本申請(qǐng)公開了一種內(nèi)部網(wǎng)絡(luò)保護(hù)方法及系統(tǒng)，該保護(hù)方法包括：防火墻接收第一交換機(jī)發(fā)送的第一數(shù)據(jù)包后，對(duì)所述第一數(shù)據(jù)包進(jìn)行過濾，并將過濾后的所述第一數(shù)據(jù)包發(fā)送至匯聚交換機(jī)；所述防火墻接收所述匯聚交換機(jī)發(fā)送的第二數(shù)據(jù)包后，對(duì)所述第二數(shù)據(jù)包進(jìn)行過濾，并將過濾后的所述第二數(shù)據(jù)包發(fā)送至第二交換機(jī)；其中，所述第一交換機(jī)、所述第二交換機(jī)和所述匯聚交換機(jī)處于同一虛擬局域網(wǎng)內(nèi)。通過上述方式，能夠攔截內(nèi)部網(wǎng)絡(luò)設(shè)備間的攻擊行為，有效阻止不同交換機(jī)上同一VLAN客戶端之間的互相通信。

技術(shù)領(lǐng)域

本申請(qǐng)涉及網(wǎng)絡(luò)通信技術(shù)領(lǐng)域，特別是涉及一種內(nèi)部網(wǎng)絡(luò)保護(hù)方法及系統(tǒng)。

背景技術(shù)

網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，在大型企業(yè)中通常會(huì)建立獨(dú)立的局域網(wǎng)以便進(jìn)行內(nèi)部網(wǎng)絡(luò)通信，局域網(wǎng)基本上都采用以廣播為技術(shù)基礎(chǔ)的以太網(wǎng)，任何兩個(gè)節(jié)點(diǎn)之間的通信數(shù)據(jù)包，不僅為這兩個(gè)節(jié)點(diǎn)的網(wǎng)卡所接收，也同時(shí)為處在同一以太網(wǎng)上的任何一個(gè)節(jié)點(diǎn)的網(wǎng)卡所截取。因此，保護(hù)內(nèi)部網(wǎng)絡(luò)的安全十分必要，能夠有效避免由于非法入侵等問題造成的損失。

目前，許多企業(yè)使用基于Windows早期版本操作系統(tǒng)的生產(chǎn)設(shè)備，由于生產(chǎn)的特殊性，又不便安裝殺毒軟件，不能及時(shí)安裝操作系統(tǒng)補(bǔ)丁。生產(chǎn)網(wǎng)絡(luò)屬于獨(dú)立的內(nèi)網(wǎng)，但由于信息交互的需求較多，此部分設(shè)備仍屬于易受病毒攻擊的目標(biāo)，一旦感染病毒，傳染范圍大，影響范圍廣，造成損失多。大部分企業(yè)采用在內(nèi)網(wǎng)和互聯(lián)網(wǎng)之間部署防火墻的形式，有效攔截了外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)的攻擊。另外，通過在交換機(jī)上進(jìn)行端口保護(hù)配置，限制某一特定地址僅能與同一虛擬局域網(wǎng)內(nèi)同一交換機(jī)上的客戶端進(jìn)行通信。

然而，本申請(qǐng)的發(fā)明人在長期的研發(fā)過程中發(fā)現(xiàn)，當(dāng)內(nèi)部網(wǎng)絡(luò)中的設(shè)備相互攻擊時(shí)，在內(nèi)網(wǎng)和外網(wǎng)之間部署的防火墻無法進(jìn)行有效識(shí)別內(nèi)部設(shè)備之間的網(wǎng)絡(luò)攻擊行為，也無法有效阻止不同交換機(jī)上同一虛擬局域網(wǎng)內(nèi)的客戶端相互通信。

發(fā)明內(nèi)容

本申請(qǐng)主要解決的技術(shù)問題是提供一種內(nèi)部網(wǎng)絡(luò)保護(hù)方法及系統(tǒng)，能夠攔截內(nèi)部網(wǎng)絡(luò)設(shè)備間的攻擊行為，阻止不同交換機(jī)上同一VLAN客戶端之間的互相通信。

為解決上述技術(shù)問題，本申請(qǐng)采用的一個(gè)技術(shù)方案是：提供一種內(nèi)部網(wǎng)絡(luò)保護(hù)方法，該保護(hù)方法包括：防火墻接收第一交換機(jī)發(fā)送的第一數(shù)據(jù)包后，對(duì)所述第一數(shù)據(jù)包進(jìn)行過濾，并將過濾后的所述第一數(shù)據(jù)包發(fā)送至匯聚交換機(jī)；所述防火墻接收所述匯聚交換機(jī)發(fā)送的第二數(shù)據(jù)包后，對(duì)所述第二數(shù)據(jù)包進(jìn)行過濾，并將過濾后的所述第二數(shù)據(jù)包發(fā)送至第二交換機(jī)；其中，所述第一交換機(jī)、所述第二交換機(jī)和所述匯聚交換機(jī)處于同一虛擬局域網(wǎng)內(nèi)。

其中，所述匯聚交換機(jī)和所述防火墻之間設(shè)置有旁路設(shè)備，所述防火墻接收第一交換機(jī)發(fā)送的第一數(shù)據(jù)包后，對(duì)所述第一數(shù)據(jù)包進(jìn)行過濾，并將過濾后的所述第一數(shù)據(jù)包發(fā)送至匯聚交換機(jī)的步驟，包括：響應(yīng)于所述防火墻工作正常，所述防火墻接收第一交換機(jī)發(fā)送的第一數(shù)據(jù)包后對(duì)所述第一數(shù)據(jù)包進(jìn)行過濾，并將過濾后的所述第一數(shù)據(jù)包發(fā)送至所述旁路設(shè)備，所述旁路設(shè)備將所述第一數(shù)據(jù)包發(fā)送至所述匯聚交換機(jī)；響應(yīng)于所述防火墻工作異常，所述旁路設(shè)備接收所述第一交換機(jī)發(fā)送的所述第一數(shù)據(jù)包后，將所述第一數(shù)據(jù)包發(fā)送至所述匯聚交換機(jī)。

其中，所述匯聚交換機(jī)和所述防火墻之間設(shè)置有旁路設(shè)備，所述防火墻接收所述匯聚交換機(jī)發(fā)送的第二數(shù)據(jù)包后，對(duì)所述第二數(shù)據(jù)包進(jìn)行過濾，并將過濾后的所述第二數(shù)據(jù)包發(fā)送至第二交換機(jī)的步驟包括：響應(yīng)于所述防火墻工作正常，所述旁路設(shè)備接收所述匯聚交換機(jī)發(fā)送的所述第二數(shù)據(jù)包后，將所述第二數(shù)據(jù)包發(fā)送至所述防火墻，所述防火墻對(duì)所述第二數(shù)據(jù)包進(jìn)行過濾，并將過濾后的所述第二數(shù)據(jù)包發(fā)送至所述第二交換機(jī)；響應(yīng)于所述防火墻工作異常，所述旁路設(shè)備接收所述匯聚交換機(jī)發(fā)送的所述第二數(shù)據(jù)包后，將所述第二數(shù)據(jù)包發(fā)送至所述第二交換機(jī)。