CN206686205U - 多重防护网络架构 - Google Patents
多重防护网络架构 Download PDFInfo
- Publication number
- CN206686205U CN206686205U CN201720323979.5U CN201720323979U CN206686205U CN 206686205 U CN206686205 U CN 206686205U CN 201720323979 U CN201720323979 U CN 201720323979U CN 206686205 U CN206686205 U CN 206686205U
- Authority
- CN
- China
- Prior art keywords
- fire wall
- server
- group
- network architecture
- protection network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本实用新型涉及网络通讯安全领域,特别为一种多重防护网络架构。本实用新型包括企业数据存储及应用服务器组、企业内部局域网服务器组以及内网防火墙;所述企业内部局域网服务器组包括第一交换机、局域网服务器、集团防火墙、第一VPN网关以及客户机;所述企业数据及应用包括第二交换机、数据库服务器、应用服务器;所述多重防护网络架构还包括外网防火墙、第二VPN网关;所述多重防护网络架构还包括网络安全监测服务器以及防火墙路由器,所述防火墙路由器分别与集团防火墙、内网防火墙以及外网防火墙连接。本实用新型既能够满足远程办公人员或企业内部人员访问或使用企业数据及应用的需求又能够满足企业对数据及应用的安全性要求。
Description
技术领域
本实用新型涉及网络通讯安全领域,特别为一种多重防护网络架构。
背景技术
随着办公自动化、信息化、商业智能化的发展,隐私和安全对企业来说显得越来越重要,防火墙、VPN技术被广泛地应用于企业内部组织的安全架构中,但是信息安全形势仍然相对严峻。
1.以某企业集团的网络架构为例,集团的远程办公终端可以是笔记本、台式机、PDA等相关智能设备,通过互联网或者DDN专线连接到企业内部局域网服务器组的网关与内部应用服务和应用网关,企业内部局域网服务器组的办公人员需要访问集团内部应用服务、数据库服务器以及系统内部员工测试考核服务器。
公司内部需要外网的web服务器,内网的应用服务器,员工测试考核服务器,数据库服务器,内部网络监测相关的企业内部数据访问和应用访问,带VPN功能的网关服务器两台,一台用于通过互联网直接连接,一台用于连接DDN专用线路。
2.企业集团的需求如下:远程办公人员可以通过互联网连接到企业集团内部局域网(通过VPN通道1),远程办公人员还可以通过DDN专线连接到企业内部数据和应用服务服务器(通过VPN通道2),企业内部员工通过内部网络访问企业内部数据和应用服务器。需要构建一个满足需求的足够安全的数据安全和应用安全网络架构。
实用新型内容
本实用新型的目的在于:提供一种多重防护网络架构,其既能够满足远程办公人员或企业内部人员访问或使用企业数据及应用的需求又能够满足企业对数据及应用的安全性要求。
本实用新型通过如下技术方案实现:一种多重防护网络架构,其特征在于:所述多重防护网络架构包括企业数据存储及应用服务器组、企业内部局域网服务器组以及设置在企业数据存储及应用服务器组与企业内部局域网服务器组之间的内网防火墙;
所述企业内部局域网服务器组包括与内网防火墙连接的第一交换机、与第一交换机连接的局域网服务器、与第一交换机连接的集团防火墙、与集团防火墙连接的第一VPN网关以及至少一台分别与第一交换机连接的客户机,所述第一VPN网关与互联网连接;
所述企业数据及应用包括与内网防火墙连接的第二交换机、与第二交换机连接的数据库服务器、与第二交换机连接的应用服务器;
所述多重防护网络架构还包括与第二交换机连接的外网防火墙、与外网防火墙连接的第二VPN网关,所述第二VPN网关与互联网连接;
所述多重防护网络架构还包括与第二交换机连接的网络安全监测服务器以及与网络安全监测服务器连接的防火墙路由器,所述防火墙路由器分别与集团防火墙、内网防火墙以及外网防火墙连接。
这里,由于防火墙的功能大多集中在数据链路层、网络层和传输层,而网络安全监测服务器的能力是在程序的应用层以及更高的数据安全访问层次进行监督,通过防火墙之间与安全监测服务器的连接可以实现信息共享,而且这种共享是在网络的各个层次上相互协调进行的。
1.如果外部客户端是非法的用户,通过互联网连接到集团防火墙,集团防火墙识别到将记录对方IP和MAC等相关的信息,集团防火墙将信息推送到外网防火墙、内网防火墙以及安全监测服务器,则如果该客户端通过DDN专线连入外网防火墙则将直接被拒绝掉,如果攻破了外网防火墙,那么内网防火墙将再一次拒绝掉连接,如果内网防火墙也被攻破了,那么安全监测服务器就可通过设置应用服务访问与数据访问限制设置从而限制非法用户的访问;
2.同理,如果外部客户端是非法的用户,通过DDN专线连接到外网防火墙时,外网防火墙识别到将记录对方IP和MAC等相关的信息,外网防火墙将信息推送到集团防火墙、内网防火墙以及安全监测服务器,则如果该客户端通过互联网连入集团防火墙则将直接被拒绝掉,如果外网防火墙被攻破,那么安全监测服务器将开启应用服务访问与数据访问限制其访问。
3.如果外部是合法的用户,但是含有恶意代码,则安全监测服务器将记录其相关的信息,将对方客户端的信息推送到内网防火墙、外网防火墙、集团防火墙,由于能够及时接收到被攻破的防火墙的信息及时进行设置与调整因而可以确保剩余的防火墙不会被以同样的方式所攻破。
为了更好的实施本方案,还提供如下优化方案:
进一步的,还包括远程终端,远程终端通过因特网与第一VPN网关和/或第二VPN网关连接。
进一步的,所述企业数据存储及应用服务器组还包括与第二交换机连接的系统测试考核服务器。
进一步的,还包括与外网防火墙连接的外网WEB服务器。
进一步的,所述第二VPN网关通过DDN专线与互联网连接。
较之前技术而言,本实用新型的有益效果为:
1.在企业的内部服务应用和数据库网段中增加一台网络安全监测服务器能够有效的实时监测企业内部的数据和应用访问安全;
2.集团外部的第二VPN网关、外网防火墙,外网防火墙与外网WEB服务器相连,并且与企业数据和应用相连,外网WEB服务器与企业数据和应用通过外网防火墙相互隔离从而保证了外网WEB服务器与企业数据和应用段的安全性;
3.内网防火墙相连有效的把企业内部局域网服务器组和企业数据和应用互相隔离,从而有效的保证了企业数据和应用的安全性;
4.集团防火墙将远程终端与企业局域网有效隔离开来,能够有效的防止企业局域网受到来自外部的安全威胁。
附图说明
图1为多重防护网络构架拓扑结构框图。
具体实施方式
下面结合附图说明对本实用新型做详细说明:
如图1所示,本实用新型包括企业数据存储及应用服务器组、企业内部局域网服务器组以及设置在企业数据存储及应用服务器组与企业内部局域网服务器组之间的内网防火墙;
所述企业内部局域网服务器组包括与内网防火墙连接的第一交换机、与第一交换机连接的局域网服务器、与第一交换机连接的集团防火墙、与集团防火墙连接的第一VPN网关以及三台分别与第一交换机连接的客户机,所述第一VPN网关与互联网连接;
所述企业数据及应用包括与内网防火墙连接的第二交换机、与第二交换机连接的数据库服务器、与第二交换机连接的应用服务器;
所述多重防护网络架构还包括与第二交换机连接的外网防火墙、与外网防火墙连接的第二VPN网关,所述第二VPN网关与互联网连接;
还包括与第二交换机连接的网络安全监测服务器以及与网络安全监测服务器连接的防火墙路由器,所述防火墙路由器分别与集团防火墙、内网防火墙以及外网防火墙连接。
进一步的,还包括远程终端,远程终端通过因特网与第一VPN网关和/或第二VPN网关连接。
进一步的,所述企业数据存储及应用服务器组还包括与第二交换机连接的系统测试考核服务器。
进一步的,还包括与外网防火墙连接的外网WEB服务器。
进一步的,所述第二VPN网关通过DDN专线与互联网连接。
尽管本实用新型采用具体实施例及其替代方式对本实用新型进行示意和说明,但应当理解,只要不背离本实用新型的精神范围内的各种变化和修改均可实施。因此,应当理解除了受随附的权利要求及其等同条件的限制外,本实用新型不受任何意义上的限制。
Claims (5)
1.一种多重防护网络架构,其特征在于:所述多重防护网络架构包括企业数据存储及应用服务器组、企业内部局域网服务器组以及设置在企业数据存储及应用服务器组与企业内部局域网服务器组之间的内网防火墙;
所述企业内部局域网服务器组包括与内网防火墙连接的第一交换机、与第一交换机连接的局域网服务器、与第一交换机连接的集团防火墙、与集团防火墙连接的第一VPN网关以及至少一台分别与第一交换机连接的客户机,所述第一VPN网关与互联网连接;
所述企业数据及应用包括与内网防火墙连接的第二交换机、与第二交换机连接的数据库服务器、与第二交换机连接的应用服务器;
所述多重防护网络架构还包括与第二交换机连接的外网防火墙、与外网防火墙连接的第二VPN网关,所述第二VPN网关与互联网连接;
所述多重防护网络架构还包括与第二交换机连接的网络安全监测服务器以及与网络安全监测服务器连接的防火墙路由器,所述防火墙路由器分别与集团防火墙、内网防火墙以及外网防火墙连接。
2.根据权利要求1所述的多重防护网络架构,其特征在于:所述多重防护网络架构还包括远程终端,远程终端通过因特网与第一VPN网关和/或第二VPN网关连接。
3.根据权利要求1所述的多重防护网络架构,其特征在于:所述企业数据存储及应用服务器组还包括与第二交换机连接的系统测试考核服务器。
4.根据权利要求1所述的多重防护网络架构,其特征在于:所述多重防护网络架构还包括与外网防火墙连接的外网WEB服务器。
5.根据权利要求1所述的多重防护网络架构,其特征在于:所述第二VPN网关通过DDN专线与互联网连接。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201720323979.5U CN206686205U (zh) | 2017-03-30 | 2017-03-30 | 多重防护网络架构 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201720323979.5U CN206686205U (zh) | 2017-03-30 | 2017-03-30 | 多重防护网络架构 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN206686205U true CN206686205U (zh) | 2017-11-28 |
Family
ID=60390402
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201720323979.5U Active CN206686205U (zh) | 2017-03-30 | 2017-03-30 | 多重防护网络架构 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN206686205U (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109067740A (zh) * | 2018-08-01 | 2018-12-21 | 中国能源建设集团甘肃省电力设计院有限公司 | 一种基于虚拟隔离技术的内外网隔离系统及实现方法 |
| CN110011975A (zh) * | 2019-03-07 | 2019-07-12 | 北京华安普特网络科技有限公司 | 一种用于企业管理软件的防火墙架构 |
| CN110045696A (zh) * | 2019-03-29 | 2019-07-23 | 山东钢铁集团日照有限公司 | 一种基于移动互联技术的智能环保与能源监控预警平台 |
| CN111970232A (zh) * | 2020-06-29 | 2020-11-20 | 国网江苏省电力有限公司营销服务中心 | 一种电力营业厅智能服务机器人的安全接入系统 |
| CN113364734A (zh) * | 2021-04-29 | 2021-09-07 | 通富微电子股份有限公司 | 一种内部网络保护方法及系统 |
| CN113486256A (zh) * | 2021-06-30 | 2021-10-08 | 商洛学院 | 一种基于网络安全的大数据处理系统 |
-
2017
- 2017-03-30 CN CN201720323979.5U patent/CN206686205U/zh active Active
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109067740A (zh) * | 2018-08-01 | 2018-12-21 | 中国能源建设集团甘肃省电力设计院有限公司 | 一种基于虚拟隔离技术的内外网隔离系统及实现方法 |
| CN110011975A (zh) * | 2019-03-07 | 2019-07-12 | 北京华安普特网络科技有限公司 | 一种用于企业管理软件的防火墙架构 |
| CN110045696A (zh) * | 2019-03-29 | 2019-07-23 | 山东钢铁集团日照有限公司 | 一种基于移动互联技术的智能环保与能源监控预警平台 |
| CN111970232A (zh) * | 2020-06-29 | 2020-11-20 | 国网江苏省电力有限公司营销服务中心 | 一种电力营业厅智能服务机器人的安全接入系统 |
| CN113364734A (zh) * | 2021-04-29 | 2021-09-07 | 通富微电子股份有限公司 | 一种内部网络保护方法及系统 |
| CN113364734B (zh) * | 2021-04-29 | 2022-07-26 | 通富微电子股份有限公司 | 一种内部网络保护方法及系统 |
| CN113486256A (zh) * | 2021-06-30 | 2021-10-08 | 商洛学院 | 一种基于网络安全的大数据处理系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN206686205U (zh) | 多重防护网络架构 | |
| CN105656903B (zh) | 一种Hive平台的用户安全管理系统及应用 | |
| Swamy et al. | Security threats in the application layer in IOT applications | |
| CN104063473B (zh) | 一种数据库审计监测系统及其方法 | |
| CN104067280B (zh) | 用于检测恶意命令和控制通道的系统和方法 | |
| US7185366B2 (en) | Security administration server and its host server | |
| US20120180120A1 (en) | System for data leak prevention from networks using context sensitive firewall | |
| CN105684391A (zh) | 基于标签的访问控制规则的自动生成 | |
| MXPA03006024A (es) | Metodo orientado a objetos, sistema y medio para administracion de riesgos al crear interdependencia entre objetos, criterios y metricas. | |
| CN100362805C (zh) | 网络色情图像和不良信息检测多功能管理系统 | |
| CN109587156A (zh) | 异常网络访问连接识别与阻断方法、系统、介质和设备 | |
| CN107230043A (zh) | 一种建筑工地工人安全智能管理方法 | |
| US10192262B2 (en) | System for periodically updating backings for resource requests | |
| CN107276983A (zh) | 一种基于dpi和云同步的流量安全控制方法及系统 | |
| CN109165508A (zh) | 一种外部设备访问安全控制系统及其控制方法 | |
| CN106936780B (zh) | 一种网络监控方法和系统 | |
| Itodo et al. | Digital forensics and incident response (DFIR) challenges in IoT platforms | |
| US10013237B2 (en) | Automated approval | |
| CN109600395A (zh) | 一种终端网络接入控制系统的装置及实现方法 | |
| CN107104953A (zh) | 一种双网安全系统以及提升数据安全性的方法 | |
| CN109450933A (zh) | 用于核电厂应急网的网络系统 | |
| CN108900328A (zh) | 一种电网网络数据安全测试系统及方法 | |
| CN205510108U (zh) | 用于局域网络的网络准入系统 | |
| Lubis et al. | Designing Secured Cafe Network with Security Awareness Domain and Resource (SADAR) by Simulation using Cisco Packet Tracer | |
| CN105721481B (zh) | 一种基于透明计算的网络接入系统及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| GR01 | Patent grant | ||
| GR01 | Patent grant |