專利名稱:基于防火墻與ips的網(wǎng)絡(luò)系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種網(wǎng)絡(luò)系統(tǒng)����,尤其是涉及一種基于防火墻與IPS的網(wǎng)絡(luò)系統(tǒng)。
背景技術(shù):
隨著網(wǎng)絡(luò)應(yīng)用的普及和發(fā)展��,網(wǎng)絡(luò)安全問題成為整個IT產(chǎn)業(yè)廣泛關(guān)注的問題����。人們對網(wǎng)絡(luò)的可靠性、操作系統(tǒng)能否正常運行���、以及各種應(yīng)用軟件和系統(tǒng)設(shè)備是否會被病毒侵擾或黑客攻擊的關(guān)注程度�����,超過了以往任何一個時代����。可以說����,網(wǎng)絡(luò)安全問題已經(jīng)延伸到整個網(wǎng)絡(luò)體系結(jié)構(gòu)的任何一個層面。近兩年��,防火墻�����、殺毒防毒軟件��、入侵檢測和VPN產(chǎn)品的熱銷也說明了這一點�。網(wǎng)絡(luò)防火墻能夠提供常規(guī)路由器所不具備的�,諸如IPSec協(xié)議支持、基于規(guī)則集的防火墻�����、基于OSPE V2路由協(xié)議的安全認證��、信息加密與分布式密鑰管理等功能;能夠?qū)崿F(xiàn)身份鑒別��、數(shù)據(jù)簽名和數(shù)據(jù)完整性驗證��;能夠?qū)P數(shù)據(jù)包進行智能加密�,可提供安全VPN 通道、抗源地址欺騙�、抗源路由攻擊、抗極小數(shù)據(jù)和抗重疊分片的分組過濾功能及實現(xiàn)基于硬件的信息加密�;能夠阻止非授權(quán)人員的入侵等。入侵防御系統(tǒng)(IPS)是指具有檢測并阻止已知或未知攻擊的內(nèi)嵌硬件設(shè)備或軟件系統(tǒng)����,它分為網(wǎng)絡(luò)入侵防御系統(tǒng)(Network Intrusion Prevention System,NIPS)和主機入侵防御系統(tǒng)(Host Intrusion Prevention System��,HIPS)�����。NIPS —般部署于網(wǎng)絡(luò)的進出口處�����,即在數(shù)據(jù)轉(zhuǎn)發(fā)的路徑上�,可以根據(jù)預先設(shè)定的安全策略���,對經(jīng)過的每個數(shù)據(jù)包進行深度檢測,如協(xié)議分析跟蹤����,流量統(tǒng)計分析、特征匹配���、事件關(guān)聯(lián)分析等�,一旦發(fā)現(xiàn)隱藏于其中的攻擊行為�,則可以根據(jù)該攻擊的危險級別立即采取相應(yīng)的防御措施,如丟棄報文�、切斷應(yīng)用會話、切斷TCP連接����、向管理中心報警等。
發(fā)明內(nèi)容
本發(fā)明的目的就是為了克服上述現(xiàn)有技術(shù)存在的缺陷而提供一種安全性高�、可靠性強的基于防火墻與IPS的網(wǎng)絡(luò)系統(tǒng)���。本發(fā)明的目的可以通過以下技術(shù)方案來實現(xiàn)—種基于防火墻與IPS的網(wǎng)絡(luò)系統(tǒng)�����,包括網(wǎng)絡(luò)交換機�、服務(wù)器群、客戶端群����、 Internet,所述的網(wǎng)絡(luò)交換機分別與服務(wù)器群��、客戶端群連接��,其特征在于���,還包括通信線路�����、網(wǎng)絡(luò)防火墻��、IPS��、ISA服務(wù)器�����,所述的hternet通過通信線路與網(wǎng)絡(luò)防火墻連接�,所述的網(wǎng)絡(luò)防火墻、IPS����、ISA服務(wù)器依次連接,所述的ISA服務(wù)器與網(wǎng)絡(luò)交換機連接�����。所述的網(wǎng)絡(luò)防火墻采用Juniper網(wǎng)絡(luò)公司的ISG 1000�,并設(shè)有2臺,進行雙機熱備冗余��。所述的IPS采用McAfee公司的基于McAfee IntruShield技術(shù)的IPS���,并設(shè)有兩臺���。所述的ISA服務(wù)器為安裝有微軟ISA2006的服務(wù)器,并設(shè)有2臺����。
所述的通信線路包括電信專線、網(wǎng)通專線�����。
3
與現(xiàn)有技術(shù)相比���,本發(fā)明具有安全性高���、可靠性強1、采用2臺網(wǎng)絡(luò)防火墻��,進行雙機熱備冗余��,保證設(shè)備的高可用性����。2、使用電信和網(wǎng)通的雙線路連接模式����,采用雙線路接入方式實現(xiàn)南北互聯(lián)互通以及線路的高可用性。3��、采用兩臺基于McAfee IntruShield技術(shù)的Mcafee IPS��,具有高自動化和易管理性��,設(shè)計靈活,能夠分階段執(zhí)行��,克服了老舊入侵檢測系統(tǒng)中固有的誤報率����,也使用戶能夠配置合適的策略,以阻止獨特IT基礎(chǔ)架構(gòu)中的攻擊���。
圖1為本發(fā)明的結(jié)構(gòu)示意圖����。
具體實施例方式下面結(jié)合附圖和具體實施例對本發(fā)明進行詳細說明�。實施例如圖1所示,一種基于防火墻與IPS的網(wǎng)絡(luò)系統(tǒng)����,包括網(wǎng)絡(luò)交換機5、服務(wù)器群6����、 客戶端群7、Internet 1��,所述的網(wǎng)絡(luò)交換機5分別與服務(wù)器群6����、客戶端群7連接�����,還包括通信線路、網(wǎng)絡(luò)防火墻2���、IPS 3�����、ISA服務(wù)器4�����,所述的hternet 1通過通信線路與網(wǎng)絡(luò)防火墻2連接���,所述的網(wǎng)絡(luò)防火墻2、IPS 3����、ISA服務(wù)器4依次連接,所述的ISA服務(wù)器4與網(wǎng)絡(luò)交換機5連接�����。所述的通信線路包括電信專線8、網(wǎng)通專線9�。采用Juniper網(wǎng)絡(luò)公司的ISG1000以及McAfee公司的IPS系統(tǒng)組件安全可靠的企業(yè)網(wǎng)絡(luò)。通過Juniper ISG 1000作為業(yè)務(wù)線路接入的網(wǎng)絡(luò)防火墻2�����。為了更好的保證設(shè)備服務(wù)質(zhì)量�����,我們建議使用兩臺ISG 1000作雙機熱備(HA)���,保證設(shè)備的高可用性�。使用電信和網(wǎng)通的雙線路連接模式���,建議安裝光纖獨享線路���,采用雙線路接入方式實現(xiàn)南北互聯(lián)互通以及線路的高可用性。Juniper的最新專屬定制的系統(tǒng)采用模塊化設(shè)計及獨特的處理架構(gòu)-包括基于 Juniper的新型第四代ASIC芯片的整合了防火墻及VPN功能�����,不久的將來還可整合完善的入侵檢測與防護(IDP)功能。Jimiper-ISG 1000具備卓越的性能��,以及靈活性和可擴展性����, 從而有效抵御今天和未來日益復雜的網(wǎng)絡(luò)威脅。Juniper-ISG 1000是企業(yè)���、電信運營商和數(shù)據(jù)中心的網(wǎng)管人員的理想選擇,可幫助他們有效應(yīng)對不斷增加且更為隱蔽的網(wǎng)絡(luò)攻擊���,同時確保超卓的網(wǎng)絡(luò)性能�,平衡有限的網(wǎng)絡(luò)資源和預算��。增加兩臺基于McAfee htruSiield技術(shù)的IPS�,McAfee htruSiield是使用最前沿技術(shù),能夠在關(guān)鍵系統(tǒng)受到攻擊之前阻止“網(wǎng)絡(luò)”入侵行為的產(chǎn)品�。具有高自動化和易管理性,設(shè)計靈活���,能夠分階段執(zhí)行��,克服了老舊入侵檢測系統(tǒng)中固有的誤報率�,也使用戶能夠配置合適的策略,以阻止獨特IT基礎(chǔ)架構(gòu)中的攻擊�。Juniper ISG 1000 具備高達 IGbps 的防火墻速率及 IGbps 3DES/AES IPSec VPN速率,還可支持2�����,000個VPN通道���,256�����,000個并發(fā)會話��,每秒20��,000個新會話��,250 個VLAN���。以上增強的性能是通過將幾項靈活的處理功能相結(jié)合實現(xiàn)的包括高性能雙
4GHz CPU管理模塊、現(xiàn)場可編程門陣列(FPGA)��、以及新一代ASIC芯片Gigakreen3 ASIC���。 GigaScreen3ASIC是業(yè)內(nèi)第一個具備千兆速率����,硬件加速AES和3DES加密以及對任何大小的數(shù)據(jù)包進行千兆以上防火墻監(jiān)測的可編程ASIC芯片。與上一代相比����,第四代ASIC芯片的性能提高了一倍,防火墻包處理速度(pps)高達每秒150萬�,加密數(shù)據(jù)包處理速度高達每秒150萬,同時處理任何大小的數(shù)據(jù)包均保證傳輸流量的低延遲�����,這種特性對VoIP等新的應(yīng)用來講非常關(guān)鍵����。另外��,多重內(nèi)嵌的處理器提升了拒絕服務(wù)式攻擊(DoS)防護及加密碎片的功能����,同時具備透過軟件升級而未來進行新增功能的特性。此外�����,Juniper-ISG 1000系統(tǒng)架構(gòu)的獨特設(shè)計可支持線速防火墻和VPN包處理功能,同時執(zhí)行基于安全策略����,將個別會話另行導向特定的安全模塊,以進行進一步的安全處理��,額外的安全處理所需的特定安全模塊的會話重置���。GigMcreen 3ASIC可平衡處理多達三個安全模塊的所有會話�����,而每一個模塊都具備雙GHz中央處理器(CPU)��,一個現(xiàn)場可編程門陣列(FPGAs)及內(nèi)存����,以運行入侵檢測與防護(IDP)等額外的安全應(yīng)用���。除了設(shè)計獨特的系統(tǒng)��,Juniper-ISG 1000的用戶還可受益于Juniper的操作系統(tǒng)軟件kreenOS中的網(wǎng)絡(luò)和安全功能��,其中包括深層監(jiān)測防火墻技術(shù)����,基于動態(tài)路由的VPN 及虛擬系統(tǒng)功能,還包括對BGP��,RIPv2及OSPF路由協(xié)議的支持�����,從而可簡化多種復雜環(huán)境下的設(shè)備部署�����。ISG1000系統(tǒng)中也可以集成IDP(入侵防護)模塊�,該模塊采用了多種檢測方法和強大的簽名定制功能,可提供在線攻擊防護功能�����,來防止惡意攻擊��、蠕蟲����、病毒和特洛伊等對內(nèi)部網(wǎng)絡(luò)敏感資源的竊取和破壞,可以有效地識別并阻止您網(wǎng)絡(luò)中的攻擊�,從而最大限度地縮短處理入侵的時間并降低成本。同時���,ISG1000系統(tǒng)還具備雙主動(ActSSL VPN-ActSSL VPN)或主動-被動(ActSSL VPN-PassSSL VPN)模式的高可用性選擇�,該功能可避免單點故障�����,將網(wǎng)絡(luò)連通性及生產(chǎn)力最大化�����。使用ISA服務(wù)器�����,即增加了網(wǎng)絡(luò)關(guān)口的安全(ISA是一款非常高效的網(wǎng)絡(luò)防火墻)�, 又可以結(jié)合AD充分控制用戶的hternet權(quán)限。McAfee IntruSiield基于完整的攻擊分析方法����,并引入了業(yè)界最為全面的網(wǎng)絡(luò)攻擊特征檢測、異常檢測以及拒絕服務(wù)攻擊檢測技術(shù),除了可以防御已知攻擊���,還可以防御未知的蠕蟲���、攻擊和后門程序,抵御拒絕服務(wù)攻擊等���。McAfee htruShield的主要功能可以概括為防護各種威脅防護已知攻擊為了實現(xiàn)高性能的網(wǎng)絡(luò)攻擊特征檢測��,McAfee IntruShield體系采用創(chuàng)新的專利技術(shù)���,而且集成了全面的狀態(tài)檢測引擎、完善的特征規(guī)范語言�、“用戶自定義特征”以及實時特征更新,確保能夠提供并維護業(yè)界最為全面�����、更新最及時的攻擊簽名數(shù)據(jù)庫����。異常檢測-防護未知攻擊異常檢測技術(shù)為McAfee Intri^hield全面的簽名檢測功能提供了完美的補充���, 異常檢測技術(shù)使得網(wǎng)絡(luò)工程師能夠?qū)ν话l(fā)威脅或首次攻擊進行攔截��,并創(chuàng)建出一套完整的 “異常檔案”�����,從而保護網(wǎng)絡(luò)免受未知攻擊的騷擾�����。防護拒絕服務(wù)攻擊McAfee IntruShield體系綜合應(yīng)用多種DoS/DDoS防護技術(shù)��,解決可能面臨的拒絕服務(wù)攻擊威脅����。入侵防護McAfee IntruSiield為網(wǎng)絡(luò)安全管理員提供了一整套手動的和自動的響應(yīng)措施, 并以此構(gòu)建企業(yè)信息安全策略的基礎(chǔ)���?��?梢詫崿F(xiàn)以下響應(yīng)功能
攔截攻擊;
終止會話���;
修改防火墻策略���;
啟動網(wǎng)絡(luò)訪問控制的策略
實時警報�����;
對數(shù)據(jù)包進行日志記錄���。
權(quán)利要求
1.一種基于防火墻與IPS的網(wǎng)絡(luò)系統(tǒng),包括網(wǎng)絡(luò)交換機��、服務(wù)器群�����、客戶端群�����、 Internet�����,所述的網(wǎng)絡(luò)交換機分別與服務(wù)器群�、客戶端群連接,其特征在于�����,還包括通信線路��、網(wǎng)絡(luò)防火墻�����、IPS��、ISA服務(wù)器�,所述的hternet通過通信線路與網(wǎng)絡(luò)防火墻連接,所述的網(wǎng)絡(luò)防火墻���、IPS�����、ISA服務(wù)器依次連接��,所述的ISA服務(wù)器與網(wǎng)絡(luò)交換機連接����。
2.根據(jù)權(quán)利要求1所述的一種基于防火墻與IPS的網(wǎng)絡(luò)系統(tǒng)���,其特征在于���,所述的網(wǎng)絡(luò)防火墻采用Juniper網(wǎng)絡(luò)公司的ISG 1000���,并設(shè)有2臺,進行雙機熱備冗余���。
3.根據(jù)權(quán)利要求1所述的一種基于防火墻與IPS的網(wǎng)絡(luò)系統(tǒng)���,其特征在于,所述的IPS 采用McAfee公司的基于McAfee IntruShield技術(shù)的IPS���,并設(shè)有兩臺�����。
4.根據(jù)權(quán)利要求1所述的一種基于防火墻與IPS的網(wǎng)絡(luò)系統(tǒng)���,其特征在于,所述的ISA 服務(wù)器為安裝有微軟ISA2006的服務(wù)器����,并設(shè)有2臺�。
5.根據(jù)權(quán)利要求1所述的一種基于防火墻與IPS的網(wǎng)絡(luò)系統(tǒng)��,其特征在于�,所述的通信線路包括電信專線、網(wǎng)通專線�����。
全文摘要
本發(fā)明涉及一種基于防火墻與IPS的網(wǎng)絡(luò)系統(tǒng)�,包括網(wǎng)絡(luò)交換機����、服務(wù)器群、客戶端群��、Internet�,所述的網(wǎng)絡(luò)交換機分別與服務(wù)器群、客戶端群連接�����,還包括通信線路�、網(wǎng)絡(luò)防火墻、IPS���、ISA服務(wù)器��,所述的Internet通過通信線路與網(wǎng)絡(luò)防火墻連接����,所述的網(wǎng)絡(luò)防火墻、IPS���、ISA服務(wù)器依次連接�,所述的ISA服務(wù)器與網(wǎng)絡(luò)交換機連接���。與現(xiàn)有技術(shù)相比����,本發(fā)明具有安全性高��、可靠性強等優(yōu)點���。
文檔編號H04L1/22GK102347935SQ20101024183
公開日2012年2月8日 申請日期2010年7月30日 優(yōu)先權(quán)日2010年7月30日
發(fā)明者李川 申請人:上海憶通廣達信息技術(shù)有限公司