专利名称:局域网的防病毒方法及系统的制作方法
技术领域:
本发明涉及计算机网络的防病毒技术,更具体地说,涉及一种在局域网中的防病毒的方法及系统。
背景技术:
企业的局域网是企业进行生产运作的重要的设备,由于对于半导体工
厂(FAB)来说,FAB内的网络更是控制半导体器件生产的关键。所有的计算机网络对于外来的攻击、特别是病毒的攻击都是很脆弱的,而且,一旦FAB的网络受到攻击,将会给FAB带来无法估计的损失。
于是,在半导体的制造行业,各家企业都对自己的FAB网络进行了严密的防护。目前得到普遍应用的技术是反病毒软件、入侵检测系统(IDS)或者防火墙(Firewall)。
其中,反病毒软件是应用病毒反弹(break-through)技术,根据该软件携带的病毒库,检查通过网络端口传输的数据是否携带有在病毒库中所定义的病毒。这是一种被动防御的策略,需要不断地更新反病毒软件的病毒库以应对不停出现的新病毒,这无形中增加了企业运作的成本,同时,新病毒产生的速度十分惊人,病毒库的更新难免会遗漏个别的病毒。此时,由于FAB网络中没有再提供其他的防护手段, 一旦反病毒软件被突破,病毒将在网络内迅速地扩散。
入侵检测系统(IDS)和防火墙(Firewall)将阻挡一切它们认为是不必要的对于FAB网络的访问。基本上,IDS和Firewall的过滤是没有针对性的,它们会将绝大多数与操作系统运行无关的访问都拒绝。于是,IDS和Firewall同时也阻挡了很多无害的访问,包括相当多与企业业务相关的数据通信,这就给企业的正常运作带了很多麻烦。同时,由于IDS和Firewall本身都是基于搡作系统运行的软件,它们与操作系统之间的接口 、以及操作系统中的一些保留接口就会成为非法入侵的攻击入口 (loophole)。
4由于反病毒软件、IDS和Firewall所存在的上述的固有缺陷,目前企业经常采用的方法是釆用更好的反病毒软件、更好的IDS以及更好的Firewall,这些都会极大地增加企业的成本。并且,上迷的手段都是被动防御的手段, 一旦被突破,网络并不具备进一步的防护及控制的能力。于是,就需要一种更加有效,并且能够在出现病毒时进行有效控制的方法。
发明内容
本发明旨在提供一种能在局域网中主动实施的防病毒技术,并且能在出现病毒时,将病毒控制在个别的节点上而不会广泛地传播。
根据本发明的一方面,提供一种局域网的防病毒方法,包括收集局域网的基础网络信息;收集应用于局域网的网络工具信息;根据预定规则,基于基础网络信息和网络工具信息产生访问控制列表,该访问控制列表控制局域网网络工具对于局域网内各个节点的访问以及数据传输;将访问控制列表发送给局域网中的各个节点以及各个网络工具的拥有者;基于访问控制列表,控制局域网中的数据传输。
其中,该局域网的基础信息包括局域网中每一个节点的IP地址、局域网中每一个应用程序所使用的端口、局域网中的所有外围设备端口、局域网中的所有电子邮件端口、以及局域网中的所有对外端口 ,该对外接口连接互联网。
该局域网的网络工具信息包括运行于局域网内的电子邮件系统信息、连接于局域网的外围设备、局域网中的对外接口使用的传输协议,该对外4妄口连4妻互联网。
该局域网的防病毒方法较佳地用于半导体制造工厂FAB内的网络。本发明还提供一种局域网的防病毒系统,包括网络基础信息收集装置,收集局域网的基础网络信息;网络工具信息收集装置,收集应用于局域网的网络工具信息;预定规则产生器,根据外部输入或者预先存储的内容产生预定规则;访问控制装置,根据预定规则,基于基础网络信息和网络工具信息产生访问控制列表,该访问控制列表控制局域网网络工具对于局域网内各个节点的访问以及数据传输;访问控制装置将访问控制列表发送给局域网中的各个节点以及各个网络工具的拥有者;并基于访问控制列表,控制局域网中的数据传输。
其中,该网络基础信息收集装置收集的局域网的基础信息包括局域网中每一个节点的IP地址、局域网中每一个应用程序所-使用的端口 、局域网中的所有外围设备端口、局域网中的所有电子邮件端口、以及局域网中的所有对外端口,该对外接口连接互联网。
该网络工具信息收集装置收集的局域网的网络工具信息包括运行于局域网内的电子邮件系统信息、连接于局域网的外围设备、局域网中的对外接口使用的传输协议,该对外接口连接互联网。
该局域网的防病毒系统较适用于半导体制造工厂FAB内的网络。
本发明的防病毒方法和技术,能够主动地对局域网中的数据传输进行控制,预防病毒的传播,并能在出现病毒时,将病毒控制在有限的范围内,防止病毒的扩散。
本发明的上述的以及其他的特征、性质和优势将通过下面结合附图和实施例的描述而变得更加明显,在附图中,相同的附图标记始终表示相同的特征,其中,
图1揭示了根据本发明的一实施例的局域网的防病毒方法的流程图;图2揭示了根据本发明的一实施例的局域网的防病毒系统的结构框图。
具体实施例方式
首先参考图1,图1是本发明的局域网的防病毒方法100的流程图,该方法较佳地适用于半导体制造工厂FAB内的网络,该方法包括下述的步骤
102.收集局域网的基础网络信息。该基础网络信息包括局域网中每一个节点的IP地址、局域网中每一个应用程序所使用的端口 、局域网中的所有外围设备端口、局域网中的所有电子邮件端口、以及局域网中的所
6有对外端口,该对外接口连接互联网。
104.收集应用于局域网的网络工具信息。该局域网的网络工具信息
包括运行于局域网内的电子邮件系统信息、连接于局域网的外围设备、
局域网中的对外接口使用的传输协议,该对外接口连接互联网。
106.根据预定规则,基于基础网络信息和网络工具信息产生访问控
制列表,该访问控制列表控制局域网网络工具对于局域网内各个节点的访问以及数据传输。
108.将访问控制列表发送给局域网中的各个节点以及各个网络工具的拥有者。
110.基于访问控制列表,控制局域网中的数据传输。参考图2所示,本发明还揭示了一种局域网的防病毒系统200,该系
统200同样较佳地适用于半导体制造工厂FAB内的网络,该系统包括下述
的部件
网络基础信息收集装置202,收集局域网的基础网络信息。类似的,该网络基础信息收集装置202收集的局域网的基础信息包括局域网中每一个节点的IP地址、局域网中每一个应用程序所^使用的端口 、局域网中的所有外围设备端口、局域网中的所有电子邮件端口、以及局域网中的所有对外端口,该对外接口连接互联网。
网络工具信息收集装置204,收集应用于局域网的网络工具信息。同样,该网络工具信息收集装置204收集的局域网的网络工具信息包括运行于局域网内的电子邮件系统信息、连接于局域网的外围设备、局域网中的对外接口使用的传输协议,该对外接口连接互联网。
预定规则产生器206,根据外部输入或者预先存储的内容产生预定规
则;
访问控制装置208,根据预定规则,基于基础网络信息和网络工具信息产生访问控制列表,该访问控制列表控制局域网网络工具对于局域网内各个节点的访问以及数据传输;访问控制装置208将访问控制列表发送给局域网中的各个节点以及各个网络工具的拥有者;并基于访问控制列表,控制局域网中的数据传输。
7基于上述的防病毒方法100和防病毒系统200,本发明提供了一种主 动性的防病毒方法。首先,通过访问控制列表对于访问的控制,在FAB网 络中的数据传输受到严格的监控,只有经过允许(即在访问控制列表中注 册过)的数据传输才能进行。任何没有在访问控制列表中注册的数据传输 都将被阻止。而访问控制列表是一个生成在FAB内部的对象,不与外部网 络相联,其属性也可以完全做到保密,因此,访问控制列表可以做到不被 病毒、非法入侵等等的外来攻击所入侵。由于访问控制列表基本可以认为 是十分安全、不能被恶意修改的,因此,在访问控制列表控制下的局域网 上的数据传输将是十分可靠的。 一旦出现病毒或者非法入侵,由于其无法 得到经过注册的数椐传输,它们将被限制在个别的节点上,因而,通过使 用访问控制列表,能够有效地限制病毒或者非法入侵的扩散。
电子邮件系统、外围设备端口、应用程序端口、以及与外部网络(比 如互联网)相连的通信端口都是病毒和非法入侵攻击的主要对象。于是, 在本发明中,上述的这些容易被攻击的对象都被作为网络工具进行严格的 管理。本发明会收集局域网中每一个节点的IP地址、局域网中每一个应用 程序所使用的端口、局域网中的所有外围设备端口、局域网中的所有电子 邮件端口、以及局域网中的所有对外端口作为基础网络信息。在本发明中, 每 一 个网络工具可以访问的基础网络信息都是受到严格控制的,每 一 个网 络工具可以访问的基础网络信息都会在访问控制列表中进行注册,只有经 过注册的数据传输途径才能在本发明中被允许。
t匕:i口
对于电子邮件系统,只有被授权的节点才能够进行电子邮件的收发, 在访问控制列表中会对电子邮件系统、其使用的端口以及相关节点的IP地 址进行注册。
对于网络的对外接口 ,互联网是病毒和非法入侵进行攻击的主要来源。 因此,本发明仅开放个别的经过严格防护和监控的节点作为对外的接口 , 这些节点的IP地址以及相应的传输协议都会在访问控制列表中进行注册。 需要特别说明的是,对于SMTP协议以及相应的端口 、 HTTP协议以及相 应的端口,本发明直接进行关闭。
8对于外围设备,外围设备的端口也将受到控制。在访问控制列表中将 注册外围设备的信息、其使用的端口以及相关的节点的IP地址。
对于在局域网中运行的操作系统和应用程序,本发明将对其所有端口 进行监控,并在访问控制列表中进行注册,以防止对于这些端口进行的攻击。
总的来说,本发明以主动地方式对局域网中容易遭到病毒或者外部非 法入侵攻击的环节进行严格的监控,以有效提高局域网的防病毒能力。
本发明的防病毒方法和技术,能够主动地对局域网中的数据传输进行 控制,预防病毒传播的途径,并能在出现病毒时,将病毒控制在有限的范 围内,防止病毒的扩散。
上述实施例是提供给熟悉本领域内的人员来实现或使用本发明的,熟 悉本领域的人员可在不脱离本发明的发明思想的情况下,对上述实施例做 出种种修改或变化,因而本发明的保护范围并不被上述实施例所限,而应 该是符合权利要求书提到的创新性特征的最大范围。
权利要求
1. 一种局域网的防病毒方法,包括收集局域网的基础网络信息;收集应用于所述局域网的网络工具信息;根据预定规则,基于所述基础网络信息和网络工具信息产生访问控制列表,该访问控制列表控制所述局域网网络工具对于所述局域网内各个节点的访问以及数据传输;将所述访问控制列表发送给所述局域网中的各个节点以及所述各个网络工具的拥有者;基于所述访问控制列表,控制所述局域网中的数据传输。
2. 如权利要求1所述的局域网的防病毒方法,其特征在于, 所述局域网的基础信息包括所述局域网中每一个节点的IP地址、所述局域网中每一个应用程序所使用的端口 、所述局域网中的所有外围设备 端口、所述局域网中的所有电子邮件端口、以及所述局域网中的所有对外 端口,该对外接口连4姿互联网。
3. 如权利要求1所述的局域网的防病毒方法,其特征在于,所述局域网的网络工具信息包括运行于所述局域网内的电子邮件系 统信息、连接于所述局域网的外围设备、所述局域网中的对外接口使用的 传输协议,该对外接口连接互联网。
4. 如权利要求1至3中任一项所述的局域网的防病毒方法,其特征 在于,所述局域网是半导体制造工厂FAB内的网络。
5. —种局域网的防病毒系统,包括网络基础信息收集装置,收集局域网的基础网络信息;网络工具信息收集装置,收集应用于所述局域网的网络工具信息;预定规则产生器,根据外部输入或者预先存储的内容产生预定规则; 访问控制装置,根据所述预定规则,基于所述基础网络信息和网络工 具信息产生访问控制列表,该访问控制列表控制所述局域网网络工具对于 所述局域网内各个节点的访问以及数据传输;所述访问控制装置将所述访 问控制列表发送给所述局域网中的各个节点以及所述各个网络工具的拥有 者;并基于所述访问控制列表,控制所述局域网中的数据传输。
6. 如权利要求5所述的局域网的防病毒系统,其特征在于, 所述网络基础信息收集装置收集的局域网的基础信息包括所述局域网中每一个节点的IP地址、所述局域网中每一个应用程序所使用的端口 、 所述局域网中的所有外围设备端口 、所述局域网中的所有电子邮件端口 、 以及所述局域网中的所有对外端口 ,该对外接口连接互联网。
7. 如权利要求5所述的局域网的防病毒系统,其特征在于, 所述网络工具信息收集装置收集的局域网的网络工具信息包括运行于所迷局域网内的电子邮件系统信息、连接于所述局域网的外围设备、所 述局域网中的对外接口使用的传输协议,该对外接口连接互联网。
8. 如权利要求5至7中任一项所述的局域网的防病毒系统,其特征 在于,所述局域网是半导体制造工厂FAB内的网络。
全文摘要
本发明揭示了一种局域网的防病毒方法,包括收集局域网的基础网络信息;收集应用于局域网的网络工具信息;根据预定规则,基于基础网络信息和网络工具信息产生访问控制列表,该访问控制列表控制局域网网络工具对于局域网内各个节点的访问以及数据传输;将访问控制列表发送给局域网中的各个节点以及各个网络工具的拥有者;基于访问控制列表,控制局域网中的数据传输。本发明以主动地方式对局域网中容易遭到病毒或者外部非法入侵攻击的环节进行严格的监控,以有效提高局域网的防病毒能力。
文档编号H04L29/06GK101459652SQ20071017214
公开日2009年6月17日 申请日期2007年12月13日 优先权日2007年12月13日
发明者方奕晖, 桂培培, 虹 武, 玲 邹, 陈延年 申请人:中芯国际集成电路制造(上海)有限公司