专利名称:基于防火墙与ips的网络系统的制作方法
技术领域:
本发明涉及一种网络系统,尤其是涉及一种基于防火墙与IPS的网络系统。
背景技术:
随着网络应用的普及和发展,网络安全问题成为整个IT产业广泛关注的问题。人们对网络的可靠性、操作系统能否正常运行、以及各种应用软件和系统设备是否会被病毒侵扰或黑客攻击的关注程度,超过了以往任何一个时代。可以说,网络安全问题已经延伸到整个网络体系结构的任何一个层面。近两年,防火墙、杀毒防毒软件、入侵检测和VPN产品的热销也说明了这一点。网络防火墙能够提供常规路由器所不具备的,诸如IPSec协议支持、基于规则集的防火墙、基于OSPE V2路由协议的安全认证、信息加密与分布式密钥管理等功能;能够实现身份鉴别、数据签名和数据完整性验证;能够对IP数据包进行智能加密,可提供安全VPN 通道、抗源地址欺骗、抗源路由攻击、抗极小数据和抗重叠分片的分组过滤功能及实现基于硬件的信息加密;能够阻止非授权人员的入侵等。入侵防御系统(IPS)是指具有检测并阻止已知或未知攻击的内嵌硬件设备或软件系统,它分为网络入侵防御系统(Network Intrusion Prevention System,NIPS)和主机入侵防御系统(Host Intrusion Prevention System,HIPS)。NIPS —般部署于网络的进出口处,即在数据转发的路径上,可以根据预先设定的安全策略,对经过的每个数据包进行深度检测,如协议分析跟踪,流量统计分析、特征匹配、事件关联分析等,一旦发现隐藏于其中的攻击行为,则可以根据该攻击的危险级别立即采取相应的防御措施,如丢弃报文、切断应用会话、切断TCP连接、向管理中心报警等。
发明内容
本发明的目的就是为了克服上述现有技术存在的缺陷而提供一种安全性高、可靠性强的基于防火墙与IPS的网络系统。本发明的目的可以通过以下技术方案来实现—种基于防火墙与IPS的网络系统,包括网络交换机、服务器群、客户端群、 Internet,所述的网络交换机分别与服务器群、客户端群连接,其特征在于,还包括通信线路、网络防火墙、IPS、ISA服务器,所述的hternet通过通信线路与网络防火墙连接,所述的网络防火墙、IPS、ISA服务器依次连接,所述的ISA服务器与网络交换机连接。所述的网络防火墙采用Juniper网络公司的ISG 1000,并设有2台,进行双机热备冗余。所述的IPS采用McAfee公司的基于McAfee IntruShield技术的IPS,并设有两台。所述的ISA服务器为安装有微软ISA2006的服务器,并设有2台。
所述的通信线路包括电信专线、网通专线。
3
与现有技术相比,本发明具有安全性高、可靠性强1、采用2台网络防火墙,进行双机热备冗余,保证设备的高可用性。2、使用电信和网通的双线路连接模式,采用双线路接入方式实现南北互联互通以及线路的高可用性。3、采用两台基于McAfee IntruShield技术的Mcafee IPS,具有高自动化和易管理性,设计灵活,能够分阶段执行,克服了老旧入侵检测系统中固有的误报率,也使用户能够配置合适的策略,以阻止独特IT基础架构中的攻击。
图1为本发明的结构示意图。
具体实施例方式下面结合附图和具体实施例对本发明进行详细说明。实施例如图1所示,一种基于防火墙与IPS的网络系统,包括网络交换机5、服务器群6、 客户端群7、Internet 1,所述的网络交换机5分别与服务器群6、客户端群7连接,还包括通信线路、网络防火墙2、IPS 3、ISA服务器4,所述的hternet 1通过通信线路与网络防火墙2连接,所述的网络防火墙2、IPS 3、ISA服务器4依次连接,所述的ISA服务器4与网络交换机5连接。所述的通信线路包括电信专线8、网通专线9。采用Juniper网络公司的ISG1000以及McAfee公司的IPS系统组件安全可靠的企业网络。通过Juniper ISG 1000作为业务线路接入的网络防火墙2。为了更好的保证设备服务质量,我们建议使用两台ISG 1000作双机热备(HA),保证设备的高可用性。使用电信和网通的双线路连接模式,建议安装光纤独享线路,采用双线路接入方式实现南北互联互通以及线路的高可用性。Juniper的最新专属定制的系统采用模块化设计及独特的处理架构-包括基于 Juniper的新型第四代ASIC芯片的整合了防火墙及VPN功能,不久的将来还可整合完善的入侵检测与防护(IDP)功能。Jimiper-ISG 1000具备卓越的性能,以及灵活性和可扩展性, 从而有效抵御今天和未来日益复杂的网络威胁。Juniper-ISG 1000是企业、电信运营商和数据中心的网管人员的理想选择,可帮助他们有效应对不断增加且更为隐蔽的网络攻击,同时确保超卓的网络性能,平衡有限的网络资源和预算。增加两台基于McAfee htruSiield技术的IPS,McAfee htruSiield是使用最前沿技术,能够在关键系统受到攻击之前阻止“网络”入侵行为的产品。具有高自动化和易管理性,设计灵活,能够分阶段执行,克服了老旧入侵检测系统中固有的误报率,也使用户能够配置合适的策略,以阻止独特IT基础架构中的攻击。Juniper ISG 1000 具备高达 IGbps 的防火墙速率及 IGbps 3DES/AES IPSec VPN速率,还可支持2,000个VPN通道,256,000个并发会话,每秒20,000个新会话,250 个VLAN。以上增强的性能是通过将几项灵活的处理功能相结合实现的包括高性能双
4GHz CPU管理模块、现场可编程门阵列(FPGA)、以及新一代ASIC芯片Gigakreen3 ASIC。 GigaScreen3ASIC是业内第一个具备千兆速率,硬件加速AES和3DES加密以及对任何大小的数据包进行千兆以上防火墙监测的可编程ASIC芯片。与上一代相比,第四代ASIC芯片的性能提高了一倍,防火墙包处理速度(pps)高达每秒150万,加密数据包处理速度高达每秒150万,同时处理任何大小的数据包均保证传输流量的低延迟,这种特性对VoIP等新的应用来讲非常关键。另外,多重内嵌的处理器提升了拒绝服务式攻击(DoS)防护及加密碎片的功能,同时具备透过软件升级而未来进行新增功能的特性。此外,Juniper-ISG 1000系统架构的独特设计可支持线速防火墙和VPN包处理功能,同时执行基于安全策略,将个别会话另行导向特定的安全模块,以进行进一步的安全处理,额外的安全处理所需的特定安全模块的会话重置。GigMcreen 3ASIC可平衡处理多达三个安全模块的所有会话,而每一个模块都具备双GHz中央处理器(CPU),一个现场可编程门阵列(FPGAs)及内存,以运行入侵检测与防护(IDP)等额外的安全应用。除了设计独特的系统,Juniper-ISG 1000的用户还可受益于Juniper的操作系统软件kreenOS中的网络和安全功能,其中包括深层监测防火墙技术,基于动态路由的VPN 及虚拟系统功能,还包括对BGP,RIPv2及OSPF路由协议的支持,从而可简化多种复杂环境下的设备部署。ISG1000系统中也可以集成IDP(入侵防护)模块,该模块采用了多种检测方法和强大的签名定制功能,可提供在线攻击防护功能,来防止恶意攻击、蠕虫、病毒和特洛伊等对内部网络敏感资源的窃取和破坏,可以有效地识别并阻止您网络中的攻击,从而最大限度地缩短处理入侵的时间并降低成本。同时,ISG1000系统还具备双主动(ActSSL VPN-ActSSL VPN)或主动-被动(ActSSL VPN-PassSSL VPN)模式的高可用性选择,该功能可避免单点故障,将网络连通性及生产力最大化。使用ISA服务器,即增加了网络关口的安全(ISA是一款非常高效的网络防火墙), 又可以结合AD充分控制用户的hternet权限。McAfee IntruSiield基于完整的攻击分析方法,并引入了业界最为全面的网络攻击特征检测、异常检测以及拒绝服务攻击检测技术,除了可以防御已知攻击,还可以防御未知的蠕虫、攻击和后门程序,抵御拒绝服务攻击等。McAfee htruShield的主要功能可以概括为防护各种威胁防护已知攻击为了实现高性能的网络攻击特征检测,McAfee IntruShield体系采用创新的专利技术,而且集成了全面的状态检测引擎、完善的特征规范语言、“用户自定义特征”以及实时特征更新,确保能够提供并维护业界最为全面、更新最及时的攻击签名数据库。异常检测-防护未知攻击异常检测技术为McAfee Intri^hield全面的签名检测功能提供了完美的补充, 异常检测技术使得网络工程师能够对突发威胁或首次攻击进行拦截,并创建出一套完整的 “异常档案”,从而保护网络免受未知攻击的騷扰。防护拒绝服务攻击McAfee IntruShield体系综合应用多种DoS/DDoS防护技术,解决可能面临的拒绝服务攻击威胁。入侵防护McAfee IntruSiield为网络安全管理员提供了一整套手动的和自动的响应措施, 并以此构建企业信息安全策略的基础。可以实现以下响应功能
拦截攻击;
终止会话;
修改防火墙策略;
启动网络访问控制的策略
实时警报;
对数据包进行日志记录。
权利要求
1.一种基于防火墙与IPS的网络系统,包括网络交换机、服务器群、客户端群、 Internet,所述的网络交换机分别与服务器群、客户端群连接,其特征在于,还包括通信线路、网络防火墙、IPS、ISA服务器,所述的hternet通过通信线路与网络防火墙连接,所述的网络防火墙、IPS、ISA服务器依次连接,所述的ISA服务器与网络交换机连接。
2.根据权利要求1所述的一种基于防火墙与IPS的网络系统,其特征在于,所述的网络防火墙采用Juniper网络公司的ISG 1000,并设有2台,进行双机热备冗余。
3.根据权利要求1所述的一种基于防火墙与IPS的网络系统,其特征在于,所述的IPS 采用McAfee公司的基于McAfee IntruShield技术的IPS,并设有两台。
4.根据权利要求1所述的一种基于防火墙与IPS的网络系统,其特征在于,所述的ISA 服务器为安装有微软ISA2006的服务器,并设有2台。
5.根据权利要求1所述的一种基于防火墙与IPS的网络系统,其特征在于,所述的通信线路包括电信专线、网通专线。
全文摘要
本发明涉及一种基于防火墙与IPS的网络系统,包括网络交换机、服务器群、客户端群、Internet,所述的网络交换机分别与服务器群、客户端群连接,还包括通信线路、网络防火墙、IPS、ISA服务器,所述的Internet通过通信线路与网络防火墙连接,所述的网络防火墙、IPS、ISA服务器依次连接,所述的ISA服务器与网络交换机连接。与现有技术相比,本发明具有安全性高、可靠性强等优点。
文档编号H04L1/22GK102347935SQ20101024183
公开日2012年2月8日 申请日期2010年7月30日 优先权日2010年7月30日
发明者李川 申请人:上海忆通广达信息技术有限公司