本發(fā)明公開了一種對互聯(lián)網(wǎng)站進(jìn)行監(jiān)測阻斷的高效方法,尤其是一種基于串并結(jié)合的互聯(lián)網(wǎng)站管控分離方法。
背景技術(shù):
隨著信息技術(shù)的發(fā)展和互聯(lián)網(wǎng)管理技術(shù)手段的進(jìn)步,idc業(yè)務(wù)得到了長足的發(fā)展,國家對idc機(jī)房的信息安全管理提出了更高的要求,并且要求所有idc企業(yè)都要上idc信息安全管理系統(tǒng),以實(shí)現(xiàn)idc機(jī)房內(nèi)網(wǎng)站數(shù)據(jù)的采集、分析、處理、過濾。從技術(shù)實(shí)現(xiàn)上來看,idc信息安全管理系統(tǒng)有串接和并接兩種部署方式,串接部署方式可以實(shí)現(xiàn)良好的不良網(wǎng)站過濾效果,但需要的投入較高、對接入商idc機(jī)房網(wǎng)絡(luò)的影響較大;并接的部署方式投入較少、對接入商idc機(jī)房網(wǎng)絡(luò)的影響較小,但過濾的效果相對較差,如何有效利用串接和并接兩種產(chǎn)品的優(yōu)勢,尋找一種既節(jié)省成本又能達(dá)到過濾效果的最優(yōu)解決方案,就成為擺在行業(yè)監(jiān)管部門和idc企業(yè)面前的一道難題。
本發(fā)明提出并實(shí)現(xiàn)了采用串并結(jié)合的方式實(shí)現(xiàn)互聯(lián)網(wǎng)站管控分離,即對idc機(jī)房部署探針設(shè)備的方式采用串并結(jié)合以達(dá)到管控分離效率最大化、效果最優(yōu)化。
技術(shù)實(shí)現(xiàn)要素:
本發(fā)明是為解決串接和并接兩種互聯(lián)網(wǎng)站監(jiān)管技術(shù)各自存在的弊端而設(shè)計的方法,該方法既解決串接鏈路下數(shù)據(jù)處理探針異常中斷而造成idc機(jī)房業(yè)務(wù)整體中斷的風(fēng)險,又解決并接鏈路下數(shù)據(jù)處理探針不能實(shí)現(xiàn)百分百封堵問題網(wǎng)站的風(fēng)險,兩者結(jié)合,大大提高了idc機(jī)房互聯(lián)網(wǎng)站管控的綜合效果,實(shí)現(xiàn)“管、控”分離的最優(yōu)解決方法。
本發(fā)明采用以下技術(shù)方案實(shí)現(xiàn):一種基于串并結(jié)合的互聯(lián)網(wǎng)站管控分離方法,包括核心交換區(qū)域、數(shù)據(jù)業(yè)務(wù)區(qū)域、監(jiān)控區(qū)域和管控區(qū)域,其中:
數(shù)據(jù)業(yè)務(wù)區(qū)域采用交換機(jī)端口鏡像或者光路分光的方式,將出口鏈路的上行和下行流量分別通過ge電口或光纖連接到流量過濾控制器。
監(jiān)控區(qū)域的流量過濾控制器獲取到數(shù)據(jù)流量后,將需要處理的數(shù)據(jù)進(jìn)行采集過濾后,通過ge*n電口連接到數(shù)據(jù)處理探針設(shè)備,進(jìn)行數(shù)據(jù)處理和分析。數(shù)據(jù)處理探針,通過ge電口連接交換機(jī),進(jìn)行數(shù)據(jù)通信和信息監(jiān)控。交換機(jī)連接防火墻后,接入企業(yè)互聯(lián)網(wǎng)出口核心交換/路由設(shè)備。
管控區(qū)域通過交換機(jī)獲取分光流量后,將需要處理的數(shù)據(jù)進(jìn)行過濾后,直接丟棄并阻斷,通過ge*n電口/光口連接到出口鏈路上,實(shí)現(xiàn)串接阻斷。數(shù)據(jù)處理探針,通過ge電口連接交換機(jī),進(jìn)行數(shù)據(jù)通信。交換機(jī)連接防火墻后,接入企業(yè)互聯(lián)網(wǎng)出口核心交換/路由設(shè)備。
本發(fā)明具有以下優(yōu)點(diǎn):
1、通過互聯(lián)網(wǎng)站監(jiān)管要求,對互聯(lián)網(wǎng)站信息進(jìn)行監(jiān)測管控策略和阻斷管控策略,實(shí)現(xiàn)互聯(lián)網(wǎng)站信息的實(shí)時動態(tài)監(jiān)測和及時有效阻斷,提高互聯(lián)網(wǎng)有害信息的發(fā)現(xiàn)和阻斷效果。
2、對比串并接部署方式優(yōu)缺點(diǎn),利用串接和并接在實(shí)際使用中的優(yōu)勢,做到功能互補(bǔ)、揚(yáng)長避短的效果,使得在互聯(lián)網(wǎng)站監(jiān)管中有的放矢的合理利用現(xiàn)網(wǎng)環(huán)境資源。串并結(jié)合的方式充分考慮單獨(dú)串接或者并接存在的優(yōu)缺點(diǎn),相互結(jié)合,既提高了監(jiān)測封堵效果,又確保某一鏈路中斷而不影響現(xiàn)網(wǎng)的業(yè)務(wù)監(jiān)管,大大提高了用戶對idc機(jī)房的數(shù)據(jù)管控工作。
3、利用路由器的功能特點(diǎn),實(shí)現(xiàn)對串并結(jié)合方式下優(yōu)化策略處理機(jī)制,使得管控策略更智能化、自動化。
4、通過串并結(jié)合的方式部署現(xiàn)網(wǎng)環(huán)境探針設(shè)備,從物理環(huán)境上有效做到管控分離,充分利用了串接和并接的優(yōu)勢,串接實(shí)現(xiàn)過濾、并接實(shí)現(xiàn)監(jiān)測,實(shí)現(xiàn)“管得住、控得了”的idc機(jī)房業(yè)務(wù)的監(jiān)管處理。
附圖說明
圖1一種串接鏈路部署方式的網(wǎng)絡(luò)拓?fù)涫疽鈭D;
圖2一種串接鏈路部署方式的鏈路異常中斷網(wǎng)絡(luò)示意圖;
圖3一種并接鏈路部署方式的網(wǎng)絡(luò)拓?fù)涫疽鈭D;
圖4一種并接鏈路部署方式的鏈路異常中斷網(wǎng)絡(luò)示意圖;
圖5一種串并結(jié)合部署方式的網(wǎng)絡(luò)拓?fù)涫疽鈭D。
圖1包括:核心交換區(qū)域包括互聯(lián)網(wǎng)、核心交換機(jī);流量過濾控制器組;數(shù)據(jù)處理探針;業(yè)務(wù)交換機(jī);數(shù)據(jù)分析處理器;鏈路保護(hù)設(shè)備;idc機(jī)房網(wǎng)站。
圖2包括:核心交換區(qū)域包括互聯(lián)網(wǎng)、核心交換機(jī);流量過濾控制器組;數(shù)據(jù)處理探針;業(yè)務(wù)交換機(jī);數(shù)據(jù)分析處理器;鏈路保護(hù)設(shè)備;idc機(jī)房網(wǎng)站。
圖3包括:核心交換區(qū)域包括互聯(lián)網(wǎng)、核心交換機(jī);業(yè)務(wù)交換機(jī);分光器組;流量過濾控制器組;數(shù)據(jù)處理探針;數(shù)據(jù)分析處理器;idc機(jī)房網(wǎng)站。
圖4包括:核心交換區(qū)域包括互聯(lián)網(wǎng)、核心交換機(jī);業(yè)務(wù)交換機(jī);分光器組;流量過濾控制器組;數(shù)據(jù)處理探針;數(shù)據(jù)分析處理器;idc機(jī)房網(wǎng)站。
圖5包括:核心交換區(qū)域包括互聯(lián)網(wǎng)、核心交換機(jī);數(shù)據(jù)業(yè)務(wù)區(qū)域包括業(yè)務(wù)交換機(jī)、分光器組、idc機(jī)房網(wǎng)站;監(jiān)控區(qū)域包括流量過濾控制器組、數(shù)據(jù)處理探針、數(shù)據(jù)分析處理器、業(yè)務(wù)交換機(jī);管控區(qū)域包括數(shù)據(jù)處理探針、鏈路保護(hù)設(shè)備、業(yè)務(wù)交換機(jī)。
具體實(shí)施方式
下面結(jié)合附圖和實(shí)施例對本發(fā)明進(jìn)行詳細(xì)說明。
如圖1所示是一種串接鏈路部署方式的網(wǎng)絡(luò)拓?fù)涫疽鈭D,串接鏈路方式實(shí)施中是將出口鏈路的上行和下行分別通過ge電口或光纖連接到流量過濾控制器,經(jīng)過處理后,再通過流量過濾控制器返回正常出口鏈路設(shè)備,保證鏈路暢通。
數(shù)據(jù)處理探針發(fā)送黑名單到流量過濾控制器,將需要處理的數(shù)據(jù)進(jìn)行過濾后,直接丟棄并阻斷,通過ge*n電口/光口連接到出口鏈路上,實(shí)現(xiàn)串接阻斷。數(shù)據(jù)處理探針,通過ge電口連接交換機(jī),進(jìn)行數(shù)據(jù)通信。
交換機(jī)連接防火墻后,接入企業(yè)互聯(lián)網(wǎng)出口核心交換/路由設(shè)備。
圖2是一種串接鏈路部署方式的鏈路異常中斷網(wǎng)絡(luò)示意圖,串接鏈路方式實(shí)施中數(shù)據(jù)處理探針一旦出現(xiàn)異常中斷,鏈路保護(hù)設(shè)備瞬間啟動,以保證設(shè)備故障時,鏈路不中斷,不影響現(xiàn)網(wǎng)環(huán)境下idc機(jī)房網(wǎng)站的正常業(yè)務(wù),對idc機(jī)房網(wǎng)站將失去監(jiān)測和封堵處理的功能。
串接鏈路部署方式優(yōu)缺點(diǎn)說明:
圖3是一種并接鏈路部署方式的網(wǎng)絡(luò)拓?fù)涫疽鈭D,并接鏈路方式實(shí)施中是采用交換機(jī)端口鏡像或者光路分光的方式,將出口鏈路的上行和下行流量分別通過ge電口或光纖連接到流量過濾控制器。
流量過濾控制器將需要處理的數(shù)據(jù)進(jìn)行采集過濾后,通過ge*n電口連接到數(shù)據(jù)處理探針設(shè)備,進(jìn)行數(shù)據(jù)處理和分析。
數(shù)據(jù)處理探針,通過ge電口連接交換機(jī),進(jìn)行數(shù)據(jù)通信和發(fā)送阻斷包。
交換機(jī)連接防火墻后,接入企業(yè)互聯(lián)網(wǎng)出口核心交換/路由設(shè)備。
圖4是一種并接鏈路部署方式的鏈路異常中斷網(wǎng)絡(luò)示意圖,并接鏈路方式實(shí)施中數(shù)據(jù)處理探針一旦出現(xiàn)異常中斷,不影響用戶現(xiàn)網(wǎng)idc機(jī)房網(wǎng)絡(luò)環(huán)境正常業(yè)務(wù)的運(yùn)行。
并接鏈路異常中斷后,鏈路交換機(jī)通過端口鏡像或者光路分光的方式,將出口鏈路的上行和下行流量分別通過ge電口或光纖連接到業(yè)務(wù)交換機(jī),idc機(jī)房網(wǎng)站將訪問請求結(jié)果通過業(yè)務(wù)交換機(jī)返回用戶。
數(shù)據(jù)處理探針一旦出現(xiàn)異常中斷,則對idc機(jī)房網(wǎng)站將失去監(jiān)測和封堵處理的功能。
并接鏈路部署方式優(yōu)缺點(diǎn)說明:
圖5所示為本發(fā)明基于串并結(jié)合的互聯(lián)網(wǎng)站管控分離方法,包括核心交換區(qū)域、數(shù)據(jù)業(yè)務(wù)區(qū)域、監(jiān)控區(qū)域和管控區(qū)域,
串并結(jié)合鏈路方式實(shí)施中是將串接和并接方式分別部署于idc機(jī)房進(jìn)行數(shù)據(jù)管控,通過互聯(lián)網(wǎng)站監(jiān)管系統(tǒng)設(shè)計要求實(shí)現(xiàn)管控策略選取執(zhí)行鏈路。在串并結(jié)合鏈路方式實(shí)施中需要配置路由策略進(jìn)行人工或自動干預(yù),確保鏈路執(zhí)行中自動靈活。
其中:
數(shù)據(jù)業(yè)務(wù)區(qū)域采用交換機(jī)端口鏡像或者光路分光的方式,將出口鏈路的上行和下行流量分別通過ge電口或光纖連接到流量過濾控制器。
監(jiān)控區(qū)域的流量過濾控制器獲取到數(shù)據(jù)流量后,將需要處理的數(shù)據(jù)進(jìn)行采集過濾后,通過ge*n電口連接到數(shù)據(jù)處理探針設(shè)備,進(jìn)行數(shù)據(jù)處理和分析。數(shù)據(jù)處理探針,通過ge電口連接交換機(jī),進(jìn)行數(shù)據(jù)通信和信息監(jiān)控。交換機(jī)連接防火墻后,接入企業(yè)互聯(lián)網(wǎng)出口核心交換/路由設(shè)備。
管控區(qū)域通過交換機(jī)獲取分光流量后,將需要處理的數(shù)據(jù)進(jìn)行過濾后,直接丟棄并阻斷,通過ge*n電口/光口連接到出口鏈路上,實(shí)現(xiàn)串接阻斷。數(shù)據(jù)處理探針,通過ge電口連接交換機(jī),進(jìn)行數(shù)據(jù)通信。交換機(jī)連接防火墻后,接入企業(yè)互聯(lián)網(wǎng)出口核心交換/路由設(shè)備。
串并結(jié)合的方式充分考慮單獨(dú)串接或者并接存在的優(yōu)缺點(diǎn),相互結(jié)合,既提高了監(jiān)測封堵效果,又確保某一鏈路中斷而不影響現(xiàn)網(wǎng)的業(yè)務(wù)監(jiān)管,大大提高了用戶對idc機(jī)房的數(shù)據(jù)管控工作。
本發(fā)明充分利用了串接和并接的優(yōu)勢,串接實(shí)現(xiàn)過濾、并接實(shí)現(xiàn)監(jiān)測,實(shí)現(xiàn)“管得住、控得了”的idc機(jī)房業(yè)務(wù)的監(jiān)管處理。
本發(fā)明的idc信息安全系統(tǒng)建設(shè)分為兩部分,管理控制端和探針設(shè)備端,其中機(jī)房探針采用串接方式和并接方式混合的部署模式,通過并接部署設(shè)備實(shí)現(xiàn)監(jiān)測,即所謂的“管”;通過串接設(shè)備實(shí)現(xiàn)過濾,即所謂的“控”;依據(jù)并接的設(shè)備進(jìn)行監(jiān)測發(fā)現(xiàn)問題,通過路由指向把有問題的流量引導(dǎo)到串接部署的鏈路上,實(shí)現(xiàn)對問題流量和網(wǎng)站的過濾控制。對于監(jiān)測策略和阻斷策略,通過串接、并接、人工路由、自動路由等方式的組合,實(shí)現(xiàn)互聯(lián)網(wǎng)站管控有效分離方法。本方法實(shí)現(xiàn)的系統(tǒng)具有策略的自動分析、自動執(zhí)行、靈活組合、處理效率高等優(yōu)勢,對于網(wǎng)絡(luò)鏈路的安全性、可靠性都有明顯優(yōu)勢,同時能夠根據(jù)不同策略緊急程度采取的實(shí)現(xiàn)方式具有較高的時效性。