CN213693762U - 一种网络入侵防御系统 - Google Patents
一种网络入侵防御系统 Download PDFInfo
- Publication number
- CN213693762U CN213693762U CN202022319196.4U CN202022319196U CN213693762U CN 213693762 U CN213693762 U CN 213693762U CN 202022319196 U CN202022319196 U CN 202022319196U CN 213693762 U CN213693762 U CN 213693762U
- Authority
- CN
- China
- Prior art keywords
- idp
- firewall
- gateway
- network
- prevention system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Abstract
本实用新型涉及网络安全技术领域,尤其为一种网络入侵防御系统,包括初阶段防御系统、次阶段防御系统、服务器以及PC机组,所述初阶段防御系统包括:防火墙,与外网连接,用于获取外网的数据流,并对数据流检测,过滤存在安全隐患的数据信息;所述次阶段防御系统包括:网关型IDP组,与防火墙连接,用于接收经防火墙过滤后的数据流,对该数据流再检测,过滤存在安全隐患的数据信息,并输出到内网;所述服务器,与内网连接,用于获取经网关型IDP组过滤后的数据流;PC机组,与内网连接,用于获取经网关型IDP组过滤后的数据流。本实用新型,有两层防御机制的网络入侵防御系统,更安全,可满足中小型企业网络对入侵检测防御的要求。
Description
技术领域
本实用新型涉及网络安全技术领域,具体为一种网络入侵防御系统。
背景技术
随着网络入侵事件的不断增加和黑客攻击水平的不断提高,一方面网络感染病毒、遭受攻击的速度日益加快;另一方面企业网络一般只配合防火墙,在企业网络受到攻击后作出应的时间却越来越滞后。防火墙检测到入侵后只能报警、记录,而不能及时有效地阻止入侵行为的发生。
而随着各种安全产品也相继出现,如入侵检测系统、漏洞扫描系统、身份认证和加密系统等。它们对防止系统被非法入侵都具有一定的效果,但是其应用到中小型企业来说还具有局限性,一方面是其诸如入侵检测系统价格昂贵,不适合许多中小企业的实际需要,另一方面是还不能完全防止对于应用层的攻击以及完全、及时地阻止入侵。所以提出一种能够对网络系统提供良好的保障具有很强的现实性和紧迫性的入侵防御系统。
实用新型内容
本实用新型的目的在于提供一种网络入侵防御系统,以解决上述背景技术中提出的问题。
为实现上述目的,本实用新型提供如下技术方案:
一种网络入侵防御系统,包括初阶段防御系统、次阶段防御系统、外网、服务器以及PC机组,其中
所述初阶段防御系统包括:
防火墙,与所述外网连接,用于获取外网的数据流,并对所述数据流检测,过滤存在安全隐患的数据信息;
所述次阶段防御系统包括:
网关型IDP组,与所述防火墙连接,用于接收经所述防火墙过滤后的数据流,对该数据流再检测,过滤存在安全隐患的数据信息,并输出到内网;
所述服务器,与所述内网连接,用于获取经所述网关型IDP组过滤后的数据流;
PC机组,与所述内网连接,用于获取经所述网关型IDP组过滤后的数据流。
优选的,所述初阶段防御系统还包括:
CSU/DSU设备,与所述外网连接,用于获取外网的数据流,并送入到路由器;
所述路由器,与所述CSU/DSU设备和防火墙连接,用于将数据流存储、分组转发到防火墙。
优选的,所述次阶段防御系统还包括:
IDP控制端,与所述网关型IDP组连接,作为管理窗口,用于控制管理网关型IDP组。
优选的,所述内网连接有交换机,所述交换机连接有HUB,所述服务器和PC机组连接到HUB上。
优选的,所述服务器包括Web服务器、Ftp服务器、数据库服务器、E-mail 服务器以及其他服务器。
优选的,所述防火墙为Netfilter/Iptables防火墙,所述网关型IDP组基于IXP1200为核心处理器的网关型IDP集群,所述网关型IDP组和PC机组均包括若干组。
与现有技术相比,本实用新型的有益效果是:
本实用新型,是具有两层防御机制的网络入侵防御系统,该系统扩展了网关防火墙的入侵检测功能,实现了网关防火墙对攻击的最初防御,在数据包(流)经过防火墙最初防御,增加了网关型IDP,以实现对逃避了网关防火墙检测的复杂攻击进行再次检测和防御;而且网关型IDP,适用于外带宽超过10M数据流量的接入,对数据流的吞吐能力高大100M,大幅提高数据流处理能力,而且成本较低,同时网关型IDP由于自身属性,本身的安全性很高,几乎不会发生对嵌入式实时系统的攻击。本系统更具安全性,即可满足中小型企业网络对入侵检测防御的要求。
附图说明
图1为本实用新型网络入侵防御系统结构图;
图2为本实用新型网络入侵防御系统处理流程图。
图中:1-初阶段防御系统;10-CSU/DSU设备;11-路由器;12-防火墙; 2-次阶段防御系统;20-网关型IDP组;200-网关型IDP;3-外网;4-内网;5- 交换机;6-HUB;7-服务器;70-Web服务器;71-Ftp服务器;72-数据库服务器;73-E-mail服务器;74-其他服务器;8-PC机组;80-PC机。
具体实施方式
下面将结合本实用新型实施例中的附图,对本实用新型实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本实用新型一部分实施例,而不是全部的实施例。基于本实用新型中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本实用新型保护的范围。
请参阅图1~2,本实用新型提供一种技术方案:
一种网络入侵防御系统,统采用了两层防御机制,包括初阶段防御系统1、次阶段防御系统2,具体如图1所示,初段的防御由置于网关的Netfilter/Iptables 防火墙12主机完成,CSU/DSU设备10连接到Internet外网3,然后防火墙主机通过路由器11与CSU/DSU设备10相连;次阶段的防御由网关型IDP组 20(和/或IDP控制端21)联动完成,网关型IDP组20部署与内网相连。整个系统的工作流程如图2所示:数据包(流)由外网发出,首先要经过Netfilter/Iptables防火墙的检测,防火墙加载了Snort规则转化来的Iptables入侵规则链,对数据包包头和包体内容进行匹配检测。若数据包匹配Iptables检测规则成功则直接丢弃或阻断,若匹配不成功则由防火墙提供NAT地址转换转发入网关型IDP组20,进入内网的数据包由网关型IDP组20再分析检测:网关型IDP200接收到的上述防火墙传达的数据帧存储时,应在数据帧前增加标签,包解码引擎需要处理此数据时,应对此数据采用拷贝的形式使用,经过预处理、检测后,虽然已经解析、重组为应用层数据流,但是此标签作为对原始以Internet数据的辨认依然随数据流存在,利用此标签可以决定原始 Internet网数据帧是否通过以及应当转发的端口,当检测出非法数据后,可以根据识别出的IP地址,依据安全策略做出相应回复。当检测出数据安全后转入内网4,然后由交换机下达到HUB(集线器)6,然后以供相应的服务器7 和PC机组8接入。
本实用新型中,初阶段防御系统1主要由现有技术的Netfilter/iptables防火墙12构成,该防火墙是Linux内核集成的IP信息包过滤系统,由Netfilter 和Ip tables组件组成。Netfilter提供对IP包进行操作的框架;Iptables是用户插入、修改保存在Netfilter中,包过滤规则的工具。Netfilter/Iptables防火墙 12具有入侵检测功能,可以检测到恶意数据包后可以直接丢弃或阻断,实时响应性高,提供了更高的安全性。当它对一些企图逃避检测的入侵行为:攻击信息跨越多包的攻击、字符串编码变种攻击无能为力。所以在本系统中增加了次阶段防御系统2,主要是网关型IDP组20,可以放置在需要保护的网段前,即在本实施例中其放在内外4前,它对流过它的所有数据都进行再次检测,并且根据安全策略和具体的规则体,做出是否容许通过的具体决定以及相应的回复与防御机制。
本实用新型中,网关型IDP组20包括多组,即由多个网关型IDP200集群而成,所述网关型IDP200以IXP1200为核心处理器提出的网关型IDP的硬件构。芯片内部集成了7个RSIC处理器,包括1个StrongArm和6个可编程的微引擎(MicroEngine)。其中,StrongArm最高可工作在232MHz的主频上,每个微引擎内部提供多个硬件线程,可用于任何要求高速信息包检查、数据处理以及数据传送的场合,此为现有技术,这里不做详述。网关型IDP 200放置在网络中的内外4前,作为检测需要数据的通道,其检测和防御规则根据安全策略预先设定,也可根据IDP控制端21安全策略的决定而设置。IDP控制端作为管理窗口,用于与网关型IDP组20的每个网关型IDP 200链接。
本实用新型中,网关型IDP 200采用滥用检测模型、Snort(2.0)的规则体及其稳定高效的内核以及基本框架,并根据pSOS的架构更改相应的应用程序接口(API)以及语言格式。针对标签机制,在对Snort的包解码引擎以及快速规则匹配引擎移植时,这些标签需要保留。除了可以阻断恶意数据流外, IDP也可以作一些其他积极的防御机制,例如,当发现某些恶意数据包时,可以通过向攻击者和目标主机发送TCP复位包,以终止入侵会话。网关型IDP 200和IDP控制端21的终端内置运行软件,二者之间采用SNMP协议,IDP 控制端21通过相应的操作,并通过调用内部函数接口将操作传给IDP主程序来具体执行;同时,主程序产生的日志、告警消息以SNMP Trap的形式通知给IDP控制端21的终端,IDP控制端21通过驻留在IDP上的运行软件来配置、升级规则体并获取检测和回复的信息。IDP控制端21的管理信息库 MIB(Management Information Base)用于对所有IDP的记录和日志分类,呈现出网络运行细节。在完成基本检测和防御规则配置的前提下,IDP控制端21 (软件)也是提供给网络管理人员的一个分析工具。网络管理人员作为安全防御中的一个重要因素,对一些未知情况,可以利用这个工具提供的数据、手段,并根据自己的知识,更为灵活地处理各种入侵动作。为了达到安全联动的目的而又不会对网络造成不利影响,制定一种策略以实现防火墙与网关型IDP组20联动,通过将通过设置Priority选项值,把Snort规则分为若干项严重级别,此级别根据实际需要灵活设定。需要说明的是,本实施例中,各部件、设备以及内置软件均基于现有技术的硬件或软件,不对部件、设备或内置软件进行改进,其型号(或数量)不做限定,本领域技术人员可以根据需要自由灵活选择,只要能实现本方案即可。同时,本实施例中网关型IDP 组20包括多个网关型IDP 200,PC机组8包括多个PC机80,如图1所示,分别记为IDP1、IDP2…IDPn以及PC1、PC2…PCPn。
本实用新型,是具有两层防御机制的网络入侵防御系统,该系统扩展了网关防火墙的入侵检测功能,实现了网关防火墙对攻击的最初防御,在数据包(流)经过防火墙最初防御,增加了网关型IDP,以实现对逃避了网关防火墙检测的复杂攻击进行再次检测和防御;而且网关型IDP,适用于外带宽超过 10M数据流量的接入,解决了目前中小企业外带宽一般不会超过10M的不足,对数据流的吞吐能力高大100M,大幅提高数据流处理能力,而且成本较低,同时网关型IDP由于自身属性,本身的安全性很高,几乎不会发生对嵌入式实时系统的攻击。本系统更具安全性,即可满足中小型企业网络对入侵检测防御的要求。
尽管已经示出和描述了本实用新型的实施例,对于本领域的普通技术人员而言,可以理解在不脱离本实用新型的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型,本实用新型的范围由所附权利要求及其等同物限定。
Claims (5)
1.一种网络入侵防御系统,其特征在于,包括初阶段防御系统(1)、次阶段防御系统(2)、外网(3)、服务器(7)以及PC机组(8),其中
所述初阶段防御系统(1)包括:
防火墙(12),与所述外网(3)连接,用于获取外网(3)的数据流,并对所述数据流检测,过滤存在安全隐患的数据信息;
所述次阶段防御系统(2)包括:
网关型IDP组(20),与所述防火墙(12)连接,用于接收经所述防火墙(12)过滤后的数据流,对该数据流再检测,过滤存在安全隐患的数据信息,并输出到内网(4);
所述服务器(7),与所述内网(4)连接,用于获取经所述网关型IDP组(20)过滤后的数据流;
PC机组(8),与所述内网(4)连接,用于获取经所述网关型IDP组(20)过滤后的数据流。
2.根据权利要求1所述的一种网络入侵防御系统,其特征在于,所述初阶段防御系统(1)还包括:
CSU/DSU设备(10),与所述外网(3)连接,用于获取外网(3)的数据流,并送入到路由器(11);
所述路由器(11),与所述CSU/DSU设备(10)和防火墙(12)连接,用于将数据流存储、分组转发到防火墙(12)。
3.根据权利要求1所述的一种网络入侵防御系统,其特征在于,所述次阶段防御系统(2)还包括:
IDP控制端(21),与所述网关型IDP组(20)连接,作为管理窗口,用于控制管理网关型IDP组(20)。
4.根据权利要求1所述的一种网络入侵防御系统,其特征在于,所述内网(4)连接有交换机(5),所述交换机(5)连接有HUB(6),所述服务器(7)和PC机组(8)连接到HUB(6)上。
5.根据权利要求1至4中任一项所述的一种网络入侵防御系统,其特征在于,所述防火墙(12)为Netfilter/Iptables防火墙,所述网关型IDP组(20)基于IXP1200为核心处理器的网关型IDP(200)集群,所述网关型IDP组(20)和PC机组(8)均包括若干组。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202022319196.4U CN213693762U (zh) | 2020-10-16 | 2020-10-16 | 一种网络入侵防御系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202022319196.4U CN213693762U (zh) | 2020-10-16 | 2020-10-16 | 一种网络入侵防御系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN213693762U true CN213693762U (zh) | 2021-07-13 |
Family
ID=76757546
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202022319196.4U Active CN213693762U (zh) | 2020-10-16 | 2020-10-16 | 一种网络入侵防御系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN213693762U (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115941264A (zh) * | 2022-10-31 | 2023-04-07 | 深圳市众云网有限公司 | 一种基于网络安全的防火墙管理系统 |
-
2020
- 2020-10-16 CN CN202022319196.4U patent/CN213693762U/zh active Active
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115941264A (zh) * | 2022-10-31 | 2023-04-07 | 深圳市众云网有限公司 | 一种基于网络安全的防火墙管理系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Vishwakarma et al. | A survey of DDoS attacking techniques and defence mechanisms in the IoT network | |
US11159486B2 (en) | Stream scanner for identifying signature matches | |
US11277383B2 (en) | Cloud-based intrusion prevention system | |
CN105141604B (zh) | 一种基于可信业务流的网络安全威胁检测方法及系统 | |
EP1558937B1 (en) | Active network defense system and method | |
CN102014116B (zh) | 防御分布式网络泛洪攻击 | |
US6816973B1 (en) | Method and system for adaptive network security using intelligent packet analysis | |
US6487666B1 (en) | Intrusion detection signature analysis using regular expressions and logical operators | |
US7707305B2 (en) | Methods and apparatus for protecting against overload conditions on nodes of a distributed network | |
US20180091547A1 (en) | Ddos mitigation black/white listing based on target feedback | |
US20090077663A1 (en) | Score-based intrusion prevention system | |
CN108933731B (zh) | 基于大数据分析的智能网关 | |
JP4768020B2 (ja) | IPネットワークにおいてターゲット被害者自己識別及び制御によってDoS攻撃を防御する方法 | |
KR100684602B1 (ko) | 세션 상태전이를 이용한 시나리오 기반 침입대응 시스템 및그 방법 | |
CN103428224A (zh) | 一种智能防御DDoS攻击的方法和装置 | |
CN111970300A (zh) | 一种基于行为检查的网络入侵防御系统 | |
CN213693762U (zh) | 一种网络入侵防御系统 | |
Jungck et al. | Issues in high-speed internet security | |
KR20020072618A (ko) | 네트워크 기반 침입탐지 시스템 | |
CN101453363A (zh) | 网络入侵检测系统 | |
WO2005026872A2 (en) | Internal lan perimeter security appliance composed of a pci card and complementary software | |
Chen | Aegis: An active-network-powered defense mechanism against ddos attacks | |
KR100432167B1 (ko) | 은닉형 침입 탐지 및 차단 제어 시스템 및 그 제어방법 | |
CN105827630A (zh) | 僵尸网络属性识别方法、防御方法及装置 | |
KR100350451B1 (ko) | 네트워크상의 장치에서의 패킷 필터링방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
GR01 | Patent grant | ||
GR01 | Patent grant |