CN118199943A - 一种高扩展性的网络安全主机 - Google Patents
一种高扩展性的网络安全主机 Download PDFInfo
- Publication number
- CN118199943A CN118199943A CN202410259392.7A CN202410259392A CN118199943A CN 118199943 A CN118199943 A CN 118199943A CN 202410259392 A CN202410259392 A CN 202410259392A CN 118199943 A CN118199943 A CN 118199943A
- Authority
- CN
- China
- Prior art keywords
- switch
- access
- auxiliary
- network
- main
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 239000010410 layer Substances 0.000 claims abstract description 26
- 230000005540 biological transmission Effects 0.000 claims abstract description 19
- 238000001514 detection method Methods 0.000 claims abstract description 11
- 239000012792 core layer Substances 0.000 claims abstract description 8
- 238000000034 method Methods 0.000 claims description 19
- 230000002776 aggregation Effects 0.000 claims description 12
- 238000004220 aggregation Methods 0.000 claims description 12
- 230000010485 coping Effects 0.000 claims description 4
- 238000013507 mapping Methods 0.000 claims description 4
- 230000003068 static effect Effects 0.000 description 8
- 238000005516 engineering process Methods 0.000 description 7
- 238000012986 modification Methods 0.000 description 4
- 230000004048 modification Effects 0.000 description 4
- 238000011161 development Methods 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 239000000523 sample Substances 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种高扩展性的网络安全主机,包括核心层、汇聚层和接入层,所述核心层包括1个核心节点,所述核心节点分为企业办公区、校园教学区和政务办公区,所述汇聚层设置在楼顶,每栋楼顶分别设置一个汇聚节点,所述汇聚层为交换机,所述交换机用于实现数据的传输和交换,所述接入层为每栋楼的接入交换机,用于直接与用户端PC相连;还包括服务器和安全网关,所述服务器分为WEB服务器、资源库服务器和FTP服务器,所述安全网关用于进行入侵检测,所述交换机分为主交换机和辅交换机两种类型,三个所述服务器分别与一个辅交换机连接,所述主交换机与安全网关相连接,所述安全网关与互联网连接,所述主交换机与辅交换机相连接。
Description
技术领域
本发明属于网络安全技术领域,具体涉及一种高扩展性的网络安全主机。
背景技术
所谓网络安全就是计算机系统安全概念在网络环境下的扩展和延伸,包括在网络内的访问是否充分得到授权与控制、网络内传输的数据是否得到加密性、完整性保护,网络内的数据包是否合乎安全策略的要求。随着互联网的飞速发展,网络安全逐渐成为一个潜在的巨大问题,网络安全性是一个涉及面很广泛的问题,其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中,网络安全主要关心的是确保无关人员不能读取,更不能修改传送给其他接收者的信息;此时,网络安全关心的对象是那些无权使用,但却试图获得远程服务的人,安全性也存在处理合法消息被截获和重播的问题,以及发送者是否曾发送过该条消息的问题。
非法用户的非法访问也就是黑客或间谍的攻击行为,在没有任何防范措施的情况下,网络的安全主要是靠主机系统自身的安全,如用户名及口令字这些简单的控制。但对于用户名及口令的保护方式,对有攻击目的的人而言,根本就不是一种障碍,他们可以通过对网络上信息的监听,得到用户名及口令或者通过猜测用户及口令,而且可以说只要花费很少的时间。因此,要采取一定的访问控制手段,防范来自非法用户的攻击,严格控制只有合法用户才能访问合法资源。
合法用户的非授权访问是指合法用户在没有得到许可的情况下访问了他本不该访问的资源;一般来说,每个成员的主机系统中,有一部份信息是可以对外开放,而有些信息是要求保密或具有一定的隐私性。外部用户(指数字网络合法用户)被允许正常访问的一定的信息,但他同时通过一些手段越权访问了别人不允许他访问的信息,因此而造成他人的信息泄密。所以,还得加密访问控制的机制,对服务及访问权限进行严格控制,从管理上及实际需求上是要求合法用户可正常访问被许可的资源。既然合法用户可以访问资源,那么入侵者便会在用户下班或关机的情况下,假冒合法用户的IP地址或用户名等资源进行非法访问,因此,必须从访问控制上做到防止假冒而进行的非法访问,IP地址盗用侵害了Internet网络的正常用户的权利,并且给网络计费、网络安全和网络运行带来了巨大的负面影响,因此解决IP地址盗用问题成为当前一个迫切的课题。
因此,本发明提供一种高扩展性的网络安全主机,用于解决上述背景技术IP以及MAC地址被盗用的技术问题。
发明内容
针对上述背景技术所提出的问题,本发明的目的是:旨在提供一种高扩展性的网络安全主机。
为实现上述技术目的,本发明采用的技术方案如下:
一种高扩展性的网络安全主机,包括核心层、汇聚层和接入层,所述核心层包括1个核心节点,所述核心节点分为企业办公区、校园教学区和政务办公区,所述汇聚层设置在楼顶,每栋楼顶分别设置一个汇聚节点,所述汇聚层为交换机,所述交换机用于实现数据的传输和交换,所述接入层为每栋楼的接入交换机,用于直接与用户端PC相连;还包括服务器和安全网关,所述服务器分为WEB服务器、资源库服务器和FTP服务器,所述安全网关用于进行入侵检测,所述交换机分为主交换机和辅交换机两种类型,三个所述服务器分别与一个辅交换机连接,所述主交换机与安全网关相连接,所述安全网关与互联网连接,所述主交换机与辅交换机相连接,所述辅交换机与接入交换机相连接,所述接入交换机与用户PC端连接。
进一步限定,所述楼顶设置1台主交换机,这台主交换机对应连接2台辅交换机,每台辅交换机对应连接2台接入交换机,进行数据汇聚和传输。
进一步限定,所述楼顶设置2台主交换机,每台主交换机对应连接2台辅交换机,每台辅交换机对应连接2台接入交换机,进行数据汇聚和传输。
进一步限定,所述楼顶设置2台主交换机,每台主交换机对应连接3台辅交换机,每台辅交换机对应连接3台接入交换机,进行数据汇聚和传输。
进一步限定,所述楼顶设置2台主交换机,每台主交换机对应连接2台辅交换机,每台辅交换机对应连接3台接入交换机,进行数据汇聚和传输。
进一步限定,所述主交换机采用S9303交换机,所述辅交换机采用H3C S1216交换机,所述接入交换机采用H3C S1550,所述安全网关采用USG3030。
进一步限定,还包括交换机控制,即在交换机的TCP/IP第二层进行控制:使用交换机提供的端口的单地址工作模式,即交换机的每一个端口只允许一台主机通过该端口访问网络,任何其它地址的主机的访问被拒绝。
进一步限定,还包括路由器检测,通过SNMP协议定期扫描用户端各路由器的ARP表,获得当前IP和MAC的对照关系和先前合法获取的IP和MAC地址比较,如不一致,则为非法访问。
进一步限定,还包括所述非法访问的应对方法,所述应对方法为使用正确的IP与MAC地址映射覆盖非法的IP-MAC表项;或者向非法访问的主机发送ICMP不可达的欺骗包,干扰其数据发送;或者修改路由器的存取控制列表,禁止非法访问。
进一步限定,还包括内部网络和外部网络,所述安全网关还用于隔离内部网络和外部网络,当用户访问外部网络时,通过代理服务器进行网络应用。这样设置的优点为,盗用IP地址只能在子网内使用,则失去盗用的意义;合法用户可以选择任意一台IP主机使用,通过代理服务器访问外部网络资源,而无权用户即使盗用IP,也没有身份和密码,不能使用外部网络。
本发明的有益效果:
1.以先进、成熟的网络通信技术进行组网,支持各种多媒体应用且便于简单地实现横向拓展,横向拓展即将多台主机组合在一起,一起进行大量的读、写运算,采用基于交换机技术代替传统的基于路由器的技术,并且能确保网络技术和网络产品在几年内基本满足需求。
2.本方案的建设应遵循国际标准,采用大多数设备支持的标准协议及标准接口,从而为异种机、异种操作系统的互连提供便利。
3.本方案的网络安全主机考虑了将来的发展,由于网络中的设备不是一成不变的,如需要添加或删除其中一个工作站,或者对一些设备进行更新换代,或者变动设备的位置,本方案的网络结构能够容易的进行配置以满足新的需求。
附图说明
本发明可以通过附图给出的非限定性实施例进一步说明;
图1为本发明一种高扩展性的网络安全主机实施例的结构示意图。
具体实施方式
为了使本领域的技术人员可以更好地理解本发明,下面结合附图和实施例对本发明技术方案进一步说明。
如图1所示,本发明的一种高扩展性的网络安全主机,一种高扩展性的网络安全主机,包括核心层、汇聚层和接入层,所述核心层包括1个核心节点,所述核心节点分为企业办公区、校园教学区和政务办公区,所述汇聚层设置在楼顶,每栋楼顶分别设置一个汇聚节点,所述汇聚层为交换机,所述交换机用于实现数据的传输和交换,所述接入层为每栋楼的接入交换机,用于直接与用户端PC相连;还包括服务器和安全网关,所述服务器分为WEB服务器、资源库服务器和FTP服务器,所述安全网关用于进行入侵检测,所述交换机分为主交换机和辅交换机两种类型,三个所述服务器分别与一个辅交换机连接,所述主交换机与安全网关相连接,所述安全网关与互联网连接,所述主交换机与辅交换机相连接,所述辅交换机与接入交换机相连接,所述接入交换机与用户PC端连接。
值得注意的是,IP地址的盗用方法多种多样,其常用方法主要有以下几种:
1.静态修改IP地址,对于任何一个TCP/IP实现来说,IP地址都是其用户配置的必选项。如果用户在配置TCP/IP或修改TCP/IP配置时,使用的不是授权机构分配的IP地址,就形成了IP地址盗用;由于IP地址是一个逻辑地址,是一个需要用户设置的值,因此无法限制用户对于IP地址的静态修改,除非使用DHCP服务器分配IP地址。
2.成对修改IP-MAC地址,对于静态修改IP地址的问题,现在很多设备都采用静态路由技术加以解决。针对静态路由技术,IP盗用技术又有了新的发展,即成对修改IP-MAC地址。MAC地址是设备的硬件地址,对于我们常用的以太网来说,即俗称的计算机网卡地址。每一个网卡的MAC地址在所有以太网设备中必须是唯一的,它由IEEE分配,是固化在网卡上的,一般不能随意改动。但是,现在的一些兼容网卡,其MAC地址可以使用网卡配置程序进行修改。如果将一台计算机的IP地址和MAC地址都改为另外一台合法主机的IP地址和MAC地址,那静态路由技术就无能为力了。另外,对于那些MAC地址不能直接修改的网卡来说,用户还可以采用软件的办法来修改MAC地址,即通过修改底层网络软件达到欺骗上层网络软件的目的。
3.动态修改IP地址,对于一些黑客高手来说,直接编写程序在网络上收发数据包,绕过上层网络软件,动态修改自己的IP地址(或IP-MAC地址对),达到IP欺骗并不是一件很困难的事。
针对上述IP地址的盗用方法,本方案提出了交换机控制、路由器检测和安全网关与代理服务器结合的方式进行应对:
①路由器检测,通过SNMP协议定期扫描用户端各路由器的ARP表,获得当前IP和MAC的对照关系和先前合法获取的IP和MAC地址比较,如不一致,则为非法访问。
路由器检测的另外一种实现方法是使用静态ARP表,即路由器中IP与MAC地址的映射不通过ARP来获得,而采用静态设置。这样的设置,当非法访问的IP地址和MAC地址不一致时,路由器根据正确的静态设置转发的帧就不会到达非法主机。
②非法访问的应对方法,所述应对方法为使用正确的IP与MAC地址映射覆盖非法的IP-MAC表项;或者向非法访问的主机发送ICMP不可达的欺骗包,干扰其数据发送;或者修改路由器的存取控制列表,禁止非法访问。
③安全网关与代理服务器结合,还包括内部网络和外部网络,所述安全网关还用于隔离内部网络和外部网络,当用户访问外部网络时,通过代理服务器进行网络应用。这样设置的优点为,盗用IP地址只能在子网内使用,则失去盗用的意义;合法用户可以选择任意一台IP主机使用,通过代理服务器访问外部网络资源,而无权用户即使盗用IP,也没有身份和密码,不能使用外部网络。
本方案的安全网关设置后,能够通过提供内部网络和外部网络的网络保护,降低了网络安全风险,但是对于入侵进防火墙的侵入者的检测,具体如下:
安全网关通常位于有敏感数据需要保护的网络上,通过实时侦听网络数据流,寻找网络违规模式和未授权的网络访问尝试。当发现网络违规行为和未授权的网络访问时,安全网关能够根据系统安全策略做出反应,包括实时报警、事件登录,或执行用户自定义的安全策略等。安全网关可以部署在网络中有安全风险的地方,如局域网出入口、重点保护主机、远程接入服务器和内部网络重点工作站组等。在重点保护区域,可以单独各部署一套安全网关(管理器+探测引擎),也可以在每个需要保护的地方单独部署一个探测引擎,在全网使用一个管理器,这种方式便于进行集中管理。
在内部应用网络中的重要网段,使用网络探测引擎,监视并记录该网段上的所有操作,在一定程度上防止非法操作和恶意攻击网络中的重要服务器和主机。同时,还可设置网络监视器进行形象地重现操作的过程,可帮助网络管理员发现网络安全的隐患。
优选,所述楼顶设置1台主交换机,这台主交换机对应连接2台辅交换机,每台辅交换机对应连接2台接入交换机,进行数据汇聚和传输。
优选,所述楼顶设置2台主交换机,每台主交换机对应连接2台辅交换机,每台辅交换机对应连接2台接入交换机,进行数据汇聚和传输。
优选,所述楼顶设置2台主交换机,每台主交换机对应连接3台辅交换机,每台辅交换机对应连接3台接入交换机,进行数据汇聚和传输。
优选,所述楼顶设置2台主交换机,每台主交换机对应连接2台辅交换机,每台辅交换机对应连接3台接入交换机,进行数据汇聚和传输。
优选,所述主交换机采用S9303交换机,所述辅交换机采用H3C S1216交换机,所述接入交换机采用H3C S1550,所述安全网关采用USG3030。
优选,还包括交换机控制,即在交换机的TCP/IP第二层进行控制:使用交换机提供的端口的单地址工作模式,即交换机的每一个端口只允许一台主机通过该端口访问网络,任何其它地址的主机的访问被拒绝。
上述实施例仅示例性说明本发明的原理及其功效,而非用于限制本发明。任何熟悉此技术的人士皆可在不违背本发明的精神及范畴下,对上述实施例进行修饰或改变。因此,凡所属技术领域中具有通常知识者在未脱离本发明所揭示的精神与技术思想下所完成的一切等效修饰或改变,仍应由本发明的权利要求所涵盖。
Claims (10)
1.一种高扩展性的网络安全主机,其特征在于:包括核心层、汇聚层和接入层,所述核心层包括1个核心节点,所述核心节点分为企业办公区、校园教学区和政务办公区,所述汇聚层设置在楼顶,每栋楼顶分别设置一个汇聚节点,所述汇聚层为交换机,所述交换机用于实现数据的传输和交换,所述接入层为每栋楼的接入交换机,用于直接与用户端PC相连;还包括服务器和安全网关,所述服务器分为WEB服务器、资源库服务器和FTP服务器,所述安全网关用于进行入侵检测,所述交换机分为主交换机和辅交换机两种类型,三个所述服务器分别与一个辅交换机连接,所述主交换机与安全网关相连接,所述安全网关与互联网连接,所述主交换机与辅交换机相连接,所述辅交换机与接入交换机相连接,所述接入交换机与用户PC端连接。
2.根据权利要求1所述的一种高扩展性的网络安全主机,其特征在于:所述楼顶设置1台主交换机,这台主交换机对应连接2台辅交换机,每台辅交换机对应连接2台接入交换机,进行数据汇聚和传输。
3.根据权利要求1所述的一种高扩展性的网络安全主机,其特征在于:所述楼顶设置2台主交换机,每台主交换机对应连接2台辅交换机,每台辅交换机对应连接2台接入交换机,进行数据汇聚和传输。
4.根据权利要求1所述的一种高扩展性的网络安全主机,其特征在于:所述楼顶设置2台主交换机,每台主交换机对应连接3台辅交换机,每台辅交换机对应连接3台接入交换机,进行数据汇聚和传输。
5.根据权利要求1所述的一种高扩展性的网络安全主机,其特征在于:所述楼顶设置2台主交换机,每台主交换机对应连接2台辅交换机,每台辅交换机对应连接3台接入交换机,进行数据汇聚和传输。
6.根据权利要求1所述的一种高扩展性的网络安全主机,其特征在于:所述主交换机采用S9303交换机,所述辅交换机采用H3C S1216交换机,所述接入交换机采用H3C S1550,所述安全网关采用USG3030。
7.根据权利要求1所述的一种高扩展性的网络安全主机,其特征在于:还包括交换机控制,即在交换机的TCP/IP第二层进行控制:使用交换机提供的端口的单地址工作模式,即交换机的每一个端口只允许一台主机通过该端口访问网络,任何其它地址的主机的访问被拒绝。
8.根据权利要求1所述的一种高扩展性的网络安全主机,其特征在于:还包括路由器检测,通过SNMP协议定期扫描用户端各路由器的ARP表,获得当前IP和MAC的对照关系和先前合法获取的IP和MAC地址比较,如不一致,则为非法访问。
9.根据权利要求8所述的一种高扩展性的网络安全主机,其特征在于:还包括所述非法访问的应对方法,所述应对方法为使用正确的IP与MAC地址映射覆盖非法的IP-MAC表项;或者向非法访问的主机发送ICMP不可达的欺骗包,干扰其数据发送;或者修改路由器的存取控制列表,禁止非法访问。
10.根据权利要求1所述的一种高扩展性的网络安全主机,其特征在于:还包括内部网络和外部网络,所述安全网关还用于隔离内部网络和外部网络,当用户访问外部网络时,通过代理服务器进行网络应用。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202410259392.7A CN118199943A (zh) | 2024-03-07 | 2024-03-07 | 一种高扩展性的网络安全主机 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202410259392.7A CN118199943A (zh) | 2024-03-07 | 2024-03-07 | 一种高扩展性的网络安全主机 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN118199943A true CN118199943A (zh) | 2024-06-14 |
Family
ID=91409977
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202410259392.7A Pending CN118199943A (zh) | 2024-03-07 | 2024-03-07 | 一种高扩展性的网络安全主机 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN118199943A (zh) |
-
2024
- 2024-03-07 CN CN202410259392.7A patent/CN118199943A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7194004B1 (en) | Method for managing network access | |
| US20070294416A1 (en) | Method, apparatus, and computer program product for enhancing computer network security | |
| Islam et al. | An analysis of cybersecurity attacks against internet of things and security solutions | |
| US20060203736A1 (en) | Real-time mobile user network operations center | |
| US20030149891A1 (en) | Method and device for providing network security by causing collisions | |
| Holmberg et al. | BACnet wide area network security threat assessment | |
| CN112751843A (zh) | 铁路供电系统网络安全防护系统 | |
| Pradana et al. | The dhcp snooping and dhcp alert method in securing dhcp server from dhcp rogue attack | |
| Toosarvandani et al. | The risk assessment and treatment approach in order to provide LAN security based on ISMS standard | |
| WO2005026872A2 (en) | Internal lan perimeter security appliance composed of a pci card and complementary software | |
| CN118199943A (zh) | 一种高扩展性的网络安全主机 | |
| Cisco | Security Overview | |
| Cisco | Security Overview | |
| Markham et al. | Distributed embedded firewalls with virtual private groups | |
| Cisco | Security Overview | |
| Yina | Discussion on computer network security technology and firewall technology | |
| Alabady | Design and implementation of a network security model using static VLAN and AAA server | |
| Cisco | Glossary | |
| Meredith | A summary of the autonomic distributed firewalls (ADF) project | |
| Quitiqut et al. | Utilizing Switch Port Link State to Detect Rogue Switches | |
| Keromytis et al. | Designing firewalls: A survey | |
| Kamal et al. | Analysis of network communication attacks | |
| Ali et al. | Design and implementation of a secured remotely administrated network | |
| Haji et al. | Practical security strategy for SCADA automation systems and networks | |
| Faheem | Multiagent-based security for the wireless LAN |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination |