CN203911973U - 一种适于大型局域网络安全的可扩性网络系统 - Google Patents
一种适于大型局域网络安全的可扩性网络系统 Download PDFInfo
- Publication number
- CN203911973U CN203911973U CN201420339231.0U CN201420339231U CN203911973U CN 203911973 U CN203911973 U CN 203911973U CN 201420339231 U CN201420339231 U CN 201420339231U CN 203911973 U CN203911973 U CN 203911973U
- Authority
- CN
- China
- Prior art keywords
- network
- layer
- security
- expansible
- vulnerability scanning
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本实用新型公开了一种适于大型局域网络安全的可扩性网络系统,包括安全管理系统、工业网络交换机,所述安全管理系统连接工业网络交换机,所述安全管理系统包括防火墙电路、入侵检测引擎、数据加密层和漏洞扫描层,所述防火墙电路分别连接工业网络交换机、入侵检测引擎和漏洞扫描层,所述漏洞扫描层连接数据加密层;还包括网络中继器,所述网络中继器连接工业网络交换机,所述网络中继器选用FiBitFB-D21S20-S40,还包括服务器监视层和网络服务器,所述的网络服务器通过服务器监视层连接漏洞扫描层,在安全的进行网络信息流传输的同时,能够保证信息传输更远,更稳定,可扩展的在局域网所在拓扑架构中的多用户稳定使用。
Description
技术领域
本实用新型涉及局域网网络安全领域,具体是指一种适于大型局域网络安全的可扩性网络系统。
背景技术
Intranet,企业内网,是Internet的延伸和发展,正是由于利用了Internet的先进技术,特别是TCP/IP协议,保留了Internet允许不同计算平台互通及易于上网的特性,使Intranet得以迅速发展。但Intranet在网络组织和管理上更胜一筹,它有效地避免了Internet所固有的可靠性差、无整体设计、网络结构不清晰以及缺乏统一管理和维护等缺点,使企业内部的秘密或敏感信息受到网络防火墙的安全保护。因此,同Internet相比,Intranet更安全、更可靠,更适合企业或组织机构加强信息管理与提高工作效率,被形象地称为建在企业防火墙里面的Internet。
Intranet所提供的是一个相对封闭的网络环境。这个网络在企业内部是分层次开放的,内部有使用权限的人员访问Intranet可以不加限制,但对于外来人员进入网络,则有着严格的授权。因此,网络完全是根据企业的需要来控制的。在网络内部,所有信息和人员实行分类管理,通过设定访问权限来保证安全。比如,对普通员工访问受保护的文件(如人事、财务、销售信息等)进行授权及鉴别,保证只有经过授权的人员才能接触某些信息;对受限制的敏感信息进行加密和接入管理等等。同时,Intranet又不是完全自我封闭的,它一方面要帮助企业内部人员有效地获取交流信息;另一方面也要对某些必要的外部人员,如合伙人、重要客户等部分开放,通过设立安全网关,允许某些类型的信息在Intranet与外界之间往来,而对于企业不希望公开的信息,则建立安全地带,避免此类信息被侵害。
与Internet相比,Intranet不仅是内部信息发布系统,而且是该机构内部业务运转系统。Intranet的解决方案应当具有严格的网络资源管理机制、网络安全保障机制,同时具有良好的开放性;它和数据库技术、多媒体技术以及开放式群件系统相互融合连接,形成一个能有效地解决信息系统内部信息的采集、共享、发布和交流的,易于维护管理的信息运作平台。
Intranet带来了企业信息化新的发展契机。它革命性地解决了传统企业信息网络开发中所不可避免的缺陷,打破了信息共享的障碍,实现了大范围的协作。同时以其易开发、省投资、图文并茂、应用简便、安全开放的特点,形成了新一代企业信息化的基本模式。
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统能连续可靠正常地运行,网络服务不中断。网络安全包含网络设备安全、网络信息安全、网络软件安全。从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。
在系统处理能力提高的同时,系统的连接能力也在不断的提高。但在信息连接能力、流通能力提高的同时,基于网络连接的安全问题也日益突出,整体的网络安全主要表现在以下几个方面:网络的物理安全、网络拓扑结构安全、网络系统安全、应用系统安全和网络管理的安全等。
而能够在安全的进行网络信息流传输的同时要保证信息传输更远,更稳定也便成了当今网络安全发展所必要解决的问题。
实用新型内容
本实用新型的目的在于提供一种适于大型局域网络安全的可扩性网络系统,在安全的进行网络信息流传输的同时,能够保证信息传输更远,更稳定,达到可扩展的在局域网所在拓扑架构中的多用户稳定使用的目的。
本实用新型通过下述技术方案实现:一种适于大型局域网络安全的可扩性网络系统,包括安全管理系统、工业网络交换机,所述安全管理系统连接工业网络交换机,所述安全管理系统包括防火墙电路、入侵检测引擎、数据加密层和漏洞扫描层,所述防火墙电路分别连接工业网络交换机、入侵检测引擎和漏洞扫描层,所述漏洞扫描层连接数据加密层;还包括网络中继器,所述网络中继器连接工业网络交换机,所述网络中继器选用FiBit FB-D21S20-S40。
进一步的,为更好的实现本实用新型,还包括服务器监视层和网络服务器,所述的网络服务器通过服务器监视层连接漏洞扫描层。
进一步的,为更好的实现本实用新型,所述网络服务器采用IBM System x3850 X5。
进一步的,为更好的实现本实用新型,所述防火墙电路采用趋势TWG-BRF114或NETGEAR FVS318G。
进一步的,为更好的实现本实用新型,所述入侵检测引擎采用启明星辰天阗NS100。
进一步的,为更好的实现本实用新型,所述工业网络交换机采用MOXA EDS-316。
本实用新型与现有技术相比,具有以下优点及有益效果:
本实用新型利用网络中继器,在安全的进行网络信息流传输的同时,能够保证信息传输更远,更稳定,达到可扩展的在局域网所在拓扑架构中的多用户稳定使用的目的;Intranet上的网络数据接入时不光经过防火墙电路保护,还经过入侵检测,通过主动防护技术的使用,对内部攻击、外部攻击和误操作实时保护,在网络系统受到危害之前拦截和响应入侵。
附图说明
图1为本实用新型的拓扑结构示意图。
具体实施方式
下面结合实施例对本实用新型作进一步地详细说明,但本实用新型的实施方式不限于此。
网络中继器,在具有相同接口和相同介质访问控制协议的同构网段互联时,中间加入的仪器设备,它可以对传输的信号进行放大并可重发。从而可以避免因网段电缆线路过长而产生的信号衰减,进而有效地提高传输的可靠性。
数据加密技术,所谓数据加密(Data Encryption)技术是指将一个信息(或称明文,plain text)经过加密钥匙(Encryption key)及加密函数转换,变成无意义的密文(cipher text),而接收方则将此密文经过解密函数、解密钥匙(Decryption key)还原成明文。加密技术是网络安全技术的基石。
漏洞扫描,是指基于漏洞数据库,通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测,发现可利用的漏洞的一种安全检测(渗透攻击)行为。
漏洞扫描技术是一类重要的网络安全技术。它和防火墙、入侵检测系统互相配合,能够有效提高网络的安全性。通过对网络的扫描,网络管理员能了解网络的安全设置和运行的应用服务,及时发现安全漏洞,客观评估网络风险等级。网络管理员能根据扫描的结果更正网络安全漏洞和系统中的错误设置,在黑客攻击前进行防范。如果说防火墙和网络监视系统是被动的防御手段,那么安全扫描就是一种主动的防范措施,能有效避免黑客攻击行为,做到防患于未然。
服务器监视,将远程服务器运行数据通过各种方式记录下来,并在需要时可以随时调用监控记录进行查看。
入侵检测(Intrusion Detection)是对入侵行为的检测。它通过收集和分析网络行为、安全日志、审计数据、其它网络上可以获得的信息以及计算机系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。入侵检测作为一种积极主动地安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。实为防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测。入侵检测通过执行以下任务来实现:监视、分析用户及系统活动;系统构造和弱点的审计;识别反映已知进攻的活动模式并向相关人士报警;异常行为模式的统计分析;评估重要系统和数据文件的完整性;操作系统的审计跟踪管理,并识别用户违反安全策略的行为。
入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。
实施例1:
为了有效进行网络数据安全传输,能对Intranet传输的网络数据在防火墙之前进行入侵检测,并对网络数据进行加密,能够保证信息传输更远,更稳定,达到可扩展的在局域网所在拓扑架构中的多用户稳定使用,设置出一种适于大型局域网络安全的可扩性网络系统,如图1所示,包括安全管理系统、工业网络交换机,所述安全管理系统连接工业网络交换机,所述安全管理系统包括防火墙电路、入侵检测引擎、数据加密层和漏洞扫描层,所述防火墙电路分别连接工业网络交换机、入侵检测引擎和漏洞扫描层,所述漏洞扫描层连接数据加密层;还包括网络中继器,所述网络中继器连接工业网络交换机,所述网络中继器选用FiBit FB-D21S20-S40。
由Intranet来的网络数据通过入侵检测引擎进行入侵检测,经入侵检测后的网络数据才通过防火墙电路,为为使网络数据传输更远,更稳定,达到可扩展的在局域网所在拓扑架构中的多用户稳定使用,网络数据将通过工业网络交换机和网络中继器进行传输,以便局域网所在拓扑架构内的多用户安全稳定使用,网络数据在传输过程中将会在网络漏洞扫描层内完成网络漏洞扫描功能,在数据加密层完成数据加密功能。
其中,涉及软件使用,协议规定等皆为成熟技术,将会直接植入应用,不涉及软件、协议的改变和创造。
FiBit FB-D21S20-S40,具有如下特性:
电信级单模光纤中继器(单模20km转单模40km,1000Mbps);
主要实现光信号在单模光纤与单模光纤介质之间的透明传输;可在1310nm单模光纤(20、40公里)之间进行信号放大传输;可在1550nm单模光纤(60、80公里及以上)之间进行信号放大传输;也可在1310nm单模光纤(20、40公里)与1550nm单模光纤。
实施例2:
本实施例是在上述实施例的基础上进一步优化,为便于同网络服务器进行联系,使网络服务器稳定安全的运行,还包括服务器监视层和网络服务器,所述的网络服务器通过服务器监视层连接漏洞扫描层。
网络数据在同网络服务器之间进行数据交换时,将会在服务器监视层上先完成监视功能后才能在网络服务器中进行数据交互。
实施例3:
本实施例是在上述实施例的基础上进一步优化,所述网络服务器采用IBM System x3850 X5,所述防火墙电路采用趋势TWG-BRF114或NETGEAR FVS318G,所述入侵检测引擎采用启明星辰天阗NS100,所述工业网络交换机采用MOXA EDS-316。
其中,IBM System x3850 X5具有如下特性:
采用机架式4U机箱;
处理器性能:CPU类型:Intel 至强7500,CPU型号:Xeon E7520,CPU频率:1.866GHz,智能加速主频:1.866GHz,标配CPU数量:2颗,最大CPU数量:4颗,制程工艺:45nm,三级缓存:18MB,总线规格:QPI 4.8GT/s,CPU核心:四核,CPU线程数:八线程;
主板:扩展槽:7×半长PCI-E;
内存特性:内存类型:DDR3,内存容量:16GB,内存描述:4×4GB PC3-8500,最大内存容量:1TB;
最大硬盘容量:4TB,内部硬盘架数:最大支持8块串行连接的SCSI(SAS)或16块SAS SSD硬盘,热插拔盘位:支持热插拔,RAID模式: RAID 0,1,5;
网络控制器:双千兆网卡;
散热系统:热插拔风扇;
系统管理:Alert on LAN 2,服务器自动重启,IBM Systems Director,IBM ServerGuide,集成管理模块(IMM),光通路诊断(单独供电),适用于硬盘驱动器/处理器/VRM/风扇/内存的Predictive Failure Analysis,Wake on LAN,动态系统分析,QPI Faildown,单点故障转移;
系统支持:Windows Server 2008(Standard,Enterprise 和 Data Center Edition,32位和64位),32位和64位 Red Hat Enterprise Linux,SUSE Enterprise Linux(Server 和 Advanced Server),VMware ESX Server/ESXi 4.0;
电源类型:热插拔电源,电源数量:2个,电源电压:220V,电源功率 1975W。
趋势TWG-BRF114具有如下特性:
为一款企业路由防火墙;
网络端口:4*RJ45 10/100/1000Mbps Gigabit Ethernet Auto-MDI/MIDX,1*Shielded RJ45 10/100/1000Mbps Gigabit Ethernet Auto-MDI/MIDX;
管理模式:基于WEB页面的方式,SNMP;
安全标准:Access Control;
操作系统支持:Windows95/98/ME/NT/2000/XP,Unix和Mac;
其他性能,标准:IEEE 802.3,802.3u,802.3ab,协议:NAT,PPPoE,HTTP,DHCP,TCP/IP,UDP,PAP,CHAP,RIP1,DDNS。
NETGEAR FVS318G具有如下特性:
为一款VPN防火墙;
并发连接数:6000;
局域网端口:8个10/100/1000 Mbps 自适应;
广域网端口:1个10/100/1000 Mbps 自适应;
管理模式:支持 SNMP(2c);Web 图形用户接口;用户名和密码保护;支持自动识别 IP 地址(或 IP 地址段)的安全远程管理和密码;配置修改/通过 Web 图形界面升级;支持管理员界面的双因素认证;
处理器:250 MHz;内存:8 MB flash,32 MB DRAM;
其他性能:VPN 智能向导简单配置 IPsec VPN;自动探测 ISP 地址类型(静态,动态,PPPoE);端口范围转发;端口触发;打开/关闭 WAN ping;DNS 代理;MAC 地址克隆/欺骗;支持网络时间协议 NTP;诊断工具(ping,DNS lookup,trace route,其它);端口/服务;支持端口线序自知应;L3服务质量(QoS)LAN至WAN和WAN至LAN(ToS);SIP ALG。
启明星辰天阗NS100具有如下特性:
最大检测率:80Mbps;
最大并发连接数:20万;
每秒新建连接数:4万;
处理能力(漏报率为零):80M;
协议自识别:支持非常规端口的HTTP,FTP,POP3,SMTP,TELNET协议识别;
接口:标配1个10M/100M电口,最大2个10M/100M电口;
电源:100-240V;
输入电流:4-2A;
功率:180W。
MOXA EDS-316工业网络交换机具有如下特性:
采用16个10/100BaseT(X)(RJ45),100BaseFX(SC或ST接口,多模/单模);
应用IEEE802.3,802.3u,802.3x网络标准;
采用100BaseFX端口(SC/ST接头)的光纤端口;
DIP开关:端口中断报警。
本实用新型在安全的进行网络信息流传输的同时,能够保证信息传输更远,更稳定,达到可扩展的在局域网所在拓扑架构中的多用户稳定使用的目的。
以上所述,仅是本实用新型的较佳实施例,并非对本实用新型做任何形式上的限制,凡是依据本实用新型的技术实质对以上实施例所作的任何简单修改、等同变化,均落入本实用新型的保护范围之内。
Claims (6)
1.一种适于大型局域网络安全的可扩性网络系统,其特征在于:包括安全管理系统、工业网络交换机,所述安全管理系统连接工业网络交换机,所述安全管理系统包括防火墙电路、入侵检测引擎、数据加密层和漏洞扫描层,所述防火墙电路分别连接工业网络交换机、入侵检测引擎和漏洞扫描层,所述漏洞扫描层连接数据加密层;还包括网络中继器,所述网络中继器连接工业网络交换机,所述网络中继器选用FiBit FB-D21S20-S40。
2.根据权利要求1所述的一种适于大型局域网络安全的可扩性网络系统,其特征在于:还包括服务器监视层和网络服务器,所述的网络服务器通过服务器监视层连接漏洞扫描层。
3.根据权利要求2所述的一种适于大型局域网络安全的可扩性网络系统,其特征在于:所述网络服务器采用IBM System x3850 X5。
4.根据权利要求1或2或3所述的一种适于大型局域网络安全的可扩性网络系统,其特征在于:所述防火墙电路采用趋势TWG-BRF114或NETGEAR FVS318G。
5.根据权利要求1或2或3所述的一种适于大型局域网络安全的可扩性网络系统,其特征在于:所述入侵检测引擎采用启明星辰天阗NS100。
6.根据权利要求1或2或3所述的一种适于大型局域网络安全的可扩性网络系统,其特征在于:所述工业网络交换机采用MOXA EDS-316。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201420339231.0U CN203911973U (zh) | 2014-06-24 | 2014-06-24 | 一种适于大型局域网络安全的可扩性网络系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201420339231.0U CN203911973U (zh) | 2014-06-24 | 2014-06-24 | 一种适于大型局域网络安全的可扩性网络系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN203911973U true CN203911973U (zh) | 2014-10-29 |
Family
ID=51786214
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201420339231.0U Expired - Fee Related CN203911973U (zh) | 2014-06-24 | 2014-06-24 | 一种适于大型局域网络安全的可扩性网络系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN203911973U (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104917776A (zh) * | 2015-06-23 | 2015-09-16 | 北京威努特技术有限公司 | 一种工控网络安全防护设备与方法 |
| CN106534094A (zh) * | 2016-10-26 | 2017-03-22 | 国网北京市电力公司 | 漏洞扫描方法、装置和系统及工业控制系统 |
-
2014
- 2014-06-24 CN CN201420339231.0U patent/CN203911973U/zh not_active Expired - Fee Related
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104917776A (zh) * | 2015-06-23 | 2015-09-16 | 北京威努特技术有限公司 | 一种工控网络安全防护设备与方法 |
| CN106534094A (zh) * | 2016-10-26 | 2017-03-22 | 国网北京市电力公司 | 漏洞扫描方法、装置和系统及工业控制系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Grochocki et al. | AMI threats, intrusion detection requirements and deployment recommendations | |
| CN109962903A (zh) | 一种家庭网关安全监控方法、装置、系统和介质 | |
| CN203968148U (zh) | 一种带入侵检测的网络安全管理系统 | |
| Kyaw et al. | Pi-IDS: evaluation of open-source intrusion detection systems on Raspberry Pi 2 | |
| US9245147B1 (en) | State machine reference monitor for information system security | |
| CN102195991A (zh) | 一种终端安全管理、认证方法及系统 | |
| CN107566359A (zh) | 一种智能防火墙系统及防护方法 | |
| CN105516189A (zh) | 基于大数据平台的网络安全实施系统及方法 | |
| CN204089849U (zh) | 一种基于工业控制协议的网络隔离装置 | |
| Ani et al. | Securing industrial control system environments: the missing piece | |
| CN203911973U (zh) | 一种适于大型局域网络安全的可扩性网络系统 | |
| Li et al. | Research on sensor-gateway-terminal security mechanism of smart home based on IOT | |
| Rakas et al. | Intrusion detection systems in smart grid | |
| Kong et al. | A small LAN zero trust network model based on elastic stack | |
| CN210626917U (zh) | 一种集成数据信息监控系统 | |
| CN205071043U (zh) | 基于电子商务平台应用的网络安全系统 | |
| CN202334564U (zh) | 思科环境下的网络准入控制系统 | |
| CN207612279U (zh) | 一种食品加工厂网络安全管理系统 | |
| CN203911972U (zh) | 一种应用于网络安全领域的入侵检测系统 | |
| CN108460267B (zh) | 一种教学用计算机网络信息安全装置 | |
| Yang et al. | Research on network security protection of application-oriented supercomputing center based on multi-level defense and moderate principle | |
| Chen et al. | Research on the active defense security system based on cloud computing of wisdom campus network | |
| CN109729103A (zh) | 一种专用网络智能分析安全控制装置及方法 | |
| CN205427921U (zh) | 基于大数据信息设备状态检修的支持系统 | |
| Onuora et al. | Cloud security and resilience: Principles and best practices |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20141029 Termination date: 20170624 |