[实用新型]一种有效应对APT攻击的纵深防御系统

权利要求书

1.一种有效应对APT攻击的纵深防御系统，其特征在于，包括互联网接入区、DMZ区、核心应用区、DB区、数据区、管理区；

互联网接入区包括2台互连的交换机、2台互连的链路负载均衡、两台互连的防病毒网关、两台互连的IPS、两个互连的防火墙、两台互连的核心交换机、一台VPN网关；在互联网接入区中，每个交换机分别与两个链路负载均衡相连，两个链路负载均衡、两个防病毒网关、两台IPS、两台核心交换机依次一对一地相连；VPN网关与其中一台核心交换机相连；

DMZ区包括两个互连的防火墙、两个互连的WAF、两个互连的交换机、一个DMZ服务器组；DMZ区的两个防火墙与互联网接入区的两个核心交换机一对一地相连；在DMZ区中，两个防火墙、两个WAF、两个交换机依次一对一地相连；两个交换机均连接到DMZ服务器组；

核心应用区包括两个互连的防火墙、两个互连的WAF、两个互连的交换机、一个核心区主OA、一个核心区备OA；核心应用区的两个防火墙与互联网接入区的两个核心交换机一对一地相连；在核心应用区中，两个防火墙、两个WAF、两个交换机依次一对一地相连；每个交换机分别与核心区主OA和核心区备OA相连；

DB区包括两个互连的第一交换机、两个互连的防火墙、两个互连的数据库防火墙、两个互连的第二交换机、一个DB_Server；DB区的两个第一交换机均分别与DMZ区的DMZ服务器组、核心应用区的核心区主OA、核心区备OA相连；在DB区中，两个第一交换机、两个防火墙、两个数据库防火墙、两个第二交换机依次一对一地相连；两个第二交换机分别与DB_Server相连；

数据区包括一个存储阵列、一个备份阵列、两个光纤交换机；存储阵列、备份阵列均分别与两个光纤交换机相连；两个光纤交换机均与DB区的DB_Server相连；

管理区包括依次连接的防火墙、堡垒主机、交换机、一组安全管理服务器；其中交换机分别与互联网接入区、核心应用区的核心区主OA、DMZ区的DMZ服务器组、DB区的DB_Server相连接。

2.根据权利要求1所述的纵深防御系统，其特征在于，所述纵深防御系统还包括备份区，备份区包括依次连接的交换机、防火墙、Backup_Server；备份区的交换机分别与DMZ区的DMZ服务器组、核心应用区的核心区主OA和核心区备OA、DB区的DB_Server相连；备份区的Backup_Server分别与管理区的交换机、数据区的两个光纤交换机相连。

3.根据权利要求1所述的纵深防御系统，其特征在于，DMZ区还包括两个互连的应用负载均衡，DMZ区中的两个WAF、两个应用负载均衡、两个交换机依次一对一地相连。

4.根据权利要求1所述的纵深防御系统，其特征在于，核心应用区还包括两个互连的应用负载均衡，核心应用区中的两个WAF、两个应用负载均衡、两个交换机依次一对一地相连。

5.根据权利要求1所述的纵深防御系统，其特征在于，DB区还包括一个数据库保险箱，数据库保险箱与其中一个第二交换机相连。

6.一种有效应对APT攻击的纵深防御系统，其特征在于，包括互联网接入区、DMZ区、核心应用区、DB区、管理区、数据区；

互联网接入区包括依次连接的交换机、链路负载均衡、防病毒网关、IPS、防火墙、核心交换机、VPN网关；

DMZ区包括依次连接的防火墙、WAF、交换机、DMZ服务器组；

核心应用区包括依次连接的防火墙、WAF、交换机、核心区主OA，还包括与交换机相连接的核心区备OA；

DMZ区的防火墙和核心应用区的防火墙均与互联网接入区的核心交换机相连接；

DB区包括依次连接的交换机、防火墙、数据库防火墙、交换机、DB_Server；DB区的交换机分别与DMZ区的DMZ服务器组、核心应用区的核心区主OA和核心区备OA相连接；

数据区包括互相连接的存储阵列和光纤交换机；光纤交换机与DB_Server相连接；

管理区包括依次连接的防火墙、堡垒主机、交换机和安全管理服务器；管理区的交换机分别与互联网接入区、核心应用区的核心区主OA、DMZ区的DMZ 服务器组、DB区的DB_Server相连接。

7.根据权利要求6所述的纵深防御系统，其特征在于，所述纵深防御系统还包括备份区；备份区包括依次连接的交换机、防火墙、Backup_Server；Backup_SerVer分别与DB_Server和管理区的交换机相连接。