The invention discloses a dual monitoring security control method and system, including a small firewall device and an integrated flow analysis device, in which the small firewall device includes a switching unit and a central processing unit. The switching unit forwards the basic data message in the business network, copies the suspicious data message to the central processing unit, and compares the central processing unit with the local database, and sends the data message that does not match the local database to the integrated flow analysis device and sends the access control list. The integrated traffic analysis device receives the uploaded data message, compares it with the local database, and sends the corresponding access control list to the switching unit for security control. The invention has double monitoring on the flow of small firewalls, and it is safe and reliable, even if the CPU failure of the small firewall device does not affect the communication of the normal traffic flow.
【技术实现步骤摘要】
一种双重监测安全控制方法及系统
本专利技术属于网络安全
,尤其涉及一种双重监测安全控制方法及系统。
技术介绍
随着互联网技术的发展,网络已经延伸到千家万户,网络安全也越来越显得重要。特别是一些网络中的服务器,访问流量大,特别容易受到攻击,从而对整个网络造成伤害。为了防止攻击,在很多大型的专业网络中,例如在视频监控网络中,会在监控业务服务器前端增加一个小型的防火墙装置,进行基于白名单的流量过滤。典型的做法是,初始只放开注册通道,终端可以进行正常的注册,服务器认可注册之后,通知该小型的防火墙装置放开针对该终端的后续业务数据通道。然而,上述方案存在如下问题:由于所有流量的转发压力均由该小型的防火墙装置的CPU承担,而CPU是不稳定的,所以该小型的防火墙装置一旦故障,很容易导致通道瘫痪,影响业务通信。
技术实现思路
本专利技术的目的是提供一种双重监测安全控制方法及系统,用于解决现有技术CPU不稳定容易导致通道瘫痪,影响业务通信的技术问题。为了实现上述目的,本专利技术技术方案如下:一种双重监测安全控制系统,用于对业务网络中的服务器进行安全控制,所述双重监测安全控制系统包括设置于所述服务器前端的小型防火墙装置,以及与所述小型防火墙装置网络连接的综合流量分析装置,其中:所述小型防火墙装置包括交换单元和中央处理单元;所述交换单元接收流经的数据报文,识别数据报文的类型,对于业务网络中的基本数据报文,直接转发到所连接的服务器,而将非基本数据报文作为可疑数据报文复制到中央处理单元;所述中央处理单元接收到可疑数据报文后,与本地预设的数据库进行比较,将与本地预设的数据库不匹配的数 ...
【技术保护点】
1.一种双重监测安全控制系统,用于对业务网络中的服务器进行安全控制,其特征在于,所述双重监测安全控制系统包括设置于所述服务器前端的小型防火墙装置,以及与所述小型防火墙装置网络连接的综合流量分析装置,其中:所述小型防火墙装置包括交换单元和中央处理单元;所述交换单元接收流经的数据报文,识别数据报文的类型,对于业务网络中的基本数据报文,直接转发到所连接的服务器,而将非基本数据报文作为可疑数据报文复制到中央处理单元;所述中央处理单元接收到可疑数据报文后,与本地预设的数据库进行比较,将与本地预设的数据库不匹配的数据报文发往综合流量分析装置,下发访问控制列表到交换单元,通知交换单元丢掉与中央处理单元本地预设的数据库匹配的数据报文;所述综合流量分析装置接收业务网络中小型防火墙装置上传的数据报文,与本地预设的数据库进行比较,确定数据报文是否合法,通过所述小型防火墙装置的中央处理单元下发对应的访问控制列表到交换单元;所述交换单元根据中央处理单元下发的访问控制列表,对数据报文进行安全控制。
【技术特征摘要】
1.一种双重监测安全控制系统,用于对业务网络中的服务器进行安全控制,其特征在于,所述双重监测安全控制系统包括设置于所述服务器前端的小型防火墙装置,以及与所述小型防火墙装置网络连接的综合流量分析装置,其中:所述小型防火墙装置包括交换单元和中央处理单元;所述交换单元接收流经的数据报文,识别数据报文的类型,对于业务网络中的基本数据报文,直接转发到所连接的服务器,而将非基本数据报文作为可疑数据报文复制到中央处理单元;所述中央处理单元接收到可疑数据报文后,与本地预设的数据库进行比较,将与本地预设的数据库不匹配的数据报文发往综合流量分析装置,下发访问控制列表到交换单元,通知交换单元丢掉与中央处理单元本地预设的数据库匹配的数据报文;所述综合流量分析装置接收业务网络中小型防火墙装置上传的数据报文,与本地预设的数据库进行比较,确定数据报文是否合法,通过所述小型防火墙装置的中央处理单元下发对应的访问控制列表到交换单元;所述交换单元根据中央处理单元下发的访问控制列表,对数据报文进行安全控制。2.如权利要求1所述的双重监测安全控制系统,其特征在于,所述中央处理单元接收到可疑数据报文后,将数据报文发往综合流量分析装置。3.如权利要求1所述的双重监测安全控制系统,其特征在于,所述综合流量分析装置接收业务网络中各小型防火墙装置上传的数据报文,与本地预设的数据库进行比较,确定数据报文是否合法,通过所述中央处理单元下发对应的访问控制列表到交换单元,包括:当数据报文与本地预设的数据库匹配时,确定该数据报文为非法,通过所述中央处理单元下发访问控制列表到交换单元,丢弃该数据报文;当数据报文与本地预设的数据库不匹配时,确定该数据报文为合法,通过所述中央处理单元下发访问控制列表到交换单元,允许该数据报文通过。4.如权利要求1所述的双重监测安全控制系统,其特征在于,所述交换单元在不能将可疑数据报文复制到中央处理单元时,允许对应的可疑数据报文通过。5.如权利要求1所述的双重监测安全控制系统,其特征在于,所述综合流量分析装置通过所述小型防火墙装置的中央处理单元下发对应的访问控制列表到交换单元时,还将对应的访问控制列表同步给业务网络中的其他所有小型防火墙装置。6.一种...
【专利技术属性】
技术研发人员:周迪,王盼,
申请(专利权)人:浙江宇视科技有限公司,
类型:发明
国别省市:浙江,33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。