專利名稱：基于防火墻與ips的網(wǎng)絡(luò)系統(tǒng)的制作方法
技術(shù)領(lǐng)域：
本發(fā)明涉及一種網(wǎng)絡(luò)系統(tǒng)，尤其是涉及一種基于防火墻與IPS的網(wǎng)絡(luò)系統(tǒng)。
背景技術(shù)：
隨著網(wǎng)絡(luò)應(yīng)用的普及和發(fā)展，網(wǎng)絡(luò)安全問(wèn)題成為整個(gè)IT產(chǎn)業(yè)廣泛關(guān)注的問(wèn)題。人們對(duì)網(wǎng)絡(luò)的可靠性、操作系統(tǒng)能否正常運(yùn)行、以及各種應(yīng)用軟件和系統(tǒng)設(shè)備是否會(huì)被病毒侵?jǐn)_或黑客攻擊的關(guān)注程度，超過(guò)了以往任何一個(gè)時(shí)代?？梢哉f(shuō)，網(wǎng)絡(luò)安全問(wèn)題已經(jīng)延伸到整個(gè)網(wǎng)絡(luò)體系結(jié)構(gòu)的任何一個(gè)層面。近兩年，防火墻、殺毒防毒軟件、入侵檢測(cè)和VPN產(chǎn)品的熱銷也說(shuō)明了這一點(diǎn)。網(wǎng)絡(luò)防火墻能夠提供常規(guī)路由器所不具備的，諸如IPSec協(xié)議支持、基于規(guī)則集的防火墻、基于OSPE V2路由協(xié)議的安全認(rèn)證、信息加密與分布式密鑰管理等功能；能夠?qū)崿F(xiàn)身份鑒別、數(shù)據(jù)簽名和數(shù)據(jù)完整性驗(yàn)證；能夠?qū)P數(shù)據(jù)包進(jìn)行智能加密，可提供安全VPN 通道、抗源地址欺騙、抗源路由攻擊、抗極小數(shù)據(jù)和抗重疊分片的分組過(guò)濾功能及實(shí)現(xiàn)基于硬件的信息加密；能夠阻止非授權(quán)人員的入侵等。入侵防御系統(tǒng)(IPS)是指具有檢測(cè)并阻止已知或未知攻擊的內(nèi)嵌硬件設(shè)備或軟件系統(tǒng)，它分為網(wǎng)絡(luò)入侵防御系統(tǒng)(Network Intrusion Prevention System，NIPS)和主機(jī)入侵防御系統(tǒng)(Host Intrusion Prevention System，HIPS)。NIPS —般部署于網(wǎng)絡(luò)的進(jìn)出口處，即在數(shù)據(jù)轉(zhuǎn)發(fā)的路徑上，可以根據(jù)預(yù)先設(shè)定的安全策略，對(duì)經(jīng)過(guò)的每個(gè)數(shù)據(jù)包進(jìn)行深度檢測(cè)，如協(xié)議分析跟蹤，流量統(tǒng)計(jì)分析、特征匹配、事件關(guān)聯(lián)分析等，一旦發(fā)現(xiàn)隱藏于其中的攻擊行為，則可以根據(jù)該攻擊的危險(xiǎn)級(jí)別立即采取相應(yīng)的防御措施，如丟棄報(bào)文、切斷應(yīng)用會(huì)話、切斷TCP連接、向管理中心報(bào)警等。

發(fā)明內(nèi)容
本發(fā)明的目的就是為了克服上述現(xiàn)有技術(shù)存在的缺陷而提供一種安全性高、可靠性強(qiáng)的基于防火墻與IPS的網(wǎng)絡(luò)系統(tǒng)。本發(fā)明的目的可以通過(guò)以下技術(shù)方案來(lái)實(shí)現(xiàn)—種基于防火墻與IPS的網(wǎng)絡(luò)系統(tǒng)，包括網(wǎng)絡(luò)交換機(jī)、服務(wù)器群、客戶端群、 Internet，所述的網(wǎng)絡(luò)交換機(jī)分別與服務(wù)器群、客戶端群連接，其特征在于，還包括通信線路、網(wǎng)絡(luò)防火墻、IPS、ISA服務(wù)器，所述的hternet通過(guò)通信線路與網(wǎng)絡(luò)防火墻連接，所述的網(wǎng)絡(luò)防火墻、IPS、ISA服務(wù)器依次連接，所述的ISA服務(wù)器與網(wǎng)絡(luò)交換機(jī)連接。所述的網(wǎng)絡(luò)防火墻采用Juniper網(wǎng)絡(luò)公司的ISG 1000，并設(shè)有2臺(tái)，進(jìn)行雙機(jī)熱備冗余。所述的IPS采用McAfee公司的基于McAfee IntruShield技術(shù)的IPS，并設(shè)有兩臺(tái)。所述的ISA服務(wù)器為安裝有微軟ISA2006的服務(wù)器，并設(shè)有2臺(tái)。
所述的通信線路包括電信專線、網(wǎng)通專線。
3
與現(xiàn)有技術(shù)相比，本發(fā)明具有安全性高、可靠性強(qiáng)1、采用2臺(tái)網(wǎng)絡(luò)防火墻，進(jìn)行雙機(jī)熱備冗余，保證設(shè)備的高可用性。2、使用電信和網(wǎng)通的雙線路連接模式，采用雙線路接入方式實(shí)現(xiàn)南北互聯(lián)互通以及線路的高可用性。3、采用兩臺(tái)基于McAfee IntruShield技術(shù)的Mcafee IPS，具有高自動(dòng)化和易管理性，設(shè)計(jì)靈活，能夠分階段執(zhí)行，克服了老舊入侵檢測(cè)系統(tǒng)中固有的誤報(bào)率，也使用戶能夠配置合適的策略，以阻止獨(dú)特IT基礎(chǔ)架構(gòu)中的攻擊。


圖1為本發(fā)明的結(jié)構(gòu)示意圖。
具體實(shí)施例方式下面結(jié)合附圖和具體實(shí)施例對(duì)本發(fā)明進(jìn)行詳細(xì)說(shuō)明。實(shí)施例如圖1所示，一種基于防火墻與IPS的網(wǎng)絡(luò)系統(tǒng)，包括網(wǎng)絡(luò)交換機(jī)5、服務(wù)器群6、 客戶端群7、Internet 1，所述的網(wǎng)絡(luò)交換機(jī)5分別與服務(wù)器群6、客戶端群7連接，還包括通信線路、網(wǎng)絡(luò)防火墻2、IPS 3、ISA服務(wù)器4，所述的hternet 1通過(guò)通信線路與網(wǎng)絡(luò)防火墻2連接，所述的網(wǎng)絡(luò)防火墻2、IPS 3、ISA服務(wù)器4依次連接，所述的ISA服務(wù)器4與網(wǎng)絡(luò)交換機(jī)5連接。所述的通信線路包括電信專線8、網(wǎng)通專線9。采用Juniper網(wǎng)絡(luò)公司的ISG1000以及McAfee公司的IPS系統(tǒng)組件安全可靠的企業(yè)網(wǎng)絡(luò)。通過(guò)Juniper ISG 1000作為業(yè)務(wù)線路接入的網(wǎng)絡(luò)防火墻2。為了更好的保證設(shè)備服務(wù)質(zhì)量，我們建議使用兩臺(tái)ISG 1000作雙機(jī)熱備(HA)，保證設(shè)備的高可用性。使用電信和網(wǎng)通的雙線路連接模式，建議安裝光纖獨(dú)享線路，采用雙線路接入方式實(shí)現(xiàn)南北互聯(lián)互通以及線路的高可用性。Juniper的最新專屬定制的系統(tǒng)采用模塊化設(shè)計(jì)及獨(dú)特的處理架構(gòu)-包括基于 Juniper的新型第四代ASIC芯片的整合了防火墻及VPN功能，不久的將來(lái)還可整合完善的入侵檢測(cè)與防護(hù)(IDP)功能。Jimiper-ISG 1000具備卓越的性能，以及靈活性和可擴(kuò)展性， 從而有效抵御今天和未來(lái)日益復(fù)雜的網(wǎng)絡(luò)威脅。Juniper-ISG 1000是企業(yè)、電信運(yùn)營(yíng)商和數(shù)據(jù)中心的網(wǎng)管人員的理想選擇，可幫助他們有效應(yīng)對(duì)不斷增加且更為隱蔽的網(wǎng)絡(luò)攻擊，同時(shí)確保超卓的網(wǎng)絡(luò)性能，平衡有限的網(wǎng)絡(luò)資源和預(yù)算。增加兩臺(tái)基于McAfee htruSiield技術(shù)的IPS，McAfee htruSiield是使用最前沿技術(shù)，能夠在關(guān)鍵系統(tǒng)受到攻擊之前阻止“網(wǎng)絡(luò)”入侵行為的產(chǎn)品。具有高自動(dòng)化和易管理性，設(shè)計(jì)靈活，能夠分階段執(zhí)行，克服了老舊入侵檢測(cè)系統(tǒng)中固有的誤報(bào)率，也使用戶能夠配置合適的策略，以阻止獨(dú)特IT基礎(chǔ)架構(gòu)中的攻擊。Juniper ISG 1000 具備高達(dá) IGbps 的防火墻速率及 IGbps 3DES/AES IPSec VPN速率，還可支持2，000個(gè)VPN通道，256，000個(gè)并發(fā)會(huì)話，每秒20，000個(gè)新會(huì)話，250 個(gè)VLAN。以上增強(qiáng)的性能是通過(guò)將幾項(xiàng)靈活的處理功能相結(jié)合實(shí)現(xiàn)的包括高性能雙
4GHz CPU管理模塊、現(xiàn)場(chǎng)可編程門(mén)陣列(FPGA)、以及新一代ASIC芯片Gigakreen3 ASIC。 GigaScreen3ASIC是業(yè)內(nèi)第一個(gè)具備千兆速率，硬件加速AES和3DES加密以及對(duì)任何大小的數(shù)據(jù)包進(jìn)行千兆以上防火墻監(jiān)測(cè)的可編程ASIC芯片。與上一代相比，第四代ASIC芯片的性能提高了一倍，防火墻包處理速度(pps)高達(dá)每秒150萬(wàn)，加密數(shù)據(jù)包處理速度高達(dá)每秒150萬(wàn)，同時(shí)處理任何大小的數(shù)據(jù)包均保證傳輸流量的低延遲，這種特性對(duì)VoIP等新的應(yīng)用來(lái)講非常關(guān)鍵。另外，多重內(nèi)嵌的處理器提升了拒絕服務(wù)式攻擊(DoS)防護(hù)及加密碎片的功能，同時(shí)具備透過(guò)軟件升級(jí)而未來(lái)進(jìn)行新增功能的特性。此外，Juniper-ISG 1000系統(tǒng)架構(gòu)的獨(dú)特設(shè)計(jì)可支持線速防火墻和VPN包處理功能，同時(shí)執(zhí)行基于安全策略，將個(gè)別會(huì)話另行導(dǎo)向特定的安全模塊，以進(jìn)行進(jìn)一步的安全處理，額外的安全處理所需的特定安全模塊的會(huì)話重置。GigMcreen 3ASIC可平衡處理多達(dá)三個(gè)安全模塊的所有會(huì)話，而每一個(gè)模塊都具備雙GHz中央處理器(CPU)，一個(gè)現(xiàn)場(chǎng)可編程門(mén)陣列(FPGAs)及內(nèi)存，以運(yùn)行入侵檢測(cè)與防護(hù)(IDP)等額外的安全應(yīng)用。除了設(shè)計(jì)獨(dú)特的系統(tǒng)，Juniper-ISG 1000的用戶還可受益于Juniper的操作系統(tǒng)軟件kreenOS中的網(wǎng)絡(luò)和安全功能，其中包括深層監(jiān)測(cè)防火墻技術(shù)，基于動(dòng)態(tài)路由的VPN 及虛擬系統(tǒng)功能，還包括對(duì)BGP，RIPv2及OSPF路由協(xié)議的支持，從而可簡(jiǎn)化多種復(fù)雜環(huán)境下的設(shè)備部署。ISG1000系統(tǒng)中也可以集成IDP(入侵防護(hù))模塊，該模塊采用了多種檢測(cè)方法和強(qiáng)大的簽名定制功能，可提供在線攻擊防護(hù)功能，來(lái)防止惡意攻擊、蠕蟲(chóng)、病毒和特洛伊等對(duì)內(nèi)部網(wǎng)絡(luò)敏感資源的竊取和破壞，可以有效地識(shí)別并阻止您網(wǎng)絡(luò)中的攻擊，從而最大限度地縮短處理入侵的時(shí)間并降低成本。同時(shí)，ISG1000系統(tǒng)還具備雙主動(dòng)(ActSSL VPN-ActSSL VPN)或主動(dòng)-被動(dòng)(ActSSL VPN-PassSSL VPN)模式的高可用性選擇，該功能可避免單點(diǎn)故障，將網(wǎng)絡(luò)連通性及生產(chǎn)力最大化。使用ISA服務(wù)器，即增加了網(wǎng)絡(luò)關(guān)口的安全(ISA是一款非常高效的網(wǎng)絡(luò)防火墻)， 又可以結(jié)合AD充分控制用戶的hternet權(quán)限。McAfee IntruSiield基于完整的攻擊分析方法，并引入了業(yè)界最為全面的網(wǎng)絡(luò)攻擊特征檢測(cè)、異常檢測(cè)以及拒絕服務(wù)攻擊檢測(cè)技術(shù)，除了可以防御已知攻擊，還可以防御未知的蠕蟲(chóng)、攻擊和后門(mén)程序，抵御拒絕服務(wù)攻擊等。McAfee htruShield的主要功能可以概括為防護(hù)各種威脅防護(hù)已知攻擊為了實(shí)現(xiàn)高性能的網(wǎng)絡(luò)攻擊特征檢測(cè)，McAfee IntruShield體系采用創(chuàng)新的專利技術(shù)，而且集成了全面的狀態(tài)檢測(cè)引擎、完善的特征規(guī)范語(yǔ)言、“用戶自定義特征”以及實(shí)時(shí)特征更新，確保能夠提供并維護(hù)業(yè)界最為全面、更新最及時(shí)的攻擊簽名數(shù)據(jù)庫(kù)。異常檢測(cè)-防護(hù)未知攻擊異常檢測(cè)技術(shù)為McAfee Intri^hield全面的簽名檢測(cè)功能提供了完美的補(bǔ)充， 異常檢測(cè)技術(shù)使得網(wǎng)絡(luò)工程師能夠?qū)ν话l(fā)威脅或首次攻擊進(jìn)行攔截，并創(chuàng)建出一套完整的 “異常檔案”，從而保護(hù)網(wǎng)絡(luò)免受未知攻擊的騷擾。防護(hù)拒絕服務(wù)攻擊McAfee IntruShield體系綜合應(yīng)用多種DoS/DDoS防護(hù)技術(shù)，解決可能面臨的拒絕服務(wù)攻擊威脅。入侵防護(hù)McAfee IntruSiield為網(wǎng)絡(luò)安全管理員提供了一整套手動(dòng)的和自動(dòng)的響應(yīng)措施， 并以此構(gòu)建企業(yè)信息安全策略的基礎(chǔ)?？梢詫?shí)現(xiàn)以下響應(yīng)功能
攔截攻擊；
終止會(huì)話；
修改防火墻策略；
啟動(dòng)網(wǎng)絡(luò)訪問(wèn)控制的策略
實(shí)時(shí)警報(bào)；
對(duì)數(shù)據(jù)包進(jìn)行日志記錄。
權(quán)利要求
1.一種基于防火墻與IPS的網(wǎng)絡(luò)系統(tǒng)，包括網(wǎng)絡(luò)交換機(jī)、服務(wù)器群、客戶端群、 Internet，所述的網(wǎng)絡(luò)交換機(jī)分別與服務(wù)器群、客戶端群連接，其特征在于，還包括通信線路、網(wǎng)絡(luò)防火墻、IPS、ISA服務(wù)器，所述的hternet通過(guò)通信線路與網(wǎng)絡(luò)防火墻連接，所述的網(wǎng)絡(luò)防火墻、IPS、ISA服務(wù)器依次連接，所述的ISA服務(wù)器與網(wǎng)絡(luò)交換機(jī)連接。
2.根據(jù)權(quán)利要求1所述的一種基于防火墻與IPS的網(wǎng)絡(luò)系統(tǒng)，其特征在于，所述的網(wǎng)絡(luò)防火墻采用Juniper網(wǎng)絡(luò)公司的ISG 1000，并設(shè)有2臺(tái)，進(jìn)行雙機(jī)熱備冗余。
3.根據(jù)權(quán)利要求1所述的一種基于防火墻與IPS的網(wǎng)絡(luò)系統(tǒng)，其特征在于，所述的IPS 采用McAfee公司的基于McAfee IntruShield技術(shù)的IPS，并設(shè)有兩臺(tái)。
4.根據(jù)權(quán)利要求1所述的一種基于防火墻與IPS的網(wǎng)絡(luò)系統(tǒng)，其特征在于，所述的ISA 服務(wù)器為安裝有微軟ISA2006的服務(wù)器，并設(shè)有2臺(tái)。
5.根據(jù)權(quán)利要求1所述的一種基于防火墻與IPS的網(wǎng)絡(luò)系統(tǒng)，其特征在于，所述的通信線路包括電信專線、網(wǎng)通專線。
全文摘要
本發(fā)明涉及一種基于防火墻與IPS的網(wǎng)絡(luò)系統(tǒng)，包括網(wǎng)絡(luò)交換機(jī)、服務(wù)器群、客戶端群、Internet，所述的網(wǎng)絡(luò)交換機(jī)分別與服務(wù)器群、客戶端群連接，還包括通信線路、網(wǎng)絡(luò)防火墻、IPS、ISA服務(wù)器，所述的Internet通過(guò)通信線路與網(wǎng)絡(luò)防火墻連接，所述的網(wǎng)絡(luò)防火墻、IPS、ISA服務(wù)器依次連接，所述的ISA服務(wù)器與網(wǎng)絡(luò)交換機(jī)連接。與現(xiàn)有技術(shù)相比，本發(fā)明具有安全性高、可靠性強(qiáng)等優(yōu)點(diǎn)。
文檔編號(hào)H04L1/22GK102347935SQ20101024183
公開(kāi)日2012年2月8日 申請(qǐng)日期2010年7月30日 優(yōu)先權(quán)日2010年7月30日
發(fā)明者李川 申請(qǐng)人:上海憶通廣達(dá)信息技術(shù)有限公司