一种同质异构的网络安全加固方法及装置制造方法及图纸

本发明专利技术公开了一种同质异构的网络安全加固方法及装置，有效减少了单一安全产品防护所面临的安全风险和可靠性风险。该发明专利技术含有步骤1：选择一组具备BYPASS功能的异构网络安全产品；步骤2：将网络安全产品以透明模式进行串联部署,同时在部署时激活单个产品同组输入输出端口的BYPASS功能；步骤3：根据应用需要，在各级网络安全产品上冗余部署类似或相同的安全功能或策略配置，至少有2个产品通过配置实现一项或多项类似或相同的安全功能或策略。

A Homogeneous and Heterogeneous Network Security Reinforcement Method and Device

The invention discloses a homogeneous and heterogeneous network security reinforcement method and device, which effectively reduces the security risk and reliability risk faced by the protection of a single security product. The invention includes steps 1: selecting a set of heterogeneous network security products with BYPASS function; step 2: deploying network security products in series in transparent mode while activating the BYPASS function of single product at the same group input and output ports; step 3: redundantly deploying similar or identical security functions or policy configurations on all levels of network security products according to application needs; At least two products implement one or more similar or identical security functions or policies through configuration.

【技术实现步骤摘要】
一种同质异构的网络安全加固方法及装置
本专利技术涉及网络安全
，尤其是涉及一种同质异构的网络安全加固方法及装置。
技术介绍
面对日益复杂的网络安全环境，通常网络用户会选用各种网络安全产品对信任区的系统和设备进行安全防护。常见的防护措施包括但不限于防火墙（FW）、入侵检测（IDS）、入侵防御（IPS）、病毒木马过滤（AV）、网址过滤（URL）等。随着网络安全产业的兴起，各类厂家也基于各自的平台或通用平发研发了各种网络安全产品，每款产品包括了上述1种或多种防护功能。同时各厂家根据各自的风险样本采集渠道和研究方向不断补充和完善产品的特征库（包括但不限于协议分析库、地址库、病毒特征码）、检测防御引擎等和产品漏洞补丁等。按传统的部署模式，通常会在防护边界根据应用需求部署上述网络安全产品。但在实际应用中，由于受限于单一产品的防护特征以及局限的部署结构，仍然存在不少问题，，主要表现为：1、网络安全产品本身也有技术缺陷，从缺陷发现到提供补丁需要一定的时间，即使针对同一类缺陷，各厂家所提供的修补方案时间也不一，时间越长，安全风险越高；2、不同厂家对网络安全产品的研究方向和方法不一，没有一个厂家的产品可以对已知或未知的所有安全问题进行全部有效检测和防御，特征库的发布质量和时间不一，采用单一产品的漏防机率较高；3、网络安全产品本身也存在潜在的后门或漏洞，也或者由于配置不合理导致防护漏洞，这些后门或漏洞一经利用，后果不堪设想；4、单一产品很容易被各种网络探嗅手段探知设备品牌、型号和版本，方便攻击者利用现有手段开展攻击。
技术实现思路
本专利技术的内容在于克服上述问题而提供一种更为科学、牢固的网络安全加固方法，这种方法的基于同质异构原理，通过有效的产品选择和部署结构设计实现而成。通过这种方法进一步提升整体系统的防护能力，同时也可有效提升整体防护系统的可靠性。本专利技术提供一种具有以下步骤的网络安全加固方法：步骤1：选择一组具有BYPASS功能的异构网络安全产品；步骤2：将网络安全产品以透明模式进行串联部署，同时激活单个产品同组输入输出传输端口的BYPASS功能；步骤3：根据应用需要，在各级网络安全产品上冗余部署类似或相同的安全功能或策略配置。步骤1中所述的一组网络安全产品的数量不少于2个，产品可以为纯硬件、软硬一体设备或纯软件，同时所选用的一组产品中至少有2个产品可以实现一项或多项相同和/或类似功能。步骤1中所述的异构，指实现1项或多项相同和/或类似的网络安全防护功能的产品必须为不同厂家或同一厂家有显著差异的不同系列的产品。近述的显著差异，指不同产品所采用的硬件架构或操作系统或应用系统或特征库具有明显的区别或不同的实现形式。进一步的，单个产品可定义或配置的一组或多组输入、输出端口具备BYPASS功能。步骤2中所述的透明模式，指产品一组输入输出两端的应用在正常流量应用时透明无感。进一步的，单个产品同组输入输出传输端口的BYPASS功能在部署时配置激活。在产品故障和/或失电和/或死机和/或重启引起产品失效时，BYPASS功能生效，同组传输端口实现旁路直通，应用不中断。步骤3中所述冗余部署，指在至少2台不同的具体产品上通过配置实现1项或多项类似或相同的安全功能或策略。与现有的部署方法相比，本专利技术具有以下优点：克服了单一厂家或产品的防护能力单一性，增加了网络攻击的难度；有效解决了单一网络安全设备部署时遇到设备失效引发防护功能全部失效或应用中断；利用不同厂家能力和专业差异，针对特定的安全威胁可在最优时间使系统得到防护能力；综合所选各类网络安全产品的专业和能力差异，实现选用产品组合内防护能力的最大集合；采用异构产品进行串行同质功能配置，减少单台设备的配置不合理所产生的防护漏洞风险；采用了多层异构部署结构，攻击者只可探知最外层的防护设备信息，对后置防护设备的信息很难在外侧探嗅获知，攻击成功的时间被有效延长。附图说明图1是本专利技术一种网络安全加固方法的原理框图；图2是本专利技术一种网络安全加固装置的结构框图。具体实施方式下面结合附图和具体实施方式对本专利技术同质异构的网络安全加固方法作进一步说明。实施例1，参见图1所示，一种同质异构的网络安全加固方法，步骤如下：1．针对某一防护功能m,我们选用n个异构的网络安全产品（n>=2）;2．将网络安全产品以透明模式进行部署并串联，单个产品同组传输端口的BYPASS功能在部署时配置激活；3．根据应用需要，在各级网络安全产品上冗余部署类似或相同的防护策略配置；4．当网络访问抵达防护系统后，依次经过n级产品的检测，发现存在符合所定义防护策略的攻击行为时，由被检测出攻击行为的产品进行阻断，否则放行；5．当其中某级产品失效时，BYPASS功能生效，访问通过旁通电路直接放行。实施例2，参见图2所示，一种同质异构的网络安全加固装置，步骤如下：1．选择一组同质异构的网络安全产品（n个，n>=2），所选用的一组产品中至少有2个产品可以实现一项或多项相同和/或类似功能；2．将网络安全产品以透明模式进行部署并串联，单个产品同组输入输出端的BYPASS功能在部署时配置激活；3．根据应用需要，在各级网络安全产品上冗余部署类似或相同的安全功能或策略配置；4．当网络访问抵达防护系统后，依次经过n级产品的检测，发现存在符合所定义防护策略的攻击行为时，由被检测出攻击行为的产品进行阻断，否则放行；5．当其中某级产品失效时，BYPASS功能生效，访问通过旁通电路直接放行。需要说明的是，以上所述的实施例仅是为了便于本领域的技术人员理解而已，并不用于限制本专利技术的保护范围，在不脱离本专利技术的专利技术构思的前提下，本领域技术人员对本专利技术所做出的任何显而易见的替换和改进等均在本专利技术的保护范围之内。本文档来自技高网...

【技术保护点】
1.一种同质异构的网络安全加固方法及装置，其特征在于包含如下步骤：步骤1：选择一组同质异构的网络安全产品；步骤2：将网络安全产品以透明模式进行部署并串联；步骤3：根据应用需要，在各级网络安全产品上冗余部署类似或相同的安全功能或策略配置，至少有2个产品上通过配置实现一项或多项类似或相同的安全功能或策略。

【技术特征摘要】
1.一种同质异构的网络安全加固方法及装置，其特征在于包含如下步骤：步骤1：选择一组同质异构的网络安全产品；步骤2：将网络安全产品以透明模式进行部署并串联；步骤3：根据应用需要，在各级网络安全产品上冗余部署类似或相同的安全功能或策略配置，至少有2个产品上通过配置实现一项或多项类似或相同的安全功能或策略。2.根据权利要求1所述的同质异构的网络安全加固方法及装置，其特征在于，单个产品可定义或配置的1组或多组输入、输出端口具备BYPASS功能。3.根据权利要求1所述的同质异构的网络安全加固方法及装置，其特征在于，由于采用同质部署，且所部署的产品具备BYPASS功能，只要存在至少1个产品可正常使用，整...

【专利技术属性】
技术研发人员：不公告发明人，
申请(专利权)人：泰萍科技杭州有限公司，
类型：发明
国别省市：浙江,33