技术领域
[0001] 本
发明涉及本发明属于物流仓库网络技术领域,涉及一种物流仓库网络安全系统及构建方法。
背景技术
[0002] 随着物流行业的蓬勃发展,很多物流公司都开始建造并使用自己的仓库进行货物中转及仓储。而应用最多的则是仓储物流,仓储物流是一种物流的一种重要形式,主要是利用库房、场地进行货物的保管和配送。仓储是物流的一种十分重要的形式,是物流运作的一个关键点,对于推动企业的健康发展有着十分重要的作用。而现代仓储物流和传统作用的仓库有着很大的差别,现代仓储物流是在有形和无形场所,利用现代技术对物品进行的库存、分拣等物流活动,限度的降低成本,优化整条物流链,提升电商企业自身的运营效率。在使用信息化的同时也必然会考虑到仓库网络的可靠性及安全性,因此在企业运作的过程中,仓库网络安全成为行业必须考虑的问题。
[0003] 目前各家的自建仓库存在不同的特点,比如有规模较小的公司存在自用于租赁一体,也有人工库存、分拣的,还有使用智能仓储系统实现智能分拣、打包、保管、配送的。由于仓库本身环境限制,在网络安全布局上各家也大不相同,按照现有的仓储网络模式大致为以下两种。
[0004] 限制外部
访问,在本地划分区域限制仓库内的外网环境,通过切断外部访问来有效的防止外部。通过这种方式必然将会影响仓库人员办公效益以及信息的传输,并且如果使用智能仓库也将无法远程接收很多调度信息以及货物信息。这种方式虽然是最直接有效的方式,但是并不是现代仓库的首选方案。
[0005] 开放外部访问,将仓库全面
覆盖在公网环境,无疑这种带来的
风险将是不可预知的。虽然能够很简便的实现很多功能,但是安全性也降低了很多。
发明内容
[0006] 针对上述存在的问题,提供了一种物流仓库网络安全系统及构建方法,通过网络设备+内部服务的方式达到仓库网络安全性增强和可用性更高的目的。网络设备方面增加入侵防御设备以及行为管理器,同时使用VLAN隔离区域对不同的区域采取不同的安全策略。内部服务上建立出现相同的操作的特征库,在出现相同操作的时候监控操作记录并告知管理员确认,以达到威胁
感知及后期防御的目的。
[0007] 本发明采用的技术方案如下:一种物流仓库网络安全系统的构建方法,包括以下步骤:
[0008] 步骤1、构建冗余网络架构,在冗余网络架构中接入安全设备;
[0009] 步骤2、对网络架构中的地址进行规划,包括:对内网地址、设备地址、设备间互联地址;配置冗余网络架构的网络协议;
[0010] 步骤3、在冗余网络架构中搭建综合
服务器;在综合服务器中安装内部DNS服务,并在内部DNS服务器中部署收集服务收集访问信息;
[0011] 步骤4、在综合服务器中部署监控服务、报警服务和添加特殊操作特征库,通过特殊操作特征库对收集服务中的访问信息进行匹配,对匹配的访问信息进行监控和报警生成监控信息和报警信息。
[0012] 进一步的,所述步骤1中构建的网络架构包括:路由器、
防火墙、核心交换机、汇聚交换机、无线
控制器、AP、内网PC、综合服务器。
[0013] 进一步的,所述步骤1中安全设备还包括AC行为管理器,所述AC行为管理器采用透明模式接入核心交换机与防火墙之间。
[0014] 进一步的,所述步骤1中安全设备还包括IPS入侵防御设备,所述IPS入侵防御设备旁挂于核心交换机。
[0015] 进一步的,所述步骤2中内网地址规划的具体方法为:规划内网PC的IP地址,分别将内部网络分为不同的vlan,每个vlan对应不同的应用群。
[0016] 进一步的,所述步骤2中配置网络协议的具体步骤为:
[0017] 步骤2.1、路由器与外网之间配置静态路由协议;
[0018] 步骤2.2、路由器、防火墙、核心交换机之间配置OSPF动态协议;
[0019] 步骤2.3、核心交换机之间进行堆叠配置;
[0020] 步骤2.4、核心交换机与汇聚交换机之间配置静态路由协议、MSTP协议以及vlan协议;
[0021] 步骤2.5、核心交换机与无线控制器之间配置MSTP协议及vlan协议;
[0022] 步骤2.6、无线控制器与AP之间配置802.11n协议;
[0023] 步骤2.7、综合服务器采用LACP协议接入核心交换机;
[0024] 步骤2.8、内网PC通过VLAN协议接入规划好的VLAN中。
[0025] 进一步的,所述步骤3具体过程为:
[0026] 步骤3.1、在综合服务器中安装内部DNS服务;
[0027] 步骤3.2、在内部DNS服务器上部署收集服务,收集访问信息并进行分类及整合,供后续调用及筛选;所述访问信息包括头文件、访问IP及被访问服务端IP。
[0028] 进一步的,所述步骤4具体包括:
[0029] 步骤4.1、在综合服务器中部署监控服务、报警服务和添加特殊操作特征库;
[0030] 步骤4.2、通过特殊操作特征库对访问信息进行匹配,提取满足的特征库中的操作信息的访问信息;
[0031] 步骤4.3、收集服务根据提取的访问信息,在访问信息的被访问服务端提取对应访问IP的详细访问记录及监控信息,并上传至收集服务;
[0032] 步骤4.4、在匹配特征库的访问信息后,同时对满足特征库的信息进行相应的报警。
[0033] 进一步的,所述构建方法还包括:将监控记录的信息条目及报警对应的信息条目展示到显示屏,完成安全信息化的展示。
[0034] 本发明话提供了一种基于上述物流仓库网络安全系统构建方法的构建的物流仓库网络安全系统,其特征在于,包括:路由器、防火墙、核心交换机、汇聚交换机、综合服务器、AP、内网PC、AC行为管理器和IPS入侵防御设备;
[0035] 所述路由器与外网之间配置静态路由协议;所述路由器、防火墙、核心交换机之间配置OSPF动态协议;所述核心交换机之间进行堆叠配置;所述核心交换机与汇聚交换机之间配置静态路由协议、MSTP协议以及vlan协议;所述核心交换机与无线控制器之间配置MSTP协议及vlan协议;所述无线控制器与AP之间配置802.11n协议;综合服务器采用LACP协议接入核心交换机;内网PC通过VLAN接入汇聚交换机;
[0036] 所述AC行为管理器采用透明模式接入核心交换机与防火墙之间;所述IPS入侵防御设备旁挂在核心交换机上;
[0037] 所述综合服务器接入核心交换机,综合服务器上安装有内部DNS服务、监控服务、报警服务、特殊操作特征库;所述内部DNS服务器上还部署有收集服务对访问信息进行收集,特殊操作特征库对访问信息进行匹配,监控服务和报警服务对匹配后的访问信息进行相应的监控和报警操作。
[0038] 与
现有技术相比,采用上述技术方案的有益效果为:
[0039] 1、本发明在传统的网络架构上加入新的安全设备并使用更加冗余、可靠的网络结构,大大降低了内外部的网络风险;
[0040] 2、本发明使用内部搭建DNS的方式解决外部DNS带来的安全风险。并且利用DNS服务配合收集服务进行用户的访问信息收集,此方法将不会对用户访问信息遗漏;
[0041] 3、通过从收集服务的操作特征库筛选访问信息来提取对应用户IP的访问记录及监控信息上传至收集服务的方式,提高了监控信息可用性;
[0042] 4、后端服务监控信息上传到收集服务降低了后端服务的体积,能显著的提高内部服务的运行效率。
附图说明
[0043] 图1为本发明的网络物理拓扑图。
[0044] 图2为本发明物流仓库网络协议说明图。
[0045] 图3为本发明中访问信息与特殊操作特征库匹配图。
[0046] 图4为本发明内部用户及信息流量走向图。
具体实施方式
[0047] 下面结合附图对本发明做进一步描述。
[0048] 本发明提供了一种物流仓库网络安全系统的构建方法,通过网络设备+内部服务的方式达到仓库网络安全性增强和可用性更高,具体方法如下:
[0049] 步骤1、构建冗余网络架构,在冗余网络架构中接入安全设备;
[0050] 步骤2、对网络架构中的地址进行规划,包括:对内网地址、设备地址、设备间互联地址;配置冗余网络架构的网络协议;
[0051] 步骤3、在冗余网络架构中搭建综合服务器;在综合服务器中安装内部DNS服务,并在内部DNS服务器中部署收集服务收集访问信息;
[0052] 步骤4、在综合服务器中部署监控服务、报警服务和添加特殊操作特征库,通过特殊操作特征库对收集服务中的访问信息进行匹配,对匹配的访问信息进行监控和报警生成监控信息和报警信息。
[0053] 步骤5、将监控信息和报警信息在显示设备上进行展示。
[0054] 具体方法如下:
[0055] 如图1所示,步骤1中构建的冗余结构网络设备包括:路由器、防火墙、核心交换机、汇聚交换机、无线控制器、AP、内网PC、综合服务器。
[0056] 步骤1中接入网络架构的完全设备包括:AC行为控制器和IPS入侵防御设备。AC行为管理器使用透明模式接入核心交换机与防火墙之间,实现全量网络监控;核心交换机旁挂并配置IPS入侵防御设备,能有效的对外部攻击进行防护。
[0057] 其中步骤2还对内网地址、设备地址、设备互联地址进行规划:
[0058] 内网地址规划:规划内网PC的IP地址,规划4个内网网络地址段,分别为:vlan10无线网络172.16.39.0/24地址段、vlan20内部服务172.16.40.0/24、vlan30财务相关172.16.42.0/24、vlan40业务相关172.16.45.0/24;
[0059] 规划设备地址:规划设备管理地址IP为172.16.11.0/24地址段地址。依次从网关地址开始使用,核心交换机-172.16.11.254、防火墙01-172.16.11.253,依次往下进行规划;
[0060] 规划设备间互联地址:防火墙之间心跳地址规划1.1.1.0/30,使用1.1.1.1与1.1.1.2两个地址,依次往下互联地址分别使用第三位地址+1的方式规划互联地址段
1.1.2.0/30等。
[0061] 如图2所示,再对网络架构中网络设备之间的协议进行配置,
[0062] 路由器与外网之间配置静态路由协议,下一跳地址配置为外网网关。
[0063] 路由器、防火墙、核心交换机之间配置OSPF动态路由协议,OSPF动态协议使用互联地址作为开放地址段,vlan地址通过家换机引入直连路由的方式接入OSPF动态协议,其中,防火墙使用透明模式减少防火墙的路由交换功能使用,已达到专项专用的效果。
[0064] 核心交换机之间进行堆叠配置,使用多台相同系列同类型号的交换设备配置核心交换机堆叠,堆叠相较于其他冗余协议例如:VRRP等能够实现业务快速切换,实现100%无丢包,唯一
缺陷在于必须使用相同系列同类型号的设备进行堆叠操作,堆叠设备管理状态将统一。
[0065] 核心交换机与汇聚交换机之间的网络协议采用静态路由协议+MSTP协议+vlan协议,静态路由协议指向核心交换机实现汇聚交换机的管理,MSTP协议可对不同的VLAN进行优先级区分防止二层网络环路,按照规划的VLAN配置vlan协议,区分不同的业务段实现内外部更加精确的隔离。
[0066] 无线控制器与AP之间配置802.11n协议,更大程度的增加传输速率并且同时支持2.4G与5G;
[0067] 内网PC与汇聚交换机之间使用VLAN协议接入事先规划的VLAN中;
[0068] 综合服务器采用的是LACP(链路汇聚控制协议)协议接入核心交换机。
[0069] 步骤3搭建综合服务器接入核心交换机,在内部服务器网段安装内部DNS服务在综合服务器上,在交换机网关的DHCP上配置内部DNS服务器的IP地址;在内部DNS服务器上部署收集服务,收集服务通过关联DNS服务来收集用户访问信息,并对访问信息进行分类及整合,方便后期调用及筛选。
[0070] 所述访问信息包括头文件、访问IP以及被访问服务端IP,所述头文件主要是获取或者
修改权限的指令。
[0071] 步骤4在综合服务器上部署监控服务和报警服务;并添加特殊操作特征库,由特殊操作步骤及风险项为
基础完善特征库。其中,特征操作库中危险性操作记录包括:被访问IP、特殊标记的危险IP、特殊行为的指令(例如获取root权限等提取或者修改权限操作),以及危险程度值。
[0072] 综合服务器对用户访问信息中的访问IP及被访问IP进行筛选:首先利用特殊操作特征库对收集到的用户访问信息进行匹配,将满足特征库中的操作信息的信息提取出来,收集服务将提取的符合特征库的信息反馈至被访问的服务端,然后在被访问服务端提取对应访问IP的详细访问记录及监控信息,将详细访问记录及监控信息上传至收集服务;最后在特征库与访问信息匹配后,对满足特征库的访问信息进行相应的报警操作,并通知相应的维护人员。
[0073] 其中,满足特征库的标准为:访问信息中的头文件包含特征库中特殊行为的指令或者被访问IP为特殊标记的危险IP,满足其中一个条件即视为该访问信息满足特征库的危险操作信息,如图3所示为访问信息中包含危险操作和不包含危险操作的示意图。
[0074] 步骤5通过增加监控信息展示页面,对涉及网络安全信息操作进行WEB页面展示设计,列出信息报警图标及操作报警图表,添加实时报警信息刷新栏目;并将展示信息对接公司显示屏,完成安全信息化的展示,达到整体的网络安全布局。
[0075] 本发明根据上述的物流仓库网络安全系统的构建方法提供了一种物流仓库网络安全系统,包括:路由器、防火墙、核心交换机、汇聚交换机、综合服务器、AP、内网PC;
[0076] 所述路由器与外网之间配置静态路由协议;所述路由器、防火墙、核心交换机之间配置OSPF动态协议;所述核心交换机之间进行堆叠配置;所述核心交换机与汇聚交换机之间配置静态路由协议、MSTP协议以及vlan协议;所述核心交换机与无线控制器之间配置MSTP协议及vlan协议;所述无线控制器与AP之间配置802.11n协议;综合服务器采用LACP协议接入核心交换机;
[0077] 所述内网PC使用VLAN协议接入事先规划的VLAN,分别为无线网络网段、内部服务网段、财务相关网段、业务相关网段;所述AC行为管理器采用透明模式接入核心交换机与防火墙之间;所述IPS入侵防御设备旁挂在核心交换机上;内网PC通过VLAN接入汇聚交换机;
[0078] 所述综合服务器接入核心交换机,综合服务器上安装有内部DNS服务、监控服务、报警服务、特殊操作特征库;所述内部DNS服务器上还部署有收集服务对访问信息进行收集,特殊操作特征库对访问信息进行匹配,监控服务和报警服务对匹配后的访问信息进行相应的监控和报警操作。
[0079] 还包括显示设备接入综合服务器,用于将监控记录的信息条目及报警信息对应的信息条目展示。
[0080] 本发明并不局限于前述的具体实施方式。本发明扩展到任何在本
说明书中披露的新特征或任何新的组合,以及披露的任一新的方法或过程的步骤或任何新的组合。如果本领域技术人员,在不脱离本发明的精神所做的非实质性改变或改进,都应该属于本发明
权利要求保护的范围。
[0081] 本说明书中公开的所有特征,或公开的所有方法或过程中的步骤,除了互相排斥的特征和/或步骤以外,均可以以任何方式组合。
[0082] 本说明书中公开的任一特征,除非特别叙述,均可被其他等效或具有类似目的的替代特征加以替换。即,除非特别叙述,每个特征只是一系列等效或类似特征中的一个例子而已。
