信数据的顺利到达。
[0034]动态变换单元15包括虚拟IP修改模块和虚拟域名修改模块,用于动态变换终端信息单元14中存储的终端信息表,其中虚拟IP修改模块遍历终端信息单元14,动态修改终端信息单元14中的vIP并保证vIP不重复出现,虚拟域名修改模块遍历终端信息单元14,动态修改终端信息单元14中的vDomain并保证vDomain不重复出现。具体的如图4-6所示,动态变换单元15包括虚拟IP修改模块41和虚拟域名修改模块42,用于动态修改终端信息单元14中存储的终端信息表;虚拟IP修改模块41又包括虚拟IP修改子模块51和虚拟IP重复查询子模块52,根据用户配置信息中设定的虚拟IP动态变换的时间间隔和虚拟IP的范围,虚拟IP修改子模块51不停地遍历终端信息单元14中存储的终端信息表,如果某个终端信息表中vIP对应的VIP t i m e和当前时间的时间间隔达到或超出虚拟IP动态变换的时间间隔,则虚拟IP修改子模块51从设定的虚拟IP的范围中随机生成一个新的vIP替换该终端信息表中vIPtime所对应的vIP,并同时将所述vIPtime更新为该新vIP的生成时间,虚拟IP重复查询子模块52对终端信息单元14中的虚拟IP进行去重查询,在终端信息单元中查询是否已经包括有新生成的所述vIP,若是则通知虚拟IP修改子模块51再次修改重复出现的vIP,并更新其对应的vIPtime,直至终端信息单元中没有包括新修改的vIP,完成对vIP的动态修改;虚拟域名修改模块42包括虚拟域名修改子模块61和虚拟域名重复查询子模块62,根据用户配置信息中设定的虚拟域名动态变换的时间间隔,虚拟域名修改子模块61遍历终端信息单元14中存储的终端信息表,如果某个终端信息表的vDomaint ime和当前时间的时间间隔达到或超过虚拟域名动态变换的时间间隔,虚拟域名修改子模块61随机生成一个新的vDomain替换原来的vDomaiη,并同时将所述vDomaint ime更新为该新vDomaiη的生成时间,虚拟域名重复查询子模块62对终端信息单元14中的虚拟域名进行去重查询,并通知虚拟域名修改子模块61修改重复出现的vDomain。
[0035]这样在布置本发明所述基于动态变换的网络安全防御系统的局域网中,无论是内网之间,还是外网和内网之间,进行数据通信时,使用的是虚拟的可动态变换的vIP以及特定的wIP,并不使用网络终端的真实IP,有效地阻止了攻击者对内网的探测和渗透,使得攻击者无法准确获得内网拓扑结构和内网中网络终端的真实信息,进而有效防御了内网攻击行为,实现了内网的安全防护。
[0036]本发明进一步的提出基于上述网络安全防御系统的动态变换网络安全防御方法,包括以下步骤:
步骤(I)、为内网中的每一个网络终端生成对应的一个终端信息表,所述终端信息表包括分配给网络终端的rIP、与rIP对应的vIP、与rIP对应的wIP、与vIP对应的vDomain、与vIP对应的vIPtime、与vDomain对应的vDomaintime、rMac,其中所述rIP为分配给网络终端的真实IP地址,所述vIP为分配给网络终端的虚拟IP地址,所述wIP为分配给网络终端的外网访问IP地址,所述vDomain为VlP对应的虚拟域名,所述vIPtime为vIP分配的当前时间,所述vDomaint ime为vDomain分配的当前时间,所述rMac为网络终端的物理网卡地址;
步骤(2)、按照以下方式对通信数据包进行IP替换操作,使得内网中的网络终端之间采用vIP进行通信,内网中的网络终端和外网之间采用wIP进行通信:
(2-1):对于内网中的两个网络终端进行通信时,首先提取一个网络终端发出的通信数据包中的源IP,然后在终端信息表中查询得到与所述源IP对应的vIP,同时提取所述通信数据包中的目的IP,并在终端信息表中查询得到与所述目的IP对应的rIP;接着根据通信数据包的源IP、目的IP、源端口、目的端口、通信协议以及查询到的与源IP对应的vIP、与目的IP对应的rIP,建立本次通信的会话信息;然后将通信数据包中的源IP替换为本次通信的会话信息中与所述源IP对应的vIP,将通信数据包中的目的IP替换为本次通信的会话信息中与所述目的IP对应的rIP,并根据本次通信的会话信息重新计算通信数据包校验和后将通信数据包发送给另一个网络终端;最后删除本次通信的会话信息;
(2-2):对于内网中的网络终端访问外网时,首先提取内网网络终端发出的通信数据包中的源IP,然后在终端信息表中查询得到与所述源IP对应的wIP;接着根据通信数据包的源IP、目的IP、源端口、目的端口、通信协议以及查询到的与源IP对应的wIP,建立本次通信的会话信息;然后将通信数据包中的源IP替换为本次通信的会话信息中与所述源IP对应的WIP,并根据本次通信的会话信息重新计算通信数据包校验和后将通信数据包发送至外网;最后删除本次通信的会话信息;
(2-2):对于外网访问内网中的网络终端时,首先提取来自外网的通信数据包中的目的IP,然后在终端信息表中查询得到与所述目的IP对应的rIP;接着根据通信数据包的源IP、目的IP、源端口、目的端口、通信协议以及查询到的与目的IP对应的rIP,建立本次通信的会话信息;然后将通信数据包中的目的IP替换为本次通信的会话信息中与所述目的IP对应的rIP,并根据本次通信的会话信息重新计算通信数据包校验和后将通信数据包发送至内网中的网络终端;最后删除本次通信的会话信息。
[0037]第二优选实施方式
本发明的第二优选实施方式所述的基于动态变换的网络安全防御系统与上述第一优选实施方式的区别仅在于,如图7所示,用户可以通过管理单元11设置终端信息存储单元14中存储的终端信息表中的wIP的静态特性,即可以将内网中接入网络的特定网络终端的wIP设置为静态wIP,优选的可在特定网络终端的终端信息表中设置标志位,通过在标志位中设置对应的标志值来区分特定网络终端的wIP是否是静态wIP。这样内网中接入网络的两个网络终端除了可以用vIP进行通信,也可以用静态配置的wIP进行通信。进行这样的修改,是因为在现有的内网架构中,为了访问方便,网络打印机和某些特定的服务器往往会设置静态的IP地址,在部署了基于动态变换的网络安全防御系统后,由于vIP是动态变换的,为了使内网中用户能按原来的方式使用静态的IP地址访问网络打印机和某些特定的服务器,本实施方式增加了上述功能,使得内网中接入网络的两个网络终端不仅可以利用vIP进行通信,也可以利用配置的静态wIP进行通信,因此在第二实施方式中内网和外网之间的通信过程与上述第一实施方式完全相同,在此不做重复描述,仅仅是内网中的两个网络终端之间处理可按照第一实施方式中所述的基于vIP进行通信外,还可利用静态wIP进行通信,下面仅对第二实施方式中内网的数据通信过程进行描述。
[0038]对于本实施方式中内网和内网之间的通信,首先在通信开始建立之前,IP地址变换模块34提取数据包中的目的IP,并对其类型进行判定(因vIP、rIP、wIP分别对应于不同的IP段,因此容易实现这种类型判定),如果数据包的目的IP是一个rIP,则将此数据包直接丢弃,因为内网间不允许用rIP进行访问,如果数据包中目的IP是一个wIP,则IP地址变换模块34利用该wIP查询在终端信息单元中查询其是否对应有静态标志位,以判定该wIP是否是静态设置的wIP,如果该wIP不是用户静态设置的wIP,则将该数据包直接丢弃,并结束通信。如果IP地址变换模块34提取的数据包中的目的IP是一个vIP或者是一个处于静态设置的wIP,则执行如下通信变换过程。在通信开始时IP地址变换模块34建立对应的会话信息,数据包包括源IP、目的IP、源端口、目的端口和通信协议,其中的源IP代表网络终端在内网中的真实IP即所述源IP为rIP,所述IP地址变换模块34提取该数据包中的源IP,并在终端信息单元14中利用该源IP进行查询,得到与其对应的vIP,同时所述IP地址变换模块34提取该数据包中的目的IP,并在终端信息单元14中利用该目的IP进行查询,得到与其对应的rIP(若查询不到,则直接将数据包丢弃),然后将所述源IP、目的IP、源端口、目的端口、通信协议以及查询到的与源IP对应的VIP、与目的IP对应的r IP组成本次通信的会话信息,并存储到会话信息存储模块33中,在接下来的通信过程中,依据该会话信息对数据包进行处理。然后IP地址变换模块34进行IP变换操作,先由IP地址变换模块34利用所述数据包中的源IP、目的IP、源端口、目的端口和通信协议在会话信息存储模块33查询与之对应的会话信息,如果查询不到则直接将此数据包丢弃,如果查询到则所述IP地址变换模块34将数据包中的源IP替换为查询到的会话信息中与源IP对应的vIP(因为该源IP如上所述为rIP),将数据包中的目的IP替换为查询到的会话信息中该目的IP对应的rIP(对于目的IP是静态wIP的情况时,由于该静态wIP在目的网络终端的终端信息表中不发生变化,因此不论目的网络终端的vIP如何变化,数据包的目的IP始终为静态wIP,而根据该静态wIP即可容易地找到目的网络终端的rIP,因为wIP与rIP也是——对应的,从而能够快速的与静态wIP所在的目的网络终端进行通信),然后根据所述会话信息重新计算数据包校验和后把数据包发送给数据单元12的数据包发送模块22,数据包发送模块22在根据数据包中的rIP、目的端口等信息找到对应的内网终端,完成数据通信;在本次通信结束后,IP地址变换模块34再次利用所述数据包中的源IP、目的IP、源端口、目的端口和通信协议在会话信息存储模块33中查询得到本次通信所对应的所述会话信息,并将该会话信息删除。这样本实施方式中对于内网中的类似于打印机、服务器等网络终端通过设置静态的IP地址,使得对其进行访问的数据包
在部署了基于动态变换的网络安全防御系统后,内网中用户仍然能够按原来的方式使用静态的IP地址访问网络打印机、服务器等终端,在保证网络安全的同时,提高了对打印机、服务器等特定终端的内网访问效率。
[0039]本发明打破传统内网的静态性特征,提出一种基于动态变换的网络安全防御系统,通过动态变换内网中网络终端的IP地址信息,使得攻击者无法获得内网的拓扑结构,无法准确获得内网中网络终端的真实信息,从而有效防御了内网攻击行为,提高了内网的安全。
[0040]以上仅是对本发明的优选实施方式进行了描述,并不将本发明的技术方案限制于此,本领域技术人员在本发明的主要技术构思的基础上所作的任何公知变形都属于本发明所要保护的技术范畴,本发明具体的保护范围以权利要求书的记载为准。
【主权项】
1.一种基于动态变换的网络安全防御系统,其特征在于,包括通信处理单元(13)、终端信息单元(14)和动态变换单元(15),所述通信处理单元(13)连接所述终端信息单元(14),所述动态变换单元(15)连接所述终端信息单元(14),所述通信处理单元(13)为布置所述网络安全防御系统的内网中的每一个网络终端配置一个终端信息表,并存储于所述终端信息单元(14)中,所述终端信息表包括分配给网络终端的rIP、vIP和wIP,其中rIP为分配给网络终端的真实IP地址,vIP为分配给网络终端的虚拟IP地址,wIP为分配给网络终端的外网访问IP地址,所述动态变换单元(15)动态变换所述终端信息单元(14)中存储的VlP,所述通信处理单元(13)基于所述终端信息表处理网络终端的通信数据包,并使内网中的网络终端之间采用vIP进行通信,内网中的网络终端和外网之间采用wIP进行通信。2.根据权利要求1所述的网络安全防御系统,其特征在于,所述终端信息单元(14)存储的rIP、vIP和wIP相互之间具有--对应关系,每个网络终端的终端信息表中包括有相互对应的一组rIP、vIP和wIP,所述通信数据包包括有源IP、目的IP、源端口、目的端口和通信协议;对于内网中的两个网络终端进行通信时,所述通信处理单元(13)将通信数据包中的源IP替换为发送该通信数据包的网络终端