[发明专利]一种同质异构的网络安全加固方法及装置

说明书

本发明公开了一种同质异构的网络安全加固方法及装置，有效减少了单一安全产品防护所面临的安全风险和可靠性风险。该发明含有步骤1：选择一组具备BYPASS功能的异构网络安全产品；步骤2：将网络安全产品以透明模式进行串联部署,同时在部署时激活单个产品同组输入输出端口的BYPASS功能；步骤3：根据应用需要，在各级网络安全产品上冗余部署类似或相同的安全功能或策略配置，至少有2个产品通过配置实现一项或多项类似或相同的安全功能或策略。

技术领域

本发明涉及网络安全技术领域，尤其是涉及一种同质异构的网络安全加固方法及装置。

背景技术

面对日益复杂的网络安全环境，通常网络用户会选用各种网络安全产品对信任区的系统和设备进行安全防护。常见的防护措施包括但不限于防火墙（FW）、入侵检测（IDS）、入侵防御（IPS）、病毒木马过滤（AV）、网址过滤（URL）等。

随着网络安全产业的兴起，各类厂家也基于各自的平台或通用平发研发了各种网络安全产品，每款产品包括了上述1种或多种防护功能。同时各厂家根据各自的风险样本采集渠道和研究方向不断补充和完善产品的特征库（包括但不限于协议分析库、地址库、病毒特征码）、检测防御引擎等和产品漏洞补丁等。

按传统的部署模式，通常会在防护边界根据应用需求部署上述网络安全产品。但在实际应用中，由于受限于单一产品的防护特征以及局限的部署结构，仍然存在不少问题，，主要表现为：

1、网络安全产品本身也有技术缺陷，从缺陷发现到提供补丁需要一定的时间，即使针对同一类缺陷，各厂家所提供的修补方案时间也不一，时间越长，安全风险越高；

2、不同厂家对网络安全产品的研究方向和方法不一，没有一个厂家的产品可以对已知或未知的所有安全问题进行全部有效检测和防御，特征库的发布质量和时间不一，采用单一产品的漏防机率较高；

3、网络安全产品本身也存在潜在的后门或漏洞，也或者由于配置不合理导致防护漏洞，这些后门或漏洞一经利用，后果不堪设想；

4、单一产品很容易被各种网络探嗅手段探知设备品牌、型号和版本，方便攻击者利用现有手段开展攻击。

发明内容

本发明的内容在于克服上述问题而提供一种更为科学、牢固的网络安全加固方法，这种方法的基于同质异构原理，通过有效的产品选择和部署结构设计实现而成。通过这种方法进一步提升整体系统的防护能力，同时也可有效提升整体防护系统的可靠性。

本发明提供一种具有以下步骤的网络安全加固方法：

步骤1：选择一组具有BYPASS功能的异构网络安全产品；

步骤2：将网络安全产品以透明模式进行串联部署，同时激活单个产品同组输入输出传输端口的BYPASS功能；

步骤3：根据应用需要，在各级网络安全产品上冗余部署类似或相同的安全功能或策略配置。

步骤1中所述的一组网络安全产品的数量不少于2个，产品可以为纯硬件、软硬一体设备或纯软件，同时所选用的一组产品中至少有2个产品可以实现一项或多项相同和/或类似功能。

步骤1中所述的异构，指实现1项或多项相同和/或类似的网络安全防护功能的产品必须为不同厂家或同一厂家有显著差异的不同系列的产品。近述的显著差异，指不同产品所采用的硬件架构或操作系统或应用系统或特征库具有明显的区别或不同的实现形式。

进一步的，单个产品可定义或配置的一组或多组输入、输出端口具备BYPASS功能。

步骤2中所述的透明模式，指产品一组输入输出两端的应用在正常流量应用时透明无感。