一種適於大型區域網路安全的可擴性網絡系統的製作方法

2023-08-06 10:37:36

一種適於大型區域網路安全的可擴性網絡系統的製作方法
【專利摘要】本實用新型公開了一種適於大型區域網路安全的可擴性網絡系統，包括安全管理系統、工業網絡交換機，所述安全管理系統連接工業網絡交換機，所述安全管理系統包括防火牆電路、入侵檢測引擎、數據加密層和漏洞掃描層，所述防火牆電路分別連接工業網絡交換機、入侵檢測引擎和漏洞掃描層，所述漏洞掃描層連接數據加密層；還包括網絡中繼器，所述網絡中繼器連接工業網絡交換機，所述網絡中繼器選用FiBitFB-D21S20-S40，還包括伺服器監視層和網絡伺服器，所述的網絡伺服器通過伺服器監視層連接漏洞掃描層，在安全的進行網絡信息流傳輸的同時，能夠保證信息傳輸更遠，更穩定，可擴展的在區域網所在拓撲架構中的多用戶穩定使用。
【專利說明】
【技術領域】
[0001] 本實用新型涉及區域網網絡安全領域，具體是指一種適於大型區域網路安全的可 擴性網絡系統。 -種適於大型區域網路安全的可擴性網絡系統

【背景技術】
[0002] Intranet,企業內網，是Internet的延伸和發展，正是由於利用了 Internet的先 進技術，特別是TCP/IP協議，保留了 Internet允許不同計算平臺互通及易於上網的特性， 使Intranet得以迅速發展。但Intranet在網絡組織和管理上更勝一籌，它有效地避免了 Internet所固有的可靠性差、無整體設計、網絡結構不清晰以及缺乏統一管理和維護等缺 點，使企業內部的秘密或敏感信息受到網絡防火牆的安全保護。因此，同Internet相比， Intranet更安全、更可靠，更適合企業或組織機構加強信息管理與提高工作效率，被形象地 稱為建在企業防火牆裡面的Internet。
[0003] Intranet所提供的是一個相對封閉的網絡環境。這個網絡在企業內部是分層次開 放的，內部有使用權限的人員訪問Intranet可以不加限制，但對於外來人員進入網絡，則 有著嚴格的授權。因此，網絡完全是根據企業的需要來控制的。在網絡內部，所有信息和人 員實行分類管理，通過設定訪問權限來保證安全。比如，對普通員工訪問受保護的文件(如 人事、財務、銷售信息等）進行授權及鑑別，保證只有經過授權的人員才能接觸某些信息；對 受限制的敏感信息進行加密和接入管理等等。同時，Intranet又不是完全自我封閉的，它 一方面要幫助企業內部人員有效地獲取交流信息；另一方面也要對某些必要的外部人員， 如合伙人、重要客戶等部分開放，通過設立安全網關，允許某些類型的信息在Intranet與 外界之間往來，而對於企業不希望公開的信息，則建立安全地帶，避免此類信息被侵害。
[0004] 與Internet相比，Intranet不僅是內部信息發布系統，而且是該機構內部業務運 轉系統。Intranet的解決方案應當具有嚴格的網絡資源管理機制、網絡安全保障機制，同時 具有良好的開放性；它和資料庫技術、多媒體技術以及開放式群件系統相互融合連接，形成 一個能有效地解決信息系統內部信息的採集、共享、發布和交流的，易於維護管理的信息運 作平臺。
[0005] Intranet帶來了企業信息化新的發展契機。它革命性地解決了傳統企業信息網 絡開發中所不可避免的缺陷，打破了信息共享的障礙，實現了大範圍的協作。同時以其易開 發、省投資、圖文並茂、應用簡便、安全開放的特點，形成了新一代企業信息化的基本模式。
[0006] 網絡安全是指網絡系統的硬體、軟體及其系統中的數據受到保護，不因偶然的或 者惡意的原因而遭受到破壞、更改、洩露，系統能連續可靠正常地運行，網絡服務不中斷。網 絡安全包含網絡設備安全、網絡信息安全、網絡軟體安全。從廣義來說，凡是涉及到網絡上 信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網絡安全的研究領 域。
[0007] 在系統處理能力提高的同時，系統的連接能力也在不斷的提高。但在信息連接能 力、流通能力提高的同時，基於網絡連接的安全問題也日益突出，整體的網絡安全主要表現 在以下幾個方面：網絡的物理安全、網絡拓撲結構安全、網絡系統安全、應用系統安全和網 絡管理的安全等。
[0008] 而能夠在安全的進行網絡信息流傳輸的同時要保證信息傳輸更遠，更穩定也便成 了當今網絡安全發展所必要解決的問題。 實用新型內容
[0009] 本實用新型的目的在於提供一種適於大型區域網路安全的可擴性網絡系統，在安 全的進行網絡信息流傳輸的同時，能夠保證信息傳輸更遠，更穩定，達到可擴展的在區域網 所在拓撲架構中的多用戶穩定使用的目的。
[0010] 本實用新型通過下述技術方案實現：一種適於大型區域網路安全的可擴性網絡 系統，包括安全管理系統、工業網絡交換機，所述安全管理系統連接工業網絡交換機，所述 安全管理系統包括防火牆電路、入侵檢測引擎、數據加密層和漏洞掃描層，所述防火牆電 路分別連接工業網絡交換機、入侵檢測引擎和漏洞掃描層，所述漏洞掃描層連接數據加密 層；還包括網絡中繼器，所述網絡中繼器連接工業網絡交換機，所述網絡中繼器選用FiBit FB-D21S20-S40。
[0011] 進一步的，為更好的實現本實用新型，還包括伺服器監視層和網絡伺服器，所述的 網絡伺服器通過伺服器監視層連接漏洞掃描層。
[0012] 進一步的，為更好的實現本實用新型，所述網絡伺服器採用IBM System x3850 X5〇
[0013] 進一步的，為更好的實現本實用新型，所述防火牆電路採用趨勢TWG-BRF114或 NETGEAR FVS318G。
[0014] 進一步的，為更好的實現本實用新型，所述入侵檢測引擎採用啟明星辰天闐 NS100。
[0015] 進一步的，為更好的實現本實用新型，所述工業網絡交換機採用MOXA EDS-316。
[0016] 本實用新型與現有技術相比，具有以下優點及有益效果：
[0017] 本實用新型利用網絡中繼器，在安全的進行網絡信息流傳輸的同時，能夠保證信 息傳輸更遠，更穩定，達到可擴展的在區域網所在拓撲架構中的多用戶穩定使用的目的； Intranet上的網絡數據接入時不光經過防火牆電路保護，還經過入侵檢測，通過主動防護 技術的使用，對內部攻擊、外部攻擊和誤操作實時保護，在網絡系統受到危害之前攔截和響 應入侵。

【專利附圖】

【附圖說明】
[0018] 圖1為本實用新型的拓撲結構示意圖。

【具體實施方式】
[0019] 下面結合實施例對本實用新型作進一步地詳細說明，但本實用新型的實施方式不 限於此。
[0020] 網絡中繼器，在具有相同接口和相同介質訪問控制協議的同構網段互聯時，中間 加入的儀器設備，它可以對傳輸的信號進行放大並可重發。從而可以避免因網段電纜線路 過長而產生的信號衰減，進而有效地提高傳輸的可靠性。
[0021] 數據加密技術，所謂數據加密（Data Encryption)技術是指將一個信息(或稱明 文，plain text)經過加密鑰匙（Encryption key)及加密函數轉換，變成無意義的密文 (cipher text),而接收方則將此密文經過解密函數、解密鑰匙（Decryption key)還原成明 文。加密技術是網絡安全技術的基石。
[0022] 漏洞掃描，是指基於漏洞資料庫，通過掃描等手段對指定的遠程或者本地計算機 系統的安全脆弱性進行檢測，發現可利用的漏洞的一種安全檢測(滲透攻擊）行為。
[0023] 漏洞掃描技術是一類重要的網絡安全技術。它和防火牆、入侵檢測系統互相配合， 能夠有效提高網絡的安全性。通過對網絡的掃描，網絡管理員能了解網絡的安全設置和運 行的應用服務，及時發現安全漏洞，客觀評估網絡風險等級。網絡管理員能根據掃描的結果 更正網絡安全漏洞和系統中的錯誤設置，在黑客攻擊前進行防範。如果說防火牆和網絡監 視系統是被動的防禦手段，那麼安全掃描就是一種主動的防範措施，能有效避免黑客攻擊 行為，做到防患於未然。
[0024] 伺服器監視，將遠程伺服器運行數據通過各種方式記錄下來，並在需要時可以隨 時調用監控記錄進行查看。
[0025] 入侵檢測（Intrusion Detection)是對入侵行為的檢測。它通過收集和分析網絡 行為、安全日誌、審計數據、其它網絡上可以獲得的信息以及計算機系統中若干關鍵點的信 息，檢查網絡或系統中是否存在違反安全策略的行為和被攻擊的跡象。入侵檢測作為一種 積極主動地安全防護技術，提供了對內部攻擊、外部攻擊和誤操作的實時保護，在網絡系統 受到危害之前攔截和響應入侵。實為防火牆之後的第二道安全閘門，在不影響網絡性能的 情況下能對網絡進行監測。入侵檢測通過執行以下任務來實現：監視、分析用戶及系統活 動；系統構造和弱點的審計；識別反映已知進攻的活動模式並向相關人士報警；異常行為 模式的統計分析；評估重要系統和數據文件的完整性；作業系統的審計跟蹤管理，並識別 用戶違反安全策略的行為。
[0026] 入侵檢測是防火牆的合理補充，幫助系統對付網絡攻擊，擴展了系統管理員的安 全管理能力（包括安全審計、監視、進攻識別和響應)，提高了信息安全基礎結構的完整性。 它從計算機網絡系統中的若干關鍵點收集信息，並分析這些信息，看看網絡中是否有違反 安全策略的行為和遭到襲擊的跡象。入侵檢測被認為是防火牆之後的第二道安全閘門，在 不影響網絡性能的情況下能對網絡進行監測，從而提供對內部攻擊、外部攻擊和誤操作的 實時保護。
[0027] 實施例1 :
[0028] 為了有效進行網絡數據安全傳輸，能對Intranet傳輸的網絡數據在防火牆之前 進行入侵檢測，並對網絡數據進行加密，能夠保證信息傳輸更遠，更穩定，達到可擴展的在 區域網所在拓撲架構中的多用戶穩定使用，設置出一種適於大型區域網路安全的可擴性網 絡系統，如圖1所示，包括安全管理系統、工業網絡交換機，所述安全管理系統連接工業網 絡交換機，所述安全管理系統包括防火牆電路、入侵檢測引擎、數據加密層和漏洞掃描層， 所述防火牆電路分別連接工業網絡交換機、入侵檢測引擎和漏洞掃描層，所述漏洞掃描層 連接數據加密層；還包括網絡中繼器，所述網絡中繼器連接工業網絡交換機，所述網絡中繼 器選用 FiBit FB-D21S20-S40。
[0029] 由Intranet來的網絡數據通過入侵檢測引擎進行入侵檢測，經入侵檢測後的網 絡數據才通過防火牆電路，為為使網絡數據傳輸更遠，更穩定，達到可擴展的在區域網所在 拓撲架構中的多用戶穩定使用，網絡數據將通過工業網絡交換機和網絡中繼器進行傳輸， 以便區域網所在拓撲架構內的多用戶安全穩定使用，網絡數據在傳輸過程中將會在網絡漏 洞掃描層內完成網絡漏洞掃描功能，在數據加密層完成數據加密功能。
[0030] 其中，涉及軟體使用，協議規定等皆為成熟技術，將會直接植入應用，不涉及軟體、 協議的改變和創造。
[0031] FiBit FB-D21S20-S40,具有如下特性：
[0032] 電信級單模光纖中繼器(單模20km轉單模40km，1000Mbps);
[0033] 主要實現光信號在單模光纖與單模光纖介質之間的透明傳輸；可在1310nm單模 光纖（20、40公裡）之間進行信號放大傳輸；可在1550nm單模光纖（60、80公裡及以上）之 間進行信號放大傳輸；也可在1310nm單模光纖（20、40公裡）與1550nm單模光纖。
[0034] 實施例2 :
[0035] 本實施例是在上述實施例的基礎上進一步優化，為便於同網絡伺服器進行聯繫， 使網絡伺服器穩定安全的運行，還包括伺服器監視層和網絡伺服器，所述的網絡伺服器通 過伺服器監視層連接漏洞掃描層。
[0036] 網絡數據在同網絡伺服器之間進行數據交換時，將會在伺服器監視層上先完成監 視功能後才能在網絡伺服器中進行數據交互。
[0037] 實施例3 :
[0038] 本實施例是在上述實施例的基礎上進一步優化，所述網絡伺服器採用IBM System x3850 X5，所述防火牆電路採用趨勢TWG-BRF114或NETGEAR FVS318G，所述入侵檢測引擎採 用啟明星辰天闐NS100,所述工業網絡交換機採用MOXA EDS-316。
[0039] 其中，IBM System x3850 X5具有如下特性：
[0040] 採用機架式4U機箱；
[0041] 處理器性能：CPU類型：Intel至強7500, CPU型號：Xeon E7520, CPU頻率： 1. 866GHz，智能加速主頻：1. 866GHz，標配CPU數量：2顆，最大CPU數量：4顆，製程工藝： 45nm，三級緩存：18MB，總線規格：QPI 4. 8GT/s，CPU核心：四核，CPU線程數：八線程；
[0042] 主板：擴展槽：7X半長PCI-E ;
[0043] 內存特性：內存類型：DDR3,內存容量：16GB，內存描述：4X4GB PC3-8500,最大內 存容量：1TB ;
[0044] 最大硬碟容量：4TB，內部硬碟架數：最大支持8塊串行連接的SCSI (SAS)或16塊 SAS SSD硬碟，熱插拔盤位：支持熱插拔，RAID模式：RAID 0，1，5;
[0045] 網絡控制器：雙千兆網卡；
[0046] 散熱系統：熱插拔風扇；
[0047] 系統管理：Alert on LAN 2,伺服器自動重啟，IBM Systems Director，IBM ServerGuide，集成管理模塊（1麗)，光通路診斷(單獨供電)，適用於硬碟驅動器/處理器 /VRM/風扇 / 內存的 Predictive Failure Analysis，Wake on LAN，動態系統分析，QPI Faildown，單點故障轉移；
[0048] 系統支持：Windows Server 2〇〇8 (Standard，Enterprise 和 Data Center Edition, 32位和 64位)，32位和 64位 Red Hat Enterprise Linux, SUSE Enterprise Linux (Server 和 Advanced Server), VMware ESX Server/ESXi 4. 0 ；
[0049] 電源類型：熱插拔電源，電源數量：2個，電源電壓：220V，電源功率1975W。
[0050] 趨勢TWG-BRF114具有如下特性：
[0051] 為一款企業路由防火牆；
[0052] 網絡埠 ：4*RJ45 10/100/1000Mbps Gigabit Ethernet Auto-MDI/MIDX， l*Shielded RJ45 10/100/1000Mbps Gigabit Ethernet Auto-MDI/MIDX ;
[0053] 管理模式：基於WEB頁面的方式，SNMP ;
[0054] 安全標準：Access Control ;
[0055] 作業系統支持：Windows95/98/ME/NT/2000/XP，Unix 和 Mac ;
[0056] 其他性能，標準：IEEE 802. 3,802· 3u，802. 3ab，協議：NAT，PPPoE，HTTP，DHCP， TCP/IP，UDP，PAP, CHAP, RIP1，DDNS。
[0057] NETGEAR FVS318G 具有如下特性：
[0058] 為一款VPN防火牆；
[0059] 並發連接數：6000 ;
[0060] 區域網埠 ：8 個 10/100/1000 Mbps 自適應；
[0061] 廣域網埠 ：1 個 10/100/1000 Mbps 自適應；
[0062] 管理模式：支持SNMP(2c) ;Web圖形用戶接口；用戶名和密碼保護；支持自動識 別IP位址（或IP位址段）的安全遠程管理和密碼；配置修改/通過Web圖形界面升 級；支持管理員界面的雙因素認證；
[0063] 處理器：250 MHz ;內存：8 MB flash，32 MB DRAM ;
[0064] 其他性能：VPN智能嚮導簡單配置IPsec VPN ;自動探測ISP地址類型（靜態，動 態，PPPoE);埠範圍轉發；埠觸發；打開/關閉WAN ping ;DNS代理；MAC地址克隆/欺 騙；支持網絡時間協議NTP ;診斷工具（ping, DNS lookup, trace route,其它）；埠 /服 務；支持埠線序自知應；L3服務質量（QoS)LAN至WAN和WAN至LAN(ToS) ;SIPALG。
[0065] 啟明星辰天闐NS100具有如下特性：
[0066] 最大檢測率：80Mbps ;
[0067] 最大並發連接數：20萬；
[0068] 每秒新建連接數：4萬；
[0069] 處理能力（漏報率為零）：80M ;
[0070] 協議自識別：支持非常規埠的HTTP，FTP，POP3, SMTP，TELNET協議識別；
[0071] 接口 ：標配 1 個 10M/100M 電口，最大 2 個 10M/100M 電口；
[0072] 電源：100-240V;
[0073] 輸入電流：4-2A;
[0074] 功率：180W。
[0075] Μ0ΧΑ EDS-316工業網絡交換機具有如下特性：
[0076] 採用 I6 個 10/100BaseT (X) (RJ45)，100BaseFX (SC 或 ST 接口，多模 / 單模）；
[0077] 應用 IEEE802. 3,802. 3u，802. 3x 網絡標準；
[0078] 採用100BaseFX埠（ SC/ST接頭）的光纖埠；
[0079] DIP開關：埠中斷報警。
[0080] 本實用新型在安全的進行網絡信息流傳輸的同時，能夠保證信息傳輸更遠，更穩 定，達到可擴展的在區域網所在拓撲架構中的多用戶穩定使用的目的。
[0081] 以上所述，僅是本實用新型的較佳實施例，並非對本實用新型做任何形式上的限 制，凡是依據本實用新型的技術實質對以上實施例所作的任何簡單修改、等同變化，均落入 本實用新型的保護範圍之內。
【權利要求】
1. 一種適於大型區域網路安全的可擴性網絡系統，其特徵在於：包括安全管理系統、 工業網絡交換機，所述安全管理系統連接工業網絡交換機，所述安全管理系統包括防火牆 電路、入侵檢測引擎、數據加密層和漏洞掃描層，所述防火牆電路分別連接工業網絡交換 機、入侵檢測引擎和漏洞掃描層，所述漏洞掃描層連接數據加密層；還包括網絡中繼器，所 述網絡中繼器連接工業網絡交換機，所述網絡中繼器選用FiBit FB-D21S20-S40。
2. 根據權利要求1所述的一種適於大型區域網路安全的可擴性網絡系統，其特徵在 於：還包括伺服器監視層和網絡伺服器，所述的網絡伺服器通過伺服器監視層連接漏洞掃 描層。
3. 根據權利要求2所述的一種適於大型區域網路安全的可擴性網絡系統，其特徵在 於：所述網絡伺服器採用IBM System x3850 X5。
4. 根據權利要求1或2或3所述的一種適於大型區域網路安全的可擴性網絡系統，其 特徵在於：所述防火牆電路採用趨勢TWG-BRF114或NETGEAR FVS318G。
5. 根據權利要求1或2或3所述的一種適於大型區域網路安全的可擴性網絡系統，其 特徵在於：所述入侵檢測引擎採用啟明星辰天闐NS100。
6. 根據權利要求1或2或3所述的一種適於大型區域網路安全的可擴性網絡系統，其 特徵在於：所述工業網絡交換機採用MOXA EDS-316。
【文檔編號】H04L29/06GK203911973SQ201420339231
【公開日】2014年10月29日 申請日期:2014年6月24日 優先權日:2014年6月24日
【發明者】楊進, 李勤, 羅國平, 洪豔偉 申請人:樂山師範學院