本发明专利技术公开了一种网络区域边界安全防护系统及其方法。本发明专利技术通过部署在网络的边界处,能分析检测接收、发送的网络报文,当检测到入侵的发生,还能通过闭环响应的方式,自动地将攻击包丢掉或采取措施将攻击源阻断,对入侵活动和攻击性网络流量进行实时地检测和拦截,实时地中止入侵行为的发生和发展,而不是简单地在恶意流量传送时或传送后才发出警报,实时地保护信息系统不受实质性攻击,是一种主动的、积极的入侵防范、入侵阻止系统,通过采用紧耦合的方式将检测和防御进行有机地融合,本网络边界安全防护系统采用串联网络中的工作模式,所有接收到的网络报文都要经过本网络边界防护系统检查之后才决定是否放行。防护系统检查之后才决定是否放行。防护系统检查之后才决定是否放行。
【技术实现步骤摘要】
一种网络区域边界安全防护系统及其方法
[0001]本专利技术涉及网络边界
,具体为一种网络区域边界安全防护系统及其方法。
技术介绍
[0002]网络边界是指具有不同安全级别的网络之间的分界线,通过该分界线将网络划分为不同的区域,每区域都有特定的网络区域边界,企业常见网络边界:企业内部网络与外部网络、企业各部门之间、重要部门与其他部门之间、分公司与(分公司)总部之间。
[0003]不同的网络区域之间进行着信息交流,人们享受信息时代的方便和快捷,给生活、工作、学习带来了巨大的方便,同时,网络安全问题更加不容忽视,网络面临着黑客攻击、感染病毒的危险。目前广泛使用的网络边界安全防护设备是防火墙,可以根据预先设置好的安全策略对进出网络边界的流量进行控制,还有与防火墙配合使用的入侵检测系统对进出的流量进行分析检测,但是入侵检测系统是被动的安全设备,他只是分析进出的流量是否含有报文,却不能对这些报文进行处理,即只能报告入侵信息,不能对入侵行为采取任何的防御措施,只有等到网络管理员查看入侵检测系统的报警信息后才能采取相应的措施。
[0004]综上现有的网络区域边界安全防护设备,大部分都立足于被动防御,并且各种技术之间缺乏必要的融合,无法满足立体式纵深的防御体系建设的需要,属于被动防御,只有网络管理员发现了入侵检测系统的报警信息才能采取相应的措施,导致网络已经受到实质性的攻击。
技术实现思路
[0005]本专利技术的目的在于提供一种网络区域边界安全防护系统及其方法,以解决上述
技术介绍
中提出的问题。
[0006]为了解决上述技术问题,本专利技术提供如下技术方案:一种网络区域边界安全防护系统,包括网络边界安全防护设备,所述网络边界安全防护设备内设有报文收发处理模块、简单的报文过滤模块、有状态的报文过滤模块、网络地址转换模块、分析检测模块、日志模块、闭环响应模块和用户配置管理模块。
[0007]在一个优选的实施方式中:所述分析检测模块内设有以文件形式存放的检测规则表,可以通过用户配置管理模块对检测规则进行编辑。
[0008]在一个优选的实施方式中:所述简单的报文过滤模块的工作原理是通过检查比较网络报文头部中的一些信息来判断是否允许该网络报文进入和离开网络,而不对网络报文中的内容进行检查。
[0009]在一个优选的实施方式中:所述有状态的报文过滤模块采用连接跟踪主要用于记录连接状态,并且实现状态间的转换,同时它也保存了每个会话的通信信息,它不需要规则来决定是否要做连接跟踪,这里的连接并不只是指TCP协议连接,它也包括UDP协议和ICMP协议,连接跟踪是实现地址转换的基础。
[0010]在一个优选的实施方式中:所述网络地址转换模块用来实现内部网络地址和公用网络地址的转换,该模块可以对网络报文进行一对一、一对多、多对多等多项网络地址转换工作,它对外隐藏了内部网络拓扑结构,在内部网和外部网之间形成一条无形的边界,使得外部主机无法主动地访问网络内部的节点,从而提高内部网络的安全性。
[0011]在一个优选的实施方式中:所述分析检测模块获得网络报文后,从中分析是否有攻击事件发生,通过特征匹配、流量分析、协议分析、会话重构等技术分析攻击的内容和特征;将经过分析检测得到的结果提交给所述闭环响应模块,执行相应的响应动作,并将含有攻击信息的报文、攻击事件分析结果及响应策略提交至日志模块保存,便于网络管理员事后查看。
[0012]在一个优选的实施方式中:所述日志模块用于存储报警信息,所述报警信息为所述分析检测模块在检测到网络攻击的时候产生相应的报警信息,以便网络管理员查看和分析这些报警信息。
[0013]在一个优选的实施方式中:所述闭环响应模块的功能是根据分析检测模块的检测结果来实时地对该网络报文是否通过网络边界进行判断,由于分析检测模块有一定误报存在,为了减少对正常网络运行的影响,因此必须对闭环响应模块的响应进行等级分类。
[0014]在一个优选的实施方式中:所述闭环响应模块中等级分类具体分为三大类:第一类,危险小的则只发出报警信息,第二类,比较危险的则把该报文丢弃,第三类,最危险的则发出响应的报文连接切断该连接。
[0015]本专利技术还包含一种网络区域边界安全防护系统的方法,具体方法如下:步骤一:将分析检测模块以串联的方式接入网络,使得本系统位于网络协议栈的网络层和防火墙内核功能模块之间,内外的网络报文通过本系统的报文收发处理模块,本系统开始对网络报文进行检查,通过简单的报文过滤模块、有状态的报文过滤模块、网络地址转换模块逐一对网络报文进行检查;简单的报文过滤模块利用TCP/IP协议报文的头部中的信息,可以是协议的类型、源IP地址、目的IP地址、TCP或UDP的端口等来决定该网络报文是否安全;步骤二:经检查被判定为安全的网络报文,报文收发处理模块正式将网络报文接收或者发出;步骤三:经检查被判定为危险的网络报文,分析检测模块对该网络报文进一步检测,分析检测模块从中分析是否有攻击事件发生,通过特征匹配、流量分析、协议分析、会话重构等技术分析攻击的内容和特征,将经过分析检测得到的结果提交给闭环响应模块,闭环响应模块执行相应的响应动作,将攻击包丢掉或采取措施将攻击源阻断,完成对入侵活动和攻击性网络流量进行实时地检测和拦截,并将含有攻击信息的报文、攻击事件分析结果及响应策略提交至日志模块保存,便于网络管理员事后查看,分析检测模块可以对危险的网络报文进行主动扫描和探测。
[0016]与现有技术相比,本专利技术所达到的有益效果是:1、本专利技术通过部署在网络的边界处,能分析检测接收、发送的网络报文,当检测到入侵的发生,还能通过闭环响应的方式,自动地将攻击包丢掉或采取措施将攻击源阻断,对入侵活动和攻击性网络流量进行实时地检测和拦截,实时地中止入侵行为的发生和发展,而不是简单地在恶意流量传送时或传送后才发出警报,实时地保护信息系统不受实质性攻
击,是一种主动的、积极的入侵防范、入侵阻止系统。
[0017]2、本专利技术通过采用紧耦合的方式将检测和防御进行有机地融合,本网络边界安全防护系统采用串联网络中的工作模式,所有接收到的网络报文都要经过本网络边界防护系统检查之后才决定是否放行,或执行缓存、抛弃策略,发生攻击时及时地响应,并对网络攻击事件和所采取的措施和结果进行记录。
附图说明
[0018]附图用来提供对本专利技术的进一步理解,并且构成说明书的一部分,与本专利技术的实施例一起用于解释本专利技术,并不构成对本专利技术的限制。在附图中:图1是本专利技术中网络区域边界安全防护系统的结构示意图;图中:1、网络边界安全防护设备;101、报文收发处理模块;102、简单的报文过滤模块;103、有状态的报文过滤模块;104、网络地址转换模块;105、分析检测模块;106、日志模块;107、闭环响应模块;108、用户配置管理模块。
具体实施方式
[0019]下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种网络区域边界安全防护系统,其特征在于:包括网络边界安全防护设备(1),所述网络边界安全防护设备(1)内设有报文收发处理模块(101)、简单的报文过滤模块(102)、有状态的报文过滤模块(103)、网络地址转换模块(104)、分析检测模块(105)、日志模块(106)、闭环响应模块(107)和用户配置管理模块(108)。2.根据权利要求1所述的一种网络区域边界安全防护系统及其方法,其特征在于:所述分析检测模块(105)内设有以文件形式存放的检测规则表,可以通过用户配置管理模块(108)对检测规则进行编辑。3.根据权利要求1所述的一种网络区域边界安全防护系统,其特征在于:所述简单的报文过滤模块(102)的工作原理是通过检查比较网络报文头部中的一些信息来判断是否允许该网络报文进入和离开网络,而不对网络报文中的内容进行检查。4.根据权利要求1所述的一种网络区域边界安全防护系统,其特征在于:所述有状态的报文过滤模块(103)采用连接跟踪主要用于记录连接状态,并且实现状态间的转换,同时它也保存了每个会话的通信信息,它不需要规则来决定是否要做连接跟踪,这里的连接并不只是指TCP协议连接,它也包括UDP协议和ICMP协议,连接跟踪是实现地址转换的基础。5.根据权利要求1所述的一种网络区域边界安全防护系统,其特征在于:所述网络地址转换模块(104)用来实现内部网络地址和公用网络地址的转换,该模块可以对网络报文进行一对一、一对多、多对多等多项网络地址转换工作,它对外隐藏了内部网络拓扑结构,在内部网和外部网之间形成一条无形的边界,使得外部主机无法主动地访问网络内部的节点,从而提高内部网络的安全性。6.根据权利要求1所述的一种网络区域边界安全防护系统,其特征在于:所述分析检测模块(105)得网络报文后,从中分析是否有攻击事件发生,通过特征匹配、流量分析、协议分析、会话重构等技术分析攻击的内容和特征;将经过分析检测得到的结果提交给所述闭环响应模块(107),执行相应的响应动作,并将含有攻击信息的报文、攻击事件分析结果及响应策略提交至日志模块(106)保存,便于网络管理员事后查看。7.根据权利要求1所述的一种网络区域边界安全防护系统,其特征在于:所述日志模块(106)用于存储报警信息,所述报警信息为所述...
【专利技术属性】
技术研发人员:王微,孙麟安,黄辉,胡南山,吴存凯,
申请(专利权)人:江苏禾跃璟科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。