專利名稱:一種網(wǎng)絡(luò)安全系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本實用新型屬于網(wǎng)絡(luò)技術(shù)領(lǐng)域,尤其涉及一種網(wǎng)絡(luò)安全系統(tǒng)。
背景技術(shù):
互聯(lián)網(wǎng)的廣泛應用使信息交流變得更加便利和快捷,其改變了傳統(tǒng)的辦公方式, 且一臺計算機在屬于一個內(nèi)部網(wǎng)絡(luò)的同時,又能直接與外部網(wǎng)絡(luò)進行通信,極大地提高了人們的工作效率。然而,上述方式卻也帶來了嚴重的網(wǎng)絡(luò)安全問題,黑客利用網(wǎng)絡(luò)進行數(shù)據(jù)竊取、病毒通過網(wǎng)絡(luò)蔓延導致內(nèi)網(wǎng)崩潰或重要數(shù)據(jù)丟失,諸如此類的事件頻繁發(fā)生,使得網(wǎng)絡(luò)安全問題越來越受到人們的重視。為了保證內(nèi)網(wǎng)與外網(wǎng)通信的安全,提高內(nèi)網(wǎng)的自我保護能力,傳統(tǒng)的網(wǎng)絡(luò)安全解決方案通過軟件來實現(xiàn)內(nèi)網(wǎng)與外網(wǎng)的邏輯隔離,例如現(xiàn)有的防火墻、代理服務(wù)器、入侵檢測等安全產(chǎn)品,然而,采用軟件的解決方案則意味著網(wǎng)絡(luò)安全體系可以被人為地操控或者破壞,網(wǎng)絡(luò)數(shù)據(jù)容易外泄,網(wǎng)絡(luò)安全得不到強有力的保障。
實用新型內(nèi)容本實用新型的目的在于提供一種網(wǎng)絡(luò)安全系統(tǒng),旨在解決現(xiàn)有的內(nèi)網(wǎng)與外網(wǎng)邏輯隔離導致網(wǎng)絡(luò)數(shù)據(jù)容易外泄的問題。本實用新型是這樣實現(xiàn)的,一種網(wǎng)絡(luò)安全系統(tǒng),包括第一交換機和第二交換機,所述系統(tǒng)還包括至少一臺與所述第一交換機連接,用于提供遠程終端服務(wù)的遠程終端服務(wù)器;與所述第一交換機和所述第二交換機連接的隔離服務(wù)器;所述隔離服務(wù)器包括與所述第一交換機連接,用于接入外網(wǎng)的第一網(wǎng)卡;與所述第二交換機連接,用于接入內(nèi)網(wǎng)的第二網(wǎng)卡;還包括與所述第一網(wǎng)卡和所述第二網(wǎng)卡連接,用于為多臺內(nèi)網(wǎng)計算機同時提供連接到所述遠程終端服務(wù)器的通道的遠程端口路由。進一步地,所述系統(tǒng)還包括與所述第一交換機連接,用于禁止所述遠程終端服務(wù)器以外的網(wǎng)絡(luò)設(shè)備訪問外網(wǎng)的防火墻。進一步地,所述系統(tǒng)還包括與所述第二交換機連接,用于過濾和備份來自內(nèi)網(wǎng)計算機的郵件的郵箱服務(wù)器。進一步地,所述系統(tǒng)還包括與所述郵箱服務(wù)器和多臺內(nèi)網(wǎng)計算機連接的第三交換機。進一步地,所述郵箱服務(wù)器包括與所述第二交換機和所述第三交換機連接,用于接入內(nèi)網(wǎng)的第三網(wǎng)卡。進一步地,所述系統(tǒng)還包括[0021]與所述第一交換機和所述第二交換機連接,用于過濾和備份來自內(nèi)網(wǎng)計算機的郵件的郵箱服務(wù)器。進一步地,所述郵箱服務(wù)器包括與所述第一交換機連接,用于接入外網(wǎng)的第四網(wǎng)卡;與所述第二交換機連接,用于接入內(nèi)網(wǎng)的第五網(wǎng)卡。本實用新型實施例采用隔離服務(wù)器來對內(nèi)網(wǎng)與外網(wǎng)進行物理隔離,并通過隔離服務(wù)器為內(nèi)網(wǎng)計算機建立起連接到遠程終端服務(wù)器的外網(wǎng)訪問通道,避免了因為本地直接上網(wǎng)而導致的數(shù)據(jù)安全問題,保障了網(wǎng)絡(luò)安全。
圖1是本實用新型第一實施例提供的網(wǎng)絡(luò)安全系統(tǒng)的系統(tǒng)架構(gòu)圖;圖2是本實用新型第二實施例提供的網(wǎng)絡(luò)安全系統(tǒng)的系統(tǒng)架構(gòu)圖;圖3是本實用新型第三實施例提供的網(wǎng)絡(luò)安全系統(tǒng)的系統(tǒng)架構(gòu)圖;圖4是本實用新型第四實施例提供的網(wǎng)絡(luò)安全系統(tǒng)的系統(tǒng)架構(gòu)圖。
具體實施方式
為了使本實用新型的目的、技術(shù)方案及優(yōu)點更加清楚明白,
以下結(jié)合附圖及實施例,對本實用新型進行進一步詳細說明。應當理解,此處所描述的具體實施例僅僅用以解釋本實用新型,并不用于限定本實用新型。本實用新型實施例采用隔離服務(wù)器來對內(nèi)網(wǎng)與外網(wǎng)進行物理隔離,并通過隔離服務(wù)器為內(nèi)網(wǎng)計算機建立起連接到遠程終端服務(wù)器的外網(wǎng)訪問通道,避免了因為本地直接上網(wǎng)而導致的數(shù)據(jù)安全問題,保障了網(wǎng)絡(luò)安全。圖1示出了本實用新型第一實施例提供的網(wǎng)絡(luò)安全系統(tǒng)的系統(tǒng)架構(gòu),為了便于說明,僅示出了與本實施例相關(guān)的部分。參照圖1,該網(wǎng)絡(luò)安全系統(tǒng)包括隔離服務(wù)器11、至少一臺遠程終端服務(wù)器12、第一交換機13和第二交換機14,且隔離服務(wù)器11與遠程終端服務(wù)器12通過第一交換機13連接,遠程終端服務(wù)器12提供訪問外網(wǎng)的遠程終端服務(wù),隔離服務(wù)器11與內(nèi)網(wǎng)計算機通過第二交換機14連接,內(nèi)網(wǎng)用戶則通過隔離服務(wù)器11連接到遠程終端服務(wù)器12上進行外網(wǎng)訪問。具體地隔離服務(wù)器11包括了 與第一交換機13連接的第一網(wǎng)卡111,在本實施例中,通過為第一網(wǎng)卡111配置外網(wǎng)IP地址,使隔離服務(wù)器11能夠接入外網(wǎng)側(cè)。與第一交換機13連接的第二網(wǎng)卡112,在本實施例中,通過為第二網(wǎng)卡112配置內(nèi)網(wǎng)IP地址,將隔離服務(wù)器11連接至內(nèi)網(wǎng)側(cè),通過第二交換機14與內(nèi)網(wǎng)計算機建立通信。在本實施例中,通過分別設(shè)置用于連接內(nèi)網(wǎng)和外網(wǎng)的兩個網(wǎng)卡,從而對內(nèi)網(wǎng)和外網(wǎng)進行物理隔離。隔離服務(wù)器11還包括遠程端口路由113,其同時連接第一網(wǎng)卡111與第二網(wǎng)卡112,為內(nèi)網(wǎng)計算機訪問外網(wǎng)提供遠程端口路由,使得內(nèi)網(wǎng)計算機能夠通過隔離服務(wù)器11連接到遠程終端服務(wù)器12以進行外網(wǎng)訪問。在本實施例中,隔離服務(wù)器11只對內(nèi)網(wǎng)計算機提供遠程端口路由功能,而不提供數(shù)據(jù)包轉(zhuǎn)發(fā)功能,由此避免了內(nèi)網(wǎng)計算機直接訪問外網(wǎng)的情況,有效保障了網(wǎng)絡(luò)的數(shù)據(jù)安全。在本實施例中,隔離服務(wù)器11需要運行在windows 2003 server及以上的軟件環(huán)境下以啟用遠程端口路由服務(wù)。遠程終端服務(wù)器12,其與第一交換機13連接,一方面通過第一交換機11建立起與隔離服務(wù)器11的連接,另一方面,其通過第一交換機11連接到外網(wǎng),以作為提供訪問外網(wǎng)的遠程終端服務(wù)的遠程終端服務(wù)器,實現(xiàn)同時為多個內(nèi)網(wǎng)計算機提供外網(wǎng)訪問服務(wù)。在本實施例中,優(yōu)選地,遠程終端服務(wù)器12需要運行在8核CPU及8G內(nèi)存以上的硬件環(huán)境,以及windows 2003 server以上的軟件環(huán)境之下,并啟用遠程終端服務(wù)以配置成為能夠訪問外網(wǎng)的遠程終端服務(wù)器。通常情況下,遠程終端服務(wù)器12可以為數(shù)量為200及以下的內(nèi)網(wǎng)計算機用戶同時提供網(wǎng)頁瀏覽、電子郵件、FTP等網(wǎng)絡(luò)服務(wù)。作為本實用新型的一個實施例,網(wǎng)絡(luò)安全系統(tǒng)中同時運行的遠程終端服務(wù)器可以有多臺,以適應數(shù)量為200以上的內(nèi)網(wǎng)計算機用戶同時進行外網(wǎng)訪問。需要說明的是,內(nèi)網(wǎng)計算機用戶通過遠程終端服務(wù)對外網(wǎng)進行訪問,由于隔離服務(wù)器11只提供遠程端口路由功能,而不提供數(shù)據(jù)包轉(zhuǎn)發(fā)功能,因此內(nèi)網(wǎng)計算機用戶是無法將本地數(shù)據(jù)上傳至外網(wǎng)的,而當用戶需要在外網(wǎng)下載數(shù)據(jù)時,則可以選擇將數(shù)據(jù)通過郵件形式發(fā)送至內(nèi)網(wǎng)郵箱,以在本地獲取到需要下載的數(shù)據(jù)。作為本實用新型的一個實施例,如圖1所示,通過在第一交換機13上連接防火墻 15,對訪問源IP進行過濾,以禁止除遠程終端服務(wù)器12以外的網(wǎng)絡(luò)設(shè)備對外網(wǎng)進行訪問, 從而進一步確保了內(nèi)網(wǎng)其他網(wǎng)絡(luò)設(shè)備必須經(jīng)由隔離服務(wù)器11連接到遠程終端服務(wù)器12才能實現(xiàn)對外網(wǎng)的訪問。在本實用新型實施例中,還可以設(shè)置用于過濾和備份內(nèi)網(wǎng)發(fā)送郵件的郵箱服務(wù)器,以進一步隔離內(nèi)網(wǎng)與外網(wǎng)之間的數(shù)據(jù)通信,保證郵件發(fā)送的數(shù)據(jù)安全。圖2示出了本實用新型第二實施例提供的網(wǎng)絡(luò)安全系統(tǒng)的系統(tǒng)架構(gòu),為了便于說明,僅示出了與本實施例相關(guān)的部分。在本實施例中,網(wǎng)絡(luò)安全系統(tǒng)在本實用新型第一實施例系統(tǒng)結(jié)構(gòu)的基礎(chǔ)上,還包括了郵箱服務(wù)器26和第三交換機27,其中郵箱服務(wù)器沈與第二交換機24、第三交換機27同時連接,內(nèi)網(wǎng)計算機通過第三交換機27將需要發(fā)送的郵件先傳送到郵箱服務(wù)器沈中進行郵件的過濾和備份,通過相關(guān)權(quán)限人員通過郵箱服務(wù)器26對內(nèi)網(wǎng)計算機發(fā)送的郵件進行審核后過濾,保障了郵件發(fā)送的數(shù)據(jù)安全,同時,還對發(fā)送的郵件進行備份,以避免因網(wǎng)絡(luò)崩潰而導致的數(shù)據(jù)丟失。當完成郵件的過濾與備份后,郵箱服務(wù)器26通過第二交換機M與隔離服務(wù)器21建立連接,通過隔離服務(wù)器21連接到遠程終端服務(wù)器22上,對經(jīng)過了過濾及備份的郵件進行發(fā)送。在本實施例中,郵箱服務(wù)器沈需要運行在采用磁盤陣列(Redundant Arrays of InexpensiveDisks, RAID)技術(shù)中的RAID 5規(guī)范,硬盤空間有2-3T及以上的硬件環(huán)境,以及 windows 2003 server及以上的軟件環(huán)境下,且需安裝配備了內(nèi)網(wǎng)IP地址的第三網(wǎng)卡。作為本實用新型的第三實施例,如圖3所示,內(nèi)網(wǎng)計算機和郵箱服務(wù)器36可以同時連接在第二交換機34上,內(nèi)網(wǎng)計算機通過第二交換機34將需要發(fā)送的郵件先傳送到郵箱服務(wù)器36中進行郵件的過濾和備份,而郵箱服務(wù)器36通過第二交換機34與隔離服務(wù)器 31建立連接,通過隔離服務(wù)器31連接到遠程終端服務(wù)器32上,對經(jīng)過了過濾及備份的郵件進行發(fā)送。作為本實用新型的第四實施例,如圖4所示,郵箱服務(wù)器46還可以與第一交換機 43和第二交換機44同時連接。在本實施例中,郵箱服務(wù)器46具體包括了 與第一交換機43連接的第四網(wǎng)卡461,該網(wǎng)卡配備了外網(wǎng)IP地址以接入外網(wǎng)同第一交換機43進行通信。與第二交換機44連接的第五網(wǎng)卡462,該網(wǎng)卡配備了內(nèi)網(wǎng)IP地址以接入內(nèi)網(wǎng)同第二交換機44進行通信。在本實施例中,郵箱服務(wù)器46也起到了類似于隔離服務(wù)器41對內(nèi)網(wǎng)和外網(wǎng)的隔離作用,內(nèi)網(wǎng)計算機同樣不能直接地連接到外網(wǎng),由內(nèi)網(wǎng)計算機發(fā)送的郵件需要經(jīng)過相關(guān)權(quán)限人員審核過濾后才由郵箱服務(wù)器46發(fā)送至外網(wǎng),起到了保障網(wǎng)絡(luò)數(shù)據(jù)的作用。本實用新型采用隔離服務(wù)器來對內(nèi)網(wǎng)與外網(wǎng)進行物理隔離,并通過隔離服務(wù)器為內(nèi)網(wǎng)計算機建立起連接到遠程終端服務(wù)器的外網(wǎng)訪問通道,使得內(nèi)網(wǎng)計算機無法直接連接到外網(wǎng),避免了因為本地直接上網(wǎng)而導致的數(shù)據(jù)外泄問題,保障了網(wǎng)絡(luò)安全。以上所述僅為本實用新型的較佳實施例而已,并不用以限制本實用新型,凡在本實用新型的精神和原則之內(nèi)所作的任何修改、等同替換和改進等,均應包含在本實用新型的保護范圍之內(nèi)。
權(quán)利要求1.一種網(wǎng)絡(luò)安全系統(tǒng),包括第一交換機和第二交換機,其特征在于,所述系統(tǒng)還包括 至少一臺與所述第一交換機連接,用于提供遠程終端服務(wù)的遠程終端服務(wù)器;與所述第一交換機和所述第二交換機連接的隔離服務(wù)器; 所述隔離服務(wù)器包括與所述第一交換機連接,用于接入外網(wǎng)的第一網(wǎng)卡; 與所述第二交換機連接,用于接入內(nèi)網(wǎng)的第二網(wǎng)卡;還包括與所述第一網(wǎng)卡和所述第二網(wǎng)卡連接,用于為多臺內(nèi)網(wǎng)計算機同時提供連接到所述遠程終端服務(wù)器的通道的遠程端口路由。
2.如權(quán)利要求1所述的系統(tǒng),其特征在于,所述系統(tǒng)還包括與所述第一交換機連接,用于禁止所述遠程終端服務(wù)器以外的網(wǎng)絡(luò)設(shè)備訪問外網(wǎng)的防火墻。
3.如權(quán)利要求1或2所述的系統(tǒng),其特征在于,所述系統(tǒng)還包括與所述第二交換機連接,用于過濾和備份來自內(nèi)網(wǎng)計算機的郵件的郵箱服務(wù)器。
4.如權(quán)利要求3所述的系統(tǒng),其特征在于,所述系統(tǒng)還包括 與所述郵箱服務(wù)器和多臺內(nèi)網(wǎng)計算機連接的第三交換機。
5.如權(quán)利要求4所述的系統(tǒng),其特征在于,所述郵箱服務(wù)器包括 與所述第二交換機和所述第三交換機連接,用于接入內(nèi)網(wǎng)的第三網(wǎng)卡。
6.如權(quán)利要求1或2所述的系統(tǒng),其特征在于,所述系統(tǒng)還包括與所述第一交換機和所述第二交換機連接,用于過濾和備份來自內(nèi)網(wǎng)計算機的郵件的郵箱服務(wù)器。
7.如權(quán)利要求6所述的系統(tǒng),其特征在于,所述郵箱服務(wù)器包括 與所述第一交換機連接,用于接入外網(wǎng)的第四網(wǎng)卡;與所述第二交換機連接,用于接入內(nèi)網(wǎng)的第五網(wǎng)卡。
專利摘要本實用新型適用于網(wǎng)絡(luò)技術(shù)領(lǐng)域,提供了一種網(wǎng)絡(luò)安全系統(tǒng),包括第一交換機和第二交換機,至少一臺與所述第一交換機連接,用于提供遠程終端服務(wù)的遠程終端服務(wù)器;與所述第一交換機和所述第二交換機連接的隔離服務(wù)器,包括與所述第一交換機連接,用于接入外網(wǎng)的第一網(wǎng)卡;與所述第二交換機連接,用于接入內(nèi)網(wǎng)的第二網(wǎng)卡;與所述第一網(wǎng)卡和所述第二網(wǎng)卡連接,用于為多臺內(nèi)網(wǎng)計算機同時提供連接到所述遠程終端服務(wù)器的通道的遠程端口路由。本實用新型采用隔離服務(wù)器來對內(nèi)網(wǎng)與外網(wǎng)進行物理隔離,并通過隔離服務(wù)器為內(nèi)網(wǎng)計算機建立起連接到遠程終端服務(wù)器的外網(wǎng)訪問通道,避免了因為本地直接上網(wǎng)而導致的數(shù)據(jù)安全問題,保障了網(wǎng)絡(luò)安全。
文檔編號H04L29/06GK202261380SQ20112035967
公開日2012年5月30日 申請日期2011年9月23日 優(yōu)先權(quán)日2011年9月23日
發(fā)明者劉德志 申請人:Tcl集團股份有限公司