CN110138806A - 一种实现高可靠性的防火墙系统 - Google Patents

一种实现高可靠性的防火墙系统 Download PDF

Info

Publication number
CN110138806A
CN110138806A CN201910506638.5A CN201910506638A CN110138806A CN 110138806 A CN110138806 A CN 110138806A CN 201910506638 A CN201910506638 A CN 201910506638A CN 110138806 A CN110138806 A CN 110138806A
Authority
CN
China
Prior art keywords
data
module
unit
network
high reliability
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201910506638.5A
Other languages
English (en)
Other versions
CN110138806B (zh
Inventor
王恒
刘喆
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Wuhan Tongwei Electronics Co Ltd
Original Assignee
Wuhan Tongwei Electronics Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Wuhan Tongwei Electronics Co Ltd filed Critical Wuhan Tongwei Electronics Co Ltd
Priority to CN201910506638.5A priority Critical patent/CN110138806B/zh
Publication of CN110138806A publication Critical patent/CN110138806A/zh
Application granted granted Critical
Publication of CN110138806B publication Critical patent/CN110138806B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明涉及网络安全技术领域,尤其是一种实现高可靠性的防火墙系统,包括英特网输入单元、核心交换机以及数据输出单元,所述通过数据过滤模块对网络数据数据包进行过滤,同时将存在问题的数据包分别传递至攻击处理模块以及数据管理模块,同时攻击处理模块通过以太网与数据输出模块相连接,且数据输出模块与数据管理模块相连接,数据输出模块与多个内部办公PC端相连接。利用数据过滤模块对外部的网络进行净化,从而危险源头上进行防护,及时有危险的数据通过更改IP地址进行内部网络,入侵者需要与壁垒主机进行竞争,同时壁垒主机是高安全性的主机,从而该系统从而网络外部以及内部均加以防护,提高了系统的安全性。

Description

一种实现高可靠性的防火墙系统
技术领域
本发明涉及网络安全技术领域,尤其涉及一种实现高可靠性的防火墙系统。
背景技术
防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的边界上构造的保护屏障。
现有技术中的防护墙只能够对外部的网络进行防护,却无法对内部的网络进行防护,从而使得对内部的网络的安全性失去了控制,降低了网络的安全性。
发明内容
本发明的目的是为了解决现有技术中存在的缺点,而提出的一种实现高可靠性的防火墙系统。
为了实现上述目的,本发明采用了如下技术方案:
设计一种实现高可靠性的防火墙系统,包括英特网输入单元、核心交换机以及数据输出单元,所述英特网输入单元将外部的数据通过英特网传输至数据过滤模块,通过数据过滤模块对网络数据数据包进行过滤,同时将存在问题的数据包分别传递至攻击处理模块以及数据管理模块,同时攻击处理模块通过以太网与数据输出模块相连接,且数据输出模块与数据管理模块相连接,数据输出模块与多个内部办公PC端相连接,从而能够对由英特网输入单元传入的数据进行过滤、管理以及检测处理,实现了对公司内部的多个内部办公PC端进行安全防护,提高了网络保护的安全性。
优选的,所述数据过滤模块包括过滤路由器单元,通过过滤路由器单元实现对英特网输入单元传入的数据包源IP地址单元、目的IP地址单元、源端口单元以及目的端口单元中的数据进行过滤,将存在问题的数据传入攻击处理模块以及数据管理模块中进行处理,同时将过滤后安全的数据传递至核心交换机单元。
优选的,所述数据输出模块包括内部服务器单元以及内部壁垒主机模块,且内部服务器单元与内部壁垒主机模块之间通过内部网络模块进行连接,内部壁垒主机模块作为该系统中安全性最高的模块,对系统的安全性起到严密监控的作用,同时不能作为病毒的跳板,对数据信息有很好的保护效果。
优选的,所述攻击处理模块包括危险追踪单元、躲避单元、自愈单元以及快速修复单元,且攻击处理模块设立在内部壁垒主机模块内,危险追踪单元能够通过内部壁垒主机追查攻击者的真实来源;躲避单元能够借助内部壁垒主机重新配置辅助系统,间接的对过滤路由器单元中的过滤表进行修改,切断任何尝试性的连接。
优选的,所述自愈单元通过数据过滤模块发现的安全隐患数据源以及漏斗,通过内部壁垒主机进行自动修正系统配置以及安全间隙。
优选的,所述数据管理模块包括入侵检测单元、封堵单元、地址记录单元以及网络隔离单元,且数据管理模块建立在内部壁垒主机内,通过对存在危险数据源的检测,记录危险数据源的IP地址,同时对该危险数据云进行封堵,并通过核心交换机实现对网络的隔离,避免危险源继续扩大。
本发明提出的一种实现高可靠性的防火墙系统,有益效果在于:该实现高可靠性的防火墙系统利用数据过滤模块对外部的网络进行净化,从而危险源头上进行防护,及时有危险的数据通过更改IP地址进行内部网络,入侵者需要与壁垒主机进行竞争,同时壁垒主机是高安全性的主机,从而该系统从而网络外部以及内部均加以防护,提高了系统的安全性。
附图说明
图1为本发明提出的一种实现高可靠性的防火墙系统的系统框图。
图2为本发明提出的一种实现高可靠性的防火墙系统的攻击处理模块的系统框图。
图3为本发明提出的一种实现高可靠性的防火墙系统的数据过滤模块的系统框图。
图4为本发明提出的一种实现高可靠性的防火墙系统的数据管理模块的系统框图。
图5为本发明提出的一种实现高可靠性的防火墙系统的数据输出模块的系统框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。
参照图1-5,一种实现高可靠性的防火墙系统,包括英特网输入单元、核心交换机以及数据输出单元,英特网输入单元将外部的数据通过英特网传输至数据过滤模块,通过数据过滤模块对网络数据数据包进行过滤,同时将存在问题的数据包分别传递至攻击处理模块以及数据管理模块,同时攻击处理模块通过以太网与数据输出模块相连接,且数据输出模块与数据管理模块相连接,数据输出模块与多个内部办公PC端相连接,从而能够对由英特网输入单元传入的数据进行过滤、管理以及检测处理,实现了对公司内部的多个内部办公PC端进行安全防护,提高了网络保护的安全性。
数据过滤模块包括过滤路由器单元,通过过滤路由器单元实现对英特网输入单元传入的数据包源IP地址单元、目的IP地址单元、源端口单元以及目的端口单元中的数据进行过滤,将存在问题的数据传入攻击处理模块以及数据管理模块中进行处理,同时将过滤后安全的数据传递至核心交换机单元,该设置能够使得系统能够对外部网络进行净化,隔绝入侵者的干扰。
数据输出模块包括内部服务器单元以及内部壁垒主机模块,且内部服务器单元与内部壁垒主机模块之间通过内部网络模块进行连接,内部壁垒主机模块作为该系统中安全性最高的模块,对系统的安全性起到严密监控的作用,同时不能作为病毒的跳板,对数据信息有很好的保护效果,在入侵者改变了IP地址或利用虚假的IP地址进入了内部的网络,壁垒主机将会与入侵者进行竞争,由于壁垒主机安全性较高,能够将入侵者进行隔绝,从而实现了对内部网络的保护。
攻击处理模块包括危险追踪单元、躲避单元、自愈单元以及快速修复单元,且攻击处理模块设立在内部壁垒主机模块内,危险追踪单元能够通过内部壁垒主机追查攻击者的真实来源;躲避单元能够借助内部壁垒主机重新配置辅助系统,间接的对过滤路由器单元中的过滤表进行修改,切断任何尝试性的连接,自愈单元通过数据过滤模块发现的安全隐患数据源以及漏斗,通过内部壁垒主机进行自动修正系统配置以及安全间隙,提高了系统的自动修复能力以及防护能力。
数据管理模块包括入侵检测单元、封堵单元、地址记录单元以及网络隔离单元,且数据管理模块建立在内部壁垒主机内,通过对存在危险数据源的检测,记录危险数据源的IP地址,同时对该危险数据云进行封堵,并通过核心交换机实现对网络的隔离,避免危险源继续扩大。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,根据本发明的技术方案及其发明构思加以等同替换或改变,都应涵盖在本发明的保护范围之内。

Claims (6)

1.一种实现高可靠性的防火墙系统,包括英特网输入单元、核心交换机以及数据输出单元,其特征在于,所述英特网输入单元将外部的数据通过英特网传输至数据过滤模块,通过数据过滤模块对网络数据数据包进行过滤,同时将存在问题的数据包分别传递至攻击处理模块以及数据管理模块,同时攻击处理模块通过以太网与数据输出模块相连接,且数据输出模块与数据管理模块相连接,数据输出模块与多个内部办公PC端相连接,从而能够对由英特网输入单元传入的数据进行过滤、管理以及检测处理,实现了对公司内部的多个内部办公PC端进行安全防护,提高了网络保护的安全性。
2.根据权利要求1所述的一种实现高可靠性的防火墙系统,其特征在于,所述数据过滤模块包括过滤路由器单元,通过过滤路由器单元实现对英特网输入单元传入的数据包源IP地址单元、目的IP地址单元、源端口单元以及目的端口单元中的数据进行过滤,将存在问题的数据传入攻击处理模块以及数据管理模块中进行处理,同时将过滤后安全的数据传递至核心交换机单元。
3.根据权利要求1所述的一种实现高可靠性的防火墙系统,其特征在于,所述数据输出模块包括内部服务器单元以及内部壁垒主机模块,且内部服务器单元与内部壁垒主机模块之间通过内部网络模块进行连接,内部壁垒主机模块作为该系统中安全性最高的模块,对系统的安全性起到严密监控的作用,同时不能作为病毒的跳板,对数据信息有很好的保护效果。
4.根据权利要求1所述的一种实现高可靠性的防火墙系统,其特征在于,所述攻击处理模块包括危险追踪单元、躲避单元、自愈单元以及快速修复单元,且攻击处理模块设立在内部壁垒主机模块内,危险追踪单元能够通过内部壁垒主机追查攻击者的真实来源;躲避单元能够借助内部壁垒主机重新配置辅助系统,间接的对过滤路由器单元中的过滤表进行修改,切断任何尝试性的连接。
5.根据权利要求4所述的一种实现高可靠性的防火墙系统,其特征在于,所述自愈单元通过数据过滤模块发现的安全隐患数据源以及漏斗,通过内部壁垒主机进行自动修正系统配置以及安全间隙。
6.根据权利要求1所述的一种实现高可靠性的防火墙系统,其特征在于,所述数据管理模块包括入侵检测单元、封堵单元、地址记录单元以及网络隔离单元,且数据管理模块建立在内部壁垒主机内,通过对存在危险数据源的检测,记录危险数据源的IP地址,同时对该危险数据云进行封堵,并通过核心交换机实现对网络的隔离,避免危险源继续扩大。
CN201910506638.5A 2019-06-12 2019-06-12 一种实现高可靠性的防火墙系统 Active CN110138806B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910506638.5A CN110138806B (zh) 2019-06-12 2019-06-12 一种实现高可靠性的防火墙系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910506638.5A CN110138806B (zh) 2019-06-12 2019-06-12 一种实现高可靠性的防火墙系统

Publications (2)

Publication Number Publication Date
CN110138806A true CN110138806A (zh) 2019-08-16
CN110138806B CN110138806B (zh) 2022-07-12

Family

ID=67581234

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910506638.5A Active CN110138806B (zh) 2019-06-12 2019-06-12 一种实现高可靠性的防火墙系统

Country Status (1)

Country Link
CN (1) CN110138806B (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101242316A (zh) * 2008-02-03 2008-08-13 西安交大捷普网络科技有限公司 基于快速聚类算法的网络异常检测方法
CN102333090A (zh) * 2011-09-28 2012-01-25 辽宁国兴科技有限公司 一种内控堡垒主机及安全访问内网资源的方法
US20150040231A1 (en) * 2003-07-01 2015-02-05 Securityprofiling, Llc Computer program product and apparatus for multi-path remediation
CN106685924A (zh) * 2016-11-25 2017-05-17 合肥海亚信息科技有限公司 一种基于防火墙的网络安全检测系统
CN108540480A (zh) * 2018-04-19 2018-09-14 中电和瑞科技有限公司 一种网关以及基于网关的文件访问控制方法
CN108540441A (zh) * 2018-02-07 2018-09-14 广州锦行网络科技有限公司 一种基于真实性虚拟网络的主动防御系统及方法

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150040231A1 (en) * 2003-07-01 2015-02-05 Securityprofiling, Llc Computer program product and apparatus for multi-path remediation
CN101242316A (zh) * 2008-02-03 2008-08-13 西安交大捷普网络科技有限公司 基于快速聚类算法的网络异常检测方法
CN102333090A (zh) * 2011-09-28 2012-01-25 辽宁国兴科技有限公司 一种内控堡垒主机及安全访问内网资源的方法
CN106685924A (zh) * 2016-11-25 2017-05-17 合肥海亚信息科技有限公司 一种基于防火墙的网络安全检测系统
CN108540441A (zh) * 2018-02-07 2018-09-14 广州锦行网络科技有限公司 一种基于真实性虚拟网络的主动防御系统及方法
CN108540480A (zh) * 2018-04-19 2018-09-14 中电和瑞科技有限公司 一种网关以及基于网关的文件访问控制方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
LUBIAOPAN: ""经典组合 堡垒主机构建防火墙系统"", 《HTTPS://BLOG.CSDN.NET/LUBIAOPAN/ARTICLE/DETAILS/4744946》 *
WANGPANDA6: ""思科、华为防火墙做端口回流解决内网主机无法通过公网访问内网服务的问题 "", 《HTTPS://WWW.CNBLOGS.COM/WANGPANDA/P/7552608.HTML》 *

Also Published As

Publication number Publication date
CN110138806B (zh) 2022-07-12

Similar Documents

Publication Publication Date Title
US9917857B2 (en) Logging attack context data
CN110071929B (zh) 一种基于虚拟化平台的海量诱饵捕获攻击源的防御方法
Sandaruwan et al. PLC security and critical infrastructure protection
WO2020103454A1 (zh) 一种针对内外网摄像头配置弱口令漏洞的防御方法
CN108809970B (zh) 一种智能家居安全网关的安全防护方法
CN109543301A (zh) 一种基于工业控制的网络安全攻击原型建模方法
CN1725709A (zh) 网络设备与入侵检测系统联动的方法
CN110572412A (zh) 云环境下基于入侵检测系统反馈的防火墙及其实现方法
CN104683332A (zh) 一种工业控制网络中的安全隔离网关及其安全隔离方法
CN105516189B (zh) 基于大数据平台的网络安全实施系统及方法
JP6256773B2 (ja) セキュリティシステム
CN104954864B (zh) 双向机顶盒入侵检测系统及其检测方法
EP3391272A1 (en) Method and system for a distributed early attack warning platform (deawp)
Suo et al. Research on the application of honeypot technology in intrusion detection system
CN111464551A (zh) 一种网络安全分析系统
KR101006372B1 (ko) 유해 트래픽 격리 시스템 및 방법
CN110138806A (zh) 一种实现高可靠性的防火墙系统
CN106953830B (zh) Dns安全防护方法、装置及dns
TW201141155A (en) Alliance type distributed network intrusion prevention system and method thereof
Li et al. A new type of intrusion prevention system
CN108965253A (zh) 一种基于人工智能的网络安全系统
CN204669400U (zh) 网络出口侧安全认证装置
CN115150140A (zh) 一种基于集中统一布防的分布式攻击诱捕系统及方法
KR100651749B1 (ko) 알려지지 않은 악성 트래픽 탐지 방법 및 그 장치
US9325589B1 (en) Audible network traffic notification system

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant