專利名稱:一種互聯(lián)網(wǎng)網(wǎng)站安全架構(gòu)系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種互聯(lián)網(wǎng)技術(shù),尤其涉及一種互聯(lián)網(wǎng)網(wǎng)站安全架構(gòu)系統(tǒng)�。
背景技術(shù):
隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展,越來越多的企業(yè)建立網(wǎng)站系統(tǒng)��,實現(xiàn)企業(yè)內(nèi) 部網(wǎng)絡(luò)和互聯(lián)網(wǎng)的連接��, 一方面通過網(wǎng)站系統(tǒng)提供互聯(lián)網(wǎng)服務(wù)���, 一方面實 現(xiàn)從企業(yè)內(nèi)部網(wǎng)絡(luò)對網(wǎng)站系統(tǒng)的維護(hù)和數(shù)據(jù)更新�。
在這種情況下��,對網(wǎng)絡(luò)安全,特別是內(nèi)部網(wǎng)絡(luò)的安全就變得非常重要了��。
目前一般的網(wǎng)站系統(tǒng)平臺結(jié)構(gòu)設(shè)備方案有如下幾種-
單防火墻構(gòu)建DMZ區(qū)(如圖l)�,即使用一個防火墻節(jié)點設(shè)備,構(gòu)建 DMZ區(qū)���,提供互聯(lián)網(wǎng)服務(wù)���;
雙防火墻,且外防火墻構(gòu)建DMZ區(qū)(如圖2)���,使用兩個防火墻節(jié)點 設(shè)備背靠背配置�,外防火墻構(gòu)建DMZ區(qū)�,提供互聯(lián)網(wǎng)服務(wù)。采用雙防火墻 的一般網(wǎng)站系統(tǒng)實際結(jié)構(gòu)見圖3�,即通常采用內(nèi)外防火墻背靠背方式建 立,在外部防火墻設(shè)立DMZ區(qū)(停戰(zhàn)區(qū)���,提供對外的互聯(lián)網(wǎng)服務(wù))�����。
但是這些架構(gòu)設(shè)計都沒有真正解決內(nèi)部網(wǎng)絡(luò)和互聯(lián)網(wǎng)的安全隔離問 題��。雖然能夠通過防火墻節(jié)點阻斷內(nèi)部網(wǎng)絡(luò)和互聯(lián)網(wǎng)的連接�,但是由于內(nèi) 部網(wǎng)絡(luò)和互聯(lián)網(wǎng)仍然存在直接的物理連接,其邏輯阻斷必然存在不確定 性�,因此,內(nèi)部網(wǎng)絡(luò)的安全防護(hù)仍然存在一定的隱患�。
發(fā)明內(nèi)容
本發(fā)明要解決的技術(shù)問題是提供一種互聯(lián)網(wǎng)網(wǎng)站安全架構(gòu)系統(tǒng)�����,解決 在網(wǎng)站系統(tǒng)平臺設(shè)計中建立高安全架構(gòu)實現(xiàn)內(nèi)部網(wǎng)絡(luò)的安全保護(hù)問題��。
為解決上述技術(shù)問題��,本發(fā)明的網(wǎng)站安全架構(gòu)系統(tǒng)����,包括外防火墻、
內(nèi)防火墻和至少一個放置于DMZ區(qū)的服務(wù)器��,且外防火墻��、內(nèi)防火墻和放 置于DMZ區(qū)的服務(wù)器通過串接形式進(jìn)行連接;其中外防火墻用于劃分外部 和DMZ區(qū)兩個區(qū)域�����,實施互聯(lián)網(wǎng)對DMZ區(qū)的訪問控制;內(nèi)防火墻用于劃分 DMZ區(qū)和內(nèi)部兩個區(qū)域��,實施DMZ區(qū)對內(nèi)部的訪問控制��;所述服務(wù)器用于 提供互聯(lián)網(wǎng)服務(wù)�。
本發(fā)明由于采用上述配置,可以切斷互聯(lián)網(wǎng)到內(nèi)部網(wǎng)絡(luò)的直接的物理 連接���,既不會影響互聯(lián)網(wǎng)服務(wù)的提供���,又保證了內(nèi)部網(wǎng)絡(luò)的安全,也不會 影響內(nèi)部網(wǎng)絡(luò)對該服務(wù)器的維護(hù)和數(shù)據(jù)更新�����。
圖1是現(xiàn)有技術(shù)中采用單防火墻構(gòu)建DMZ區(qū)的模型圖2是現(xiàn)有技術(shù)中采用雙防火墻且外防火墻構(gòu)建DMZ區(qū)的模型圖3是本發(fā)明內(nèi)外防火墻與服務(wù)器通過串接形式進(jìn)行連接的模型圖4是本發(fā)明中放置于DMZ區(qū)的服務(wù)器結(jié)構(gòu)模型圖5是現(xiàn)有技術(shù)中采用圖2的雙防火墻的網(wǎng)站系統(tǒng)結(jié)構(gòu)示意圖
圖6是采用本發(fā)明的網(wǎng)站系統(tǒng)結(jié)構(gòu)示意圖����。
具體實施例方式
下面結(jié)合附圖和具體實施例對本發(fā)明作進(jìn)一步詳細(xì)的說明。 本發(fā)明為避免現(xiàn)有技術(shù)中由于路由器背靠背存在直接的物理連接鏈 路而帶來的安全隱患��,采取了內(nèi)外防火墻與提供互聯(lián)網(wǎng)服務(wù)的各服務(wù)器通
過串接形式進(jìn)行連接的設(shè)計����,其連接模型可參見圖3�����。如圖3所示�,本發(fā) 明的網(wǎng)站系統(tǒng)平臺架構(gòu)實際上是通過兩個方面的處理���,達(dá)到高安全性架構(gòu)
要求���,即
1���、 防火墻連接結(jié)構(gòu)處理�����。
外防火墻用于劃分外部和DMZ區(qū)兩個區(qū)域���,實施互聯(lián)網(wǎng)對DMZ區(qū)的訪 問控制;內(nèi)防火墻用戶劃分DMZ區(qū)和內(nèi)部兩個區(qū)域��,實施DMZ區(qū)對內(nèi)部的 訪問控制����。
2����、 DMZ區(qū)服務(wù)器結(jié)構(gòu)處理���。
DMZ區(qū)放置服務(wù)器��,用于向互聯(lián)網(wǎng)提供服務(wù)�����。這些服務(wù)器的連接具有 特定要求��,連接模型見圖4��。如圖4所示的服務(wù)器的具有如下連接特點 以實現(xiàn)內(nèi)部網(wǎng)絡(luò)和外部互聯(lián)網(wǎng)物理連接的不連續(xù)��。為達(dá)到如上的目的服務(wù) 器連接結(jié)構(gòu)的配置要求包括
1�、 需要向互聯(lián)網(wǎng)提供服務(wù)的服務(wù)器配置網(wǎng)卡1��,連接外部網(wǎng)絡(luò)交換
機�;
2、 需要通過內(nèi)部網(wǎng)絡(luò)進(jìn)行管理和數(shù)據(jù)更新的�,配置網(wǎng)卡2,連接內(nèi) 部網(wǎng)絡(luò)交換機����;
3���、 網(wǎng)卡1的配置按照標(biāo)準(zhǔn)配置進(jìn)行,配置IP地址����、子網(wǎng)掩碼、網(wǎng)關(guān)�����、 DNS服務(wù)器等參數(shù)�;
4�����、 網(wǎng)卡2的配置需要注意不可配置網(wǎng)關(guān)參數(shù)���,其他按照標(biāo)準(zhǔn)配置設(shè)
置����;
5�、 同時配置了網(wǎng)卡1和網(wǎng)卡2的服務(wù)器注意取消兩個網(wǎng)卡的路由設(shè)
置�,即不可以將網(wǎng)卡1和網(wǎng)卡2配置為路由模式����;
6、在同時配置了網(wǎng)卡1和網(wǎng)卡2的服務(wù)器上�,確定本服務(wù)器的內(nèi)部
管理設(shè)備地址,內(nèi)部手工添加靜態(tài)路由參數(shù)�����。
在一個使用本發(fā)明方法的具體實施例中����,采取了如下設(shè)置
1、 服務(wù)器網(wǎng)卡2的IP地址是192. 168. 1.1��,
2�、 內(nèi)防火墻與內(nèi)部網(wǎng)絡(luò)交換機連接端口的IP地址為192. 168. 1. 254,
3、 內(nèi)部管理設(shè)備IP是192. 168. 10. 1�����。
4��、 需要添加的靜態(tài)路由表指令為
Route -p ADD 192. 168. 10. 1 MASK 255. 255. 255. 0 192. 168. 1. 254 如圖6所示�����,是采用本發(fā)明的網(wǎng)站系統(tǒng)結(jié)構(gòu)示意圖。如圖所示����,采用 本發(fā)明的網(wǎng)站結(jié)構(gòu)避免了因為路由器背靠背存在的直接的物理連接鏈路, 解決了由此產(chǎn)生的信息安全隱患��,同時也有效滿足了一般網(wǎng)站系統(tǒng)的業(yè)務(wù) 需求����。
綜上所述,本發(fā)明提出的網(wǎng)站系統(tǒng)網(wǎng)絡(luò)架構(gòu)���, 一方面保證了網(wǎng)站為互 聯(lián)網(wǎng)提供服務(wù)��,同時實現(xiàn)了內(nèi)部網(wǎng)絡(luò)對網(wǎng)站系統(tǒng)的管理和更新;另一方面 由于真正切斷了內(nèi)外之間的直接的物理連接�,確保了內(nèi)部網(wǎng)絡(luò)的信息安 全。
權(quán)利要求
1�����、一種互聯(lián)網(wǎng)網(wǎng)站安全架構(gòu)系統(tǒng)����,其特征在于����,包括外防火墻���、內(nèi)防火墻和至少一個放置于DMZ區(qū)的服務(wù)器�����,且所述外防火墻���、內(nèi)防火墻和放置于DMZ區(qū)的服務(wù)器通過串接形式進(jìn)行連接;其中所述外防火墻用于劃分外部和DMZ區(qū)兩個區(qū)域����,實施互聯(lián)網(wǎng)對DMZ區(qū)的訪問控制;所述內(nèi)防火墻用于劃分DMZ區(qū)和內(nèi)部兩個區(qū)域�����,實施DMZ區(qū)對內(nèi)部的訪問控制�����;所述服務(wù)器用于提供互聯(lián)網(wǎng)服務(wù)。
2�、 根據(jù)權(quán)利要求l所述一種互聯(lián)網(wǎng)網(wǎng)站安全架構(gòu)系統(tǒng),其特征在于�, 所述服務(wù)器包括配置網(wǎng)卡l,以連接外部網(wǎng)絡(luò)交換機向互聯(lián)網(wǎng)提供服務(wù)且 所述網(wǎng)卡l的配置按照標(biāo)準(zhǔn)配置進(jìn)行����,配置IP地址、子網(wǎng)掩碼����、網(wǎng)關(guān)、DNS 服務(wù)器參數(shù)���;配置網(wǎng)卡2�,連接內(nèi)部網(wǎng)絡(luò)交換機以進(jìn)行管理和數(shù)據(jù)更新���,且 所述網(wǎng)卡2不配置網(wǎng)關(guān)參數(shù)���,其他按照標(biāo)準(zhǔn)配置設(shè)置���;并且所述網(wǎng)卡l和網(wǎng) 卡2配置為非路由模式�;所述服務(wù)器應(yīng)確定內(nèi)部管理設(shè)備地址,手工添加靜 態(tài)路由參數(shù)��。
全文摘要
本發(fā)明公開了一種互聯(lián)網(wǎng)網(wǎng)站安全架構(gòu)系統(tǒng)��,包括外防火墻�、內(nèi)防火墻和至少一個放置于DMZ區(qū)的服務(wù)器,且外防火墻�、內(nèi)防火墻和放置于DMZ區(qū)的服務(wù)器通過串接形式進(jìn)行連接;其中外防火墻用于劃分外部和DMZ區(qū)兩個區(qū)域���,實施互聯(lián)網(wǎng)對DMZ區(qū)的訪問控制���;內(nèi)防火墻用于劃分DMZ區(qū)和內(nèi)部兩個區(qū)域,實施DMZ區(qū)對內(nèi)部的訪問控制�����;所述服務(wù)器用于提供互聯(lián)網(wǎng)服務(wù)����。本發(fā)明由于采用上述配置,可以切斷互聯(lián)網(wǎng)到內(nèi)部網(wǎng)絡(luò)的直接的物理連接�,既不會影響互聯(lián)網(wǎng)服務(wù)的提供�,又保證了內(nèi)部網(wǎng)絡(luò)的安全��,也不會影響內(nèi)部網(wǎng)絡(luò)對該服務(wù)器的維護(hù)和數(shù)據(jù)更新�。
文檔編號H04L29/06GK101110693SQ20061002900
公開日2008年1月23日 申請日期2006年7月17日 優(yōu)先權(quán)日2006年7月17日
發(fā)明者飚 陸 申請人:上海華虹Nec電子有限公司