CN107659582B - 一种有效应对apt攻击的纵深防御系统 - Google Patents
一种有效应对apt攻击的纵深防御系统 Download PDFInfo
- Publication number
- CN107659582B CN107659582B CN201711017911.5A CN201711017911A CN107659582B CN 107659582 B CN107659582 B CN 107659582B CN 201711017911 A CN201711017911 A CN 201711017911A CN 107659582 B CN107659582 B CN 107659582B
- Authority
- CN
- China
- Prior art keywords
- area
- core
- dmz
- switches
- switch
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/12—Avoiding congestion; Recovering from congestion
- H04L47/125—Avoiding congestion; Recovering from congestion by balancing the load, e.g. traffic engineering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Abstract
本发明涉及一种有效应对APT攻击的纵深防御系统,包括互联网接入区、DMZ区、核心应用区、DB区、数据区、管理区;DMZ区与互联网接入区相连;核心应用区与互联网接入区相连;DB区分别与DMZ区、核心应用区相连;管理区分别与互联网接入区、DMZ区、核心应用区、DB区相连。本发明提供的纵深防御系统,采用了纵深网络结构,减少了区域防火墙数量,降低了设备成本,负载分摊至各个层级网络,实现了解放核心交换机压力的作用,提高了交换机的使用寿命;实现了功能模块的划分,提高了各个功能模块的可控性;实现了各个功能子网均为闭环设计,提高了系统的安全性。
Description
技术领域
本发明属于计算机网络拓扑结构技术领域,具体涉及一种有效应对APT攻击的纵深防御系统。
背景技术
计算机网络的最主要的拓扑结构有总线型拓扑、环形拓扑、树形拓扑、星形拓扑、混合型拓扑以及网状拓扑。其中环形拓扑、星形拓扑、总线型拓扑是三个最基本的拓扑结构。在局域网中,使用最多的是星形结构。其他拓扑结构基本不再使用,所以不再讨论。
星形拓扑结构存在以下缺点:(1)电缆长度和安装工作量可观;(2)中央节点的负担较重,形成瓶颈;中心结点出现故障会导致网络的瘫痪;(3)各站点的分布处理能力较低;(4)网络共享能力较差,通信线路利用率不高。
高级持续性威胁(Advanced Persistent Threat,APT),威胁着企业的数据安全。APT是黑客以窃取核心资料为目的,针对客户所发动的网络攻击和侵袭行为,是一种蓄谋已久的“恶意商业间谍威胁”。这种行为往往经过长期的经营与策划,并具备高度的隐蔽性。APT的攻击手法,在于隐匿自己,针对特定对象,长期、有计划性和组织性地窃取数据,这种发生在数字空间的偷窃资料、搜集情报的行为,就是一种“网络间谍”的行为。
高级持续性威胁(APT)正在通过一切方式,绕过基于代码的传统安全方案(如防病毒软件、防火墙、IPS等),并更长时间地潜伏在系统中,让传统防御体系难以侦测。
两层、三层星型结构成为了现在网络结构的主流结构。分别是核心层、汇聚层、接入层。出口链路上串行连接安全防护设备,如IPS等。核心设备上旁路连接审计设备,如IDS、日志审计系统等。
汇聚层:一般为一个逻辑单元,或一个安全域。由防火墙对安全域做有限防护。
接入层:多个接入交换机接入汇聚层交换机,能够完成接入认证。
这种网络结构会导致多种不同服务共同使用一条链路,例如HTTP、SSH、DB、BACKUP等服务共同使用一个网络接口,导致了一条连路上多种协议并行的现象。例如:HTTP、SSH、DB均在同一条链路内通讯,均经由接入交换机、汇聚交换机、核心交换机转发到相应的安全域内。星型架构网络单一链路多重数据流向,ACL设计较为复杂,CPU计算压力过大。SSH等高危服务运行在服务网络中稍有人为疏失或者交换机负载过大取消部分ACL管控即丧失安全性。纵深网络结构:安全压力下行至各个层级网络接入交换机,以交换机为安全防护核心,使交换机CPU计算压力分摊。设备选型可以偏低。由于各个功能子网均为闭环设计,稍有人为疏失不会因为交换机负载过大取消部分ACL管控不会丧失安全性。
发明内容
针对上述现有技术中存在的问题,本发明的目的在于提供一种可避免出现上述技术缺陷的有效应对APT攻击的纵深防御系统,使安全压力下行至各个层级网络接入交换机,以交换机为安全防护核心,使交换机CPU计算压力分摊,提高互联网的安全性,有效地应对APT攻击。
为了实现上述发明目的,本发明提供的技术方案如下:
一种有效应对APT攻击的纵深防御系统,包括互联网接入区、DMZ区、核心应用区、DB区、数据区、管理区;
互联网接入区包括2台互连的交换机、2台互连的链路负载均衡、两台互连的防病毒网关、两台互连的IPS、两个互连的防火墙、两台互连的核心交换机、一台VPN网关;在互联网接入区中,每个交换机分别与两个链路负载均衡相连,两个链路负载均衡、两个防病毒网关、两个防病毒网关、两台IPS、两台核心交换机依次一对一地相连;VPN网关与其中一台核心交换机相连;
DMZ区包括两个互连的防火墙、两个互连的WAF、两个互连的交换机、一个DMZ服务器组;DMZ区的两个防火墙与互联网接入区的两个核心交换机一对一地相连;在DMZ区中,两个防火墙、两个WAF、两个交换机依次一对一地相连;两个交换机均连接到DMZ服务器组;
核心应用区包括两个互连的防火墙、两个互连的WAF、两个互连的交换机、一个核心区主OA、一个核心区备OA;核心应用区的两个防火墙与互联网接入区的两个核心交换机一对一地相连;在核心应用区中,两个防火墙、两个WAF、两个交换机依次一对一地相连;每个交换机分别与核心区主OA和核心区备OA相连;
DB区包括两个互连的第一交换机、两个互连的防火墙、两个互连的数据库防火墙、两个互连的第二交换机、一个DB_Server;DB区的两个第一交换机均分别与DMZ区的DMZ服务器组、核心应用区的核心区主OA、核心区备OA相连;在DB区中,两个第一交换机、两个防火墙、两个数据库防火墙、两个第二交换机依次一对一地相连;两个第二交换机分别与DB_Server相连;
数据区包括一个存储阵列、一个备份阵列、两个光纤交换机;存储阵列、备份阵列均分别与两个光纤交换机相连;两个光纤交换机均与DB区的DB_Server相连;
管理区包括依次连接的防火墙、堡垒主机、交换机、一组安全管理服务器;其中交换机分别与互联网接入区、核心应用区的核心区主OA、DMZ区的DMZ服务器组、DB区的DB_Server相连接。
进一步地,所述纵深防御系统还包括备份区,备份区包括依次连接的交换机、防火墙、Backup_Server;备份区的交换机分别与DMZ区的DMZ服务器组、核心应用区的核心区主OA和核心区备OA、DB区的DB_Server相连;备份区的Backup_Server分别与管理区的交换机、数据区的两个光纤交换机相连。
进一步地,DMZ区还包括两个互连的应用负载均衡,DMZ区中的两个WAF、两个应用负载均衡、两个交换机依次一对一地相连。
进一步地,核心应用区还包括两个互连的应用负载均衡,核心应用区中的两个WAF、两个应用负载均衡、两个交换机依次一对一地相连。
进一步地,DB区还包括一个数据库保险箱,数据库保险箱与其中一个第二交换机相连。
一种有效应对APT攻击的纵深防御系统,包括互联网接入区、DMZ区、核心应用区、DB区、管理区、数据区;
互联网接入区包括依次连接的交换机、链路负载均衡、防病毒网关、IPS、防火墙、核心交换机、VPN网关;
DMZ区包括依次连接的防火墙、WAF、交换机、DMZ服务器组;
核心应用区包括依次连接的防火墙、WAF、交换机、核心区主OA,还包括与交换机相连接的核心区备OA;
DMZ区的防火墙和核心应用区的防火墙均与互联网接入区的核心交换机相连接;
DB区包括依次连接的交换机、防火墙、数据库防火墙、交换机、DB_Server;DB区的交换机分别与DMZ区的DMZ服务器组、核心应用区的核心区主OA和核心区备OA相连接;
数据区包括互相连接的存储阵列和光纤交换机;光纤交换机与DB_Server相连接;
管理区包括依次连接的防火墙、堡垒主机、交换机和安全管理服务器;管理区的交换机分别与互联网接入区、核心应用区的核心区主OA、DMZ区的DMZ服务器组、DB区的DB_Server相连接。
进一步地,所述纵深防御系统还包括备份区;备份区包括依次连接的交换机、防火墙、Backup_Server;Backup_Server分别与DB_Server和管理区的交换机相连接。
本发明提供的有效应对APT攻击的纵深防御系统,采用了纵深网络结构,减少了区域防火墙数量,降低了设备成本,负载分摊至各个层级网络,实现了解放核心交换机压力的作用,提高了交换机的使用寿命;实现了数据流向将负载分摊至各个功能区域,流量不经过核心(无核心交换机概念)交换机,提高了设备的稳定性;实现了功能模块的划分,提高了各个功能模块的可控性;实现了各个功能子网均为闭环设计,不会因为交换机负载过大而取消部分ACL管控,提高了系统的安全性;修复了现行主流网络拓扑(星型)结构的缺陷,提高了内网中服务器及网络设备的安全性;避免了来自于内网的威胁,减少了攻击者的攻击路径,使之无法绕过串行链路中的防护设备的保护;入口仅限于互联网入口,提高了整体网络的安全性;另外,本发明采用了分段网络设计,各个功能子网之间有限信任,仅允许指定源一目的IP:端口形式通讯,提高了系统的安全性;本发明采用了最低信任单元机制,同一子网下的网络设备均不可见,提高了系统的安全性;本发明采用了应用层联合保护机制,DMZ服务器组/OA分区前端采用WAF防护机制,后置的DB分区部署数据库防火墙防护涉数据库脚本漏洞,相互补充、相互保护的机制,提高了系统的安全性;本发明采用了平级网络设备之间采用交换机隔离技术确保相互不可见,达到相互之间无法攻击的效果,纵向设备之间采用防火墙隔离技术,采用有限通讯的方式保护设备之间无法攻击,最大限度地提高了系统的安全性,可以很好地满足实际应用的需要。
附图说明
图1为实施例1的结构框图;
图2为实施例2的结构框图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,下面结合附图和具体实施例对本发明做进一步说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例1
如图1所示,一种有效应对APT攻击的纵深防御系统,包括互联网接入区、DMZ区、核心应用区、DB区、数据区、备份区、管理区;
互联网接入区包括2台互相连接的交换机、2台互相连接的链路负载均衡、两台互相连接的防病毒网关、两台互相连接的IPS、两个互相连接的防火墙、两台互相连接的核心交换机、一台VPN网关;互联网接入区的链路为主备链路;
在互联网接入区中,每个交换机分别与两个链路负载均衡相连,两个链路负载均衡与两个防病毒网关一对一地相连,每个链路负载均衡对应连接一个防病毒网关;两个防病毒网关与两台IPS一对一地相连,每个防病毒网关对应连接一个IPS;两台IPS与两台核心交换机一对一地相连,每个IPS对应连接一个核心交换机;VPN网关与其中一台核心交换机相连;每个交换机均接入Internet。
DMZ区包括两个互相连接的防火墙、两个互相连接的WAF、两个互相连接的应用负载均衡、两个互相连接的交换机、一个DMZ服务器组。DMZ区的链路可以为主备链路或单链路结构。
在DMZ区中,两个防火墙与两个WAF一对一地相连,每个防火墙对应连接一个WAF;DMZ区的两个防火墙与互联网接入区的两个核心交换机一对一地相连,每个防火墙对应连接一个核心交换机;两个WAF与两个应用负载均衡一对一地相连,每个WAF对应连接一个应用负载均衡;两个应用负载均衡与两个交换机一对一地相连,每个应用负载均衡对应连接一个交换机;两个交换机均连接到DMZ服务器组。另外,在DMZ区中,两个应用负载均衡为可选项,可以按需求加减,可以将其去掉,使两个WAF与两个交换机一对一地相连,每个WAF对应连接一个交换机。
核心应用区包括两个互相连接的防火墙、两个互相连接的WAF、两个互相连接的应用负载均衡、两个互相连接的交换机、一个核心区主OA、一个核心区备OA。核心应用区的链路为主备链路或单链路结构。
在核心应用区中,两个防火墙与两个WAF一对一地相连,每个防火墙对应连接一个WAF;核心应用区的两个防火墙与互联网接入区的两个核心交换机一对一地相连,核心应用区的每个防火墙对应连接互联网接入区的一个核心交换机;两个WAF与两个应用负载均衡一对一地相连,每个WAF对应连接一个应用负载均衡;两个应用负载均衡与两个交换机一对一地相连,每个应用负载均衡对应连接一个交换机;每个交换机分别与核心区主OA和核心区备OA相连。另外,在核心应用区中,两个应用负载均衡为可选项,可以按需求加减,可以将其去掉,使两个WAF与两个交换机一对一地相连,每个WAF对应连接一个交换机。
DB区包括两个互相连接的第一交换机、两个互相连接的防火墙、两个互相连接的数据库防火墙、两个互相连接的第二交换机、一个数据库保险箱、一个DB_Server。DB区的链路为主备链路。DB_Server即数据库服务器。
DB区的两个第一交换机均分别与DMZ区的DMZ服务器组、核心应用区的核心区主OA、核心区备OA相连;在DB区中,两个第一交换机与两个防火墙一对一地相连,每个第一交换机对应连接一个防火墙;两个防火墙与两个数据库防火墙一对一地相连,每个防火墙对应连接一个数据库防火墙;两个数据库防火墙与两个第二交换机一对一地相连,每个数据库防火墙对应连接一个第二交换机;两个第二交换机分别与DB_Server相连;数据库保险箱与其中一个第二交换机相连。其中DB区的数据库保险箱可以根据需要去掉。
备份区包括依次连接的交换机、防火墙、Backup_Server。
备份区的交换机分别与DMZ区的DMZ服务器组、核心应用区的核心区主OA和核心区备OA、DB区的DB_Server相连。备份区是非必需的,可以去掉。
数据区包括一个存储阵列、一个备份阵列、两个光纤交换机。存储阵列、备份阵列均分别与两个光纤交换机相连。两个光纤交换机均与备份区的Backup_Server、DB区的DB_Server相连。
管理区包括依次连接的防火墙、堡垒主机、交换机、一组安全管理服务器;其中交换机分别与互联网接入区、核心应用区的核心区主OA、备份区的Backup_Server、DMZ区的DMZ服务器组、DB区的DB_Server相连接。交换机的每个端口按照实际需求配置ACL访问控制列表,达到各端口之间不通讯的实际效果。
实施例2
如图2所示,一种有效应对APT攻击的纵深防御系统,包括互联网接入区、DMZ区、核心应用区、DB区、管理区、备份区、数据区。
互联网接入区包括依次连接的交换机、链路负载均衡、防病毒网关、IPS、防火墙、核心交换机、VPN网关。
DMZ区包括依次连接的防火墙、WAF、交换机、DMZ服务器组。
核心应用区包括依次连接的防火墙、WAF、交换机、核心区主OA,还包括与交换机相连接的核心区备OA。
DMZ区的防火墙和核心应用区的防火墙均与互联网接入区的核心交换机相连接。
DB区包括依次连接的交换机、防火墙、数据库防火墙、交换机、DB_Server。DB区的交换机分别与DMZ区的DMZ服务器组、核心应用区的核心区主OA和核心区备OA相连接。
数据区包括互相连接的存储阵列和光纤交换机。光纤交换机与DB区的DB_Server相连接。
备份区包括依次连接的交换机、防火墙、Backup_Server。备份区是非必需的,可以去掉。Backup_Server与DB_Server相连接。
管理区包括依次连接的防火墙、堡垒主机、交换机和安全管理服务器。管理区的交换机分别与互联网接入区、核心应用区的核心区主OA、备份区的Backup_Server、DMZ区的DMZ服务器组、DB区的DB_Server相连接。
本纵深防御系统的数据流向为纵向通讯,限制或禁止横向通讯;各交换机内使用ACL访问控制列表限制网内通讯;各分区采用封闭设计;数据流向为依次经过互联网接入区、DMZ区、核心应用区接入DB区,经过数据库防火墙的保护到达数据库服务器,连接发起不能由DB区发起。DMZ区、DB区、核心应用区、管理区的交换机内均设置有ACL访问控制列表。每个安全域(服务器组)的内部通讯通过交换机内设置ACL访问控制列表功能完成(安全域包括DMZ区、DB区、核心应用区、管理区),禁止安全域(服务器组)内设备相互通讯,仅仅接受上一级网络发起的访问,以保证服务器不会被内网攻击。
本发明提供的有效应对APT攻击的纵深防御系统,采用了纵深网络结构,减少了区域防火墙数量,降低了设备成本,负载分摊至各个层级网络,实现了解放核心交换机压力的作用,提高了交换机的使用寿命;实现了数据流向将负载分摊至各个功能区域,流量不经过核心(无核心交换机概念)交换机,提高了设备的稳定性;实现了功能模块的划分,提高了各个功能模块的可控性;实现了各个功能子网均为闭环设计,不会因为交换机负载过大而取消部分ACL管控,提高了系统的安全性;修复了现行主流网络拓扑(星型)结构的缺陷,提高了内网中服务器及网络设备的安全性;避免了来自于内网的威胁,减少了攻击者的攻击路径,使之无法绕过串行链路中的防护设备的保护;入口仅限于互联网入口;提高了整体网络的安全性;另外,本发明采用了分段网络设计,各个功能子网之间有限信任,仅允许指定源-目的IP:端口形式通讯,提高了系统的安全性;本发明采用了最低信任单元机制,同一子网下的网络设备均不可见,提高了系统的安全性;本发明采用了应用层联合保护机制,DMZ服务器组/OA分区前端采用WAF防护机制,后置的DB分区部署数据库防火墙防护涉数据库脚本漏洞,相互补充、相互保护的机制,提高了系统的安全性;本发明采用了平级网络设备之间采用交换机隔离技术确保相互不可见,达到相互之间无法攻击的效果,纵向设备之间采用防火墙隔离技术,采用有限通讯的方式保护设备之间无法攻击,最大限度地提高了系统的安全性,可以很好地满足实际应用的需要。
以上所述实施例仅表达了本发明的实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
Claims (8)
1.一种有效应对APT攻击的纵深防御系统,其特征在于,包括互联网接入区、DMZ区、核心应用区、DB区、数据区、管理区;互联网接入区包括2台互连的交换机、2台互连的链路负载均衡、两台互连的防病毒网关、两台互连的IPS、两个互连的防火墙、两台互连的核心交换机、一台VPN网关;在互联网接入区中,每个交换机分别与两个链路负载均衡相连,两个链路负载均衡、两个防病毒网关、两个防病毒网关、两台IPS、两台核心交换机依次一对一地相连;VPN网关与其中一台核心交换机相连;
DMZ区包括两个互连的防火墙、两个互连的WAF、两个互连的交换机、一个DMZ服务器组;
DMZ区的两个防火墙与互联网接入区的两个核心交换机一对一地相连;在DMZ区中,两个防火墙、两个WAF、两个交换机依次一对一地相连;两个交换机均连接到DMZ服务器组;
核心应用区包括两个互连的防火墙、两个互连的WAF、两个互连的交换机、一个核心区主OA、一个核心区备OA;核心应用区的两个防火墙与互联网接入区的两个核心交换机一对一地相连;在核心应用区中,两个防火墙、两个WAF、两个交换机依次一对一地相连;每个交换机分别与核心区主OA和核心区备OA相连;DB区包括两个互连的第一交换机、两个互连的防火墙、两个互连的数据库防火墙、两个互连的第二交换机、一个DB_Server;DB区的两个第一交换机均分别与DMZ区的DMZ服务器组、核心应用区的核心区主OA、核心区备OA相连;在DB区中,两个第一交换机、两个防火墙、两个数据库防火墙、两个第二交换机依次一对一地相连;两个第二交换机分别与DB_Server相连;
数据区包括一个存储阵列、一个备份阵列、两个光纤交换机;存储阵列、备份阵列均分别与两个光纤交换机相连;两个光纤交换机均与DB区的DB_Server相连;管理区包括依次连接的防火墙、堡垒主机、交换机、一组安全管理服务器;其中交换机分别与互联网接入区、核心应用区的核心区主OA、DMZ区的DMZ服务器组、DB区的DB_Server相连接。
2.根据权利要求1所述的纵深防御系统,其特征在于,所述纵深防御系统还包括备份区,备份区包括依次连接的交换机、防火墙、Backup_Server;备份区的交换机分别与DMZ区的DMZ服务器组、核心应用区的核心区主OA和核心区备OA、DB区的DB_Server相连;备份区的Backup_Server分别与管理区的交换机、数据区的两个光纤交换机相连。
3.根据权利要求1所述的纵深防御系统,其特征在于,DMZ区还包括两个互连的应用负载均衡,DMZ区中的两个WAF、两个应用负载均衡、两个交换机依次一对一地相连。
4.根据权利要求1所述的纵深防御系统,其特征在于,核心应用区还包括两个互连的应用负载均衡,核心应用区中的两个WAF、两个应用负载均衡、两个交换机依次一对一地相连。
5.根据权利要求1所述的纵深防御系统,其特征在于,DB区还包括一个数据库保险箱,数据库保险箱与其中一个第二交换机相连。
6.一种有效应对APT攻击的纵深防御系统,其特征在于,包括互联网接入区、DMZ区、核心应用区、DB区、管理区、数据区;
互联网接入区包括依次连接的交换机、链路负载均衡、防病毒网关、IPS、防火墙、核心交换机、VPN网关;
DMZ区包括依次连接的防火墙、WAF、交换机、DMZ服务器组;
核心应用区包括依次连接的防火墙、WAF、交换机、核心区主OA,还包括与交换机相连接的核心区备OA;
DMZ区的防火墙和核心应用区的防火墙均与互联网接入区的核心交换机相连接;DB区包括依次连接的交换机、防火墙、数据库防火墙、交换机、DB_Server;DB区的交换机分别与DMZ区的DMZ服务器组、核心应用区的核心区主OA和核心区备OA相连接;
数据区包括互相连接的存储阵列和光纤交换机;光纤交换机与DB_Server相连接;管理区包括依次连接的防火墙、堡垒主机、交换机和安全管理服务器;管理区的交换机分别与互联网接入区、核心应用区的核心区主OA、DMZ区的DMZ服务器组、DB区的DB_Server相连接。
7.根据权利要求6所述的纵深防御系统,其特征在于,所述纵深防御系统还包括备份区;备份区包括依次连接的交换机、防火墙、Backup_Server;Backup_Server分别与DB_Server和管理区的交换机相连接。
8.根据权利要求6所述的纵深防御系统,其特征在于,所述纵深防御系统在DMZ、OA、DB、管理安全域内部交换机分别设置ACL访问控制列表,禁止同一安全域内的服务器进行非授权数据交互,即横向不能够通讯。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711017911.5A CN107659582B (zh) | 2017-10-27 | 2017-10-27 | 一种有效应对apt攻击的纵深防御系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711017911.5A CN107659582B (zh) | 2017-10-27 | 2017-10-27 | 一种有效应对apt攻击的纵深防御系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107659582A CN107659582A (zh) | 2018-02-02 |
| CN107659582B true CN107659582B (zh) | 2023-08-08 |
Family
ID=61095036
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711017911.5A Active CN107659582B (zh) | 2017-10-27 | 2017-10-27 | 一种有效应对apt攻击的纵深防御系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107659582B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111314282A (zh) * | 2019-12-06 | 2020-06-19 | 李刚 | 零信任网络安全系统 |
| CN114205166A (zh) * | 2021-12-17 | 2022-03-18 | 浙江泰嘉光电科技有限公司 | 病毒防护系统 |
| CN114900371A (zh) * | 2022-06-27 | 2022-08-12 | 镇江港务集团有限公司 | 一种具有提示功能的网络安全检测装置及提示方法 |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101110693A (zh) * | 2006-07-17 | 2008-01-23 | 上海华虹Nec电子有限公司 | 一种互联网网站安全架构系统 |
| US7643468B1 (en) * | 2004-10-28 | 2010-01-05 | Cisco Technology, Inc. | Data-center network architecture |
| CN203554506U (zh) * | 2013-10-22 | 2014-04-16 | 上海忆通广达信息技术有限公司 | 基于防火墙和防毒墙的高防御网络通信系统 |
| CN203896379U (zh) * | 2014-05-23 | 2014-10-22 | 山东理工大学 | 具有可靠访问控制性能的防火墙系统 |
| CN104283721A (zh) * | 2014-10-30 | 2015-01-14 | 中国二十二冶集团有限公司 | 双核心三层网络系统架构 |
| CN104618379A (zh) * | 2015-02-04 | 2015-05-13 | 北京天地互连信息技术有限公司 | 一种面向idc业务场景的安全服务编排方法及网络结构 |
| CN205142271U (zh) * | 2015-12-04 | 2016-04-06 | 成都思迈信通科技有限公司 | 一种采用具有防火墙功能的交换机的网络安全防护装置 |
| CN205142275U (zh) * | 2015-12-04 | 2016-04-06 | 成都思迈信通科技有限公司 | 一种采用分布式交换机的交通行业网络防护装置 |
| CN205510109U (zh) * | 2016-04-02 | 2016-08-24 | 电子科技大学 | 用于云计算环境的多服务动态路由系统 |
| CN205792705U (zh) * | 2016-05-30 | 2016-12-07 | 深圳市华傲数据技术有限公司 | 大数据资源库的网络系统 |
| CN207518625U (zh) * | 2017-10-27 | 2018-06-19 | 李刚 | 一种有效应对apt攻击的纵深防御系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7558261B2 (en) * | 2004-10-28 | 2009-07-07 | Cisco Technology, Inc. | Architecture and method for accessing services in a data center |
-
2017
- 2017-10-27 CN CN201711017911.5A patent/CN107659582B/zh active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7643468B1 (en) * | 2004-10-28 | 2010-01-05 | Cisco Technology, Inc. | Data-center network architecture |
| CN101110693A (zh) * | 2006-07-17 | 2008-01-23 | 上海华虹Nec电子有限公司 | 一种互联网网站安全架构系统 |
| CN203554506U (zh) * | 2013-10-22 | 2014-04-16 | 上海忆通广达信息技术有限公司 | 基于防火墙和防毒墙的高防御网络通信系统 |
| CN203896379U (zh) * | 2014-05-23 | 2014-10-22 | 山东理工大学 | 具有可靠访问控制性能的防火墙系统 |
| CN104283721A (zh) * | 2014-10-30 | 2015-01-14 | 中国二十二冶集团有限公司 | 双核心三层网络系统架构 |
| CN104618379A (zh) * | 2015-02-04 | 2015-05-13 | 北京天地互连信息技术有限公司 | 一种面向idc业务场景的安全服务编排方法及网络结构 |
| CN205142271U (zh) * | 2015-12-04 | 2016-04-06 | 成都思迈信通科技有限公司 | 一种采用具有防火墙功能的交换机的网络安全防护装置 |
| CN205142275U (zh) * | 2015-12-04 | 2016-04-06 | 成都思迈信通科技有限公司 | 一种采用分布式交换机的交通行业网络防护装置 |
| CN205510109U (zh) * | 2016-04-02 | 2016-08-24 | 电子科技大学 | 用于云计算环境的多服务动态路由系统 |
| CN205792705U (zh) * | 2016-05-30 | 2016-12-07 | 深圳市华傲数据技术有限公司 | 大数据资源库的网络系统 |
| CN207518625U (zh) * | 2017-10-27 | 2018-06-19 | 李刚 | 一种有效应对apt攻击的纵深防御系统 |
Non-Patent Citations (1)
| Title |
|---|
| 阙非 ; .基于网络拓扑建设高校网络安全.网络安全技术与应用.2017,(10),全文. * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107659582A (zh) | 2018-02-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Abdou et al. | Comparative analysis of control plane security of SDN and conventional networks | |
| US10084751B2 (en) | Load balancing among a cluster of firewall security devices | |
| US9288183B2 (en) | Load balancing among a cluster of firewall security devices | |
| Gillani et al. | Agile virtualized infrastructure to proactively defend against cyber attacks | |
| US9503324B2 (en) | Systems and methods for enterprise mission management of a computer network | |
| KR101531472B1 (ko) | 방화벽 클러스터에서의 애플리케이션 상태 공유 | |
| CN107659582B (zh) | 一种有效应对apt攻击的纵深防御系统 | |
| CN111385326B (zh) | 轨道交通通信系统 | |
| CN111314282A (zh) | 零信任网络安全系统 | |
| CN108900549A (zh) | 一种安全的区块链组网技术 | |
| Naseer | Implementation of Hybrid Mesh firewall and its future impacts on Enhancement of cyber security | |
| Zhang et al. | Deployment of intrusion prevention system based on software defined networking | |
| CN113645213A (zh) | 一种基于vpn技术的多终端网络管理监控系统 | |
| Monshizadeh et al. | An adaptive detection and prevention architecture for unsafe traffic in SDN enabled mobile networks | |
| Chang et al. | Cloud-clustered firewall with distributed SDN devices | |
| CN207518625U (zh) | 一种有效应对apt攻击的纵深防御系统 | |
| Ali et al. | SDNFV-based DDoS detection and remediation in multi-tenant, virtualised infrastructures | |
| Faujdar et al. | Network security in Software defined Networks (SDN) | |
| CN211183990U (zh) | 零信任网络安全系统 | |
| Saranya et al. | A survey for restricting the DDOS traffic flooding and worm attacks in Internet | |
| Mutaher et al. | OPENFLOW CONTROLLER-BASED SDN: SECURITY ISSUES AND COUNTERMEASURES. | |
| Lu | Research and Implementation of Security Technology in Campus Network Construction | |
| Samson et al. | Software defined networking: Identification of pathways for security threats | |
| Al-Shaer et al. | Agile virtual infrastructure for cyber deception against stealthy DDoS attacks | |
| Dautov et al. | Distributed Ledger Methods In Securing Software-Defined Networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |