一種基于用戶業(yè)務(wù)系統(tǒng)的防火墻控制方法和系統(tǒng)與流程

文檔序號(hào)：12376683閱讀：543來(lái)源：國(guó)知局

導(dǎo)航： X技術(shù)> 最新專利>電子通信裝置的制造及其應(yīng)用技術(shù)

一種基于用戶業(yè)務(wù)系統(tǒng)的防火墻控制方法和系統(tǒng)與流程

本發(fā)明涉及信息安全領(lǐng)域，具體涉及一種基于用戶業(yè)務(wù)系統(tǒng)的防火墻控制方法和系統(tǒng)。

背景技術(shù)：

互聯(lián)網(wǎng)技術(shù)的快速發(fā)展以及便捷使用的特點(diǎn)，已使其成為人們工作生活信息交流的最廣泛的平臺(tái)之一，同時(shí)，也使得用戶信息暴露在被攻擊和被竊取的風(fēng)險(xiǎn)之中.

傳統(tǒng)的防火墻/安全網(wǎng)關(guān)可以完成3～4層網(wǎng)絡(luò)的訪問(wèn)控制，但較難形成7層也就是網(wǎng)絡(luò)應(yīng)用層的有效防護(hù)。當(dāng)前廣泛討論的下一代防火墻、應(yīng)用防火墻、NGFW、UTM、上網(wǎng)行為管理產(chǎn)品，可以通過(guò)深度應(yīng)用網(wǎng)絡(luò)協(xié)議分析(DPI)來(lái)識(shí)別具體的應(yīng)用并予以防護(hù).

在現(xiàn)實(shí)工作中，存在多個(gè)不同安全需求的業(yè)務(wù)系統(tǒng)，這些業(yè)務(wù)如果采用相同的應(yīng)用層網(wǎng)絡(luò)協(xié)議，僅依賴針對(duì)網(wǎng)絡(luò)傳輸?shù)膽?yīng)用協(xié)議報(bào)文的分析檢測(cè)，無(wú)法實(shí)現(xiàn)按照業(yè)務(wù)安全需求做細(xì)粒度的訪問(wèn)控制。

另一方面，業(yè)務(wù)系統(tǒng)如果采用了多種網(wǎng)絡(luò)應(yīng)用協(xié)議，安全管理員只能通過(guò)人工方式整理這種對(duì)應(yīng)關(guān)系，并通過(guò)在防火墻/安全網(wǎng)關(guān)上實(shí)施不同應(yīng)用協(xié)議的多條安全策略來(lái)實(shí)現(xiàn)訪問(wèn)控制，防火墻/安全網(wǎng)關(guān)策略和用戶業(yè)務(wù)系統(tǒng)的關(guān)聯(lián)很難理解也很難維護(hù)，提高了運(yùn)維成本增加了出錯(cuò)的可能性。

經(jīng)對(duì)現(xiàn)有技術(shù)的文獻(xiàn)檢索發(fā)現(xiàn)，中國(guó)專利申請(qǐng)?zhí)枺篊N103209181A，發(fā)明名稱：一種linux網(wǎng)絡(luò)架構(gòu)下應(yīng)用連接防火墻的實(shí)現(xiàn)方法，提供了一種linux網(wǎng)絡(luò)架構(gòu)下應(yīng)用連接防火墻的實(shí)現(xiàn)方法，包括步驟：a：系統(tǒng)啟動(dòng)時(shí)，正則表達(dá)式匹配引擎模塊通過(guò)調(diào)用初始化接口函數(shù)對(duì)應(yīng)用層的特征碼配置文件進(jìn)行初始化處理；b：數(shù)據(jù)報(bào)文到達(dá)連接跟蹤模塊時(shí)，系統(tǒng)將連接跟蹤模塊進(jìn)行擴(kuò)展處理；c：數(shù)據(jù)報(bào)文經(jīng)網(wǎng)絡(luò)層、傳輸層連接過(guò)濾處理后，由應(yīng)用層對(duì)數(shù)據(jù)報(bào)文進(jìn)行匹配分析處理連接。它提供的linux網(wǎng)絡(luò)架構(gòu)下應(yīng)用連接防火墻\安全網(wǎng)關(guān)的實(shí)現(xiàn)方法，解決了現(xiàn)有的Netfilter架構(gòu)無(wú)法識(shí)別七層應(yīng)用的問(wèn)題，實(shí)現(xiàn)對(duì)數(shù)據(jù)報(bào)文進(jìn)行從IP層到應(yīng)用層的全方位識(shí)別和控制，但是，該發(fā)明針對(duì)網(wǎng)絡(luò)傳輸?shù)膱?bào)文協(xié)議進(jìn)行解析處理，不能理解哪些網(wǎng)絡(luò)協(xié)議屬于哪種用戶業(yè)務(wù)系統(tǒng)，也無(wú)法做相應(yīng)的控制。中國(guó)專利申請(qǐng)?zhí)枺篊N101160774A，發(fā)明名稱：基于下一代網(wǎng)絡(luò)業(yè)務(wù)的防火墻控制系統(tǒng)及方法.提供了一種基于NGN業(yè)務(wù)的防火墻控制系統(tǒng)及方法。由業(yè)務(wù)控制設(shè)備中的應(yīng)用層代理模塊解析應(yīng)用層信令，進(jìn)行信令流的安全檢測(cè)，確定業(yè)務(wù)媒體流的安全級(jí)別需求信息，并提供給策略決策功能實(shí)體；策略決策功能實(shí)體根據(jù)媒體流的安全級(jí)別需求信息以及保存的策略信息確定相應(yīng)的媒體流的安全級(jí)別控制信息，并提供給網(wǎng)絡(luò)邊界設(shè)備；網(wǎng)絡(luò)邊界設(shè)備中的基于包過(guò)濾的防火墻功能模塊根據(jù)媒體流的安全級(jí)別控制信息對(duì)流經(jīng)的業(yè)務(wù)媒體流進(jìn)行安全檢測(cè)。該發(fā)明使得基于包過(guò)濾的防火墻可以執(zhí)行NGN每用戶每會(huì)話細(xì)粒度的安全分級(jí)處理，可根據(jù)用戶需求和會(huì)話類型動(dòng)態(tài)選擇不同安全級(jí)別的包過(guò)濾工作方式進(jìn)行媒體流的安全檢測(cè)，防止網(wǎng)絡(luò)攻擊。但是，該發(fā)明也是基于到達(dá)防火墻的正在網(wǎng)絡(luò)中傳輸?shù)木W(wǎng)絡(luò)報(bào)文進(jìn)行匹配分析，識(shí)別應(yīng)用協(xié)議或應(yīng)用信令，從而根據(jù)安全級(jí)別的需求進(jìn)而網(wǎng)絡(luò)報(bào)文的處理，如果兩個(gè)業(yè)務(wù)系統(tǒng)的報(bào)文協(xié)議相同，就無(wú)法做區(qū)別控制。

技術(shù)實(shí)現(xiàn)要素：

為了解決上述問(wèn)題，本發(fā)明提出了一種基于用戶業(yè)務(wù)系統(tǒng)的防火墻控制方法和系統(tǒng)，能夠?qū)崿F(xiàn)基于用戶業(yè)務(wù)系統(tǒng)的防火墻級(jí)別的安全訪問(wèn)控制，增強(qiáng)了用戶安全管理的易用性。

為了達(dá)到上述目的，本發(fā)明提出了一種基于用戶業(yè)務(wù)系統(tǒng)的防火墻控制方法，該方法包括：

接收客戶端發(fā)送的包含一個(gè)或多個(gè)業(yè)務(wù)系統(tǒng)標(biāo)識(shí)和業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)信息的網(wǎng)絡(luò)請(qǐng)求信息。

將網(wǎng)絡(luò)請(qǐng)求信息中的業(yè)務(wù)系統(tǒng)標(biāo)識(shí)與預(yù)置的一個(gè)或多個(gè)不同的業(yè)務(wù)安全訪問(wèn)控制策略中包含的業(yè)務(wù)系統(tǒng)標(biāo)識(shí)一一匹配；其中，每個(gè)業(yè)務(wù)安全訪問(wèn)控制策略中包含一個(gè)或多個(gè)業(yè)務(wù)系統(tǒng)標(biāo)識(shí)。

當(dāng)在第一業(yè)務(wù)安全訪問(wèn)控制策略中找到與網(wǎng)絡(luò)請(qǐng)求信息中包含的業(yè)務(wù)系統(tǒng)標(biāo)識(shí)相匹配的業(yè)務(wù)系統(tǒng)標(biāo)識(shí)時(shí)，檢測(cè)第一業(yè)務(wù)安全訪問(wèn)控制策略中已經(jīng)建立的網(wǎng)絡(luò)連接中是否存在與業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)信息相匹配的網(wǎng)絡(luò)連接；根據(jù)檢測(cè)結(jié)果以及第一業(yè)務(wù)安全訪問(wèn)控制策略中針對(duì)該網(wǎng)絡(luò)連接的操作指令，建立完成該操作指令的一個(gè)或多個(gè)業(yè)務(wù)安全訪問(wèn)控制子策略。

基于業(yè)務(wù)安全訪問(wèn)控制子策略處理業(yè)務(wù)系統(tǒng)向防火墻傳輸?shù)膱?bào)文。

優(yōu)選地，根據(jù)檢測(cè)結(jié)果以及第一業(yè)務(wù)安全訪問(wèn)控制策略中針對(duì)該網(wǎng)絡(luò)連接的操作指令，建立完成該操作指令的一個(gè)或多個(gè)業(yè)務(wù)安全訪問(wèn)控制子策略包括：

如果已經(jīng)存在相匹配的網(wǎng)絡(luò)連接，則根據(jù)第一業(yè)務(wù)安全訪問(wèn)控制策略中針對(duì)網(wǎng)絡(luò)連接的不同的操作指令，建立一個(gè)或多個(gè)不同的業(yè)務(wù)安全訪問(wèn)控制子策略；不同的操作指令包括：繼續(xù)連接該網(wǎng)絡(luò)連接、斷開(kāi)該網(wǎng)絡(luò)連接或者部分?jǐn)嚅_(kāi)該網(wǎng)絡(luò)連接。

如果不存在相匹配的網(wǎng)絡(luò)連接，則根據(jù)第一業(yè)務(wù)安全訪問(wèn)控制策略中的建立與業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)信息相匹配的網(wǎng)絡(luò)連接的操作指令建立一個(gè)或多個(gè)業(yè)務(wù)安全訪問(wèn)控制子策略，或者，根據(jù)第一業(yè)務(wù)安全訪問(wèn)控制策略中的斷開(kāi)與業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)信息相匹配的網(wǎng)絡(luò)連接的操作指令忽略該網(wǎng)絡(luò)請(qǐng)求信息。

優(yōu)選地，業(yè)務(wù)安全訪問(wèn)控制策略和業(yè)務(wù)安全訪問(wèn)控制子策略中均包含以下信息的一種或多種：匹配條件、網(wǎng)絡(luò)連接信息以及與所述網(wǎng)絡(luò)連接信息相對(duì)應(yīng)的操作指令。

優(yōu)選地，業(yè)務(wù)安全訪問(wèn)控制策略中的匹配條件包括以下一種或多種：業(yè)務(wù)系統(tǒng)標(biāo)識(shí)、網(wǎng)絡(luò)協(xié)議IP地址、服務(wù)端口、網(wǎng)絡(luò)協(xié)議、用戶或用戶組、時(shí)間、媒體訪問(wèn)地址MAC地址和網(wǎng)絡(luò)訪問(wèn)統(tǒng)一資源定位符URL。

業(yè)務(wù)安全訪問(wèn)控制子策略的匹配條件包括以下一種或多種：IP地址、服務(wù)端口、網(wǎng)絡(luò)協(xié)議、用戶或用戶組、時(shí)間、媒體訪問(wèn)地址MAC地址和網(wǎng) 絡(luò)訪問(wèn)URL。

優(yōu)選地，業(yè)務(wù)系統(tǒng)標(biāo)識(shí)包括以下一種或多種：每個(gè)進(jìn)程的廠商名稱、每個(gè)進(jìn)程的系統(tǒng)名稱注冊(cè)信息和每個(gè)進(jìn)程對(duì)應(yīng)的主窗口的窗口標(biāo)題。

業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)信息包括以下一種或多種：網(wǎng)絡(luò)連接的協(xié)議、網(wǎng)絡(luò)源端口、網(wǎng)絡(luò)目的端口、網(wǎng)絡(luò)源地址和網(wǎng)絡(luò)目的地址。

為了達(dá)到上述目的，本發(fā)明還提出了一種基于用戶業(yè)務(wù)系統(tǒng)的防火墻控制系統(tǒng)，該系統(tǒng)包括：接收模塊、匹配模塊、檢測(cè)模塊、構(gòu)建模塊和處理模塊。

接收模塊、用于接收客戶端發(fā)送的包含一個(gè)或多個(gè)業(yè)務(wù)系統(tǒng)標(biāo)識(shí)和業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)信息的網(wǎng)絡(luò)請(qǐng)求信息。

匹配模塊、用于將網(wǎng)絡(luò)請(qǐng)求信息中的業(yè)務(wù)系統(tǒng)標(biāo)識(shí)與預(yù)置的一個(gè)或多個(gè)不同的業(yè)務(wù)安全訪問(wèn)控制策略中包含的業(yè)務(wù)系統(tǒng)標(biāo)識(shí)一一匹配；其中，每個(gè)業(yè)務(wù)安全訪問(wèn)控制策略中包含一個(gè)或多個(gè)業(yè)務(wù)系統(tǒng)標(biāo)識(shí)。

檢測(cè)模塊、用于當(dāng)在第一業(yè)務(wù)安全訪問(wèn)控制策略中找到與該網(wǎng)絡(luò)請(qǐng)求信息中包含的業(yè)務(wù)系統(tǒng)標(biāo)識(shí)相匹配的業(yè)務(wù)系統(tǒng)標(biāo)識(shí)時(shí)，檢測(cè)第一業(yè)務(wù)安全訪問(wèn)控制策略中已經(jīng)建立的網(wǎng)絡(luò)連接中是否存在與業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)信息相匹配的網(wǎng)絡(luò)連接。

構(gòu)建模塊，用于根據(jù)檢測(cè)結(jié)果以及第一業(yè)務(wù)安全訪問(wèn)控制策略中針對(duì)該網(wǎng)絡(luò)連接的操作指令，建立完成該操作指令的一個(gè)或多個(gè)業(yè)務(wù)安全訪問(wèn)控制子策略。

處理模塊，用于基于業(yè)務(wù)安全訪問(wèn)控制子策略處理業(yè)務(wù)系統(tǒng)向防火墻傳輸?shù)膱?bào)文。

優(yōu)選地，檢測(cè)模塊根據(jù)檢測(cè)結(jié)果以及第一業(yè)務(wù)安全訪問(wèn)控制策略中針對(duì)該網(wǎng)絡(luò)連接的操作指令，建立完成該操作指令的一個(gè)或多個(gè)業(yè)務(wù)安全訪問(wèn)控制子策略是指：

如果已經(jīng)存在相匹配的網(wǎng)絡(luò)連接，則根據(jù)第一業(yè)務(wù)安全訪問(wèn)控制策略中針對(duì)網(wǎng)絡(luò)連接的不同的操作指令，建立一個(gè)或多個(gè)不同的業(yè)務(wù)安全訪問(wèn)控制子策略；不同的操作指令包括：繼續(xù)連接所述網(wǎng)絡(luò)連接、斷開(kāi)所述網(wǎng)絡(luò)連接或者部分?jǐn)嚅_(kāi)所述網(wǎng)絡(luò)連接。

優(yōu)選地，業(yè)務(wù)安全訪問(wèn)控制策略和業(yè)務(wù)安全訪問(wèn)控制子策略中均包含以下信息的一種或多種：匹配條件、網(wǎng)絡(luò)連接信息以及與網(wǎng)絡(luò)連接信息相對(duì)應(yīng)的操作指令。

與現(xiàn)有技術(shù)相比，本發(fā)明包括：接收客戶端發(fā)送的包含一個(gè)或多個(gè)業(yè)務(wù)系統(tǒng)標(biāo)識(shí)和業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)信息的網(wǎng)絡(luò)請(qǐng)求信息。將網(wǎng)絡(luò)請(qǐng)求信息中的業(yè)務(wù)系統(tǒng)標(biāo)識(shí)與預(yù)置的一個(gè)或多個(gè)不同的業(yè)務(wù)安全訪問(wèn)控制策略中包含的業(yè)務(wù)系統(tǒng)標(biāo)識(shí)一一匹配；其中，每個(gè)業(yè)務(wù)安全訪問(wèn)控制策略中包含一個(gè)或多個(gè)業(yè)務(wù)系統(tǒng)標(biāo)識(shí)。當(dāng)在第一業(yè)務(wù)安全訪問(wèn)控制策略中找到與網(wǎng)絡(luò)請(qǐng)求信息中包含的業(yè)務(wù)系統(tǒng)標(biāo)識(shí)相匹配的業(yè)務(wù)系統(tǒng)標(biāo)識(shí)時(shí)，檢測(cè)第一業(yè)務(wù)安全訪問(wèn)控制策略中已經(jīng)建立的網(wǎng)絡(luò)連接中是否存在與業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)信息相匹配的網(wǎng)絡(luò)連接；根據(jù)檢測(cè)結(jié)果以及第一業(yè)務(wù)安全訪問(wèn)控制策略中針對(duì)該網(wǎng)絡(luò)連接的操作指令，建立完成該操作指令的一個(gè)或多個(gè)業(yè)務(wù)安全訪問(wèn)控制子策略?；跇I(yè)務(wù)安全訪問(wèn)控制子策略處理業(yè)務(wù)系統(tǒng)向防火墻傳輸?shù)膱?bào)文。通過(guò)本發(fā)明的方案，能夠?qū)崿F(xiàn)基于用戶業(yè)務(wù)系統(tǒng)的防火墻級(jí)別的安全訪問(wèn)控制，增強(qiáng)了用戶安全管理的易用性。

附圖說(shuō)明

下面對(duì)本發(fā)明實(shí)施例中的附圖進(jìn)行說(shuō)明，實(shí)施例中的附圖是用于對(duì)本發(fā)明的進(jìn)一步理解，與說(shuō)明書(shū)一起用于解釋本發(fā)明，并不構(gòu)成對(duì)本發(fā)明保護(hù)范圍的限制。

圖1為本發(fā)明的基于用戶業(yè)務(wù)系統(tǒng)的防火墻控制方法流程圖；

圖2為本發(fā)明的基于用戶業(yè)務(wù)系統(tǒng)的防火墻控制系統(tǒng)框圖。

具體實(shí)施方式

為了便于本領(lǐng)域技術(shù)人員的理解，下面結(jié)合附圖對(duì)本發(fā)明作進(jìn)一步的描述，并不能用來(lái)限制本發(fā)明的保護(hù)范圍。

本發(fā)明的目的在于針對(duì)已有實(shí)現(xiàn)技術(shù)和現(xiàn)有發(fā)明的不足，提出了一種基于用戶業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)安全網(wǎng)關(guān)和防火墻的控制系統(tǒng)及方法，能夠通過(guò)用戶的終端上安裝的客戶端分析用戶業(yè)務(wù)系統(tǒng)通信所需要的網(wǎng)絡(luò)協(xié)議特征，并把特征傳遞到網(wǎng)關(guān)或防火墻設(shè)備，網(wǎng)絡(luò)安全網(wǎng)關(guān)或防火墻系統(tǒng)根據(jù)管理員預(yù)設(shè)的基于用戶業(yè)務(wù)系統(tǒng)的訪問(wèn)控制策略處理當(dāng)前的網(wǎng)絡(luò)連接和流量。

需要說(shuō)明的是，在以下內(nèi)容中，雖然都是以防火墻來(lái)對(duì)本發(fā)明的方案進(jìn)行描述，但本發(fā)明方案同樣適用于網(wǎng)絡(luò)安全網(wǎng)絡(luò)。并且，在本發(fā)明實(shí)施例中，防火墻/安全網(wǎng)關(guān)系統(tǒng)，應(yīng)該理解為包含但不限于以下任意一種：傳統(tǒng)的防火墻、傳統(tǒng)的安全網(wǎng)關(guān)、下一代防火墻、應(yīng)用防火墻，入侵防護(hù)系統(tǒng)、入侵防御系統(tǒng)、病毒防火墻、病毒安全網(wǎng)關(guān)、上網(wǎng)行為管理等產(chǎn)品形態(tài)。

具體地，本發(fā)明提出了一種基于用戶業(yè)務(wù)系統(tǒng)的防火墻控制方法，如圖1所示，該方法包括：

S101、接收客戶端發(fā)送的包含一個(gè)或多個(gè)業(yè)務(wù)系統(tǒng)標(biāo)識(shí)和業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)信息的網(wǎng)絡(luò)請(qǐng)求信息。

在使用本發(fā)明方案之前，需要在用戶的終端上安裝客戶端軟件，用戶訪問(wèn)網(wǎng)絡(luò)時(shí)，客戶端向防火墻或安全網(wǎng)關(guān)系統(tǒng)發(fā)送具有業(yè)務(wù)系統(tǒng)標(biāo)識(shí)和業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)信息，即，該業(yè)務(wù)系統(tǒng)正在使用的一個(gè)或多個(gè)網(wǎng)絡(luò)使用特征(例如：網(wǎng)絡(luò)連接的協(xié)議、網(wǎng)絡(luò)源端口、網(wǎng)絡(luò)目的端口、網(wǎng)絡(luò)源地址、網(wǎng)絡(luò)目的地址等信息)的網(wǎng)絡(luò)請(qǐng)求信息到防火墻或安全網(wǎng)關(guān)系統(tǒng)?？蛻舳塑浖?huì)獲取每個(gè)進(jìn)程的廠商名稱和系統(tǒng)名稱注冊(cè)信息，進(jìn)程對(duì)應(yīng)的主窗口的窗口標(biāo)題，并用這3個(gè)信息組合生成業(yè)務(wù)系統(tǒng)標(biāo)識(shí)。并且，客戶端軟件遍歷屬于相同業(yè)務(wù)系統(tǒng)標(biāo)識(shí)的進(jìn)程對(duì)應(yīng)的所有線程或進(jìn)程實(shí)例，獲取本進(jìn)程當(dāng)前打開(kāi)的所有套接字socks接口，讀取傳輸協(xié)議、網(wǎng)絡(luò)源目的地址，源目的端口等信息，生成業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)信息。

S102、將網(wǎng)絡(luò)請(qǐng)求信息中的業(yè)務(wù)系統(tǒng)標(biāo)識(shí)與預(yù)置的一個(gè)或多個(gè)不同的業(yè)務(wù)安全訪問(wèn)控制策略中包含的業(yè)務(wù)系統(tǒng)標(biāo)識(shí)一一匹配；其中，每個(gè)業(yè)務(wù)安全訪問(wèn)控制策略中包含一個(gè)或多個(gè)業(yè)務(wù)系統(tǒng)標(biāo)識(shí)。

在本發(fā)明實(shí)施例中，管理員需要在防火墻和/或安全網(wǎng)關(guān)系統(tǒng)上預(yù)先配置業(yè)務(wù)安全訪問(wèn)控制策略。

其中，業(yè)務(wù)安全訪問(wèn)控制策略中可以包含業(yè)務(wù)系統(tǒng)標(biāo)識(shí)和/或業(yè)務(wù)系統(tǒng)標(biāo) 識(shí)的預(yù)留位。

S103、當(dāng)在第一業(yè)務(wù)安全訪問(wèn)控制策略中找到與網(wǎng)絡(luò)請(qǐng)求信息中包含的業(yè)務(wù)系統(tǒng)標(biāo)識(shí)相匹配的業(yè)務(wù)系統(tǒng)標(biāo)識(shí)時(shí)，檢測(cè)第一業(yè)務(wù)安全訪問(wèn)控制策略中已經(jīng)建立的網(wǎng)絡(luò)連接中是否存在與業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)信息相匹配的網(wǎng)絡(luò)連接；根據(jù)檢測(cè)結(jié)果以及第一業(yè)務(wù)安全訪問(wèn)控制策略中針對(duì)該網(wǎng)絡(luò)連接的操作指令，建立完成該操作指令的一個(gè)或多個(gè)業(yè)務(wù)安全訪問(wèn)控制子策略。

情況一、如果已經(jīng)存在相匹配的網(wǎng)絡(luò)連接，則根據(jù)第一業(yè)務(wù)安全訪問(wèn)控制策略中針對(duì)網(wǎng)絡(luò)連接的不同的操作指令，建立一個(gè)或多個(gè)不同的業(yè)務(wù)安全訪問(wèn)控制子策略；不同的操作指令包括：繼續(xù)連接該網(wǎng)絡(luò)連接、斷開(kāi)該網(wǎng)絡(luò)連接或者部分?jǐn)嚅_(kāi)該網(wǎng)絡(luò)連接。當(dāng)然，操作指令包含但不限于上述內(nèi)容，其可以是用戶所需要的、可實(shí)施的任何命令信息。

其中，在本發(fā)明實(shí)施例中，根據(jù)不同的操作指令建立一個(gè)或多個(gè)不同的業(yè)務(wù)安全訪問(wèn)控制子策略是指：

當(dāng)操作指令為繼續(xù)連接該網(wǎng)絡(luò)連接時(shí)，防火墻會(huì)根據(jù)業(yè)務(wù)系統(tǒng)標(biāo)識(shí)、IP地址、服務(wù)端口、網(wǎng)絡(luò)協(xié)議、用戶或用戶組、時(shí)間、MAC地址和網(wǎng)絡(luò)訪問(wèn)URL等信息，建立一條或多條不同的源端地址到不同的目的端的地址的具體的網(wǎng)絡(luò)連接通道，并且為每條網(wǎng)絡(luò)連接通道設(shè)置相應(yīng)的匹配條件，以備后續(xù)對(duì)該連接通道進(jìn)行快速查找。

當(dāng)操作指令為斷開(kāi)該網(wǎng)絡(luò)連接時(shí)，防火墻會(huì)根據(jù)業(yè)務(wù)系統(tǒng)標(biāo)識(shí)、IP地址、服務(wù)端口、網(wǎng)絡(luò)協(xié)議、用戶或用戶組、時(shí)間、MAC地址和網(wǎng)絡(luò)訪問(wèn)URL等信息，將該網(wǎng)絡(luò)連接中的一條或多條不同的源端地址到不同的目的端的地址的具體的網(wǎng)絡(luò)連接通道一一設(shè)置為阻斷狀態(tài)，并且每條網(wǎng)絡(luò)連接通道同樣設(shè)置有相應(yīng)的匹配條件。

當(dāng)操作指令為部分?jǐn)嚅_(kāi)該網(wǎng)絡(luò)連接時(shí)，防火墻會(huì)根據(jù)業(yè)務(wù)系統(tǒng)標(biāo)識(shí)、IP地址、服務(wù)端口、網(wǎng)絡(luò)協(xié)議、用戶或用戶組、時(shí)間、MAC地址和網(wǎng)絡(luò)訪問(wèn) URL等信息，將該網(wǎng)絡(luò)連接中的一條或多條不同的源端地址到不同的目的端的地址的具體的網(wǎng)絡(luò)連接通道中的一部分，根據(jù)該操作指令中的具體命令(如，源端地址1到目的端的地址3之間的通道斷開(kāi))，設(shè)置為阻斷狀態(tài)，并且在該方案中，每條網(wǎng)絡(luò)連接通道同樣設(shè)置有相應(yīng)的匹配條件。

情況二、如果不存在相匹配的網(wǎng)絡(luò)連接，則根據(jù)第一業(yè)務(wù)安全訪問(wèn)控制策略中的建立與業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)信息相匹配的網(wǎng)絡(luò)連接的操作指令建立一個(gè)或多個(gè)業(yè)務(wù)安全訪問(wèn)控制子策略，或者，根據(jù)第一業(yè)務(wù)安全訪問(wèn)控制策略中的斷開(kāi)與業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)信息相匹配的網(wǎng)絡(luò)連接的操作指令忽略該網(wǎng)絡(luò)請(qǐng)求信息。

其中，根據(jù)第一業(yè)務(wù)安全訪問(wèn)控制策略中的建立與業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)信息相匹配的網(wǎng)絡(luò)連接的操作指令建立一個(gè)或多個(gè)業(yè)務(wù)安全訪問(wèn)控制子策略是指：

防火墻會(huì)根據(jù)業(yè)務(wù)系統(tǒng)標(biāo)識(shí)、IP地址、服務(wù)端口、網(wǎng)絡(luò)協(xié)議、用戶或用戶組、時(shí)間、MAC地址和網(wǎng)絡(luò)訪問(wèn)URL等信息，建立一條或多條不同的源端地址到不同的目的端的地址的具體的網(wǎng)絡(luò)連接通道，并且為每條網(wǎng)絡(luò)連接通道設(shè)置相應(yīng)的匹配條件，以備后續(xù)對(duì)該連接通道進(jìn)行快速查找。

需要說(shuō)明的是，業(yè)務(wù)安全訪問(wèn)控制子策略的匹配條件包括以下一種或多種：IP地址、服務(wù)端口、網(wǎng)絡(luò)協(xié)議、用戶或用戶組、時(shí)間、媒體訪問(wèn)地址MAC地址和網(wǎng)絡(luò)訪問(wèn)URL。

S104、基于業(yè)務(wù)安全訪問(wèn)控制子策略處理業(yè)務(wù)系統(tǒng)向防火墻傳輸?shù)膱?bào)文。

在本發(fā)明實(shí)施例中，業(yè)務(wù)安全訪問(wèn)控制子策略建立以后，業(yè)務(wù)系統(tǒng)后續(xù)的向防火墻發(fā)送的報(bào)文將會(huì)依據(jù)建立的業(yè)務(wù)安全訪問(wèn)控制子策略進(jìn)行處理。

其中，報(bào)文處理的具體內(nèi)容包含以下一種或多種，并且并不限于以下內(nèi)容：丟棄數(shù)據(jù)報(bào)文，轉(zhuǎn)發(fā)該數(shù)據(jù)報(bào)文，對(duì)報(bào)文所屬的網(wǎng)絡(luò)連接做流量控制，對(duì)報(bào)文進(jìn)行存儲(chǔ)審計(jì)，發(fā)送日志等動(dòng)作的組合。

具體地，發(fā)送的報(bào)文將會(huì)依據(jù)建立的業(yè)務(wù)安全訪問(wèn)控制子策略進(jìn)行處理是指：

防火墻會(huì)將接收到的業(yè)務(wù)系統(tǒng)發(fā)送來(lái)的報(bào)文網(wǎng)絡(luò)請(qǐng)求信息中的匹配條件與業(yè)務(wù)安全訪問(wèn)控制子策略中預(yù)置的匹配條件相匹配，這里的方案同上述的與業(yè)務(wù)安全訪問(wèn)控制策略中的業(yè)務(wù)系統(tǒng)標(biāo)識(shí)相匹配類似，在業(yè)務(wù)安全訪問(wèn)控制子策略中找到相匹配的條件以后，按照建立的與該匹配條件對(duì)應(yīng)的一條或多條不同的源端地址到不同的目的端的地址的具體的網(wǎng)絡(luò)連接通道對(duì)該報(bào)文進(jìn)行傳輸，轉(zhuǎn)發(fā)或阻斷等處理。

為了達(dá)到上述目的，本發(fā)明還提出了一種基于用戶業(yè)務(wù)系統(tǒng)的防火墻控制系統(tǒng)01，如圖2所示，該系統(tǒng)包括：接收模塊02、匹配模塊03、檢測(cè)模塊04、構(gòu)建模塊05和處理模塊06。

接收模塊02、用于接收客戶端發(fā)送的包含一個(gè)或多個(gè)業(yè)務(wù)系統(tǒng)標(biāo)識(shí)和業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)信息的網(wǎng)絡(luò)請(qǐng)求信息。

匹配模塊03、用于將網(wǎng)絡(luò)請(qǐng)求信息中的業(yè)務(wù)系統(tǒng)標(biāo)識(shí)與預(yù)置的一個(gè)或多個(gè)不同的業(yè)務(wù)安全訪問(wèn)控制策略中包含的業(yè)務(wù)系統(tǒng)標(biāo)識(shí)一一匹配；其中，每個(gè)業(yè)務(wù)安全訪問(wèn)控制策略中包含一個(gè)或多個(gè)業(yè)務(wù)系統(tǒng)標(biāo)識(shí)。

檢測(cè)模塊04、用于當(dāng)在第一業(yè)務(wù)安全訪問(wèn)控制策略中找到與該網(wǎng)絡(luò)請(qǐng)求信息中包含的業(yè)務(wù)系統(tǒng)標(biāo)識(shí)相匹配的業(yè)務(wù)系統(tǒng)標(biāo)識(shí)時(shí)，檢測(cè)第一業(yè)務(wù)安全訪問(wèn)控制策略中已經(jīng)建立的網(wǎng)絡(luò)連接中是否存在與業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)信息相匹配的網(wǎng)絡(luò)連接。

構(gòu)建模塊05，用于根據(jù)檢測(cè)結(jié)果以及第一業(yè)務(wù)安全訪問(wèn)控制策略中針對(duì)該網(wǎng)絡(luò)連接的操作指令，建立完成該操作指令的一個(gè)或多個(gè)業(yè)務(wù)安全訪問(wèn)控制子策略。

處理模塊06，用于基于業(yè)務(wù)安全訪問(wèn)控制子策略處理業(yè)務(wù)系統(tǒng)向防火墻傳輸?shù)膱?bào)文。

優(yōu)選地，檢測(cè)模塊04根據(jù)檢測(cè)結(jié)果以及第一業(yè)務(wù)安全訪問(wèn)控制策略中針對(duì)該網(wǎng)絡(luò)連接的操作指令，建立完成該操作指令的一個(gè)或多個(gè)業(yè)務(wù)安全訪問(wèn)控制子策略是指：

如果已經(jīng)存在相匹配的網(wǎng)絡(luò)連接，則根據(jù)第一業(yè)務(wù)安全訪問(wèn)控制策略中針對(duì)網(wǎng)絡(luò)連接的不同的操作指令，建立一個(gè)或多個(gè)不同的業(yè)務(wù)安全訪問(wèn)控制子策略；不同的操作指令包括：繼續(xù)連接所述網(wǎng)絡(luò)連接、斷開(kāi)所述網(wǎng)絡(luò)連接或者部分?jǐn)嚅_(kāi)所述網(wǎng)絡(luò)連接。

具體地，本發(fā)明的方案具有以下有益效果：

1)可以實(shí)現(xiàn)統(tǒng)一的針對(duì)用戶業(yè)務(wù)系統(tǒng)的安全策略，實(shí)現(xiàn)基于用戶業(yè)務(wù)系統(tǒng)的網(wǎng)關(guān)級(jí)別的安全訪問(wèn)控制，增強(qiáng)了用戶安全管理的易用性。

2)可以實(shí)現(xiàn)針對(duì)使用相同網(wǎng)絡(luò)應(yīng)用協(xié)議的不同應(yīng)用系統(tǒng)做不同的防火墻\安全網(wǎng)關(guān)系統(tǒng)的網(wǎng)絡(luò)安全訪問(wèn)和流量控制策略，增強(qiáng)了用戶業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)安全性。

3)可以實(shí)現(xiàn)業(yè)務(wù)到安全防護(hù)的需求和實(shí)現(xiàn)策略的直接呈現(xiàn)，管理員可以不用去理解業(yè)務(wù)系統(tǒng)到各種網(wǎng)絡(luò)應(yīng)用協(xié)議之間的技術(shù)映射關(guān)系，讓管理員更關(guān)注于安全防護(hù)本身，降低了運(yùn)維成本和安全管理難度。

需要說(shuō)明的是，以上所述的實(shí)施例僅是為了便于本領(lǐng)域的技術(shù)人員理解而已，并不用于限制本發(fā)明的保護(hù)范圍，在不脫離本發(fā)明的發(fā)明構(gòu)思的前提下，本領(lǐng)域技術(shù)人員對(duì)本發(fā)明所做出的任何顯而易見(jiàn)的替換和改進(jìn)等均在本發(fā)明的保護(hù)范圍之內(nèi)。

完整全部詳細(xì)技術(shù)資料下載

當(dāng)前第1頁(yè)1 2 3

該技術(shù)已申請(qǐng)專利。僅供學(xué)習(xí)研究，如用于商業(yè)用途，請(qǐng)聯(lián)系技術(shù)所有人。
技術(shù)研發(fā)人員：高鵬;
技術(shù)所有人：北京網(wǎng)御星云信息技術(shù)有限公司;北京啟明星辰信息技術(shù)股份有限公司;
我是此專利的發(fā)明人

上一篇：食品處理機(jī)及其排渣裝置的制作方法
上一篇：一種安全保護(hù)裝置及方法與流程

該領(lǐng)域下的技術(shù)專家
如您需求助技術(shù)專家，請(qǐng)點(diǎn)此查看客服電話進(jìn)行咨詢。
1、王老師：1.數(shù)字信號(hào)處理 2.傳感器技術(shù)及應(yīng)用 3.機(jī)電一體化產(chǎn)品開(kāi)發(fā) 4.機(jī)械工程測(cè)試技術(shù) 5.逆向工程技術(shù)研究
2、王老師：1.機(jī)器人 2.嵌入式控制系統(tǒng)開(kāi)發(fā)
3、孫老師：1.振動(dòng)信號(hào)時(shí)頻分析理論與測(cè)試系統(tǒng)設(shè)計(jì) 2.汽車檢測(cè)系統(tǒng)設(shè)計(jì) 3.汽車電子控制系統(tǒng)設(shè)計(jì)
4、畢老師：機(jī)構(gòu)動(dòng)力學(xué)與控制
5、袁老師：1.計(jì)算機(jī)視覺(jué) 2.無(wú)線網(wǎng)絡(luò)及物聯(lián)網(wǎng)
如您是高校老師，可以點(diǎn)此聯(lián)系我們加入專家?guī)臁?/a>

相關(guān)技術(shù)

網(wǎng)友詢問(wèn)留言已有0條留言

還沒(méi)有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊！

精彩留言，會(huì)給你點(diǎn)贊！

亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

一種基于用戶業(yè)務(wù)系統(tǒng)的防火墻控制方法和系統(tǒng)與流程