Nothing Special   »   [go: up one dir, main page]

CN111385303A - 一种网络安全防护系统及实现方法 - Google Patents

一种网络安全防护系统及实现方法 Download PDF

Info

Publication number
CN111385303A
CN111385303A CN202010167478.9A CN202010167478A CN111385303A CN 111385303 A CN111385303 A CN 111385303A CN 202010167478 A CN202010167478 A CN 202010167478A CN 111385303 A CN111385303 A CN 111385303A
Authority
CN
China
Prior art keywords
module
network
bgp
data
traction
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202010167478.9A
Other languages
English (en)
Other versions
CN111385303B (zh
Inventor
董超
袁键
蔡艳林
杨明勋
李斌
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Jiangsu Hengtong Industrial Control Safety Research Institute Co Ltd
Original Assignee
Jiangsu Hengtong Industrial Control Safety Research Institute Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Jiangsu Hengtong Industrial Control Safety Research Institute Co Ltd filed Critical Jiangsu Hengtong Industrial Control Safety Research Institute Co Ltd
Priority to CN202010167478.9A priority Critical patent/CN111385303B/zh
Publication of CN111385303A publication Critical patent/CN111385303A/zh
Application granted granted Critical
Publication of CN111385303B publication Critical patent/CN111385303B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1095Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种网络安全防护系统及实现方法,该系统包括防火墙系统和核心路由器,核心路由器支持BGP协议,防火墙系统包括:配置模块,用于当需要对用户网络进行访问控制时,配置相应访问规则;BGP流量牵引模块,用于与核心路由器建立BGP PEER,还用于对访问规则进行分析转换后对相应的IP地址网段进行动态牵引;分光镜像数据接收模块,用于接收数据;数据处理模块,用于对数据进行处理;流量回注模块,用于在数据处理模块将数据处理过后将数据重新注回原有网络,实现旁路的数据处理。本发明的网络安全防护系统在工控环境实际部署时,不需改变用户网络环境,当防火墙系统自身出现问题或需要升级时,可以实现快速切换,不影响用户业务正常进行。

Description

一种网络安全防护系统及实现方法
技术领域
本发明涉及网络安全设备技术领域,特别涉及一种网络安全防护系统及实现方法。
背景技术
工业控制防火墙系统是面向工业控制领域的安全网关产品,主要解决工业基础设施在网络环境中,受到病毒、黑客、敌对势力的恶意攻击问题。传统防火墙不能充分解决工业控制系统的网络安全防护问题,产品不但具备传统防火墙的各项标准功能,同时又能满足工业控制系统对可靠性、稳定性和工业协议分析过滤的特殊安全需求。
工业控制防火墙系统可过滤几乎所有的工业通信协议,依靠其深度防御功能,对Modbus TCP、OPC通信协议、Siemens S7协议和Siemens OP/PG协议进行深度过滤,可以有效防御震网病毒攻击和Dos/DDos等攻击防范;提供用户审计和权限管理;支持断线缓存安全事件日志等,从而保护工业以太网的信息安全。
当前非常多用工业控制环境,对网络稳定持续不中断有很高的要求,用户不愿更改其网络拓扑。而当前的工业控制防火墙,只支持直路部署方式。该方式在部署时,需要改变用户网络拓扑,同时必然会导致部署网络断网,不符合实际应用要求,而且,直路部署当工业控制防火墙自身出现压力或故障或需要进行系统升级时,都无法保证工控网络的稳定连续。
发明内容
针对现有技术的不足,本发明目的之一在于提供一种设计合理,不改变用户网络环境,减少对用户影响的网络安全防护系统。其采用如下技术方案:
一种网络安全防护系统,其包括防火墙系统和核心路由器,所述核心路由器支持BGP协议,所述防火墙系统包括:
配置模块,用于当需要对用户网络进行访问控制时,配置相应访问规则;
BGP流量牵引模块,用于与所述核心路由器建立BGP PEER,还用于对访问规则进行分析转换后对相应的IP地址网段进行动态牵引;
分光镜像数据接收模块,用于接收数据;
数据处理模块,用于对数据进行处理;
流量回注模块,用于在所述数据处理模块将数据处理过后将数据重新注回原有网络,实现旁路的数据处理。
作为本发明的进一步改进,所述防火墙系统还包括第一删除模块,用于当不再需要对用户网络进行访问控制时,删除相应访问规则;
BGP流量牵引模块还用于在所述第一删除模块删除相应访问规则后,取消对相应的IP地址网段进行动态牵引。
作为本发明的进一步改进,所述防火墙系统还包括第二删除模块,用于当所述防火墙系统需要升级维护时,删除所有访问规则;
所述BGP流量牵引模块还用于在所述第二删除模块删除所有访问规则后,取消对所有流量的牵引。
作为本发明的进一步改进,所述核心路由器还用于当所述防火墙系统出现故障时,取消所述BGP流量牵引模块所发布的路由。
本发明目的之二在于提供一种成本低、效率高的网络安全防护系统的实现方法。其采用如下技术方案:
一种网络安全防护系统的实现方法,用于上述任一所述的网络安全防护系统,包括:
在BGP流量牵引模块与核心路由器之间建立BGP PEER;
通过分光镜像数据接收模块接收数据,并通过数据处理模块对数据进行处理,同时通过网络监控模块进行网络监控;
当需要对用户网络进行访问控制时,通过配置模块配置相应访问规则,由BGP流量牵引模块分析转换后对相应的IP地址网段进行动态牵引;
所述数据处理模块将处理过后的数据交由流量回注模块重新注回原有网络,实现旁路的数据处理。
作为本发明的进一步改进,还包括:
当不再需要对用户网络进行访问控制时,删除相应访问规则,由所述BGP流量牵引模块分析转换后,取消对相应的IP地址网段进行动态牵引。
作为本发明的进一步改进,还包括:
当所述防火墙系统需要升级维护时,删除所有访问规则,所述BGP流量牵引模块同时取消对所有流量的牵引。
作为本发明的进一步改进,还包括:
当所述防火墙系统出现故障时,所述核心路由器将取消所述BGP流量牵引模块所发布的路由。
作为本发明的进一步改进,所述在BGP流量牵引模块与核心路由器之间建立BGPPEER之前,还包括:从核心路由器添加端口镜像,并添加镜像端口至分光镜像数据接收模块端口的物理连线,并添加核心路由器BGP接口至BGP流量牵引模块的物理连线。
作为本发明的进一步改进,还包括:
当所述防火墙系统撤离用户环境时,取消BGP PEER,取消分光镜像数据接收模块与核心路由器BGP接口之间的物理连线。
本发明的有益效果:
本发明的网络安全防护系统在工控环境实际部署时,不需改变用户网络环境,当防火墙系统自身出现问题或需要升级时,可以实现快速切换,不影响用户业务正常进行。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其他目的、特征和优点能够更明显易懂,以下特举较佳实施例,并配合附图,详细说明如下。
附图说明
图1是本发明优选实施例中网络安全防护系统的示意图;
图2是本发明优选实施例中网络安全防护系统的实现方法的示意图。
具体实施方式
下面结合附图和具体实施例对本发明作进一步说明,以使本领域的技术人员可以更好地理解本发明并能予以实施,但所举实施例不作为对本发明的限定。
实施例一
如图1所示,为本发明实施例中的网络安全防护系统,该网络安全防护系统包括防火墙系统和核心路由器,该防火墙系统为工业控制防火墙系统,核心路由器支持BGP协议,防火墙系统包括:
配置模块,用于当需要对用户网络进行访问控制时,配置相应访问规则;
BGP流量牵引模块,用于与核心路由器建立BGP PEER,还用于对访问规则进行分析转换后对相应的IP地址网段进行动态牵引。
分光镜像数据接收模块,用于接收数据。具体的,其主要负责接收核心路由器全部流量数据。
数据处理模块,用于对数据进行处理;该数据处理模块具有工业协议DPI识别功能,基于工业协议DPI识别的访问控制ACL功能,病毒的识别拦截,DDOS攻击防护等。
流量回注模块,用于在数据处理模块将数据处理过后将数据重新注回原有网络,实现旁路的数据处理。
在本发明其中一实施例中,防火墙系统还包括第一删除模块,用于当不再需要对用户网络进行访问控制时,删除相应访问规则;
BGP流量牵引模块还用于在第一删除模块删除相应访问规则后,取消对相应的IP地址网段进行动态牵引。
在本发明其中一实施例中,防火墙系统还包括第二删除模块,用于当防火墙系统需要升级维护时,删除所有访问规则;BGP流量牵引模块还用于在第二删除模块删除所有访问规则后,取消对所有流量的牵引。
在本发明其中一实施例中,核心路由器还用于当防火墙系统出现故障时,取消BGP流量牵引模块所发布的路由。
实施例二
如图2所示,为本实施例中的网络安全防护实现方法,用于实施例一中的网络安全防护系统,其包括以下步骤:
S10、在BGP流量牵引模块与核心路由器之间建立BGP PEER;
S20、通过分光镜像数据接收模块接收数据,并通过数据处理模块对数据进行处理,同时通过网络监控模块进行网络监控;
S30、当需要对用户网络进行访问控制时,通过配置模块配置相应访问规则,由BGP流量牵引模块分析转换后对相应的IP地址网段进行动态牵引;
S40、所述数据处理模块将处理过后的数据交由流量回注模块重新注回原有网络,实现旁路的数据处理。
在其中一实施例中,该方法还包括以下步骤:
当不再需要对用户网络进行访问控制时,删除相应访问规则,由所述BGP流量牵引模块分析转换后,取消对相应的IP地址网段进行动态牵引。
当所述防火墙系统需要升级维护时,删除所有访问规则,所述BGP流量牵引模块同时取消对所有流量的牵引。保证在升级维护过程中,对用户网络零影响。
当所述防火墙系统出现故障时,所述核心路由器将取消所述BGP流量牵引模块所发布的路由。优选的,将此取消过程设置为秒级以内完成,从而保证在防火墙系统自身出现故障时,用户网络可以秒级恢复,不影响用户业务正常进行。
在本实施例中,在步骤S10之前还包括步骤:
从核心路由器添加端口镜像,并添加镜像端口至分光镜像数据接收模块端口的物理连线,并添加核心路由器BGP接口至BGP流量牵引模块的物理连线。
优先的,在步骤S40之后还包括步骤:
当所述防火墙系统撤离用户环境时,取消BGP PEER,取消分光镜像数据接收模块与核心路由器BGP接口之间的物理连线。
以上实施例仅是为充分说明本发明而所举的较佳的实施例,本发明的保护范围不限于此。本技术领域的技术人员在本发明基础上所作的等同替代或变换,均在本发明的保护范围之内。本发明的保护范围以权利要求书为准。

Claims (10)

1.一种网络安全防护系统,其特征在于,包括防火墙系统和核心路由器,所述核心路由器支持BGP协议,所述防火墙系统包括:
配置模块,用于当需要对用户网络进行访问控制时,配置相应访问规则;
BGP流量牵引模块,用于与所述核心路由器建立BGP PEER,还用于对访问规则进行分析转换后对相应的IP地址网段进行动态牵引;
分光镜像数据接收模块,用于接收数据;
数据处理模块,用于对数据进行处理;
流量回注模块,用于在所述数据处理模块将数据处理过后将数据重新注回原有网络,实现旁路的数据处理。
2.如权利要求1所述的网络安全防护系统,其特征在于,所述防火墙系统还包括第一删除模块,用于当不再需要对用户网络进行访问控制时,删除相应访问规则;
BGP流量牵引模块还用于在所述第一删除模块删除相应访问规则后,取消对相应的IP地址网段进行动态牵引。
3.如权利要求1所述的网络安全防护系统,其特征在于,所述防火墙系统还包括第二删除模块,用于当所述防火墙系统需要升级维护时,删除所有访问规则;
所述BGP流量牵引模块还用于在所述第二删除模块删除所有访问规则后,取消对所有流量的牵引。
4.如权利要求1所述的网络安全防护系统,其特征在于,所述核心路由器还用于当所述防火墙系统出现故障时,取消所述BGP流量牵引模块所发布的路由。
5.一种网络安全防护系统的实现方法,其特征在于,用于如权利要求1-4任一所述的网络安全防护系统,包括:
在BGP流量牵引模块与核心路由器之间建立BGP PEER;
通过分光镜像数据接收模块接收数据,并通过数据处理模块对数据进行处理,同时通过网络监控模块进行网络监控;
当需要对用户网络进行访问控制时,通过配置模块配置相应访问规则,由BGP流量牵引模块分析转换后对相应的IP地址网段进行动态牵引;
所述数据处理模块将处理过后的数据交由流量回注模块重新注回原有网络,实现旁路的数据处理。
6.如权利要求5所述的网络安全防护系统的实现方法,其特征在于,还包括:
当不再需要对用户网络进行访问控制时,删除相应访问规则,由所述BGP流量牵引模块分析转换后,取消对相应的IP地址网段进行动态牵引。
7.如权利要求5所述的网络安全防护系统的实现方法,其特征在于,还包括:
当所述防火墙系统需要升级维护时,删除所有访问规则,所述BGP流量牵引模块同时取消对所有流量的牵引。
8.如权利要求5所述的网络安全防护系统的实现方法,其特征在于,还包括:
当所述防火墙系统出现故障时,所述核心路由器将取消所述BGP流量牵引模块所发布的路由。
9.如权利要求5所述的网络安全防护系统的实现方法,其特征在于,所述在BGP流量牵引模块与核心路由器之间建立BGP PEER之前,还包括:从核心路由器添加端口镜像,并添加镜像端口至分光镜像数据接收模块端口的物理连线,并添加核心路由器BGP接口至BGP流量牵引模块的物理连线。
10.如权利要求9所述的网络安全防护系统的实现方法,其特征在于,还包括:
当所述防火墙系统撤离用户环境时,取消BGP PEER,取消分光镜像数据接收模块与核心路由器BGP接口之间的物理连线。
CN202010167478.9A 2020-03-11 2020-03-11 一种网络安全防护系统及实现方法 Active CN111385303B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010167478.9A CN111385303B (zh) 2020-03-11 2020-03-11 一种网络安全防护系统及实现方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010167478.9A CN111385303B (zh) 2020-03-11 2020-03-11 一种网络安全防护系统及实现方法

Publications (2)

Publication Number Publication Date
CN111385303A true CN111385303A (zh) 2020-07-07
CN111385303B CN111385303B (zh) 2022-11-29

Family

ID=71222675

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010167478.9A Active CN111385303B (zh) 2020-03-11 2020-03-11 一种网络安全防护系统及实现方法

Country Status (1)

Country Link
CN (1) CN111385303B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113301053A (zh) * 2021-05-31 2021-08-24 深圳市风云实业有限公司 一种基于可扩展的高性能网络边界防护检测系统及方法

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101431449A (zh) * 2008-11-04 2009-05-13 中国科学院计算技术研究所 一种网络流量清洗系统
CN106161362A (zh) * 2015-04-03 2016-11-23 阿里巴巴集团控股有限公司 一种网络应用防护方法与设备
CN106411910A (zh) * 2016-10-18 2017-02-15 上海优刻得信息科技有限公司 一种分布式拒绝服务攻击的防御方法与系统
CN107623661A (zh) * 2016-07-15 2018-01-23 阿里巴巴集团控股有限公司 阻断访问请求的系统、方法及装置,服务器
CN108667829A (zh) * 2018-04-26 2018-10-16 腾讯科技(深圳)有限公司 一种网络攻击的防护方法、装置及存储介质
CN109818970A (zh) * 2019-03-07 2019-05-28 腾讯科技(深圳)有限公司 一种数据处理方法及装置
CN110113435A (zh) * 2019-05-27 2019-08-09 北京神州绿盟信息安全科技股份有限公司 一种流量清洗的方法和设备

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101431449A (zh) * 2008-11-04 2009-05-13 中国科学院计算技术研究所 一种网络流量清洗系统
CN106161362A (zh) * 2015-04-03 2016-11-23 阿里巴巴集团控股有限公司 一种网络应用防护方法与设备
CN107623661A (zh) * 2016-07-15 2018-01-23 阿里巴巴集团控股有限公司 阻断访问请求的系统、方法及装置,服务器
CN106411910A (zh) * 2016-10-18 2017-02-15 上海优刻得信息科技有限公司 一种分布式拒绝服务攻击的防御方法与系统
CN108667829A (zh) * 2018-04-26 2018-10-16 腾讯科技(深圳)有限公司 一种网络攻击的防护方法、装置及存储介质
CN109818970A (zh) * 2019-03-07 2019-05-28 腾讯科技(深圳)有限公司 一种数据处理方法及装置
CN110113435A (zh) * 2019-05-27 2019-08-09 北京神州绿盟信息安全科技股份有限公司 一种流量清洗的方法和设备

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113301053A (zh) * 2021-05-31 2021-08-24 深圳市风云实业有限公司 一种基于可扩展的高性能网络边界防护检测系统及方法

Also Published As

Publication number Publication date
CN111385303B (zh) 2022-11-29

Similar Documents

Publication Publication Date Title
US11057349B2 (en) Cloud-based multi-function firewall and zero trust private virtual network
CN101431449B (zh) 一种网络流量清洗系统
US8261355B2 (en) Topology-aware attack mitigation
US20050182950A1 (en) Network security system and method
CN101478478A (zh) 一种报文处理方法、装置和系统
CN106789865A (zh) 一种基于gre网络结合sdn技术和蜜罐技术的网络安全防护方法
KR20160036201A (ko) 비정상 통신 차단 장치 및 방법
CN213521957U (zh) 一种基于数字船舶网络安全的网络接入系统
CN111385303B (zh) 一种网络安全防护系统及实现方法
EP2321934A1 (en) Distributed packet flow inspection and processing
CN112154635A (zh) Sfc覆盖网络中的攻击源追踪
Patidar et al. Information theory-based techniques to detect DDoS in SDN: A survey
US11095649B2 (en) Uni-directional and bi-directional cross-domain (secure exchange gateway) design
Yuhong et al. Industrial Internet security protection based on an industrial firewall
KR100427179B1 (ko) 패킷 필터링을 이용한 아이에스피 보더 라우터의 공격자차단 방법 및 그 시스템
CN114978563A (zh) 一种封堵ip地址的方法及装置
CN114401155B (zh) 一种网络安全防护方法、系统
CN115914003B (zh) 一种基于智能网卡的流量监控方法及系统
CN110896403A (zh) 一种应用防火墙架构
CN113364734B (zh) 一种内部网络保护方法及系统
CN115333853B (zh) 网络入侵检测方法、装置与电子设备
CN117596220A (zh) 一种裸金属服务器影子流量的传输方法及系统
WO2024020962A1 (en) Method, apparatus and system for covert path discovering and computer-readable storage medium
CN115174219B (zh) 一种可适配多种工业防火墙的管理系统
CN114726602A (zh) 一种网络零变更条件下的企业内网自适应威胁阻断方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant