专利名称:用于网络的防御方法及系统的制作方法
技术领域:
本发明涉及网络通信技术领域,特别涉及一种用于网络的防御方法及系统。
背景技术:
随着通信技术和网络技术的快速发展,网络信息安全问题显得越来越突出。在通常情况下,网络服务器是使用通用路由封装(Generic Routing Encapsulation, GRE)等虚拟专用网络(Virtual Private NETwork, VPN)隧道对报文进行封装传送,而GRE不对报文进行加密,只对报文的IP头进行封装,因此利用GRE隧道对报文进行传送,带宽大能耗小,但安全性能低,传送的数据容易被黑客窃听。互联网协议安全性(IPSec, Internet Protocol Security)技术是一种解决信息 安全问题的有效途径。其通过在网络路由设备上配置IPSec业务而加密信息,并建立安全的传输通道,使得信息在网络传输过程中安全可靠,但IPSec隧道需要对报文进行整体加密,因此带宽会降低,能耗大。
发明内容
(一)解决的技术问题本发明解决了只用GRE隧道安全性能低,而只用IPSec隧道能耗高的技术问题。(二)技术方案本发明提供一种用于网络的防御方法,所述方法包括A、网络服务器接收网络报警系统的报警信号,所述报警信号中携带需要受保护的流量数据;B、网络服务器向各个网关设备发送IPSec隧道激活消息和所述流量数据,所述隧道激活消息用于使网关设备激活IPSec隧道;C、网关设备接收到网络服务器发送的IPSec隧道激活消息和所述流量数据,对所述流量数据所匹配隧道进行检测;D、若检测到所述匹配隧道存在异常,则为所述流量数据建立相应的IPSec隧道,使存在异常的隧道切换到IPSec隧道,并将所述流量数据在相应的IPSec隧道上进行传送。优选地,在步骤A之前包括A0、入侵预防系统对网络进行实时检测,当检测到网络异常时,向网络报警系统发送网络异常信号;或,A0’、人工主动触发报警,入侵预防系统向网络报警系统发送网络异常信号;Al、网络报警系统接收到入侵预防系统发送的网络异常信号后,向网络服务器发送报警信号。优选地,在步骤B之前包括网关设备向网络服务器进行注册,使得网络服务器获得网关设备的IP地址。
优选地,在步骤C之前包括网关设备使用GRE隧道对报文进行传送,所述报文包括所述流量数据。优选地,在步骤C之后包括当网关设备接收到网络服务器发送的隧道安全信息后,网关设备将所述IPSec隧道切换为GRE隧道。本发明提供一种网络防御系统,所述系统包括入侵预防系统,用于提供入侵防御与监测,检测网络是否被攻击;网络报警系统,用于当入侵预防系统检测到网络异常时,向网络服务器发送报警
信号; 网络服务器,用于当接收到报警信号后向网关设备发送IPSec隧道激活消息和需要受保护的流量数据;网关设备,用于当接收到网络服务器发送的所述IPSec隧道激活消息和所述流量数据后,对所述流量数据所匹配隧道进行检测,若检测到所述匹配隧道存在异常,则所述流量数据建立相应的IPSec隧道,使存在异常的隧道切换到IPSec隧道,并将所述流量数据在相应的IPSec隧道上进行传送。(三)有益效果本发明通过对GRE隧道和IPSec隧道的切换,使得在网络安全时使用GRE隧道对报文进行传送,在网络异常时使用IPSec隧道对报文进行传送,使得报文在传送给网关设备的过程中安全性能高,能耗小。
图I为本发明提出的一种用于网络的防御方法流程图;图2为本发明提出的一种网络防御系统结构图。
具体实施例方式下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。当前有许多自动监测网络攻击的设备,如入侵预防系统(Intrusion PreventionSystem, Ips)设备等,此类设备可提供入侵防御与监测功能,主动发现网络被攻击等情况。本发明与此入侵预防系统结合,当发现网络受到攻击时,可通知网关等设备启用IPSec功能,来保护重要的数据。具体地,本发明提出了一种用于网络的防御方法,参见图1,所述方法包括A、网络服务器接收网络报警系统的报警信号,所述报警信号中携带需要受保护的流量数据;B、网络服务器向各个网关设备发送IPSec隧道激活消息和所述流量数据,所述隧道激活消息用于使网关设备激活IPSec隧道;C、网关设备接收到网络服务器发送的IPSec隧道激活消息和所述流量数据,对所述流量数据所匹配隧道进行检测;D、若检测到所述匹配隧道存在异常,则所述流量数据建立相应的IPSec隧道,使存在异常的隧道切换到IPSec隧道,并将所述流量数据在相应的IPSec隧道上进行传送。本实施例中可以触发网络报警系统的方式有两种A0、入侵预防系统对网络进行实时检测,当检测到网络异常时,向网络报警系统发送网络异常信号;或,A0’、人工主动触发报警,向网络报警系统发送网络异常信号;当发现网络有异常时,可以人工触发报警,向网络报警系统发送网络异常信号,或者,可以设定时间点,如若在8:00—20:00期间网络不安全,则当8:00时,系统主动触发报警,向网络报警系统发送网络异常信号;Al、网络报警系统接收到入侵预防系统发送的网络异常信号后,向网络服务器发送报警信号。当网络服务器收到报警信号后,网络服务器针对受攻击的范围,统计出需要受保护的流量数据,将流量数据,也就是访问控制列表(Access Control List, acl)发送给各网关设备(防火墙),在发送的同时还要发送IPSec隧道激活消息。在网络服务器向各个网关设备发送IPSec隧道激活消息和所述流量数据之前包括网关设备向网络服务器进行注册,使得网络服务器获得网关设备的IP地址,只有注册了网络服务器并通过网络服务器认证的网关设备,才能收到网络服务器的IPSec隧道激活消息。本实施例在网关设备接收到网络服务器发送的IPSec隧道激活消息和所述流量数据之前包括网关设备使用GRE隧道对报文进行传送,所述报文包括所述流量数据。在各个网关设备未接收到IPSec隧道激活消息的情况下,可能是使用通用路由封装(Generic Routing Encapsulation, GRE)等虚拟专用网络(Virtual RoutingEncapsulation, VPN)隧道封装报文。当网络发现异常时,网关设备接收到IPSec隧道激活消息后可以将GRE隧道换成IPSec隧道进行报文传送,保证数据不会被黑客窃听。 本实施例在步骤C之后还包括当网关设备接收到网络服务器发送的隧道安全信息后,网关设备将所述IPSec隧道切换为GRE隧道。由于GRE不对报文进行加密,只进行报文的IP头封装,所以相对来说同样的设备GRE传送报文的带宽更大,而IPSec隧道需要对报文进行整体加密,所以带宽会降低,因此可以根据网络情况进行GRE与IPSec的切换。本发明还提出了一种网络防御系统,参见图2,所述系统包括入侵预防系统,用于提供入侵防御与监测,检测网络是否被攻击;网络报警系统,用于当入侵预防系统检测到网络异常时,向网络服务器发送报警
信号;网络服务器,用于当接收到报警信号后向网关设备发送IPSec隧道激活消息和需要受保护的流量数据;
网关设备,用于当接收到网络服务器发送的所述IPSec隧道激活消息和所述流量数据后,对所述流量数据所匹配隧道进行检测,若检测到所述匹配隧道存在异常,则所述流量数据建立相应的IPSec隧道,使存在异常的隧道切换到IPSec隧道,并将所述流量数据在相应的IPSec隧道上进行传送。在接收网络服务器发送的所述IPSec隧道激活消息和所述流量数据之前,网关设备先向网络服务器进行注册,通告服务器自己的IP地址。以上实施方式仅用于说明本发明,而并非对本发明的限制,有关技术领域的普通技术人员,在不脱离本发明的精神和范围的情况下,还可以做出各种变化和变型,因此所有等同的技术方案也属于本发 明的范畴,本发明的专利保护范围应由权利要求限定。
权利要求
1.一种用于网络的防御方法,其特征在于,所述方法包括 A、网络服务器接收网络报警系统的报警信号,所述报警信号中携帯需要受保护的流量数据; B、网络服务器向各个网关设备发送IPSec隧道激活消息和所述流量数据,所述隧道激活消息用于使网关设备激活IPSec隧道; C、网关设备接收到网络服务器发送的IPSec隧道激活消息和所述流量数据,对所述流量数据所匹配隧道进行检测; D、若检测到所述匹配隧道存在异常,则为所述流量数据建立相应的IPSec隧道,使存在异常的隧道切換到IPSec隧道,并将所述流量数据在相应的IPSec隧道上进行传送。
2.根据权利要求I所述的方法,其特征在于,在步骤A之前包括 A0、入侵预防系统对网络进行实时检測,当检测到网络异常吋,向网络报警系统发送网络异常信号; 或, A0’、人工主动触发报警,入侵预防系统向网络报警系统发送网络异常信号; Al、网络报警系统接收到入侵预防系统发送的网络异常信号后,向网络服务器发送报警信号。
3.根据权利要求I所述的方法,其特征在于,在步骤B之前包括 网关设备向网络服务器进行注册,使得网络服务器获得网关设备的IP地址。
4.根据权利要求I所述的方法,其特征在于,在步骤C之前包括 网关设备使用GRE隧道对报文进行传送,所述报文包括所述流量数据。
5.根据权利要求I所述的方法,其特征在于,在步骤C之后包括 当网关设备接收到网络服务器发送的隧道安全信息后,网关设备将所述IPSec隧道切换为GRE隧道。
6.一种网络防御系统,其特征在于,所述系统包括 入侵预防系统,用于提供入侵防御与监测,检测网络是否被攻击; 网络报警系统,用于当入侵预防系统检测到网络异常时,向网络服务器发送报警信号; 网络服务器,用于当接收到报警信号后向网关设备发送IPSec隧道激活消息和需要受保护的流量数据; 网关设备,用于当接收到网络服务器发送的所述IPSec隧道激活消息和所述流量数据后,对所述流量数据所匹配隧道进行检测,若检测到所述匹配隧道存在异常,则所述流量数据建立相应的IPSec隧道,使存在异常的隧道切換到IPSec隧道,并将所述流量数据在相应的IPSec隧道上进行传送。
全文摘要
本发明提供了一种用于网络的防御方法及系统,网络服务器接收网络报警系统的报警信号,网络服务器向各个网关设备发送IPSec隧道激活消息和所述流量数据,网关设备接收到网络服务器发送的IPSec隧道激活消息和所述流量数据,对所述流量数据所匹配隧道进行检测,若检测到所述匹配隧道存在异常,则为所述流量数据建立相应的IPSec隧道,使存在异常的隧道切换到IPSec隧道,并将所述流量数据在相应的IPSec隧道上进行传送。本发明通过对GRE隧道和IPSec隧道的切换,使得在网络安全时使用GRE隧道对报文进行传送,在网络异常时使用IPSec隧道对报文进行传送,使得报文在传送给网关设备的过程中安全性能高,能耗小。
文档编号H04L12/24GK102868698SQ20121035708
公开日2013年1月9日 申请日期2012年9月24日 优先权日2012年9月24日
发明者陈海滨 申请人:汉柏科技有限公司