亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

一種基于數(shù)據(jù)包的網(wǎng)絡(luò)設(shè)備隱形防護(hù)方法與流程

文檔序號:40387515發(fā)布日期:2024-12-20 12:10閱讀:6來源:國知局
本發(fā)明涉及網(wǎng)絡(luò)安全,具體為一種基于數(shù)據(jù)包的網(wǎng)絡(luò)設(shè)備隱形防護(hù)方法。
背景技術(shù)
::1、隨著信息技術(shù)的迅猛發(fā)展和智能設(shè)備的普及,網(wǎng)絡(luò)安全變得越來越重要,面臨的挑戰(zhàn)也越來越復(fù)雜。2、在復(fù)雜多變的網(wǎng)絡(luò)環(huán)境中,黑客攻擊日益頻繁。部分重點(diǎn)保護(hù)設(shè)備,有極高的安全性和隱私性需求,而目前的網(wǎng)絡(luò)安全防護(hù)技術(shù)存在各種各樣的問題,也并不能百分百保證網(wǎng)絡(luò)的安全性和隱私性,因此,需要在現(xiàn)有的網(wǎng)絡(luò)安全防護(hù)技術(shù)基礎(chǔ)上結(jié)合使用更多更新的網(wǎng)絡(luò)安全防護(hù)技術(shù),加強(qiáng)網(wǎng)絡(luò)的安全性和隱私性。3、新的病毒、漏洞不斷出現(xiàn),各類網(wǎng)絡(luò)攻擊事件層出不窮,如何有效進(jìn)行網(wǎng)絡(luò)安全防護(hù),已經(jīng)成了網(wǎng)絡(luò)安全行業(yè)需要不斷思考的問題。4、然而,無論是黑客攻擊還是未授權(quán)的訪問,在網(wǎng)絡(luò)底層,最終都是以數(shù)據(jù)包的形式來傳輸命令和數(shù)據(jù)。如果能夠在網(wǎng)絡(luò)傳輸?shù)年P(guān)鍵節(jié)點(diǎn)進(jìn)行數(shù)據(jù)包的過濾,識(shí)別出有問題的數(shù)據(jù)包并阻止其傳輸,這將大大提高網(wǎng)絡(luò)安全性。然而,面對海量傳輸?shù)臄?shù)據(jù)包,如何進(jìn)行有效的識(shí)別、過濾,避免誤攔截,這正是其中的重點(diǎn)。5、在以往的網(wǎng)絡(luò)安全防護(hù)策略中,一般包括但不限于以下幾種方法:6、(1)普通防火墻:通過合理配置防火墻規(guī)則(ip、協(xié)議或端口等),可以允許(或屏蔽)外界對網(wǎng)絡(luò)設(shè)備的訪問,阻斷其它不必要的流量進(jìn)出網(wǎng)絡(luò)。7、(2)入侵檢測和防御系統(tǒng)(ids/ips):監(jiān)控所有進(jìn)出網(wǎng)絡(luò)的流量,通過分析網(wǎng)絡(luò)行為模式和特征規(guī)則匹配來檢測網(wǎng)絡(luò)中的攻擊和異常,可以對有威脅的流量進(jìn)行告警甚至阻斷。8、(3)端口隱藏:將需要對外開放的端口設(shè)置為非常用端口,減少被掃描和攻擊的風(fēng)險(xiǎn)(比如ssh服務(wù)默認(rèn)端口為22,如果修改為其它端口,就可以防止掃描工具直接找到ssh服務(wù))。9、(4)ip偽裝:使用vpn、代理服務(wù)或nat地址轉(zhuǎn)換等多種方式,可以有效隱藏設(shè)備的真實(shí)ip地址,減少被攻擊的風(fēng)險(xiǎn)。10、以往的網(wǎng)絡(luò)安全防護(hù)策略中,通過一系列網(wǎng)絡(luò)安全技術(shù)的結(jié)合使用,在很多場景中都能在一定程度上保護(hù)網(wǎng)絡(luò)設(shè)備,減少被攻擊的風(fēng)險(xiǎn)。但這些措施也并不能百分百保證設(shè)備的安全性。尤其是在存儲(chǔ)了重要數(shù)據(jù)或存在關(guān)鍵服務(wù)的網(wǎng)絡(luò)環(huán)境中,需要更為嚴(yán)格的保護(hù)機(jī)制,如果僅采用目前已有的技術(shù)都將存在如下的缺點(diǎn):11、(1)普通防火墻:12、普通防火墻中需要設(shè)置防火墻規(guī)則,才能實(shí)現(xiàn)允許(或屏蔽)特定的ip、協(xié)議或端口進(jìn)行訪問的操作。然而規(guī)則的篩選需要一定的工作量,時(shí)間上會(huì)存在延后性,同時(shí)針對規(guī)則的設(shè)置一般也需要專門的管理員進(jìn)行操作。13、(2)入侵檢測和防御系統(tǒng)(ids/ips):14、入侵檢測和防御系統(tǒng)(ids/ips)的缺點(diǎn)和普通防火墻類似,也需要設(shè)置規(guī)則,同時(shí)網(wǎng)絡(luò)行為模式和特征規(guī)則檢測都對規(guī)則的數(shù)量有一定的要求,大量的規(guī)則檢測必將對網(wǎng)絡(luò)延遲造成一定影響。面對不斷出現(xiàn)新的病毒和漏洞,規(guī)則的篩選存在很大的延后性,無法防御新型攻擊。漏報(bào)、誤報(bào)和影響網(wǎng)絡(luò)延遲是入侵檢測和防御系統(tǒng)(ids/ips)始終無法避免的問題。15、(3)端口隱藏:16、端口隱藏主要是和其它防護(hù)方法結(jié)合使用,它本身而言,雖然可以減少被掃描和攻擊的風(fēng)險(xiǎn),但只要花上足夠多的時(shí)間,挨個(gè)掃描,這種方法并沒有太大的防護(hù)作用。17、(4)ip偽裝:18、ip偽裝也主要是和其它防護(hù)方法結(jié)合使用,保護(hù)隱私,減少被攻擊的風(fēng)險(xiǎn),雖然真實(shí)ip沒有暴露,但映射的虛擬ip還是暴露在網(wǎng)絡(luò)中。技術(shù)實(shí)現(xiàn)思路1、針對上述問題,本發(fā)明的目的在于提供一種基于數(shù)據(jù)包的網(wǎng)絡(luò)設(shè)備隱形防護(hù)方法,2、通過嚴(yán)格的安全認(rèn)證機(jī)制,可以有效防止各類網(wǎng)絡(luò)掃描探測和追蹤,提高網(wǎng)絡(luò)設(shè)備的安全性和隱私性,是對現(xiàn)有網(wǎng)絡(luò)安全技術(shù)的強(qiáng)有力補(bǔ)充。技術(shù)方案如下:3、一種基于數(shù)據(jù)包的網(wǎng)絡(luò)設(shè)備隱形防護(hù)方法,包括以下步驟:4、步驟1:隱形服務(wù)通過iptables屏蔽來自網(wǎng)絡(luò)中的包含ip的所有數(shù)據(jù)包,通過af_packet,在內(nèi)核協(xié)議棧之前監(jiān)聽并捕獲所有數(shù)據(jù)包;5、步驟2:用戶有訪問需求時(shí)通過特定激活工具向待訪問的網(wǎng)絡(luò)設(shè)備發(fā)送自定義協(xié)議類型的激活數(shù)據(jù)包;6、步驟3:隱形服務(wù)將通過af_packet捕獲的數(shù)據(jù)包進(jìn)行協(xié)議識(shí)別,如果識(shí)別到是自定義的協(xié)議類型,則解密激活數(shù)據(jù)包內(nèi)容并進(jìn)行內(nèi)容校驗(yàn);校驗(yàn)成功后通過iptables將發(fā)送激活數(shù)據(jù)包的用戶ip加入過濾白名單,使所述用戶能夠正常訪問所述網(wǎng)絡(luò)設(shè)備;7、步驟4:隱形服務(wù)進(jìn)行定時(shí)檢查,將超過指定時(shí)間沒有再次發(fā)送激活包的用戶視作無效用戶,并將所述無效用戶的ip從過濾白名單中移除,使其無法繼續(xù)發(fā)現(xiàn)和訪問網(wǎng)絡(luò)設(shè)備。8、進(jìn)一步的,所述步驟1中,通過af_packet捕獲數(shù)據(jù)包具體為:在linux系統(tǒng)中使用af_packet套接字越過內(nèi)核協(xié)議棧直接訪問鏈路層的數(shù)據(jù)包;在步驟3中,若識(shí)別到的是自定義的協(xié)議類型,則通過私鑰對數(shù)據(jù)內(nèi)容進(jìn)行解密,最后根據(jù)解密后的內(nèi)容驗(yàn)證數(shù)據(jù)有效性;若識(shí)別到的是非自定義的協(xié)議類型,則不做處理;驗(yàn)證方法為:由于激活數(shù)據(jù)包加密的內(nèi)容為數(shù)據(jù)包本身的ip和端口組成的字符串,故在進(jìn)行有效性驗(yàn)證時(shí),隱形服務(wù)將解密后的內(nèi)容與所述數(shù)據(jù)包本身的ip和端口進(jìn)行比較,相等則驗(yàn)證通過。9、更進(jìn)一步的,所述步驟2中,用戶有訪問需求時(shí)通過特定激活工具進(jìn)行認(rèn)證激活,激活工具向網(wǎng)絡(luò)設(shè)備發(fā)送自定義協(xié)議類型的激活數(shù)據(jù)包,所述自定義協(xié)議類型的激活數(shù)據(jù)包基于ip層之上,在linux系統(tǒng)中采用原始套接字的方式進(jìn)行發(fā)送;發(fā)送的數(shù)據(jù)內(nèi)容使用公鑰進(jìn)行加密,網(wǎng)絡(luò)設(shè)備接收到所述激活數(shù)據(jù)包后使用對應(yīng)的私鑰進(jìn)行解密。10、更進(jìn)一步的,采用的iptables過濾數(shù)據(jù)包包括:11、在步驟1中,網(wǎng)絡(luò)設(shè)備在啟動(dòng)隱形服務(wù)后,通過iptables命令配置linux內(nèi)核的netfilter防火墻,在數(shù)據(jù)包進(jìn)入linux內(nèi)核協(xié)議棧時(shí),屏蔽所有ip數(shù)據(jù)包,命令為:iptables?-t?mangle?-a?prerouting?-p?ip?-j?drop;12、在步驟3中,通過af_packet捕獲到的激活數(shù)據(jù)包內(nèi)容校驗(yàn)成功后,通過iptables將發(fā)送該激活包的用戶ip添加到過濾白名單,命令為:iptables?-t?mangle?-iprerouting-s<ip>-j?accept;13、在步驟4中,進(jìn)行定時(shí)檢查時(shí)將超過指定時(shí)間未再次發(fā)送激活包的用戶ip從過濾白名單移除,命令為:iptables?-t?mangle?-d?prerouting-s<ip>-j?accept。14、本發(fā)明的有益效果是:15、1)本發(fā)明在網(wǎng)絡(luò)底層通過防火墻屏蔽所有ip層數(shù)據(jù)包,并使用af_packet在內(nèi)核協(xié)議棧之前監(jiān)聽所有數(shù)據(jù)包,實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備隱形,對于所有未經(jīng)認(rèn)證激活的用戶都無法發(fā)現(xiàn)和訪問。16、2)本發(fā)明只有極少部分擁有權(quán)限的用戶,無需通過管理員操作,當(dāng)用戶使用特定激活工具發(fā)送激活數(shù)據(jù)包到網(wǎng)絡(luò)設(shè)備時(shí),隱形服務(wù)將通過af_packet捕獲到該激活數(shù)據(jù)包,并識(shí)別、驗(yàn)證,驗(yàn)證成功后通過防火墻將該用戶ip加入過濾白名單,允許用戶訪問網(wǎng)絡(luò)設(shè)備。17、3)本發(fā)明通過這種網(wǎng)絡(luò)設(shè)備隱形的方法,在源頭上限制了網(wǎng)絡(luò)流量的進(jìn)出,實(shí)現(xiàn)了對網(wǎng)絡(luò)設(shè)備的嚴(yán)格保護(hù),是對現(xiàn)有網(wǎng)絡(luò)安全防護(hù)技術(shù)的一種強(qiáng)有力的補(bǔ)充。當(dāng)前第1頁12當(dāng)前第1頁12
當(dāng)前第1頁1 2 
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會(huì)獲得點(diǎn)贊!
1