一种拟态网络设备现网部署的组网方法及系统与流程

1.本发明实施例涉及计算机通信安全技术领域，具体涉及一种拟态网络设备现网部署的组网方法及系统。


背景技术：

2.网络空间安全是信息产业全球化背景下世界各国面临的共性问题和挑战。由于漏洞存在的普遍性、后门的易安插性、网络空间构架基因的单一性以及攻防双方的不对称性，当前网络空间的基本态势是“攻易守难”。拟态防御是一种变“查漏补缺”的外挂式防御为“自我免疫”的内生式防御的思路，有望有效应对网络安全面临的挑战。
3.网络空间拟态防御以成熟的异构冗余可靠性技术架构为基础，通过导入基于拟态伪装策略的多维动态重构机制，建立动态异构冗余的系统构造，实现了网络信息系统从相似性、静态性向异构性、动态性的转变，形成了有效抵御漏洞后门等未知威胁的内生安全效应。其以动态异构冗余形态的广义鲁棒控制架构为基础，以相对正确公理的逻辑表达为多模输出矢量测量感知手段，在避免攻击者实施时空维度上协同一致的同态攻击的条件下，对动态异构冗余构造的多模裁决、策略调度、负反馈控制、多维动态重构以及相关的输入与输出代理等环节施以拟态伪装策略，主动改变网络信息系统的功能结构和运行环境，将目标对象内基于漏洞后门等未知威胁转化为广义的不确定扰动影响，并通过归一化的理论和方法解决传统或非传统安全问题，使网络信息系统具备广义鲁棒控制的内生安全能力。从而在不依赖攻击先验知识或行为特征的前提下，使网络信息系统获得服务鲁棒性与品质鲁棒性。
4.在对拟态防御技术进行现网应用时，需要最小化对现网的影响，确保拟态网络设备的部署不干扰现有网络业务。为满足该需要，本发明提供了一种拟态网络设备的组网方法。


技术实现要素：

5.为此，本发明实施例提供一种拟态网络设备现网部署的组网方法及系统，通过该组网方法，能确保拟态设备现网部署时不需要大的网络调整，拟态网络设备的接入不会对已有网络业务产生影响。
6.为了实现上述目的，本发明实施例提供如下技术方案：
7.根据本发明实施例的第一方面，提出了一种拟态网络设备现网部署的组网方法，现有网络设备包括用户终端设备、交换机、服务器以及第一接入路由器，所述用户终端设备通过交换机连接第一接入路由器，所述服务器连接第一接入路由器，所述第一接入路由器连接信息网络，拟态网络设备包括拟态路由器和拟态服务区设备；
8.所述组网方法包括：
9.将所述拟态路由器与所述第一接入路由器和交换机互联，承载部分转发数据，所述拟态路由器与所述第一接入路由器互为备份关系；
10.将所述拟态服务区设备所述拟态服务区设备连接所述拟态路由器和第一接入路由器，所述拟态服务区设备仅提供服务不转发数据。
11.进一步地，所述拟态网络设备还包括拟态网关，所述组网方法还包括：
12.将所述拟态网关与所述第一接入路由器和拟态路由器互联，所述用户终端设备连接拟态网关，当所述拟态网关故障时，关闭其安全功能并切换为传统交换机模式提供服务。
13.进一步地，所述第一接入路由器与信息网络之间设置有防火墙，所述防火墙与信息网络之间连接有第二接入路由器。
14.进一步地，所述拟态网络设备还包括拟态防火墙，所述组网方法还包括：
15.将所述拟态防火墙部署于所述拟态路由器与第二接入路由器之间，当拟态防火墙失效时，借助所述拟态路由器的动态路由机制，选择备用路由转发流量数据，自动绕开故障链路，确保业务的连续性。
16.进一步地，所述拟态服务区设备包括拟态域名服务器、拟态web服务器以及拟态分布式存储系统。
17.根据本发明实施例的第二方面，提出了一种拟态网络设备现网部署的组网系统，所述系统包括现有网络设备和拟态网络设备；
18.所述现有网络设备包括用户终端设备、交换机、服务器以及第一接入路由器，所述用户终端设备通过交换机连接第一接入路由器，所述服务器连接第一接入路由器，所述第一接入路由器连接信息网络；
19.所述拟态网络设备包括拟态路由器和拟态服务区设备，所述拟态路由器与所述第一接入路由器和交换机互联，所述拟态服务区设备所述拟态服务区设备连接所述拟态路由器和第一接入路由器。
20.进一步地，所述拟态网络设备还包括拟态网关；
21.所述拟态网关与所述第一接入路由器和拟态路由器互联，所述用户终端设备连接拟态网关。
22.进一步地，所述第一接入路由器与信息网络之间设置有防火墙，所述防火墙与信息网络之间连接有第二接入路由器。
23.进一步地，所述拟态网络设备还包括拟态防火墙，所述拟态防火墙部署于所述拟态路由器与第二接入路由器之间。
24.进一步地，所述拟态服务区设备包括拟态域名服务器、拟态web服务器以及拟态分布式存储系统。
25.本发明实施例具有如下优点：
26.本发明实施例提出的一种拟态网络设备现网部署的组网方法及系统，能确保拟态设备现网部署时不需要大的网络调整，拟态网络设备的接入不会对已有网络业务产生影响。
附图说明
27.为了更清楚地说明本发明的实施方式或现有技术中的技术方案，下面将对实施方式或现有技术描述中所需要使用的附图作简单地介绍。显而易见地，下面描述中的附图仅仅是示例性的，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据
提供的附图引伸获得其它的实施附图。
28.图1为现有网络拓扑结构示意图；
29.图2为本发明实施例1提供的一种拟态网络设备现网部署的组网方法中组网拓扑结构示意图；
30.图3为本发明实施例1提供的一种拟态网络设备现网部署的组网方法中拟态路由器失效时的网络通信路径；
31.图4为本发明实施例1提供的一种拟态网络设备现网部署的组网方法中拟态网关失效时的网络通信路径；
32.图5为本发明实施例1提供的一种拟态网络设备现网部署的组网方法中拟态防火墙失效时的网络通信路径。
具体实施方式
33.以下由特定的具体实施例说明本发明的实施方式，熟悉此技术的人士可由本说明书所揭露的内容轻易地了解本发明的其他优点及功效，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
34.实施例1
35.本发明实施例1提出了一种拟态网络设备现网部署的组网方法，现有网络设备包括用户终端设备110、交换机120、第一接入路由器130以及服务器140，其拓扑结构如图1所示，用户终端设备110通过交换机120连接第一接入路由器130，服务器140连接第一接入路由器130，第一接入路由器130连接信息网络。拟态网络设备组网拓扑结构如图2所示，拟态网络设备包括拟态路由器210和拟态服务区设备220。
36.具体的，该组网方法包括：
37.s310、将拟态路由器210与第一接入路由器130和交换机120互联，承载部分转发数据，拟态路由器210与第一接入路由器130互为备份关系，确保拟态路由器210的失效不会对现有网络业务产生影响，当拟态路由器210失效时，网络通信路径如图3所示(图中加粗虚线标示了通信路径)；
38.s320、将拟态服务区设备220拟态服务区设备220连接拟态路由器210和第一接入路由器130以接入已有网络，拟态服务区设备220仅提供服务不转发数据，不会对既有网络产生影响。具体的，拟态服务区设备220包括拟态域名服务器、拟态web服务器以及拟态分布式存储系统。
39.进一步地，拟态网络设备还包括拟态网关230，该组网方法还包括：
40.s330、将拟态网关230与第一接入路由器130和拟态路由器210互联，用户终端设备110连接拟态网关230，当拟态网关230故障时，关闭其安全功能并切换为传统交换机120模式提供服务，此情况下的通信路径如图4所示(图中加粗虚线标示了通信路径)。
41.进一步地，第一接入路由器130与信息网络之间设置有防火墙150，防火墙150与信息网络之间连接有第二接入路由器160。
42.进一步地，拟态网络设备还包括拟态防火墙240，该组网方法还包括：
43.s340、将拟态防火墙240部署于拟态路由器210与第二接入路由器160之间，当拟态
防火墙240失效时，借助拟态路由器210的动态路由机制，选择备用路由转发流量数据，自动绕开故障链路，确保业务的连续性，此情况下的通信路径如图5所示(图中加粗虚线标示了通信路径)。
44.本发明实施例提出的一种拟态网络设备现网部署的组网方法，能确保拟态设备现网部署时不需要大的网络调整，拟态网络设备的接入不会对已有网络业务产生影响。
45.实施例2
46.本发明实施例2提出了一种拟态网络设备现网部署的组网系统，该系统包括现有网络设备和拟态网络设备；
47.现有网络设备包括用户终端设备110、交换机120、服务器140以及第一接入路由器130，用户终端设备110通过交换机120连接第一接入路由器130，服务器140连接第一接入路由器130，第一接入路由器130连接信息网络；
48.拟态网络设备包括拟态路由器210和拟态服务区设备220，拟态路由器210与第一接入路由器130和交换机120互联，拟态服务区设备220拟态服务区设备220连接拟态路由器210和第一接入路由器130。
49.进一步地，拟态网络设备还包括拟态网关230；
50.拟态网关230与第一接入路由器130和拟态路由器210互联，用户终端设备110连接拟态网关230。
51.进一步地，第一接入路由器130与信息网络之间设置有防火墙150，防火墙150与信息网络之间连接有第二接入路由器160。
52.进一步地，拟态网络设备还包括拟态防火墙240，拟态防火墙240部署于拟态路由器210与第二接入路由器160之间。
53.进一步地，拟态服务区设备220包括拟态域名服务器、拟态web服务器以及拟态分布式存储系统。
54.本发明实施例提供的一种拟态网络设备现网部署的组网系统中各部件所执行的功能均已在上述实施例1中做了详细介绍，因此这里不做过多赘述。
55.本发明实施例提出的一种拟态网络设备现网部署的组网系统，能确保拟态设备现网部署时不需要大的网络调整，拟态网络设备的接入不会对已有网络业务产生影响。
56.虽然，上文中已经用一般性说明及具体实施例对本发明作了详尽的描述，但在本发明基础上，可以对之作一些修改或改进，这对本领域技术人员而言是显而易见的。因此，在不偏离本发明精神的基础上所做的这些修改或改进，均属于本发明要求保护的范围。