CN113364734B - 一种内部网络保护方法及系统 - Google Patents
一种内部网络保护方法及系统 Download PDFInfo
- Publication number
- CN113364734B CN113364734B CN202110476388.2A CN202110476388A CN113364734B CN 113364734 B CN113364734 B CN 113364734B CN 202110476388 A CN202110476388 A CN 202110476388A CN 113364734 B CN113364734 B CN 113364734B
- Authority
- CN
- China
- Prior art keywords
- switch
- data packet
- firewall
- aggregation
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0654—Management of faults, events, alarms or notifications using network fault recovery
- H04L41/0663—Performing the actions predefined by failover planning, e.g. switching to standby network elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种内部网络保护方法及系统,该保护方法包括:防火墙接收第一交换机发送的第一数据包后,对所述第一数据包进行过滤,并将过滤后的所述第一数据包发送至汇聚交换机;所述防火墙接收所述汇聚交换机发送的第二数据包后,对所述第二数据包进行过滤,并将过滤后的所述第二数据包发送至第二交换机;其中,所述第一交换机、所述第二交换机和所述汇聚交换机处于同一虚拟局域网内。通过上述方式,能够拦截内部网络设备间的攻击行为,有效阻止不同交换机上同一VLAN客户端之间的互相通信。
Description
技术领域
本申请涉及网络通信技术领域,特别是涉及一种内部网络保护方法及系统。
背景技术
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。随着互联网技术的发展,在大型企业中通常会建立独立的局域网以便进行内部网络通信,局域网基本上都采用以广播为技术基础的以太网,任何两个节点之间的通信数据包,不仅为这两个节点的网卡所接收,也同时为处在同一以太网上的任何一个节点的网卡所截取。因此,保护内部网络的安全十分必要,能够有效避免由于非法入侵等问题造成的损失。
目前,许多企业使用基于Windows早期版本操作系统的生产设备,由于生产的特殊性,又不便安装杀毒软件,不能及时安装操作系统补丁。生产网络属于独立的内网,但由于信息交互的需求较多,此部分设备仍属于易受病毒攻击的目标,一旦感染病毒,传染范围大,影响范围广,造成损失多。大部分企业采用在内网和互联网之间部署防火墙的形式,有效拦截了外部网络对内部网络的攻击。另外,通过在交换机上进行端口保护配置,限制某一特定地址仅能与同一虚拟局域网内同一交换机上的客户端进行通信。
然而,本申请的发明人在长期的研发过程中发现,当内部网络中的设备相互攻击时,在内网和外网之间部署的防火墙无法进行有效识别内部设备之间的网络攻击行为,也无法有效阻止不同交换机上同一虚拟局域网内的客户端相互通信。
发明内容
本申请主要解决的技术问题是提供一种内部网络保护方法及系统,能够拦截内部网络设备间的攻击行为,阻止不同交换机上同一VLAN客户端之间的互相通信。
为解决上述技术问题,本申请采用的一个技术方案是:提供一种内部网络保护方法,该保护方法包括:防火墙接收第一交换机发送的第一数据包后,对所述第一数据包进行过滤,并将过滤后的所述第一数据包发送至汇聚交换机;所述防火墙接收所述汇聚交换机发送的第二数据包后,对所述第二数据包进行过滤,并将过滤后的所述第二数据包发送至第二交换机;其中,所述第一交换机、所述第二交换机和所述汇聚交换机处于同一虚拟局域网内。
其中,所述汇聚交换机和所述防火墙之间设置有旁路设备,所述防火墙接收第一交换机发送的第一数据包后,对所述第一数据包进行过滤,并将过滤后的所述第一数据包发送至汇聚交换机的步骤,包括:响应于所述防火墙工作正常,所述防火墙接收第一交换机发送的第一数据包后对所述第一数据包进行过滤,并将过滤后的所述第一数据包发送至所述旁路设备,所述旁路设备将所述第一数据包发送至所述汇聚交换机;响应于所述防火墙工作异常,所述旁路设备接收所述第一交换机发送的所述第一数据包后,将所述第一数据包发送至所述汇聚交换机。
其中,所述汇聚交换机和所述防火墙之间设置有旁路设备,所述防火墙接收所述汇聚交换机发送的第二数据包后,对所述第二数据包进行过滤,并将过滤后的所述第二数据包发送至第二交换机的步骤包括:响应于所述防火墙工作正常,所述旁路设备接收所述汇聚交换机发送的所述第二数据包后,将所述第二数据包发送至所述防火墙,所述防火墙对所述第二数据包进行过滤,并将过滤后的所述第二数据包发送至所述第二交换机;响应于所述防火墙工作异常,所述旁路设备接收所述汇聚交换机发送的所述第二数据包后,将所述第二数据包发送至所述第二交换机。
其中,所述对所述第一数据包进行过滤以及所述对所述第二数据包进行过滤的步骤,包括:响应于所述第一数据包/所述第二数据包的所属链路在所述防火墙配置的虚拟链路内,获得所述虚拟链路对应的网络数据包;利用所述网络数据包对所述第一数据包或所述第二数据包进行过滤。
其中,所述防火墙接收第一交换机发送的第一数据包的步骤之前,包括:所述第一交换机接收客户端发送的第三数据包,并对所述第三数据包过滤以形成所述第一数据包;所述第一交换机将所述第一数据包发送至所述防火墙。
其中,所述对所述第三数据包过滤以形成所述第一数据包的步骤,包括:响应于所述客户端的IP地址在访问控制列表内,根据所述访问控制列表获得所述客户端对应的限制流量;根据所述限制流量对所述第三数据包进行过滤以形成所述第一数据包。
其中,所述保护方法还包括:在所述交换机上配置端口保护。
为解决上述技术问题,本申请采用的另一个技术方案是:提供一种内部网络保护系统,包括:处于同一虚拟局域网的第一交换机、第二交换机和汇聚交换机;防火墙,与所述第一交换机、所述第二交换机和所述汇聚交换机可分别进行网络通信;所述防火墙用于接收所述第一交换机发送的第一数据包后,对所述第一数据包进行过滤,并将过滤后的所述第一数据包发送至汇聚交换机;以及用于接收所述汇聚交换机发送的第二数据包后,对所述第二数据包进行过滤,并将过滤后的所述第二数据包发送至所述第二交换机。
其中,该保护系统还包括:旁路设备,与所述防火墙、所述汇聚交换机、所述第一交换机和所述第二交换机可分别进行网络通信;且响应于所述防火墙工作正常,所述旁路设备与所述第一交换机和所述第二交换机之间的网络通信断开,所述旁路设备与所述汇聚交换机和所述防火墙之间的网络通信保持,所述汇聚交换机和所述防火墙之间通过所述旁路设备进行数据交换;响应于所述防火墙工作异常,所述旁路设备与所述汇聚交换机、所述第一交换机、所述第二交换机之间的网络通信保持,所述旁路设备与所述防火墙之间的网络通信断开,所述汇聚交换机和所述第一交换机/所述第二交换机之间通过所述旁路设备进行数据交换。
其中,所述旁路设备包括分线器、继电器以及第一端口和第二端口;其中,所述汇聚交换机与所述分线器耦接后形成第一线路和第二线路,所述第一线路通过所述第一端口与所述防火墙进行网络通信,所述第二线路与所述继电器耦接后,通过所述第二端口与所述第一交换机和所述第二交换机进行网络通信。
区别于现有技术的情况,本申请的有益效果是:本申请中提供一种内部网络保护方法及系统,包括:防火墙接收第一交换机发送的第一数据包后,对第一数据包进行过滤,并将过滤后的第一数据包发送至汇聚交换机;防火墙接收汇聚交换机发送的第二数据包后,对第二数据包进行过滤,并将过滤后的第二数据包发送至第二交换机;其中,第一交换机、第二交换机和汇聚交换机处于同一虚拟局域网内。通过上述设计方案,采用交换机和汇聚交换机之间添设防火墙的方式,对现有网络架构的影响较小,无需投入大量的人力、物力成本修改变动现有网络架构,有效节约了成本;利用防火墙对不同交换机之间发送及接收到的数据包进行过滤筛选,控制跨交换机之间的通信流量,能够有效阻止不同交换机上同一虚拟局域网下客户端之间的互相通信,过滤内部网络设备间的网络攻击行为。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。其中:
图1是本申请内部网络保护方法一实施方式的流程示意图;
图2是图1中步骤S101一实施方式的流程示意图;
图3是图1中步骤S102一实施方式的流程示意图;
图4是图2中步骤S201或图3中步骤S301一实施方式的流程示意图;
图5是图1中步骤S101之前一实施方式的流程示意图;
图6是图5中步骤S501一实施方式的流程示意图;
图7是本申请内部网络保护系统一实施方式的结构示意图;
图8是图7中旁路设备一实施方式的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性的劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
请参阅图1,图1是本申请内部网络保护方法一实施方式的流程示意图。该内部网络保护方法包括:
S101:防火墙接收第一交换机发送的第一数据包后,对第一数据包进行过滤,并将过滤后的第一数据包发送至汇聚交换机。
具体地,交换机是一种用于电(光)信号转发的网络设备,可以为接入交换机的任意两个网络节点提供独享的电信号通路,利用交换机能够同时实现局域网内多个设备之间的数据交换,提高数据传输的速率。汇聚交换机是多台交换机的汇聚点,能够处理来自不同交换机的所有数据通信量,对数据进行转发及选路。防火墙是一种用于安全管理和筛选的软件和硬件设备,帮助计算机网络构件一道相对隔绝的保护屏障,用以保护用户资料和信息安全性的技术。在第一交换机和汇聚交换机之间设置防火墙,利用防火墙对第一交换机发出的第一数据包进行过滤筛选,能够识别第一数据包即将访问的另一交换机是否符合安全要求。此外,防火墙对第一数据包进行过滤的详细过程将在后续实施例中详细介绍,此处不作赘述。
S102:防火墙接收汇聚交换机发送的第二数据包后,对第二数据包进行过滤,并将过滤后的第二数据包发送至第二交换机;其中,第一交换机、第二交换机和汇聚交换机处于同一虚拟局域网内。
具体地,在实际应用中,企业往往根据不同的业务需求划分许多不同的网段,但是交换机本身没有区分其端口所属网段的能力,需要通过划分虚拟局域网的方式实现网段的划分,换言之,通过使用虚拟局域网可区分交换机端口的终端对应的所属网段。当一个交换机上的所有端口中至少有一个属于不同的网段时,就是虚拟局域网发挥作用的时候。然而,当第一交换机、第二交换机和汇聚交换机处于同一虚拟局域网内时,连入第一交换机和第二交换机上的客户端可进行网络通信,随之就带来了客户端之间的内部网络攻击问题,无法保障内部网络的安全性。因此,在汇聚交换机和第二交换机之间设置防火墙,利用防火墙对汇聚交换机发出的第二数据包进行过滤筛选,控制跨交换机之间的通信流量,进一步过滤内部客户端之间的网络攻击行为。此外,防火墙对第二数据包进行过滤的详细过程将在后续实施例中详细介绍,此处不作赘述。
通过上述实施方式,采用交换机和汇聚交换机之间添设防火墙的方式,对现有网络架构的影响较小,无需投入大量的人力、物力成本修改变动现有网络架构,有效节约了成本;利用防火墙对不同交换机之间发送及接收到的数据包进行过滤筛选,控制跨交换机之间的通信流量,能够有效阻止不同交换机上同一VLAN客户端之间的互相通信,过滤内部网络设备间的网络攻击行为。
在本实施方式中,在汇聚交换机和防火墙之间还设置有旁路设备,请参阅图2,图2是图1中步骤S101一实施方式的流程示意图。上述步骤S101包括:
S201:响应于防火墙工作正常,防火墙接收第一交换机发送的第一数据包后对第一数据包进行过滤,并将过滤后的第一数据包发送至旁路设备,旁路设备将第一数据包发送至汇聚交换机。
具体而言,旁路设备可以接受并转发第一交换机或防火墙发送出的第一数据包,并根据防火墙的工作状况实时远程切换转发路径。当防火墙工作正常,第一数据包经由防火墙传至旁路设备后,再有旁路设备传输至汇聚交换机。
S202:响应于防火墙工作异常,旁路设备接收第一交换机发送的第一数据包后,将第一数据包发送至汇聚交换机。
具体地,当防火墙工作异常,例如出现断电、损坏等情况时,旁路设备可切换第一数据包的传输路径,直接经由旁路设备转发至汇聚交换机。
通过上述实施方式,当防火墙出现异常状况时能够迅速恢复至连接防火墙之前的网络架构,能够进一步保证内部网路的畅通,实现传输路径的远程切换。
在又一实施方式中,汇聚交换机和防火墙之间设置有旁路设备,请参阅图3,图3是图1中步骤S102一实施方式的流程示意图。上述步骤S102包括:
S301:响应于防火墙工作正常,旁路设备接收汇聚交换机发送的第二数据包后,将第二数据包发送至防火墙,防火墙对第二数据包进行过滤,并将过滤后的第二数据包发送至第二交换机。
具体地,旁路设备可以接受并转发汇聚交换机发送出的第二数据包,并根据防火墙的工作状况实时远程切换转发路径。当防火墙工作正常,第二数据包经由旁路设备传至防火墙后,再传输至第二交换机。
S302:响应于防火墙工作异常,旁路设备接收汇聚交换机发送的第二数据包后,将第二数据包发送至第二交换机。
当防火墙工作异常,例如出现断电、损坏等情况时,旁路设备可切换第二数据包的传输路径,直接经由旁路设备转发至第二交换机。
通过上述实施方式,当防火墙出现异常状况时能够迅速恢复至连接防火墙之前的网络架构,能够进一步保证内部网路的畅通,实现传输路径的远程切换。
在本实施方式中,请参阅图4,图4是图2中步骤S201或图3中步骤S301一实施方式的流程示意图,详细介绍利用防火墙对第一数据包或第二数据包进行过滤的过程。上述步骤S201或步骤S301包括:
S401:响应于第一数据包或第二数据包的所属链路在防火墙配置的虚拟链路内,获得虚拟链路对应的网络数据包。
具体地,此处防火墙可以是七层防火墙,通过在七层防火墙上配置虚拟链路的形式,实现对交换机往来数据包的过滤及筛选,控制跨交换机之间的东西向流量。另外,七层防火墙内还包括网络通信日志库,能够查看客户端之间的通信记录,并对存在通信异常的客户端进行及时定位。当然,在其他实施例中,防火墙还可选用其它类型,只要能够实现对交换机往来数据包的过滤及筛选即可,此处不作具体限定。
S402:利用网络数据包对第一数据包或第二数据包进行过滤。
通过上述实施方式,能够对交换机往来数据包进行过滤及筛选,控制跨交换机之间的通信流量,能够有效阻止不同交换机上同一虚拟局域网下客户端之间的互相通信。
在本实施方式中,请参阅图5,图5是图1中步骤S101之前一实施方式的流程示意图,包括:
S501:第一交换机接收客户端发送的第三数据包,并对第三数据包过滤以形成第一数据包。
具体地,在本实施方式中,请参阅图6,图6是图5中步骤S501一实施方式的流程示意图,对第一交换机过滤第一数据包的详细过程进行介绍。上述步骤S501包括:
S601:响应于客户端的IP地址在访问控制列表内,根据访问控制列表获得客户端对应的限制流量。
具体地,通过在交换机上配置访问控制列表,查看客户端对应的IP地址是否存在于访问控制列表内,从而对客户端与交换机之间的南北流量进行限制。
S602:根据限制流量对第三数据包进行过滤以形成第一数据包。
具体地,根据获取客户端对应的所有限制流量对第三数据包进行筛选过滤,通过上述实施方式,保障了第一交换机接收到的第一数据包的安全性,能够实现数据安全通信。
S502:第一交换机将第一数据包发送至防火墙。
通过上述实施方式,能够保证客户端与交换机之间数据交换的安全性,实现网络安全访问,为后续利用防火墙对第一数据包进行筛选提供技术支持。
在本实施方式中,本申请公开的内部网络保护方法还包括在交换机上配置端口保护。端口保护是对同一虚拟局域网下同一台交换机的内部端口之间实施保护,能够对不同客户端之间的东西流量进行限制,保障客户端数据的无中断传输。
请参阅图7,图7是本申请内部网络保护系统一实施方式的结构示意图。该保护系统100包括处于同一虚拟局域网的第一交换机10、第二交换机20、汇聚交换机30,以及防火墙40。其中,防火墙40与第一交换机10、第二交换机20和汇聚交换机30分别进行网络通信,可用于接收第一交换机10发送的第一数据包后,对第一数据包进行过滤,并将过滤后的第一数据包发送至汇聚交换机30;以及用于接收汇聚交换机30发送的第二数据包后,对第二数据包进行过滤,并将过滤后的第二数据包发送至第二交换机20。
通过上述实施方式,在交换机和汇聚交换机之间添设防火墙,对现有网络架构的影响较小,无需投入大量的人力、物力成本修改变动现有网络架构,有效节约了成本;利用防火墙对不同交换机之间发送及接收到的数据包进行过滤筛选,控制跨交换机之间的通信流量,能够有效阻止不同交换机上同一虚拟局域网下客户端之间的互相通信,过滤内部网络设备间的网络攻击行为。
请继续参阅图7,在又一实施方式中,该保护系统100还包括旁路设备50,该旁路设备50与防火墙40、汇聚交换机30、第一交换机10和第二交换机20可分别进行网络通信。旁路设备50可响应于防火墙40工作正常,其与第一交换机10和第二交换机20之间的网络通信断开,旁路设备50与汇聚交换机30和防火墙40之间的网络通信保持,汇聚交换机30和防火墙40之间通过旁路设备50进行数据交换。另外,旁路设备50还可以响应于防火墙40工作异常,旁路设备50与汇聚交换机30、第一交换机10、第二交换机20之间的网络通信保持,旁路设备50与防火墙40之间的网络通信断开,汇聚交换机30和第一交换机10或第二交换机20之间通过旁路设备50进行数据交换。通过上述实施方式,当防火墙40出现异常状况时,在旁路设备50的作用下能够迅速恢复至连接防火墙40之前的网络架构,能够进一步保证内部网路的畅通,实现传输路径的远程切换。
在本实施方式中,请一并参阅图7和图8,图8是图7中旁路设备一实施方式的结构示意图。该旁路设备50包括分线器501、继电器502以及第一端口503和第二端口504。其中,汇聚交换机30与分线器501耦接后形成第一线路(图中未示出)和第二线路(图中未示出),第一线路通过第一端口503与防火墙40进行网络通信,第二线路与继电器502耦接后,通过第二端口504与第一交换机10和第二交换机20进行网络通信。在防火墙40正常工作时,继电器502处于常断状态,此时通过旁路设备50中的第一线路进行汇聚交换机30和防火墙40之间的数据交换;仅当防火墙40出现异常,例如断电、损坏等,继电器502恢复供电,此时第二线路自动连通,网络得以恢复,通过旁路设备50中的第二线路进行汇聚交换机30和第一交换机10或第二交换机20之间的数据交换。通过上述实施方式,利用旁路设备50能够在防火墙40出现异常状况迅速恢复至连接防火墙40之前的网络架构,保证内部网路的畅通,实现传输路径的远程切换。
以上所述仅为本申请的实施方式,并非因此限制本申请的专利范围,凡是利用本申请说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本申请的专利保护范围内。
Claims (10)
1.一种内部网络保护方法,其特征在于,包括:
防火墙接收第一交换机发送的第一数据包后,对所述第一数据包进行过滤,并将过滤后的所述第一数据包发送至汇聚交换机;
所述防火墙接收所述汇聚交换机发送的第二数据包后,对所述第二数据包进行过滤,并将过滤后的所述第二数据包发送至第二交换机;其中,所述第一交换机、所述第二交换机和所述汇聚交换机处于同一虚拟局域网内。
2.根据权利要求1所述的保护方法,其特征在于,所述汇聚交换机和所述防火墙之间设置有旁路设备,所述防火墙接收第一交换机发送的第一数据包后,对所述第一数据包进行过滤,并将过滤后的所述第一数据包发送至汇聚交换机的步骤,包括:
响应于所述防火墙工作正常,所述防火墙接收第一交换机发送的第一数据包后对所述第一数据包进行过滤,并将过滤后的所述第一数据包发送至所述旁路设备,所述旁路设备将所述第一数据包发送至所述汇聚交换机;
响应于所述防火墙工作异常,所述旁路设备接收所述第一交换机发送的所述第一数据包后,将所述第一数据包发送至所述汇聚交换机。
3.根据权利要求1所述的保护方法,其特征在于,所述汇聚交换机和所述防火墙之间设置有旁路设备,所述防火墙接收所述汇聚交换机发送的第二数据包后,对所述第二数据包进行过滤,并将过滤后的所述第二数据包发送至第二交换机的步骤,包括:
响应于所述防火墙工作正常,所述旁路设备接收所述汇聚交换机发送的所述第二数据包后,将所述第二数据包发送至所述防火墙,所述防火墙对所述第二数据包进行过滤,并将过滤后的所述第二数据包发送至所述第二交换机;
响应于所述防火墙工作异常,所述旁路设备接收所述汇聚交换机发送的所述第二数据包后,将所述第二数据包发送至所述第二交换机。
4.根据权利要求2或3所述的保护方法,其特征在于,所述对所述第一数据包进行过滤以及所述对所述第二数据包进行过滤的步骤,包括:
响应于所述第一数据包/所述第二数据包的所属链路在所述防火墙配置的虚拟链路内,获得所述虚拟链路对应的网络数据包;
利用所述网络数据包对所述第一数据包或所述第二数据包进行过滤。
5.根据权利要求1所述的保护方法,其特征在于,所述防火墙接收第一交换机发送的第一数据包的步骤之前,包括:
所述第一交换机接收客户端发送的第三数据包,并对所述第三数据包过滤以形成所述第一数据包;
所述第一交换机将所述第一数据包发送至所述防火墙。
6.根据权利要求5所述的保护方法,其特征在于,所述对所述第三数据包过滤以形成所述第一数据包的步骤,包括:
响应于所述客户端的IP地址在访问控制列表内,根据所述访问控制列表获得所述客户端对应的限制流量;
根据所述限制流量对所述第三数据包进行过滤以形成所述第一数据包。
7.根据权利要求1所述的保护方法,其特征在于,还包括:
在所述交换机上配置端口保护。
8.一种内部网络保护系统,其特征在于,包括:
处于同一虚拟局域网的第一交换机、第二交换机和汇聚交换机;
防火墙,与所述第一交换机、所述第二交换机和所述汇聚交换机可分别进行网络通信;所述防火墙用于接收所述第一交换机发送的第一数据包后,对所述第一数据包进行过滤,并将过滤后的所述第一数据包发送至汇聚交换机;以及用于接收所述汇聚交换机发送的第二数据包后,对所述第二数据包进行过滤,并将过滤后的所述第二数据包发送至所述第二交换机。
9.根据权利要求8所述的保护系统,其特征在于,还包括:
旁路设备,与所述防火墙、所述汇聚交换机、所述第一交换机和所述第二交换机可分别进行网络通信;
且响应于所述防火墙工作正常,所述旁路设备与所述第一交换机和所述第二交换机之间的网络通信断开,所述旁路设备与所述汇聚交换机和所述防火墙之间的网络通信保持,所述汇聚交换机和所述防火墙之间通过所述旁路设备进行数据交换;
响应于所述防火墙工作异常,所述旁路设备与所述汇聚交换机、所述第一交换机、所述第二交换机之间的网络通信保持,所述旁路设备与所述防火墙之间的网络通信断开,所述汇聚交换机和所述第一交换机/所述第二交换机之间通过所述旁路设备进行数据交换。
10.根据权利要求9所述的保护系统,其特征在于,所述旁路设备包括分线器、继电器以及第一端口和第二端口;其中,所述汇聚交换机与所述分线器耦接后形成第一线路和第二线路,所述第一线路通过所述第一端口与所述防火墙进行网络通信,所述第二线路与所述继电器耦接后,通过所述第二端口与所述第一交换机和所述第二交换机进行网络通信。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110476388.2A CN113364734B (zh) | 2021-04-29 | 2021-04-29 | 一种内部网络保护方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110476388.2A CN113364734B (zh) | 2021-04-29 | 2021-04-29 | 一种内部网络保护方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113364734A CN113364734A (zh) | 2021-09-07 |
CN113364734B true CN113364734B (zh) | 2022-07-26 |
Family
ID=77525712
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110476388.2A Active CN113364734B (zh) | 2021-04-29 | 2021-04-29 | 一种内部网络保护方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113364734B (zh) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101257490A (zh) * | 2008-02-03 | 2008-09-03 | 杭州华三通信技术有限公司 | 一种防火墙旁路模式下的报文处理方法和系统 |
CN203896379U (zh) * | 2014-05-23 | 2014-10-22 | 山东理工大学 | 具有可靠访问控制性能的防火墙系统 |
CN105656905A (zh) * | 2015-06-25 | 2016-06-08 | 巫立斌 | 网络出口侧安全认证系统 |
CN206686205U (zh) * | 2017-03-30 | 2017-11-28 | 福建师范大学福清分校 | 多重防护网络架构 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1745631A1 (en) * | 2004-05-12 | 2007-01-24 | Alcatel | Automated containment of network intruder |
-
2021
- 2021-04-29 CN CN202110476388.2A patent/CN113364734B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101257490A (zh) * | 2008-02-03 | 2008-09-03 | 杭州华三通信技术有限公司 | 一种防火墙旁路模式下的报文处理方法和系统 |
CN203896379U (zh) * | 2014-05-23 | 2014-10-22 | 山东理工大学 | 具有可靠访问控制性能的防火墙系统 |
CN105656905A (zh) * | 2015-06-25 | 2016-06-08 | 巫立斌 | 网络出口侧安全认证系统 |
CN206686205U (zh) * | 2017-03-30 | 2017-11-28 | 福建师范大学福清分校 | 多重防护网络架构 |
Also Published As
Publication number | Publication date |
---|---|
CN113364734A (zh) | 2021-09-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7325140B2 (en) | Secure management access control for computers, embedded and card embodiment | |
EP2798768B1 (en) | System and method for cloud based scanning for computer vulnerabilities in a network environment | |
US20070101422A1 (en) | Automated network blocking method and system | |
US11252183B1 (en) | System and method for ransomware lateral movement protection in on-prem and cloud data center environments | |
US9813448B2 (en) | Secured network arrangement and methods thereof | |
CA2511997A1 (en) | Mitigating denial of service attacks | |
US9306959B2 (en) | Dual bypass module and methods thereof | |
EP1833227B1 (en) | Intrusion detection in an IP connected security system | |
CN113645213A (zh) | 一种基于vpn技术的多终端网络管理监控系统 | |
WO2016197782A2 (zh) | 一种服务端口管理的方法、装置和计算机可读存储介质 | |
CN116566752B (zh) | 安全引流系统、云主机及安全引流方法 | |
US20200128029A1 (en) | Network device, monitoring and control device, network system, and control method therefor | |
KR20180000100A (ko) | Sdn 기반의 마이크로 서버 관리 시스템에 대한 네트워크 공격 차단 시스템 | |
CN113364734B (zh) | 一种内部网络保护方法及系统 | |
CN112202756A (zh) | 一种基于sdn技术实现网络边界访问控制的方法及系统 | |
CN112583932B (zh) | 业务处理方法、装置及网络架构 | |
Cisco | Scenarios | |
JP2023531034A (ja) | サービス伝送方法、装置、ネットワーク機器及び記憶媒体 | |
KR20220070875A (ko) | Sdn/nfv 기반의 스마트홈 네트워크 시스템 | |
RU131928U1 (ru) | Устройство изменения маршрута прохождения трафика для обработки | |
CN115622808B (zh) | 安全隔离的方法、电子设备、计算机可读介质 | |
CN116527586B (zh) | 一种基于多链路负载均衡网络的串接代理系统 | |
WO2024185163A1 (ja) | 情報処理システム、情報処理方法および情報処理プログラム | |
CN115996136B (zh) | 一种基于sdn的多租户场景下云安全能力实现方法 | |
EP2540050B1 (en) | Dual bypass module |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |