技術(shù)特征:1.一種基于用戶業(yè)務(wù)系統(tǒng)的防火墻控制方法,其特征在于�,所述方法包括:
接收客戶端發(fā)送的包含一個(gè)或多個(gè)業(yè)務(wù)系統(tǒng)標(biāo)識(shí)和業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)信息的網(wǎng)絡(luò)請(qǐng)求信息;
將所述網(wǎng)絡(luò)請(qǐng)求信息中的所述業(yè)務(wù)系統(tǒng)標(biāo)識(shí)與預(yù)置的一個(gè)或多個(gè)不同的業(yè)務(wù)安全訪問(wèn)控制策略中包含的所述業(yè)務(wù)系統(tǒng)標(biāo)識(shí)一一匹配�;其中,每個(gè)所述業(yè)務(wù)安全訪問(wèn)控制策略中包含一個(gè)或多個(gè)所述業(yè)務(wù)系統(tǒng)標(biāo)識(shí)��;
當(dāng)在第一業(yè)務(wù)安全訪問(wèn)控制策略中找到與所述網(wǎng)絡(luò)請(qǐng)求信息中包含的所述業(yè)務(wù)系統(tǒng)標(biāo)識(shí)相匹配的業(yè)務(wù)系統(tǒng)標(biāo)識(shí)時(shí)�����,檢測(cè)所述第一業(yè)務(wù)安全訪問(wèn)控制策略中已經(jīng)建立的網(wǎng)絡(luò)連接中是否存在與所述業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)信息相匹配的網(wǎng)絡(luò)連接���;根據(jù)檢測(cè)結(jié)果以及所述第一業(yè)務(wù)安全訪問(wèn)控制策略中針對(duì)所述網(wǎng)絡(luò)連接的操作指令���,建立完成所述操作指令的一個(gè)或多個(gè)業(yè)務(wù)安全訪問(wèn)控制子策略;
基于所述業(yè)務(wù)安全訪問(wèn)控制子策略處理所述業(yè)務(wù)系統(tǒng)向所述防火墻傳輸?shù)膱?bào)文����。
2.如權(quán)利要求1所述的方法���,其特征在于,所述根據(jù)檢測(cè)結(jié)果以及所述第一業(yè)務(wù)安全訪問(wèn)控制策略中針對(duì)所述網(wǎng)絡(luò)連接的操作指令�,建立完成所述操作指令的一個(gè)或多個(gè)業(yè)務(wù)安全訪問(wèn)控制子策略包括:
如果已經(jīng)存在相匹配的網(wǎng)絡(luò)連接,則根據(jù)所述第一業(yè)務(wù)安全訪問(wèn)控制策略中針對(duì)所述網(wǎng)絡(luò)連接的不同的操作指令�,建立一個(gè)或多個(gè)不同的業(yè)務(wù)安全訪問(wèn)控制子策略;所述不同的操作指令包括:繼續(xù)連接所述網(wǎng)絡(luò)連接�����、斷開所述網(wǎng)絡(luò)連接或者部分?jǐn)嚅_所述網(wǎng)絡(luò)連接�;
如果不存在相匹配的網(wǎng)絡(luò)連接,則根據(jù)所述第一業(yè)務(wù)安全訪問(wèn)控制策略中的建立與所述業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)信息相匹配的網(wǎng)絡(luò)連接的操作指令建立一個(gè)或多個(gè)業(yè)務(wù)安全訪問(wèn)控制子策略�����,或者�,根據(jù)所述第一業(yè)務(wù)安全訪問(wèn)控制策略中的斷開與所述業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)信息相匹配的網(wǎng)絡(luò)連接的操作指令忽略所述網(wǎng) 絡(luò)請(qǐng)求信息。
3.如權(quán)利要求2所述的方法��,其特征在于��,所述業(yè)務(wù)安全訪問(wèn)控制策略和所述業(yè)務(wù)安全訪問(wèn)控制子策略中均包含以下信息的一種或多種:匹配條件、網(wǎng)絡(luò)連接信息以及與所述網(wǎng)絡(luò)連接信息相對(duì)應(yīng)的操作指令����。
4.如權(quán)利要求3所述的方法����,其特征在于,所述業(yè)務(wù)安全訪問(wèn)控制策略中的匹配條件包括以下一種或多種:所述業(yè)務(wù)系統(tǒng)標(biāo)識(shí)�、網(wǎng)絡(luò)協(xié)議IP地址、服務(wù)端口�����、網(wǎng)絡(luò)協(xié)議����、用戶或用戶組、時(shí)間���、媒體訪問(wèn)地址MAC地址和網(wǎng)絡(luò)訪問(wèn)統(tǒng)一資源定位符URL�����;
所述業(yè)務(wù)安全訪問(wèn)控制子策略的匹配條件包括以下一種或多種:所述IP地址����、服務(wù)端口、網(wǎng)絡(luò)協(xié)議���、用戶或用戶組����、時(shí)間����、媒體訪問(wèn)地址MAC地址和網(wǎng)絡(luò)訪問(wèn)URL。
5.如權(quán)利要求4所述的方法�,其特征在于,所述業(yè)務(wù)系統(tǒng)標(biāo)識(shí)包括以下一種或多種:每個(gè)進(jìn)程的廠商名稱���、每個(gè)進(jìn)程的系統(tǒng)名稱注冊(cè)信息和每個(gè)進(jìn)程對(duì)應(yīng)的主窗口的窗口標(biāo)題��;
所述業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)信息包括以下一種或多種:網(wǎng)絡(luò)連接的協(xié)議��、網(wǎng)絡(luò)源端口���、網(wǎng)絡(luò)目的端口、網(wǎng)絡(luò)源地址和網(wǎng)絡(luò)目的地址��。
6.一種基于用戶業(yè)務(wù)系統(tǒng)的防火墻控制系統(tǒng),其特征在于�����,所述系統(tǒng)包括:接收模塊�����、匹配模塊��、檢測(cè)模塊�、構(gòu)建模塊和處理模塊����;
接收模塊、用于接收客戶端發(fā)送的包含一個(gè)或多個(gè)業(yè)務(wù)系統(tǒng)標(biāo)識(shí)和業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)信息的網(wǎng)絡(luò)請(qǐng)求信息�;
匹配模塊、用于將所述網(wǎng)絡(luò)請(qǐng)求信息中的所述業(yè)務(wù)系統(tǒng)標(biāo)識(shí)與預(yù)置的一個(gè)或多個(gè)不同的業(yè)務(wù)安全訪問(wèn)控制策略中包含的所述業(yè)務(wù)系統(tǒng)標(biāo)識(shí)一一匹配����;其中,每個(gè)所述業(yè)務(wù)安全訪問(wèn)控制策略中包含一個(gè)或多個(gè)所述業(yè)務(wù)系統(tǒng)標(biāo)識(shí)�����;
檢測(cè)模塊、用于當(dāng)在第一業(yè)務(wù)安全訪問(wèn)控制策略中找到與所述網(wǎng)絡(luò)請(qǐng)求信息中包含的所述業(yè)務(wù)系統(tǒng)標(biāo)識(shí)相匹配的業(yè)務(wù)系統(tǒng)標(biāo)識(shí)時(shí)����,檢測(cè)所述第一業(yè)務(wù)安全訪問(wèn)控制策略中已經(jīng)建立的網(wǎng)絡(luò)連接中是否存在與所述業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò) 信息相匹配的網(wǎng)絡(luò)連接;
構(gòu)建模塊�����,用于根據(jù)檢測(cè)結(jié)果以及所述第一業(yè)務(wù)安全訪問(wèn)控制策略中針對(duì)所述網(wǎng)絡(luò)連接的操作指令����,建立完成所述操作指令的一個(gè)或多個(gè)業(yè)務(wù)安全訪問(wèn)控制子策略;
處理模塊�����,用于基于所述業(yè)務(wù)安全訪問(wèn)控制子策略處理所述業(yè)務(wù)系統(tǒng)向所述防火墻傳輸?shù)膱?bào)文�����。
7.如權(quán)利要求6所述的系統(tǒng)��,其特征在于�����,所述檢測(cè)模塊根據(jù)檢測(cè)結(jié)果以及所述第一業(yè)務(wù)安全訪問(wèn)控制策略中針對(duì)所述網(wǎng)絡(luò)連接的操作指令,建立完成所述操作指令的一個(gè)或多個(gè)業(yè)務(wù)安全訪問(wèn)控制子策略是指:
如果已經(jīng)存在相匹配的網(wǎng)絡(luò)連接���,則根據(jù)所述第一業(yè)務(wù)安全訪問(wèn)控制策略中針對(duì)所述網(wǎng)絡(luò)連接的不同的操作指令���,建立一個(gè)或多個(gè)不同的業(yè)務(wù)安全訪問(wèn)控制子策略;所述不同的操作指令包括:繼續(xù)連接所述網(wǎng)絡(luò)連接�、斷開所述網(wǎng)絡(luò)連接或者部分?jǐn)嚅_所述網(wǎng)絡(luò)連接;
如果不存在相匹配的網(wǎng)絡(luò)連接�����,則根據(jù)所述第一業(yè)務(wù)安全訪問(wèn)控制策略中的建立與所述業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)信息相匹配的網(wǎng)絡(luò)連接的操作指令建立一個(gè)或多個(gè)業(yè)務(wù)安全訪問(wèn)控制子策略��,或者�,根據(jù)所述第一業(yè)務(wù)安全訪問(wèn)控制策略中的斷開與所述業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)信息相匹配的網(wǎng)絡(luò)連接的操作指令忽略所述網(wǎng)絡(luò)請(qǐng)求信息����。
8.如權(quán)利要求7所述的系統(tǒng),其特征在于����,所述業(yè)務(wù)安全訪問(wèn)控制策略和所述業(yè)務(wù)安全訪問(wèn)控制子策略中均包含以下信息的一種或多種:匹配條件、網(wǎng)絡(luò)連接信息以及與所述網(wǎng)絡(luò)連接信息相對(duì)應(yīng)的操作指令����。
9.如權(quán)利要求8所述的系統(tǒng)����,其特征在于����,所述業(yè)務(wù)安全訪問(wèn)控制策略中的匹配條件包括以下一種或多種:所述業(yè)務(wù)系統(tǒng)標(biāo)識(shí)、網(wǎng)絡(luò)協(xié)議IP地址���、服務(wù)端口�����、網(wǎng)絡(luò)協(xié)議����、用戶或用戶組����、時(shí)間、媒體訪問(wèn)地址MAC地址和網(wǎng)絡(luò)訪問(wèn)統(tǒng)一資源定位符URL�����;
所述業(yè)務(wù)安全訪問(wèn)控制子策略的匹配條件包括以下一種或多種:所述IP地址、服務(wù)端口�����、網(wǎng)絡(luò)協(xié)議�����、用戶或用戶組����、時(shí)間、媒體訪問(wèn)地址MAC地址和網(wǎng)絡(luò)訪問(wèn)URL�。
10.如權(quán)利要求9所述的系統(tǒng),其特征在于�����,所述業(yè)務(wù)系統(tǒng)標(biāo)識(shí)包括以下一種或多種:每個(gè)進(jìn)程的廠商名稱����、每個(gè)進(jìn)程的系統(tǒng)名稱注冊(cè)信息和每個(gè)進(jìn)程對(duì)應(yīng)的主窗口的窗口標(biāo)題�;
所述業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)信息包括以下一種或多種:網(wǎng)絡(luò)連接的協(xié)議、網(wǎng)絡(luò)源端口���、網(wǎng)絡(luò)目的端口�����、網(wǎng)絡(luò)源地址和網(wǎng)絡(luò)目的地址��。