亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

網(wǎng)絡(luò)反饋主機(jī)安全防護(hù)方法

文檔序號:7707337閱讀:247來源:國知局
專利名稱:網(wǎng)絡(luò)反饋主機(jī)安全防護(hù)方法
技術(shù)領(lǐng)域
本發(fā)明涉及一種網(wǎng)絡(luò)反饋主機(jī)安全防護(hù)方法,屬于網(wǎng)絡(luò)信息安全技術(shù)領(lǐng)域。
背景技術(shù)
Internet的迅速發(fā)展在提高了工作效率的同時(shí),也帶來了 一個(gè)日益嚴(yán)峻的問題一 一網(wǎng)絡(luò)安全。人們研究各種不同的網(wǎng)絡(luò)安全防護(hù)手段保護(hù)計(jì)算機(jī)和網(wǎng)絡(luò)上的信息資 源,抵擋黑客的各種攻擊活動(dòng)。防火墻技術(shù)是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技 術(shù)基礎(chǔ)上的應(yīng)用性安全防護(hù)技術(shù),越來越多地應(yīng)用于專用網(wǎng)絡(luò)與公用網(wǎng)絡(luò)的互連環(huán)境 之中,尤以Internet網(wǎng)絡(luò)為最甚。Internet的迅猛發(fā)展,使得防火墻產(chǎn)品在短短的幾 年內(nèi)異軍突起,很快形成了 一個(gè)產(chǎn)業(yè)。
防火墻是指設(shè)置在不同網(wǎng)絡(luò)(如可信4壬的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安 全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口 , 能才艮據(jù)安全策略控制(允許、拒絕、監(jiān)測)出入網(wǎng)絡(luò)的信息流,且本身具有較強(qiáng)的抗攻 擊能力。它是提供信息安全服務(wù),實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。在邏輯上,防火 墻是一個(gè)分離器、限制器、分析器,有效地監(jiān)控內(nèi)部網(wǎng)絡(luò)和Internet之間的任何活 動(dòng),保證了內(nèi)部網(wǎng)絡(luò)的安全。防火墻深層策略的制定與安全事件的響應(yīng),以及如何防 止各種防火墻突破技術(shù)是目前防護(hù)墻研究的重點(diǎn)。
傳統(tǒng)的防火墻通常是基于訪問控制列表(ACL)進(jìn)行包過濾的。隨著計(jì)算機(jī)技術(shù)的 發(fā)展,新的防火墻技術(shù)不斷涌現(xiàn),如電路級網(wǎng)關(guān)技術(shù)、應(yīng)用網(wǎng)關(guān)技術(shù)和動(dòng)態(tài)包過濾技 水等。新一代防火墻系統(tǒng)不僅應(yīng)該能更好地保護(hù)防火墻后面內(nèi)部網(wǎng)絡(luò)的安全,而且應(yīng) 該具有更為優(yōu)良的整體性能。
現(xiàn)有防火墻安全防護(hù)的新技術(shù)有
一種實(shí)現(xiàn)包過濾的防火墻及其實(shí)現(xiàn)包過濾的方法,該防火墻包括同步動(dòng)態(tài)隨機(jī)存 儲(chǔ)器,網(wǎng)絡(luò)處理器芯片,靜態(tài)隨機(jī)存儲(chǔ)器,緩存器和引導(dǎo)只讀存儲(chǔ)器;該實(shí)現(xiàn)包過濾 的方法使用所迷防火墻包括以下步驟,-由微引擎完成以下操作接收處理,規(guī)則處 理,發(fā)送處理;由strongarm核完成控制處理。
5一種防火墻與入侵檢測系統(tǒng)聯(lián)動(dòng)的方法,入侵檢測系統(tǒng)檢測到網(wǎng)絡(luò)中的入侵行為
后,與防火墻建立聯(lián)動(dòng)的安全通信信道;入侵檢測系統(tǒng)通過安全通信信道向防火墻發(fā)
送聯(lián)動(dòng)內(nèi)容;防火墻根據(jù)收到的聯(lián)動(dòng)內(nèi)容,生成相應(yīng)的安全規(guī)則,阻斷攻擊行為。
一種計(jì)算機(jī)網(wǎng)絡(luò)防火墻,其基本的控制方法是以狀態(tài)包過濾的形態(tài)實(shí)現(xiàn)對應(yīng)用 層的保護(hù),通過內(nèi)嵌的專門實(shí)現(xiàn)的TCP協(xié)議棧,在狀態(tài)檢測包過濾的基礎(chǔ)上實(shí)現(xiàn)了透
明的應(yīng)用信息過濾機(jī)制,防火墻的標(biāo)準(zhǔn)設(shè)計(jì),具備完善的身份鑒別、訪問控制和審計(jì)
能力,同時(shí),系統(tǒng)提供了豐富的GUI方式的管理和監(jiān)控工具,能夠方便的對系統(tǒng)進(jìn)行 安全策略配置、用戶管理、實(shí)時(shí)監(jiān)控、審計(jì)查詢、流量管理等操作,為保證系統(tǒng)的安 全運(yùn)行,系統(tǒng)能夠有效的防范多種DOS的攻擊手段,并對攻擊事件進(jìn)行報(bào)警。
這些防火墻技術(shù)可以分為兩種基于主機(jī)的防火墻技術(shù)和基于網(wǎng)絡(luò)的防火墻技 術(shù)。主機(jī)防火墻主要的防護(hù)對象是網(wǎng)絡(luò)中的服務(wù)器和桌面機(jī),主要釆用軟件形式進(jìn)行 防護(hù),實(shí)時(shí)監(jiān)控系統(tǒng)運(yùn)行的各個(gè)進(jìn)程和軟件,保證系統(tǒng)不被病毒感染。主機(jī)防火墻的 優(yōu)點(diǎn)在于能夠針對主機(jī)上運(yùn)行的具體應(yīng)用和對外提供的服務(wù)設(shè)定針對性很強(qiáng)的安全 策略,監(jiān)控主機(jī)上各進(jìn)程、開放服務(wù)的網(wǎng)絡(luò)連接和操作,對非法的^:作、連接和訪問 給予報(bào)警和阻斷。不足之處在于,如果病毒等惡意代碼的采用比主機(jī)防火墻監(jiān)控技術(shù) 更深層次的操作系統(tǒng)內(nèi)核機(jī)制,主機(jī)防火墻就不能起到很好的監(jiān)控效果。
而網(wǎng)絡(luò)防火墻位于內(nèi)部網(wǎng)與外部網(wǎng)以及內(nèi)部各子網(wǎng)之間,通過包過濾、應(yīng)用代 理、狀態(tài)包過濾等方法,對所有進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包進(jìn)行檢測。網(wǎng)絡(luò)防火墻能夠截取所 有通過的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行檢測和處理,但受到防火墻規(guī)則的限制,對某些采用欺騙、 偽裝等技術(shù)進(jìn)行網(wǎng)絡(luò)連接和數(shù)據(jù)傳輸?shù)牟《静荒苡行У囊唤饻y。

發(fā)明內(nèi)容
本發(fā)明的目的是提供一種網(wǎng)絡(luò)反饋主機(jī)安全防護(hù)方法,在計(jì)算機(jī)系統(tǒng)遭受入侵或 感染病毒的情況下,能夠在一定程度上防止病毒、木馬等惡意的對外連接,無法竊取 本地信息。本系統(tǒng)提供方便的管理接口,靈活配置安全策略和訪問權(quán)限,提高日志和 審計(jì)功能。
該系統(tǒng)由硬件設(shè)備和PC終端軟件組成,可以應(yīng)用在個(gè)人或單位等各種網(wǎng)絡(luò)環(huán)境 中。主要內(nèi)容為主機(jī)監(jiān)控軟件對系統(tǒng)的進(jìn)程、文件、應(yīng)用軟件、網(wǎng)絡(luò)連接等各種資源進(jìn)行監(jiān)控,網(wǎng)絡(luò)硬件設(shè)備檢測并控制內(nèi)外網(wǎng)之間的連接,主機(jī)監(jiān)控與網(wǎng)絡(luò)檢測有機(jī)的 交叉融合,從而更加有效的保護(hù)計(jì)算機(jī)終端上信息的安全性。
計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)系統(tǒng)的總體結(jié)構(gòu)由網(wǎng)絡(luò)安全防護(hù)硬件設(shè)備、用戶PC機(jī)、管理
和審計(jì)服務(wù)器三部分組成。網(wǎng)絡(luò)防護(hù)系統(tǒng)位于PC機(jī)與Internet之間,隔離內(nèi)外網(wǎng)絡(luò), 實(shí)現(xiàn)對內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的網(wǎng)絡(luò)連接的訪問控制。PC機(jī)是用戶連接Internet網(wǎng) 絡(luò)訪問的終端設(shè)備,PC機(jī)上安裝有主機(jī)防護(hù)軟件,監(jiān)控系統(tǒng)中進(jìn)程、文件、注冊表、 應(yīng)用程序等各種資源的正常運(yùn)行。主機(jī)防護(hù)軟件與網(wǎng)絡(luò)安全防護(hù)硬件能夠進(jìn)行信息的 交互,更新網(wǎng)絡(luò)防護(hù)規(guī)則,并對用戶進(jìn)行安全事件告警,由用戶選擇處理策略。管理 和審計(jì)服務(wù)器負(fù)責(zé)網(wǎng)絡(luò)安全防護(hù)硬件設(shè)備的配置和管理,用戶進(jìn)行Internet連接和行 為及發(fā)生安全事件的審計(jì)工作。
工作步驟具體如下
步驟一策略配置與下達(dá)
在審計(jì)控制端裝有管理軟件,方便管理員對內(nèi)部網(wǎng)絡(luò)訪問外網(wǎng)的權(quán)限進(jìn)行配置。 管理員可對不同的用戶登陸ID配置不同的權(quán)限,方便進(jìn)行分別管理。控制臺(tái)配置防護(hù) 規(guī)則文件,其中網(wǎng)址的訪問控制列表是基于白名單的,訪問控制列表中含有可信域名或 可信IP地址,將該配置文件下達(dá)到網(wǎng)絡(luò)防護(hù)硬件。
步驟二網(wǎng)絡(luò)防護(hù)^便件初始化。
網(wǎng)絡(luò)防護(hù)硬件在接受到配置文件后,對其中用戶配置的可信IP地址添加到訪問控 制列表中。對其中的可信域名,通過發(fā)送DNS數(shù)據(jù)包,進(jìn)行可信域名的DNS解析,獲得 可信域名對應(yīng)的可信IP,并把IP添加到訪問控制列表中。
步驟三監(jiān)控網(wǎng)絡(luò)連接,基于步驟一,二中的形成的配置文件,實(shí)現(xiàn)訪問控制 (一)若系統(tǒng)中發(fā)現(xiàn)有E-mail的收發(fā),則捕獲郵件數(shù)據(jù)包,根據(jù)相關(guān)郵件協(xié)議對其 進(jìn)行深度解析。將解析出的發(fā)信人郵件的地址,收信人的郵件地址,是否含有附件以及 附件文件的格式等相關(guān)信息,由網(wǎng)絡(luò)硬件防護(hù)設(shè)備反饋給用戶主機(jī),并向用戶主機(jī)發(fā)送 核實(shí)信息以及確認(rèn)是否收發(fā)的命令,系統(tǒng)根據(jù)用戶的反饋命令,決定是否允許該E-mail 的收發(fā)。
這一處理機(jī)制,在用戶主機(jī)感染木馬、病毒后,能有效的遏制木馬、病毒竊取主機(jī)的信息。
(二)若系統(tǒng)中發(fā)現(xiàn)DNS數(shù)據(jù)包,則捕獲DNS數(shù)據(jù)包,對其進(jìn)行深度解析。將解析 出的域名與配置文件的可信域名匹配。
如果匹配成功,則允許該DNS數(shù)據(jù)包的通過。
如果匹配不成功,網(wǎng)絡(luò)安全防護(hù)石更件將解析DNS獲得的目的地址域名信息反^t給 用戶主機(jī),詢問用戶是否訪問。若用戶回饋否,則該目的地址禁止訪問,禁止該DNS數(shù) 據(jù)包的通過。若用戶回饋是,則將該目的地址的IP和域名添加到配置文件的臨時(shí)白名 單列表,即該IP相對步驟二中的可信IP為不完全可信IP,系統(tǒng)將其視為臨時(shí)的白名 單,允許用戶按照審計(jì)控制臺(tái)形成的配置文件中已設(shè)定的訪問控制策略對其進(jìn)行受限訪 問。
(三)對于流經(jīng)的其他數(shù)據(jù)包,判斷是否是流經(jīng)于系統(tǒng)與允許訪問的目的地址(包 含配置文件中的白名單和臨時(shí)白名單)之間的數(shù)據(jù)交流,如果是,按照步驟四進(jìn)行處理; 如果不是,則禁止其通過。
步驟四檢測所有流經(jīng)系統(tǒng)與可信地址之間的數(shù)據(jù)包,對其進(jìn)行深度解析,基于設(shè) 定規(guī)則進(jìn)行包過濾。
對于流經(jīng)系統(tǒng)與該目的地址之間的數(shù)據(jù)包,基于配制文件中設(shè)定的過濾規(guī)則進(jìn)行處 理,即根據(jù)數(shù)據(jù)包的源地址、目的地址、協(xié)il類型,源端口號、目的端口號,數(shù)據(jù)包頭 中的各種標(biāo)志位以及數(shù)據(jù)包的流向等因素來確定是否允許數(shù)據(jù)包通過。
另外,解析數(shù)據(jù)包中的應(yīng)用層協(xié)議,對于應(yīng)用協(xié)議中控制連接的指令包和由外網(wǎng)發(fā) 向內(nèi)網(wǎng)的數(shù)據(jù)包允許通過,而對于從內(nèi)網(wǎng)發(fā)往外網(wǎng)的數(shù)據(jù)包進(jìn)行控制,默認(rèn)為拒絕發(fā)送 狀態(tài),但可根據(jù)用戶的配置策略有選擇的轉(zhuǎn)發(fā)。
步驟五網(wǎng)絡(luò)行為審計(jì)
網(wǎng)絡(luò)防護(hù)^ 更件實(shí)時(shí)統(tǒng)計(jì)用戶的網(wǎng)l備^ 亍為如使用網(wǎng)絡(luò)的用戶,用戶^_用網(wǎng)絡(luò)的時(shí)間, 用戶訪問的網(wǎng)站,郵件發(fā)送接收情況,進(jìn)出網(wǎng)絡(luò)的連接以及對數(shù)據(jù)包應(yīng)用層的分析等審 計(jì)信息,形成相關(guān)的日志,并將日志發(fā)送到審計(jì)控制端。
步驟六完善策略配置,更新配置文件
審計(jì)控制端沖艮據(jù)相關(guān)日志和審計(jì)信息,更改用戶的訪問權(quán)限,添加或刪除訪問控制列表中的名單,完善策略配置,更新配置文件,并把新的配置文件下達(dá)到網(wǎng)絡(luò)防護(hù)硬件。
有益效果
1、 網(wǎng)絡(luò)防護(hù)與主機(jī)防護(hù)的有機(jī)結(jié)合。本系統(tǒng)采用網(wǎng)絡(luò)安全硬件設(shè)備與主機(jī)防護(hù)軟 件結(jié)合的方式,網(wǎng)絡(luò)防護(hù)和主機(jī)防護(hù)都不再孤立的存在,而是相互交叉融合。
2、 在計(jì)算機(jī)終端遭到木馬、病毒等惡意攻擊的情況下,能在一定程度上保證計(jì)算 機(jī)終端信息的安全性,使得木馬、病毒無法連接遠(yuǎn)程網(wǎng)絡(luò)和竊取信息。
3、 高效靈活的策略配置和審計(jì)功能,使用戶能夠及時(shí)全面的管理配置網(wǎng)絡(luò)安全防 護(hù)系統(tǒng),并掌握計(jì)算機(jī)終端所有網(wǎng)絡(luò)連接和行為。


圖1 是網(wǎng)絡(luò)反饋主機(jī)安全防護(hù)方法的功能模塊圖
圖2 是網(wǎng)絡(luò)反饋主機(jī)安全防護(hù)方法工作中對郵件處理的流程圖
圖3 是網(wǎng)絡(luò)反饋主機(jī)安全防護(hù)方法中除E-mail外的目的地址訪問控制處理工 作流程圖
圖4 是網(wǎng)絡(luò)反饋主機(jī)安全防護(hù)方法網(wǎng)絡(luò)安全防護(hù)硬件整體結(jié)構(gòu)圖
圖5 是網(wǎng)絡(luò)反饋主機(jī)安全防護(hù)方法的網(wǎng)絡(luò)硬件設(shè)備接口示意圖
具體實(shí)施例方式
現(xiàn)結(jié)合

對發(fā)明內(nèi)容進(jìn)行進(jìn)一步解釋說明。
該系統(tǒng)由石更件設(shè)備和PC終端軟件組成,可以應(yīng)用在個(gè)人或單位等各種網(wǎng)絡(luò)環(huán)境 中。主要內(nèi)容為主機(jī)監(jiān)控軟件對系統(tǒng)的進(jìn)程、文件、應(yīng)用軟件、網(wǎng)絡(luò)連接等各種資源 進(jìn)行監(jiān)控,網(wǎng)絡(luò)硬件設(shè)備片企測并控制內(nèi)外網(wǎng)之間的連接,主對凡監(jiān)控與網(wǎng)絡(luò)檢測有機(jī)的 交叉融合,從而更加有效的保護(hù)計(jì)算機(jī)終端上信息的安全性。
計(jì)算才兒網(wǎng)絡(luò)安全防護(hù)系統(tǒng)的總體結(jié)構(gòu)由網(wǎng)絡(luò)安全防護(hù)硬件設(shè)備、用戶PC機(jī)、管理 和審計(jì)服務(wù)器三部分組成。網(wǎng)絡(luò)防護(hù)系統(tǒng)位于PC機(jī)與Intemet之間,隔離內(nèi)外網(wǎng)絡(luò),
9實(shí)現(xiàn)對內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的網(wǎng)絡(luò)連接的訪問控制。PC機(jī)是用戶連接Internet網(wǎng) 絡(luò)訪問的終端設(shè)備,PC機(jī)上安裝有主機(jī)防護(hù)軟件,監(jiān)控系統(tǒng)中進(jìn)程、文件、注冊表、 應(yīng)用程序等各種資源的正常運(yùn)行。主機(jī)防護(hù)軟件與網(wǎng)絡(luò)安全防護(hù)硬件能夠進(jìn)行信息的 交互,更新網(wǎng)絡(luò)防護(hù)規(guī)則,并對用戶進(jìn)行安全事件告警,由用戶選擇處理策略。管理 和審計(jì)服務(wù)器負(fù)責(zé)網(wǎng)絡(luò)安全防護(hù)硬件設(shè)備的配置和管理,用戶進(jìn)行Internet連接和行 為及發(fā)生安全事件的審計(jì)工作。
網(wǎng)絡(luò)安全防護(hù)硬件主要用來隔離主機(jī)與Internet,對所有進(jìn)出的數(shù)據(jù)包進(jìn)行檢測, 判定是否允許對目的地址的訪問,阻斷不符合安全規(guī)則的數(shù)據(jù),并完成與主積4關(guān)動(dòng)、審 計(jì)等功能。其功能結(jié)構(gòu)如圖4所示,主要包括了 CPU、 SRAM、 SDRAM、 Flash、外部接 口等。網(wǎng)絡(luò)安全防護(hù)硬件結(jié)構(gòu)圖如圖三所示。
網(wǎng)絡(luò)防護(hù)系統(tǒng)網(wǎng)絡(luò)接口如圖5所示。網(wǎng)絡(luò)安全防護(hù)^更件有三個(gè)以太網(wǎng)接口和一個(gè) USB接口。其中三個(gè)以太網(wǎng)接口分別連接內(nèi)部主機(jī)、外部網(wǎng)絡(luò)和審計(jì)控制。USB接口用 于和內(nèi)部主機(jī)的確認(rèn)交互及信息反饋。
參照系統(tǒng)結(jié)構(gòu)圖中的連接方式,將計(jì)算機(jī)終端通過網(wǎng)絡(luò)硬件防護(hù)設(shè)備連接到 Internet,網(wǎng)絡(luò)硬件防護(hù)設(shè)備還需連接審計(jì)管理服務(wù)器。
管理員在審計(jì)管理服務(wù)器上配置網(wǎng)絡(luò)防護(hù)規(guī)則策略,下發(fā)至網(wǎng)絡(luò)硬件防護(hù)設(shè)備, 網(wǎng)絡(luò)防護(hù)硬件在接收到配置文件后,根據(jù)網(wǎng)址的訪問控制列表中的可信域名,通過發(fā)送 DNS數(shù)據(jù)包,然后解析相應(yīng)的DNS應(yīng)答數(shù)據(jù)包,獲得可信域名對應(yīng)的可信IP,并把IP 添加到配置文件的訪問控制列表中,然后系統(tǒng)就會(huì)按照配置文件的配置規(guī)則進(jìn)行安全防 護(hù)。 '
計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)系統(tǒng)的功能模塊如圖l所示。整個(gè)系統(tǒng)含有五個(gè)功能模塊,分 別為消息通信模塊,網(wǎng)絡(luò)應(yīng)用訪問控制模塊,數(shù)據(jù)包過濾模塊,審計(jì)模塊,策略配置 模塊。
消息通信模塊實(shí)現(xiàn)用戶主機(jī)與網(wǎng)絡(luò)防護(hù)硬件,以及網(wǎng)絡(luò)防護(hù)硬件與審計(jì)控制端的 信息交互。確保用戶主機(jī)與網(wǎng)絡(luò)防護(hù)硬件之間及時(shí)通信,保證審計(jì)控制端的配置文件安 全準(zhǔn)確下達(dá)到網(wǎng)絡(luò)防護(hù)硬件。
網(wǎng)絡(luò)應(yīng)用訪問控制模塊 一方面,控制郵件的收發(fā),防止感染主機(jī)的病毒,木馬竊取用戶信息。另一方面,基于配置文件的白名單,對位于訪問列表中的可信目的地址允
許用戶直接訪問;對于不在訪問列表中的目的地址,通過詢問用戶的方式,以及根據(jù)配
置文件中設(shè)定的控制訪問策略來判定是允許對目的地址的受限訪問還是禁止對目的地
址的訪問。
數(shù)據(jù)包過濾模塊對于流經(jīng)系統(tǒng)的所有數(shù)據(jù)包,基于配制文件中設(shè)定的過濾規(guī)則進(jìn) 行處理,即根據(jù)數(shù)據(jù)包的源地址、目的地址、協(xié)議類型,源端口號、目的端口號,數(shù)據(jù) 包頭中的各種標(biāo)志位以及數(shù)據(jù)包的流向等因素來確定是否允許數(shù)據(jù)包通過。
審計(jì)模塊統(tǒng)計(jì)用戶的網(wǎng)絡(luò)行為如使用網(wǎng)絡(luò)的用戶,用戶使用網(wǎng)絡(luò)的時(shí)間,用戶訪 問的網(wǎng)站,郵件發(fā)送接收情況以及處理數(shù)據(jù)包的相關(guān)信息等審計(jì)信息,并形成相關(guān)的日志o
策略配置模塊根據(jù)相關(guān)日志和審計(jì)信息,更改用戶的訪問權(quán)限,添加或刪除訪問 控制列表中的名單,完善策略配置,更新配置文件。 系統(tǒng)的主要功能描述 (1 )控制主機(jī)的對外連接
網(wǎng)絡(luò)防護(hù)系統(tǒng)可以精確控制內(nèi)網(wǎng)主機(jī)對外的連接行為.網(wǎng)絡(luò)防護(hù)系統(tǒng)可根據(jù)網(wǎng)絡(luò) 管理員設(shè)置的網(wǎng)站訪問權(quán)限,對內(nèi)部網(wǎng)絡(luò)實(shí)施集中的安全管理。確保一個(gè)單位內(nèi)的網(wǎng) 絡(luò)與因特網(wǎng)的通信符合該單位的安全策略。
即使在感染在病毒與木馬后,也可以防止它們與外部通信,從而保證內(nèi)部信息的 機(jī)密性。只有在訪問權(quán)限內(nèi)的數(shù)據(jù)包才能通過,阻止病毒與木馬等對外連接,保證內(nèi) 部網(wǎng)絡(luò)的安全與可控性。 (2 )郵件安全防護(hù)
網(wǎng)絡(luò)防護(hù)系統(tǒng)對郵件進(jìn)行安全檢測,并發(fā)送反饋信息至客戶端進(jìn)行確認(rèn)交互。對 由內(nèi)部往外部發(fā)送的郵件,如果檢測到存在安全隱患,則反饋提醒信息來防止信息竊. 取。只有用戶對所發(fā)送郵件內(nèi)容、附件及收信人等信息確認(rèn)后,郵件才能被發(fā)送出 去。即使在感染病毒或木馬后,也可以防止內(nèi)部機(jī)密信息外泄。 (3)對外部網(wǎng)絡(luò)的防護(hù)
從外部網(wǎng)絡(luò)訪問內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包,要進(jìn)行包匹配檢查,只有符合訪問規(guī)則的數(shù)據(jù)包才能通過網(wǎng)絡(luò)防護(hù)系統(tǒng)。對不安全的數(shù)據(jù)包進(jìn)行過濾,隔離內(nèi)外網(wǎng)絡(luò),保證內(nèi)部 網(wǎng)絡(luò)不受外部網(wǎng)絡(luò)的攻擊。 (4)日志與審計(jì)功能
提供了可選的審計(jì)功能,為管理人員提供下列信息誰在使用網(wǎng)絡(luò),在網(wǎng)絡(luò)上做 什么,什么時(shí)間使用了網(wǎng)絡(luò),上網(wǎng)去了何處,誰要上網(wǎng)沒有成功等審計(jì)信息。這為完 善策略配置,更新配置文件提供了寶貴的資料。
若用戶訪問某個(gè)目的地址(E-mai 1除外),網(wǎng)絡(luò)安全防護(hù)系統(tǒng)截獲流經(jīng)的數(shù)據(jù)包。
若數(shù)據(jù)包是DNS數(shù)據(jù)包,網(wǎng)絡(luò)防護(hù)硬件對其進(jìn)行深度解析。將解析出的域名與配置 文件的可信域名匹配。如果匹配成功,則允許該DNS數(shù)據(jù)包的通過。如果匹配不成功, 網(wǎng)絡(luò)安全防護(hù)硬件將解析MS獲得的目的地址域名信息反饋給用戶主機(jī),詢問用戶是 否訪問。若用戶回饋否,則該目的地址禁止訪問,禁止該DNS數(shù)據(jù)包的通過。若用戶回 饋是,則將該目的地址的IP和域名添力口到配置文件的臨時(shí)白名單列表,即該IP相對步 驟二中的可信IP為不完全可信IP,系統(tǒng)將其視為臨時(shí)的白名單,允許用戶按照控制臺(tái) 下達(dá)的配置文件中已設(shè)定的訪問控制策略對其進(jìn)行受限訪問。
若數(shù)據(jù)包不是DNS數(shù)據(jù)包,網(wǎng)絡(luò)通過解析該數(shù)據(jù)包,獲得其目的地址的IP,從而 判斷該包是否是流經(jīng)于系統(tǒng)與允許訪問的目的地址(包含配置文件中的白名單和臨時(shí)白 名單)之間的數(shù)據(jù)交流。如果不是,則禁止其通過;如果是,系統(tǒng)按照設(shè)定的過濾規(guī)則, 對該數(shù)據(jù)包進(jìn)行檢查和處理,任何不符合規(guī)則的數(shù)據(jù)包都將按照指定操作處理。當(dāng)需要 與主機(jī)交互時(shí),網(wǎng)絡(luò)硬件防護(hù)設(shè)備通過USB接口與主機(jī)通信,報(bào)告安全檢測結(jié)果,并根 據(jù)用戶返回策略進(jìn)行相應(yīng)處理。
若系統(tǒng)中發(fā)現(xiàn)有用戶操作E-raail的收發(fā),則捕獲郵件數(shù)據(jù)包,根據(jù)相關(guān)郵件協(xié)議 對其進(jìn)行深度解析。將解析出的發(fā)信人郵件的地址,收信人的郵件地址,是否舍有附件 以及附件文件的格式等相關(guān)信息,由網(wǎng)絡(luò)硬件防護(hù)設(shè)備反饋給用戶主機(jī),并向用戶主機(jī) 發(fā)送核實(shí)信息以及確認(rèn)是否收發(fā)的命令,系統(tǒng)根據(jù)用戶的反饋命令,決定是否允許該 E-mail的收發(fā)。這在用戶主機(jī)感染木馬,病毒后,能有的效遏制木馬、病毒竊取主機(jī) 的信息。
網(wǎng)絡(luò)硬件防護(hù)設(shè)備記錄用戶的各種網(wǎng)絡(luò)行為以及處理數(shù)據(jù)包的相關(guān)信息,形成相關(guān)曰志,并發(fā)送給審計(jì)服務(wù)器。
一段時(shí)間后,審計(jì)控制端根據(jù)相關(guān)日志和審計(jì)信息,更改用戶的訪問權(quán)限,添加或 刪除白名單控制訪問列表,完善策略配置,更新配置文件,并把新的配置文件下達(dá)到網(wǎng) 絡(luò)防護(hù)》更件。
工作主要流程如圖2 (基于郵件的處理),如圖3 (除E-mail外的目的地址訪問控 制處理)所示。
本發(fā)明包括但不限于以上的實(shí)施例,凡是在本發(fā)明的精神和原則之下進(jìn)行的任何局 郎改進(jìn),等同替換都將視為在本發(fā)明的保護(hù)范圍之內(nèi)。
權(quán)利要求
1.一種網(wǎng)絡(luò)反饋主機(jī)安全防護(hù)方法,主要由硬件設(shè)備和PC終端軟件組成;其特征在于具體步驟如下步驟一策略配置與下達(dá)在審計(jì)控制端裝有管理軟件,方便管理員對內(nèi)部網(wǎng)絡(luò)訪問外網(wǎng)的權(quán)限進(jìn)行配置;管理員可對不同的用戶登陸I D配置不同的權(quán)限,方便進(jìn)行分別管理;控制臺(tái)配置防護(hù)規(guī)則文件,其中網(wǎng)址的訪問控制列表是基于白名單的,訪問控制列表中含有可信域名或可信IP地址,將該配置文件下達(dá)到網(wǎng)絡(luò)防護(hù)硬件;步驟二網(wǎng)絡(luò)防護(hù)硬件初始化;網(wǎng)絡(luò)防護(hù)硬件在接受到配置文件后,對其中用戶配置的可信IP地址添加到訪問控制列表中;對其中的可信域名,通過發(fā)送DNS數(shù)據(jù)包,進(jìn)行可信域名的DNS解析,獲得可信域名對應(yīng)的可信IP,并把IP添加到訪問控制列表中;步驟三監(jiān)控網(wǎng)絡(luò)連接,基于步驟一,二中的形成的配置文件,實(shí)現(xiàn)訪問控制(一)若系統(tǒng)中發(fā)現(xiàn)有E-mail的收發(fā),則捕獲郵件數(shù)據(jù)包,根據(jù)相關(guān)郵件協(xié)議對其進(jìn)行深度解析;將解析出的發(fā)信人郵件的地址,收信人的郵件地址,是否含有附件以及附件文件的格式等相關(guān)信息,由網(wǎng)絡(luò)硬件防護(hù)設(shè)備反饋給用戶主機(jī),并向用戶主機(jī)發(fā)送核實(shí)信息以及確認(rèn)是否收發(fā)的命令,系統(tǒng)根據(jù)用戶的反饋命令,決定是否允許該E-mail的收發(fā);(二)若系統(tǒng)中發(fā)現(xiàn)DNS數(shù)據(jù)包,則捕獲DNS數(shù)據(jù)包,對其進(jìn)行深度解析;將解析出的域名與配置文件的可信域名匹配;如果匹配成功,則允許該DNS數(shù)據(jù)包的通過;如果匹配不成功,網(wǎng)絡(luò)安全防護(hù)硬件將解析DNS獲得的目的地址域名信息反饋給用戶主機(jī),詢問用戶是否訪問;若用戶回饋否,則該目的地址禁止訪問,禁止該DNS數(shù)據(jù)包的通過;若用戶回饋是,則將該目的地址的IP和域名添加到配置文件的臨時(shí)白名單列表,即該IP相對步驟二中的可信IP為不完全可信IP,系統(tǒng)將其視為臨時(shí)的白名單,允許用戶按照審計(jì)控制臺(tái)形成的配置文件中已設(shè)定的訪問控制策略對其進(jìn)行受限訪問;(三)對于流經(jīng)的其他數(shù)據(jù)包,判斷是否是流經(jīng)于系統(tǒng)與允許訪問的目的地址之間的數(shù)據(jù)交流,系統(tǒng)與允許訪問的目的地址包含配置文件中的白名單和臨時(shí)白名單,如果是,按照步驟四進(jìn)行處理;如果不是,則禁止其通過;步驟四檢測所有流經(jīng)系統(tǒng)與可信地址之間的數(shù)據(jù)包,對其進(jìn)行深度解析,基于設(shè)定規(guī)則進(jìn)行包過濾;對于流經(jīng)系統(tǒng)與該目的地址之間的數(shù)據(jù)包,基于配制文件中設(shè)定的過濾規(guī)則進(jìn)行處理,即根據(jù)數(shù)據(jù)包的源地址、目的地址、協(xié)議類型,源端口號、目的端口號,數(shù)據(jù)包頭中的各種標(biāo)志位以及數(shù)據(jù)包的流向等因素來確定是否允許數(shù)據(jù)包通過;另外,解析數(shù)據(jù)包中的應(yīng)用層協(xié)議,對于應(yīng)用協(xié)議中控制連接的指令包和由外網(wǎng)發(fā)向內(nèi)網(wǎng)的數(shù)據(jù)包允許通過,而對于從內(nèi)網(wǎng)發(fā)往外網(wǎng)的數(shù)據(jù)包進(jìn)行控制,默認(rèn)為拒絕發(fā)送狀態(tài),但可根據(jù)用戶的配置策略有選擇的轉(zhuǎn)發(fā);步驟五網(wǎng)絡(luò)行為審計(jì)網(wǎng)絡(luò)防護(hù)硬件實(shí)時(shí)統(tǒng)計(jì)用戶的網(wǎng)絡(luò)行為如使用網(wǎng)絡(luò)的用戶,用戶使用網(wǎng)絡(luò)的時(shí)間,用戶訪問的網(wǎng)站,郵件發(fā)送接收情況,進(jìn)出網(wǎng)絡(luò)的連接以及對數(shù)據(jù)包應(yīng)用層的分析等審計(jì)信息,形成相關(guān)的日志,并將日志發(fā)送到審計(jì)控制端;步驟六完善策略配置,更新配置文件審計(jì)控制端根據(jù)相關(guān)日志和審計(jì)信息,更改用戶的訪問權(quán)限,添加或刪除訪問控制列表中的名單,完善策略配置,更新配置文件,并把新的配置文件下達(dá)到網(wǎng)絡(luò)防護(hù)硬件。
全文摘要
本發(fā)明公開了一種網(wǎng)絡(luò)反饋主機(jī)安全防護(hù)方法,主要由硬件設(shè)備和PC終端軟件組成;具體過程為,首先進(jìn)行策略配置與下達(dá),然后對網(wǎng)絡(luò)防護(hù)硬件初始化,獲得可信域名對應(yīng)的可信IP;再基于前兩步形成的配置文件,實(shí)施監(jiān)控網(wǎng)絡(luò)連接,實(shí)現(xiàn)訪問控制;接著檢測所有流經(jīng)系統(tǒng)與可信地址之間的數(shù)據(jù)包,對其進(jìn)行深度解析,基于設(shè)定規(guī)則進(jìn)行包過濾;再接著,對網(wǎng)絡(luò)行為審計(jì);最后,完善策略配置,更新配置文件;本方法在計(jì)算機(jī)終端遭到木馬、病毒等惡意攻擊的情況下,能在一定程度上保證計(jì)算機(jī)終端信息的安全性,并能高效靈活的策略配置和審計(jì)功能,使用戶能夠及時(shí)全面的管理配置網(wǎng)絡(luò)安全防護(hù)系統(tǒng),并掌握計(jì)算機(jī)終端所有網(wǎng)絡(luò)連接和行為。
文檔編號H04L29/06GK101567888SQ20091013609
公開日2009年10月28日 申請日期2009年4月28日 優(yōu)先權(quán)日2008年12月29日
發(fā)明者鄭康鋒, 郭世澤 申請人:郭世澤;鄭康鋒
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會(huì)獲得點(diǎn)贊!
1