[发明专利]一种有效应对APT攻击的纵深防御系统

说明书

本发明涉及一种有效应对APT攻击的纵深防御系统，包括互联网接入区、DMZ区、核心应用区、DB区、数据区、管理区；DMZ区与互联网接入区相连；核心应用区与互联网接入区相连；DB区分别与DMZ区、核心应用区相连；管理区分别与互联网接入区、DMZ区、核心应用区、DB区相连。本发明提供的纵深防御系统，采用了纵深网络结构，减少了区域防火墙数量，降低了设备成本，负载分摊至各个层级网络，实现了解放核心交换机压力的作用，提高了交换机的使用寿命；实现了功能模块的划分，提高了各个功能模块的可控性；实现了各个功能子网均为闭环设计，提高了系统的安全性。

技术领域

本发明属于计算机网络拓扑结构技术领域，具体涉及一种有效应对APT攻击的纵深防御系统。

背景技术

计算机网络的最主要的拓扑结构有总线型拓扑、环形拓扑、树形拓扑、星形拓扑、混合型拓扑以及网状拓扑。其中环形拓扑、星形拓扑、总线型拓扑是三个最基本的拓扑结构。在局域网中，使用最多的是星形结构。其他拓扑结构基本不再使用，所以不再讨论。

星形拓扑结构存在以下缺点：(1)电缆长度和安装工作量可观；(2)中央节点的负担较重，形成瓶颈；中心结点出现故障会导致网络的瘫痪；(3)各站点的分布处理能力较低；(4)网络共享能力较差，通信线路利用率不高。

高级持续性威胁(Advanced Persistent Threat，APT)，威胁着企业的数据安全。APT是黑客以窃取核心资料为目的，针对客户所发动的网络攻击和侵袭行为，是一种蓄谋已久的“恶意商业间谍威胁”。这种行为往往经过长期的经营与策划，并具备高度的隐蔽性。APT的攻击手法，在于隐匿自己，针对特定对象，长期、有计划性和组织性地窃取数据，这种发生在数字空间的偷窃资料、搜集情报的行为，就是一种“网络间谍”的行为。

高级持续性威胁(APT)正在通过一切方式，绕过基于代码的传统安全方案(如防病毒软件、防火墙、IPS等)，并更长时间地潜伏在系统中，让传统防御体系难以侦测。

两层、三层星型结构成为了现在网络结构的主流结构。分别是核心层、汇聚层、接入层。出口链路上串行连接安全防护设备，如IPS等。核心设备上旁路连接审计设备，如IDS、日志审计系统等。

汇聚层：一般为一个逻辑单元，或一个安全域。由防火墙对安全域做有限防护。

接入层：多个接入交换机接入汇聚层交换机，能够完成接入认证。

这种网络结构会导致多种不同服务共同使用一条链路，例如HTTP、SSH、DB、BACKUP等服务共同使用一个网络接口，导致了一条连路上多种协议并行的现象。例如：HTTP、SSH、DB均在同一条链路内通讯，均经由接入交换机、汇聚交换机、核心交换机转发到相应的安全域内。星型架构网络单一链路多重数据流向，ACL设计较为复杂，CPU计算压力过大。SSH等高危服务运行在服务网络中稍有人为疏失或者交换机负载过大取消部分ACL管控即丧失安全性。纵深网络结构：安全压力下行至各个层级网络接入交换机，以交换机为安全防护核心，使交换机CPU计算压力分摊。设备选型可以偏低。由于各个功能子网均为闭环设计，稍有人为疏失不会因为交换机负载过大取消部分ACL管控不会丧失安全性。

发明内容

针对上述现有技术中存在的问题，本发明的目的在于提供一种可避免出现上述技术缺陷的有效应对APT攻击的纵深防御系统，使安全压力下行至各个层级网络接入交换机，以交换机为安全防护核心，使交换机CPU计算压力分摊，提高互联网的安全性，有效地应对APT攻击。

为了实现上述发明目的，本发明提供的技术方案如下：

一种有效应对APT攻击的纵深防御系统，包括互联网接入区、DMZ区、核心应用区、DB区、数据区、管理区；