CN110535867B - 一种服务器安全装置、方法和服务器 - Google Patents
一种服务器安全装置、方法和服务器 Download PDFInfo
- Publication number
- CN110535867B CN110535867B CN201910828289.9A CN201910828289A CN110535867B CN 110535867 B CN110535867 B CN 110535867B CN 201910828289 A CN201910828289 A CN 201910828289A CN 110535867 B CN110535867 B CN 110535867B
- Authority
- CN
- China
- Prior art keywords
- module
- optical
- message
- server
- optical module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 20
- 230000003287 optical effect Effects 0.000 claims abstract description 321
- 239000013307 optical fiber Substances 0.000 claims abstract description 122
- 238000001914 filtration Methods 0.000 claims abstract description 72
- 230000006854 communication Effects 0.000 claims description 38
- 238000004891 communication Methods 0.000 claims description 37
- 239000000835 fiber Substances 0.000 claims description 12
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 abstract description 26
- 241000700605 Viruses Species 0.000 abstract description 25
- 238000010586 diagram Methods 0.000 description 8
- 230000002155 anti-virotic effect Effects 0.000 description 4
- 239000004744 fabric Substances 0.000 description 4
- 238000009434 installation Methods 0.000 description 4
- 230000006399 behavior Effects 0.000 description 3
- 230000000694 effects Effects 0.000 description 2
- 230000002452 interceptive effect Effects 0.000 description 2
- 230000003449 preventive effect Effects 0.000 description 2
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000009545 invasion Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000008707 rearrangement Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明实施例公开了一种服务器安全装置、方法和服务器。包括:光纤网卡、分光器和网卡驱动模块;光纤网卡上设置第一光模块和第二光模块;网卡驱动模块包括转发模块、发送过滤模块和接收过滤模块;第一光模块的发送端和接收端分别与分光器的输入端和第一输出端连接;分光器第二输出端与光纤交换机连接;第二光模块配置IP地址,其接收端与光纤交换机连接,发送端悬空;转发模块接收第二光模块发送的报文,并转发至第一光模块;发送过滤模块将转发模块接收的报文过滤,使过滤后的报文转发至第一光模块;接收过滤模块将外部发送的报文过滤,使第二光模块接收过滤后的报文。本发明实施例可以实现服务器连入网络后不易被木马病毒入侵,保障服务器安全。
Description
技术领域
本发明实施例涉及网络应用服务器技术,尤其涉及一种服务器安全装置、方法和服务器。
背景技术
服务器作为网络节点资源,存储和处理着生产生活中频繁交互的数据、订单。服务器自身安全防护存在问题时,交互数据会受到影响,如数据篡改、数据存储丢失等,给人们造成损失。服务器安全问题主要来自于网络,木马病毒利用互联网肆意传播,给人们工作和生活带来困扰。
木马病毒入侵服务器的根源是服务器默认在系统安装后,稍做网卡配置后插入网线,便立即连入网络进行访问。对于网络的使用(例如访问网络端口、协议)没有任何限制。目前,服务器多数安装的是Linux系统,有一些预防的措施,如操作系统漏洞扫描,及时安装对应的补丁,安装和升级杀毒程序,启用操作系统自带防火墙。
但服务器的预防措施不能完全堵住操作系统中存在某种后门或者漏洞,一旦木马病毒植入计算机,就可以通过木马程序控制该计算机,杀毒程序和操作系统自带的防火墙都将形同虚设。
发明内容
本发明提供一种服务器安全装置、方法和服务器,可以实现服务器连入网络后不易被木马病毒入侵,保障服务器安全。
第一方面,本发明实施例提供了一种服务器安全装置,该装置包括:光纤网卡、分光器和网卡驱动模块;所述光纤网卡上设置有第一光模块和第二光模块;所述网卡驱动模块包括转发模块、发送过滤模块和接收过滤模块;所述第一光模块的发送端通过光纤与所述分光器的输入端进行物理连接;所述第一光模块的接收端通过光纤与所述分光器的第一输出端进行物理连接;所述分光器的第二输出端与外部的光纤交换机进行物理连接;所述第二光模块的接收端通过光纤与所述光纤交换机进行物理连接;所述第二光模块配置有服务器的互联网协议(Internet Protocol,IP)地址;所述第二光模块的发送端悬空;所述转发模块,用于接收所述第二光模块发送的报文,并将接收到的报文转发至所述第一光模块;其中,所述报文中携带服务器的IP地址;所述发送过滤模块,用于将所述转发模块接收到的不符合第一设定规则的报文进行过滤,以使过滤后的报文转发至所述第一光模块以及通过所述第一光模块将过滤后的报文向外部客户端进行发送;所述接收过滤模块,用于将外部客户端发送的不符合第二设定规则的报文进行过滤,以使所述第二光模块接收过滤后的报文。
第二方面,本发明实施例还提供了一种服务器安全装置,该装置包括:光纤网卡和分光器;所述光纤网卡上设置有第一光模块和第二光模块;所述第一光模块的发送端通过光纤与所述分光器的输入端进行物理连接;所述第一光模块的接收端通过光纤与所述分光器的第一输出端进行物理连接;所述分光器的第二输出端与外部的光纤交换机进行物理连接;所述第二光模块的接收端通过光纤与所述光纤交换机进行物理连接;所述第二光模块配置有服务器的IP地址;所述第二光模块的发送端悬空。
第三方面,本发明实施例还提供了一种服务器安全方法,应用于前述的服务器安全装置,其中,所述装置包括光纤网卡、分光器和网卡驱动模块;所述光纤网卡上设置有第一光模块和第二光模块;所述网卡驱动模块包括转发模块、发送过滤模块和接收过滤模块;所述第一光模块的发送端通过光纤与所述分光器的输入端进行物理连接;所述第一光模块的接收端通过光纤与所述分光器的第一输出端进行物理连接;所述分光器的第二输出端与外部的光纤交换机进行物理连接;所述第二光模块的接收端通过光纤与所述光纤交换机进行物理连接;所述第二光模块配置有服务器的IP地址;所述第二光模块的发送端悬空;通过所述转发模块接收所述第二光模块发送的报文,并将接收到的报文转发至所述第一光模块;其中,所述报文中携带服务器的IP地址;通过所述发送过滤模块将所述转发模块接收到的不符合第一设定规则的报文进行过滤,以使过滤后的报文转发至所述第一光模块以及通过所述第一光模块将过滤后的报文向外部客户端进行发送;通过所述接收过滤模块将外部客户端发送的不符合第二设定规则的报文进行过滤,以使所述第二光模块接收过滤后的报文。
第四方面,本发明实施例还提供了一种服务器,该服务器包括本发明实施例提供的服务器安全装置。
本发明实施例通过将光纤网卡上的第一光模块与第二光模块重新进行物理连接构成新的发送接收组对,具体的,第一光模块的发送端和接收端分别与分光器的输入端和第一输出端通过光纤进行物理连接,分光器的第二输出端通过光纤与光纤交换机进行物理连接;第二光模块的接收端通过光纤与光纤交换机进行物理连接,发送端悬空;其中,第二光模块配置服务器的IP地址。这种物理连接构成新的发送接收组对可以在没有下发给光纤网卡规则前,比如,服务器新安装操作系统后(即使配置了相应的IP地址),服务器不经意连入网络,要发起网络请求时,在没有驱动的其他外加干预下,报文从第二光模块的发送端发送,但由于第二光模块的发送端悬空,致使报文发送无效,可以实现服务器不经意连入网络时不能与外部客户端通信,可以保证服务器安全。在网卡驱动模块上设置转发模块,可以通过转发模块将第二光模块的发送端的报文转发到第一光模块的发送端,顺利完成网络发送。第二光模块的接收端可以接收需要接收的报文。这样可以实现服务器与外部客户端的正常通信。但是如果转发模块是无条件转发,那么跟平常的光纤网卡上的光模块没有什么区别。本发明实施例在网卡驱动确定上也设置了发送过滤模块和接收过滤模块,可以通过发送过滤模块在转发之前对不符合第一设定规则的报文进行过滤,使过滤后的报文转发通过转发模块至第一光模块,可以通过接收过滤模块对不符合第二设定规则的接收的报文进行过滤,使第二光模块接收过滤后的报文。通过这种物理连接构成新的发送接收组和网卡驱动模块上设置的转发模块、发送过滤模块以及接收过滤模块,解决了服务器在新安装操作系统后(即使配置了相应的IP地址),服务器不经意连入网络,要发起网络请求时,在没有驱动的其他外加干预下,与外部客户端通信导致的易被木马病毒入侵的问题,以及外加网卡驱动模块与外部客户端通信时,发送或者接收不符合规则的报文导致的易被木马病毒入侵的问题,实现了服务器安全的效果。
附图说明
图1是本发明实施例一和实施例二提供的服务器安全装置的结构示意图;
图2是本发明实施例一提供的服务器安全装置的结构示意图;
图3是本发明实施例三提供的服务器安全方法的流程图;
图4是本发明实施例四提供的服务器的结构示意图;
图5是本发明实施例四提供的服务器与外部设备网络连接示意图。
具体实施方式
下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释本发明,而非对本发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与本发明相关的部分而非全部结构。
实施例一
图1和图2为本发明实施例一提供的服务器安全装置结构示意图,本发明实施例可适用于安装Linux操作系统的服务器实现安全网络通信的情况,并可以集成于服务器主板中,如图1和图2所示,该装置具体包括:光纤网卡110、分光器140和网卡驱动模块(图1和图2中未示出)。
其中,光纤网卡110可以通过PCI-E插口170插入到服务器内部101的主板上,可以实现服务器100与外部客户端的通信。分光器140可以是一分二的分光器。网卡驱动模块可以配置在操作系统中,可以驱动光纤网卡110。
如图1所示,光纤网卡110上设置有第一光模块120和第二光模块130;第一光模块120的发送端122通过光纤与分光器140的输入端141进行物理连接;第一光模块120的接收端121通过光纤与分光器140的第一输出端142进行物理连接;分光器140的第二输出端143与外部的光纤交换机160进行物理连接;第二光模块130的接收端131通过光纤与光纤交换机160进行物理连接;第二光模块130配置有服务器100的IP地址;第二光模块130的发送端132悬空。
其中,光纤网卡110上可以有至少两个光模块,如第一光模块120和第二光模块130,可以通过光模块的接收端或者发送端实现服务器与外部客户端间接收或者发送报文。通过上述的物理连接,本发明实施例利用光纤网卡110上的第一光模块120的发送端122和第二光模块130的接收端131可以构成新的发送接收组对。其中,第一光模块120的发送端122与分光器140的输入端141,通过光纤连接;第一光模块120的接收端121与分光器140的第一输出端142,通过光纤连接,使第一光模块120可以工作,同时可以使第一光模块120上的指示灯亮起,指示第一光模块120硬件可用。分光器140可以为一分二的分光器,分光器140的输入端141与第一光模块120的发送端122通过光纤连接,分光器140的第二输出端143与外部光纤交换机160通过光纤连接,可以将服务器100发送的报文输出到交换机160,交换机160可以再进行后续操作,实现服务器100与外部客户端的通信。分光器140的第一输出端142与第一光模块120的接收端121通过光纤连接,可以将服务器100发送的报文反馈给第一光模块120的接收端121,可以使第一光模块120的发送端122和接收端121可以工作,同时可以使第一光模块120上的指示灯亮起,指示第一光模块120硬件可用。如果没有该部分的连接,第一光模块120的发送端122和接收端121均将无法工作。第二光模块130的接收端131通过光纤与光纤交换机160进行物理连接,使第二光模块130的接收端131可以工作,同时可以使第二光模块130上的指示灯亮起,指示第二光模块130硬件可用。第二光模块130的发送端132悬空,即未连接光纤,不可以通过第二光模块130直接发送报文。第二光模块130配置服务器100的IP地址,第二光模块130可以被网络识别,可以与外部客户端进行通信。本发明实施例构成新的发送接收组对,可以在没有下发给光纤网卡规则前,比如,服务器100新安装操作系统后(即使配置了相应的IP地址),服务器100不经意连入网络,要发起网络请求时,在没有驱动的其他外加干预下,即无法将第二光模块130发送端132的报文转发至第一光模块120的发送端122时,报文只能从第二光模块130的发送端132发送,但由于第二光模块130的发送端悬空,致使报文发送无效,可以实现服务器100不经意连入网络时不能与外部客户端通信,也就可以不会被木马病毒入侵,可以保证服务器100在新安装操作系统后(即使配置了相应的IP地址)或安装的操作系统不具有本发明所提供的转发模块时,连入网络后,不会被木马病毒入侵,保证服务器100安全。
如图1所示,在本发明实施例的一个实施方式中,可选的,分光器140的第二输出端143与光纤交换机160之间设置有光纤耦合器150,第二光模块130的接收端131与光纤交换机160之间设置有光纤耦合器150。
其中,光纤耦合器150可以设置在服务器面板102上,服务器面板102上可以设置两个光纤耦合器150,一个作为服务器100的输出端,另一个作为服务器100的输入端。分光器140的第二输出端143通过光纤连接到作为服务器100输出端的光纤耦合器150上,再通过光纤连接到光纤交换机160的输入端。第二光模块130的接收端131通过光纤与作为服务器100输入端的光纤耦合器150连接,再通过光纤与光纤交换机160连接。可以实现服务器面板102上的输入端和输出端与服务器100外部的光纤交换机160的连接,进而可以通过互联网与外部客户端进行通信。
如图2所示,网卡驱动模块(图中未示出)包括转发模块210、发送过滤模块220和接收过滤模块230;转发模块210,用于接收第二光模块130发送的报文,并将接收到的报文转发至所述第一光模块120;其中,报文中携带服务器的IP地址;发送过滤模块220,用于将转发模块210接收到的不符合第一设定规则的报文进行过滤,以使过滤后的报文转发至第一光模块120以及通过第一光模块120将过滤后的报文向外部客户端进行发送;接收过滤模块230,用于将外部客户端发送的不符合第二设定规则的报文进行过滤,以使第二光模块130接收过滤后的报文。
需要说明的是,第二光模块130上配置有服务器的IP地址,当服务器要发起网络请求与外部客户端进行通信时,没有驱动的其他干预下,报文会通过第二光模块130的发送端进行发送,但是第二光模块130的发送端未连接光纤,报文发送无效。如果将第二光模块130需要发送的报文转发到第一光模块120的发送端,借助于第一光模块120的发送端将报文发送到外部客户端,这样可以顺利完成网络发送。如果转发模块210,无条件转发,那么跟普通的光纤网卡的光模块没有区别。但本发明实施例提供的发送过滤模块220,可以允许符合第一设定规则的报文通过,不符合第一设定规则的报文丢弃,可以实现转发模块210有条件的转发,限制服务器发送的某些报文无效。同时,本发明实施例提供的接收过滤模块230,可以允许符合第二设定规则的报文通过,不符合第二设定规则的报文丢弃,可以限制服务器接收某些报文无效。发送过滤模块220与接收过滤模块230的协同工作,可以实现服务器与外部客户端有限制的通信,保证服务器安全。
服务器安全问题主要来自于网络,木马病毒利用互联网肆意传播。木马病毒植入互联网后,具有很好的伪装性,可以与某个正常文件结合在一起,让用户难以发现,一般会随着操作系统一起启动,在后台运行后可以向远程黑客控制程序发起连接,建立连接后,黑客可以通过木马病毒控制计算机,盗取服务器中私密信息。其工作原理是基于客户端/服务器模式。目前,服务器多数安装的是Linux系统,有一些预防的措施,如操作系统漏洞扫描,及时安装对应的补丁,安装和升级杀毒程序,启用操作系统自带防火墙。但是,以上措施不能完全堵住操作系统中存在某种后门或者漏洞,一旦木马病毒植入计算机,黑客就可以通过木马程序控制该计算机,杀毒程序和操作系统自带的防火墙都将形同虚设。黑客们太熟悉操作系统自带的防火墙,入侵该计算机后重新配置防火墙的规则。服务器默认在系统安装后,稍做网卡配置后插入网线,立即连入网络并访问。对网络的使用没有任何限制,例如访问端口限制、协议限制。有人认为用操作系统自带的防火墙做规则设置,实际上这样忽略了操作系统自带的防火墙可能存在自身的漏洞。服务器要实现安全的网络通信,还是需要依托自身安全装置。一般企业在服务器前有安全的防火墙专用设备做防护,而防火墙专用设备是针对企业内部网络通用的防护,对每台服务器细节上做不到面面俱到,因此,每台服务器需要有自身的个性化的网络设置与防护。
而本发明实施例的技术方案,通过将光纤网卡上的第一光模块与第二光模块构成新的接收发送组对,同时提供转发模块、发送过滤模块和接收过滤模块,可以对网络的使用加以限制,进而相较于现有技术在默认安装系统后,稍做网卡配置后插入网线,立即连入网络并访问,对网络的使用没有任何限制的技术方案,解决了服务器与外部客户端的通信没有任何限制的问题;对于每台服务器设置的规则(包括第一设定规则和第二设定规则)可以做到心中有数,解决了现有技术使用操作系统自带的防火墙做规则设置存在的防火墙自身漏洞问题;对于每台服务器设置的规则可以是不同的,解决了现有技术中防火墙专用设备不能面面俱到的问题,即本发明实施例的技术方案解决了服务器在新安装操作系统后(即使配置了相应的IP地址)或安装的操作系统不具有本发明所提供的转发模块时,连入网络并立即访问时,易被木马病毒入侵的问题,以及服务器在与外部客户端通信没有限制时,易被木马病毒入侵的问题,达到了服务器连网后立即访问安全,与外部客户端通信时有限制,不易被木马病毒入侵,保证服务器安全的效果。
如图2所示,在本发明实施例的一个实施方式中,可选的,网卡驱动模块还包括:存储模块240和规则配置模块250;
规则配置模块250,用于接收配置应用260下发的第一设定规则和第二设定规则,并将第一设定规则和第二设定规则存储到存储模块240;
其中,可选的,可以通过配置应用260,以输入账号及密码的命令行方式,重新配置第一设定规则和第二设定规则;或者,
通过配置应用260,下发配置的第一设定规则和第二设定规则,并生成规则配置文件;通过配置应用260,以调用规则配置文件方式,自动配置第一设定规则和第二设定规则。
需要说明的是,配置应用260可以是在操作系统上设置的应用软件,也可以直接在操作系统的命令行进行实现。
示例的,配置应用260(名称可以为ruleset)在配置新的规则(包括第一设定规则和第二设定规则)时,可以采用命令行方式,可以在Linux操作系统控制台输入ruleset,提示输入账号及密码,其中账号显示在控制台,可以是系统账号也可以是自定义账号,密码可以不显示在控制台,可以通过一些特殊符号进行掩盖。之后,可以输入规则描述,例如,可以在命令行输入“ruleset-账号-密码-规则内容”。在ruleset配置规则成功后,下发第一设定规则和第二设定规则到规则配置模块250,同时,可以在同一个目录下形成加密的规则配置文件(名称可以为ruleset.dat)。服务器开机后可以通过“ruleset-ruleset.dat”自动配置第一设定规则和第二设定规则,此时不需要输入账号和密码;也可以通过输入账号和密码重新配置新的第一设定规则和第二设定规则。服务器也可以清除所有规则(操作命令可以为ruleset-c),可以通过在命令行输入“ruleset-c”实现。
其中,第一设定规则,用于规定发送报文遵循的通信协议、源IP地址、源端口、目的IP地址和目的端口;
第二设定规则,用于规定接收报文遵循的通信协议、源IP地址、源端口、目的IP地址和目的端口。
需要说明的是,规则配置模块250,可以接收配置应用260下发的规则,包括第一设定规则和第二设定规则,并将规则缓存在存储模块240,可以供发送过滤模块220和接收过滤模块230查询规则使用。第一设定规则和第二设定规则可以分别用于规定发送报文和接收报文需遵循的通信协议、源IP地址、源端口、目的IP地址和目的端口。示例的,第一设定规则可以是“如果报文符合遵循TCP协议、源IP地址是X.113.108.98、源端口是8080、目的IP地址不限且目的端口不限,那么从第二光模块130的发送端转发到第一光模块120的发送端;否则,不允许转发到第一光模块120的发送端,同时,丢弃报文”,说明原本发送到第二光模块130的报文符合遵循TCP协议、源IP地址是X.113.108.98(服务器自身IP地址)、源端口是8080、目的IP地址不限和目的端口不限的规则时,可以转发到第一光模块120,即开放了服务器的8080端口访问外部客户端。第二设定规则可以是“如果报文符合遵循TCP协议、源IP地址不限、源端口不限、目的IP地址是X.113.108.98且目的端口是8080,那么第二光模块130的接收端接收报文;否则,不允许第二光模块130的接收端接收报文,同时,丢弃报文”,说明从第二光模块130接收到的报文符合遵循TCP协议、源IP地址不限、源端口不限、目的IP地址是X.113.108.98(服务器自身IP地址),目的端口是8080的规则条件,可以通过,否则丢弃,即开放了外部客户端访问服务器的8080端口。配置规则时,可以选择将所有操作系统的端口全部屏蔽,留下业务端口;也可以选择留下业务端口以及一些常用的操作系统端口,屏蔽其他端口。其中,业务端口有报文检查,木马病毒不可能入侵,常用的操作系统端口有定期的检查,木马病毒也不会选择入侵。本发明实施例配置的第一设定规则和第二设定规则可以实现服务器与外部客户端间有限制的访问,可以全部屏蔽服务器主动外连远程服务器及端口的动作行为,特殊的物理连接和网卡驱动模块内的各个模块可以做到真正意义上服务器使用网络的全面掌控,木马病毒不易入侵服务器,保证服务器的安全。
如图2所示,在本发明实施例的一个实施方式中,可选的,发送过滤模块220,用于查询存储模块的第一设定规则,当报文的通信协议,源IP地址、源端口、目的IP地址和目的端口符合第一设定规则时,允许报文通过转发模块转发至第一光模块,否则,丢弃报文;
接收过滤模块230,用于查询存储模块的第二设定规则,当报文的通信协议,源IP地址、源端口、目的IP地址和目的端口符合第二设定规则时,允许第二光模块接收报文,否则,丢弃报文。
结合上述示例的第一设定规则和第二设定规则说明,当服务器的系统网络应用270收到外部客户端向IP地址为X.113.108.98、端口为8080发起遵循TCP协议的连接请求后做出回应报文:源IP地址是X.113.108.98(服务器自身IP),源端口是8080,目的IP地址是外部客户端IP地址,目的端口是外部客户端的端口并遵循TCP协议的报文。发送过滤模块220查询存储模块240的第一设定规则,经过规则查询,如果符合第一设定规则,允许转发到第一光模块120,报文从第一光模块120的发送端发送出去,后续外部客户端会收到这个报文并做出下一步请求,如果不符合第一设定规则,丢弃报文。当外部客户端向IP地址为X.113.108.98、端口为8080发起遵循TCP协议的连接请求时,即外部客户端构造出源IP地址是客户端自身IP地址的报文(如果是内网IP地址,网络地址转换后IP地址被网关地址替换),源端口任意(一般是非操作系统使用的端口,如10000-65535),目的IP地址是X.113.108.98,目的端口是8080且遵循TCP协议的报文。经过互联网传送,到达服务器的第二光模块130,接收过滤模块230查询存储模块240的第二设定规则,如果符合第二设定规则,第二光模块接收报文,最后由监听端口8080的系统网络应用270处理报文。如果不符合第二设定规则,丢弃该报文,即使服务器开启了报文所需的端口。发送过滤模块220和接收过滤模块230的协作,可以限制服务器与外部客户端的通信只能是符合所配置第一设定规则和第二设定规则的,即限制报文的通信协议,源IP地址、源端口、目的IP地址和目的端口,可以实现服务器与外部客户端的有限制通信,即可以全部屏蔽服务器主动外连远程服务器及端口的动作行为,特殊的物理连接和网卡驱动模块内的各个模块可以做到真正意义上服务器使用网络的全面掌控,木马病毒不易入侵服务器,保证服务器安全。
实施例二
图1是本发明实施例二提供的服务器安全装置结构示意图,如图1所示,该全装置包括:光纤网卡110和分光器140。
光纤网卡110上设置有第一光模块120和第二光模块130;第一光模块120的发送端122通过光纤与分光器140的输入端141进行物理连接;第一光模块120的接收端121通过光纤与分光器140的第一输出端142进行物理连接;分光器140的第二输出端143与外部的光纤交换机160进行物理连接;
第二光模块130的接收端131通过光纤与光纤交换机160进行物理连接;第二光模块130配置有服务器100的IP地址;第二光模块130的发送端132悬空。
需要说明的是,光纤网卡110上可以有至少两个光模块,如第一光模块120和第二光模块130,可以通过光模块的接收端或者发送端实现服务器与外部客户端间接收或者发送报文。通过上述的物理连接,本发明实施例利用光纤网卡110上的第一光模块120的发送端122和第二光模块130的接收端131可以构成新的发送接收组对。其中,第一光模块120的发送端122与分光器140的输入端141,通过光纤连接;第一光模块120的接收端121与分光器140的第一输出端142,通过光纤连接,使第一光模块120可以工作,同时,可以使第一光模块120上的指示灯亮起,指示第一光模块120硬件可用。分光器140可以为一分二的分光器,分光器140的输入端141与第一光模块120的发送端122通过光纤连接,分光器140的第二输出端143与外部光纤交换机160通过光纤连接,可以将服务器100发送的报文输出到交换机160,交换机160可以再进行后续操作,实现服务器100与外部客户端的通信。分光器140的第一输出端142与第一光模块120的接收端121通过光纤连接,可以将服务器100发送的报文反馈给第一光模块120的接收端121,可以使第一光模块120的发送端122和接收端121可以工作,同时可以使第一光模块120上的指示灯亮起,指示第一光模块120硬件可用。如果没有该部分的连接,第一光模块120的发送端122和接收端121均将无法工作。第二光模块130的接收端131通过光纤与光纤交换机160进行物理连接,使第二光模块130的接收端131可以工作,同时可以使第二光模块130上的指示灯亮起,指示第二光模块130硬件可用。第二光模块130的发送端132悬空,即未连接光纤,不可以通过第二光模块130直接发送报文。第二光模块130配置服务器100的IP地址,第二光模块130可以被网络识别,可以与外部客户端进行通信。本发明实施例构成新的发送接收组对,可以在没有下发给光纤网卡规则前,比如,服务器100新安装操作系统后(即使配置了相应的IP地址),服务器100不经意连入网络,要发起网络请求时,在没有驱动的其他外加干预下,即无法将第二光模块130发送端132的报文转发至第一光模块120的发送端122时,报文只能从第二光模块130的发送端132发送,但由于第二光模块130的发送端悬空,致使报文发送无效,可以实现服务器100不经意连入网络时不能与外部客户端通信,也就可以不会被木马病毒入侵,可以保证服务器100在新安装操作系统后(即使配置了相应的IP地址)或安装的操作系统不具有本发明所提供的转发模块时,连入网络后,不会被木马病毒入侵,保证服务器100安全。
如图1所示,在本发明实施例的一个实施方式中,可选的,分光器140的第二输出端143与光纤交换机160之间设置有光纤耦合器150,第二光模块130的接收端131与光纤交换机160之间设置有光纤耦合器150。
其中,光纤耦合器150可以设置在服务器面板102上,服务器面板102上可以设置两个光纤耦合器150,一个作为服务器100的输出端,另一个作为服务器100的输入端。分光器140的第二输出端143通过光纤连接到作为服务器100输出端的光纤耦合器150上,再通过光纤连接到光纤交换机160的输入端。第二光模块130的接收端131通过光纤与作为服务器100输入端的光纤耦合器150连接,再通过光纤与光纤交换机160连接。可以实现服务器面板102上的输入端和输出端与服务器100外部的光纤交换机160的连接,进而可以通过互联网与外部客户端进行通信。
实施例三
图3是本发明实施例三提供的服务器安全方法的流程图,该方法可以由服务器安全装置来执行,并可以集成于服务器主板中,该方法应用于本发明任意实施例所提供的服务器安全装置,其中,该装置包括光纤网卡、分光器和网卡驱动模块。
如图3所示,本发明实施例的方法具体包括:
S310,通过转发模块接收第二光模块发送的报文,并将接收到的报文转发至第一光模块;其中,报文中携带服务器的IP地址;其中,第一光模块的发送端通过光纤与分光器的输入端进行物理连接;第一光模块的接收端通过光纤与分光器的第一输出端进行物理连接;分光器的第二输出端与外部的光纤交换机进行物理连接;第二光模块的接收端通过光纤与光纤交换机进行物理连接;第二光模块配置有服务器的IP地址;第二光模块的发送端悬空;
其中,光纤网卡上可以设置有至少两个光模块,例如,第一光模块和第二光模块,可以通过光模块的接收端或者发送端实现服务器与外部客户端间接收或者发送报文。第一光模块的发送端与分光器的输入端,通过光纤连接;第一光模块的接收端与分光器的第一输出端,通过光纤连接,使第一光模块可以工作,同时可以使第一光模块上的指示灯亮起,指示第一光模块硬件可用。如果没有该部分的连接,第一光模块的发送端和接收端均将无法工作。分光器可以为一分二的分光器,分光器的输入端与第一光模块的发送端通过光纤连接,分光器的第二输出端与外部光纤交换机通过光纤连接,可以将服务器发送的报文输出到交换机,交换机可以再进行后续操作,实现服务器与外部客户端的通信。第二光模块的接收端通过光纤与光纤交换机进行物理连接,使第二光模块的接收端可以工作,同时可以使第二光模块上的指示灯亮起,指示第二光模块硬件可用。第二光模块的发送端悬空,即未连接光纤,使通过第二光模块发送报文无效。第二光模块配置服务器的IP地址,可以被网络识别,可以与外部客户端进行通信。第二光模块的发送端未连接光纤,报文发送无效。如果将第二光模块需要发送的报文通过转发模块转发到第一光模块的发送端,借助于第一光模块的发送端将报文发送到外部客户端,这样可以顺利完成网络发送。
S320,通过所述发送过滤模块将所述转发模块接收到的不符合第一设定规则的报文进行过滤,以使过滤后的报文转发至所述第一光模块以及通过所述第一光模块将过滤后的报文向外部客户端进行发送;
其中,如果转发模块,无条件转发,那么跟普通的光纤网卡的光模块没有区别。但发送过滤模块,可以允许符合第一设定规则的报文通过,不符合第一设定规则的报文丢弃,可以实现转发模块有条件的转发,限制服务器发送的某些报文无效。
可选的,第一设定规则,用于规定发送报文遵循的通信协议、源IP地址、源端口、目的IP地址和目的端口。
可选的,通过发送过滤模块查询存储模块的第一设定规则,当报文的通信协议,源IP地址、源端口、目的IP地址和目的端口符合第一设定规则时,允许报文通过转发模块转发至所述第一光模块,否则,丢弃报文。
S330,通过所述接收过滤模块将外部客户端发送的不符合第二设定规则的报文进行过滤,以使所述第二光模块接收过滤后的报文。
其中,接收过滤模块,可以允许符合第二设定规则的报文通过,不符合第二设定规则的报文丢弃,可以限制服务器接收某些报文无效。
可选的,第二设定规则,用于规定接收报文遵循的通信协议、源IP地址、源端口、目的IP地址和目的端口。
可选的,通过接收过滤模块查询存储模块的第二设定规则,当报文的通信协议,源IP地址、源端口、目的IP地址和目的端口符合第二设定规则时,允许第二光模块接收报文,否则,丢弃报文。
发送过滤模块与接收过滤模块的协同工作,可以限制服务器与外部客户端的通信只能是符合所配置第一设定规则和第二设定规则的,例如,可以限制报文的通信协议,源IP地址、源端口、目的IP地址和目的端口,可以实现服务器与外部客户端的有限制通信,即可以全部屏蔽服务器主动外连远程服务器及端口的动作行为,特殊的物理连接和网卡驱动模块内的各个模块可以做到真正意义上服务器使用网络的全面掌控,木马病毒不易入侵服务器,保证服务器安全。
在上述实施例的基础上,可选的,本发明实施例提供的方法还可以包括:
通过规则配置模块接收配置应用下发的第一设定规则和第二设定规则,并将第一设定规则和第二设定规则存储到存储模块。
其中,存储模块缓存的第一设定规则和第二设定规则可以供发送过滤模块和接收过滤模块查询规则使用。发送过滤模块查询存储模块的第一设定规则,经过规则查询,如果符合第一设定规则,允许转发到第一光模块,报文从第一光模块的发送端发送出去,后续外部客户端会收到这个报文并做出下一步请求,如果不符合第一设定规则,丢弃报文。接收过滤模块查询存储模块的第二设定规则,如果符合第二设定规则,第二光模块接收报文,最后由系统网络应用处理报文。如果不符合第二设定规则,丢弃该报文,即使服务器开启了报文所需的端口。
通过所述配置应用,以输入账号及密码的命令行方式,重新配置第一设定规则和第二设定规则;或者,
通过配置应用,下发配置的第一设定规则和第二设定规则,并生成规则配置文件;通过配置应用,以调用规则配置文件方式,自动配置第一设定规则和第二设定规则。
其中,配置应用可以是在操作系统上设置的应用软件,也可以直接在操作系统的命令行进行实现。
分光器的第二输出端与光纤交换机之间设置有光纤耦合器,第二光模块的接收端与光纤交换机之间设置有光纤耦合器。
其中,光纤耦合器可以实现服务器内部的分光器的第二输出端和第二光模块的接收端处的光纤分别与外部光纤交换机的输入端和输出端处的光纤进行物理连接。
本发明实施例所提供的服务器安全方法可应用于本发明任意实施例所提供的服务器安全装置。
实施例四
图4是本发明实施例四提供的服务器的结构示意图,图5是本发明实施例四提供的服务器与外部设备网络连接示意图。如图4所示,服务器100包括服务器安全装置。
服务器安全装置可以是本发明任意实施例提供的服务器安全装置,可用于实现服务器100连网安全、与外部客户端通信有限制的通信、不易被木马病毒入侵,可以保证服务器100安全。
如图5所示,服务器100的输入端和输出端通过光纤分别与光纤交换机160的输出端和输入端进行物理连接,可以实现服务器100与光纤交换机160间发送或者接收报文,光纤交换机160通过互联网与互联网服务器进行通信,再通过互联网将服务器100与光纤交换机160间发送或者接收的报文,传输到外部客户端,如个人计算机(Personal Computer,PC)终端,可以实现服务器100与外部客户端的通信过程。
注意,上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解,本发明不限于这里所述的特定实施例,对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此,虽然通过以上实施例对本发明进行了较为详细的说明,但是本发明不仅仅限于以上实施例,在不脱离本发明构思的情况下,还可以包括更多其他等效实施例,而本发明的范围由所附的权利要求范围决定。
Claims (10)
1.一种服务器安全装置,其特征在于,包括:光纤网卡、分光器和网卡驱动模块;
所述光纤网卡上设置有第一光模块和第二光模块;所述网卡驱动模块包括转发模块、发送过滤模块和接收过滤模块;
所述第一光模块的发送端通过光纤与所述分光器的输入端进行物理连接;所述第一光模块的接收端通过光纤与所述分光器的第一输出端进行物理连接;所述分光器的第二输出端与外部的光纤交换机进行物理连接;
所述第二光模块的接收端通过光纤与所述光纤交换机进行物理连接;所述第二光模块配置有服务器的互联网协议IP地址;所述第二光模块的发送端悬空;
所述转发模块,用于接收所述第二光模块发送的报文,并将接收到的报文转发至所述第一光模块;其中,所述报文中携带服务器的IP地址;
所述发送过滤模块,用于将所述转发模块接收到的不符合第一设定规则的报文进行过滤,以使过滤后的报文转发至所述第一光模块以及通过所述第一光模块将过滤后的报文向外部客户端进行发送;
所述接收过滤模块,用于将外部客户端发送的不符合第二设定规则的报文进行过滤,以使所述第二光模块接收过滤后的报文。
2.根据权利要求1所述的装置,其特征在于,所述网卡驱动模块还包括:存储模块和规则配置模块;
所述规则配置模块,用于接收配置应用下发的所述第一设定规则和所述第二设定规则,并将所述第一设定规则和所述第二设定规则存储到所述存储模块;
其中,所述第一设定规则,用于规定发送报文遵循的通信协议、源IP地址、源端口、目的IP地址和目的端口;
所述第二设定规则,用于规定接收报文遵循的通信协议、源IP地址、源端口、目的IP地址和目的端口。
3.根据权利要求2所述的装置,其特征在于,
所述发送过滤模块,用于查询所述存储模块的所述第一设定规则,当报文的通信协议,源IP地址、源端口、目的IP地址和目的端口符合所述第一设定规则时,允许报文通过转发模块转发至所述第一光模块,否则,丢弃报文;
所述接收过滤模块,用于查询所述存储模块的所述第二设定规则,当报文的通信协议,源IP地址、源端口、目的IP地址和目的端口符合所述第二设定规则时,允许所述第二光模块接收报文,否则,丢弃报文。
4.根据权利要求1所述的装置,其特征在于,所述分光器的第二输出端与所述光纤交换机之间设置有光纤耦合器,所述第二光模块的接收端与所述光纤交换机之间设置有光纤耦合器。
5.一种服务器安全装置,其特征在于,包括:光纤网卡和分光器;
所述光纤网卡上设置有第一光模块和第二光模块;
所述第一光模块的发送端通过光纤与所述分光器的输入端进行物理连接;所述第一光模块的接收端通过光纤与所述分光器的第一输出端进行物理连接;所述分光器的第二输出端与外部的光纤交换机进行物理连接;
所述第二光模块的接收端通过光纤与所述光纤交换机进行物理连接;所述第二光模块配置有服务器的互联网协议IP地址;所述第二光模块的发送端悬空。
6.一种服务器安全方法,其特征在于,应用于如权利要求1-5任一所述的服务器安全装置,其中,所述装置包括光纤网卡、分光器和网卡驱动模块;
所述光纤网卡上设置有第一光模块和第二光模块;所述网卡驱动模块包括转发模块、发送过滤模块和接收过滤模块;所述第一光模块的发送端通过光纤与所述分光器的输入端进行物理连接;所述第一光模块的接收端通过光纤与所述分光器的第一输出端进行物理连接;所述分光器的第二输出端与外部的光纤交换机进行物理连接;所述第二光模块的接收端通过光纤与所述光纤交换机进行物理连接;所述第二光模块配置有服务器的互联网协议IP地址;所述第二光模块的发送端悬空;
通过所述转发模块接收所述第二光模块发送的报文,并将接收到的报文转发至所述第一光模块;其中,所述报文中携带服务器的IP地址;
通过所述发送过滤模块将所述转发模块接收到的不符合第一设定规则的报文进行过滤,以使过滤后的报文转发至所述第一光模块以及通过所述第一光模块将过滤后的报文向外部客户端进行发送;
通过所述接收过滤模块将外部客户端发送的不符合第二设定规则的报文进行过滤,以使所述第二光模块接收过滤后的报文。
7.根据权利要求6所述的方法,其特征在于,还包括:
通过规则配置模块接收配置应用下发的所述第一设定规则和所述第二设定规则,并将所述第一设定规则和所述第二设定规则存储到存储模块;
其中,所述第一设定规则,用于规定发送报文遵循的通信协议、源IP地址、源端口、目的IP地址和目的端口;
所述第二设定规则,用于规定接收报文遵循的通信协议、源IP地址、源端口、目的IP地址和目的端口。
8.根据权利要求7所述的方法,其特征在于,
所述通过所述发送过滤模块将所述转发模块接收到的不符合第一设定规则的报文进行过滤,包括:
通过所述发送过滤模块查询所述存储模块的所述第一设定规则,当报文的通信协议,源IP地址、源端口、目的IP地址和目的端口符合所述第一设定规则时,允许报文通过转发模块转发至所述第一光模块,否则,丢弃报文;
所述通过所述接收过滤模块将外部客户端发送的不符合第二设定规则的报文进行过滤,包括:
通过所述接收过滤模块查询所述存储模块的所述第二设定规则,当报文的通信协议,源IP地址、源端口、目的IP地址和目的端口符合第二设定规则时,允许所述第二光模块接收报文,否则,丢弃报文。
9.根据权利要求7所述的方法,其特征在于,还包括:
通过所述配置应用,以输入账号及密码的命令行方式,重新配置所述第一设定规则和所述第二设定规则;或者,
通过所述配置应用,下发配置的所述第一设定规则和所述第二设定规则,并生成规则配置文件;通过所述配置应用,以调用所述规则配置文件方式,自动配置所述第一设定规则和所述第二设定规则。
10.一种服务器,其特征在于,包括如权利要求1-4任一项所述的服务器安全装置或者权利要求5所述的服务器安全装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910828289.9A CN110535867B (zh) | 2019-09-03 | 2019-09-03 | 一种服务器安全装置、方法和服务器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910828289.9A CN110535867B (zh) | 2019-09-03 | 2019-09-03 | 一种服务器安全装置、方法和服务器 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110535867A CN110535867A (zh) | 2019-12-03 |
| CN110535867B true CN110535867B (zh) | 2021-06-15 |
Family
ID=68666667
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910828289.9A Active CN110535867B (zh) | 2019-09-03 | 2019-09-03 | 一种服务器安全装置、方法和服务器 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110535867B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113093662A (zh) * | 2021-03-18 | 2021-07-09 | 北京六方云信息技术有限公司 | 工业控制系统安全防护装置、方法及工业控制系统 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105703836B (zh) * | 2012-10-09 | 2017-12-19 | 青岛海信宽带多媒体技术有限公司 | 光网络单元光模块 |
| CN103297120B (zh) * | 2013-05-13 | 2016-04-06 | 成都优博创技术有限公司 | 一种检测光纤跳纤是否正确插入光模块的方法 |
| CN103714151A (zh) * | 2013-12-26 | 2014-04-09 | 北京锐安科技有限公司 | 一种单向光闸以及异构数据库间进行数据同步的方法 |
| WO2019079645A1 (en) * | 2017-10-19 | 2019-04-25 | R-Stor Inc. | SYSTEMS, APPARATUS AND METHODS FOR CONNECTIVITY MANAGEMENT OF NETWORKED DEVICES |
-
2019
- 2019-09-03 CN CN201910828289.9A patent/CN110535867B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN110535867A (zh) | 2019-12-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5062967B2 (ja) | ネットワークアクセス制御方法、およびシステム | |
| US5960177A (en) | System for performing remote operation between firewall-equipped networks or devices | |
| US20130254891A1 (en) | Computer system, controller and network monitoring method | |
| US20040111623A1 (en) | Systems and methods for detecting user presence | |
| US20040136386A1 (en) | Systems and methods for reflecting messages associated with a target protocol within a network | |
| CN111314281A (zh) | 一种攻击流量转发至蜜罐的方法 | |
| US20040109518A1 (en) | Systems and methods for a protocol gateway | |
| KR101896453B1 (ko) | 원격접근의 어플리케이션 제약 해소와 통신 보안성 향상을 위한 게이트웨이 방식의 접근통제 시스템 | |
| US10397111B2 (en) | Communication device, communication system, and communication method | |
| CN101754221A (zh) | 异构系统间的数据传输方法及数据传输系统 | |
| JPH11205388A (ja) | パケットフィルタ装置、認証サーバ、パケットフィルタリング方法及び記憶媒体 | |
| US20040158643A1 (en) | Network control method and equipment | |
| CN110535867B (zh) | 一种服务器安全装置、方法和服务器 | |
| CN102263837B (zh) | 一种域名系统dns解析方法及装置 | |
| CN111131172B (zh) | 一种内网主动调用服务的方法 | |
| KR101881061B1 (ko) | 모드 변경이 가능한 양방향 통신 장치 및 방법 | |
| KR102067186B1 (ko) | 분리된 망 사이의 데이터 통신을 지원하는 장치 및 그 방법 | |
| KR20200007060A (ko) | 분리된 망 사이의 데이터 통신을 지원하는 장치 및 그 방법 | |
| CN101909021A (zh) | Bgp网关设备及利用该设备实现通断网关功能的方法 | |
| KR101992985B1 (ko) | 서버간 보안 강화를 위한 하드코딩된 패스워드 및 명령어 통제 기반 접근통제 시스템 | |
| KR101747032B1 (ko) | 소프트웨어 정의 네트워킹 환경에서의 모듈형 제어 장치 및 그 동작 방법 | |
| CN101662368A (zh) | 一种可对抗木马程式的网络数据过滤装置和相应方法 | |
| AU2004272201A1 (en) | Systems and methods for dynamically updating software in a protocol gateway | |
| CN117097573B (zh) | 一种零信任安全体系下的防火墙动态访问控制方法及装置 | |
| KR102150484B1 (ko) | 보안 강화를 위한 일회성 비밀번호 기반 접속 인증 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |