一种拟态网络设备现网部署的组网方法及系统技术方案

本发明专利技术实施例公开了一种拟态网络设备现网部署的组网方法及系统，能确保拟态设备现网部署时不需要大的网络调整，拟态网络设备的接入不会对已有网络业务产生影响。入不会对已有网络业务产生影响。入不会对已有网络业务产生影响。

【技术实现步骤摘要】
一种拟态网络设备现网部署的组网方法及系统


[0001]本专利技术实施例涉及计算机通信安全
，具体涉及一种拟态网络设备现网部署的组网方法及系统。

技术介绍

[0002]网络空间安全是信息产业全球化背景下世界各国面临的共性问题和挑战。由于漏洞存在的普遍性、后门的易安插性、网络空间构架基因的单一性以及攻防双方的不对称性，当前网络空间的基本态势是“攻易守难”。拟态防御是一种变“查漏补缺”的外挂式防御为“自我免疫”的内生式防御的思路，有望有效应对网络安全面临的挑战。
[0003]网络空间拟态防御以成熟的异构冗余可靠性技术架构为基础，通过导入基于拟态伪装策略的多维动态重构机制，建立动态异构冗余的系统构造，实现了网络信息系统从相似性、静态性向异构性、动态性的转变，形成了有效抵御漏洞后门等未知威胁的内生安全效应。其以动态异构冗余形态的广义鲁棒控制架构为基础，以相对正确公理的逻辑表达为多模输出矢量测量感知手段，在避免攻击者实施时空维度上协同一致的同态攻击的条件下，对动态异构冗余构造的多模裁决、策略调度、负反馈控制、多维动态重构以及相关的输入与输出代理等环节施以拟态伪装策略，主动改变网络信息系统的功能结构和运行环境，将目标对象内基于漏洞后门等未知威胁转化为广义的不确定扰动影响，并通过归一化的理论和方法解决传统或非传统安全问题，使网络信息系统具备广义鲁棒控制的内生安全能力。从而在不依赖攻击先验知识或行为特征的前提下，使网络信息系统获得服务鲁棒性与品质鲁棒性。
[0004]在对拟态防御技术进行现网应用时，需要最小化对现网的影响，确保拟态网络设备的部署不干扰现有网络业务。为满足该需要，本专利技术提供了一种拟态网络设备的组网方法。

技术实现思路

[0005]为此，本专利技术实施例提供一种拟态网络设备现网部署的组网方法及系统，通过该组网方法，能确保拟态设备现网部署时不需要大的网络调整，拟态网络设备的接入不会对已有网络业务产生影响。
[0006]为了实现上述目的，本专利技术实施例提供如下技术方案：
[0007]根据本专利技术实施例的第一方面，提出了一种拟态网络设备现网部署的组网方法，现有网络设备包括用户终端设备、交换机、服务器以及第一接入路由器，所述用户终端设备通过交换机连接第一接入路由器，所述服务器连接第一接入路由器，所述第一接入路由器连接信息网络，拟态网络设备包括拟态路由器和拟态服务区设备；
[0008]所述组网方法包括：
[0009]将所述拟态路由器与所述第一接入路由器和交换机互联，承载部分转发数据，所述拟态路由器与所述第一接入路由器互为备份关系；
[0010]将所述拟态服务区设备所述拟态服务区设备连接所述拟态路由器和第一接入路由器，所述拟态服务区设备仅提供服务不转发数据。
[0011]进一步地，所述拟态网络设备还包括拟态网关，所述组网方法还包括：
[0012]将所述拟态网关与所述第一接入路由器和拟态路由器互联，所述用户终端设备连接拟态网关，当所述拟态网关故障时，关闭其安全功能并切换为传统交换机模式提供服务。
[0013]进一步地，所述第一接入路由器与信息网络之间设置有防火墙，所述防火墙与信息网络之间连接有第二接入路由器。
[0014]进一步地，所述拟态网络设备还包括拟态防火墙，所述组网方法还包括：
[0015]将所述拟态防火墙部署于所述拟态路由器与第二接入路由器之间，当拟态防火墙失效时，借助所述拟态路由器的动态路由机制，选择备用路由转发流量数据，自动绕开故障链路，确保业务的连续性。
[0016]进一步地，所述拟态服务区设备包括拟态域名服务器、拟态web服务器以及拟态分布式存储系统。
[0017]根据本专利技术实施例的第二方面，提出了一种拟态网络设备现网部署的组网系统，所述系统包括现有网络设备和拟态网络设备；
[0018]所述现有网络设备包括用户终端设备、交换机、服务器以及第一接入路由器，所述用户终端设备通过交换机连接第一接入路由器，所述服务器连接第一接入路由器，所述第一接入路由器连接信息网络；
[0019]所述拟态网络设备包括拟态路由器和拟态服务区设备，所述拟态路由器与所述第一接入路由器和交换机互联，所述拟态服务区设备所述拟态服务区设备连接所述拟态路由器和第一接入路由器。
[0020]进一步地，所述拟态网络设备还包括拟态网关；
[0021]所述拟态网关与所述第一接入路由器和拟态路由器互联，所述用户终端设备连接拟态网关。
[0022]进一步地，所述第一接入路由器与信息网络之间设置有防火墙，所述防火墙与信息网络之间连接有第二接入路由器。
[0023]进一步地，所述拟态网络设备还包括拟态防火墙，所述拟态防火墙部署于所述拟态路由器与第二接入路由器之间。
[0024]进一步地，所述拟态服务区设备包括拟态域名服务器、拟态web服务器以及拟态分布式存储系统。
[0025]本专利技术实施例具有如下优点：
[0026]本专利技术实施例提出的一种拟态网络设备现网部署的组网方法及系统，能确保拟态设备现网部署时不需要大的网络调整，拟态网络设备的接入不会对已有网络业务产生影响。
附图说明
[0027]为了更清楚地说明本专利技术的实施方式或现有技术中的技术方案，下面将对实施方式或现有技术描述中所需要使用的附图作简单地介绍。显而易见地，下面描述中的附图仅仅是示例性的，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据
提供的附图引伸获得其它的实施附图。
[0028]图1为现有网络拓扑结构示意图；
[0029]图2为本专利技术实施例1提供的一种拟态网络设备现网部署的组网方法中组网拓扑结构示意图；
[0030]图3为本专利技术实施例1提供的一种拟态网络设备现网部署的组网方法中拟态路由器失效时的网络通信路径；
[0031]图4为本专利技术实施例1提供的一种拟态网络设备现网部署的组网方法中拟态网关失效时的网络通信路径；
[0032]图5为本专利技术实施例1提供的一种拟态网络设备现网部署的组网方法中拟态防火墙失效时的网络通信路径。
具体实施方式
[0033]以下由特定的具体实施例说明本专利技术的实施方式，熟悉此技术的人士可由本说明书所揭露的内容轻易地了解本专利技术的其他优点及功效，显然，所描述的实施例是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。
[0034]实施例1
[0035]本专利技术实施例1提出了一种拟态网络设备现网部署的组网方法，现有网络设备包括用户终端设备110、交换机120、第一接入路由器130以及服务器140，其拓扑结构如图1所示，用户终端设备110通过交换机120连接第一接入路由器130，服务器140连接第一接入路由器130，第一接入路由器130连接信息网络。拟态网络设备组网拓扑结构如图2所示，拟态网络设备包括拟态路由器210和拟态服务本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种拟态网络设备现网部署的组网方法，其特征在于，现有网络设备包括用户终端设备、交换机、服务器以及第一接入路由器，所述用户终端设备通过交换机连接第一接入路由器，所述服务器连接第一接入路由器，所述第一接入路由器连接信息网络，拟态网络设备包括拟态路由器和拟态服务区设备；所述组网方法包括：将所述拟态路由器与所述第一接入路由器和交换机互联，承载部分转发数据，所述拟态路由器与所述第一接入路由器互为备份关系；将所述拟态服务区设备连接所述拟态路由器和第一接入路由器，所述拟态服务区设备仅提供服务不转发数据。2.根据权利要求1所述的一种拟态网络设备现网部署的组网方法，其特征在于，所述拟态网络设备还包括拟态网关，所述组网方法还包括：将所述拟态网关与所述第一接入路由器和拟态路由器互联，所述用户终端设备连接拟态网关，当所述拟态网关故障时，关闭其安全功能并切换为传统交换机模式提供服务。3.根据权利要求1所述的一种拟态网络设备现网部署的组网方法，其特征在于，所述第一接入路由器与信息网络之间设置有防火墙，所述防火墙与信息网络之间连接有第二接入路由器。4.根据权利要求3所述的一种拟态网络设备现网部署的组网方法，其特征在于，所述拟态网络设备还包括拟态防火墙，所述组网方法还包括：将所述拟态防火墙部署于所述拟态路由器与第二接入路由器之间，当拟态防火墙失效时，借助所述拟态路由器的动态路由机制，选择备用路由转发流量数据，自动绕开故障链路，确保业务的连续性。5.根据权...

【专利技术属性】
技术研发人员：齐宁，陈燕，孙润兵，陈宫，唐寅，
申请(专利权)人：中国人民解放军六一零六二部队，
类型：发明
国别省市：