態負載均衡。采用靜態負載均衡方式進行組網，安全網關集群對外表現為多個邏輯設備，上下游設備必須進行復雜的配置。同時流量不能根據安全網關集群中的每個設備的狀態進行負載均衡，只能按照定義好的策略進行流量發送。同時集群中的安全網關設備對于接收到的流量不能進行選擇性的處理，只要上下游設備發送過來就必須處理。

第二種方法，通過在網絡中添加專用負載均衡設備，可以達到動態的負載均衡效果。利用專用設備的高層協議識別與流量動態均衡能力，可以根據流量以及安全網關集群設備的狀態來實現殺毒流量的動態負載均衡。基于專用負載均衡設備的動態負載均衡方案缺點也很明顯，一般的專用負載均衡設備非常昂貴，同時如果要排除網絡中的單點故障，必須以雙機熱備的模式進行網絡搭建，導致在擴大了投入的同時浪費了負載均衡備份安全網關以及安全網關集群備份安全網關的系統資源。

發明內容

鑒于上述的分析，本發明旨在提供一種網關自動防御病毒系統，用以解決現有技術中存在的通過將需要進行病毒掃描的流量通過一定的方式分配到不同的安全網關集群設備上所帶來的諸多問題。

本發明的目的主要是通過以下技術方案實現的：

本發明提供了一種實現安全網關集群防病毒的方法，包括：

安全網關集群預先在多個安全網關設備中選舉其中一個作為主安全網關，其他作為備份安全網關；

所述主安全網關對接收到的數據流進行識別，識別出需要進行殺毒的數據流，并且通過查詢集群狀態數據庫和采用預定負載均衡策略將需要進行殺毒的數據流發送到其選定的備份安全網關上；

所述選定的備份安全網關將接收到的需要進行殺毒的數據流進行殺毒處理，并將經過殺毒處理的數據流封裝成數據包后發送給所述主安全網關；