CN102347935A - 基于防火墙与ips的网络系统 - Google Patents

基于防火墙与ips的网络系统 Download PDF

Info

Publication number
CN102347935A
CN102347935A CN2010102418339A CN201010241833A CN102347935A CN 102347935 A CN102347935 A CN 102347935A CN 2010102418339 A CN2010102418339 A CN 2010102418339A CN 201010241833 A CN201010241833 A CN 201010241833A CN 102347935 A CN102347935 A CN 102347935A
Authority
CN
China
Prior art keywords
network
ips
firewall
server
system based
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN2010102418339A
Other languages
English (en)
Inventor
李川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
SHANGHAI EETONG GUANGDA INFORMATION TECHNOLOGY Co Ltd
Original Assignee
SHANGHAI EETONG GUANGDA INFORMATION TECHNOLOGY Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by SHANGHAI EETONG GUANGDA INFORMATION TECHNOLOGY Co Ltd filed Critical SHANGHAI EETONG GUANGDA INFORMATION TECHNOLOGY Co Ltd
Priority to CN2010102418339A priority Critical patent/CN102347935A/zh
Publication of CN102347935A publication Critical patent/CN102347935A/zh
Pending legal-status Critical Current

Links

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明涉及一种基于防火墙与IPS的网络系统,包括网络交换机、服务器群、客户端群、Internet,所述的网络交换机分别与服务器群、客户端群连接,还包括通信线路、网络防火墙、IPS、ISA服务器,所述的Internet通过通信线路与网络防火墙连接,所述的网络防火墙、IPS、ISA服务器依次连接,所述的ISA服务器与网络交换机连接。与现有技术相比,本发明具有安全性高、可靠性强等优点。

Description

基于防火墙与IPS的网络系统
技术领域
本发明涉及一种网络系统,尤其是涉及一种基于防火墙与IPS的网络系统。
背景技术
随着网络应用的普及和发展,网络安全问题成为整个IT产业广泛关注的问题。人们对网络的可靠性、操作系统能否正常运行、以及各种应用软件和系统设备是否会被病毒侵扰或黑客攻击的关注程度,超过了以往任何一个时代。可以说,网络安全问题已经延伸到整个网络体系结构的任何一个层面。近两年,防火墙、杀毒防毒软件、入侵检测和VPN产品的热销也说明了这一点。
网络防火墙能够提供常规路由器所不具备的,诸如IPSec协议支持、基于规则集的防火墙、基于OSPE V2路由协议的安全认证、信息加密与分布式密钥管理等功能;能够实现身份鉴别、数据签名和数据完整性验证;能够对IP数据包进行智能加密,可提供安全VPN通道、抗源地址欺骗、抗源路由攻击、抗极小数据和抗重叠分片的分组过滤功能及实现基于硬件的信息加密;能够阻止非授权人员的入侵等。
入侵防御系统(IPS)是指具有检测并阻止已知或未知攻击的内嵌硬件设备或软件系统,它分为网络入侵防御系统(Network Intrusion Prevention System,NIPS)和主机入侵防御系统(Host Intrusion Prevention System,HIPS)。NIPS一般部署于网络的进出口处,即在数据转发的路径上,可以根据预先设定的安全策略,对经过的每个数据包进行深度检测,如协议分析跟踪,流量统计分析、特征匹配、事件关联分析等,一旦发现隐藏于其中的攻击行为,则可以根据该攻击的危险级别立即采取相应的防御措施,如丢弃报文、切断应用会话、切断TCP连接、向管理中心报警等。
发明内容
本发明的目的就是为了克服上述现有技术存在的缺陷而提供一种安全性高、可靠性强的基于防火墙与IPS的网络系统。
本发明的目的可以通过以下技术方案来实现:
一种基于防火墙与IPS的网络系统,包括网络交换机、服务器群、客户端群、Internet,所述的网络交换机分别与服务器群、客户端群连接,其特征在于,还包括通信线路、网络防火墙、IPS、ISA服务器,所述的Internet通过通信线路与网络防火墙连接,所述的网络防火墙、IPS、ISA服务器依次连接,所述的ISA服务器与网络交换机连接。
所述的网络防火墙采用Juniper网络公司的ISG 1000,并设有2台,进行双机热备冗余。
所述的IPS采用McAfee公司的基于McAfee IntruShield技术的IPS,并设有两台。
所述的ISA服务器为安装有微软ISA2006的服务器,并设有2台。
所述的通信线路包括电信专线、网通专线。
与现有技术相比,本发明具有安全性高、可靠性强:
1、采用2台网络防火墙,进行双机热备冗余,保证设备的高可用性。
2、使用电信和网通的双线路连接模式,采用双线路接入方式实现南北互联互通以及线路的高可用性。
3、采用两台基于McAfee IntruShield技术的Mcafee IPS,具有高自动化和易管理性,设计灵活,能够分阶段执行,克服了老旧入侵检测系统中固有的误报率,也使用户能够配置合适的策略,以阻止独特IT基础架构中的攻击。
附图说明
图1为本发明的结构示意图。
具体实施方式
下面结合附图和具体实施例对本发明进行详细说明。
实施例
如图1所示,一种基于防火墙与IPS的网络系统,包括网络交换机5、服务器群6、客户端群7、Internet 1,所述的网络交换机5分别与服务器群6、客户端群7连接,还包括通信线路、网络防火墙2、IPS 3、ISA服务器4,所述的Internet 1通过通信线路与网络防火墙2连接,所述的网络防火墙2、IPS 3、ISA服务器4依次连接,所述的ISA服务器4与网络交换机5连接。所述的通信线路包括电信专线8、网通专线9。
采用Juniper网络公司的ISG1000以及McAfee公司的IPS系统组件安全可靠的企业网络。
通过Juniper ISG 1000作为业务线路接入的网络防火墙2。为了更好的保证设备服务质量,我们建议使用两台ISG 1000作双机热备(HA),保证设备的高可用性。
使用电信和网通的双线路连接模式,建议安装光纤独享线路,采用双线路接入方式实现南北互联互通以及线路的高可用性。
Juniper的最新专属定制的系统采用模块化设计及独特的处理架构-包括基于Juniper的新型第四代ASIC芯片的整合了防火墙及VPN功能,不久的将来还可整合完善的入侵检测与防护(IDP)功能。Juniper-ISG 1000具备卓越的性能,以及灵活性和可扩展性,从而有效抵御今天和未来日益复杂的网络威胁。
Juniper-ISG 1000是企业、电信运营商和数据中心的网管人员的理想选择,可帮助他们有效应对不断增加且更为隐蔽的网络攻击,同时确保超卓的网络性能,平衡有限的网络资源和预算。
增加两台基于McAfee IntruShield技术的IPS,McAfee IntruShield是使用最前沿技术,能够在关键系统受到攻击之前阻止“网络”入侵行为的产品。具有高自动化和易管理性,设计灵活,能够分阶段执行,克服了老旧入侵检测系统中固有的误报率,也使用户能够配置合适的策略,以阻止独特IT基础架构中的攻击。
Juniper ISG 1000具备高达1Gbps的防火墙速率及1Gbps 3DES/AES IPSecVPN速率,还可支持2,000个VPN通道,256,000个并发会话,每秒20,000个新会话,250个VLAN。以上增强的性能是通过将几项灵活的处理功能相结合实现的:包括高性能双GHz CPU管理模块、现场可编程门阵列(FPGA)、以及新一代ASIC芯片GigaScreen3 ASIC。GigaScreen3ASIC是业内第一个具备千兆速率,硬件加速AES和3DES加密以及对任何大小的数据包进行千兆以上防火墙监测的可编程ASIC芯片。
与上一代相比,第四代ASIC芯片的性能提高了一倍,防火墙包处理速度(pps)高达每秒150万,加密数据包处理速度高达每秒150万,同时处理任何大小的数据包均保证传输流量的低延迟,这种特性对VoIP等新的应用来讲非常关键。另外,多重内嵌的处理器提升了拒绝服务式攻击(DoS)防护及加密碎片的功能,同时具备透过软件升级而未来进行新增功能的特性。
此外,Juniper-ISG 1000系统架构的独特设计可支持线速防火墙和VPN包处理功能,同时执行基于安全策略,将个别会话另行导向特定的安全模块,以进行进一步的安全处理,额外的安全处理所需的特定安全模块的会话重置。GigaScreen 3ASIC可平衡处理多达三个安全模块的所有会话,而每一个模块都具备双GHz中央处理器(CPU),一个现场可编程门阵列(FPGAs)及内存,以运行入侵检测与防护(IDP)等额外的安全应用。
除了设计独特的系统,Juniper-ISG 1000的用户还可受益于Juniper的操作系统软件ScreenOS中的网络和安全功能,其中包括深层监测防火墙技术,基于动态路由的VPN及虚拟系统功能,还包括对BGP,RIPv2及OSPF路由协议的支持,从而可简化多种复杂环境下的设备部署。ISG1000系统中也可以集成IDP(入侵防护)模块,该模块采用了多种检测方法和强大的签名定制功能,可提供在线攻击防护功能,来防止恶意攻击、蠕虫、病毒和特洛伊等对内部网络敏感资源的窃取和破坏,可以有效地识别并阻止您网络中的攻击,从而最大限度地缩短处理入侵的时间并降低成本。同时,ISG1000系统还具备双主动(ActSSL VPN-ActSSL VPN)或主动-被动(ActSSL VPN-PassSSL VPN)模式的高可用性选择,该功能可避免单点故障,将网络连通性及生产力最大化。
使用ISA服务器,即增加了网络关口的安全(ISA是一款非常高效的网络防火墙),又可以结合AD充分控制用户的Internet权限。
McAfee IntruShield基于完整的攻击分析方法,并引入了业界最为全面的网络攻击特征检测、异常检测以及拒绝服务攻击检测技术,除了可以防御已知攻击,还可以防御未知的蠕虫、攻击和后门程序,抵御拒绝服务攻击等。
McAfee IntruShield的主要功能可以概括为:
防护各种威胁
防护已知攻击
为了实现高性能的网络攻击特征检测,McAfee IntruShield体系采用创新的专利技术,而且集成了全面的状态检测引擎、完善的特征规范语言、“用户自定义特征”以及实时特征更新,确保能够提供并维护业界最为全面、更新最及时的攻击签名数据库。
异常检测-防护未知攻击
异常检测技术为McAfee IntruShield全面的签名检测功能提供了完美的补充,异常检测技术使得网络工程师能够对突发威胁或首次攻击进行拦截,并创建出一套完整的“异常档案”,从而保护网络免受未知攻击的骚扰。
防护拒绝服务攻击
McAfee IntruShield体系综合应用多种DoS/DDoS防护技术,解决可能面临的拒绝服务攻击威胁。
入侵防护
McAfee IntruShield为网络安全管理员提供了一整套手动的和自动的响应措施,并以此构建企业信息安全策略的基础。
可以实现以下响应功能:
拦截攻击;
终止会话;
修改防火墙策略;
启动网络访问控制的策略;
实时警报;
对数据包进行日志记录。

Claims (5)

1.一种基于防火墙与IPS的网络系统,包括网络交换机、服务器群、客户端群、Internet,所述的网络交换机分别与服务器群、客户端群连接,其特征在于,还包括通信线路、网络防火墙、IPS、ISA服务器,所述的Internet通过通信线路与网络防火墙连接,所述的网络防火墙、IPS、ISA服务器依次连接,所述的ISA服务器与网络交换机连接。
2.根据权利要求1所述的一种基于防火墙与IPS的网络系统,其特征在于,所述的网络防火墙采用Juniper网络公司的ISG 1000,并设有2台,进行双机热备冗余。
3.根据权利要求1所述的一种基于防火墙与IPS的网络系统,其特征在于,所述的IPS采用McAfee公司的基于McAfee IntruShield技术的IPS,并设有两台。
4.根据权利要求1所述的一种基于防火墙与IPS的网络系统,其特征在于,所述的ISA服务器为安装有微软ISA2006的服务器,并设有2台。
5.根据权利要求1所述的一种基于防火墙与IPS的网络系统,其特征在于,所述的通信线路包括电信专线、网通专线。
CN2010102418339A 2010-07-30 2010-07-30 基于防火墙与ips的网络系统 Pending CN102347935A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN2010102418339A CN102347935A (zh) 2010-07-30 2010-07-30 基于防火墙与ips的网络系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN2010102418339A CN102347935A (zh) 2010-07-30 2010-07-30 基于防火墙与ips的网络系统

Publications (1)

Publication Number Publication Date
CN102347935A true CN102347935A (zh) 2012-02-08

Family

ID=45546227

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2010102418339A Pending CN102347935A (zh) 2010-07-30 2010-07-30 基于防火墙与ips的网络系统

Country Status (1)

Country Link
CN (1) CN102347935A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102457472A (zh) * 2010-10-18 2012-05-16 上海幻维数码创意科技有限公司 一种可供动画制作团队使用的插件控制方法及装置

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102457472A (zh) * 2010-10-18 2012-05-16 上海幻维数码创意科技有限公司 一种可供动画制作团队使用的插件控制方法及装置
CN102457472B (zh) * 2010-10-18 2014-12-31 上海幻维数码创意科技有限公司 一种可供动画制作团队使用的插件控制方法及装置

Similar Documents

Publication Publication Date Title
Kumari et al. A comprehensive study of DDoS attacks over IoT network and their countermeasures
Wang et al. Intrusion prevention system design
US9197628B1 (en) Data leak protection in upper layer protocols
Verwoerd et al. Intrusion detection techniques and approaches
US7213265B2 (en) Real time active network compartmentalization
CN108809970B (zh) 一种智能家居安全网关的安全防护方法
Sandhu et al. A survey of intrusion detection & prevention techniques
Chiba et al. A survey of intrusion detection systems for cloud computing environment
KR20100133398A (ko) 다중 티어 보안 이벤트의 상관 및 완화
Beslin Pajila et al. Detection of DDoS attack using SDN in IoT: A survey
Achbarou et al. Securing cloud computing from different attacks using intrusion detection systems
Mohamed et al. A collaborative intrusion detection and prevention system in cloud computing
Khan et al. FML: A novel forensics management layer for software defined networks
Sharma et al. Survey of intrusion detection techniques and architectures in cloud computing
Varadharajan et al. Counteracting attacks from malicious end hosts in software defined networks
Rizvi et al. Advocating for hybrid intrusion detection prevention system and framework improvement
KR20020072618A (ko) 네트워크 기반 침입탐지 시스템
Ahmed et al. A Linux-based IDPS using Snort
Zaki et al. Cybersecurity framework for healthcare industry using NGFW
CN201742439U (zh) 一种基于防火墙与ips的网络装置
CN102347935A (zh) 基于防火墙与ips的网络系统
Sourour et al. Ensuring security in depth based on heterogeneous network security technologies
Ahmed et al. Characterizing strengths of snort-based IDPS
CN204761474U (zh) 一种基于防火墙与ips的网络装置
Mishra et al. Artificial intelligent firewall

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20120208

WD01 Invention patent application deemed withdrawn after publication