CN110896403A - 一种应用防火墙架构 - Google Patents
一种应用防火墙架构 Download PDFInfo
- Publication number
- CN110896403A CN110896403A CN201911405289.4A CN201911405289A CN110896403A CN 110896403 A CN110896403 A CN 110896403A CN 201911405289 A CN201911405289 A CN 201911405289A CN 110896403 A CN110896403 A CN 110896403A
- Authority
- CN
- China
- Prior art keywords
- module
- network
- management module
- firewall
- log
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供一种应用防火墙架构,涉及一种防火墙技术领域。该发明包括客户端、路由器和防火墙,所述客户端是企业内部的整块网络终端,终端为交流协作所用,客户端之间的数据流通过交换机传输到各个终端上。本发明满足用户通信安全可靠的需求,达到了安全可控的目标,保障防火墙功能的完整性、稳定性和高速性,保障网络安全性,减少网络滥用,降低网络的安全风险,实用性强,易于推广。
Description
技术领域
本发明涉及一种防火墙技术领域,特别是涉及一种应用防火墙架构。
背景技术
互联网的发展给政府机构、企业事业单位带来了革命性的改革和开放;各行业正努力通过互联网来使其更具有市场竞争力和更高的工作效率。但企业在与外界进行数据交流时,也给数据的安全带来了挑战,因此企业或者各机构通常安装防火墙来加强企业的数据安全,以避免企业的经济损失。
随着互联网的发展,越来越多的病毒或黑客有意或无意攻击企业的服务器,并对防火墙的性能提出新的考验;现有的防火墙对病毒的预防性能不佳,不能够对病毒进行有效的清除、防御和警报,不能够对普通企业的数据信息提供安全保护,给人们带来了一定的经济损失;因此有待研究一种用于企业管理软件的防火墙架构来为企业的正常运行提供数据安全保护。
发明内容
针对上述问题中存在的不足之处,本发明提供一种应用防火墙架构,使其满足用户通信安全可靠的需求,达到了安全可控的目标,保障防火墙功能的完整性、稳定性和高速性,保障网络安全性,减少网络滥用,降低网络的安全风险,实用性强,易于推广。
为了解决上述问题,本发明提供一种应用防火墙架构,其中,包括客户端、路由器和防火墙,所述客户端是企业内部的整块网络终端,终端为交流协作所用,客户端之间的数据流通过交换机传输到各个终端上;
所述路由器是第一套防护系统,用于连接因特网中各局域网、广域网的设备,负责网络数据信息的安全;
所述防火墙是内部网和外部网之间连接的控制点,用于保障内部网络的安全;
所述防火墙包括安全管理模块、设备监控模块、系统管理模块、日志管理模块和远程连接模块;
所述系统管理模块用于对系统进行配置、维护和自定义,所述系统管理模块包括网络维护模块、策略编辑模块和日志分析模块;
所述日志管理模块用于日志接收、处理和存储,所述日志管理模块包括日志接收模块、日志处理模块和数据库;
所述设备监控模块分别与所述系统管理模块和日志管理模块连接;
所述远程连接模块分别与所述系统管理模块、日志管理模块和所述设备监控模块连接;
所述安全管理模块和所述设备监控模块连接。
优选的,所述安全管理模块包括网络协议检测模块、网络地址转换模块、双重DNS模块、数据扫毒模块、实时数据检测模块、数据拦截模块。
优选的,所述网络维护模块用于定义和配置子网参数和主机参数,所述子网参数包括子网名称和子网掩码,所述主机参数包括主机名称、主机IP地址、当前使用的策略文件。
与现有技术相比,本发明具有以下优点:
本发明满足用户通信安全可靠的需求,达到了安全可控的目标,保障防火墙功能的完整性、稳定性和高速性,保障网络安全性,减少网络滥用,降低网络的安全风险,实用性强,易于推广。
附图说明
图1是本发明的实施例结构示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,下面结合附图与实例对本发明作进一步详细说明,但所举实例不作为对本发明的限定。
如图1所示,本发明的实施例包括客户端1、路由器2和防火墙3,客户端1是企业内部的整块网络终端,终端为交流协作所用,客户端1之间的数据流通过交换机传输到各个终端上;
路由器2是第一套防护系统,用于连接因特网中各局域网、广域网的设备,负责网络数据信息的安全;
防火墙3是内部网和外部网之间连接的控制点,用于保障内部网络的安全;
防火墙3包括安全管理模块、设备监控模块、系统管理模块、日志管理模块和远程连接模块;
系统管理模块用于对系统进行配置、维护和自定义,所述系统管理模块包括网络维护模块、策略编辑模块和日志分析模块;
日志管理模块用于日志接收、处理和存储,所述日志管理模块包括日志接收模块、日志处理模块和数据库;
设备监控模块分别与所述系统管理模块和日志管理模块连接;
远程连接模块分别与所述系统管理模块、日志管理模块和所述设备监控模块连接;
安全管理模块和所述设备监控模块连接。
安全管理模块包括网络协议检测模块、网络地址转换模块、双重DNS模块、数据扫毒模块、实时数据检测模块、数据拦截模块。
网络维护模块用于定义和配置子网参数和主机参数,所述子网参数包括子网名称和子网掩码,所述主机参数包括主机名称、主机IP地址、当前使用的策略文件。
客户端(Client)或称为用户端,是指与服务器相对应,为客户提供本地服务的程序。除了一些只在本地运行的应用程序之外,一般安装在普通的客户机上,需要与服务端互相配合运行。因特网发展以后,较常用的用户端包括了如万维网使用的网页浏览器,收寄电子邮件时的电子邮件客户端,以及即时通讯的客户端软件等。对于这一类应用程序,需要网络中有相应的服务器和服务程序来提供相应的服务,如数据库服务,电子邮件服务等等,这样在客户机和服务器端,需要建立特定的通信连接,来保证应用程序的正常运行。
路由器又可以称之为网关设备。路由器就是在OSI/RM中完成的网络层中继以及第三层中继任务,对不同的网络之间的数据包进行存储、分组转发处理,其主要就是在不同的逻辑分开网络。而数据在一个子网中传输到另一个子网中,可以通过路由器的路由功能进行处理。在网络通信中,路由器具有判断网络地址以及选择IP路径的作用,可以在多个网络环境中,构建灵活的链接系统,通过不同的数据分组以及介质访问方式对各个子网进行链接。路由器在操作中仅接受源站或者其他相关路由器传递的信息,是一种基于网络层的互联设备。
路由器通常位于网络层,因而路由技术也是与网络层相关的一门技术,路由器与早期的网桥相比有很多的变化和不同。通常而言,网桥的局限性比较大,它只能够连通数据链路层相同或者类似的网络,不能够连接数据链路层之间有着较大差异的网络。但是路由器却不同,它打破了这个局限,能够连接任意的两种不同的网络,但是这两种不同的网络之间要遵守一个原则,就是使用相同的网络层协议,这样才能够被路由器连接。路由技术简单来说就是对网络上众多的信息进行转发与交换的一门技术,具体来说,就是通过互联网络将信息从源地址传送到目的地址。路由技术这几年来也取得了不错的发展和进步,特别是第五代路由器的出现,满足了人们对数据、语音和图像的综合应用,逐渐被大多数家庭网络所选择并且广泛被使用。除此之外,这几年来,我国的路由技术越来越成熟,同时也结合了当代的智能化技术,使得人们在使用路由技术的过程中能够体会到快捷、快速的效果,从而推动和促进互联网和网络技术的发展。
路由器是互联网的主要结点设备。路由器通过路由决定数据的转发。转发策略称为路由选择(routing),这也是路由器名称的由来。作为不同网络之间互相连接的枢纽,路由器系统构成了基于TCP/IP的国际互联网络Internet的主体脉络,也可以说,路由器构成了Internet的骨架。它的处理速度是网络通信的主要瓶颈之一,它的可靠性则直接影响着网络互连的质量。因此,在园区网、地区网、乃至整个Internet研究领域中,路由器技术始终处于核心地位,其发展历程和方向,成为整个Internet研究的一个缩影。在当前我国网络基础建设和信息建设方兴未艾之际,探讨路由器在互连网络中的作用、地位及其发展方向,对于国内的网络技术研究、网络建设,以及明确网络市场上对于路由器和网络互连的各种似是而非的概念,都有重要的意义。
防火墙是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,隔离技术。越来越多地应用于专用网络与公用网络的互联环境之中,尤其以接入Internet网络为最甚。
防火墙代主要是借助硬件和软件的作用于内部和外部网络的环境间产生一种保护的屏障,从而实现对计算机不安全网络因素的阻断。只有在防火墙同意情况下,用户才能够进入计算机内,如果不同意就会被阻挡于外,防火墙技术的警报功能十分强大,在外部的用户要进入到计算机内时,防火墙就会迅速的发出相应的警报,并提醒用户的行为,并进行自我的判断来决定是否允许外部的用户进入到内部,只要是在网络环境内的用户,这种防火墙都能够进行有效的查询,同时把查到信息朝用户进行显示,然后用户需要按照自身需要对防火墙实施相应设置,对不允许的用户行为进行阻断。通过防火墙还能够对信息数据的流量实施有效查看,并且还能够对数据信息的上传和下载速度进行掌握,便于用户对计算机使用的情况具有良好的控制判断,计算机的内部情况也可以通过这种防火墙进行查看,还具有启动与关闭程序的功能,而计算机系统的内部中具有的日志功能,其实也是防火墙对计算机的内部系统实时安全情况与每日流量情况进行的总结和整理。
防火墙是在两个网络通讯时执行的一种访问控制尺度,能最大限度阻止网络中的黑客访问你的网络。是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (3)
1.一种应用防火墙架构,其特征在于,包括客户端、路由器和防火墙,所述客户端是企业内部的整块网络终端,终端为交流协作所用,客户端之间的数据流通过交换机传输到各个终端上;
所述路由器是第一套防护系统,用于连接因特网中各局域网、广域网的设备,负责网络数据信息的安全;
所述防火墙是内部网和外部网之间连接的控制点,用于保障内部网络的安全;
所述防火墙包括安全管理模块、设备监控模块、系统管理模块、日志管理模块和远程连接模块;
所述系统管理模块用于对系统进行配置、维护和自定义,所述系统管理模块包括网络维护模块、策略编辑模块和日志分析模块;
所述日志管理模块用于日志接收、处理和存储,所述日志管理模块包括日志接收模块、日志处理模块和数据库;
所述设备监控模块分别与所述系统管理模块和日志管理模块连接;
所述远程连接模块分别与所述系统管理模块、日志管理模块和所述设备监控模块连接;
所述安全管理模块和所述设备监控模块连接。
2.如权利要求1所述的应用防火墙架构,其特征在于,所述安全管理模块包括网络协议检测模块、网络地址转换模块、双重DNS模块、数据扫毒模块、实时数据检测模块、数据拦截模块。
3.如权利要求2所述的应用防火墙架构,其特征在于,所述网络维护模块用于定义和配置子网参数和主机参数,所述子网参数包括子网名称和子网掩码,所述主机参数包括主机名称、主机IP地址、当前使用的策略文件。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911405289.4A CN110896403A (zh) | 2019-12-31 | 2019-12-31 | 一种应用防火墙架构 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911405289.4A CN110896403A (zh) | 2019-12-31 | 2019-12-31 | 一种应用防火墙架构 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110896403A true CN110896403A (zh) | 2020-03-20 |
Family
ID=69789182
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911405289.4A Pending CN110896403A (zh) | 2019-12-31 | 2019-12-31 | 一种应用防火墙架构 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110896403A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114401155A (zh) * | 2022-03-25 | 2022-04-26 | 北京全路通信信号研究设计院集团有限公司 | 一种网络安全防护方法、系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100325730A1 (en) * | 2009-06-17 | 2010-12-23 | Vendor Safe Technologies | System and Method for Remotely Securing a Network from Unauthorized Access |
| CN103227797A (zh) * | 2013-05-08 | 2013-07-31 | 上海电机学院 | 分布式电力企业信息网络安全管理系统 |
| CN104917653A (zh) * | 2015-06-26 | 2015-09-16 | 北京奇虎科技有限公司 | 基于云平台的虚拟化流量监控方法及装置 |
| CN106131023A (zh) * | 2016-07-15 | 2016-11-16 | 深圳市永达电子信息股份有限公司 | 一种信息安全风险强力识别系统 |
| CN110011975A (zh) * | 2019-03-07 | 2019-07-12 | 北京华安普特网络科技有限公司 | 一种用于企业管理软件的防火墙架构 |
-
2019
- 2019-12-31 CN CN201911405289.4A patent/CN110896403A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100325730A1 (en) * | 2009-06-17 | 2010-12-23 | Vendor Safe Technologies | System and Method for Remotely Securing a Network from Unauthorized Access |
| CN103227797A (zh) * | 2013-05-08 | 2013-07-31 | 上海电机学院 | 分布式电力企业信息网络安全管理系统 |
| CN104917653A (zh) * | 2015-06-26 | 2015-09-16 | 北京奇虎科技有限公司 | 基于云平台的虚拟化流量监控方法及装置 |
| CN106131023A (zh) * | 2016-07-15 | 2016-11-16 | 深圳市永达电子信息股份有限公司 | 一种信息安全风险强力识别系统 |
| CN110011975A (zh) * | 2019-03-07 | 2019-07-12 | 北京华安普特网络科技有限公司 | 一种用于企业管理软件的防火墙架构 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114401155A (zh) * | 2022-03-25 | 2022-04-26 | 北京全路通信信号研究设计院集团有限公司 | 一种网络安全防护方法、系统 |
| CN114401155B (zh) * | 2022-03-25 | 2022-08-09 | 北京全路通信信号研究设计院集团有限公司 | 一种网络安全防护方法、系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Dayal et al. | Research trends in security and DDoS in SDN | |
| EP2343864B1 (en) | High availability for network security devices | |
| US8670316B2 (en) | Method and apparatus to control application messages between client and a server having a private network address | |
| Masoud et al. | On preventing ARP poisoning attack utilizing Software Defined Network (SDN) paradigm | |
| CN109450841B (zh) | 一种基于云+端设备按需联动模式的抗大规模DDoS攻击的防御方法 | |
| US20070101422A1 (en) | Automated network blocking method and system | |
| EP2033370A2 (en) | Service-centric communication network monitoring | |
| CN111385326B (zh) | 轨道交通通信系统 | |
| Andreolini et al. | HoneySpam: Honeypots Fighting Spam at the Source. | |
| Mahmood et al. | Network security issues of data link layer: An overview | |
| KR20040036228A (ko) | 네트워크에서의 유해 트래픽 탐지 및 대응 시스템 및 방법 | |
| WO2016197782A2 (zh) | 一种服务端口管理的方法、装置和计算机可读存储介质 | |
| Pfrang et al. | Detecting and preventing replay attacks in industrial automation networks operated with profinet IO | |
| CN101141396B (zh) | 报文处理方法和网络设备 | |
| CN110896403A (zh) | 一种应用防火墙架构 | |
| US20060168239A1 (en) | Secure client/server data transmission system | |
| KR100998284B1 (ko) | 네트워크와 보안이 통합된 보안스위치 장치 및 그 방법 | |
| KR100765340B1 (ko) | 가상의 인라인 네트워크 보안방법 | |
| US20160378956A1 (en) | Secure management of host connections | |
| CN112583932B (zh) | 业务处理方法、装置及网络架构 | |
| KR102318686B1 (ko) | 개선된 네트워크 보안 방법 | |
| CN114465744A (zh) | 一种安全访问方法及网络防火墙系统 | |
| CN113382023A (zh) | 一种专网跨网监管的方法和系统 | |
| Aliyev | Analizing protocols for layer three network and ways to combat them | |
| CN113315652B (zh) | 一种优化交换机访问控制的方法、系统、设备及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200320 |