本發(fā)明涉及計算機技術(shù)領(lǐng)域，更具體地說，涉及一種實現(xiàn)動態(tài)網(wǎng)絡(luò)防護的方法、系統(tǒng)及動態(tài)防火墻。

背景技術(shù)：

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，出現(xiàn)了越來越多功能種類的防火墻以抵御網(wǎng)絡(luò)攻擊，其中，網(wǎng)絡(luò)防火墻是通過對IP數(shù)據(jù)包的過濾，以枚舉等方式與用戶指定的規(guī)則匹對進而決定是否允許數(shù)據(jù)通行。

目前網(wǎng)絡(luò)防火墻存在如下缺陷：

1、IP包過濾對用戶透明，合法用戶在進出網(wǎng)絡(luò)時，使用方便，且具有很好的傳輸性能，易擴展。但是對應(yīng)用層信息無感知，不能在用戶級別上進行過濾，即不能識別不同的用戶和防止IP地址的盜用。如果攻擊者把自己主機的IP地址設(shè)成一個合法主機的IP地址，則可以很輕易地通過包過濾器，進而形成了IP欺騙；

2、客戶端訪問服務(wù)器時，由ISP動態(tài)分配暫時的一個IP地址，此時，IP動態(tài)變化時不能在第一時間內(nèi)對防火墻規(guī)則進行更新，而當網(wǎng)絡(luò)被攻擊時，對防火墻規(guī)則配置腳本進行修改不但是壓力巨大，而且效率低下，不能實時更新；

3、由于防火墻規(guī)則配置的復(fù)雜性，規(guī)則膨脹是防火墻經(jīng)常會出現(xiàn)的安全問題，制定防火墻規(guī)則的技術(shù)人員一般僅讓用戶了解新的防火墻規(guī)則，不會讓用戶知道不再使用的服務(wù)，進而存在過期的防火墻規(guī)則，而過期的規(guī)則很容易成為受攻擊的點，因此，需要不斷的維護防火墻的規(guī)則文件，成本高。

技術(shù)實現(xiàn)要素：

本發(fā)明要解決的技術(shù)問題在于，針對現(xiàn)有技術(shù)中的網(wǎng)絡(luò)防火墻的上述缺陷，提供一種實現(xiàn)動態(tài)網(wǎng)絡(luò)防護的方法、系統(tǒng)及動態(tài)防火墻。

本發(fā)明解決上述問題所采用的技術(shù)方案是提供了一種實現(xiàn)動態(tài)網(wǎng)絡(luò)防護的方法，包括：

公網(wǎng)服務(wù)器在預(yù)設(shè)表中查找所述客戶端所要訪問的內(nèi)網(wǎng)服務(wù)器；

在所述客戶端的IP地址變化時，所述公網(wǎng)服務(wù)器控制所述內(nèi)網(wǎng)服務(wù)器實時更新防火墻規(guī)則以對所述客戶端訪問所述內(nèi)網(wǎng)服務(wù)器進行防護。

其中，在所述客戶端的IP地址變化時，所述公網(wǎng)服務(wù)器控制所述內(nèi)網(wǎng)服務(wù)器實時更新防火墻規(guī)則以對所述客戶端訪問所述內(nèi)網(wǎng)服務(wù)器進行防護的步驟包括：

所述公網(wǎng)服務(wù)器接收所述客戶端上報的IP地址和訪問地址；

將所述IP地址和所述訪問地址生成包含所述客戶端的IP地址和所述訪問地址的規(guī)則信息；

向所述內(nèi)網(wǎng)服務(wù)器發(fā)送包含所述客戶端的IP地址和所述訪問地址的規(guī)則信息以使所述內(nèi)網(wǎng)服務(wù)器實時更新所述防火墻規(guī)則，進而對所述客戶端訪問所述內(nèi)網(wǎng)服務(wù)器進行防護。

其中，所述內(nèi)網(wǎng)服務(wù)器實時更新所述防火墻規(guī)則進而對所述客戶端訪問所述內(nèi)網(wǎng)服務(wù)器進行防護的步驟包括：

所述內(nèi)網(wǎng)服務(wù)器向所述公網(wǎng)服務(wù)器上報本機IP地址；

通過所述本機IP地址接收包含所述客戶端的IP地址和所述訪問地址的規(guī)則信息；

根據(jù)包含所述客戶端的IP地址和所述訪問地址的規(guī)則信息對所述防火墻規(guī)則進行相應(yīng)操作以對所述客戶端訪問所述內(nèi)網(wǎng)服務(wù)器進行防護，所述操作包括增加、刪除或修改。

本發(fā)明解決上述問題所采用的另一技術(shù)方案是提供了一種實現(xiàn)動態(tài)網(wǎng)絡(luò)防護的系統(tǒng)，包括：

客戶端，用于訪問內(nèi)網(wǎng)服務(wù)器；

公網(wǎng)服務(wù)器，用于在預(yù)設(shè)表中查找所述客戶端所要訪問的所述內(nèi)網(wǎng)服務(wù)器，并在所述客戶端的IP地址變化時，控制所述內(nèi)網(wǎng)服務(wù)器實時更新防火墻規(guī)則以對所述客戶端訪問所述內(nèi)網(wǎng)服務(wù)器進行防護。

其中，所述公網(wǎng)服務(wù)器包括：

接收模塊，用于接收所述客戶端上報的IP地址和訪問地址；

生成模塊，用戶將所述IP地址和所述訪問地址生成包含所述客戶端的IP地址和所述訪問地址的規(guī)則信息；

發(fā)送模塊，用于向所述內(nèi)網(wǎng)服務(wù)器發(fā)送包含所述客戶端的IP地址和所述訪問地址的規(guī)則信息以使所述內(nèi)網(wǎng)服務(wù)器實時更新所述防火墻規(guī)則，進而對所述客戶端訪問所述內(nèi)網(wǎng)服務(wù)器進行防護。

其中，還包括：

所述內(nèi)網(wǎng)服務(wù)器，用于在所述客戶端的IP地址變化時，實時更新所述防火墻規(guī)則，進而對所述客戶端訪問所述內(nèi)網(wǎng)服務(wù)器進行防護。

其中，所述更新防火墻規(guī)則為：

對所述防火墻規(guī)則進行相應(yīng)操作，所述操作包括增加、刪除或修改。

本發(fā)明解決上述問題所采用的又一技術(shù)方案是提供了一種內(nèi)網(wǎng)服務(wù)器，包括：

通信模塊，用于向公網(wǎng)服務(wù)器上報本機IP地址，并通過所述本機IP地址接收包含客戶端的IP地址和訪問地址的規(guī)則信息；

操作模塊，用于根據(jù)包含所述客戶端的IP地址和所述訪問地址的規(guī)則信息對防火墻規(guī)則進行相應(yīng)操作以對所述客戶端訪問所述內(nèi)網(wǎng)服務(wù)器進行防護，所述操作包括增加、刪除或修改。

本發(fā)明解決上述問題所采用的又一技術(shù)方案是提供了一種動態(tài)防火墻，包括：

防護模塊，用于根據(jù)實時更新后的防火墻規(guī)則對客戶端訪問內(nèi)網(wǎng)服務(wù)器進行防護。

其中，所述實時更新后的防火墻規(guī)則為根據(jù)包含客戶端的IP地址和訪問地址的規(guī)則信息對原防火墻規(guī)則進行相應(yīng)操作而得到的，所述操作包括自動增加、刪除或者修改。

本發(fā)明的有益效果有：通過公網(wǎng)服務(wù)器記錄客戶端與內(nèi)網(wǎng)服務(wù)器之間的訪問關(guān)系，進而客戶端與所要訪問的內(nèi)網(wǎng)服務(wù)器存在對應(yīng)關(guān)系，若攻擊者不是使用該客戶端，則攻擊者使用自己的主機的IP地址假裝合法的IP地址也無法通過防火墻的包過濾器，提升了防護能力。同時，當客戶端的IP地址變化時，通過公網(wǎng)服務(wù)器實時將變化的客戶端IP地址發(fā)送到該客戶端所要訪問的內(nèi)網(wǎng)服務(wù)器，內(nèi)網(wǎng)服務(wù)器則實時更新防火墻規(guī)則以便對客戶端訪問內(nèi)網(wǎng)服務(wù)器進行防護，有效減少規(guī)則膨脹，且大大縮小了防火墻的過濾訪問，維護更容易。另外，即使內(nèi)網(wǎng)服務(wù)器和客戶端的IP地址頻繁變化，即采用動態(tài)IP技術(shù)，由于公網(wǎng)服務(wù)器記錄客戶端與所要訪問的內(nèi)網(wǎng)服務(wù)器之間的訪問關(guān)系，仍能保持防護效力。

附圖說明

以下結(jié)合附圖及實施例，對本發(fā)明進行進一步詳細說明，附圖中：

圖1是本發(fā)明的實現(xiàn)動態(tài)網(wǎng)絡(luò)防護的方法實施方式的流程圖；

圖2是本發(fā)明的公網(wǎng)服務(wù)器控制內(nèi)網(wǎng)服務(wù)器實時更新防火墻規(guī)則的實施方式的流程圖；

圖3是本發(fā)明的實現(xiàn)動態(tài)網(wǎng)絡(luò)防護的系統(tǒng)實施方式的結(jié)構(gòu)示意圖；

圖4是本發(fā)明的公網(wǎng)服務(wù)器的一個實施方式的結(jié)構(gòu)示意圖；

圖5是本發(fā)明的公網(wǎng)服務(wù)器的一個實施方式的結(jié)構(gòu)示意圖。

具體實施方式

應(yīng)當理解，此處所描述的具體實施例僅用以解釋本發(fā)明，并不用于限定本發(fā)明。

如圖1所示，是本發(fā)明的實現(xiàn)動態(tài)網(wǎng)絡(luò)防護的方法實施方式的流程圖，該方法包括以下步驟：

步驟S102：公網(wǎng)服務(wù)器在預(yù)設(shè)表中查找所述客戶端所要訪問的內(nèi)網(wǎng)服務(wù)器；

公網(wǎng)服務(wù)器是指架設(shè)在公網(wǎng)上的服務(wù)器，內(nèi)網(wǎng)服務(wù)器是架設(shè)在家庭或者企業(yè)的局域網(wǎng)或私有網(wǎng)絡(luò)上的服務(wù)器，其均可以是機構(gòu)、企業(yè)提供的公眾服務(wù)器，也可以是個人或企業(yè)提供的私有服務(wù)器?？蛻舳送ㄟ^掃描內(nèi)網(wǎng)服務(wù)器的標識信息，則該客戶端即可訪問該內(nèi)網(wǎng)服務(wù)器，此時，將該客戶端與該內(nèi)網(wǎng)服務(wù)器的對應(yīng)訪問關(guān)系記錄在預(yù)設(shè)表中，該預(yù)設(shè)表存儲在公網(wǎng)服務(wù)器內(nèi)。在客戶端需要訪問內(nèi)網(wǎng)服務(wù)器時，公網(wǎng)服務(wù)器則在預(yù)設(shè)表中查找與該客戶端存在對應(yīng)訪問關(guān)系的內(nèi)網(wǎng)服務(wù)器。其中，內(nèi)網(wǎng)服務(wù)器的標識信息具有唯一性，即該標識信息代表該內(nèi)網(wǎng)服務(wù)器，可以是設(shè)備的ID、出廠時設(shè)置的二維碼信息或者其他自定義的屬性信息。

步驟S104：在所述客戶端的IP地址變化時，所述公網(wǎng)服務(wù)器控制所述內(nèi)網(wǎng)服務(wù)器實時更新防火墻規(guī)則以對所述客戶端訪問所述內(nèi)網(wǎng)服務(wù)器進行防護。

公網(wǎng)服務(wù)器查找到客戶端所要訪問的內(nèi)網(wǎng)服務(wù)器后，客戶端即可該訪問內(nèi)網(wǎng)服務(wù)器，此時由于客戶端由ISP動態(tài)分配暫時的一個IP地址，即客戶端當前的IP地址變化時，公網(wǎng)服務(wù)器則控制該內(nèi)網(wǎng)服務(wù)器實時更新防火墻規(guī)則，這樣客戶端訪問該內(nèi)網(wǎng)服務(wù)器能得到防護，且根據(jù)IP地址變化，實時更新防火墻規(guī)則，無需再維護防火墻規(guī)則。

其中，在本發(fā)明的一個實施方式中，如圖2所示，步驟S104具體包括以下步驟：

步驟S1041：所述公網(wǎng)服務(wù)器接收所述客戶端上報的IP地址和訪問地址；

客戶端在建立與公網(wǎng)服務(wù)器之間的通信連接后，向公網(wǎng)服務(wù)器上報當前的IP地址和所要訪問內(nèi)網(wǎng)服務(wù)器的訪問地址，進而公網(wǎng)服務(wù)器接收該IP地址和訪問地址。

步驟S1042：將所述IP地址和所述訪問地址生成包含所述客戶端的IP地址和所述訪問地址的規(guī)則信息；

公網(wǎng)服務(wù)器接收到該IP地址和訪問地址后，通過相關(guān)電路的調(diào)制或者通過相關(guān)軟件，根據(jù)該IP地址和訪問地址生成一規(guī)則信息，該規(guī)則信息包含該IP地址和該訪問地址。

步驟S1043：向所述內(nèi)網(wǎng)服務(wù)器發(fā)送包含所述客戶端的IP地址和所述訪問地址的規(guī)則信息以使所述內(nèi)網(wǎng)服務(wù)器實時更新所述防火墻規(guī)則，進而對所述客戶端訪問所述內(nèi)網(wǎng)服務(wù)器進行防護。

由于公網(wǎng)服務(wù)器架設(shè)在公網(wǎng)上，而內(nèi)網(wǎng)服務(wù)器架設(shè)在局域網(wǎng)或私有網(wǎng)絡(luò)上，內(nèi)網(wǎng)服務(wù)器需向公網(wǎng)服務(wù)器上報本機IP地址，進而公網(wǎng)服務(wù)器通過穿透、端口映射等技術(shù)訪問內(nèi)網(wǎng)服務(wù)器，此時，公網(wǎng)服務(wù)器向內(nèi)網(wǎng)服務(wù)器下發(fā)包含客戶端的IP地址和訪問地址的規(guī)則信息。

其中，在本發(fā)明的一個實施方式中，所述內(nèi)網(wǎng)服務(wù)器實時更新所述防火墻規(guī)則，進而對所述客戶端訪問所述內(nèi)網(wǎng)服務(wù)器進行防護的步驟包括：內(nèi)網(wǎng)服務(wù)器向公網(wǎng)服務(wù)器上報本機IP地址；通過該本機IP地址接收包含客戶端的IP地址和訪問地址的規(guī)則信息；根據(jù)包含客戶端的IP地址和訪問地址的規(guī)則信息對防火墻規(guī)則進行相應(yīng)操作以對客戶端訪問內(nèi)網(wǎng)服務(wù)器進行防護，其中，根據(jù)規(guī)則信息對防火墻規(guī)則進行增加、刪除或者修改，例如，在防火墻規(guī)則文件中增加包含客戶端的IP地址的防火墻規(guī)則，以允許該IP地址，進而在內(nèi)網(wǎng)服務(wù)器響應(yīng)客戶端的訪問請求后，對該客戶端的訪問行為進行防護。

本實施方式中，通過公網(wǎng)服務(wù)器記錄客戶端與內(nèi)網(wǎng)服務(wù)器之間的訪問關(guān)系，進而客戶端與所要訪問的內(nèi)網(wǎng)服務(wù)器存在對應(yīng)關(guān)系，若攻擊者不是使用該客戶端，則攻擊者使用自己的主機的IP地址假裝合法的IP地址也無法通過防火墻的包過濾器，提升了防護能力。同時，當客戶端的IP地址變化時，通過公網(wǎng)服務(wù)器實時將變化的客戶端IP地址發(fā)送到該客戶端所要訪問的內(nèi)網(wǎng)服務(wù)器，內(nèi)網(wǎng)服務(wù)器則實時更新防火墻規(guī)則以便對客戶端訪問內(nèi)網(wǎng)服務(wù)器進行防護，有效減少規(guī)則膨脹，且大大縮小了防火墻的過濾訪問，維護更容易。另外，內(nèi)網(wǎng)服務(wù)器和客戶端的IP地址頻繁變化，即采用動態(tài)IP技術(shù)，由于公網(wǎng)服務(wù)器記錄客戶端與所要訪問的內(nèi)網(wǎng)服務(wù)器之間的訪問關(guān)系，仍能保持防護效力。

如圖3所示，是本發(fā)明的實現(xiàn)動態(tài)網(wǎng)絡(luò)防護的系統(tǒng)實施方式的結(jié)構(gòu)示意圖。該系統(tǒng)通過上述實施方式的方法來實現(xiàn)動態(tài)網(wǎng)絡(luò)防護，該系統(tǒng)包括客戶端31、公網(wǎng)服務(wù)器32、內(nèi)網(wǎng)服務(wù)器33和動態(tài)防火墻34。

客戶端31用于訪問內(nèi)網(wǎng)服務(wù)器33。其中，客戶端31與內(nèi)網(wǎng)服務(wù)器33存在對應(yīng)關(guān)系，記錄在公網(wǎng)服務(wù)器32的預(yù)設(shè)表中。

公網(wǎng)服務(wù)器32用于在預(yù)設(shè)表中查找所述客戶端所要訪問的所述內(nèi)網(wǎng)服務(wù)器，并在所述客戶端的IP地址變化時，控制所述內(nèi)網(wǎng)服務(wù)器實時更新防火墻規(guī)則以對所述客戶端訪問所述內(nèi)網(wǎng)服務(wù)器進行防護。如圖4所示，是本發(fā)明的公網(wǎng)服務(wù)器的一個實施方式，具體地，包括接收模塊321、生成模塊322和發(fā)送模塊323，其中，接收模塊321用于接收所述客戶端上報的IP地址和訪問地址；生成模塊322用于將所述IP地址和所述訪問地址生成包含所述客戶端的IP地址和所述訪問地址的規(guī)則信息；發(fā)送模塊323用于向所述內(nèi)網(wǎng)服務(wù)器發(fā)送包含所述客戶端的IP地址和所述訪問地址的規(guī)則信息以使所述內(nèi)網(wǎng)服務(wù)器實時更新所述防火墻規(guī)則，進而對所述客戶端訪問所述內(nèi)網(wǎng)服務(wù)器進行防護。在一些實施方式中，接收模塊321和發(fā)送模塊323可采用同樣的硬件或者軟件來實現(xiàn)，生成模塊322采用公網(wǎng)服務(wù)器的處理單元來實現(xiàn)，例如相關(guān)調(diào)制的電路。

內(nèi)網(wǎng)服務(wù)器33用于在所述客戶端的IP地址變化時，實時更新所述防火墻規(guī)則，進而對所述客戶端訪問所述內(nèi)網(wǎng)服務(wù)器進行防護，其中，更新防火墻為對所述防火墻規(guī)則進行相應(yīng)操作，操作包括增加、刪除或修改。

如圖5所述，是本發(fā)明的內(nèi)網(wǎng)服務(wù)器的一個實施方式，包括通信模塊331和操作模塊332。

通信模塊331用于向公網(wǎng)服務(wù)器上報本機IP地址，并通過所述本機IP地址接收包含客戶端的IP地址和訪問地址的規(guī)則信息；

操作模塊332用于根據(jù)包含所述客戶端的IP地址和所述訪問地址的規(guī)則信息對防火墻規(guī)則進行相應(yīng)操作以對所述客戶端訪問所述內(nèi)網(wǎng)服務(wù)器進行防護，其中，對防火墻規(guī)則進行的操作包括增加、刪除或修改。

動態(tài)防火墻34用于對所述客戶端訪問所述內(nèi)網(wǎng)服務(wù)器進行防護，具體地，包括防護模塊341，該防火模塊341用于根據(jù)實時更新后的防火墻規(guī)則對客戶端訪問內(nèi)網(wǎng)服務(wù)器進行防護，其中，實時更新后的防火墻規(guī)則為根據(jù)包含客戶端的IP地址和訪問地址的規(guī)則信息對原防火墻規(guī)則進行相應(yīng)操作而得到的，其中，對原防火墻進行的操作包括自動增加、刪除或者修改。

以上所述，僅為本發(fā)明較佳的具體實施方式，但本發(fā)明的保護范圍并不局限于此，任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi)，可輕易想到的變化或替換，都應(yīng)涵蓋在本發(fā)明的保護范圍之內(nèi)。因此，本發(fā)明的保護范圍應(yīng)該以權(quán)利要求的保護范圍為準。