一种带入侵检测的网络安全管理系统

1.一种带入侵检测的网络安全管理系统，其特征在于：包括路由器A、第一防火墙、网络入侵检测引擎、网关设备、网络漏洞扫描层、服务器监视层、服务器，所述路由器A依次连接第一防火墙、网关设备、网络漏洞扫描层、服务器监视层、服务器，所述网络入侵检测引擎连接第一防火墙，所述网络入侵检测引擎采用启明星辰天阗NS100。
2.根据权利要求1所述的一种带入侵检测的网络安全管理系统，其特征在于：还包括内网入侵检测系统，所述内网入侵检测系统连接服务器监视层，所述内网入侵检测系统采用启明星辰天阗NS100。
3.根据权利要求1所述的一种带入侵检测的网络安全管理系统，其特征在于：还包括路由器B和第二防火墙，所述路由器B通过第二防火墙连接网络漏洞扫描层，所述第二防火墙采用NETGEAR FVS318G，所述路由器B采用CISCO 1841C/K9。
4.根据权利要求1所述的一种带入侵检测的网络安全管理系统，其特征在于：还包括防病毒系统，所述防病毒系统连接网络漏洞扫描层，所述防病毒系统搭载设备采用IBM System x3100 M4服务器。
5.根据权利要求1或2或3或4所述的一种带入侵检测的网络安全管理系统，其特征在于：所述第一防火墙采用趋势TWG-BRF114，所述路由器A采用CISCO 2911/K9，所述网关设备采用NETGEAR UTM25，所述服务器采用IBM System x3850 X5。

一种带入侵检测的网络安全管理系统\n技术领域\n[0001] 本实用新型涉及网络安全技术领域，具体的说，是一种带入侵检测的网络安全管理系统。\n背景技术\n[0002] 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统能连续可靠正常地运行，网络服务不中断。网络安全包含网络设备安全、网络信息安全、网络软件安全。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。\n[0003] 随着计算机技术的迅速发展，在计算机上处理的业务也由基于单机的数学运算、文件处理，基于简单连接的内部网络的内部业务处理、办公自动化等发展到基于复杂的内部网（Intranet）、企业外部网（Extranet）、全球互联网（Internet）的企业级计算机处理系统和世界范围内的信息共享和业务处理。\n[0004] 在系统处理能力提高的同时，系统的连接能力也在不断的提高。但在信息连接能力、流通能力提高的同时，基于网络连接的安全问题也日益突出，整体的网络安全主要表现在以下几个方面：网络的物理安全、网络拓扑结构安全、网络系统安全、应用系统安全和网络管理的安全等。\n[0005] 现有技术的网络拓扑结构及硬件搭载上，安全管理的设置上过于简单，不能主动的发觉入侵行为，以至于频繁遭受网络攻击，严重时将使得拓扑内部工作机组出现瘫痪或信息泄露，给拓扑网络内部的用户造成极大的损失。\n实用新型内容\n[0006] 本实用新型的目的在于设计出一种带入侵检测的网络安全管理系统，提供现有技术的网络安全防范所需，通过对计算机网络或计算机系统中若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象，达到及时主动的发觉入侵行为，完成入侵检测。\n[0007] 本实用新型通过下述技术方案实现：一种带入侵检测的网络安全管理系统，包括路由器A、第一防火墙、网络入侵检测引擎、网关设备、网络漏洞扫描层、服务器监视层、服务器，所述路由器A依次连接第一防火墙、网关设备、网络漏洞扫描层、服务器监视层、服务器，所述网络入侵检测引擎连接第一防火墙，所述网络入侵检测引擎采用启明星辰天阗NS100，所述第一防火墙采用趋势TWG-BRF114，所述路由器A采用CISCO 2911/K9，所述网关设备采用NETGEAR UTM25，所述服务器采用IBM System x3850 X5。\n[0008] 在使用时，通过采用启明星辰天阗NS100的网络入侵检测引擎对Internet数据进行入侵检测，它通过收集和分析网络行为、安全日志、审计数据以及计算机系统中若干关键点的信息，检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象，以达到及时主动的发觉入侵行为的目的。\n[0009] 进一步的，为更好的实现本实用新型，便于对Intranet上网络数据进行入侵检测，特别的设置下述结构：还包括内网入侵检测系统，所述内网入侵检测系统连接服务器监视层，所述内网入侵检测系统采用启明星辰天阗NS100，Intranet上的各种网络数据都将经启明星辰天阗NS100构成的内网入侵检测系统进行检测，检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象，以达到及时主动的发觉Intranet网间是否有入侵行为的发生。\n[0010] 进一步的，为更好的实现本实用新型，使得Extranet网络数据能够良好传输，不会出现被攻击现象，特别的设置下述结构：还包括路由器B和第二防火墙，所述路由器B通过第二防火墙连接网络漏洞扫描层，所述第二防火墙采用NETGEAR FVS318G，所述路由器B采用CISCO 1841C/K9。\n[0011] 进一步的，为更好的实现本实用新型，能够利用设备运行防病毒软件来对病毒进行防御，特别设置下述结构：还包括防病毒系统，所述防病毒系统连接网络漏洞扫描层，所述防病毒系统搭载设备采用IBM System x3100 M4服务器。\n[0012] 本实用新型与现有技术相比，具有以下优点及有益效果：\n[0013] （1）本实用新型提供现有技术的网络安全防范所需，通过对计算机网络或计算机系统中若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象，达到及时主动的发觉入侵行为，完成入侵检测。\n[0014] （2）本实用新型在使用时，Internet上的网络数据接入时不光经过传统的防火墙保护，还经过入侵检测，通过主动防护技术的使用，对内部攻击、外部攻击和误操作实时保护，在网络系统受到危害之前拦截和响应入侵。\n附图说明\n[0015] 图1为本实用新型的结构框图。\n具体实施方式\n[0016] 下面结合实施例对本实用新型作进一步地详细说明，但本实用新型的实施方式不限于此。\n[0017] 实施例1：\n[0018] 入侵检测（Intrusion Detection）是对入侵行为的检测。它通过收集和分析网络行为、安全日志、审计数据、其它网络上可以获得的信息以及计算机系统中若干关键点的信息，检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。入侵检测作为一种积极主动地安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。因此被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测。入侵检测通过执行以下任务来实现：监视、分析用户及系统活动；系统构造和弱点的审计；识别反映已知进攻的活动模式并向相关人士报警；异常行为模式的统计分析；评估重要系统和数据文件的完整性；操作系统的审计跟踪管理，并识别用户违反安全策略的行为。\n[0019] 入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。\n它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。\n[0020] 为完成所述的入侵检测功能，提供现有技术的网络安全防范所需，通过对计算机网络或计算机系统中若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象，达到及时主动的发觉入侵行为，本实用新型提出了一种带入侵检测的网络安全管理系统，如图1所示，通过用依次连接的路由器A、第一防火墙、网关设备、网络漏洞扫描层、服务器监视层、服务器，以及连接在第一防火墙上的采用启明星辰天阗NS100的网络入侵检测引擎来完成Internet网络数据的传输和入侵检测。\n[0021] 涉及软件使用，协议规定等皆为成熟技术，将会直接植入应用，不涉及软件、协议的改变和创造。\n[0022] 启明星辰天阗NS100具有如下特性：\n[0023] 最大检测率：80Mbps；\n[0024] 最大并发连接数：20万；\n[0025] 每秒新建连接数：4万；\n[0026] 处理能力(漏报率为零)：80M；\n[0027] 协议自识别：支持非常规端口的HTTP，FTP，POP3，SMTP，TELNET协议识别；\n[0028] 接口：标配1个10M/100M电口，最大2个10M/100M电口；\n[0029] 电源：100-240V；\n[0030] 输入电流：4-2A；\n[0031] 功率：180W。\n[0032] 实施例2：\n[0033] Intranet，企业内网，是Internet的延伸和发展，正是由于利用了Internet的先进技术，特别是TCP/IP协议，保留了Internet允许不同计算平台互通及易于上网的特性，使Intranet得以迅速发展。但Intranet在网络组织和管理上更胜一筹，它有效地避免了Internet所固有的可靠性差、无整体设计、网络结构不清晰以及缺乏统一管理和维护等缺点，使企业内部的秘密或敏感信息受到网络防火墙的安全保护。因此，同Internet相比，Intranet更安全、更可靠，更适合企业或组织机构加强信息管理与提高工作效率，被形象地称为建在企业防火墙里面的Internet。\n[0034] Intranet所提供的是一个相对封闭的网络环境。这个网络在企业内部是分层次开放的，内部有使用权限的人员访问Intranet可以不加限制，但对于外来人员进入网络，则有着严格的授权。因此，网络完全是根据企业的需要来控制的。在网络内部，所有信息和人员实行分类管理，通过设定访问权限来保证安全。比如，对普通员工访问受保护的文件（如人事、财务、销售信息等）进行授权及鉴别，保证只有经过授权的人员才能接触某些信息；对受限制的敏感信息进行加密和接入管理等等。同时，Intranet又不是完全自我封闭的，它一方面要帮助企业内部人员有效地获取交流信息；另一方面也要对某些必要的外部人员，如合伙人、重要客户等部分开放，通过设立安全网关，允许某些类型的信息在Intranet与外界之间往来，而对于企业不希望公开的信息，则建立安全地带，避免此类信息被侵害。\n[0035] 与Internet相比，Intranet不仅是内部信息发布系统，而且是该机构内部业务运转系统。Intranet的解决方案应当具有严格的网络资源管理机制、网络安全保障机制，同时具有良好的开放性；它和数据库技术、多媒体技术以及开放式群件系统相互融合连接，形成一个能有效地解决信息系统内部信息的采集、共享、发布和交流的，易于维护管理的信息运作平台。\n[0036] Intranet带来了企业信息化新的发展契机。它革命性地解决了传统企业信息网络开发中所不可避免的缺陷，打破了信息共享的障碍，实现了大范围的协作。同时以其易开发、省投资、图文并茂、应用简便、安全开放的特点，形成了新一代企业信息化的基本模式。\n[0037] Extranet是一个使用Internet/Intranet技术使企业与其客户和其它企业相连来完成其共同目标的合作网络。Extranet可以作为公用的Internet和专用的Intranet之间的桥梁，也可以被看作是一个能被企业成员访问或与其它企业合作的企业Intranet的一部分；Extranet通常与Intranet一样位于防火墙之后，但不像Internet为大众提供公共的通信服务和Intranet只为企业内部服务和不对公众公开，而是对一些有选择的合作者开放或向公众提供有选择的服务。Extranet访问是半私有的，用户是由关系紧密的企业结成的小组，信息在信任的圈内共享。Extranet非常适合于具有时效性的信息共享和企业间完成共有利益目的的活动。\n[0038] 本实施例是在上述实施例的基础上进一步优化，如图1所示，为实现Intranet网、Extranet网、Internet网之间的拓扑网络互访的网络安全，在网络漏洞扫描层上还设置有由第二防火墙和路由器B所组成的用于保护Extranet网数据传输安全的安全系统；在服务器监视层上设置有内网入侵检测系统，以便Intranet网上的数据在传输时能进行入侵检测，同时对Intranet网、Extranet网、Internet网上可能出现的病毒防范于未然，还设置了通过IBM System x3100 M4服务器进行搭载病毒软件的防病毒系统，防病毒系统通过网络漏洞扫描层进行病毒防御。\n[0039] 为了搭载一个较佳的带入侵检测的网络安全管理系统，在各部件的选择使用上，内网入侵检测系统采用启明星辰天阗NS100，第二防火墙采用NETGEAR FVS318G，路由器B采用CISCO 1841C/K9，第一防火墙采用趋势TWG-BRF114，路由器A采用CISCO 2911/K9，网关设备采用NETGEAR UTM25，服务器采用IBM System x3850 X5。\n[0040] 其中，趋势TWG-BRF114具有如下特性：\n[0041] 为一款企业路由防火墙；\n[0042] 网 络 端 口：4*RJ45 10/100/1000Mbps Gigabit Ethernet Auto-MDI/MIDX，\n1*Shielded RJ45 10/100/1000Mbps Gigabit Ethernet Auto-MDI/MIDX；\n[0043] 管理模式：基于WEB页面的方式，SNMP；\n[0044] 安全标准：Access Control；\n[0045] 操作系统支持：Windows95/98/ME/NT/2000/XP，Unix和Mac；\n[0046] 其他性能，标准：IEEE 802.3，802.3u，802.3ab，协议：NAT，PPPoE，HTTP，DHCP，TCP/IP，UDP，PAP，CHAP，RIP1，DDNS。\n[0047] NETGEAR UTM25，NETGEAR ProSecure统一威胁管理（UTM）平台将性能和全面的安全性融为一体。基于串流扫描技术，NETGEAR 能够使用广泛全面的恶意软件数据库，并且同时保证了高吞吐量和低时延。灵活的软件模块化架构使得串流扫描技术在扫描文件和数据流的时候比常规的扫描技术快5倍。\n[0048] NETGEAR FVS318G具有如下特性：\n[0049] 为一款VPN防火墙；\n[0050] 并发连接数：6000；\n[0051] 局域网端口：8个10/100/1000 Mbps 自适应；\n[0052] 广域网端口：1个10/100/1000 Mbps 自适应；\n[0053] 管理模式：支持 SNMP(2c)；Web 图形用户接口；用户名和密码保护；支持自动识别 IP 地址(或 IP 地址段)的安全远程管理和密码；配置修改/通过 Web 图形界面升级；支持管理员界面的双因素认证；\n[0054] 处理器：250 MHz；内存：8 MB flash，32 MB DRAM；\n[0055] 其他性能：VPN 智能向导简单配置 IPsec VPN；自动探测 ISP 地址类型(静态，动态，PPPoE)；端口范围转发；端口触发；打开/关闭 WAN ping；DNS 代理；MAC 地址克隆/欺骗；支持网络时间协议 NTP；诊断工具(ping，DNS lookup，trace route，其它)；端口/服务；支持端口线序自知应；L3服务质量(QoS)LAN至WAN和WAN至LAN(ToS)；SIP ALG。\n[0056] IBM System x3850 X5具有如下特性：\n[0057] 采用机架式4U机箱；\n[0058] 处理器性能：CPU类型：Intel 至强7500，CPU型号：Xeon E7520，CPU频率：\n1.866GHz，智能加速主频：1.866GHz，标配CPU数量：2颗，最大CPU数量：4颗，制程工艺：\n45nm，三级缓存：18MB，总线规格：QPI 4.8GT/s，CPU核心：四核，CPU线程数：八线程；\n[0059] 主板：扩展槽：7×半长PCI-E；\n[0060] 内存特性：内存类型：DDR3，内存容量：16GB，内存描述：4×4GB PC3-8500，最大内存容量：1TB；\n[0061] 最大硬盘容量：4TB，内部硬盘架数：最大支持8块串行连接的SCSI（SAS）或16块SAS SSD硬盘，热插拔盘位：支持热插拔，RAID模式： RAID 0，1，5；\n[0062] 网络控制器：双千兆网卡；\n[0063] 散热系统：热插拔风扇；\n[0064] 系统管理：Alert on LAN 2，服务器自动重启，IBM Systems Director，IBM ServerGuide，集成管理模块（IMM），光通路诊断（单独供电），适用于硬盘驱动器/处理器/VRM/风扇/内存的Predictive Failure Analysis，Wake on LAN，动态系统分析，QPI Faildown，单点故障转移；\n[0065] 系统 支 持：Windows Server 2008（Standard，Enterprise 和 Data Center Edition，32位和64位），32位和64位 Red Hat Enterprise Linux，SUSE Enterprise Linux（Server 和 Advanced Server），VMware ESX Server/ESXi 4.0；\n[0066] 电源类型：热插拔电源，电源数量：2个，电源电压：220V，电源功率 1975W。\n[0067] 本实用新型提供现有技术的网络安全防范所需，通过对计算机网络或计算机系统中若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象，达到及时主动的发觉入侵行为，完成入侵检测。\n[0068] 以上所述，仅是本实用新型的较佳实施例，并非对本实用新型做任何形式上的限制，凡是依据本实用新型的技术实质对以上实施例所作的任何简单修改、等同变化，均落入本实用新型的保护范围之内。