目前，网络设备为了信息传输安全都安装了网络安全设备，网络安全设备 能够实现内容过滤、病毒过滤、入侵行为检测等功能。目前的网络安全设备有 两种方式：
第一种，软件方式。如：防火墙等，这些设备在设计上，具有网络安全处 理功能，由操作系统的网络协议栈软件或操作系统之上的软件实现。这种设计 方式导致安全设备处理网络报文的速度慢，特别是在高速网络，安全设备成为 了网络的瓶颈。
为了提高处理速度，出现了第二种方式：硬件方式。如：安全设备采用 专用集成电路(ASIC)芯片或现场可编程逻辑门阵列(FPGA)实现网络协 议栈。由于ASIC和FPGA芯片不能够随时地在安全设备中进行修改，导致 这类安全设备面对新的攻击手段和新的网络协议无法迅速地升级。
现在，很多网络设备都使用了网络处理器来优化数据包的处理。网络处 理器是一种专门处理数据包的处理器，它将数据包以其到达的速度，即线速， 送到下一个节点；另外，如果需要新的功能或新的标准，网络处理器可通过 编程来实现，以满足各种各样的网络应用。
网络处理器集成了多个通用CPU或专用处理器，能够同时对多层协议 进行解析，通过编程能够配合应用程序进行按用途的计费、负荷平衡、进行 数据管理等复杂的处理。其中网络处理器的工作包括：监视登录以识别用户， 检出登录信息，然后匹配用户的文件和收费政策表，并在负荷中找出关键字 等。
目前，随着用户对网络处理器提出的更高要求，出现了高层协议处理器、 加密协议处理器、内容过滤处理器等专用的网络处理器。网络处理器通过强 大的可编程性，能够缩短网络设备开发周期，因此将来网络设备将大规模地 采用网络处理器，网络处理器技术也将得到更大的发展。

有鉴于此，本发明的主要目的在于提供一种网络安全装置，提高网络报 文的处理速度，并能够随时方便地进行系统升级。
本发明的另一个目的在于提供一种网络安全的实现方法，提高网络报文 的处理速度，并能够随时方便地进行系统升级。
根据上述目的的一个方面，本发明提供了一种网络安全装置，该安全装 置至少包含网络安全处理模块，该网络安全处理模块至少包含网络处理器、 存储模块、网络接口模块；
存储模块、网络接口模块通过高速总线与网络处理器相连；
存储模块，存储包含安全策略的配置信息、网络安全处理模块的运行代码、 网络安全处理模块信息、网络处理器芯片的协议和安全处理微码软件；
网络处理器，通过网络接口模块接收外部发送的网络报文、管理命令、配 置信息，对网络报文进行协议解析，并根据从存储模块取出的安全策略对网络 报文进行安全处理，将处理后的网络报文通过网络接口模块发送出去；或根据 管理命令将配置信息发送存储模块；或根据管理命令将网络安全处理模块信息 通过网络接口模块发送到外部；
网络接口模块，将网络处理器与外部设备相连，接收和发送信息。
其中，所述的网络安全模块可以进一步包含安全协处理模块，安全协处理 模块通过高速级连总线与网络处理器相连，安全协处理模块接收网络处理器发 送的网络报文，并对网络报文进行协议解析、安全处理，将处理后的报文返回 给网络处理器。
所述的安全协处理模块可以包含：通过高速级连总线与网络处理器相连的 密码协议处理器、高层协议解析处理器、内容过滤处理器、病毒过滤处理器和 入侵检测处理器。
所述的网络接口模块至少可以包含：100兆以太网接口，或千兆以太网接 口，或异步传输模式(ATM)接口，或同步数字序列(SDH)接口，或T1/E1 接口，或无线局域网802.11接口。
该安全装置可以进一步包含控制管理模块，控制管理模块将从外部接收的 管理命令、配置信息转换为网络处理器能够识别的管理命令、配置信息写入到 存储模块中；网络处理器根据接收的命令进行操作，或将安全装置的运行状态、 事件和日志信息发送给外部管理员计算机。
所述的控制管理模块至少可以包含CPU、存储器、接口电路；存储器、接 口电路分别与CPU相连；
CPU将从接口电路接收的管理命令、配置信息转换为网络处理器能够识别 的管理命令、配置信息写入到存储模块中，网络处理器根据该命令进行操作；
存储器，存储控制管理软件；
接口电路分别与网络安全处理模块和外部计算机相连；其接收外部计算机 发送的管理命令、配置信息，以及网络安全处理模块返回的信息；或将转换后 的管理命令、配置信息发送给网络安全处理模块，将网络安全处理模块返回的 信息转发给外部计算机；
所述网络安全处理模块进一步包含控制接口模块，其分别与网络处理器和 控制管理模块的接口电路相连，接收转换后的管理命令、配置信息；向控制管 理模块返回网络安全处理模块信息。
该安全装置可以进一步包含为该安全装置供电的电源模块和一个壳体，安 全装置的各个模块设置在壳体中。
所述的接口电路可以包含控制接口电路和管理接口电路；控制接口电路与 网络安全处理模块的控制接口模块相连；管理接口电路与外部计算机相连。
所述的控制管理模块可以为计算机，所述的控制接口电路为PCI接口，或 Compact-PCI接口，或串行通信接口，或以太网接口；所述的管理接口电路为 以太网接口，或串行通信接口；
所述的控制接口模块为PCI或Compact-PCI接口，或串行通信接口，或以 太网接口。
根据上述目的的另一个方面，本发明同时提供了一种网络安全的实现方法， 该方法包括以下步骤：
1)将上述的网络安全装置与网络设备相连；
2)通过管理员计算机对网络安全装置进行配置，将网络安全处理模块的运 行代码和对网络报文处理的安全策略存储到网络安全装置中；
3)网络安全装置从网络接收到网络报文后，对网络报文进行协议解析，并 根据安全策略对该报文进行安全处理；
4)网络安全装置将处理后的网络报文转发给网络设备。
其中，所述步骤2)可以包括以下步骤：
21)网络安全装置加电初始化，将存储在存储模块中用于网络协议处理和 安全处理的网络处理器微码软件加载到网络处理器中；
22)管理员计算机，通过浏览器界面或GUI界面，或命令行界面，对网络 安全装置进行配置；将包括对网络报文处理的安全策略、网络安全处理模块运 行代码的配置信息发送给网络安全装置；
23)网络安全装置将接收到的配置信息存储到网络安全处理模块的存储模 块中。
所述步骤22)可以进一步包括：网络安全装置对管理员计算机进行登录认 证，登录认证通过后管理员计算机对网络安全装置进行配置。
所述的登录认证方法可以为：采用一次口令协议或口令认证协议(PAP) 进行登录认证；或采用IP安全协议(IPSEC)进行登录认证；或采用安全套接 字层协议(SSL)进行登录认证；或采用安全shell主机协议(SSH)进行登录 认证。
所述步骤3)可以包括以下步骤：
31)网络安全装置收到网络报文后，网络安全装置中的网络处理器对收到 的网络报文进行第2层协议解析，读取存储模块中有关对第2层协议安全处理 的策略，并判断是否符合安全策略，如果符合，则根据安全策略转步骤32)或 者转发这个网络报文，否则，丢弃这个报文；
32)网络处理器对网络报文进行第3层(IP)协议解析，读取存储模块中 有关对第3层协议安全处理的策略，并判断是否符合安全策略，如果符合，则 根据安全策略转步骤33)或者转发这个网络报文，否则，丢弃这个报文；
33)网络处理器对网络报文进行上层协议解析，读取存储模块中有关对上 层协议安全处理的策略，根据安全策略对网络报文进行内容过滤、病毒过滤， 或入侵行为检测，转发合法网络报文，丢弃非法网络报文。
步骤31)所述的判断是否符合安全策略，可以是根据安全策略中的第2层 网络协议规则表进行判断的；规则表的内容至少可以包括：介质访问控制协议 (MAC)地址，虚拟局域网协议(VLAN)；
步骤32)所述的判断是否符合安全策略，可以是根据网络报文的内容对照 安全策略中的地址表、端口号、协议类型、或服务协议类型进行判断的；
对于网络地址转换(NAT)策略，则对网络报文进行NAT处理，然后转发； 对于虚拟网关(VPN)策略，则对网络报文进行VPN加密或解密处理，然后转 发；对于多协议标记交换(MPLS)策略，则对网络报文进行MPLS处理，然 后转发；如果是允许报文通过，转步骤33)或者转发这个报文。
所述的内容过滤可以是将网络报文与存储模块中保存的关键字进行匹配， 如果一致，则丢弃该网络报文。
所述的病毒过滤可以是将病毒代码作为关键字保存在存储模块中，将网络 报文与该关键字进行匹配，如果一致，则丢弃该网络报文；也可以将病毒代码 用哈希(hash)函数生成一个字摘要，存储在存储模块中的病毒特征库中；对 被检测的网络报文，进行hash计算，生成摘要，再与病毒特征库比较，如果一 致，则丢弃该网络报文。
所述的入侵行为检测可以是在存储模块中存储入侵行为规则库；对被检测 的一个或一个以上网络报文重组后得到的报文，与规则库进行匹配，如果一致， 则丢弃该网络报文。
由本发明的技术方案可见，本发明的这种网络安全装置及其实现方法， 在网络安全装置中设置网络处理器，利用网络处理器芯片的多微处理器、多 层协议解析和强大的芯片级编程功能对网络数据进行安全处理，保证了宽带 环境下线速的处理速度，并能够随时方便地进行系统升级。
附图说明
图1为本发明第一较佳实施例中网络安全装置的实现框图；
图2为图1所示实施例的网络安全装置的工作流程示意图；
图3本发明第二较佳实施例中网络安全装置的实现框图；
图4为图3所示实施例的网络安全装置的工作流程示意图；
图5为图4所示步骤407的具体流程示意图。

为使本发明的目的、技术方案和优点更加清楚明白，下面结合实施例和 附图，对本发明进一步详细说明。
本发明的网络安全装置主要由包括网络处理器的网络安全处理模块构 成，利用了网络处理器的协议处理和强大的编程功能对网络报文进行协议解 析和安全处理，本发明的网络安全装置还可以增加控制管理模块来减轻网络 安全处理模块的工作负担，提高处理速度，实现方式灵活多样。
本发明的网络安全装置至少有以下几种实现方式：
1、网络安全装置包含网络安全处理模块，或者包含网络安全处理模块 和控制管理模块，该装置设置成一块电路板卡，可以直接通过PCI接口，或 Compact-PCI接口安装到计算机或网络设备上。
2、网络安全装置包含网络安全处理模块，或者包含网络安全处理模块 和控制管理模块，另外设置一个电源模块为它们供电，将这些模块设置在一 个壳体内，成为一个独立的网络安全设备，通过以太网接口与计算机或网络 设备相连。
3、网络安全装置包含网络安全处理模块和控制管理模块，控制管理模 块由一台计算机来实现，网络安全处理模块设置为一块电路板卡，其通过 PCI接口，或Compact-PCI接口安装到控制管理模块上；或网络安全处理模 块设置为一个独立的外设，通过串行通信接口或以太网接口与控制管理模块 相连。
以下对本发明的两个较佳实施例分别进行说明：
本发明第一较佳实施例的网络安全装置，仅包含网络安全处理模块，其 设置成一块电路板卡，直接通过PCI接口，或Compact-PCI接口安装到计算 机或网络设备上。
参见图1，图1为本发明第一较佳实施例中网络安全装置的实现框图； 其中网络安全装置包含：网络安全处理模块110。网络安全处理模块110是 本发明网络安全装置的核心模块，主要完成对网络协议的快速安全过滤处理功 能，其包含：网络处理器111、存储模块112、网络接口模块113，存储模块 112、网络接口模块113通过高速级连总线与网络处理器111相连；网络接 口模块113与网络130和网络设备140相连，还可以与管理员计算机120相 连。
其中，存储模块112，存储包含安全策略的配置信息、网络安全处理模块 110的运行代码、网络安全处理模块110运行中产生的信息，简称网络安全处 理模块信息、网络协议、安全处理微码软件，安全策略规则等。
网络处理器111中有多个微处理器引擎和CPU，对网络报文进行网络7层 协议处理以及安全处理，其通过网络接口模块113接收网络130发送的网络报 文、管理员计算机120发送的管理命令、配置信息，对网络报文进行协议解析， 并根据从存储模块112取出的安全策略对网络报文进行安全处理，将处理后的 网络报文通过网络接口模块113发送给网络设备140；或根据管理命令将配置 信息发送存储模块112；或根据管理命令将网络安全处理模块110信息通过网 络接口模块113发送到管理员计算机120。
网络接口模块113，将网络处理器111与管理员计算机120、网络130和 网络设备140相连，接收和发送信息。本实施例中，网络安全处理模块110， 设置成一块电路板卡，网络接口模块113采用PCI接口，或Compact-PCI接口， 本实施例的网络安全装置通过上述接口安装到网络设备140上。网络接口模块 113是接收报文和转发报文的主要部件，它由多个各种网络协议物理芯片和物 理接口组成，根据其连接的网络设备的不同可以包含100兆以太网接口，或千 兆以太网接口，或异步传输模式(ATM)接口，或同步数字序列(SDH)接口， 或T1/E1接口，或无线局域网802.11等接口，本实施例的网络安全装置也可以 通过这些接口与远程管理员计算机相连。
本实施例的网络安全处理模块110中，还包含了安全协处理模块114，当 安全处理的算法复杂时，如：VPN加密，应用层内容过滤，病毒检测，和入侵 行为检测，网络处理器111通过高速级连总线将要处理的网络报文传送给安全 协处理模块114，由安全协处理模块114来实现上述复杂算法，这样可以提高 整体的处理性能。
本实施例中VPN加密，应用层内容过滤，病毒检测，和入侵行为检测等功 能是分别通过密码协议处理器115、内容过滤处理器116和高层协议解析处理 器117病毒过滤处理器118，和入侵检测处理器119来实现的，上述五个处理 器都通过高速级连总线与网络处理器111相连。
安全协处理模块114也可以由网络处理器111中的CPU用软件实现，但是 这样做会增加网络处理器111的工作负担，影响处理速度，所以一般都采用增 加处理器的硬件方式来实现。
参见图2，图2为图1所示实施例的网络安全装置的工作流程示意图； 该流程包括以下步骤：
步骤201，安全装置加电后，网络安全处理模块110启动，将存储在存储 模块中用于网络协议处理和安全处理的网络处理器微码软件加载到网络处理器 中，完成硬件初始化。
步骤202，管理员计算机120，通过浏览器界面或GUI界面，或者命令行 界面，对网络安全处理模块110进行配置，这些配置信息包括：对网络报文处 理的安全策略，网络安全处理模块的运行代码等。
步骤203，网络安全处理模块110接收上述配置信息，并存储到存储模块 112中。
步骤204，网络安全处理模块110通过网络接口模块113从网络130接 收的网络报文后，由网络处理器111对网络报文进行协议解析，并根据存储 模块112中的安全策略对该网络报文进行安全处理，并将处理后的网络报文 发送给网络设备140。
本发明第二较佳实施例的网络安全装置，包含网络安全处理模块和控制 管理模块，控制管理模块由一台计算机来实现，网络安全处理模块设置为一 个独立的外设，通过串行通信接口或以太网接口与控制管理模块相连，且网 络安全处理模块通过网络接口与外部网络和网络设备分别相连。
参见图3，图3本发明第二较佳实施例中网络安全装置的实现框图；其 中网络安全装置包含：网络安全处理模块330、控制管理模块320。
本实施例的网络安全处理模块330包含：控制接口模块331、网络处理 器332、存储模块333、网络接口模块340、包含了密码协议处理器335、内 容过滤处理器336、高层协议解析处理器337、病毒过滤处理器338，和入 侵检测处理器339的安全协处理模块334。其中，网络处理器332分别与其 他模块相连，本实施例中网络安全处理模块330的工作原理与图1所示实施 例中的网络安全处理模块110基本相同，只是一些控制管理功能由控制管理 模块320来实现，这样能够减轻网络安全处理模块330的工作负担，提高处 理速度。
本实施例中的网络接口模块340与网络360和网络设备350相连，接收 网络360发送的网络报文，并将处理后的网络报文发送给网络设备350。网 络接口模块340可以与图1所示实施例中的网络接口模块113相同。
控制管理模块320包含：存储器321、CPU322、包含管理接口电路324 和控制接口电路325的接口电路323；存储器321、管理接口电路324和控 制接口电路325分别与CPU322相连。
控制管理模块320的控制接口电路325与网络安全处理模块330的控制 接口模块331相连；控制管理模块320的管理接口电路324与管理员计算机 310相连。管理接口电路324可以为以太网接口。由于本实施例中网络安全 处理模块330设置为一个独立的外设，因此控制接口电路325在近程的情况 下可以是串行通信接口，远程的情况下也可以是以太网接口。如果网络安全 处理模块330设置为一电路板卡，则控制接口电路325可以为PCI或 Compact-PCI接口。
本实施例中网络安全处理模块330的控制接口模块331可以为串行通信 接口，或以太网接口。如果网络安全处理模块330设置为一电路板卡，则控 制接口模块331可以为PCI或Compact-PCI接口。
控制管理模块320中的CPU将通过管理接口电路324从管理员计算机 310接收的管理命令、配置信息转换为网络处理器332能够识别的管理命令、 配置信息写入到存储模块333中，网络处理器332根据该命令进行操作，或 将安全装置的运行状态、事件和日志信息发送给管理员计算机310。
控制管理模块320中的存储器321，存储操作系统和控制管理软件。
管理接口电路324接收管理员计算机310发送的管理命令、配置信息， 以及网络安全处理模块330返回的信息；或将转换后的管理命令、配置信息发 送给网络安全处理模块330，将网络安全处理模块330返回的信息转发给管理 员计算机310。
本实施例中的安全协处理模块334除了可以由网络处理器332中的CPU 用软件实现，也可以由控制管理模块320中的CPU用软件实现，但是这样 同样会影响处理速度，所以一般都采用增加处理器的硬件方式来实现。
本实施例的网络安全装置，主要由控制管理模块320中的控制管理软件 控制安全协处理模块334，来实现对网络报文的协议处理和安全处理。控制 管理软件由多个服务进程组成，至少包括：HTTP Web服务进程、提供命令 行远程shell的进程、日志收集与发送进程、网络管理SNMP(simple network management protocol)进程。上述服务进程中含有用于保证连接保密的安全认 证协议，如：安全套接字层协议SSL(Secure Socket Layer)，或安全shell主 机协议SSH(secure shell host)，或IP安全协议IPSEC(Internet protocol security)，或一次口令协议(one time password)，或口令认证协议PAP (Password authentication protocol)。
参见图4，图4为图3所示实施例的网络安全装置的工作流程示意图； 该流程包括以下步骤：
步骤401，安全装置加电后，控制管理模块320的CPU及其操作系统首先 启动，运行完成自身硬件的初始化和操作系统装入；与此同时，网络安全处理 模块330也同时启动，完成硬件的初始化；这两个模块初始化过程中，包含控 制管理模块320的控制接口电路325和网络安全处理模块330的控制接口模块 331的初始化，初始化完成后，两个模块之间连接建立完成。
步骤402，在控制管理模块320的操作系统启动后，为管理员计算机310 提供交互管理界面服务进程，启动命令行服务进程、HTTP服务进程及配置模 块软件。
步骤403，管理员计算机310启动浏览器，或一个命令行终端，或者一个 GUI配置管理软件，与控制管理模块320进行登录认证；本实施例中可以采用 一次口令协议或口令认证协议(PAP)进行登录认证；或当通过浏览器界面进 行配置时，采用IP安全协议(IPSEC)协议进行登录认证；或当通过浏览器界 面或GUI界面进行配置时，采用安全套接字层协议(SSL)进行登录认证；或 当通过命令行界面进行配置时，采用安全shell主机协议(SSH)进行登录认证。 通过了登录认证后，管理员计算机310登录到控制管理模块320。
步骤404，管理员计算机310通过浏览器界面或GUI界面，或者命令行界 面，经过控制管理模块320向网络安全处理模块330发送配置命令或管理命令， 配置命令中包含配置信息：对网络报文处理的安全策略，网络安全处理模块330 的运行代码等。
步骤405，控制管理模块320接收管理员计算机310的命令，如果是安全 策略配置命令，则转步骤406，如果是管理命令，如查看日志，状态监控，则 转步骤408，从网络安全处理模块330中读取相应的信息，发送给管理员计算 机310。
步骤406，控制管理模块320将配置命令转换成网络安全处理模块330 可以识别的内部命令，将该命令写入网络安全处理模块330中的存储模块 333中。
步骤407，网络安全处理模块330通过网络接口模块340从网络360接 收的网络报文后，由网络处理器对网络报文进行协议解析，并根据存储模块 333中的安全策略对该网络报文进行安全处理，将处理后的网络报文发送给 网络设备350。
本发明中，利用网络处理器对网络报文进行协议解析和安全处理是本专 利的核心，其过程参见图5，图5为图4所示步骤407的具体流程示意图。 该流程与图2中步骤204相同，其包括以下步骤：
步骤501-503，网络处理器调动网络处理器第2层处理器引擎对收到的报 文进行第2层协议解析，读取存储器中有关对第2层协议安全处理的策略，根 据安全策略中的第2层网络协议规则表判断是否符合安全策略，如果符合，则 根据安全策略转步骤502或者转发这个报文，否则，丢弃这个报文。其中规则 表的内容可以包含：介质访问控制协议(MAC)地址、虚拟局域网协议(VLAN) 等。
步骤504-506，网络处理器调动网络处理器第3层处理器引擎对报文进行 第3层(IP)协议解析，读取存储器中有关对第3层协议安全处理的策略，根 据网络报文的内容对照安全策略中的地址表、端口号、协议类型或服务协议类 型判断是否符合安全策略；如果不符合安全策略，则丢弃这个报文；如果是NAT 策略，则对报文进行NAT处理，然后转发；如果是允许通过，则直接转发；如 果是VPN策略，则对报文进行VPN加密或VPN解密处理，然后转发；如果是 多协议标记交换(MPLS)策略，则对网络报文进行MPLS处理，然后转发； 如果是允许报文通过，转步骤503或者转发这个报文。
步骤507，读取安全策略，如果是上层或应用层协议如：URL，HTTP，SMTP， FTP，POP3等，进行内容过滤、病毒过滤，或入侵行为检测，则，网络处理器 调用相应的处理器引擎或安全协处理器模块对上层协议进行处理，如果是合法 报文，则转发该报文，如果是非法报文，则丢弃该报文。其中，内容过滤的方 法是将网络报文与存储模块中保存的关键字进行匹配，如果一致，则丢弃该网 络报文。
病毒过滤的方法有多种，例如：可以是将病毒代码作为关键字保存在存储 模块中，将网络报文与该关键字进行匹配，如果一致，则丢弃该网络报文；也 可以是将病毒代码用哈希(hash)函数生成一个字摘要，存储在存储模块中的 病毒特征库中；对被检测的网络报文，进行hash计算，生成摘要，再与病毒特 征库比较，如果一致，则丢弃该网络报文。
入侵行为检测的方法是在存储模块中存储入侵行为规则库；对被检测的 一个或一个以上网络报文重组后得到的报文，与规则库进行匹配，如果一致， 则丢弃该网络报文。
另外，上述两个实施例中，管理员计算机可以随时向网络安全装置发送 配置命令和管理命令，网络安全装置根据配置命令和管理命令进行配置和管 理。如果是安全策略配置命令，则将配置命令转换成网络安全处理模块可以识 别的内部命令，将该命令中的配置信息写入网络安全处理模块中的存储模块中。 如果是管理命令，如查看日志，状态监控等，则从系统中读取相应的信息，发 送给管理员计算机。这样，管理员计算机不但能够对网络安全装置进行管理， 更重要的是可以在出现新的攻击手段和新的网络协议时，通过重新配置实现迅 速升级。
由上述的两个实施例可见，本发明的这种网络安全装置及其实现方法， 在网络安全装置中设置网络处理器，利用网络处理器的多层协议解析和强大 的编程功能对网络数据进行安全处理，保证了宽带环境下线速的处理速度， 并能够随时方便地进行系统升级，适用于防火墙、安全路由器、安全交换机、 入侵检测设备、防病毒网关和VPN加密网关等多种网络设备。