本实用新型专利技术涉及一种基于防火墙与IPS的网络装置,包括网络交换机、服务器群、客户端群、Internet,所述的网络交换机分别与服务器群、客户端群连接,还包括通信线路、网络防火墙、IPS、ISA服务器,所述的Internet通过通信线路与网络防火墙连接,所述的网络防火墙、IPS、ISA服务器依次连接,所述的ISA服务器与网络交换机连接。与现有技术相比,本实用新型专利技术具有安全性高、可靠性强等优点。(*该技术在2020年保护过期,可自由使用*)
【技术实现步骤摘要】
本技术涉及一种网络系统,尤其是涉及一种基于防火墙与IPS的网络装置。
技术介绍
随着网络应用的普及和发展,网络安全问题成为整个IT产业广泛关注的问题。人 们对网络的可靠性、操作系统能否正常运行、以及各种应用软件和系统设备是否会被病毒 侵扰或黑客攻击的关注程度,超过了以往任何一个时代。可以说,网络安全问题已经延伸到 整个网络体系结构的任何一个层面。近两年,防火墙、杀毒防毒软件、入侵检测和VPN产品 的热销也说明了这一点。网络防火墙能够提供常规路由器所不具备的,诸如IPSec协议支持、基于规则集 的防火墙、基于OSPE V2路由协议的安全认证、信息加密与分布式密钥管理等功能;能够实 现身份鉴别、数据签名和数据完整性验证;能够对IP数据包进行智能加密,可提供安全VPN 通道、抗源地址欺骗、抗源路由攻击、抗极小数据和抗重叠分片的分组过滤功能及实现基于 硬件的信息加密;能够阻止非授权人员的入侵等。入侵防御系统(IPS)是指具有检测并阻止已知或未知攻击的内嵌硬件设备或软 件系统,它分为网络入侵防御系统(Network Intrusion Prevention System,NIPS)和主机 入侵防御系统(Host Intrusion Prevention System,HIPS)。NIPS —般部署于网络的进出 口处,即在数据转发的路径上,可以根据预先设定的安全策略,对经过的每个数据包进行深 度检测,如协议分析跟踪,流量统计分析、特征匹配、事件关联分析等,一旦发现隐藏于其中 的攻击行为,则可以根据该攻击的危险级别立即采取相应的防御措施,如丢弃报文、切断应 用会话、切断TCP连接、向管理中心报警等。
技术实现思路
本技术的目的就是为了克服上述现有技术存在的缺陷而提供一种安全性高、 可靠性强的基于防火墙与IPS的网络装置。本技术的目的可以通过以下技术方案来实现—种基于防火墙与IPS的网络装置,包括网络交换机、服务器群、客户端群、 Internet,所述的网络交换机分别与服务器群、客户端群连接,其特征在于,还包括通信线 路、网络防火墙、IPS、ISA服务器,所述的Internet通过通信线路与网络防火墙连接,所述 的网络防火墙、IPS、ISA服务器依次连接,所述的ISA服务器与网络交换机连接。所述的网络防火墙采用Juniper网络公司的ISG 1000,并设有2台,进行双机热备 冗余。所述的IPS采用McAfee公司的基于McAfee IntruShield技术的IPS,并设有两台。所述的ISA服务器为安装有微软ISA2006的服务器,并设有2台。 所述的通信线路包括电信专线、网通专线。与现有技术相比,本技术具有安全性高、可靠性强1、采用2台网络防火墙,进行双机热备冗余,保证设备的高可用性。2、使用电信和网通的双线路连接模式,采用双线路接入方式实现南北互联互通以 及线路的高可用性。3、采用两台基于McAfee IntruShield技术的Mcafee IPS,具有高自动化和易管理 性,设计灵活,能够分阶段执行,克服了老旧入侵检测系统中固有的误报率,也使用户能够 配置合适的策略,以阻止独特IT基础架构中的攻击。附图说明图1为本技术的结构示意图。具体实施方式以下结合附图和具体实施例对本技术进行详细说明。实施例如图1所示,一种基于防火墙与IPS的网络装置,包括网络交换机5、服务器群6、 客户端群7、Internet 1,所述的网络交换机5分别与服务器群6、客户端群7连接,还包括 通信线路、网络防火墙2、IPS 3、ISA服务器4,所述的Internet 1通过通信线路与网络防 火墙2连接,所述的网络防火墙2、IPS 3、ISA服务器4依次连接,所述的ISA服务器4与网 络交换机5连接。所述的通信线路包括电信专线8、网通专线9。采用Juniper网络公司的ISG1000以及McAfee公司的IPS系统组件安全可靠的 企业网络。通过Juniper ISG 1000作为业务线路接入的网络防火墙2。为了更好的保证设备 服务质量,我们建议使用两台ISG 1000作双机热备(HA),保证设备的高可用性。使用电信和网通的双线路连接模式,建议安装光纤独享线路,采用双线路接入方 式实现南北互联互通以及线路的高可用性。Juniper的最新专属定制的系统采用模块化设计及独特的处理架构-包括基于 Juniper的新型第四代ASIC芯片的整合了防火墙及VPN功能,不久的将来还可整合完善的 入侵检测与防护(IDP)功能。Jimiper-ISG 1000具备卓越的性能,以及灵活性和可扩展性, 从而有效抵御今天和未来日益复杂的网络威胁。Juniper-ISG 1000是企业、电信运营商和数据中心的网管人员的理想选择,可帮 助他们有效应对不断增加且更为隐蔽的网络攻击,同时确保超卓的网络性能,平衡有限的 网络资源和预算。增加两台基于McAfee IntruShield 技术的 IPS,McAfee IntruShield 是使用最前 沿技术,能够在关键系统受到攻击之前阻止“网络”入侵行为的产品。具有高自动化和易管 理性,设计灵活,能够分阶段执行,克服了老旧入侵检测系统中固有的误报率,也使用户能 够配置合适的策略,以阻止独特IT基础架构中的攻击。Juniper ISG 1000 具备高达 IGbps 的防火墙速率及 IGbps 3DES/AES IPSecVPN速 率,还可支持2,000个VPN通道,256,000个并发会话,每秒20,000个新会话,250个VLAN。以 上增强的性能是通过将几项灵活的处理功能相结合实现的包括高性能双GHz CPU管理模4块、现场可编程门阵列(FPGA)、以及新一代ASIC芯片GigaScreen3 ASIC。GigaScreen3ASIC 是业内第一个具备千兆速率,硬件加速AES和3DES加密以及对任何大小的数据包进行千兆 以上防火墙监测的可编程ASIC芯片。与上一代相比,第四代ASIC芯片的性能提高了一倍,防火墙包处理速度(pps)高 达每秒150万,加密数据包处理速度高达每秒150万,同时处理任何大小的数据包均保证传 输流量的低延迟,这种特性对VoIP等新的应用来讲非常关键。另外,多重内嵌的处理器提 升了拒绝服务式攻击(DoS)防护及加密碎片的功能,同时具备透过软件升级而未来进行新 增功能的特性。此外,Juniper-ISG 1000系统架构的独特设计可支持线速防火墙和VPN包处理功 能,同时执行基于安全策略,将个别会话另行导向特定的安全模块,以进行进一步的安全处 理,额外的安全处理所需的特定安全模块的会话重置。GigaScreen 3ASIC可平衡处理多达三个安全模块的所有会话,而每一个模块都具备双GHz中央 处理器(CPU),一个现场可编程门阵列(FPGAs)及内存,以运行入侵检测与防护(IDP)等额 外的安全应用。除了设计独特的系统,Juniper-ISG 1000的用户还可受益于Juniper的操作系统 软件ScreenOS中的网络和安全功能,其中包括深层监测防火墙技术,基于动态路由的VPN 及虚拟系统功能,还包括对BGP,RIPv2及OSPF路由协议的支持,从而可简化多种复杂本文档来自技高网...
【技术保护点】
一种基于防火墙与IPS的网络装置,包括网络交换机、服务器群、客户端群、Internet,所述的网络交换机分别与服务器群、客户端群连接,其特征在于,还包括通信线路、网络防火墙、IPS、ISA服务器,所述的Internet通过通信线路与网络防火墙连接,所述的网络防火墙、IPS、ISA服务器依次连接,所述的ISA服务器与网络交换机连接。
【技术特征摘要】
一种基于防火墙与IPS的网络装置,包括网络交换机、服务器群、客户端群、Internet,所述的网络交换机分别与服务器群、客户端群连接,其特征在于,还包括通信线路、网络防火墙、IPS、ISA服务器,所述的Internet通过通信线路与网络防火墙连接,所述的网络防火墙、IPS、ISA服务器依次连接,所述的ISA服务器与网络交换机连接。2.根据权利要求1所述的一种基于防火墙与IPS的网络装置,其特征在于,所述的网络 防火墙采用Juniper网络公司的ISG 1...
【专利技术属性】
技术研发人员:李川,
申请(专利权)人:上海忆通广达信息技术有限公司,
类型:实用新型
国别省市:31[中国|上海]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。