CN102868698A - 用于网络的防御方法及系统 - Google Patents
用于网络的防御方法及系统 Download PDFInfo
- Publication number
- CN102868698A CN102868698A CN2012103570830A CN201210357083A CN102868698A CN 102868698 A CN102868698 A CN 102868698A CN 2012103570830 A CN2012103570830 A CN 2012103570830A CN 201210357083 A CN201210357083 A CN 201210357083A CN 102868698 A CN102868698 A CN 102868698A
- Authority
- CN
- China
- Prior art keywords
- tunnel
- network
- flows
- webserver
- gateway device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种用于网络的防御方法及系统,网络服务器接收网络报警系统的报警信号,网络服务器向各个网关设备发送IPSec隧道激活消息和所述流量数据,网关设备接收到网络服务器发送的IPSec隧道激活消息和所述流量数据,对所述流量数据所匹配隧道进行检测,若检测到所述匹配隧道存在异常,则为所述流量数据建立相应的IPSec隧道,使存在异常的隧道切换到IPSec隧道,并将所述流量数据在相应的IPSec隧道上进行传送。本发明通过对GRE隧道和IPSec隧道的切换,使得在网络安全时使用GRE隧道对报文进行传送,在网络异常时使用IPSec隧道对报文进行传送,使得报文在传送给网关设备的过程中安全性能高,能耗小。
Description
技术领域
本发明涉及网络通信技术领域,特别涉及一种用于网络的防御方法及系统。
背景技术
随着通信技术和网络技术的快速发展,网络信息安全问题显得越来越突出。在通常情况下,网络服务器是使用通用路由封装(GenericRouting Encapsulation,GRE)等虚拟专用网络(Virtual Private NETwork,VPN)隧道对报文进行封装传送,而GRE不对报文进行加密,只对报文的IP头进行封装,因此利用GRE隧道对报文进行传送,带宽大能耗小,但安全性能低,传送的数据容易被黑客窃听。
互联网协议安全性(IPSec,Internet Protocol Security)技术是一种解决信息安全问题的有效途径。其通过在网络路由设备上配置IPSec业务而加密信息,并建立安全的传输通道,使得信息在网络传输过程中安全可靠,但IPSec隧道需要对报文进行整体加密,因此带宽会降低,能耗大。
发明内容
(一)解决的技术问题
本发明解决了只用GRE隧道安全性能低,而只用IPSec隧道能耗高的技术问题。
(二)技术方案
本发明提供一种用于网络的防御方法,所述方法包括:
A、网络服务器接收网络报警系统的报警信号,所述报警信号中携带需要受保护的流量数据;
B、网络服务器向各个网关设备发送IPSec隧道激活消息和所述流量数据,所述隧道激活消息用于使网关设备激活IPSec隧道;
C、网关设备接收到网络服务器发送的IPSec隧道激活消息和所述流量数据,对所述流量数据所匹配隧道进行检测;
D、若检测到所述匹配隧道存在异常,则为所述流量数据建立相应的IPSec隧道,使存在异常的隧道切换到IPSec隧道,并将所述流量数据在相应的IPSec隧道上进行传送。
优选地,在步骤A之前包括:
A0、入侵预防系统对网络进行实时检测,当检测到网络异常时,向网络报警系统发送网络异常信号;
或,
A0’、人工主动触发报警,入侵预防系统向网络报警系统发送网络异常信号;
A1、网络报警系统接收到入侵预防系统发送的网络异常信号后,向网络服务器发送报警信号。
优选地,在步骤B之前包括:
网关设备向网络服务器进行注册,使得网络服务器获得网关设备的IP地址。
优选地,在步骤C之前包括:
网关设备使用GRE隧道对报文进行传送,所述报文包括所述流量数据。
优选地,在步骤C之后包括:
当网关设备接收到网络服务器发送的隧道安全信息后,网关设备将所述IPSec隧道切换为GRE隧道。
本发明提供一种网络防御系统,所述系统包括:
入侵预防系统,用于提供入侵防御与监测,检测网络是否被攻击;
网络报警系统,用于当入侵预防系统检测到网络异常时,向网络服务器发送报警信号;
网络服务器,用于当接收到报警信号后向网关设备发送IPSec隧道激活消息和需要受保护的流量数据;
网关设备,用于当接收到网络服务器发送的所述IPSec隧道激活消息和所述流量数据后,对所述流量数据所匹配隧道进行检测,若检测到所述匹配隧道存在异常,则所述流量数据建立相应的IPSec隧道,使存在异常的隧道切换到IPSec隧道,并将所述流量数据在相应的IPSec隧道上进行传送。
(三)有益效果
本发明通过对GRE隧道和IPSec隧道的切换,使得在网络安全时使用GRE隧道对报文进行传送,在网络异常时使用IPSec隧道对报文进行传送,使得报文在传送给网关设备的过程中安全性能高,能耗小。
附图说明
图1为本发明提出的一种用于网络的防御方法流程图;
图2为本发明提出的一种网络防御系统结构图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。
当前有许多自动监测网络攻击的设备,如入侵预防系统(IntrusionPrevention System,Ips)设备等,此类设备可提供入侵防御与监测功能,主动发现网络被攻击等情况。本发明与此入侵预防系统结合,当发现网络受到攻击时,可通知网关等设备启用IPSec功能,来保护重要的数据。具体地,本发明提出了一种用于网络的防御方法,参见图1,所述方法包括:
A、网络服务器接收网络报警系统的报警信号,所述报警信号中携带需要受保护的流量数据;
B、网络服务器向各个网关设备发送IPSec隧道激活消息和所述流量数据,所述隧道激活消息用于使网关设备激活IPSec隧道;
C、网关设备接收到网络服务器发送的IPSec隧道激活消息和所述流量数据,对所述流量数据所匹配隧道进行检测;
D、若检测到所述匹配隧道存在异常,则所述流量数据建立相应的IPSec隧道,使存在异常的隧道切换到IPSec隧道,并将所述流量数据在相应的IPSec隧道上进行传送。
本实施例中可以触发网络报警系统的方式有两种:
A0、入侵预防系统对网络进行实时检测,当检测到网络异常时,向网络报警系统发送网络异常信号;
或,
A0’、人工主动触发报警,向网络报警系统发送网络异常信号;
当发现网络有异常时,可以人工触发报警,向网络报警系统发送网络异常信号,或者,可以设定时间点,如:若在8:00—20:00期间网络不安全,则当8:00时,系统主动触发报警,向网络报警系统发送网络异常信号;
A1、网络报警系统接收到入侵预防系统发送的网络异常信号后,向网络服务器发送报警信号。
当网络服务器收到报警信号后,网络服务器针对受攻击的范围,统计出需要受保护的流量数据,将流量数据,也就是访问控制列表(Access Control List,acl)发送给各网关设备(防火墙),在发送的同时还要发送IPSec隧道激活消息。
在网络服务器向各个网关设备发送IPSec隧道激活消息和所述流量数据之前包括:
网关设备向网络服务器进行注册,使得网络服务器获得网关设备的IP地址,只有注册了网络服务器并通过网络服务器认证的网关设备,才能收到网络服务器的IPSec隧道激活消息。
本实施例在网关设备接收到网络服务器发送的IPSec隧道激活消息和所述流量数据之前包括:
网关设备使用GRE隧道对报文进行传送,所述报文包括所述流量数据。
在各个网关设备未接收到IPSec隧道激活消息的情况下,可能是使用通用路由封装(Generic Routing Encapsulation,GRE)等虚拟专用网络(Virtual Routing Encapsulation,VPN)隧道封装报文。
当网络发现异常时,网关设备接收到IPSec隧道激活消息后可以将GRE隧道换成IPSec隧道进行报文传送,保证数据不会被黑客窃听。
本实施例在步骤C之后还包括:
当网关设备接收到网络服务器发送的隧道安全信息后,网关设备将所述IPSec隧道切换为GRE隧道。
由于GRE不对报文进行加密,只进行报文的IP头封装,所以相对来说同样的设备GRE传送报文的带宽更大,而IPSec隧道需要对报文进行整体加密,所以带宽会降低,因此可以根据网络情况进行GRE与IPSec的切换。
本发明还提出了一种网络防御系统,参见图2,所述系统包括:
入侵预防系统,用于提供入侵防御与监测,检测网络是否被攻击;
网络报警系统,用于当入侵预防系统检测到网络异常时,向网络服务器发送报警信号;
网络服务器,用于当接收到报警信号后向网关设备发送IPSec隧道激活消息和需要受保护的流量数据;
网关设备,用于当接收到网络服务器发送的所述IPSec隧道激活消息和所述流量数据后,对所述流量数据所匹配隧道进行检测,若检测到所述匹配隧道存在异常,则所述流量数据建立相应的IPSec隧道,使存在异常的隧道切换到IPSec隧道,并将所述流量数据在相应的IPSec隧道上进行传送。在接收网络服务器发送的所述IPSec隧道激活消息和所述流量数据之前,网关设备先向网络服务器进行注册,通告服务器自己的IP地址。
以上实施方式仅用于说明本发明,而并非对本发明的限制,有关技术领域的普通技术人员,在不脱离本发明的精神和范围的情况下,还可以做出各种变化和变型,因此所有等同的技术方案也属于本发明的范畴,本发明的专利保护范围应由权利要求限定。
Claims (6)
1.一种用于网络的防御方法,其特征在于,所述方法包括:
A、网络服务器接收网络报警系统的报警信号,所述报警信号中携带需要受保护的流量数据;
B、网络服务器向各个网关设备发送IPSec隧道激活消息和所述流量数据,所述隧道激活消息用于使网关设备激活IPSec隧道;
C、网关设备接收到网络服务器发送的IPSec隧道激活消息和所述流量数据,对所述流量数据所匹配隧道进行检测;
D、若检测到所述匹配隧道存在异常,则为所述流量数据建立相应的IPSec隧道,使存在异常的隧道切换到IPSec隧道,并将所述流量数据在相应的IPSec隧道上进行传送。
2.根据权利要求1所述的方法,其特征在于,在步骤A之前包括:
A0、入侵预防系统对网络进行实时检测,当检测到网络异常时,向网络报警系统发送网络异常信号;
或,
A0’、人工主动触发报警,入侵预防系统向网络报警系统发送网络异常信号;
A1、网络报警系统接收到入侵预防系统发送的网络异常信号后,向网络服务器发送报警信号。
3.根据权利要求1所述的方法,其特征在于,在步骤B之前包括:
网关设备向网络服务器进行注册,使得网络服务器获得网关设备的IP地址。
4.根据权利要求1所述的方法,其特征在于,在步骤C之前包括:
网关设备使用GRE隧道对报文进行传送,所述报文包括所述流量数据。
5.根据权利要求1所述的方法,其特征在于,在步骤C之后包括:
当网关设备接收到网络服务器发送的隧道安全信息后,网关设备将所述IPSec隧道切换为GRE隧道。
6.一种网络防御系统,其特征在于,所述系统包括:
入侵预防系统,用于提供入侵防御与监测,检测网络是否被攻击;
网络报警系统,用于当入侵预防系统检测到网络异常时,向网络服务器发送报警信号;
网络服务器,用于当接收到报警信号后向网关设备发送IPSec隧道激活消息和需要受保护的流量数据;
网关设备,用于当接收到网络服务器发送的所述IPSec隧道激活消息和所述流量数据后,对所述流量数据所匹配隧道进行检测,若检测到所述匹配隧道存在异常,则所述流量数据建立相应的IPSec隧道,使存在异常的隧道切换到IPSec隧道,并将所述流量数据在相应的IPSec隧道上进行传送。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210357083.0A CN102868698B (zh) | 2012-09-24 | 2012-09-24 | 用于网络的防御方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210357083.0A CN102868698B (zh) | 2012-09-24 | 2012-09-24 | 用于网络的防御方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102868698A true CN102868698A (zh) | 2013-01-09 |
| CN102868698B CN102868698B (zh) | 2015-03-25 |
Family
ID=47447289
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210357083.0A Expired - Fee Related CN102868698B (zh) | 2012-09-24 | 2012-09-24 | 用于网络的防御方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102868698B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113162815A (zh) * | 2020-10-22 | 2021-07-23 | 广州市汇聚支付电子科技有限公司 | 一种流量切换方法、系统、设备及介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101132406A (zh) * | 2007-09-25 | 2008-02-27 | 杭州华三通信技术有限公司 | 一种使用互联网协议安全多隧道的方法及三层设备 |
| CN101447907A (zh) * | 2008-10-31 | 2009-06-03 | 北京东方中讯联合认证技术有限公司 | Vpn安全接入方法及系统 |
| CN101562603A (zh) * | 2008-04-17 | 2009-10-21 | 北京启明星辰信息技术股份有限公司 | 一种通过回显解析telnet协议的方法及系统 |
-
2012
- 2012-09-24 CN CN201210357083.0A patent/CN102868698B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101132406A (zh) * | 2007-09-25 | 2008-02-27 | 杭州华三通信技术有限公司 | 一种使用互联网协议安全多隧道的方法及三层设备 |
| CN101562603A (zh) * | 2008-04-17 | 2009-10-21 | 北京启明星辰信息技术股份有限公司 | 一种通过回显解析telnet协议的方法及系统 |
| CN101447907A (zh) * | 2008-10-31 | 2009-06-03 | 北京东方中讯联合认证技术有限公司 | Vpn安全接入方法及系统 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113162815A (zh) * | 2020-10-22 | 2021-07-23 | 广州市汇聚支付电子科技有限公司 | 一种流量切换方法、系统、设备及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102868698B (zh) | 2015-03-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Swamy et al. | Security threats in the application layer in IOT applications | |
| Yang et al. | Intrusion detection system for IEC 60870-5-104 based SCADA networks | |
| Yang et al. | Rule-based intrusion detection system for SCADA networks | |
| CN101136797B (zh) | 内外网物理连通的检测、通断控制方法 | |
| CN100435513C (zh) | 网络设备与入侵检测系统联动的方法 | |
| TW201738796A (zh) | 網路攻擊的防控方法、裝置及系統 | |
| CN101795271B (zh) | 网络安全打印系统及打印方法 | |
| WO2015008282A1 (en) | Network protection | |
| CN103609070A (zh) | 网络流量检测方法、系统、设备及控制器 | |
| CN104639504A (zh) | 网络协同防御方法、装置和系统 | |
| KR101382525B1 (ko) | 무선 네트워크 보안 시스템 | |
| CA2581056C (en) | Intrusion detection in an ip connected security system | |
| Kadhim et al. | Security threats in wireless network communication-status, challenges, and future trends | |
| KR20150081889A (ko) | 제어 네트워크 침해사고 탐지 장치 및 탐지 방법 | |
| CN107749863B (zh) | 一种信息系统网络安全隔离的方法 | |
| Shitharth et al. | A comparative analysis between two countermeasure techniques to detect DDoS with sniffers in a SCADA network | |
| CN112583850A (zh) | 网络攻击防护方法、装置及系统 | |
| CN103139219B (zh) | 基于可信交换机的生成树协议的攻击检测方法 | |
| KR101889502B1 (ko) | 제어시스템 프로토콜 상의 비정상 트래픽 탐지 방법 | |
| Gupta et al. | Networking in IoT: Technologies Usage, Security Threats, and Possible Countermeasures | |
| CN106161330A (zh) | 一种应用于profinet工业以太网的安全隔离系统 | |
| CN102868698B (zh) | 用于网络的防御方法及系统 | |
| CN105743863A (zh) | 一种对报文进行处理的方法及装置 | |
| Moon et al. | An overview on: Intrusion detection system with secure hybrid mechanism in wireless sensor network | |
| CN106571937A (zh) | 路由器、移动终端及告警信息发送和接收的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| PP01 | Preservation of patent right | ||
| PP01 | Preservation of patent right |
Effective date of registration: 20180823 Granted publication date: 20150325 |
|
| PD01 | Discharge of preservation of patent | ||
| PD01 | Discharge of preservation of patent |
Date of cancellation: 20210823 Granted publication date: 20150325 |
|
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20150325 Termination date: 20180924 |