专利名称:基于服务器数据交换的网络安全系统的制作方法
技术领域:
本实用新型涉及一种网络安全系统,特别是涉及一种基于服务器数据交换的网络安全系统。
背景技术:
随着网络技术不断发展,PC单机性能的不断提高,网络对现今每个人来说是不可缺少的,它有快捷的信息查询,方便的信息通信等功能,人们可以足不出户就能得到我们想要了解的信息,方便中小企业来采集信息,了解第一手的市场,以便在激烈的市场竞争中占据主导地位。所以服务器现今在网络方面被广泛使用,什么是服务器?服务器是一种高性能计算机,作为网络的节点,存储、处理网络上80%的数据、信息,因此也被称为网络的灵魂。服务器系统可以将电子邮件、语音、寻呼、移动短消息、传真和多媒体数据等所有信息类型集合为一种信息方式,并可用电话、传真、手机、呼机、PC、掌上电脑、PDA等通信设备中的任何一种接收处理,在有线、无线、互联网之间架构起一个信息互联通道。服务器的全面实施能真正实现与企业ERM系统和电子商务完美结合,将会改变传统的办公方式和生活方式。中小企业利用该服务器系统均可充分发挥企业信息资源,把企业的电话、传真、邮件、ERM/CRM等应用集中到一台服务器上完成,突破原有的办公方式和客户服务方式的限制,向企业员工、客户提供方便的通信服务和信息服务,并可利用自己的信息资源,轻松开发独具特色的信息内容和电子商务服务,全面提高了服务能力和获得更多投入回报。各行业企业服务器系统,可使得企业员工在任何时间、任何地点,以任何方式,得到企业内部和外部的各种信息,同时也可通过构建企业客户服务系统,更好为客户提供更有针对性的个性化服务,满足顾客的实际需求。因此,它不仅提供了便利通畅的信息沟通渠道,而且能大大提高企业工作效率、降低运营成本、提升企业客户形象,以提高企业的综合竞争能力。使用者可享受全方位的统一信息服务,无论是在家中,在路上,还是在办公室或者旅馆里,都可以随时随地处理个人、客户的语音信息、传真和电子邮件,充分享受网络时代的方便与快捷。传统的企业信息系统是电话系统(电话、传真),现代企业信息系统越来越复杂,包括电话系统(电话、传真)、局域网系统(Internet访问网关、电子邮件)、接入服务系统、企业管理系统、电子商务系统等诸多系统彼此孤立、互无联系,企业不得不分别设立远程接入服务器、Internet网关服务器、电子邮件服务器、ERM/CRM等应用服务器,以支持各种不同的信息应用。
由以上可知服务器对现今网络是非常重要的网络设备服务器的安全问题是保障一切应用的基础。对于一个正规网络而言,拥有不同类型的服务器,如DNS服务器、Web服务器、邮件服务器等等。也有使用一般PC为网络提供Internet连接共享以及一些简单的Web服务的主机。整个LAN(局域网)的Internet接入都靠它了,如果它出问题,轻则客户机不能上网,重则整个网络瘫痪。对网络服务器的恶意网络行为包括三个方面一是恶意的攻击行为,如拒绝服务攻击,网络病毒等等,这些行为旨在消耗服务器资源,影响服务器的正常运作,甚至服务器所在网络的瘫痪;另外一个就是恶意的入侵行为,这种行为更是会导致服务器敏感信息泄露,入侵者更是可以为所欲为,肆意破坏服务器。最后一个方面就是服务器本身所具有的安全漏洞。网络服务器主要是指那些存放网站数据DATA服务器、DNS服务器和MAIL服务器而言。WEB服务器的问题已经说过不少了,在这里就先了解一下DATA服务器、DNS服务器和MAIL服务器的问题。
一、DATA服务器先来看看DATA服务器。它主要是存放数据库的服务器。以SQL数据库为例,从安全角度考虑,SQL服务器与BACKOFFICE组件中的所有程序一样,都是以Windows Server为基础,利用了WindowsServer自身拥有的安全性能。而且,当你将SQL服务器与Internet相连时,为保证你数据的安全性和完整性,有些事情你需要特别考虑。
二、DNS服务器DNS服务器是Internet上其它服务的基础,它处理DNS客户机的请求将名字与IP地址进行互换,并提供特定主机的其它已公布信息(如MX记录等)。一般而言,网管们碰到的大多会有以下几种情况。
1.名字欺骗。当主机B访问主机A(同时也作为DNS服务器)如执行rlogin时,A接收到这个连接并获得发起本次连接主机B的IP地址。为验证本次连接的合法性,主机A就向本地DNS服务器逆向查询对应于这个IP地址的主机名字。当返回查询结果——主机名B为本机所信任的主机时,就允许来自B的远程命令rlogin。下面我们再来看看主机D是如何利用验证漏洞来欺骗主机A的。当主机D也执行rlogin时,主机A同样要验证本次连接的合法性。如果A不能根据D的IP在本地DNS服务器中查询到对应的主机名时,就会向其它DNS服务器发出请求,最后终会找到DNS服务器C。如果入侵者修改DNS服务器C中对应于自己IP地址的主机名为主机B时,主机A就会获得对应于D的IP地址的主机名是B的逆向查询结果,因此主机A认可本次连接。于是欺骗A成功。
2.信息隐藏。当某个企业由于保密等原因的需要,给某些特定主机以特定的内部主机名,而这些主机密码又被入侵者获取时,存放保密数据的服务器主机就会完全暴露。
三、MAIL服务器MAIL服务器一直因其安全性而成为广大网友抱怨的对象。的确,从理论上讲,MAIL服务是一种不安全的服务,因为它必须接受来自INTERNET的几乎所有数据。Internet上,服务器间的邮件交换是通过SMTP协议来完成的。主机的SMTP服务器接收邮件(该邮件可能来自外部主机上的SMTP服务器,也可能来自本机上的用户代理),然后检查邮件地址,以便决定在本机发送还是转发到其它一些主机。Unix系统上的SMTP程序通常是Sendmail。有关Sendmail的安全问题重要的原因在于它是一个异常复杂的程序,而另一个原因是它需root用户特权运行。
一般在解决服务器安全的时候采用的是软件的方法,或利用防火墙对来自外来网络的信息进行过滤,检测,拦截。采用强劲的网络操作系统,做安全的系统配子,采用有效的杀毒软件都可以对服务器安全起到一定的作用,但是日益强大的黑客技术无孔不入再安全的网络安全软件与防火墙都只能确保一时的安全而不能从根本上解决问题。
实用新型内容本实用新型的目的在于提供一种安全、可靠的基于服务器数据交换的网络安全系统。
为实现上述目的,本实用新型的技术解决方案是本实用新型是一种基于服务器数据交换的网络安全系统,它包括内部网络服务器、外部网络服务器和网络隔离卡;内部网络服务器和外部网络服务器通过网络线、串口、并口、USB口相连,所述的网络隔离卡设置在内部网络服务器和外部网络服务器之间。
采用上述方案后,由于服务器系统的数据交换,就是在两台服务器之间进行有效的数据传输与交换,即把一台服务器上的有用数据转移到另一台服务器上,本实用新型使用两台高性能的网络服务器为用户提供数据资源,一台服务器处于内网,而另一台服务器处于外网,在服务器上安装网络隔离卡,物理上把两台服务器进行相连,这样两台服务器就可以完全的进行有效的数据传输。本实用新型从物理上隔离涉密网与公网,避免了内部网遭受外部黑客、病毒的攻击,达到了“该共享的要共享,该保护的还要保护”的信息安全策略,可节省75%为解决内外网隔离而投入的人力和物力,为政府、金融等单位节省上亿元的网络改造投入。与目前市面上的隔离系统相比该系统在低成本、易安装、性能、稳定性、功能等方面都有很大的提高。
以下结合附图和具体实施例对本实用新型作进一步的说明。
图1是本实用新型的结构示意图。
具体实施方式
如图1所示,本实用新型是一种基于服务器数据交换的网络安全系统,它包括内部网络服务器1、外部网络服务器2和网络隔离卡3。
内部网络服务器1和外部网络服务器2通过网络线、串口、并口、USB口相连,使得两台服务器之间可进行有效的数据传输与交换。所述的网络隔离卡3设置在内部网络服务器1和外部网络服务器2之间。
本实用新型的工作原理服务器系统的数据交换,就是在两台服务器之间进行有效的数据传输与交换,即把一台服务器上的有用数据转移到另一台服务器上,本实用新型使用两台高性能的网络服务器为用户提供数据资源,一台内部网络服务器1处于内网(处理涉密文件的内部网),而另一台外部网络服务器2处于外网(连接互连网的外部网)。在服务器上安装网络隔离卡3,物理上把两台服务器(内部网络服务器1和外部网络服务器2)进行相连,这样两台服务器就可以完全的进行有效的数据传输,这时就可以把内部想要发布到外网的信息直接传输到外部网络服务器,也可将外网收集的数据汇总到内网服务器。如果不安装网络隔离卡3,那么在把两台服务器进行相连后,内网就直接暴露在互连网中,这时内部网已不在是内部涉密网,其中有管的涉密信息将会受到来自外部互连网的恶意攻击。而网络隔离卡3可以根本的从物理上解决内网信息的安全问题,当使用网络隔离卡3相连两台服务器的时候,服务器处于完全的物理连接中,外部网络服务器2为用户提供互连网资源的时候通过网络隔离卡3的连接线与内部网络服务器1断开,这时内部网络服务器1完全的断开,不与外部网络进行连接,如果想要把从外网得到的信息储存到的内部网的时候,先把信息储存在外部网络服务器2上,然后通过网络隔离卡3与外部互连网断开与内部网络服务器1相连,这时不管是外部网络服务器2还是内部网络服务器1,就好象处于一个完全的内部环境中。在断开外部互连网和与内部网连接的同时,开始进行数据传输,因为两台服务器在一个完全封闭的内部环境中所以有效的预防了来自外部的攻击。当想要把内部网的信息发布在互连网上的时候,网络隔离卡3与通过网线切换自动与外部互连网断开,然后与内部网络服务器1相连,这样两台服务器处于一个内部的安全环境中,内部网络服务器1把想要发布的信息传输到外部网络服务器2上,传输完毕后隔离卡再通过网线切换,与内部网络服务器1断开与外部互连网相连接,这时内部网络服务器1完全处于内部安全环境中不与任何外部网络连接,避免内部网络服务器1遭受外部攻击。所以采用本发明的物理隔离方案,实现了完全的安全保障,确保服务器数据的完整性、可用性和安全性。
内网服务器要将信息发布到外网,外网服务器断开与外部网络的连接,这时把内部网络的信息通过网络隔离卡3传输到外部网络服务器2上,传输完毕的时候,网络隔离卡3断开两台服务器的连接,同时把外部网络服务器2与外部互连网相连,内网就处于了一个不与外部任何网络互连的状态中,从而有效的保护了内部涉密信息。从以上可以看出,网络隔离卡3就是在一种完全的物理安全状态下,保证了两台服务器安全快速的数据传输,有别于现行的服务器分离模式。
本实用新型通讯方式的选择网络安全隔离卡系统在实现安全隔离的基础上有几种通讯方式。
1.手动切换方式即硬切换。它的最大特点是无需安装软件。内外网通过手动开关上的指示灯或者其按键高低来显示。这样的隔离卡在市场上已趋于淘汰。
2.串口通讯方式它是通过软件控制,实现计算机网络状态的切换。隔离卡与计算机的通讯方式是通过串口来实现的。它的最大特点,智能化高,能自动监测出当前的网络状态。并且界面友好,使用方便,还具有软盘、光盘提示等功能。这种类型的隔离卡市场上较为普遍。
3.PCI接口方式它是通过软件控制的方式来实现内外网络状态的检测和切换,同串口通讯方式相比它最大的特点是节省了有限的串口资源。PCI总线是一种不依附于某个具体处理器的局部总线。从结构上看,PCI是在CPU和原来的系统总线之间插入的一级总线,具体由一个桥接电路实现对这一层的管理,并实现上下之间的接口以协调数据的传送。管理器提供了信号缓冲,使之能支持10种外设,并能在高时钟频率下保持高性能。PCI总线也支持总线主控技术,允许智能设备在需要时取得总线控制权,以加速数据传送。它的主要性能,支持10台外部设备,最大数据传输速率133MB/S,时钟同步方式,不受CPU及时钟频率影响总线宽度32位(5V)64位(3.3V),而且能自动识别外部设备。
而服务器系统要求整体的性能,要为网络用户提供尽可能多的网络资源,快速的对用户(通过系统设置触发条件或规定时间实现自动切换)的请求做出相应的反映,所以本实用新型的隔离卡采用效率最高的PCI接口方式来与计算机进行通讯。
权利要求1.一种基于服务器数据交换的网络安全系统,其特征在于它包括内部网络服务器、外部网络服务器和网络隔离卡;内部网络服务器和外部网络服务器通过网络线、串口、并口、USB口相连,所述的网络隔离卡设置在内部网络服务器和外部网络服务器之间。
专利摘要本实用新型公开了一种基于服务器数据交换的网络安全系统,它包括内部网络服务器、外部网络服务器和网络隔离卡;网络隔离卡设置在内部网络服务器和外部网络服务器之间。本实用新型使用两台高性能的网络服务器为用户提供数据资源,内部网络服务器处于内网,而外部网络服务器处于外网,在服务器上安装网络隔离卡,物理上把两台服务器进行相连,这样两台服务器就可以完全的进行有效的数据传输。本实用新型从物理上隔离涉密网与公网服务器,实现内网数据安全的向外网安全的发布和外网数据向内网安全的汇总,避免内网遭受黑客的攻击。
文档编号H04L12/24GK2775947SQ200520069090
公开日2006年4月26日 申请日期2005年2月3日 优先权日2005年2月3日
发明者张职亮 申请人:张职亮