一种基于串并结合的互联网站管控分离方法技术

本发明专利技术公开了一种基于串并结合的互联网站管控分离方法，包括核心交换区域、数据业务区域、监控区域和管控区域，其中：数据业务区域采用交换机端口镜像或者光路分光的方式，将出口链路的上行和下行流量分别通过GE电口或光纤连接到流量过滤控制器。串并结合的方式充分考虑单独串接或者并接存在的优缺点，相互结合，既提高了监测封堵效果，又确保某一链路中断而不影响现网的业务监管，大大提高了用户对IDC机房的数据管控工作。本发明专利技术充分利用了串接和并接的优势，串接实现过滤、并接实现监测，实现“管得住、控得了”的IDC机房业务的监管处理。

Separation and control method of Internet website based on string and combination

The invention discloses a method based on combined serial and Internet control separation methods, including the core data exchange area, business area, control area and control area, including: the switch port mirroring or optical path splitting way of data service area, export link uplink and downlink traffic through GE port or fiber connections to flow filter controller. Serial parallel mode fully connected in series or separately considering the advantages and disadvantages, then are combined with each other, not only improves the sealing effect and monitoring, to ensure that a link interruption without affecting the current network business regulation, greatly improving the data management of users on the IDC room. The invention makes full use of the advantages of serial connection and parallel connection, and realizes the monitoring and management of the IDC room service realized by filtering, connecting and realizing monitoring.

【技术实现步骤摘要】
一种基于串并结合的互联网站管控分离方法
本专利技术公开了一种对互联网站进行监测阻断的高效方法，尤其是一种基于串并结合的互联网站管控分离方法。
技术介绍
随着信息技术的发展和互联网管理技术手段的进步，IDC业务得到了长足的发展，国家对IDC机房的信息安全管理提出了更高的要求，并且要求所有IDC企业都要上IDC信息安全管理系统，以实现IDC机房内网站数据的采集、分析、处理、过滤。从技术实现上来看，IDC信息安全管理系统有串接和并接两种部署方式，串接部署方式可以实现良好的不良网站过滤效果，但需要的投入较高、对接入商IDC机房网络的影响较大；并接的部署方式投入较少、对接入商IDC机房网络的影响较小，但过滤的效果相对较差，如何有效利用串接和并接两种产品的优势，寻找一种既节省成本又能达到过滤效果的最优解决方案，就成为摆在行业监管部门和IDC企业面前的一道难题。本专利技术提出并实现了采用串并结合的方式实现互联网站管控分离，即对IDC机房部署探针设备的方式采用串并结合以达到管控分离效率最大化、效果最优化。
技术实现思路
本专利技术是为解决串接和并接两种互联网站监管技术各自存在的弊端而设计的方法，该方法既解决串接链路下数据处理探针异常中断而造成IDC机房业务整体中断的风险，又解决并接链路下数据处理探针不能实现百分百封堵问题网站的风险，两者结合，大大提高了IDC机房互联网站管控的综合效果，实现“管、控”分离的最优解决方法。本专利技术采用以下技术方案实现：一种基于串并结合的互联网站管控分离方法，包括核心交换区域、数据业务区域、监控区域和管控区域，其中：数据业务区域采用交换机端口镜像或者光路分光的方式，将出口链路的上行和下行流量分别通过GE电口或光纤连接到流量过滤控制器。监控区域的流量过滤控制器获取到数据流量后，将需要处理的数据进行采集过滤后，通过GE*n电口连接到数据处理探针设备，进行数据处理和分析。数据处理探针，通过GE电口连接交换机，进行数据通信和信息监控。交换机连接防火墙后，接入企业互联网出口核心交换/路由设备。管控区域通过交换机获取分光流量后，将需要处理的数据进行过滤后，直接丢弃并阻断，通过GE*n电口/光口连接到出口链路上，实现串接阻断。数据处理探针，通过GE电口连接交换机，进行数据通信。交换机连接防火墙后，接入企业互联网出口核心交换/路由设备。本专利技术具有以下优点：1、通过互联网站监管要求，对互联网站信息进行监测管控策略和阻断管控策略，实现互联网站信息的实时动态监测和及时有效阻断，提高互联网有害信息的发现和阻断效果。2、对比串并接部署方式优缺点，利用串接和并接在实际使用中的优势，做到功能互补、扬长避短的效果，使得在互联网站监管中有的放矢的合理利用现网环境资源。串并结合的方式充分考虑单独串接或者并接存在的优缺点，相互结合，既提高了监测封堵效果，又确保某一链路中断而不影响现网的业务监管，大大提高了用户对IDC机房的数据管控工作。3、利用路由器的功能特点，实现对串并结合方式下优化策略处理机制，使得管控策略更智能化、自动化。4、通过串并结合的方式部署现网环境探针设备，从物理环境上有效做到管控分离，充分利用了串接和并接的优势，串接实现过滤、并接实现监测，实现“管得住、控得了”的IDC机房业务的监管处理。附图说明图1一种串接链路部署方式的网络拓扑示意图；图2一种串接链路部署方式的链路异常中断网络示意图；图3一种并接链路部署方式的网络拓扑示意图；图4一种并接链路部署方式的链路异常中断网络示意图；图5一种串并结合部署方式的网络拓扑示意图。图1包括：核心交换区域包括互联网、核心交换机；流量过滤控制器组；数据处理探针；业务交换机；数据分析处理器；链路保护设备；IDC机房网站。图2包括：核心交换区域包括互联网、核心交换机；流量过滤控制器组；数据处理探针；业务交换机；数据分析处理器；链路保护设备；IDC机房网站。图3包括：核心交换区域包括互联网、核心交换机；业务交换机；分光器组；流量过滤控制器组；数据处理探针；数据分析处理器；IDC机房网站。图4包括：核心交换区域包括互联网、核心交换机；业务交换机；分光器组；流量过滤控制器组；数据处理探针；数据分析处理器；IDC机房网站。图5包括：核心交换区域包括互联网、核心交换机；数据业务区域包括业务交换机、分光器组、IDC机房网站；监控区域包括流量过滤控制器组、数据处理探针、数据分析处理器、业务交换机；管控区域包括数据处理探针、链路保护设备、业务交换机。具体实施方式下面结合附图和实施例对本专利技术进行详细说明。如图1所示是一种串接链路部署方式的网络拓扑示意图，串接链路方式实施中是将出口链路的上行和下行分别通过GE电口或光纤连接到流量过滤控制器，经过处理后，再通过流量过滤控制器返回正常出口链路设备，保证链路畅通。数据处理探针发送黑名单到流量过滤控制器，将需要处理的数据进行过滤后，直接丢弃并阻断，通过GE*n电口/光口连接到出口链路上，实现串接阻断。数据处理探针，通过GE电口连接交换机，进行数据通信。交换机连接防火墙后，接入企业互联网出口核心交换/路由设备。图2是一种串接链路部署方式的链路异常中断网络示意图，串接链路方式实施中数据处理探针一旦出现异常中断，链路保护设备瞬间启动，以保证设备故障时，链路不中断，不影响现网环境下IDC机房网站的正常业务，对IDC机房网站将失去监测和封堵处理的功能。串接链路部署方式优缺点说明：优点：业务监管效果好，发现和封堵率高。缺点：直接影响现网环境，一旦数据处理探针中断影响现网全部业务；割接部署难度系数高，链路保护设备成本高。图3是一种并接链路部署方式的网络拓扑示意图，并接链路方式实施中是采用交换机端口镜像或者光路分光的方式，将出口链路的上行和下行流量分别通过GE电口或光纤连接到流量过滤控制器。流量过滤控制器将需要处理的数据进行采集过滤后，通过GE*n电口连接到数据处理探针设备，进行数据处理和分析。数据处理探针，通过GE电口连接交换机，进行数据通信和发送阻断包。交换机连接防火墙后，接入企业互联网出口核心交换/路由设备。图4是一种并接链路部署方式的链路异常中断网络示意图，并接链路方式实施中数据处理探针一旦出现异常中断，不影响用户现网IDC机房网络环境正常业务的运行。并接链路异常中断后，链路交换机通过端口镜像或者光路分光的方式，将出口链路的上行和下行流量分别通过GE电口或光纤连接到业务交换机，IDC机房网站将访问请求结果通过业务交换机返回用户。数据处理探针一旦出现异常中断，则对IDC机房网站将失去监测和封堵处理的功能。并接链路部署方式优缺点说明：优点：旁路部署不影响现网环境，割接、升级、维护方便，投入少，风险小，实施灵活可控。缺点：存在封堵延迟和误判率，一旦数据处理探针链路中断无法进行业务监管。图5所示为本专利技术基于串并结合的互联网站管控分离方法，包括核心交换区域、数据业务区域、监控区域和管控区域，串并结合链路方式实施中是将串接和并接方式分别部署于IDC机房进行数据管控，通过互联网站监管系统设计要求实现管控策略选取执行链路。在串并结合链路方式实施中需要配置路由策略进行人工或自动干预，确保链路执行中自动灵活。其中：数据业务区域采用交换机端口镜像或者光路分光的方式，将出口链路的上行和下行流量分本文档来自技高网...

【技术保护点】
一种基于串并结合的互联网站管控分离方法，其特征在于，包括核心交换区域、数据业务区域、监控区域和管控区域，其中：数据业务区域采用交换机端口镜像或者光路分光的方式，将出口链路的上行和下行流量分别通过GE电口或光纤连接到流量过滤控制器，监控区域的流量过滤控制器获取到数据流量后，将需要处理的数据进行采集过滤后，通过GE*n电口连接到数据处理探针设备，进行数据处理和分析，数据处理探针，通过GE电口连接交换机，进行数据通信和信息监控，交换机连接防火墙后，接入企业互联网出口核心交换/路由设备，管控区域通过交换机获取分光流量后，将需要处理的数据进行过滤后，直接丢弃并阻断，通过GE*n电口/光口连接到出口链路上，实现串接阻断，数据处理探针，通过GE电口连接交换机，进行数据通信，交换机连接防火墙后，接入企业互联网出口核心交换/路由设备。

【技术特征摘要】
1.一种基于串并结合的互联网站管控分离方法，其特征在于，包括核心交换区域、数据业务区域、监控区域和管控区域，其中：数据业务区域采用交换机端口镜像或者光路分光的方式，将出口链路的上行和下行流量分别通过GE电口或光纤连接到流量过滤控制器，监控区域的流量过滤控制器获取到数据流量后，将需要处理的数据进行采集过滤后，通过GE*n电口连接到数据处理探针设备，进行数据处理和分...

【专利技术属性】
技术研发人员：高勇，刘善武，赵煜，李进，
申请(专利权)人：山东省通信管理局，
类型：发明
国别省市：山东,37