【技术实现步骤摘要】
本专利技术涉及网络安全领域,尤其涉及一种基于动态变换的网络安全防御系统和网络安全防御方法。
技术介绍
内网安全在实际网络环境中非常重要,但被大多数网络安全设备忽视。现有的方法普遍通过采集流量来检测攻击行为,但是异常流量往往在攻击行为之后产生,因而此类方法无法对攻击行为进行实时防御。另一种方法是在接入网络的主机上部署网络安全防御系统,虽然能够防御部分攻击行为,但无法防御未知的内网攻击行为。静态的互联网协议地址分配使得攻击者可以通过扫描本地或远程的网络精确快速地确定攻击目标。在目标网络中确定活动主机的IP地址是大部分攻击的首要步骤,扫描工具和蠕虫通常对网络中一定范围内的IP地址发送探针来发现目标,一旦目标响应,即可确定目标并进行攻击。大部分网络即使部署了防火墙也存在很多公共的和私有的主机可以被外部访问,而且所有的网络对于内部的扫描者缺乏有效的防御手段,一旦攻击者潜入内网,即可探测网络的拓扑结构并进行相应的攻击。使用动态主机配置协议(DynamicHostConfigurationProtocol,简称DHCP)或网络地址转换(NetworkAddressTranslation,简称NAT)可以动态分配IP地址,但是仍然不能主动地进行防御,因为IP地址的变换并不频繁且容易被追踪。申请号为200510036269.6的专利技术专利公开了一种网络病毒防护领域的主动探测病毒防护系统及其防护方法,该系统包括嵌入于三层交换机中的探针模块、存储器、安全策略模块以及安装于信息监控服务器中的外部访问管理系统,该专利技术解决了现有局域网病 ...
【技术保护点】
一种基于动态变换的网络安全防御系统,其特征在于,包括通信处理单元(13)、终端信息单元(14)和动态变换单元(15),所述通信处理单元(13)连接所述终端信息单元(14),所述动态变换单元(15)连接所述终端信息单元(14),所述通信处理单元(13)为布置所述网络安全防御系统的内网中的每一个网络终端配置一个终端信息表,并存储于所述终端信息单元(14)中,所述终端信息表包括分配给网络终端的rIP、vIP和wIP,其中rIP为分配给网络终端的真实IP地址,vIP为分配给网络终端的虚拟IP地址,wIP为分配给网络终端的外网访问IP地址,所述动态变换单元(15)动态变换所述终端信息单元(14)中存储的vIP,所述通信处理单元(13)基于所述终端信息表处理网络终端的通信数据包,并使内网中的网络终端之间采用vIP进行通信,内网中的网络终端和外网之间采用wIP进行通信。
【技术特征摘要】
1.一种基于动态变换的网络安全防御系统,其特征在于,包括通信处理单元(13)、终端信息单元(14)和动态变换单元(15),所述通信处理单元(13)连接所述终端信息单元(14),所述动态变换单元(15)连接所述终端信息单元(14),所述通信处理单元(13)为布置所述网络安全防御系统的内网中的每一个网络终端配置一个终端信息表,并存储于所述终端信息单元(14)中,所述终端信息表包括分配给网络终端的rIP、vIP和wIP,其中rIP为分配给网络终端的真实IP地址,vIP为分配给网络终端的虚拟IP地址,wIP为分配给网络终端的外网访问IP地址,所述动态变换单元(15)动态变换所述终端信息单元(14)中存储的vIP,所述通信处理单元(13)基于所述终端信息表处理网络终端的通信数据包,并使内网中的网络终端之间采用vIP进行通信,内网中的网络终端和外网之间采用wIP进行通信。
2.根据权利要求1所述的网络安全防御系统,其特征在于,所述终端信息单元(14)存储的rIP、vIP和wIP相互之间具有一一对应关系,每个网络终端的终端信息表中包括有相互对应的一组rIP、vIP和wIP,所述通信数据包包括有源IP、目的IP、源端口、目的端口和通信协议;对于内网中的两个网络终端进行通信时,所述通信处理单元(13)将通信数据包中的源IP替换为发送该通信数据包的网络终端的终端信息表中与所述源IP对应的vIP,将通信数据包中的目的IP替换为接收该通信数据包的网络终端的终端信息表中与所述目的IP对应的rIP;对于内网中的网络终端访问外网时,所述通信处理单元(13)将通信数据包中的源IP替换为发送该通信数据包的网络终端的终端信息表中与所述源IP对应的wIP;对于外网访问内网中的网络终端时,所述通信处理单元(13)将来自外网的通信数据包中的目的IP替换为接收该通信数据包的网络终端的终端信息表中与所述目的IP对应的rIP。
3.根据权利要求2所述的网络安全防御系统,其特征在于,所述网络安全防御系统还包括有数据单元(12),所述数据单元(12)连接于所述通信处理单元(13),所述通信处理单元(13)包括IP地址分配模块(31)、域名解析模块(32)、会话信息存储模块(33)和IP地址变换模块(34),所述IP地址分配模块(31)连接于所述数据单元(12)和所述终端信息单元(14),所述域名解析模块(32)连接于所述数据单元(12)和所述终端信息单元(14),所述会话信息存储模块(33)连接于所述IP地址变换模块(34),所述IP地址变换模块(34)连接于所述数据单元(12)和所述终端信息单元(14);所述IP地址分配模块(31)为接入内网的每一个网络终端分配一个rIP,并为每一个rIP分配对应的一个vIP和对应的一个wIP,为每一个vIP生成对应的一个vDomain,为每一个vIP生成对应的vIPtime,为每一个vDomain生成对应的vDomaintime,并获得每一个网络终端的rMac,其中所述vDomain为vIP对应的虚拟域名,所述vIPtime为vIP生成的当前时间,所述vDomaintime为vDomain生成的当前时间,所述rMac为网络终端的物理网卡地址,所述IP地址分配模块(31)生成各网络终端的终端信息表并存储于终端信息单元(14)中,每个网络终端的终端信息表包括对应的一组rIP、vIP、wIP、vDomain、vIPtime、vDomaintime和rMac;所述域名解析模块(32)基于终端信息单元(14)中存储的终端信息表解析DNS数据包;所述IP地址变换模块(34)执行通信数据包的IP替换操作;所述数据单元(12)作为通信处理单元(13)的数据包收发单元,并将接收的DHCP数据包发往IP地址分配模块(31),将接收的DNS数据包发往域名解析模块(32),将DHCP数据包和DNS数据包之外的其他数据包发往所述IP地址变换模块(34)。
4.根据权利要求3所述的网络安全防御系统,其特征在于,所述IP地址变换模块(34)按照以下方式执行通信数据包的IP替换操作:
(一)、对于内网中的两个网络终端进行通信时,首先所述IP地址变换模块(34)建立本次通信的会话信息,所述会话信息包括通信数据包的源IP、目的IP、源端口、目的端口、通信协议以及与源IP对应的vIP、与目的IP对应的rIP,并将建立的所述会话信息存储于会话信息存储模块(33);接着所述IP地址变换模块(34)基于本次通信的会话信息,将通信数据包中的源IP替换为会话信息中与所述源IP对应的vIP,将通信数据包中的目的IP替换为会话信息中与所述目的IP对应的rIP;然后所述IP地址变换模块(34)根据本次通信的会话信息重新计算数据包校验和后把数据包发送给数据单元(12);最后所述IP地址变换模块(34)删除会话信息存储模块(33)中存储的本次通信的会话信息;
(二)、对于内网中的网络终端访问外网时,首先所述IP地址变换模块(34)建立本次通信的会话信息,所述会话信息包括通信数据包的源IP、目的IP、源端口、目的端口、通信协议以及与源IP对应的wIP,并将建立的所述会话信息存储于会话信息存储模块(33);接着所述IP地址变换模块(34)基于本次通信的会话信息,将通信数据包中的源IP替换为会话信息中与所述源IP对应的wIP;然后所述IP地址变换模块(34)根据本次通信的会话信息重新计算数据包校验和后把数据包发送给数据单元(12);最后所述IP地址变换模块(34)删除会话信息存储模块(33)中存储的本次通信的会话信息;
(三)、对于外网访问内网中的网络终端时,首先所述IP地址变换模块(34)建立本次通信的会话信息,所述会话信息包括通信数据包的源IP、目的IP、源端口、目的端口、通信协议以及与目的IP对应的rIP,并将建立的所述会话信息存储于会话信息存储模块(33);接着所述IP地址变换模块(34)基于本次通信的会话信息,将来自外网的通信数据包中的目的IP替换为会话信息中与所述目的IP对应的rIP;然后所述IP地址变换模块(34)根据本次通信的会话信息重新计算数据包校验和后把数据包发送给数据单元(12);最后所述IP地址变换模块(34)删除会话信息存储模块(33)中存储的本次通信的会话信息。
5.根据权利要求4所述的网络安全...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。