实现网络安全的装置及方法

专利名称：实现网络安全的装置及方法
技术领域：
本发明涉及网络安全技术，尤其涉及实现网络安全的装置及方法。
背景技术：
目前，实现网络安全的常用方法是在网络中设置防火墙。防火墙是一种网络安全隔离设备，其采用包过滤、应用代理、地址转换或状态检测等技术实现对网络资源的访问控制。防火墙的访问控制属于静态的防护机制，即，按照定制的过滤策略，对特定的数据包进行过滤或限制，或允许开放某些服务或协议端口。
图1为一种设置有防火墙的网络拓扑结构图。如图1所示，防火墙10设置于路由器11与两个交换机13之间，路由器11与外网12相连，其中一个交换机13与至少一个服务器14相连，另一个交换机13与至少一个主机15相连。防火墙10对流过的数据包进行过滤或限制，例如，外网12流向服务器14或主机15的某些数据包会对服务器14或主机15的正常运行产生消极影响，当防火墙10接收到这些数据包时，防火墙10按照定制的过滤策略，对这些数据包采取过滤或限制的措施，以保证服务器14或主机15的正常运行。
普通的防火墙不能自动调整自身的安全策略或者采取主动的防御行动，一般难以适应不断变化的网络环境。因此，它的防护作用有一定的局限性。
实现网络安全的常用方法还有入侵检测技术，用于发觉入侵行为，实时监控网络传输，通过对高速网络上的数据包捕获并进行深入的协议分析，结合入侵检测特征库进行相应的模式匹配和对以往的行为和事件统计分析，从中及时发现网络上是否有违反入侵检测策略的攻击行为，从而实时地采取措施，切断攻击方与被攻击方的连接。
图2为一种将防火墙和入侵检测技术结合的组成结构示意图。如图2所示，防火墙10包括配置操作单元101、过滤单元102及入侵检测单元103，其中，配置操作单元101用于接受外部的指令以对防火墙进行策略配置，并用于根据外部的指令对过滤单元102的工作进行指示，过滤单元102用于对特定的数据包进行过滤或限制，进一步地，过滤单元102只对配置操作单元101所指定的数据包进行过滤或限制，而配置操作单元101也是根据外部的指令确定需要过滤或限制的数据包。另外，入侵检测单元103用于根据入侵检测策略检测内网是否受到攻击，如果发现受到攻击，则将攻击情况显示在配置操作单元101提供的操作界面上，同时入侵检测单元103检测到内网的某个网络设备受到攻击时，可以通知配置操作单元101调用过滤单元102关闭连向所述受攻击设备的指定通信端口，避免所述网络设备遭受攻击。
此外，漏洞扫描是一种能自动检测远程或本地网络设备系统在安全性方面弱点和隐患的技术，是一种积极主动的安全防护技术，可提供对内部攻击、外部攻击和误操作的安全性风险分析和评估，在网络系统受到真正的危害之前可提前发现安全隐患并及时提醒管理员进行改进和修补，可以防患于未然。
漏洞扫描设备是一种旁路的网络安全设备，一般很少对网络通讯进行干预，所以无法实施自动的拦截和防御。另外，由于网络中有防火墙的存在，可以过滤或拦截掉一些网络扫描报文，造成网络扫描结果的失真和错误。另外，某些主机的安全隐患被发现后，由于修补方法可能会和主机上运行的应用程序发生冲突，不能采用打补丁或更改服务配置的方法，这也造成某些安全隐患无法修补。
目前的安全系统方案，多为单独的防火墙、入侵检测工具或漏洞扫描工具，或者防火墙与入侵检测联动的安全系统，而这些方案都还有其不足之处。

发明内容
本发明要解决的技术问题在于提供一种实现网络安全的装置及方法，该系统和方法将现有的多种安全系统方案结合在一起，以密切的联动方式进行内在的结合，形成一套整体的安全解决方案，从而发挥更强的安全防护功能，以抵御多种多样的网络攻击行为，构建更加安全的网络环境。
为解决上述技术问题，本发明提供的技术方案如下一种实现网络安全的装置，包括过滤单元，还包括配置操作单元和漏洞扫描单元；所述配置操作单元用于配置过滤策略和漏洞扫描策略，并根据漏洞扫描单元发送的信息调整过滤策略；所述漏洞扫描单元用于根据配置的漏洞扫描策略扫描内网设备，并将获得的漏洞信息发送给配置操作单元；所述过滤单元用于根据所述过滤策略控制相关网络连接的通信。
其中，还包括入侵检测单元，用于根据配置的入侵检测策略进行入侵检测，并在检测到内网设备受攻击时，将攻击设备的相关信息发送给配置操作单元；所述配置操作单元根据攻击设备的相关信息调整所述过滤策略。
其中，所述配置操作单元还用于，在入侵检测单元检测到内网设备受到攻击时，调整所述漏洞扫描策略。
其中，在内网设备受到攻击时，配置操作单元通知漏洞扫描单元扫描所述内网设备，并上报获得的漏洞信息。
其中，在内网设备受到外网设备攻击时，配置操作单元通知漏洞扫描单元扫描所述外网设备，并上报获得的该外网设备的详细信息。
其中，在内网设备受到外网设备攻击时，配置操作单元通知漏洞扫描单元调用拒绝服务攻击扫描，向所述外网设备发送数据包。
其中，还包括扫描通知单元，用于在入侵检测单元检测到内网设备受到攻击时，通知漏洞扫描单元扫描所述内网设备，并将获得的漏洞信息发送给配置操作单元。
其中，还包括扫描通知单元，用于在入侵检测单元检测到内网设备受到外网设备攻击时，通知漏洞扫描单元扫描所述外网设备，并将获得的该外网设备的详细信息发送给配置操作单元。
其中，还包括干扰通知单元，用于在入侵检测单元检测到内网设备受到外网设备攻击时，通知漏洞扫描单元调用拒绝服务攻击扫描，向所述外网设备发送数据包。
基于上述装置，本发明还提出一种实现网络安全的方法，包括配置过滤策略和漏洞扫描策略；根据所述漏洞扫描策略扫描内网设备，并根据获得的漏洞信息调整过滤策略；根据所述过滤策略控制相关网络连接的通信。
其中，进一步包括配置入侵检测策略，根据入侵检测策略进行入侵检测，并在检测到内网设备受攻击时，根据攻击设备的相关信息，调整过滤策略。
其中，进一步包括当检测到内网设备受到攻击时，扫描受攻击的内网设备，获得所述内网设备的漏洞信息。
其中，进一步包括当检测到内网设备受到外网设备攻击时，扫描所述外网设备，获得所述外网设备的详细信息。
其中，进一步包括当检测到内网设备受到外网设备的攻击时，调用拒绝服务攻击扫描向所述外网设备发送数据包。
在本发明中，防火墙包括配置操作单元和过滤单元，通过在防火墙内增设漏洞扫描单元，使本发明不仅可以通过过滤单元控制相关网络连接的通信，而且可以通过漏洞扫描单元对内网设备和/或外网设备进行扫描探测。当漏洞扫描单元扫描探测到内网设备存在漏洞时，可以将漏洞信息发送给配置操作单元，以使配置操作单元可以根据漏洞信息相应地调整过滤单元的过滤策略，从而使过滤单元对存在漏洞的设备的通信进行控制，保护存在漏洞的设备，实现了防火墙根据内网安全性自动调整的机制，使本发明提供的网络安全装置成为主动型的网络安全实体。
在本发明中，还引入了入侵检测单元，并通过新增的控制单元使防火墙、漏洞扫描单元和入侵检测单元可以进行联动。当入侵检测单元检测到内网设备受到外网设备的攻击时，可以将发起攻击的设备的相关信息通知配置操作单元，使配置操作单元可以根据所述相关信息调整过滤单元的过滤策略，以保护受攻击的内网设备。
入侵检测单元还可以通过扫描通知单元调用漏洞扫描单元对受攻击的内网设备进行有针对性的扫描，以获知受攻击的设备是否还存在其它漏洞，并将获得的漏洞信息通知配置操作单元，以使配置操作单元可以进一步调整过滤单元的过滤策略，以更全面地保护受攻击的内网设备。
入侵检测单元也可以通过扫描通知单元调用漏洞扫描单元对发起攻击的外网设备进行扫描，获取所述外网设备的详细信息，为以后的取证、分析积累有效数据。
入侵检测单元还可以通过干扰通知单元通知漏洞扫描单元调用拒绝服务攻击扫描，不断地向发起攻击的外网设备发送干扰数据包，干涉所述外网设备的正常运行，以减轻受攻击的内网设备的压力。


图1为一种设置有防火墙的网络拓扑结构图；图2为一种防火墙的组成结构示意图；图3为本发明提供的第一种装置结构示意图；图4为本发明提供的第二种装置结构示意图；
图5为本发明提供的第三种装置结构示意图；图6为本发明提供的第四种装置结构示意图；图7为本发明提供的第一种方法的流程图；图8为本发明提供的第二种方法的流程图；图9为本发明提供的第三种方法的流程图。
具体实施例方式
本发明的关键在于通过在网络安全装置的防火墙内增设漏洞扫描单元，使本发明不仅可以通过过滤单元控制相关网络连接的通信，而且可以通过漏洞扫描单元对内网设备和/或外网设备进行扫描探测。当漏洞扫描单元扫描探测到内网设备存在漏洞时，可以将漏洞信息发送给配置操作单元，以使配置操作单元可以根据漏洞信息相应地调整过滤单元的过滤策略，从而使过滤单元对存在漏洞的设备的通信进行控制，保护存在漏洞的设备，使本发明提供的网络安全装置成为主动型的网络安全实体。
下面，结合具体实施例对本发明提供的实现网络安全的装置作进一步具体说明。
图3是本发明提供的网络安全装置的示意图，该装置包括配置操作单元301、过滤单元102、和漏洞扫描单元201。
配置操作单元301提供网络管理员的操作界面，网络管理员可以通过操作界面发出指令为过滤单元102配置过滤策略，为漏洞扫描单元配置漏洞扫描策略，例如，指示过滤单元102关闭内网中的某个网络设备的某个端口与外网设备的通信等。
当配置操作单元301获知某个内网设备的端口或IP地址存在漏洞或受到攻击时，可以相应地调整过滤单元102的过滤策略，即断开或拒绝连接到所述端口或IP地址的所有连接，过滤单元102将根据配置操作单元301调整后的过滤策略进行相应的操作。
其中，所述内网是指受保护的网络，外网是指不受保护的网络。内网设备包括内网中的网络设备、主机、网络服务器等。
过滤单元102主要用于根据配置操作单元301配置的过滤策略对内网设备的连接通信进行控制，过滤拦截内网设备受到的访问或攻击。
漏洞扫描单元201主要用于根据配置操作单元301配置的漏洞扫描策略扫描内网设备的漏洞，并将扫描获得的漏洞信息发送给配置操作单元301。
漏洞扫描单元201可以根据配置操作单元301配置的漏洞扫描策略对内网中的设备进行周期扫描。如果发现某个内网设备存在漏洞，则将该漏洞信息通知配置操作单元301，配置操作单元301可以针对存在漏洞的设备，相应地调整过滤单元102的过滤策略，对该设备存在漏洞的端口或IP地址进行控制，以避免该设备受到攻击。
例如，漏洞扫描单元201扫描发现某个设备A存在Windows 2000WebDAV远程缓冲区溢出漏洞，将该漏洞信息通知配置操作单元101，配置操作单元301将调整过滤单元102的过滤策略，使过滤单元102可以拦截攻击设备B对所述设备A的8080端口的访问，当攻击设备B通过所述设备A的8080端口进行攻击时，就可以避免所述高危漏洞被利用和攻击。再如，漏洞扫描单元201发现主机C存在Windows Media Player畸形位图文件处理堆溢出漏洞后，将该漏洞信息通知配置操作单元301，配置操作单元301通过调整过滤单元102的过滤策略，使过滤单元102可以拦截外网设备通过139端口及445端口对主机C的攻击。
依据被扫描对象所处的不同网络位置，漏洞扫描单元201可以分别通过外网端口、内网端口或其他端口进行扫描，这种做法可以得到更准确的扫描结果。
其中，外网端口是指与过滤单元102相接的受保护网络之外的网络的物理端口，内网端口是指与过滤单元102相连接的受保护网络中的物理端口，其他端口是指除内网端口及外网端口之外的物理端口。
漏洞扫描单元201包括扫描引擎及脚本解释器及漏洞脚本库，漏洞脚本库具有常见的12大类及1000个以上的常见漏洞(漏洞库来源于国际CVE标准公布、与各操作系统和应用服务的厂商之间的协议以及国际权威的黑客论坛上的漏洞列表)。网络管理员操作漏洞扫描单元201时，先通过配置操作单元301提供的操作界面，对扫描引擎及脚本解释器发出调用指令，扫描引擎及脚本解释器依次调用漏洞脚本库中的扫描脚本，并记录每个脚本执行的结果，将存在的漏洞以及修补描述通过配置操作单元301提供的操作界面显示出来。
漏洞扫描单元201可以采用脚本语言的形式保存漏洞特征的描述，可以很方便地通过新脚本的编写增强漏洞探测能力，而不用改动程序核心。某些漏洞脚本可以对被检测设备形成拒绝服务攻击，使被检测设备处于瘫痪状态。漏洞扫描单元201属于一种主动性的网络安全实体，其可以在内网设备受到攻击前就发现安全隐患，及时通知配置操作单元301调整过滤策略，保护存在漏洞的内网设备。
漏洞扫描单元201可以对内网设备进行端口检查，发现开放的端口后，按照漏洞脚本库中的描述，向内网设备的指定端口发送一些特定的数据报文和协议，根据协议和数据的返回情况，判断内网设备是否存在安全漏洞。
可以看出，在图3所示的装置中，通过配置操作单元、过滤单元和漏洞扫描单元的联动，使本发明提供的网络安全装置成为主动型的网络安全实体。
在此基础上，本发明进一步引入了入侵检测单元，如图4所示。与图3所示的网络安全装置相比，在图4所示的装置中增加了入侵检测单元103。
入侵检测单元103主要用于根据入侵检测策略进行入侵检测，并在检测到受到攻击时，将攻击设备的相关信息发送给配置操作单元101。
配置操作单元401将根据入侵检测单元103检测到的攻击设备的相关信息调整过滤单元102的过滤策略，以保护本装置或内网设备。例如当入侵检测单元103根据入侵检测策略对内网设备进行检测时，如果检测到某个内网设备的端口或IP地址受到外网设备的攻击，则可以将发起攻击的外网设备的相关信息发送给配置操作单元401，配置操作单元401据此调整过滤单元102的过滤策略，以切断发起攻击的外网设备与受到攻击内网设备的端口或IP地址之间的连接，从而保护内网设备免受攻击。
配置操作单元401在入侵检测单元103检测到内网设备受攻击时，还可以通知漏洞扫描单元201针对受攻击的内网设备进行全面扫描，并上报扫描获得的该内网设备的漏洞信息；配置操作单元401将根据漏洞扫描单元201发送的漏洞信息，进一步调整过滤单元102的过滤策略，以实现对受攻击的内网设备的更全面的保护。
或者，配置操作单元401在入侵检测单元103检测到内网设备受攻击时，还可以通知漏洞扫描单元201扫描发起攻击的外网设备并上报扫描获得的该外网设备的详细信息。漏洞扫描单元201将根据配置操作单元401的通知对发起攻击的外网设备进行扫描，获得该外网设备的详细信息，并将该外网设备的详细信息发送给配置操作单元401，为以后的取证、分析积累有效数据。
或者，配置操作单元401在入侵检测单元103检测到内网设备受攻击时，还可以通知漏洞扫描单元201有哪些外网设备正在发起攻击。
漏洞扫描单元201将根据配置操作单元401的通知调用拒绝服务(DOS，Denial of Service)攻击扫描，向所述发起攻击的外网设备不断地发送干扰数据包，以干涉所述外网设备的正常运行，使所述外网设备处于停顿状态，从而减轻受攻击的内网设备的压力。
在图4所示的网络安全装置中，配置操作单元可以在入侵检测单元检测到内网设备受攻击时，通知漏洞扫描单元扫描发起攻击的外网设备并上报扫描获得的该外网设备的详细信息，或通知漏洞扫描单元扫描受攻击的内网设备并上报扫描获得的该内网设备的漏洞信息。在实际情况中，也可以不通过配置操作单元而通过其他单元实现该功能。此时，该装置如图5所示，与图4所示的网络安全装置相比，在图5所示的装置中增加了扫描通知单元501。
扫描通知单元501用于监听入侵检测单元103，并在获知入侵检测单元103检测到内网设备受到攻击时，通知漏洞扫描单元201对受攻击的内网设备进行有针对性的全面扫描。
漏洞扫描单元201将根据扫描通知单元501的通知对受攻击的内网设备进行全面扫描，以获得该内网设备更全面的漏洞信息，并将该内网设备的漏洞信息发送给配置操作单元401。
其中，漏洞扫描单元201可以将扫描获得的漏洞信息以扫描报告的方式发送给配置操作单元401，扫描报告提供以下内容漏洞编号，漏洞类别，漏洞名称、相关端口风险级别等信息。
例如，当入侵检测单元103检测到外网设备D对内网的主机E通过445端口进行攻击时，入侵检测单元103将检测到的发起攻击的外网设备D的信息通知配置操作单元401，配置操作单元401将调整过滤策略，使过滤单元102断开或拒绝连向主机E的445端口的所有连接，即关闭主机E的445端口的通信。当入侵检测单元103检测到外网设备对内网的主机E通过445端口进行攻击时，通过扫描通知单元501还可以通知漏洞扫描单元201对主机E进行漏洞扫描，以查看主机E是否还存在其它漏洞，并将扫描获得的漏洞信息通知配置操作单元401，以使配置操作单元401可以采取进一步的保护措施。
在图5所示的网络安全装置中，在入侵检测单元103检测到内网设备受到外网设备攻击时，通过扫描通知单元501也可以通知漏洞扫描单元201对发起攻击的外网设备进行扫描，以获得所述外网设备的详细信息。例如当入侵检测单元103检测到外网设备F对内网设备发起攻击时，扫描通知单元501可以通知漏洞扫描单元201对所述外网设备F进行扫描以获取所述外网设备F的详细信息。
漏洞扫描单元201将根据扫描通知单元501的通知对发起攻击的外网设备进行扫描，获得该外网设备的详细信息，并将该外网设备的详细信息发送给配置操作单元401，为以后的取证、分析积累有效数据。
在所述网络安全装置中，漏洞扫描单元既可以根据配置操作单元的配置，也可以在收到扫描通知单元的通知时，对内网设备进行普遍性的周期扫描或对某个内网设备进行有针对性的扫描，还可以将普遍性扫描和针对性扫描这两种方式结合使用。
在图4所示的网络安全装置中，配置操作单元在入侵检测单元检测到内网设备受攻击时，可以通知漏洞扫描单元调用DOS攻击扫描，以干扰发起攻击的外网设备。在实际情况中，也可以不通过配置操作单元而通过其他单元实现该功能。此时，该装置如图6所示，与图4所示的网络安全装置相比，在图6所示的装置中增加了干扰通知单元601。
干扰通知单元601用于监听入侵检测单元103，并在获知入侵检测单元103检测到内网设备受到攻击时，通知漏洞扫描单元201有哪些外网设备正在发起攻击。
漏洞扫描单元201将根据干扰通知单元601的通知调用拒绝服务攻击扫描，向所述发起攻击的外网设备不断地发送干扰数据包，以干涉所述外网设备的正常运行，使所述外网设备处于停顿状态，从而减轻受攻击的内网设备的压力。
可以看出，本发明所提出的网络安全装置还可以同时包括配置操作单元、过滤单元、漏洞扫描单元、入侵检测单元、扫描通知单元和干扰通知单元，这里不再进行详细说明。
可以看出，在本发明中，防火墙包括配置操作单元和过滤单元，通过在防火墙内增设漏洞扫描单元，使本发明不仅可以通过过滤单元控制相关网络连接的通信，而且可以通过漏洞扫描单元对内网设备和/或外网设备进行扫描探测。当漏洞扫描单元扫描探测到内网设备存在漏洞时，可以将漏洞信息发送给配置操作单元，以使配置操作单元可以根据漏洞信息相应地调整过滤单元的过滤策略，从而使过滤单元对存在漏洞的设备的通信进行控制，保护存在漏洞的设备，使本发明提供的网络安全装置成为主动型的网络安全实体。在本发明中，还引入了入侵检测单元，并通过新增的控制单元使防火墙、漏洞扫描单元和入侵检测单元可以进行联动。当入侵检测单元检测到内网设备受到外网设备的攻击时，可以将发起攻击的设备的相关信息通知配置操作单元，使配置操作单元可以根据所述相关信息调整过滤单元的过滤策略，以保护受攻击的内网设备。入侵检测单元还可以通过扫描通知单元调用漏洞扫描单元对受攻击的内网设备进行有针对性的扫描，以获知受攻击的设备是否还存在其它漏洞，并将获得的漏洞信息通知配置操作单元，以使配置操作单元可以进一步调整过滤单元的过滤策略，以更全面地保护受攻击的内网设备。入侵检测单元也可以通过扫描通知单元调用漏洞扫描单元对发起攻击的外网设备进行扫描，获取所述外网设备的详细信息，为以后的取证、分析积累有效数据。入侵检测单元还可以通过干扰通知单元通知漏洞扫描单元调用拒绝服务攻击扫描，不断地向发起攻击的外网设备发送干扰数据包，干涉所述外网设备的正常运行，以减轻受攻击的内网设备的压力。
基于图3所示的装置，本发明提供一种实现网络安全的方法，该方法的流程图如图7所示，包括步骤701，配置过滤策略和漏洞扫描策略。
步骤702，根据在步骤701中配置的漏洞扫描策略扫描内网设备。
步骤703，根据扫描获得的内网设备的漏洞信息调整过滤策略。
步骤704，根据过滤策略控制相关内网设备的网络通信，以保护存在漏洞的内网设备。
基于图4所示的装置，本发明提供一种实现网络安全的方法，该方法的流程图如图8所示，包括步骤801，配置过滤策略、漏洞扫描策略和入侵检测策略。
步骤802，根据在步骤801中配置的漏洞扫描策略扫描内网设备。
步骤803，根据扫描获得的内网设备的漏洞信息调整过滤策略。
步骤804，根据在步骤801中配置的入侵检测策略进行入侵检测。
步骤805，在检测到内网设备受到外网设备的攻击时，获取所述外网设备的相关信息。
步骤806，根据发起攻击的外网设备的相关信息调整过滤策略。
步骤807，根据过滤策略控制相关内网设备的网络通信，以保护存在漏洞的内网设备。
在本方法中，当检测到内网设备受到外网设备的攻击时，还可以针对受攻击的内网设备进行全面扫描，以获得该内网设备更全面的漏洞信息，并根据该内网设备的漏洞信息对过滤策略作进一步调整；或者，还可以对发起攻击的外网设备进行扫描，获得该外网设备的详细信息，为以后的取证、分析积累有效数据。
基于图6所示的装置，本发明提供一种实现网络安全的方法，该方法的流程图如图9所示，包括步骤901，配置过滤策略、漏洞扫描策略和入侵检测策略。
步骤902，根据在步骤901中配置的漏洞扫描策略扫描内网设备。
步骤903，根据扫描获得的内网设备的漏洞信息调整过滤策略。
步骤904，根据在步骤901中配置的入侵检测策略进行入侵检测。
步骤905，在检测到内网设备受到外网设备的攻击时，获取所述外网设备的相关信息，调用DOS攻击扫描向所述外网设备发送干扰数据包。
步骤906，根据发起攻击的外网设备的相关信息调整过滤策略。
步骤907，根据过滤策略控制相关内网设备的网络通信，以保护存在漏洞的内网设备。
以上所述的实施例仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。
权利要求
1.一种实现网络安全的装置，包括过滤单元，其特征在于，还包括配置操作单元和漏洞扫描单元；所述配置操作单元用于配置过滤策略和漏洞扫描策略，并根据漏洞扫描单元发送的信息调整过滤策略；所述漏洞扫描单元用于根据配置的漏洞扫描策略扫描内网设备，并将获得的漏洞信息发送给配置操作单元；所述过滤单元用于根据所述过滤策略控制相关网络连接的通信。
2.根据权利要求1所述的装置，其特征在于，还包括入侵检测单元，用于根据配置的入侵检测策略进行入侵检测，并在检测到内网设备受攻击时，将攻击设备的相关信息发送给配置操作单元；所述配置操作单元根据攻击设备的相关信息调整所述过滤策略。
3.根据权利要求2所述的装置，其特征在于，所述配置操作单元还用于，在入侵检测单元检测到内网设备受到攻击时，调整所述漏洞扫描策略。
4.根据权利要求3所述的装置，其特征在于，在内网设备受到攻击时，配置操作单元通知漏洞扫描单元扫描所述内网设备，并上报获得的漏洞信息。
5.根据权利要求3所述的装置，其特征在于，在内网设备受到外网设备攻击时，配置操作单元通知漏洞扫描单元扫描所述外网设备，并上报获得的该外网设备的详细信息。
6.根据权利要求3所述的装置，其特征在于，在内网设备受到外网设备攻击时，配置操作单元通知漏洞扫描单元调用拒绝服务攻击扫描，向所述外网设备发送数据包。
7.根据权利要求2所述的装置，其特征在于，还包括扫描通知单元，用于在入侵检测单元检测到内网设备受到攻击时，通知漏洞扫描单元扫描所述内网设备，并将获得的漏洞信息发送给配置操作单元。
8.根据权利要求2所述的装置，其特征在于，还包括扫描通知单元，用于在入侵检测单元检测到内网设备受到外网设备攻击时，通知漏洞扫描单元扫描所述外网设备，并将获得的该外网设备的详细信息发送给配置操作单元。
9.根据权利要求2所述的装置，其特征在于，还包括干扰通知单元，用于在入侵检测单元检测到内网设备受到外网设备攻击时，通知漏洞扫描单元调用拒绝服务攻击扫描，向所述外网设备发送数据包。
10.一种采用权利要求1所述装置的实现网络安全的方法，其特征在于，包括配置过滤策略和漏洞扫描策略；根据所述漏洞扫描策略扫描内网设备，并根据获得的漏洞信息调整过滤策略；根据所述过滤策略控制相关网络连接的通信。
11.根据权利要求10所述的方法，其特征在于，进一步包括配置入侵检测策略，根据入侵检测策略进行入侵检测，并在检测到内网设备受攻击时，根据攻击设备的相关信息，调整过滤策略。
12.根据权利要求11所述的方法，其特征在于，进一步包括当检测到内网设备受到攻击时，扫描受攻击的内网设备，获得所述内网设备的漏洞信息。
13.根据权利要求11所述的方法，其特征在于，进一步包括当检测到内网设备受到外网设备攻击时，扫描所述外网设备，获得所述外网设备的详细信息。
14.根据权利要求11所述的方法，其特征在于，进一步包括当检测到内网设备受到外网设备的攻击时，调用拒绝服务攻击扫描向所述外网设备发送数据包。
全文摘要
一种实现网络安全的装置，包括过滤单元，还包括配置操作单元和漏洞扫描单元；所述配置操作单元用于配置过滤策略和漏洞扫描策略，并根据漏洞扫描单元发送的信息调整过滤策略；所述漏洞扫描单元用于根据配置的漏洞扫描策略扫描内网设备，并将获得的漏洞信息发送给配置操作单元；所述过滤单元用于根据所述过滤策略控制相关网络连接的通信。本发明还提出一种实现网络安全的方法。
文档编号H04L29/06GK1988439SQ20061016495
公开日2007年6月27日 申请日期2006年12月8日 优先权日2006年12月8日
发明者张永明, 宋利兵 申请人:亿阳安全技术有限公司