本发明专利技术公开了一种外置Bypass的安全保护方法及装置,以降低当网络主线路故障时强制或人为的切换到主线路时导致网络业务被中断的风险。该方法为,当检测到主用线路上的IPS设备故障时,将当前网络从主用线路切换到备用线路,周期性向主用线路发送连通性检测报文检测主用线路是否恢复正常,在连续的设定时长内检测到主用线路为正常后,将当前网络从备用线路切换到主用线路,这样不仅解决了IPS设备的端口故障或者整机故障通过切换外置bypass到备用线路进行保护的问题,同时也解决了切换到备用线路后关闭主用线路工作端口,在强制或者人为的切回到主用线路时导致网络业务存在被中断风险的问题。
【技术实现步骤摘要】
本专利技术涉及网络安全领域,尤其涉及一种外置Bypass的安全保护方法及装置。
技术介绍
随着网络应用越来越广泛,暴露出的网络安全方面的问题也越来越多,网络安全检测产品也越来越多的被部署到现有的网络中去,增加一个节点,意味着给现有网络的稳定性增加一份风险,为了减小安全检测产品本身突发故障对网络的影响,现有技术是通过增加一台旁路功能(Bypass)交换机和安全产品共同组合成一套保护方案,当网络主线路上的入侵防护系统(Intrus1n Prevent1n System, IPS)接口或者整机故障时通过外置Bypass切换到备用线路以对网络进行保护。但是,现有技术中切换到备用线路后,会关闭(down)主用线路工作端口,不能对原主用线路进行实时检测,这样会导致在强制或者人为的由备用线路切回到主线路时,并不清楚主用线路是否正常,导致网络切回主线路时网络业务存在被中断的严重风险,影响网络业务的完成。
技术实现思路
本专利技术的目的是提供一种外置Bypass的安全保护方法及装置,以降低当网络主线路故障时强制或人为的切换到主线路时导致网络业务被中断的风险。本专利技术的目的是通过以下技术方案实现的:一种外置Bypass的安全保护方法,包括:当检测到主用线路上的入侵防护系统IPS设备故障时,将当前网络从所述主用线路切换到备用线路;周期性向所述主用线路发送连通性检测报文检测所述主用线路是否恢复正常,在连续的设定时长内检测到所述主用线路为正常后,将当前网络从所述备用线路切换到所述主用线路。这样不仅解决了现有技术中安全检测设备的端口故障或者整机故障通过切换外置bypass到备用线路进行保护的问题,同时也解决了现有技术中切换到备用线路后关闭主用线路工作端口,不对主用线路进行实时检测,在强制或者人为的切回到主用线路时,并不清楚主用线路是否正常,而导致网络业务切回主线路时存在被中断风险的问题。可选的,进一步包括:在预配置阶段,配置第一网络设备和第二网络设备之间的主用线路和备用线路,其中,采用所述主用线路,能够通过第一网络设备依次经安全保护装置的第一边界端口、安全保护装置的第一非边界端口、IPS设备、安全保护装置的第二边界端口、安全保护装置的第三边界端口向第二网络设备发送业务报文;采用所述备用线路,能够通过所述第一网络设备依次经安全保护装置的第一边界端口、安全保护装置的第三边界端口向所述第二网络设备发送业务报文;其中,通过所述边界端口能够发送并响应连通性检测报文,通过所述非边界端口能够直接透传所述连通性检测报文。可选的,当检测到主用线路上的IPS设备故障时,将当前网络从所述主用线路切换到备用线路,具体包括:当不能按预设条件接收到主用线路上的IPS设备发送的心跳检测报文时,确定主用线路上的IPS设备故障,通过将安全保护装置的第三边界端口连接到安全保护装置的第一边界端口将当前网络从所述主用线路切换到备用线路。可选的,将当前网络从所述主用线路切换到备用线路之后,进一步包括:接收所述IPS设备发送的心跳检测报文,确定接收到的所述心跳检测报文符合预设条件时,周期性向所述主用线路发送连通性检测报文。可选的,周期性向所述主用线路发送连通性检测报文检测所述主用线路是否恢复正常,具体包括:周期性通过安全保护装置的第一边界端口向所述主用线路上安全保护装置的第一非边界端口发送连通性检测报文,判断安全保护装置的第一边界端口是否能够接收到安全保护装置的第二边界端口反馈的连通性响应,若是,则确定所述主用线路恢复正常;否贝1J,确定所述主用线路未恢复正常。可选的,在连续的设定时长内检测到所述主用线路为正常后,将当前网络从所述备用线路切换到所述主用线路,具体包括:在连续的设定时长内检测到所述主用线路为正常后,通过将安全保护装置的第三边界端口连接到安全保护装置的第二边界端口将当前网络从所述备用线路切换到所述主用线路,并停止向所述主用线路发送连通性检测报文。—种外置Bypass的安全保护装置,包括:控制单元,用于检测到主用线路上的入侵防护系统IPS设备故障时,通知处理单元将当前网络从所述主用线路切换到备用线路;所述控制单元,还用于周期性向所述主用线路发送连通性检测报文检测所述主用线路是否恢复正常,在连续的设定时长内检测到所述主用线路为正常后,通知所述处理单元将当前网络从所述备用线路切换到所述主用线路。这样不仅解决了现有技术中安全检测设备的端口故障或者整机故障通过切换外置bypass到备用线路进行保护的问题,同时也解决了现有技术中切换到备用线路后关闭主用线路工作端口,不对主用线路进行实时检测,在强制或者人为的切回到主用线路时,并不清楚主用线路是否正常,而导致网络业务切回主线路时存在被中断风险的问题。可选的,所述控制单元进一步用于:在预配置阶段,配置第一网络设备和第二网络设备之间的主用线路和备用线路,其中,采用所述主用线路,能够通过第一网络设备依次经安全保护装置的第一边界端口、安全保护装置的第一非边界端口、IPS设备、安全保护装置的第二边界端口、安全保护装置的第三边界端口向第二网络设备发送业务报文;采用所述备用线路,能够通过所述第一网络设备依次经安全保护装置的第一边界端口、安全保护装置的第三边界端口向所述第二网络设备发送业务报文;其中,所述控制单元通过所述边界端口能够发送并响应连通性检测报文,通过所述非边界端口能够直接透传所述连通性检测报文。可选的,当检测到主用线路上的IPS设备故障,将当前网络从所述主用线路切换到备用线路时,所述处理单元具体用于:当所述控制单元不能按预设条件接收到主用线路上的IPS设备发送的心跳检测报文时,确定主用线路上的IPS设备故障,所述处理单元通过将安全保护装置的第三边界端口连接到安全保护装置的第一边界端口将当前网络从所述主用线路切换到备用线路。可选的,将当前网络从所述主用线路切换到备用线路之后,所述控制单元进一步用于:接收所述IPS设备发送的心跳检测报文,确定接收到的所述心跳检测报文符合预设条件时,周期性向所述主用线路发送连通性检测报文。可选的,周期性向所述主用线路发送连通性检测报文检测所述主用线路是否恢复正常时,所述控制单元具体用于:周期性通过安全保护装置的第一边界端口向所述主用线路上安全保护装置的第一非边界端口发送连通性检测报文,判断安全保护装置的第一边界端口是否能够接收到安全保护装置的第二边当前第1页1 2 3 4 本文档来自技高网...
【技术保护点】
一种外置旁路功能Bypass的安全保护方法,其特征在于,包括:当检测到主用线路上的入侵防护系统IPS设备故障时,将当前网络从所述主用线路切换到备用线路;周期性向所述主用线路发送连通性检测报文检测所述主用线路是否恢复正常,在连续的设定时长内检测到所述主用线路为正常后,将当前网络从所述备用线路切换到所述主用线路。
【技术特征摘要】
【专利技术属性】
技术研发人员:黄发,刘慧兵,
申请(专利权)人:北京神州绿盟信息安全科技股份有限公司,北京神州绿盟科技有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。