技術領域

本發明涉及網絡安全技術領域，特別涉及一種內網安全防護系統和方法。

背景技術

隨著網絡技術的快速發展，我們對網絡安全的關注越來越重視。然而，計算機和網絡攻擊的復雜性不斷上升，使用傳統的防火墻和IDS(Intrusion Detection Systems，入侵檢測系統)越來越難以檢測和阻擋。隨著病毒、蠕蟲、木馬、后門和混合威脅的泛濫，內容層和網絡層的安全威脅正變得司空見慣。復雜的蠕蟲和郵件病毒諸如Slammer、Blaster、Sasser、Sober、MyDoom等會如何快速的傳播，通常在幾個小時之內就能席卷全球。

為了對抗安全威脅，安全技術也在不斷進化，包括深度包檢測防火墻、應用網關防火墻、內容過濾、反垃圾郵件、SSL VPN、基于網絡的防病毒和IPS等新技術不斷被應用。

但是，防御軟件比如殺毒軟件不能解決當攻擊者用合法軟件進行攻擊的情況，并且防火墻主要是防御外網，當攻擊者是企業內部的情況下防御外網的防火墻就形同虛設。因此，裸露的靜態網絡拓撲結構，攻擊者很容易就能獲取內部終端的地址，采取有針對性的攻擊，造成內部網絡癱瘓，同時，內網終端的IP地址是靜態不可變，各內網終端之間隨時可以互通訪問，造成病毒在內網終端之間相互傳播。從而，如何真正實現內網安全防護的問題亟待解決。

發明內容

本發明實施例提供了一種內網安全防護系統和方法，通過智能的分配擁有時效的虛擬IP地址，使得內網終端保持相互獨立，內網終端自身可以獨立訪問外網，但內網終端之間不可互相通信，從而真正實現內網的安全防護。

第一方面，本發明實施例提供了一種內網安全防護系統，該系統包括：入網隔離前安全檢查模塊、虛擬IP地址分發模塊、分布式實時監控模塊和智能學習模塊，其中，

入網隔離前安全檢查模塊，用于在內網終端接入網絡前進行安全評估，判斷是否允許該內網終端接入網絡，若是，則發送分配虛擬IP地址和虛擬主機名的請求命令，并觸發虛擬IP地址分發模塊；否則，禁止該內網終端接入網絡，并反饋到該內網終端發出警報；

虛擬IP地址分發模塊，用于接收入網隔離前安全檢查模塊發送的請求命令，并給內網終端分配虛擬IP地址和虛擬主機名，以及根據智能學習模塊確定的變更頻率對相應的內網終端進行虛擬IP地址和虛擬主機名的變更；

分布式實時監控模塊，用于獲取內網終端的實時安全狀態數據，搜集內網終端用戶的操作行為；

智能學習模塊，用于對內網終端的實時安全狀態數據和用戶的操作行為進行分析，評估該用戶的操作環境和操作習慣，確定該用戶對應的內網終端虛擬IP地址和虛擬主機名的變更頻率。

優選地，該系統進一步包括：加解密模塊，用于對內網終端的虛擬IP地址和虛擬主機名進行加密或/和解密。

優選地，當不同的內網終端需要互訪時，該系統進一步包括：虛擬主機名解析模塊、虛擬IP地址解析模塊和終端信息列表庫模塊，其中，

虛擬主機名解析模塊，用于查詢內網終端的虛擬主機名；

虛擬IP地址解析模塊，用于查詢內網終端的虛擬IP地址；

終端信息列表庫模塊，用于存儲內網終端的信息，其中，內網終端的信息包括但不限于MAC地址，用戶名，訪問IP地址，虛擬IP地址，虛擬主機名，機構ID。

優選地，該系統進一步包括：DHCP服務模塊，用于支持內網終端獲取外網DHCP服務的解析、對話、路由代理、數據包封裝請求、遞歸查詢。

優選地，該系統進一步包括：虛擬地址規則庫模塊，用于非規則性存儲虛擬IP地址。

第二方面，本發明實施例提供了一種內網安全防護方法，該方法包括：

S1：通過入網隔離前安全檢查模塊在內網終端接入網絡前進行安全評估，判斷是否允許該內網終端接入網絡，若是，則發送分配虛擬IP地址和虛擬主機名的請求命令，并觸發S2；否則，禁止該內網終端接入網絡，并反饋到該內網終端發出警報；

S2：通過虛擬IP地址分發模塊接收入網隔離前安全檢查模塊發送的請求命令，并給內網終端分配虛擬IP地址和虛擬主機名；

S3：通過分布式實時監控模塊獲取內網終端的實時安全狀態數據，搜集內網終端用戶的操作行為；

S4：通過智能學習模塊對內網終端的實時安全狀態數據和用戶的操作行為進行分析，評估該用戶的操作環境和操作習慣，確定該用戶對應的內網終端虛擬IP地址和虛擬主機名的變更頻率。

S5：通過虛擬IP地址分發模塊根據智能學習模塊確定的變更頻率對相應的內網終端進行虛擬IP地址和虛擬主機名的變更。