[实用新型]一种基于防火墙与IPS的网络装置

说明书

技术领域

本实用新型涉及一种网络系统，尤其是涉及一种基于防火墙与IPS的网络装置。

背景技术

随着网络应用的普及和发展，网络安全问题成为整个IT产业广泛关注的问题。人们对网络的可靠性、操作系统能否正常运行、以及各种应用软件和系统设备是否会被病毒侵扰或黑客攻击的关注程度，超过了以往任何一个时代。可以说，网络安全问题已经延伸到整个网络体系结构的任何一个层面。近两年，防火墙、杀毒防毒软件、入侵检测和VPN产品的热销也说明了这一点。

网络防火墙能够提供常规路由器所不具备的，诸如IPSec协议支持、基于规则集的防火墙、基于OSPE V2路由协议的安全认证、信息加密与分布式密钥管理等功能；能够实现身份鉴别、数据签名和数据完整性验证；能够对IP数据包进行智能加密，可提供安全VPN通道、抗源地址欺骗、抗源路由攻击、抗极小数据和抗重叠分片的分组过滤功能及实现基于硬件的信息加密；能够阻止非授权人员的入侵等。

入侵防御系统(IPS)是指具有检测并阻止已知或未知攻击的内嵌硬件设备或软件系统，它分为网络入侵防御系统(Network Intrusion Prevention System，NIPS)和主机入侵防御系统(Host Intrusion Prevention System，HIPS)。NIPS一般部署于网络的进出口处，即在数据转发的路径上，可以根据预先设定的安全策略，对经过的每个数据包进行深度检测，如协议分析跟踪，流量统计分析、特征匹配、事件关联分析等，一旦发现隐藏于其中的攻击行为，则可以根据该攻击的危险级别立即采取相应的防御措施，如丢弃报文、切断应用会话、切断TCP连接、向管理中心报警等。

发明内容

本实用新型的目的就是为了克服上述现有技术存在的缺陷而提供一种安全性高、可靠性强的基于防火墙与IPS的网络装置。

本实用新型的目的可以通过以下技术方案来实现：

一种基于防火墙与IPS的网络装置，包括网络交换机、服务器群、客户端群、Internet，所述的网络交换机分别与服务器群、客户端群连接，其特征在于，还包括通信线路、网络防火墙、IPS、ISA服务器，所述的Internet通过通信线路与网络防火墙连接，所述的网络防火墙、IPS、ISA服务器依次连接，所述的ISA服务器与网络交换机连接。

所述的网络防火墙采用Juniper网络公司的ISG 1000，并设有2台，进行双机热备冗余。

所述的IPS采用McAfee公司的基于McAfee IntruShield技术的IPS，并设有两台。

所述的ISA服务器为安装有微软ISA2006的服务器，并设有2台。

所述的通信线路包括电信专线、网通专线。

与现有技术相比，本实用新型具有安全性高、可靠性强：

1、采用2台网络防火墙，进行双机热备冗余，保证设备的高可用性。

2、使用电信和网通的双线路连接模式，采用双线路接入方式实现南北互联互通以及线路的高可用性。

3、采用两台基于McAfee IntruShield技术的Mcafee IPS，具有高自动化和易管理性，设计灵活，能够分阶段执行，克服了老旧入侵检测系统中固有的误报率，也使用户能够配置合适的策略，以阻止独特IT基础架构中的攻击。

附图说明

图1为本实用新型的结构示意图。

具体实施方式

下面结合附图和具体实施例对本实用新型进行详细说明。

实施例

如图1所示，一种基于防火墙与IPS的网络装置，包括网络交换机5、服务器群6、客户端群7、Internet 1，所述的网络交换机5分别与服务器群6、客户端群7连接，还包括通信线路、网络防火墙2、IPS 3、ISA服务器4，所述的Internet 1通过通信线路与网络防火墙2连接，所述的网络防火墙2、IPS 3、ISA服务器4依次连接，所述的ISA服务器4与网络交换机5连接。所述的通信线路包括电信专线8、网通专线9。

采用Juniper网络公司的ISG1000以及McAfee公司的IPS系统组件安全可靠的企业网络。

通过Juniper ISG 1000作为业务线路接入的网络防火墙2。为了更好的保证设备服务质量，我们建议使用两台ISG 1000作双机热备(HA)，保证设备的高可用性。

使用电信和网通的双线路连接模式，建议安装光纤独享线路，采用双线路接入方式实现南北互联互通以及线路的高可用性。