[发明专利]网络区域边界安全防护系统、方法和设备

权利要求书

1.一种网络区域边界安全防护系统，其特征在于，包括服务器管理模块、交换机智能识别模块、交换机监控管理模块、端口指纹分析模块、设备指纹分析模块、数据指纹分析模块和端口访问控制模块，其中：

所述服务器管理模块用于监控所述系统的运行情况、制定安全管理策略，对关联数据进行自动采集、分类存储和智能计算；

所述交换机智能识别模块用于通过网络协议识别当前网络范围内的全部交换机的设备信息；

所述交换机监控管理模块用于获取交换机的接入设备信息、交换机数据转发信息和交换机协议状态信息，并在所述交换机协议状态信息异常时生成告警信息；

所述端口指纹分析模块用于对当前网络范围内的全部交换机的物理端口进行唯一指纹身份识别和标定，并生成交换机物理端口和交换机设备的身份逻辑对应关系；

所述设备指纹分析模块用于采集在网接入设备的相关信息，通过设定指纹识别算法对所述接入设备进行标定；

所述数据指纹分析模块用于应用会话对网内所有数据流进行指纹标定，以分析各个数据的来源、去向、类型、内容，并应用流量管理策略对所述数据进行放行和阻断；

所述端口访问控制模块用于通过二层网络协议对区域边界内所有接入端口的运行状态和数据吞吐情况进行监控，并应用端口管理策略对各个所述端口进行关闭或开启。

2.根据权利要求1所述的系统，其特征在于，所述安全管理策略包括交换机管理策略、设备管理策略、端口管理策略和流量管理策略，相应的，所述服务器管理模块用于将所述交换机管理策略下发至所述交换机监控管理模块，将所述设备管理策略下发至所述设备指纹分析模块，将所述端口管理策略下发至所述端口管理模块和所述端口访问控制模块，将所述流量管理策略下发至所述数据指纹分析模块。

3.根据权利要求1所述的系统，其特征在于，所述交换机协议状态信息包括协议运行状态、端口总数、端口开关状态、设备接入状态，所述告警信息包括异常的交换机的IP和物理端口信息。

4.根据权利要求1所述的系统，其特征在于，所述设备信息包括交换机类型、交换机品牌以及交换机集成软件版本。

5.根据权利要求1所述的系统，其特征在于，所述端口指纹分析模块用于将所述对应关系加密后进行分类存储。

6.根据权利要求1所述的系统，其特征在于，所述接入设备包括通过网络协议进行业务通讯的设备。

7.根据权利要求1所述的系统，其特征在于，所述数据指纹分析模块还用于：

通过端口镜像技术获取核心或汇聚交换机数据流量，并对数据进行八元组分析，其中，分析内容包括数据源MAC、源IP、源端口号，目的MAC、目的IP、目的端口号、协议类型和数据内容，并对所有网络数据进行唯一指纹标记，以对所有应用会话的跟踪记录和回溯查询。

8.根据权利要求1所述的系统，其特征在于，所述端口访问控制模块还用于：

通过服务器下发的端口管理策略实现对安全事件的处理，并对完成安全事件后的交换机端口进行关闭或开启操作，并生成操作日志记录。

9.一种网络区域边界安全防护方法，应用于权利要求1-8任一项所述的系统，其特征在于，包括：

针对服务器管理模块，通过页面加密登录方式进行配置，并制定不同权限管理账户，设定不同账户的管理范围，制定区域边界管控规则；其中，业务数据支持文件导出；

针对交换机智能识别模块，输入相应IP段和交换机管理团体字符自动扫描发现全网已使用交换机，并将所述已使用交换机纳入网络区域边界安全管理系统进行管理，并对获取数据进行加密分类存储；

针对交换机监控管理模块，采集网内设备数据和交换机数据信息；

由设备指纹分析模块和数据指纹分析模块对采集到的设备数据和流量数据进行分析处理，并分类加密存储，根据管理规则要求，判断区域边界端口上设备接入合规性和流量应用合规性，当发生安全违规事件时及时告警、阻断网络区域边界接入端口，以保护网络区域边界端口数据安全和设备接入安全。

10.一种网络区域边界安全防护设备，其特征在于，包括权利要求1-8任一项所述的网络区域边界安全防护系统，以及，HTTPS服务器、MySQL数据库，其中：

所述HTTPS服务器提供WEB访问方式，制定管理策略和基础配置，各功能模块对网络区域边界安全防护的智能监控和管理；

所述网络区域边界安全防护设备部署在核心或汇聚交换机旁路位置，以提供核心或汇聚交换机的端口镜像数据到所述设备的服务；

所述网络区域边界安全防护设备配置一个管理IP，其中，所述管理IP与网内管理设备IP可达，所述管理IP具有数据访问权限。