[发明专利]网络安全防御系统、方法和安全管理服务器

说明书

技术领域

本发明涉及数据通信网络安全技术，尤其涉及一种网络安全防御技术。

背景技术

随着网络技术的不断进步，网络入侵活动也在不断发展并日趋活跃。在各种网络入侵活动中，针对服务器、特别是关键服务器的网络攻击可以说是最具威胁性、可能造成最大损失的行为。关键服务器是指网络中存储着重要信息的服务器，大量的重要信息作为一种无形资产存储在关键服务器上，一旦其受到了网络安全威胁势必殃及存储的重要信息，从而造成不可估量的损失。更加致命的是这些网络入侵活动不仅仅来自于外部的黑客，而且很多来自于内部人员。

目前各种企业及单位对关键服务器主要采用以下几种网络安全防御机制，包括：杀毒软件、防火墙、入侵监测系统(Intrusion Detection System，IDS)、访问权限的控制列表(Access Control List，ACL)等，ACL使用包过滤技术，在路由器或交换机上设置指令列表，通过读取报文头中的信息，如源地址、目的地址、源端口、目的端口等，根据设置的指令列表对数据包进行过滤，从而达到访问权限的控制的目的。

现有网络安全防御机制中对服务器的安全防御机制是零散的，网络管理员在各种网络安全防御设备上发现的网络攻击事件都是独立的，无法进行统一管理和技术统计；

现有网络安全防御机制中对服务器的安全防御机制是被动，当出现网络攻击后，只能进行被动拦截，当网络管理员发现网络攻击后，无法进行网络攻击源的定位、更无法对发起攻击的终端设备进行防御控制，导致网络安全问题的肆意扩散；

采用现有网络安全防御机制时，当网络管理员对网络攻击行为进行处理后，无法进行识别记录，下一次出现同样的网络攻击行为，依然需要再次进行手动处理；并且无法根据网络攻击信息自动设置ACL，由网络管理员进行手动设置ACL的工作量巨大。

发明内容

本发明提供一种网络安全防御系统、方法和安全管理服务器，用于对攻击网络中服务器的终端设备进行主动防御。

一种网络安全防御系统，包括：

安全认证客户端和安全接入交换机，所述安全认证客户端设置在终端设备上，用于在终端设备通过安全接入交换机接入网络时发起接入认证，安全接入交换机在接入认证成功后打开终端设备接入网络的端口；

认证计费服务器：用于根据所述安全认证客户端发起的认证对终端设备进行接入认证，通过所述安全接入交换机向成功认证的终端设备返回认证成功响应，获取成功认证的终端设备网络配置信息并上报；

网络攻击监测设备：用于监测终端设备通过安全接入交换机对服务器发起的网络攻击事件，并上报监测到的网络攻击事件信息，所述网络攻击事件信息包括发起网络攻击的终端设备的IP地址和被攻击服务器的IP地址；

安全管理服务器：接收并存储所述认证计费服务器上报的终端设备的网络配置信息，根据所述网络攻击监测设备上报的网络攻击事件信息中所述终端设备的IP地址，获取所述终端设备的网络配置信息，根据所述网络配置信息将生成的防御控制命令发送给所述终端设备所接入的安全接入交换机，或者通过所述安全接入交换机发送给所述终端设备的安全认证客户端，对所述终端设备进行防御控制。

较佳的，还包括安全解析服务器：用于对所述网络攻击监测设备上报的网络攻击事件信息进行转换后发送给安全管理服务器。

其中，所述安全解析服务器和安全管理服务器可以合并设置。

本发明实施例还提供了安全管理服务器的一种结构，具体包括：

接收单元：用于接收成功认证的终端设备网络配置信息，并接收上报的所述网络攻击事件信息，所述网络攻击事件信息包括发起网络攻击的终端设备的IP地址、被攻击服务器的IP地址；

网络配置信息存储单元：用于存储所述接收单元接收的所述终端设备的网络配置信息；

网络攻击事件处理单元：用于根据所述接收单元接收的网络攻击事件信息中发起网络攻击的终端设备的IP地址，从网络配置信息存储单元中获取所述终端设备的网络配置信息，生成防御控制命令并发送给所述终端设备的安全认证客户端或者所接入的安全接入交换机，对所述终端设备进行防御控制。

所述安全管理服务器进一步还包括：

关键服务器IP地址存储单元，用于存储关键服务器的IP地址，根据网络攻击事件信息中被攻击服务器的IP地址，所述网络攻击事件处理单元确认在所述关键服务器IP地址存储单元中存储了被攻击服务器的IP地址后，对发起网络攻击的终端设备进行防御控制。

所述安全管理服务器进一步还包括：