本发明专利技术是有关于一种基于串接阻断、旁路分析相分离的智能管控方法和系统,其中的方法包括:串接在IDC与互联网之间的负载均衡设备将IDC以及互联网传输来的数据包传输给处于正常工作状态的数据流量阻断设备;数据流量阻断设备根据封堵条件将不符合封堵条件的数据包复制传输给深度包检测分析设备,并回传给负载均衡设备;数据流量阻断设备不再将符合封堵条件的数据包传输给深度包检测分析设备,并不再回传;深度包检测分析设备根据策略分发设备传输来的监测命令和其对数据包的协议分析结果产生基于五元组的封堵命令,并传输给数据流量阻断设备。本发明专利技术可满足监管机构的监管需求及IDC运营商自身的信息安全管理需求,从而实现了IDC的健康良性运行。
【技术实现步骤摘要】
本专利技术涉及互联网
,特别是涉及一种基于串接阻断、旁路分析相分离的智能管控方法和系统。
技术介绍
IDC (Internet Data Center,互联网数据中心)是互联网上各种应用和流量发起并汇聚的地方,也是各类网络信息安全事件的发源地。加强对IDC的管控是维护互联网事业健康有序发展,并杜绝各类不良信息以及有害信息在网络传播的重要保障,从而对IDC进行很好的管控,便可以从源头对网站和网络信息等安全事件进行安全掌控。专利技术人在实现本专利技术过程中发现现有的IDC管控方式存在诸多安全隐患,并不能满足目前社会对网站和网络信息等安全事件的各项要求,IDC的管控需要进一步加强。有鉴于上述现有的IDC管控方式存在的技术问题,专利技术人基于从事此类产品设计制造多年丰富的实务经验以及专业知识,配合学理的运用,积极加以研究创新,以期创设一种新的基于串接阻断、旁路分析相分离的智能管控方法和系统,能够克服现有的IDC管控方式存在的问题,使其更具实用性。经过不断的研究设计,并经过反复试作样品及改进后,终于创设出确具实用价值的本专利技术。
技术实现思路
本专利技术的目的在于,克服现有的IDC管控方式存在的问题,而提供一种新的基于串接阻断、旁路分析相分离的方法和系统,所要解决的技术问题是,加强对互联网数据中心的管控,以满足目前社会对网站和网 络信息等安全事件的各项要求。本专利技术的目的及解决其技术问题可采用以下的技术方案来实现。依据本专利技术提出的一种基于串接阻断、旁路分析相分离的智能管控系统,该系统包括控制端和与其连接的执行端;所述控制端包括策略分发设备,执行端包括负载均衡设备、数据流量阻断设备和深度包检测分析设备;策略分发设备,与数据流量阻断设备和深度包检测分析设备均连接,用于向数据流量阻断设备下发基于IP地址和/或端口的封堵命令,向深度包检测分析设备下发监测命令;所述负载均衡设备,串接在互联网数据中心IDC与互联网之间,与数据流量阻断设备连接,用于在检测出与其连接的数据流量阻断设备处于正常工作状态时,将IDC以及互联网传输来的数据包传输给数据流量阻断设备,在检测出与其连接的数据流量阻断设备处于非正常工作状态时,将IDC传输来的数据包传输给互联网,将互联网传输来的数据包传输给IDC ;还用于将所述数据流量阻断设备传输来的数据包转发至IDC或者互联网;数据流量阻断设备,与深度包检测分析设备连接,用于将负载均衡设备传输来的不符合其存储的封堵条件的数据包复制传输给深度包检测分析设备,并回传给负载均衡设备;根据其存储的封堵条件不再将负载均衡设备传输来的符合封堵条件的数据包传输给深度包检测分析设备,并不再回传给负载均衡设备;从策略分发设备下发的基于IP地址和/或端口的封堵命令以及深度包检测分析设备传输来的基于基于五元组的封堵命令中提取封堵条件并存储;深度包检测分析设备,与策略分发设备连接,用于对数据流量阻断设备传输来的数据包进行协议分析,并根据策略分发设备传输来的监测命令和所述协议分析的结果产生基于五元组的封堵命令,将所述基于五元组的封堵命令传输给数据流量阻断设备。前述的基于串接阻断、旁路分析相分离的智能管控系统,其中所述执行端包括多个深度包监测分析设备,且所述数据流量阻断设备与多个深度包检测分析设备均连接,所述数据流量阻断设备根据五元组将其接收到的多个数据包分流传输给多个深度包检测分析设备。前述的基于串接阻断、旁路分析相分离的智能管控系统,其中所述数据流量阻断设备的管理接口和深度包检测分析设备的管理接口均通过内网交换机与所述策略分发设备连接。前述的基于串接阻断、旁路分析相分离的智能管控系统,其中所述策略分发设备、 数据流量阻断设备和深度包检测分析设备通过内网交换机与日志文件存储设备连接。前述的基于串接阻断、旁路分析相分离的智能管控系统,其中所述负载均衡设备通过IGE接口或者IOGE接口串接在IDC与互联网之间。本专利技术提供的一种基于串接阻断、旁路分析相分离的智能管控方法包括串接在互联网数据中心IDC与互联网之间的负载均衡设备在检测出与其连接的数据流量阻断设备处于正常工作状态时,将IDC以及互联网传输来的数据包传输给数据流量阻断设备,在检测出与其连接的数据流量阻断设备处于非正常工作状态时,将IDC传输来的数据包传输给互联网,将互联网传输来的数据包传输给IDC ;数据流量阻断设备根据其存储的封堵条件将负载均衡设备传输来的不符合所述封堵条件的数据包复制传输给深度包检测分析设备,并回传给负载均衡设备,由负载均衡设备将数据包转发至IDC或者互联网;数据流量阻断设备根据其存储的封堵条件不再将负载均衡设备传输来的符合封堵条件的数据包传输给深度包检测分析设备,并不再回传给负载均衡设备;深度包检测分析设备对数据流量阻断设备传输来的数据包进行协议分析,并根据策略分发设备传输来的监测命令和所述协议分析的结果产生基于五元组的封堵命令,将所述基于五元组的封堵命令传输给数据流量阻断设备;其中,所述封堵条件为从策略分发设备下发的基于IP地址和/或端口的封堵命令以及深度包检测分析设备传输来的基于基于五元组的封堵命令中提取出的封堵条件。前述的基于串接阻断 、旁路分析相分离的智能管控方法,其中数据流量阻断设备与多个深度包检测分析设备连接,所述数据流量阻断设备根据五元组将其接收到的多个数据包分流传输给多个深度包检测分析设备。前述的基于串接阻断、旁路分析相分离的智能管控方法,其中所述数据流量阻断设备的管理接口和深度包检测分析设备的管理接口均通过内网交换机与所述策略分发设备连接。前述的基于串接阻断、旁路分析相分离的智能管控方法,其中所述方法还包括将所述策略分发设备、数据流量阻断设备和深度包检测分析设备产生的日志信息存储于日志文件存储设备。前述的基于串接阻断、旁路分析相分离的智能管控方法,其中所述负载均衡设备通过IGE接口或者IOGE接口串接在IDC与互联网之间。借由上述技术方案,本专利技术的基于串接阻断、旁路分析相分离的智能管控方法和系统至少具有下列优点及有益效果本专利技术通过设置串接在IDC与互联网之间的负载均衡设备、与该负载均衡设备连接的数据流量阻断设备、与该数据流量阻断设备连接的深度包检测分析设备、以及与数据流量阻断设备和深度包检测分析设备均连接的策略分发设备, 使串接、数据包检测、数据包阻断操作由不同设备来实现,从而建立了串接、阻断以及分析检测相分离的针对IDC的智能管控系统;本专利技术可以通过对协议的还原与分析、关键词的监测与分析等等,实现对互联网数据中心的信息、上网日志、信息安全以及违法网站等的监控与管理,从而可以实现类旁路的UDP协议阻断和大流量的协议分析,并对网络性能影响低,且实现成本低;另外,本专利技术还满足了相关的监管机构的监管需求及IDC运营商自身的信息安全管理需求,最终实现了 IDC的健康良性运行。综上所述,本专利技术在技术上有显著的进步,并具有明显的积极技术效果,成为一新颖、进步、实用的新设计。上述说明仅是本专利技术技术方案的概述,为了能够更清楚了解本专利技术的技术手段, 而可依照说明书的内容予以实施,并且为了让本专利技术的上述和其他目的、特征以及优点能够更明显易懂,以下特举较佳实施例,并配合附图,详细说明如下。附图说明图1为本专利技术的基于串接阻断、旁路分析相分离的智能管控系统示意图。具体本文档来自技高网...
【技术保护点】
一种基于串接阻断、旁路分析相分离的智能管控系统,其特征在于包括:控制端和与其连接的执行端;所述控制端包括:策略分发设备,所述执行端包括:负载均衡设备、数据流量阻断设备和深度包检测分析设备;所述策略分发设备,与数据流量阻断设备和深度包检测分析设备均连接,用于向数据流量阻断设备下发基于IP地址和/或端口的封堵命令,向深度包检测分析设备下发监测命令;所述负载均衡设备,串接在互联网数据中心IDC与互联网之间,与数据流量阻断设备连接,用于在检测出与其连接的数据流量阻断设备处于正常工作状态时,将IDC以及互联网传输来的数据包传输给数据流量阻断设备,在检测出与其连接的数据流量阻断设备处于非正常工作状态时,将IDC传输来的数据包传输给互联网,将互联网传输来的数据包传输给IDC;还用于将所述数据流量阻断设备传输来的数据包转发至IDC或者互联网;数据流量阻断设备,与深度包检测分析设备连接,用于将负载均衡设备传输来的不符合其存储的封堵条件的数据包复制传输给深度包检测分析设备,并回传给负载均衡设备;根据其存储的封堵条件不再将负载均衡设备传输来的符合封堵条件的数据包传输给深度包检测分析设备,并不再回传给负载均衡设备;从策略分发设备下发的基于IP地址和/或端口的封堵命令以及深度包检测分析设备传输来的基于基于五元组的封堵命令中提取封堵条件并存储;深度包检测分析设备,与策略分发设备连接,用于对数据流量阻断设备传输来的数据包进行协议分析,并根据策略分发设备传输来的监测命令和所述协议分析的结果产生基于五元组的封堵命令,将所述基于五元组的封堵命令传输给数据流量阻断设备。...
【技术特征摘要】
1.一种基于串接阻断、旁路分析相分离的智能管控系统,其特征在于包括控制端和与其连接的执行端;所述控制端包括策略分发设备,所述执行端包括负载均衡设备、数据流量阻断设备和深度包检测分析设备; 所述策略分发设备,与数据流量阻断设备和深度包检测分析设备均连接,用于向数据流量阻断设备下发基于IP地址和/或端ロ的封堵命令,向深度包检测分析设备下发监测命令; 所述负载均衡设备,串接在互联网数据中心IDC与互联网之间,与数据流量阻断设备连接,用于在检测出与其连接的数据流量阻断设备处于正常工作状态时,将IDC以及互联网传输来的数据包传输给数据流量阻断设备,在检测出与其连接的数据流量阻断设备处于非正常工作状态时,将IDC传输来的数据包传输给互联网,将互联网传输来的数据包传输给IDC ;还用于将所述数据流量阻断设备传输来的数据包转发至IDC或者互联网; 数据流量阻断设备,与深度包检测分析设备连接,用于将负载均衡设备传输来的不符合其存储的封堵条件的数据包复制传输给深度包检测分析设备,并回传给负载均衡设备;根据其存储的封堵条件不再将负载均衡设备传输来的符合封堵条件的数据包传输给深度包检测分析设备,并不再回传给负载均衡设备;从策略分发设备下发的基于IP地址和/或端ロ的封堵命令以及深度包检测分析设备传输来的基于基于五元组的封堵命令中提取封堵条件并存储; 深度包检测分析设备,与策略分发设备连接,用于对数据流量阻断设备传输来的数据包进行协议分析,并根据策略分发设备传输来的监测命令和所述协议分析的结果产生基于五元组的封堵命令,将所述基于五元组的封堵命令传输给数据流量阻断设备。2.根据权利要求1所述的智能管控系统,其特征在于,所述执行端包括多个深度包监测分析设备,且所述数据流量阻断设备与多个深度包检测分析设备均连接,所述数据流量阻断设备根据五元组将其接收到的多个数据包分流传输给多个深度包检测分析设备。3.根据权利要求1所述的智能管控系统,其特征在于,所述数据流量阻断设备的管理接口和深度包检测分析设备的管理接ロ均通过内网交換机与所述策略分发设备连接。4.根据权利要求1或2或3所述的智能管控系统,其特征在干,所述所述策略分发设备、数据流量阻断设备和深度...
【专利技术属性】
技术研发人员:杨满智,蔡琳,
申请(专利权)人:恒安嘉新北京科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。