CN107070951A - 一种内网安全防护***和方法 - Google Patents
一种内网安全防护***和方法 Download PDFInfo
- Publication number
- CN107070951A CN107070951A CN201710388921.3A CN201710388921A CN107070951A CN 107070951 A CN107070951 A CN 107070951A CN 201710388921 A CN201710388921 A CN 201710388921A CN 107070951 A CN107070951 A CN 107070951A
- Authority
- CN
- China
- Prior art keywords
- virtual
- address
- module
- intranet
- network termination
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
- H04L61/5014—Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明公开了一种内网安全防护***和方法,该***包括:入网隔离前安全检查模块、虚拟IP地址分发模块、分布式实时监控模块和智能学习模块,通过智能分配虚拟IP地址的方式给内网终端,使得内网终端可以通过虚拟IP地址或虚拟主机名访问内网和外网,外网终端无法获取内网的拓扑结构,并通过内网终端行为智能分析出虚拟IP地址需要变换的频率。突破了传统的内网静态分配方式,通过虚拟转换内网终端的访问IP地址,使得内网终端被隐藏在虚拟环境下,构建虚拟网络拓扑结构,外网终端无法精确的取得内网终端的真实信息,内网主机相互隔离状态,从而有效的防御网络中的各种攻击行为,加固了内网的安全性,从而真正实现内网的安全防护。
Description
技术领域
本发明涉及网络安全技术领域,特别涉及一种内网安全防护***和方法。
背景技术
随着网络技术的快速发展,我们对网络安全的关注越来越重视。然而,计算机和网络攻击的复杂性不断上升,使用传统的防火墙和IDS(Intrusion Detection Systems,入侵检测***)越来越难以检测和阻挡。随着病毒、蠕虫、木马、后门和混合威胁的泛滥,内容层和网络层的安全威胁正变得司空见惯。复杂的蠕虫和邮件病毒诸如Slammer、Blaster、Sasser、Sober、MyDoom等会如何快速的传播,通常在几个小时之内就能席卷全球。
为了对抗安全威胁,安全技术也在不断进化,包括深度包检测防火墙、应用网关防火墙、内容过滤、反垃圾邮件、SSL VPN、基于网络的防病毒和IPS等新技术不断被应用。
但是,防御软件比如杀毒软件不能解决当攻击者用合法软件进行攻击的情况,并且防火墙主要是防御外网,当攻击者是企业内部的情况下防御外网的防火墙就形同虚设。因此,裸露的静态网络拓扑结构,攻击者很容易就能获取内部终端的地址,采取有针对性的攻击,造成内部网络瘫痪,同时,内网终端的IP地址是静态不可变,各内网终端之间随时可以互通访问,造成病毒在内网终端之间相互传播。从而,如何真正实现内网安全防护的问题亟待解决。
发明内容
本发明实施例提供了一种内网安全防护***和方法,通过智能的分配拥有时效的虚拟IP地址,使得内网终端保持相互独立,内网终端自身可以独立访问外网,但内网终端之间不可互相通信,从而真正实现内网的安全防护。
第一方面,本发明实施例提供了一种内网安全防护***,该***包括:入网隔离前安全检查模块、虚拟IP地址分发模块、分布式实时监控模块和智能学习模块,其中,
入网隔离前安全检查模块,用于在内网终端接入网络前进行安全评估,判断是否允许该内网终端接入网络,若是,则发送分配虚拟IP地址和虚拟主机名的请求命令,并触发虚拟IP地址分发模块;否则,禁止该内网终端接入网络,并反馈到该内网终端发出警报;
虚拟IP地址分发模块,用于接收入网隔离前安全检查模块发送的请求命令,并给内网终端分配虚拟IP地址和虚拟主机名,以及根据智能学习模块确定的变更频率对相应的内网终端进行虚拟IP地址和虚拟主机名的变更;
分布式实时监控模块,用于获取内网终端的实时安全状态数据,搜集内网终端用户的操作行为;
智能学习模块,用于对内网终端的实时安全状态数据和用户的操作行为进行分析,评估该用户的操作环境和操作习惯,确定该用户对应的内网终端虚拟IP地址和虚拟主机名的变更频率。
优选地,该***进一步包括:加解密模块,用于对内网终端的虚拟IP地址和虚拟主机名进行加密或/和解密。
优选地,当不同的内网终端需要互访时,该***进一步包括:虚拟主机名解析模块、虚拟IP地址解析模块和终端信息列表库模块,其中,
虚拟主机名解析模块,用于查询内网终端的虚拟主机名;
虚拟IP地址解析模块,用于查询内网终端的虚拟IP地址;
终端信息列表库模块,用于存储内网终端的信息,其中,内网终端的信息包括但不限于MAC地址,用户名,访问IP地址,虚拟IP地址,虚拟主机名,机构ID。
优选地,该***进一步包括:DHCP服务模块,用于支持内网终端获取外网DHCP服务的解析、对话、路由代理、数据包封装请求、递归查询。
优选地,该***进一步包括:虚拟地址规则库模块,用于非规则性存储虚拟IP地址。
第二方面,本发明实施例提供了一种内网安全防护方法,该方法包括:
S1:通过入网隔离前安全检查模块在内网终端接入网络前进行安全评估,判断是否允许该内网终端接入网络,若是,则发送分配虚拟IP地址和虚拟主机名的请求命令,并触发S2;否则,禁止该内网终端接入网络,并反馈到该内网终端发出警报;
S2:通过虚拟IP地址分发模块接收入网隔离前安全检查模块发送的请求命令,并给内网终端分配虚拟IP地址和虚拟主机名;
S3:通过分布式实时监控模块获取内网终端的实时安全状态数据,搜集内网终端用户的操作行为;
S4:通过智能学习模块对内网终端的实时安全状态数据和用户的操作行为进行分析,评估该用户的操作环境和操作习惯,确定该用户对应的内网终端虚拟IP地址和虚拟主机名的变更频率。
S5:通过虚拟IP地址分发模块根据智能学习模块确定的变更频率对相应的内网终端进行虚拟IP地址和虚拟主机名的变更。
优选地,该方法进一步包括:通过加解密模块对内网终端的虚拟IP地址和虚拟主机名进行加密或/和解密。
优选地,当不同的内网终端需要互访时,该方法进一步包括:
通过虚拟域主机名解析模块和虚拟IP地址解析模块查询其中一个内网终端的虚拟IP地址、虚拟主机名;
通过终端信息列表库模块调用内网终端的可见信息,查询访问外网的访问IP地址,以使不同的内网终端之间进行通信。
优选地,该方法进一步包括:通过DHCP服务模块支持内网终端获取外网DHCP服务的解析、对话、路由代理、数据包封装请求、递归查询。
优选地,该方法进一步包括:通过虚拟地址规则库模块非规则性存储虚拟IP地址。
本发明实施例提供了一种内网安全防护***和方法,通过智能分配虚拟IP地址的方式给内网终端,使得内网终端可以通过虚拟IP地址或虚拟主机名访问内网和外网,外网终端无法获取内网的拓扑结构,并通过内网终端行为智能分析出虚拟IP地址需要变换的频率。本发明突破了传统的内网静态分配方式,通过虚拟转换内网终端的访问IP地址,使得内网终端被隐藏在虚拟环境下,构建虚拟网络拓扑结构,外网终端无法精确的取得内网终端的真实信息,内网主机相互隔离状态(手动可配),从而有效的防御网络中的各种攻击行为,加固了内网的安全性,从而真正实现内网的安全防护。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明一个实施例提供的一种内网安全防护***的总体结构示意图;
图2是本发明一个实施例提供的一种内网安全防护***中入网隔离前安全检查模块的结构示意图;
图3是本发明一个实施例提供的一种内网安全防护***中虚拟地址分发模块的结构示意图;
图4是本发明一个实施例提供的一种内网安全防护***中DHCP服务模块的工作流程图;
图5是本发明一个实施例提供的一种内网安全防护方法的流程图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例,基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供了一种内网安全防护***,该***可以包括:入网隔离前安全检查模块、虚拟IP地址分发模块、分布式实时监控模块和智能学习模块,其中,
入网隔离前安全检查模块,用于在内网终端接入网络前进行安全评估,判断是否允许该内网终端接入网络,若是,则发送分配虚拟IP地址和虚拟主机名的请求命令,并触发虚拟IP地址分发模块,否则,禁止该内网终端接入网络,并反馈到该内网终端发出警报;
虚拟IP地址分发模块,用于接收入网隔离前安全检查模块发送的请求命令,并给内网终端分配虚拟IP地址和虚拟主机名,以及根据智能学习模块确定的变更频率对相应的内网终端进行虚拟IP地址和虚拟主机名的变更;
分布式实时监控模块,用于获取内网终端的实时安全状态数据,搜集内网终端用户的操作行为;
智能学习模块,用于对用户的操作行为进行分析,评估该用户的操作习惯和操作环境,确定该用户对应的内网终端虚拟IP地址和虚拟主机名的变更频率。
在该实施例中,通过智能分配虚拟IP地址的方式给内网终端,使得内网终端可以通过虚拟IP地址或虚拟主机名访问内网和外网,外网终端无法获取内网的拓扑结构,并通过内网终端行为智能分析出虚拟IP地址需要变换的频率。本发明突破了传统的内网静态分配方式,通过虚拟转换内网终端的访问IP地址,使得内网终端被隐藏在虚拟环境下,构建虚拟网络拓扑结构,外网终端无法精确的取得内网终端的真实信息,内网主机相互隔离状态(手动可配),从而有效的防御网络中的各种攻击行为,加固了内网的安全性,从而真正实现内网的安全防护。
为更清楚说明本发明的技术方案,结合附图对本发明实施例提供的内网安全防护***进行详细介绍。
在该实施例中,如图1所示的内网安全防护***的总体图,内网安全防护***可以包括:入网隔离前安全检查模块、虚拟IP地址分发模块、分布式实时监控模块、智能学习模块、加解密模块、DHCP服务模块、虚拟地址规则库模块、虚拟主机名解析模块、虚拟IP地址解析模块和终端信息列表库模块。
入网隔离前安全检查模块在内网终端接入网络前进行安全评估,判断是否允许该内网终端接入网络,若是,则发送分配虚拟IP地址和虚拟主机名的请求命令,并触发虚拟IP地址分发模块,否则,禁止该内网终端接入网络,并反馈到该内网终端发出警报。请参考图2在具体实施例中,入网隔离前安全检查模块进行内网终端安全评估,智能分析出内网终端的安全数值,判断是否允许内网终端接入网络,如果安全值低于预先设定的安全基线值,则禁止此内网终端接入网络,并且反馈到该内网终端发出警报。甚至可以通知内网终端进行整改,使其符合安全条件。如果安全值达到内部环境要求,则打上标签加密,发送给虚拟地址分发模块发送请求命令。
如图3所示,虚拟地址分发模块接收到入网隔离前安全检查模块发送的请求命令,解密请求数据,调用虚拟地址规则库模块,再次发送内网终端请求,收到反馈后,虚拟地址分发模块自动分配给发送请求命令的内网终端,从而内网终端获取外网访问权限,进而访问互联网。而DHCP服务模块支持内网终端获取外网DHCP服务的解析、对话、路由代理(Agent)、数据包封装请求、递归查询等。其中DHCP地址获取过程请参考图4。如此同时,分布式实时监控模块获取内网终端的实时安全状态数据,以及入网后内网终端的违规情况,并控制调节安全状态基线参数,搜集用户对内网终端的操作行为,并将操作行为反馈给智能模块库,智能学习模块则提供机器学习方法,智能分析出用户访问不同网站,数据库等操作行为,判断不同内网终端用户的操作习惯和操作环境,确定随机变更虚拟IP地址的频率以及虚拟IP地址的复杂程度。当不同内网终端之间需要互访时,则需要调用虚拟域主机名析模块和虚拟IP地址解析模块查询其中一个内网终端的虚拟IP地址、虚拟主机名以及调用终端信息列表库模块的部分可见信息,查询该内网终端访问外网的真实IP地址,进而实现不同内网终端之间的通信和数据交互。在这个过程中,虚拟IP地址解析模块和虚拟主机名解析模块解析出的信息要与终端信息列表库模块中的信息匹配,才能实现互访。
值得说明的是,在整个过程中,虚拟地址分发模块统筹所有符合所有条件的内网终端,统一匹配信息并调配各个模块之间协调工作,为符合条件内网终端下发可用虚拟IP地址。虚拟地址规则库模块则是所有的虚拟地址存储库,非规则性存储随机生成的动态虚拟地址,防止黑客攻入窃取。并且虚拟地址规则库模块支持自定义功能,用户可以自行设定规则,生成自定义规则库。虚拟IP地址支持Ipv4、Ipv6、mac地址、域名以及自定义序列号等形式。加解密模块则对虚拟IP地址进行加密和解密。
总体,本发明实施例提供的内网安全防护***为多层防护***,大致可以分为四层:
第一层:隔离检查层
1、评估单元,根据智能数据库评估统计内网终端安全情况;
2、报警单元,评估单元统计的数据经过智能处理运算给出分析结果,反馈到内网终端进行提示报警;
3、识别单元,后台自动识别处理新接入设备;
第二层:虚拟IP地址分配层
1、内网终端安全评估数值达到一定安全范围时,虚拟地址库自动加密发送虚拟IP地址,提示可以分配虚拟IP地址;
2、终端获取反馈信息,自动获取虚拟IP地址;
3、地址使用到期,终端发送请求,根据实际环境进行重新分配;
第三层实时行为数据分析层
1、分析***对内网终端的管理行为;
2、分析外网以及内网对内网终端的攻击行为;
3、分析内网终端用户的操作行为;
4、违规自动断网不再分配虚拟IP地址;
第四层智能学习模块
1、智能分析内网终端用户操的作环境,确定虚拟IP地址的变换频率及虚拟IP地址的复杂程度。
本发明实施例提供了一种内网安全防护方法,该方法可以包括以下步骤:
S1:通过入网隔离前安全检查模块在内网终端接入网络前进行安全评估,判断是否允许该内网终端接入网络,若是,则发送分配虚拟IP地址和虚拟主机名的请求命令,并触发S2,否则,禁止该内网终端接入网络,并反馈到该内网终端发出警报。
在具体的实施例中,步骤S1可以首先通过入网隔离前安全检查模块进行内网终端的安全评估,智能分析出内网终端的安全数值,判断该内网终端是否允许接入网络,如果安全数值低于预先设定的安全基线值,则禁止该内网终端接入网络,如果安全值达到内部环境要求,则打上标签加密,将请求命令发送给虚拟IP地址分发模块,请求分配可用的虚拟地址和虚拟主机名。
S2:通过虚拟IP地址分发模块接收入网隔离前安全检查模块发送的请求命令,并给内网终端分配虚拟IP地址和虚拟主机名。
在具体的实施例中,步骤S2可以通过虚拟地址分发模块接收请求命令,解密请求数据,调用虚拟地址规则库模块,再次发送确认内网终端请求,收到反馈后,虚拟IP地址分发模块自动分配给发送请求的内网终端,从而内网终端获取外网访问权限,实现互联网的访问。
S3:通过分布式实时监控模块获取内网终端的实时安全状态数据,搜集内网终端用户的操作行为。
S4:通过智能学习模块对用户的操作行为进行分析,评估该用户的操作习惯和操作环境,确定该用户对应的内网终端虚拟IP地址和虚拟主机名的变更频率。
S5:通过虚拟IP地址分发模块根据智能学习模块确定的变更频率对相应的内网终端进行虚拟IP地址和虚拟主机名的变更。
当不同的内网终端之间需要互访时,该方法可以进一步包括:
S6:通过虚拟域主机名解析模块和虚拟IP地址解析模块查询其中一个内网终端的虚拟IP地址和虚拟主机名以及通过终端信息列表库模块调用部分可见信息,查询内网终端访问外网的真实IP地址。
综上,本发明的各实施例,至少具有如下有益效果:
1、在本发明的实施例中,通过智能分配虚拟IP地址的方式给内网终端,使得内网终端可以通过虚拟IP地址或虚拟主机名访问内网和外网,外网终端无法获取内网的拓扑结构,并通过内网终端行为智能分析出虚拟IP地址需要变换的频率和虚拟IP地址的复杂程度。本发明突破了传统的内网静态分配方式,通过虚拟转换内网终端的访问IP地址,使得内网终端被隐藏在虚拟环境下,构建虚拟网络拓扑结构,外网终端无法精确的取得内网终端的真实信息,内网主机相互隔离状态(手动可配),从而有效的防御网络中的各种攻击行为,加固了内网的安全性,从而真正实现内网的安全防护。
2、在本发明的实施例中,实现了内网终端在网络中的自动隐藏,实现了内网终端访问独立,提高了内网终端以及内网抵御外部黑客攻击的能力,防止了单个内网终端的病毒渗透到这个内网的风险。
3、在本发明的实施例中,由于分发内网终端虚拟IP地址,自建虚拟内网终端拓扑,从而在外网访问内网时,实现外网攻击无源。
4、在本发明的实施例中,内网违规行为溯源,通过实时监控,由内网终端数据信息,如用户名、ID等,查询和定位具体违规内网终端,实现危险快速排除,保障内网的安全。
5、在本发明的实施例中,虚拟IP地址通过严格的加密技术进行加密保护,增加了外网获取内网终端虚拟IP地址的难度,从而进一步保证内网终端的安全性。
6、在本发明的实施例中,在没有进行手动查询内网终端配置的情况下,内网终端之间无法互相通信,实现内网终端访问隔离独立,防止病毒由单个内网终端扩散到整个内网终端中。
需要说明的是,在本文中,诸如第一和第二之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个······”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同因素。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储在计算机可读取的存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质中。
最后需要说明的是:以上所述仅为本发明的较佳实施例,仅用于说明本发明的技术方案,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所做的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
Claims (10)
1.一种内网安全防护***,其特征在于,该***包括:入网隔离前安全检查模块、虚拟IP地址分发模块、分布式实时监控模块和智能学习模块,其中,
入网隔离前安全检查模块,用于在内网终端接入网络前进行安全评估,判断是否允许该内网终端接入网络,若是,则发送分配虚拟IP地址和虚拟主机名的请求命令,并触发虚拟IP地址分发模块;否则,禁止该内网终端接入网络,并反馈到该内网终端发出警报;
虚拟IP地址分发模块,用于接收入网隔离前安全检查模块发送的请求命令,并给内网终端分配虚拟IP地址和虚拟主机名,以及根据智能学习模块确定的变更频率对相应的内网终端进行虚拟IP地址和虚拟主机名的变更;
分布式实时监控模块,用于获取内网终端的实时安全状态数据,搜集内网终端用户的操作行为;
智能学习模块,用于对内网终端的实时安全状态数据和用户的操作行为进行分析,评估该用户的操作环境和操作习惯,确定该用户对应的内网终端虚拟IP地址和虚拟主机名的变更频率。
2.根据权利要求1所述的内网安全防护***,其特征在于,该***进一步包括:加解密模块,用于对内网终端的虚拟IP地址和虚拟主机名进行加密或/和解密。
3.根据权利要求1所述的内网安全防护***,其特征在于,当不同的内网终端需要互访时,该***进一步包括:虚拟主机名解析模块、虚拟IP地址解析模块和终端信息列表库模块,其中,
虚拟主机名解析模块,用于查询内网终端的虚拟主机名;
虚拟IP地址解析模块,用于查询内网终端的虚拟IP地址;
终端信息列表库模块,用于存储内网终端的信息,其中,内网终端的信息包括但不限于MAC地址,用户名,访问IP地址,虚拟IP地址,虚拟主机名,机构ID。
4.根据权利要求1所述的内网安全防护***,其特征在于,该***进一步包括:DHCP服务模块,用于支持内网终端获取外网DHCP服务的解析、对话、路由代理、数据包封装请求、递归查询。
5.根据1至4任一权利要求所述的内网安全防护***,其特征在于,该***进一步包括:虚拟地址规则库模块,用于非规则性存储虚拟IP地址。
6.一种内网安全防护方法,其特征在于,该方法包括:
S1:通过入网隔离前安全检查模块在内网终端接入网络前进行安全评估,判断是否允许该内网终端接入网络,若是,则发送分配虚拟IP地址和虚拟主机名的请求命令,并触发S2;否则,禁止该内网终端接入网络,并反馈到该内网终端发出警报;
S2:通过虚拟IP地址分发模块接收入网隔离前安全检查模块发送的请求命令,并给内网终端分配虚拟IP地址和虚拟主机名;
S3:通过分布式实时监控模块获取内网终端的实时安全状态数据,搜集内网终端用户的操作行为;
S4:通过智能学习模块对内网终端的实时安全状态数据和用户的操作行为进行分析,评估该用户的操作环境和操作习惯,确定该用户对应的内网终端虚拟IP地址和虚拟主机名的变更频率。
S5:通过虚拟IP地址分发模块根据智能学习模块确定的变更频率对相应的内网终端进行虚拟IP地址和虚拟主机名的变更。
7.根据权利要求6所述的内网安全防护方法,其特征在于,该方法进一步包括:通过加解密模块对内网终端的虚拟IP地址和虚拟主机名进行加密或/和解密。
8.根据权利要求6所述的内网安全防护方法,其特征在于,当不同的内网终端需要互访时,该方法进一步包括:
通过虚拟域主机名解析模块和虚拟IP地址解析模块查询其中一个内网终端的虚拟IP地址、虚拟主机名;
通过终端信息列表库模块调用内网终端的可见信息,查询访问外网的访问IP地址,以使不同的内网终端之间进行通信。
9.根据权利要求6所述的内网安全防护方法,其特征在于,该方法进一步包括:通过DHCP服务模块支持内网终端获取外网DHCP服务的解析、对话、路由代理、数据包封装请求、递归查询。
10.根据6至9任一权利要求所述的内网安全防护方法,其特征在于,该方法进一步包括:通过虚拟地址规则库模块非规则性存储虚拟IP地址。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710388921.3A CN107070951A (zh) | 2017-05-25 | 2017-05-25 | 一种内网安全防护***和方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710388921.3A CN107070951A (zh) | 2017-05-25 | 2017-05-25 | 一种内网安全防护***和方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107070951A true CN107070951A (zh) | 2017-08-18 |
Family
ID=59610748
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710388921.3A Pending CN107070951A (zh) | 2017-05-25 | 2017-05-25 | 一种内网安全防护***和方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107070951A (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110287252A (zh) * | 2019-06-27 | 2019-09-27 | 南方电网科学研究院有限责任公司 | 一种数据安全防护*** |
| CN110677404A (zh) * | 2019-09-25 | 2020-01-10 | 四川新网银行股份有限公司 | 用于Linux主机的用户访问的控制方法 |
| CN111181926A (zh) * | 2019-12-13 | 2020-05-19 | 中国人民解放军战略支援部队信息工程大学 | 一种基于拟态防御思想的安全设备及其运行方法 |
| CN113568703A (zh) * | 2021-06-16 | 2021-10-29 | 盐城一方信息技术有限公司 | 一种基于虚拟化技术的计算机网络安全*** |
| CN113783724A (zh) * | 2021-08-27 | 2021-12-10 | 国网江苏省电力有限公司南通供电分公司 | 一种终端准入监控预警平台 |
| CN114338597A (zh) * | 2021-11-30 | 2022-04-12 | 奇安信科技集团股份有限公司 | 一种网络访问方法及装置 |
| CN115065557A (zh) * | 2022-08-05 | 2022-09-16 | 国网浙江省电力有限公司 | 适用于多***间的数据安全交互方法 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070266127A1 (en) * | 2006-05-10 | 2007-11-15 | Richter Andrew H | Internal virtual local area network (lan) |
| CN101110730A (zh) * | 2007-06-25 | 2008-01-23 | 中兴通讯股份有限公司 | 基于网际分组管理协议第三版的以太网组播实现方法 |
| CN101567888A (zh) * | 2008-12-29 | 2009-10-28 | 郭世泽 | 网络反馈主机安全防护方法 |
| CN101588360A (zh) * | 2009-07-03 | 2009-11-25 | 深圳市安络大成科技有限公司 | 内部网络安全管理的相关设备及方法 |
| CN102833107A (zh) * | 2012-08-29 | 2012-12-19 | 北京神州绿盟信息安全科技股份有限公司 | 安全准入方法及*** |
| CN102882850A (zh) * | 2012-09-03 | 2013-01-16 | 广东电网公司电力科学研究院 | 一种采用非网络方式隔离数据的密码装置及其方法 |
| CN105025016A (zh) * | 2015-06-30 | 2015-11-04 | 公安部第一研究所 | 一种内网终端准入控制方法 |
| CN105721457A (zh) * | 2016-01-30 | 2016-06-29 | 耿童童 | 基于动态变换的网络安全防御***和网络安全防御方法 |
-
2017
- 2017-05-25 CN CN201710388921.3A patent/CN107070951A/zh active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070266127A1 (en) * | 2006-05-10 | 2007-11-15 | Richter Andrew H | Internal virtual local area network (lan) |
| CN101110730A (zh) * | 2007-06-25 | 2008-01-23 | 中兴通讯股份有限公司 | 基于网际分组管理协议第三版的以太网组播实现方法 |
| CN101567888A (zh) * | 2008-12-29 | 2009-10-28 | 郭世泽 | 网络反馈主机安全防护方法 |
| CN101588360A (zh) * | 2009-07-03 | 2009-11-25 | 深圳市安络大成科技有限公司 | 内部网络安全管理的相关设备及方法 |
| CN102833107A (zh) * | 2012-08-29 | 2012-12-19 | 北京神州绿盟信息安全科技股份有限公司 | 安全准入方法及*** |
| CN102882850A (zh) * | 2012-09-03 | 2013-01-16 | 广东电网公司电力科学研究院 | 一种采用非网络方式隔离数据的密码装置及其方法 |
| CN105025016A (zh) * | 2015-06-30 | 2015-11-04 | 公安部第一研究所 | 一种内网终端准入控制方法 |
| CN105721457A (zh) * | 2016-01-30 | 2016-06-29 | 耿童童 | 基于动态变换的网络安全防御***和网络安全防御方法 |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110287252A (zh) * | 2019-06-27 | 2019-09-27 | 南方电网科学研究院有限责任公司 | 一种数据安全防护*** |
| CN110677404A (zh) * | 2019-09-25 | 2020-01-10 | 四川新网银行股份有限公司 | 用于Linux主机的用户访问的控制方法 |
| CN111181926A (zh) * | 2019-12-13 | 2020-05-19 | 中国人民解放军战略支援部队信息工程大学 | 一种基于拟态防御思想的安全设备及其运行方法 |
| CN111181926B (zh) * | 2019-12-13 | 2022-04-05 | 中国人民解放军战略支援部队信息工程大学 | 一种基于拟态防御思想的安全设备及其运行方法 |
| CN113568703A (zh) * | 2021-06-16 | 2021-10-29 | 盐城一方信息技术有限公司 | 一种基于虚拟化技术的计算机网络安全*** |
| CN113568703B (zh) * | 2021-06-16 | 2024-04-05 | 江苏言安信息技术有限公司 | 一种基于虚拟化技术的计算机网络安全*** |
| CN113783724A (zh) * | 2021-08-27 | 2021-12-10 | 国网江苏省电力有限公司南通供电分公司 | 一种终端准入监控预警平台 |
| CN114338597A (zh) * | 2021-11-30 | 2022-04-12 | 奇安信科技集团股份有限公司 | 一种网络访问方法及装置 |
| CN115065557A (zh) * | 2022-08-05 | 2022-09-16 | 国网浙江省电力有限公司 | 适用于多***间的数据安全交互方法 |
| CN115065557B (zh) * | 2022-08-05 | 2022-11-04 | 国网浙江省电力有限公司 | 适用于多***间的数据安全交互方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107070951A (zh) | 一种内网安全防护***和方法 | |
| CN112291232B (zh) | 一种基于租户的安全能力和安全服务链管理平台 | |
| CN111600856B (zh) | 数据中心运维的安全*** | |
| JP4373779B2 (ja) | ステイトフル分散型イベント処理及び適応保全 | |
| CN104144063B (zh) | 基于日志分析和防火墙安全矩阵的网站安全监控报警*** | |
| US7743420B2 (en) | Dynamic learning method and adaptive normal behavior profile (NBP) architecture for providing fast protection of enterprise applications | |
| CN101610264B (zh) | 一种防火墙***、安全服务平台及防火墙***的管理方法 | |
| CN104219200B (zh) | 一种防范dns缓存攻击的装置和方法 | |
| EP2866411A1 (en) | Method and system for detecting unauthorized access to and use of network resources with targeted analytics | |
| CN102082836A (zh) | 一种dns安全监控***及方法 | |
| Martins et al. | Towards a systematic threat modeling approach for cyber-physical systems | |
| CN110443048A (zh) | 数据中心查数*** | |
| US20100235879A1 (en) | Systems, methods, and media for enforcing a security policy in a network including a plurality of components | |
| CN105635046B (zh) | 一种数据库命令行过滤、阻断审计方法和装置 | |
| CN104166812A (zh) | 一种基于独立授权的数据库安全访问控制方法 | |
| CN104079528A (zh) | 一种Web应用的安全防护方法及*** | |
| CN107733706A (zh) | 一种无代理的违规外联监测方法和*** | |
| CN108259432A (zh) | 一种api调用的管理方法、设备及*** | |
| CN114598525A (zh) | 一种针对网络攻击的ip自动封禁的方法和装置 | |
| CN107786532A (zh) | 工业自动化***和云连接器中使用虚拟蜜罐的***和方法 | |
| CN103634786A (zh) | 一种无线网络的安全检测和修复的方法与*** | |
| CN107566363A (zh) | 一种基于机器学习的sql注入攻击防护方法 | |
| CN114257413B (zh) | 基于应用容器引擎的反制阻断方法、装置和计算机设备 | |
| CN107360198A (zh) | 可疑域名检测方法及*** | |
| CN106302498B (zh) | 一种基于登录参数的数据库准入防火墙*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB03 | Change of inventor or designer information |
Inventor after: Xiao Zhihua Inventor after: Yang Yong Inventor after: Zhang Zhirui Inventor before: Xiao Zhihua Inventor before: Yang Yong Inventor before: Zhang Zhirui |
|
| CB03 | Change of inventor or designer information | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170818 |
|
| RJ01 | Rejection of invention patent application after publication |