[发明专利]路由器安全防御装置及防御系统和方法

说明书

【技术领域】

本发明属于网络信息安全领域，特别涉及一种对路由器具有主动防御功能的防御装置及通过该防御装置、路由器和远程控制平台组成的防御系统和一种进行防御的方法。

【背景技术】

随着Internet的日益普及，人们对网络的依赖越来越强，同时，对网络的稳定性也提出了更高的要求。路由器是整个网络的核心和心脏，如果路由器发生致命性的故障，将导致本地网络的瘫痪，如果是骨干路由器，影响的范围将更大。因此，对路由器进行安全防御是十分必要的。

目前，实践中有很多针对路由器进行安全防御的方法。如：定期更新路由器操作系统，以便纠正编程错误、软件瑕疵、服务漏洞和缓存溢出的问题；修改默认的口令，避免使用普通的口令，并且使用大小写字母混合的方式作为更强大的口令规则；封锁ICMP(互联网控制消息协议)ping请求，因为ping请求和其它ICMP功能对于网络管理员和黑客都是非常有用的工具，黑客能够利用路由器上启用的ICMP功能找出可用来攻击网络的信息；为了避免因为数据被窃听而造成的信息泄漏，对流经路由器的数据进行加密处理，只有与之通信的对端才能对此加密文进行解密，以此保证数据的私有性、完整性以及数据内容的真实性；及时审阅路由器记录，及时发现明显的攻击方式和安全漏洞，采取相应的补救措施；禁用来自互联网的telnet命令、禁用IP定向广播、禁用IP路由和其它不必要的服务。

然而，上述的这些方法都属于对路由器安全的被动防御，对于路由器在使用过程中的安全隐患做不到及时发现、及时反馈和及时处理。通过上述的防御方法不但降低了路由器应有的工作效率，而且对路由器的管理配置也相当复杂和繁琐，往往由于管理员在对路由器进行配置过程中的错误而导致路由器不能正常工作，甚至整个网络的瘫痪，给使用者带来很大的不便。

【发明内容】

为了解决现有技术中存在的对路由器的保护采用被动防御的问题，本发明提供了一种对路由器具有主动防御功能的防御装置。

为了配合所述具有主动防御功能的防御装置对路由器进行安全防御，本发明提供了一种对路由器进行主动安全防御的系统。

为了解决现有技术中存在的对路由器的保护采用被动防御的问题，本发明还提供了对路由器进行主动安全防御的方法。

本发明解决现有技术问题所采用的第一个技术方案是：提供一种对路由器进行主动安全防御的装置，所述防御装置包括：用于响应管理请求的系统管理模块；用于对流经路由器的数据信息进行检测的入侵检测模块；用于根据所述入侵检测模块的检测结果对所述数据信息进行放行或阻隔处理的路由器控制模块；用于与远程控制平台通讯的远程控制响应模块；所述系统管理模块为所述防御装置的主控单元，所述入侵检测模块、路由器控制模块和所述远程控制响应模块分别与所述系统管理模块双向连接，所述路由器控制模块为所述防御装置和所述路由器的连接提供接口服务。

根据本发明的一优选实施例：所述防御装置还包括：用于存储和转发日志的审计日志模块；用于用户信息管理和识别的用户管理模块；所述审计日志模块与所述系统管理模块双向连接，可以实现通过所述系统管理模块与所述远程控制响应模块的通讯，所述用户管理模块与所述系统管理模块也为双向连接。

根据本发明的一优选实施例：所述防御装置的系统是采用层层封装的结构。

根据本发明的一优选实施例：所述封装结构包括：系统认证管理子层、系统控制子层、数据分析子层和系统扩展子层。

本发明解决现有技术问题所采用的第二个技术方案是：提供一种对路由器进行主动安全防御的系统，该系统包括用于实现数据传输的路由器，还包括：用于检测流经所述路由器的数据并根据检测结果对所述路由器进行安全防御的所述防御装置；用于与所述防御装置实现信息传递的所述远程控制平台；所述路由器与所述防御装置相连接。

根据本发明的一优选实施例：所述路由器与所述防御装置连接通过所述防御装置上的路由器控制模块提供接口。

根据本发明的一优选实施例：所述防御装置与所述远程控制平台通过所述防御装置上的远程控制响应模块相联系，并通过RSTP协议实现所述信息的传递。

本发明解决现有技术问题所采用的第三个技术方案是：提供一种对路由器进行主动安全防御的方法，所述方法包括步骤：第一、对所述防御装置进行初始化配置；第二、所述防御装置开始工作，对流经路由器的数据进行捕获，并将捕获到的数据转化成以太数据包类型，对以太数据包头部进行分析，经过处理行为、协议、源信息、目的信息和规则主体部分判断所包含的数据包类型，进行解析处理；第三、向所述远程控制平台发送报警信息。