技術領域

本發明涉及數據通信網絡安全技術，尤其涉及一種網絡安全防御技術。

背景技術

隨著網絡技術的不斷進步，網絡入侵活動也在不斷發展并日趨活躍。在各種網絡入侵活動中，針對服務器、特別是關鍵服務器的網絡攻擊可以說是最具威脅性、可能造成最大損失的行為。關鍵服務器是指網絡中存儲著重要信息的服務器，大量的重要信息作為一種無形資產存儲在關鍵服務器上，一旦其受到了網絡安全威脅勢必殃及存儲的重要信息，從而造成不可估量的損失。更加致命的是這些網絡入侵活動不僅僅來自于外部的黑客，而且很多來自于內部人員。

目前各種企業及單位對關鍵服務器主要采用以下幾種網絡安全防御機制，包括：殺毒軟件、防火墻、入侵監測系統(Intrusion?Detection?System，IDS)、訪問權限的控制列表(Access?Control?List，ACL)等，ACL使用包過濾技術，在路由器或交換機上設置指令列表，通過讀取報文頭中的信息，如源地址、目的地址、源端口、目的端口等，根據設置的指令列表對數據包進行過濾，從而達到訪問權限的控制的目的。

現有網絡安全防御機制中對服務器的安全防御機制是零散的，網絡管理員在各種網絡安全防御設備上發現的網絡攻擊事件都是獨立的，無法進行統一管理和技術統計；

現有網絡安全防御機制中對服務器的安全防御機制是被動，當出現網絡攻擊后，只能進行被動攔截，當網絡管理員發現網絡攻擊后，無法進行網絡攻擊源的定位、更無法對發起攻擊的終端設備進行防御控制，導致網絡安全問題的肆意擴散；

采用現有網絡安全防御機制時，當網絡管理員對網絡攻擊行為進行處理后，無法進行識別記錄，下一次出現同樣的網絡攻擊行為，依然需要再次進行手動處理；并且無法根據網絡攻擊信息自動設置ACL，由網絡管理員進行手動設置ACL的工作量巨大。

發明內容

本發明提供一種網絡安全防御系統、方法和安全管理服務器，用于對攻擊網絡中服務器的終端設備進行主動防御。

一種網絡安全防御系統，包括：

安全認證客戶端和安全接入交換機，所述安全認證客戶端設置在終端設備上，用于在終端設備通過安全接入交換機接入網絡時發起接入認證，安全接入交換機在接入認證成功后打開終端設備接入網絡的端口；

認證計費服務器：用于根據所述安全認證客戶端發起的認證對終端設備進行接入認證，通過所述安全接入交換機向成功認證的終端設備返回認證成功響應，獲取成功認證的終端設備網絡配置信息并上報；

網絡攻擊監測設備：用于監測終端設備通過安全接入交換機對服務器發起的網絡攻擊事件，并上報監測到的網絡攻擊事件信息，所述網絡攻擊事件信息包括發起網絡攻擊的終端設備的IP地址和被攻擊服務器的IP地址；

安全管理服務器：接收并存儲所述認證計費服務器上報的終端設備的網絡配置信息，根據所述網絡攻擊監測設備上報的網絡攻擊事件信息中所述終端設備的IP地址，獲取所述終端設備的網絡配置信息，根據所述網絡配置信息將生成的防御控制命令發送給所述終端設備所接入的安全接入交換機，或者通過所述安全接入交換機發送給所述終端設備的安全認證客戶端，對所述終端設備進行防御控制。

較佳的，還包括安全解析服務器：用于對所述網絡攻擊監測設備上報的網絡攻擊事件信息進行轉換后發送給安全管理服務器。

其中，所述安全解析服務器和安全管理服務器可以合并設置。

本發明實施例還提供了安全管理服務器的一種結構，具體包括：

接收單元：用于接收成功認證的終端設備網絡配置信息，并接收上報的所述網絡攻擊事件信息，所述網絡攻擊事件信息包括發起網絡攻擊的終端設備的IP地址、被攻擊服務器的IP地址；

網絡配置信息存儲單元：用于存儲所述接收單元接收的所述終端設備的網絡配置信息；

網絡攻擊事件處理單元：用于根據所述接收單元接收的網絡攻擊事件信息中發起網絡攻擊的終端設備的IP地址，從網絡配置信息存儲單元中獲取所述終端設備的網絡配置信息，生成防御控制命令并發送給所述終端設備的安全認證客戶端或者所接入的安全接入交換機，對所述終端設備進行防御控制。

所述安全管理服務器進一步還包括：

關鍵服務器IP地址存儲單元，用于存儲關鍵服務器的IP地址，根據網絡攻擊事件信息中被攻擊服務器的IP地址，所述網絡攻擊事件處理單元確認在所述關鍵服務器IP地址存儲單元中存儲了被攻擊服務器的IP地址后，對發起網絡攻擊的終端設備進行防御控制。

所述安全管理服務器進一步還包括：