技术领域
[0001] 本
发明属于
计算机网络拓扑结构技术领域,具体涉及一种有效应对APT攻击的纵深防御系统。
背景技术
[0002] 计算机网络的最主要的拓扑结构有总线型拓扑、环形拓扑、树形拓扑、星形拓扑、混合型拓扑以及网状拓扑。其中环形拓扑、星形拓扑、总线型拓扑是三个最基本的拓扑结构。在局域网中,使用最多的是星形结构。其他拓扑结构基本不再使用,所以不再讨论。
[0003] 星形拓扑结构存在以下缺点:(1)
电缆长度和安装工作量可观;(2)中央
节点的负担较重,形成
瓶颈;中心结点出现故障会导致网络的瘫痪;(3)各
站点的分布处理能
力较低;(4)网络共享能力较差,通信线路利用率不高。
[0004] 高级持续性威胁(Advanced Persistent Threat,APT),威胁着企业的数据安全。APT是黑客以窃取核心资料为目的,针对客户所发动的网络攻击和侵袭行为,是一种蓄谋已久的“恶意商业间谍威胁”。这种行为往往经过长期的经营与策划,并具备高度的隐蔽性。
APT的攻击手法,在于隐匿自己,针对特定对象,长期、有计划性和组织性地窃取数据,这种发生在数字空间的偷窃资料、搜集情报的行为,就是一种“网络间谍”的行为。
[0005] 高级持续性威胁(APT)正在通过一切方式,绕过基于代码的传统安全方案(如防病毒
软件、
防火墙、IPS等),并更长时间地潜伏在系统中,让传统防御体系难以侦测。
[0006] 两层、三层星型结构成为了现在网络结构的主流结构。分别是核心层、汇聚层、接入层。出口链路上串行连接安全防护设备,如IPS等。核心设备上旁路连接审计设备,如IDS、日志审计系统等。
[0007] 汇聚层:一般为一个逻辑单元,或一个安全域。由防火墙对安全域做有限防护。
[0008] 接入层:多个接入交换机接入汇聚层交换机,能够完成接入认证。
[0009] 这种网络结构会导致多种不同服务共同使用一条链路,例如HTTP、SSH、DB、BACKUP等服务共同使用一个网络
接口,导致了一条连路上多种协议并行的现象。例如:HTTP、SSH、DB均在同一条链路内通讯,均经由接入交换机、汇聚交换机、核心交换机转发到相应的安全域内。星型架构网络单一链路多重数据流向,ACL设计较为复杂,CPU计算压力过大。SSH等高危服务运行在服务网络中稍有人为疏失或者交换机负载过大取消部分ACL管控即丧失安全性。纵深网络结构:安全压力下行至各个层级网络接入交换机,以交换机为安全防护核心,使交换机CPU计算压力分摊。设备选型可以偏低。由于各个功能子网均为闭环设计,稍有人为疏失不会因为交换机负载过大取消部分ACL管控不会丧失安全性。
发明内容
[0010] 针对上述
现有技术中存在的问题,本发明的目的在于提供一种可避免出现上述技术
缺陷的有效应对APT攻击的纵深防御系统,使安全压力下行至各个层级网络接入交换机,以交换机为安全防护核心,使交换机CPU计算压力分摊,提高互联网的安全性,有效地应对APT攻击。
[0011] 为了实现上述发明目的,本发明提供的技术方案如下:
[0012] 一种有效应对APT攻击的纵深防御系统,包括互联网接入区、DMZ区、核心应用区、DB区、数据区、管理区;
[0013] 互联网接入区包括2台互连的交换机、2台互连的链路负载均衡、两台互连的防病毒网关、两台互连的IPS、两个互连的防火墙、两台互连的核心交换机、一台VPN网关;在互联网接入区中,每个交换机分别与两个链路负载均衡相连,两个链路负载均衡、两个防病毒网关、两个防病毒网关、两台IPS、两台核心交换机依次一对一地相连;VPN网关与其中一台核心交换机相连;
[0014] DMZ区包括两个互连的防火墙、两个互连的WAF、两个互连的交换机、一个DMZ
服务器组;DMZ区的两个防火墙与互联网接入区的两个核心交换机一对一地相连;在DMZ区中,两个防火墙、两个WAF、两个交换机依次一对一地相连;两个交换机均连接到DMZ服务器组;
[0015] 核心应用区包括两个互连的防火墙、两个互连的WAF、两个互连的交换机、一个核心区主OA、一个核心区备OA;核心应用区的两个防火墙与互联网接入区的两个核心交换机一对一地相连;在核心应用区中,两个防火墙、两个WAF、两个交换机依次一对一地相连;每个交换机分别与核心区主OA和核心区备OA相连;
[0016] DB区包括两个互连的第一交换机、两个互连的防火墙、两个互连的
数据库防火墙、两个互连的第二交换机、一个DB_Server;DB区的两个第一交换机均分别与DMZ区的DMZ服务器组、核心应用区的核心区主OA、核心区备OA相连;在DB区中,两个第一交换机、两个防火墙、两个数据库防火墙、两个第二交换机依次一对一地相连;两个第二交换机分别与DB_Server相连;
[0017] 数据区包括一个存储阵列、一个备份阵列、两个光纤交换机;存储阵列、备份阵列均分别与两个光纤交换机相连;两个光纤交换机均与DB区的DB_Server相连;
[0018] 管理区包括依次连接的防火墙、堡垒主机、交换机、一组安全管理服务器;其中交换机分别与互联网接入区、核心应用区的核心区主OA、DMZ区的DMZ服务器组、DB区的DB_Server相连接。
[0019] 进一步地,所述纵深防御系统还包括备份区,备份区包括依次连接的交换机、防火墙、Backup_Server;备份区的交换机分别与DMZ区的DMZ服务器组、核心应用区的核心区主OA和核心区备OA、DB区的DB_Server相连;备份区的Backup_Server分别与管理区的交换机、数据区的两个光纤交换机相连。
[0020] 进一步地,DMZ区还包括两个互连的应用负载均衡,DMZ区中的两个WAF、两个应用负载均衡、两个交换机依次一对一地相连。
[0021] 进一步地,核心应用区还包括两个互连的应用负载均衡,核心应用区中的两个WAF、两个应用负载均衡、两个交换机依次一对一地相连。
[0022] 进一步地,DB区还包括一个数据库
保险箱,数据库保险箱与其中一个第二交换机相连。
[0023] 一种有效应对APT攻击的纵深防御系统,包括互联网接入区、DMZ区、核心应用区、DB区、管理区、数据区;
[0024] 互联网接入区包括依次连接的交换机、链路负载均衡、防病毒网关、IPS、防火墙、核心交换机、VPN网关;
[0025] DMZ区包括依次连接的防火墙、WAF、交换机、DMZ服务器组;
[0026] 核心应用区包括依次连接的防火墙、WAF、交换机、核心区主OA,还包括与交换机相连接的核心区备OA;
[0027] DMZ区的防火墙和核心应用区的防火墙均与互联网接入区的核心交换机相连接;
[0028] DB区包括依次连接的交换机、防火墙、数据库防火墙、交换机、DB_Server;DB区的交换机分别与DMZ区的DMZ服务器组、核心应用区的核心区主OA和核心区备OA相连接;
[0029] 数据区包括互相连接的存储阵列和光纤交换机;光纤交换机与DB_Server相连接;
[0030] 管理区包括依次连接的防火墙、堡垒主机、交换机和安全管理服务器;管理区的交换机分别与互联网接入区、核心应用区的核心区主OA、DMZ区的DMZ服务器组、DB区的DB_Server相连接。
[0031] 进一步地,所述纵深防御系统还包括备份区;备份区包括依次连接的交换机、防火墙、Backup_Server;Backup_Server分别与DB_Server和管理区的交换机相连接。
[0032] 本发明提供的有效应对APT攻击的纵深防御系统,采用了纵深网络结构,减少了区域防火墙数量,降低了设备成本,负载分摊至各个层级网络,实现了解放核心交换机压力的作用,提高了交换机的使用寿命;实现了数据流向将负载分摊至各个功能区域,流量不经过核心(无核心交换机概念)交换机,提高了设备的
稳定性;实现了功能模
块的划分,提高了各个功能模块的可控性;实现了各个功能子网均为闭环设计,不会因为交换机负载过大而取消部分ACL管控,提高了系统的安全性;修复了现行主流网络拓扑(星型)结构的缺陷,提高了内网中服务器及网络设备的安全性;避免了来自于内网的威胁,减少了攻击者的攻击路径,使之无法绕过串行链路中的防护设备的保护;入口仅限于互联网入口,提高了整体网络的安全性;另外,本发明采用了分段网络设计,各个功能子网之间有限信任,仅允许
指定源一目的IP:端口形式通讯,提高了系统的安全性;本发明采用了最低信任单元机制,同一子网下的网络设备均不可见,提高了系统的安全性;本发明采用了应用层联合保护机制,DMZ服务器组/OA分区前端采用WAF防护机制,后置的DB分区部署数据库防火墙防护涉数据库脚本漏洞,相互补充、相互保护的机制,提高了系统的安全性;本发明采用了平级网络设备之间采用交换机隔离技术确保相互不可见,达到相互之间无法攻击的效果,纵向设备之间采用防火墙隔离技术,采用有限通讯的方式保护设备之间无法攻击,最大限度地提高了系统的安全性,可以很好地满足实际应用的需要。
附图说明
[0034] 图2为实施例2的结构框图。
具体实施方式
[0035] 为了使本发明的目的、技术方案及优点更加清楚明白,下面结合附图和具体实施例对本发明做进一步说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0036] 实施例1
[0037] 如图1所示,一种有效应对APT攻击的纵深防御系统,包括互联网接入区、DMZ区、核心应用区、DB区、数据区、备份区、管理区;
[0038] 互联网接入区包括2台互相连接的交换机、2台互相连接的链路负载均衡、两台互相连接的防病毒网关、两台互相连接的IPS、两个互相连接的防火墙、两台互相连接的核心交换机、一台VPN网关;互联网接入区的链路为主备链路;
[0039] 在互联网接入区中,每个交换机分别与两个链路负载均衡相连,两个链路负载均衡与两个防病毒网关一对一地相连,每个链路负载均衡对应连接一个防病毒网关;两个防病毒网关与两台IPS一对一地相连,每个防病毒网关对应连接一个IPS;两台IPS与两台核心交换机一对一地相连,每个IPS对应连接一个核心交换机;VPN网关与其中一台核心交换机相连;每个交换机均接入Internet。
[0040] DMZ区包括两个互相连接的防火墙、两个互相连接的WAF、两个互相连接的应用负载均衡、两个互相连接的交换机、一个DMZ服务器组。DMZ区的链路可以为主备链路或单链路结构。
[0041] 在DMZ区中,两个防火墙与两个WAF一对一地相连,每个防火墙对应连接一个WAF;DMZ区的两个防火墙与互联网接入区的两个核心交换机一对一地相连,每个防火墙对应连接一个核心交换机;两个WAF与两个应用负载均衡一对一地相连,每个WAF对应连接一个应用负载均衡;两个应用负载均衡与两个交换机一对一地相连,每个应用负载均衡对应连接一个交换机;两个交换机均连接到DMZ服务器组。另外,在DMZ区中,两个应用负载均衡为可选项,可以按需求加减,可以将其去掉,使两个WAF与两个交换机一对一地相连,每个WAF对应连接一个交换机。
[0042] 核心应用区包括两个互相连接的防火墙、两个互相连接的WAF、两个互相连接的应用负载均衡、两个互相连接的交换机、一个核心区主OA、一个核心区备OA。核心应用区的链路为主备链路或单链路结构。
[0043] 在核心应用区中,两个防火墙与两个WAF一对一地相连,每个防火墙对应连接一个WAF;核心应用区的两个防火墙与互联网接入区的两个核心交换机一对一地相连,核心应用区的每个防火墙对应连接互联网接入区的一个核心交换机;两个WAF与两个应用负载均衡一对一地相连,每个WAF对应连接一个应用负载均衡;两个应用负载均衡与两个交换机一对一地相连,每个应用负载均衡对应连接一个交换机;每个交换机分别与核心区主OA和核心区备OA相连。另外,在核心应用区中,两个应用负载均衡为可选项,可以按需求加减,可以将其去掉,使两个WAF与两个交换机一对一地相连,每个WAF对应连接一个交换机。
[0044] DB区包括两个互相连接的第一交换机、两个互相连接的防火墙、两个互相连接的数据库防火墙、两个互相连接的第二交换机、一个数据库保险箱、一个DB_Server。DB区的链路为主备链路。DB_Server即数据库服务器。
[0045] DB区的两个第一交换机均分别与DMZ区的DMZ服务器组、核心应用区的核心区主OA、核心区备OA相连;在DB区中,两个第一交换机与两个防火墙一对一地相连,每个第一交换机对应连接一个防火墙;两个防火墙与两个数据库防火墙一对一地相连,每个防火墙对应连接一个数据库防火墙;两个数据库防火墙与两个第二交换机一对一地相连,每个数据库防火墙对应连接一个第二交换机;两个第二交换机分别与DB_Server相连;数据库保险箱与其中一个第二交换机相连。其中DB区的数据库保险箱可以根据需要去掉。
[0046] 备份区包括依次连接的交换机、防火墙、Backup_Server。
[0047] 备份区的交换机分别与DMZ区的DMZ服务器组、核心应用区的核心区主OA和核心区备OA、DB区的DB_Server相连。备份区是非必需的,可以去掉。
[0048] 数据区包括一个存储阵列、一个备份阵列、两个光纤交换机。存储阵列、备份阵列均分别与两个光纤交换机相连。两个光纤交换机均与备份区的Backup_Server、DB区的DB_Server相连。
[0049] 管理区包括依次连接的防火墙、堡垒主机、交换机、一组安全管理服务器;其中交换机分别与互联网接入区、核心应用区的核心区主OA、备份区的Backup_Server、DMZ区的DMZ服务器组、DB区的DB_Server相连接。交换机的每个端口按照实际需求配置ACL
访问控制列表,达到各端口之间不通讯的实际效果。
[0050] 实施例2
[0051] 如图2所示,一种有效应对APT攻击的纵深防御系统,包括互联网接入区、DMZ区、核心应用区、DB区、管理区、备份区、数据区。
[0052] 互联网接入区包括依次连接的交换机、链路负载均衡、防病毒网关、IPS、防火墙、核心交换机、VPN网关。
[0053] DMZ区包括依次连接的防火墙、WAF、交换机、DMZ服务器组。
[0054] 核心应用区包括依次连接的防火墙、WAF、交换机、核心区主OA,还包括与交换机相连接的核心区备OA。
[0055] DMZ区的防火墙和核心应用区的防火墙均与互联网接入区的核心交换机相连接。
[0056] DB区包括依次连接的交换机、防火墙、数据库防火墙、交换机、DB_Server。DB区的交换机分别与DMZ区的DMZ服务器组、核心应用区的核心区主OA和核心区备OA相连接。
[0057] 数据区包括互相连接的存储阵列和光纤交换机。光纤交换机与DB区的DB_Server相连接。
[0058] 备份区包括依次连接的交换机、防火墙、Backup_Server。备份区是非必需的,可以去掉。Backup_Server与DB_Server相连接。
[0059] 管理区包括依次连接的防火墙、堡垒主机、交换机和安全管理服务器。管理区的交换机分别与互联网接入区、核心应用区的核心区主OA、备份区的Backup_Server、DMZ区的DMZ服务器组、DB区的DB_Server相连接。
[0060] 本纵深防御系统的数据流向为纵向通讯,限制或禁止横向通讯;各交换机内使用ACL访问控制列表限制网内通讯;各分区采用封闭设计;数据流向为依次经过互联网接入区、DMZ区、核心应用区接入DB区,经过数据库防火墙的保护到达数据库服务器,连接发起不能由DB区发起。DMZ区、DB区、核心应用区、管理区的交换机内均设置有ACL访问控制列表。每个安全域(服务器组)的内部通讯通过交换机内设置ACL访问控制列表功能完成(安全域包括DMZ区、DB区、核心应用区、管理区),禁止安全域(服务器组)内设备相互通讯,仅仅接受上一级网络发起的访问,以保证服务器不会被内网攻击。
[0061] 本发明提供的有效应对APT攻击的纵深防御系统,采用了纵深网络结构,减少了区域防火墙数量,降低了设备成本,负载分摊至各个层级网络,实现了解放核心交换机压力的作用,提高了交换机的使用寿命;实现了数据流向将负载分摊至各个功能区域,流量不经过核心(无核心交换机概念)交换机,提高了设备的稳定性;实现了功能模块的划分,提高了各个功能模块的可控性;实现了各个功能子网均为闭环设计,不会因为交换机负载过大而取消部分ACL管控,提高了系统的安全性;修复了现行主流网络拓扑(星型)结构的缺陷,提高了内网中服务器及网络设备的安全性;避免了来自于内网的威胁,减少了攻击者的攻击路径,使之无法绕过串行链路中的防护设备的保护;入口仅限于互联网入口;提高了整体网络的安全性;另外,本发明采用了分段网络设计,各个功能子网之间有限信任,仅允许指定源-目的IP:端口形式通讯,提高了系统的安全性;本发明采用了最低信任单元机制,同一子网下的网络设备均不可见,提高了系统的安全性;本发明采用了应用层联合保护机制,DMZ服务器组/OA分区前端采用WAF防护机制,后置的DB分区部署数据库防火墙防护涉数据库脚本漏洞,相互补充、相互保护的机制,提高了系统的安全性;本发明采用了平级网络设备之间采用交换机隔离技术确保相互不可见,达到相互之间无法攻击的效果,纵向设备之间采用防火墙隔离技术,采用有限通讯的方式保护设备之间无法攻击,最大限度地提高了系统的安全性,可以很好地满足实际应用的需要。
[0062] 以上所述实施例仅表达了本发明的实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明
专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干
变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附
权利要求为准。
