本发明专利技术申请公开了一种安全网关,包括准入资产管理模块、网络资源管理模块和安全策略管理模块,所述准入资产管理模块包括终端自动发现模块、网络边界识别模块、用户身份识别模块和主机规范检查模块,所述网络资源管理模块包括交换机管理模块、VLAN管理模块和地址管理模块,所述安全策略管理模块包括ACL访问控制模块、终端管控检测模块、安全角色配置模块、HA冗余架构和系统状态监控模块;本安全网关通过准入资产管理模块、网络资源管理模块和安全策略管理模块协同作用,能够有效地管理内网接入、有效地监控内网终端状态,有效地管理内网资源的权限,使得网络使用者能够处于一个更加安全的网络环境使用网络。
【技术实现步骤摘要】
一种安全网关
本专利技术涉及一种网关,具体涉及一种安全网关。
技术介绍
随着信息化技术的深入和互联网的迅速发展,整个世界正在迅速地融为一体,计算机网络已经成为国家的经济基础和命脉。众多的企业、组织与政府部门都在组建和发展自己的内部网络。伴随着网络的发展,也产生了各种各样的问题,其中网络安全问题尤为突出。随着资产设备接入途径的多样化,接入设备的智能化、接入人员的复杂化、管理规范的表面化,所有这些极大的困扰着包括企业、组织、政府部门与机构等在内的各种网络用户。目前的网关无法有效的管理内网接入、监控内网终端状态,管理内网资源的权限,使得有网络用户面临重大的安全问题。
技术实现思路
本专利技术意在提供一种安全防护性能强的安全网关。为达到以上目的,提供如下方案:一种安全网关,包括准入资产管理模块、网络资源管理模块和安全策略管理模块,所述准入资产管理模块包括终端自动发现模块、网络边界识别模块、用户身份识别模块和主机规范检查模块,所述网络资源管理模块包括交换机管理模块、VLAN管理模块和地址管理模块,所述安全策略管理模块包括ACL访问控制模块、终端管控检测模块、安全角色配置模块、HA冗余架构和系统状态监控模块。进一步,所述终端自动发现模块通过能够通过ARP及SNMP探知的方式实现终端的自动发现,实现终端MAC发现、终端IP发现、终端主机名发现、MAC厂商识别、操作系统识别、交换机端口识别;所述网络边界识别模块对交换机的信息自动采集、学习网络VLAN及交换机端口;所述用户身份识别模块与身份识别系统连接联动,支持静态密码认证、Radius认证、AD域认证、LDAP认证;所述主机规范检查模块评估计算机终端入网的安全程度,禁止不安全的终端接入网络。进一步,所述交换机管理模块自动绘画网络拓扑,识别网络中交换机厂商、型号,并实现交换机面板视图管理、交换机端口列表管理,直观的展示交换机工作状态,实现交换机CPU、内存实时监视、端口流量实时统计,支持SNMP模板,设置端口为多MAC、隔离端口或可信端口,能查看该端口下接入终端情况;所述VLAN管理模块收集交换机的VLAN数据库,集中展示所有交换机的VLAN分布情况;所述地址管理模块支持VLAN地址池网格管理,确保VLAN的IP地址使用范围,并支持VLANIP统计图。进一步,所述ACL访问控制模块自定义入网策略,根据VLAN职能、SVI接口、访问对象、访问目标、标签分别或组合下发入网策略,实现区别化入网管理,对不同的VLAN定义不同的认证、安检策略,支持时间控制策略,检查入网时间;所述终端管控检测模块对接入设备进行安全状态评估;所述安全角色配置模块将系统分成三步分管理,分别为内置系统管理、安全审计管理和安全保密管理;所述HA冗余架构设置冗余的链路和双系统备份;所述系统状态监控模块事实监控系统的CPU、内存、硬盘的使用率和网口流量信息。本专利技术的优点在于:本安全网关通过准入资产管理模块、网络资源管理模块和安全策略管理模块协同作用,能够有效地管理内网接入、有效地监控内网终端状态,有效地管理内网资源的权限,使得网络使用者能够处于一个更加安全的网络环境使用网络。具体实施方式下面通过具体实施方式进一步详细的说明:一种安全网关,包括准入资产管理模块、网络资源管理模块和安全策略管理模块,所述准入资产管理模块包括终端自动发现模块、网络边界识别模块、用户身份识别模块和主机规范检查模块,所述网络资源管理模块包括交换机管理模块、VLAN管理模块和地址管理模块,所述安全策略管理模块包括ACL访问控制模块、终端管控检测模块、安全角色配置模块、HA冗余架构和系统状态监控模块。所述终端自动发现模块通过能够通过ARP及SNMP探知的方式实现终端的自动发现,实现终端MAC发现、终端IP发现、终端主机名发现、MAC厂商识别、操作系统识别、交换机端口识别;其中,终端自动发现模块对于接入网络的终端情况一目了然,实现入网终端的多元素自定义绑定的效果。所述网络边界识别模块对交换机的信息自动采集、学习网络VLAN及交换机端口;其中,网络边界识别模块充分减少管理员繁琐配置,达到终端定位功能,明确接入的终端在哪个交换机、端口,实现终端与端口绑定。所述用户身份识别模块与身份识别系统连接联动,支持静态密码认证、Radius认证、AD域认证、LDAP认证;其中,用户身份识别模块包括有静态密码认证、AD域认证、Radius认证和LDAP认证,静态密码认证将用户名和口令信息存储在本网关的数据库当中,由本网关执行用户信息校验,用户授权,相对于其它的认证方式,采用本地认证不需要与其它认证系统相结合,将节省大量认证系统的建设费用,对于以节省成本为主的中小规模企业/机构,是最为经济的选择;本网关支持与当前网络的AD域环境进行结合,用户信息存储在域服务器内,由域服务器实现用户身份的校验,由本网关实现用户身份的授权,AD域认证方式是网络准入管理系统与windows域实现的一次联动,对于已经部署windows域的信息系统来说,是最为经济、简单、安全、可靠的身份认证模式;Radius认证是将网关与Radius身份认证系统进行结合,由Radius认证系统进行认证,并将认证结果转发给网关,由网关进行授权的身份认证方式,对于当前业务系统已经部署了Radius认证系统的情况下,采用Radius联动来实现统一身份认证不仅经济,而且更加安全可靠,同时减少了多余的认证系统维护环节;LDAP认证是将网关与LDAP身份认证系统进行结合,由LDAP认证系统进行认证,并将认证结果转发给网关,由SA-NAC进行授权的身份认证方式,对于当前业务系统已经部署了LDAP认证系统的情况下,采用LDAP联动来实现统一身份认证不仅经济,而且更加安全可靠,同时减少了多余的认证系统维护环节。所述主机规范检查模块评估计算机终端入网的安全程度,禁止不安全的终端接入网络。其中,安全评估是计算机终端入网的安全凭证,不安全的终端接入网络,将可能给网络带来无法估量的损失,例如勒索病毒感染、病毒恶意传播、木马泛滥导致机密泄露、不安全策略配置导致对黑客入侵缺乏抵抗能力等,本网关针对以上问题,从终端安全加固做起,对终端可能存在的风险进行评估,并根据评估结果对终端存在的风险进行修复和加固;对高危端口和木马病毒进行检查,还能够自定义检查。所述交换机管理模块自动绘画网络拓扑,识别网络中交换机厂商、型号,并实现交换机面板视图管理、交换机端口列表管理,直观的展示交换机工作状态,实现交换机CPU、内存实时监视、端口流量实时统计,支持SNMP模板,设置端口为多MAC、隔离端口或可信端口,能查看该端口下接入终端情况;所述VLAN管理模块收集交换机的VLAN数据库,集中展示所有交换机的VLAN分布情况;其中,VLAN管理模块支持统一下发VLAN数据库,大大节省手动配置交换机时间,网关根据VLAN职能共分为终端VLAN、生产VL本文档来自技高网...
【技术保护点】
1.一种安全网关,其特征在于:包括准入资产管理模块、网络资源管理模块和安全策略管理模块,所述准入资产管理模块包括终端自动发现模块、网络边界识别模块、用户身份识别模块和主机规范检查模块,所述网络资源管理模块包括交换机管理模块、VLAN管理模块和地址管理模块,所述安全策略管理模块包括ACL访问控制模块、终端管控检测模块、安全角色配置模块、HA冗余架构和系统状态监控模块。/n
【技术特征摘要】
1.一种安全网关,其特征在于:包括准入资产管理模块、网络资源管理模块和安全策略管理模块,所述准入资产管理模块包括终端自动发现模块、网络边界识别模块、用户身份识别模块和主机规范检查模块,所述网络资源管理模块包括交换机管理模块、VLAN管理模块和地址管理模块,所述安全策略管理模块包括ACL访问控制模块、终端管控检测模块、安全角色配置模块、HA冗余架构和系统状态监控模块。
2.根据权利要求1所述的安全网关,其特征在于:所述终端自动发现模块通过能够通过ARP及SNMP探知的方式实现终端的自动发现,实现终端MAC发现、终端IP发现、终端主机名发现、MAC厂商识别、操作系统识别、交换机端口识别;
所述网络边界识别模块对交换机的信息自动采集、学习网络VLAN及交换机端口;
所述用户身份识别模块与身份识别系统连接联动,支持静态密码认证、Radius认证、AD域认证、LDAP认证;
所述主机规范检查模块评估计算机终端入网的安全程度,禁止不安全的终端接入网络。
3.根据权利要求1所述的安全网关,其特征在于:所述交换机管理模块自动绘画网络拓扑,识别网...
【专利技术属性】
技术研发人员:陈锐涛,
申请(专利权)人:众源科技广东股份有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。