專利名稱:網(wǎng)絡反饋主機安全防護方法
技術領域:
本發(fā)明涉及一種網(wǎng)絡反饋主機安全防護方法���,屬于網(wǎng)絡信息安全技術領域。
背景技術:
Internet的迅速發(fā)展在提高了工作效率的同時��,也帶來了 一個日益嚴峻的問題一 一網(wǎng)絡安全��。人們研究各種不同的網(wǎng)絡安全防護手段保護計算機和網(wǎng)絡上的信息資 源�����,抵擋黑客的各種攻擊活動��。防火墻技術是建立在現(xiàn)代通信網(wǎng)絡技術和信息安全技 術基礎上的應用性安全防護技術���,越來越多地應用于專用網(wǎng)絡與公用網(wǎng)絡的互連環(huán)境 之中�����,尤以Internet網(wǎng)絡為最甚�����。Internet的迅猛發(fā)展��,使得防火墻產(chǎn)品在短短的幾 年內(nèi)異軍突起,很快形成了 一個產(chǎn)業(yè)�����。
防火墻是指設置在不同網(wǎng)絡(如可信4壬的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡安 全域之間的一系列部件的組合�����。它是不同網(wǎng)絡或網(wǎng)絡安全域之間信息的唯一出入口 ����, 能才艮據(jù)安全策略控制(允許、拒絕�����、監(jiān)測)出入網(wǎng)絡的信息流���,且本身具有較強的抗攻 擊能力��。它是提供信息安全服務�,實現(xiàn)網(wǎng)絡和信息安全的基礎設施�。在邏輯上,防火 墻是一個分離器��、限制器�、分析器,有效地監(jiān)控內(nèi)部網(wǎng)絡和Internet之間的任何活 動���,保證了內(nèi)部網(wǎng)絡的安全�����。防火墻深層策略的制定與安全事件的響應����,以及如何防 止各種防火墻突破技術是目前防護墻研究的重點��。
傳統(tǒng)的防火墻通常是基于訪問控制列表(ACL)進行包過濾的���。隨著計算機技術的 發(fā)展��,新的防火墻技術不斷涌現(xiàn)���,如電路級網(wǎng)關技術��、應用網(wǎng)關技術和動態(tài)包過濾技 水等�。新一代防火墻系統(tǒng)不僅應該能更好地保護防火墻后面內(nèi)部網(wǎng)絡的安全����,而且應 該具有更為優(yōu)良的整體性能。
現(xiàn)有防火墻安全防護的新技術有
一種實現(xiàn)包過濾的防火墻及其實現(xiàn)包過濾的方法��,該防火墻包括同步動態(tài)隨機存 儲器����,網(wǎng)絡處理器芯片,靜態(tài)隨機存儲器��,緩存器和引導只讀存儲器��;該實現(xiàn)包過濾 的方法使用所迷防火墻包括以下步驟,-由微引擎完成以下操作接收處理��,規(guī)則處 理���,發(fā)送處理�;由strongarm核完成控制處理��。
5一種防火墻與入侵檢測系統(tǒng)聯(lián)動的方法��,入侵檢測系統(tǒng)檢測到網(wǎng)絡中的入侵行為
后����,與防火墻建立聯(lián)動的安全通信信道;入侵檢測系統(tǒng)通過安全通信信道向防火墻發(fā)
送聯(lián)動內(nèi)容���;防火墻根據(jù)收到的聯(lián)動內(nèi)容����,生成相應的安全規(guī)則�,阻斷攻擊行為。
一種計算機網(wǎng)絡防火墻���,其基本的控制方法是以狀態(tài)包過濾的形態(tài)實現(xiàn)對應用 層的保護����,通過內(nèi)嵌的專門實現(xiàn)的TCP協(xié)議棧����,在狀態(tài)檢測包過濾的基礎上實現(xiàn)了透
明的應用信息過濾機制�,防火墻的標準設計���,具備完善的身份鑒別�����、訪問控制和審計
能力����,同時��,系統(tǒng)提供了豐富的GUI方式的管理和監(jiān)控工具��,能夠方便的對系統(tǒng)進行 安全策略配置�����、用戶管理��、實時監(jiān)控��、審計查詢、流量管理等操作�����,為保證系統(tǒng)的安 全運行����,系統(tǒng)能夠有效的防范多種DOS的攻擊手段�����,并對攻擊事件進行報警����。
這些防火墻技術可以分為兩種基于主機的防火墻技術和基于網(wǎng)絡的防火墻技 術。主機防火墻主要的防護對象是網(wǎng)絡中的服務器和桌面機��,主要釆用軟件形式進行 防護����,實時監(jiān)控系統(tǒng)運行的各個進程和軟件,保證系統(tǒng)不被病毒感染��。主機防火墻的 優(yōu)點在于能夠針對主機上運行的具體應用和對外提供的服務設定針對性很強的安全 策略����,監(jiān)控主機上各進程����、開放服務的網(wǎng)絡連接和操作���,對非法的^:作�����、連接和訪問 給予報警和阻斷����。不足之處在于����,如果病毒等惡意代碼的采用比主機防火墻監(jiān)控技術 更深層次的操作系統(tǒng)內(nèi)核機制,主機防火墻就不能起到很好的監(jiān)控效果�。
而網(wǎng)絡防火墻位于內(nèi)部網(wǎng)與外部網(wǎng)以及內(nèi)部各子網(wǎng)之間,通過包過濾�、應用代 理、狀態(tài)包過濾等方法��,對所有進出網(wǎng)絡的數(shù)據(jù)包進行檢測�。網(wǎng)絡防火墻能夠截取所 有通過的網(wǎng)絡數(shù)據(jù)包進行檢測和處理,但受到防火墻規(guī)則的限制,對某些采用欺騙�、 偽裝等技術進行網(wǎng)絡連接和數(shù)據(jù)傳輸?shù)牟《静荒苡行У囊唤饻y。
發(fā)明內(nèi)容
本發(fā)明的目的是提供一種網(wǎng)絡反饋主機安全防護方法�����,在計算機系統(tǒng)遭受入侵或 感染病毒的情況下�,能夠在一定程度上防止病毒、木馬等惡意的對外連接�,無法竊取 本地信息。本系統(tǒng)提供方便的管理接口��,靈活配置安全策略和訪問權限���,提高日志和 審計功能。
該系統(tǒng)由硬件設備和PC終端軟件組成�����,可以應用在個人或單位等各種網(wǎng)絡環(huán)境 中�����。主要內(nèi)容為主機監(jiān)控軟件對系統(tǒng)的進程����、文件����、應用軟件�����、網(wǎng)絡連接等各種資源進行監(jiān)控��,網(wǎng)絡硬件設備檢測并控制內(nèi)外網(wǎng)之間的連接����,主機監(jiān)控與網(wǎng)絡檢測有機的 交叉融合,從而更加有效的保護計算機終端上信息的安全性��。
計算機網(wǎng)絡安全防護系統(tǒng)的總體結構由網(wǎng)絡安全防護硬件設備��、用戶PC機�����、管理
和審計服務器三部分組成�。網(wǎng)絡防護系統(tǒng)位于PC機與Internet之間,隔離內(nèi)外網(wǎng)絡�����, 實現(xiàn)對內(nèi)部網(wǎng)絡和外部網(wǎng)絡之間的網(wǎng)絡連接的訪問控制。PC機是用戶連接Internet網(wǎng) 絡訪問的終端設備�����,PC機上安裝有主機防護軟件�,監(jiān)控系統(tǒng)中進程、文件�����、注冊表���、 應用程序等各種資源的正常運行。主機防護軟件與網(wǎng)絡安全防護硬件能夠進行信息的 交互��,更新網(wǎng)絡防護規(guī)則���,并對用戶進行安全事件告警���,由用戶選擇處理策略。管理 和審計服務器負責網(wǎng)絡安全防護硬件設備的配置和管理����,用戶進行Internet連接和行 為及發(fā)生安全事件的審計工作�。
工作步驟具體如下
步驟一策略配置與下達
在審計控制端裝有管理軟件���,方便管理員對內(nèi)部網(wǎng)絡訪問外網(wǎng)的權限進行配置�����。 管理員可對不同的用戶登陸ID配置不同的權限�����,方便進行分別管理�?����?刂婆_配置防護 規(guī)則文件���,其中網(wǎng)址的訪問控制列表是基于白名單的��,訪問控制列表中含有可信域名或 可信IP地址���,將該配置文件下達到網(wǎng)絡防護硬件����。
步驟二網(wǎng)絡防護^便件初始化����。
網(wǎng)絡防護硬件在接受到配置文件后,對其中用戶配置的可信IP地址添加到訪問控 制列表中����。對其中的可信域名,通過發(fā)送DNS數(shù)據(jù)包�,進行可信域名的DNS解析,獲得 可信域名對應的可信IP�,并把IP添加到訪問控制列表中。
步驟三監(jiān)控網(wǎng)絡連接����,基于步驟一,二中的形成的配置文件����,實現(xiàn)訪問控制 (一)若系統(tǒng)中發(fā)現(xiàn)有E-mail的收發(fā)��,則捕獲郵件數(shù)據(jù)包�����,根據(jù)相關郵件協(xié)議對其 進行深度解析。將解析出的發(fā)信人郵件的地址���,收信人的郵件地址����,是否含有附件以及 附件文件的格式等相關信息��,由網(wǎng)絡硬件防護設備反饋給用戶主機�����,并向用戶主機發(fā)送 核實信息以及確認是否收發(fā)的命令�����,系統(tǒng)根據(jù)用戶的反饋命令��,決定是否允許該E-mail 的收發(fā)�。
這一處理機制,在用戶主機感染木馬����、病毒后����,能有效的遏制木馬����、病毒竊取主機的信息。
(二)若系統(tǒng)中發(fā)現(xiàn)DNS數(shù)據(jù)包�,則捕獲DNS數(shù)據(jù)包,對其進行深度解析��。將解析 出的域名與配置文件的可信域名匹配�。
如果匹配成功,則允許該DNS數(shù)據(jù)包的通過�����。
如果匹配不成功�,網(wǎng)絡安全防護石更件將解析DNS獲得的目的地址域名信息反^t給 用戶主機,詢問用戶是否訪問�����。若用戶回饋否�����,則該目的地址禁止訪問��,禁止該DNS數(shù) 據(jù)包的通過�����。若用戶回饋是��,則將該目的地址的IP和域名添加到配置文件的臨時白名 單列表���,即該IP相對步驟二中的可信IP為不完全可信IP,系統(tǒng)將其視為臨時的白名 單�,允許用戶按照審計控制臺形成的配置文件中已設定的訪問控制策略對其進行受限訪 問�。
(三)對于流經(jīng)的其他數(shù)據(jù)包,判斷是否是流經(jīng)于系統(tǒng)與允許訪問的目的地址(包 含配置文件中的白名單和臨時白名單)之間的數(shù)據(jù)交流����,如果是,按照步驟四進行處理���; 如果不是��,則禁止其通過�����。
步驟四檢測所有流經(jīng)系統(tǒng)與可信地址之間的數(shù)據(jù)包��,對其進行深度解析���,基于設 定規(guī)則進行包過濾�。
對于流經(jīng)系統(tǒng)與該目的地址之間的數(shù)據(jù)包�����,基于配制文件中設定的過濾規(guī)則進行處 理�����,即根據(jù)數(shù)據(jù)包的源地址��、目的地址��、協(xié)il類型��,源端口號��、目的端口號����,數(shù)據(jù)包頭 中的各種標志位以及數(shù)據(jù)包的流向等因素來確定是否允許數(shù)據(jù)包通過�����。
另外,解析數(shù)據(jù)包中的應用層協(xié)議��,對于應用協(xié)議中控制連接的指令包和由外網(wǎng)發(fā) 向內(nèi)網(wǎng)的數(shù)據(jù)包允許通過�,而對于從內(nèi)網(wǎng)發(fā)往外網(wǎng)的數(shù)據(jù)包進行控制,默認為拒絕發(fā)送 狀態(tài)����,但可根據(jù)用戶的配置策略有選擇的轉(zhuǎn)發(fā)。
步驟五網(wǎng)絡行為審計
網(wǎng)絡防護^ 更件實時統(tǒng)計用戶的網(wǎng)l備^ 亍為如使用網(wǎng)絡的用戶�����,用戶^_用網(wǎng)絡的時間����, 用戶訪問的網(wǎng)站,郵件發(fā)送接收情況,進出網(wǎng)絡的連接以及對數(shù)據(jù)包應用層的分析等審 計信息��,形成相關的日志��,并將日志發(fā)送到審計控制端。
步驟六完善策略配置��,更新配置文件
審計控制端沖艮據(jù)相關日志和審計信息���,更改用戶的訪問權限��,添加或刪除訪問控制列表中的名單����,完善策略配置��,更新配置文件�,并把新的配置文件下達到網(wǎng)絡防護硬件。
有益效果
1���、 網(wǎng)絡防護與主機防護的有機結合�。本系統(tǒng)采用網(wǎng)絡安全硬件設備與主機防護軟 件結合的方式�����,網(wǎng)絡防護和主機防護都不再孤立的存在�,而是相互交叉融合。
2����、 在計算機終端遭到木馬�、病毒等惡意攻擊的情況下��,能在一定程度上保證計算 機終端信息的安全性�,使得木馬、病毒無法連接遠程網(wǎng)絡和竊取信息�。
3�、 高效靈活的策略配置和審計功能,使用戶能夠及時全面的管理配置網(wǎng)絡安全防 護系統(tǒng)���,并掌握計算機終端所有網(wǎng)絡連接和行為��。
圖1 是網(wǎng)絡反饋主機安全防護方法的功能模塊圖
圖2 是網(wǎng)絡反饋主機安全防護方法工作中對郵件處理的流程圖
圖3 是網(wǎng)絡反饋主機安全防護方法中除E-mail外的目的地址訪問控制處理工 作流程圖
圖4 是網(wǎng)絡反饋主機安全防護方法網(wǎng)絡安全防護硬件整體結構圖
圖5 是網(wǎng)絡反饋主機安全防護方法的網(wǎng)絡硬件設備接口示意圖
具體實施例方式
現(xiàn)結合
對發(fā)明內(nèi)容進行進一步解釋說明�����。
該系統(tǒng)由石更件設備和PC終端軟件組成�����,可以應用在個人或單位等各種網(wǎng)絡環(huán)境 中�����。主要內(nèi)容為主機監(jiān)控軟件對系統(tǒng)的進程���、文件����、應用軟件��、網(wǎng)絡連接等各種資源 進行監(jiān)控����,網(wǎng)絡硬件設備片企測并控制內(nèi)外網(wǎng)之間的連接,主對凡監(jiān)控與網(wǎng)絡檢測有機的 交叉融合���,從而更加有效的保護計算機終端上信息的安全性�。
計算才兒網(wǎng)絡安全防護系統(tǒng)的總體結構由網(wǎng)絡安全防護硬件設備����、用戶PC機、管理 和審計服務器三部分組成���。網(wǎng)絡防護系統(tǒng)位于PC機與Intemet之間��,隔離內(nèi)外網(wǎng)絡��,
9實現(xiàn)對內(nèi)部網(wǎng)絡和外部網(wǎng)絡之間的網(wǎng)絡連接的訪問控制�。PC機是用戶連接Internet網(wǎng) 絡訪問的終端設備,PC機上安裝有主機防護軟件�,監(jiān)控系統(tǒng)中進程、文件�����、注冊表����、 應用程序等各種資源的正常運行�����。主機防護軟件與網(wǎng)絡安全防護硬件能夠進行信息的 交互���,更新網(wǎng)絡防護規(guī)則����,并對用戶進行安全事件告警��,由用戶選擇處理策略����。管理 和審計服務器負責網(wǎng)絡安全防護硬件設備的配置和管理����,用戶進行Internet連接和行 為及發(fā)生安全事件的審計工作�。
網(wǎng)絡安全防護硬件主要用來隔離主機與Internet,對所有進出的數(shù)據(jù)包進行檢測, 判定是否允許對目的地址的訪問�,阻斷不符合安全規(guī)則的數(shù)據(jù),并完成與主積4關動��、審 計等功能����。其功能結構如圖4所示,主要包括了 CPU�����、 SRAM����、 SDRAM、 Flash����、外部接 口等�。網(wǎng)絡安全防護硬件結構圖如圖三所示�����。
網(wǎng)絡防護系統(tǒng)網(wǎng)絡接口如圖5所示���。網(wǎng)絡安全防護^更件有三個以太網(wǎng)接口和一個 USB接口�����。其中三個以太網(wǎng)接口分別連接內(nèi)部主機����、外部網(wǎng)絡和審計控制�。USB接口用 于和內(nèi)部主機的確認交互及信息反饋���。
參照系統(tǒng)結構圖中的連接方式����,將計算機終端通過網(wǎng)絡硬件防護設備連接到 Internet,網(wǎng)絡硬件防護設備還需連接審計管理服務器�����。
管理員在審計管理服務器上配置網(wǎng)絡防護規(guī)則策略,下發(fā)至網(wǎng)絡硬件防護設備�����, 網(wǎng)絡防護硬件在接收到配置文件后����,根據(jù)網(wǎng)址的訪問控制列表中的可信域名,通過發(fā)送 DNS數(shù)據(jù)包����,然后解析相應的DNS應答數(shù)據(jù)包,獲得可信域名對應的可信IP,并把IP 添加到配置文件的訪問控制列表中���,然后系統(tǒng)就會按照配置文件的配置規(guī)則進行安全防 護����。 '
計算機網(wǎng)絡安全防護系統(tǒng)的功能模塊如圖l所示����。整個系統(tǒng)含有五個功能模塊,分 別為消息通信模塊����,網(wǎng)絡應用訪問控制模塊��,數(shù)據(jù)包過濾模塊�,審計模塊�����,策略配置 模塊��。
消息通信模塊實現(xiàn)用戶主機與網(wǎng)絡防護硬件�,以及網(wǎng)絡防護硬件與審計控制端的 信息交互。確保用戶主機與網(wǎng)絡防護硬件之間及時通信�,保證審計控制端的配置文件安 全準確下達到網(wǎng)絡防護硬件。
網(wǎng)絡應用訪問控制模塊 一方面���,控制郵件的收發(fā)�����,防止感染主機的病毒�,木馬竊取用戶信息�。另一方面����,基于配置文件的白名單���,對位于訪問列表中的可信目的地址允
許用戶直接訪問;對于不在訪問列表中的目的地址���,通過詢問用戶的方式��,以及根據(jù)配
置文件中設定的控制訪問策略來判定是允許對目的地址的受限訪問還是禁止對目的地
址的訪問�����。
數(shù)據(jù)包過濾模塊對于流經(jīng)系統(tǒng)的所有數(shù)據(jù)包����,基于配制文件中設定的過濾規(guī)則進 行處理�,即根據(jù)數(shù)據(jù)包的源地址、目的地址���、協(xié)議類型�,源端口號�����、目的端口號,數(shù)據(jù) 包頭中的各種標志位以及數(shù)據(jù)包的流向等因素來確定是否允許數(shù)據(jù)包通過�����。
審計模塊統(tǒng)計用戶的網(wǎng)絡行為如使用網(wǎng)絡的用戶����,用戶使用網(wǎng)絡的時間,用戶訪 問的網(wǎng)站����,郵件發(fā)送接收情況以及處理數(shù)據(jù)包的相關信息等審計信息,并形成相關的日志o
策略配置模塊根據(jù)相關日志和審計信息��,更改用戶的訪問權限����,添加或刪除訪問 控制列表中的名單,完善策略配置�����,更新配置文件�����。 系統(tǒng)的主要功能描述 (1 )控制主機的對外連接
網(wǎng)絡防護系統(tǒng)可以精確控制內(nèi)網(wǎng)主機對外的連接行為.網(wǎng)絡防護系統(tǒng)可根據(jù)網(wǎng)絡 管理員設置的網(wǎng)站訪問權限����,對內(nèi)部網(wǎng)絡實施集中的安全管理。確保一個單位內(nèi)的網(wǎng) 絡與因特網(wǎng)的通信符合該單位的安全策略����。
即使在感染在病毒與木馬后,也可以防止它們與外部通信�����,從而保證內(nèi)部信息的 機密性����。只有在訪問權限內(nèi)的數(shù)據(jù)包才能通過,阻止病毒與木馬等對外連接�,保證內(nèi) 部網(wǎng)絡的安全與可控性。 (2 )郵件安全防護
網(wǎng)絡防護系統(tǒng)對郵件進行安全檢測��,并發(fā)送反饋信息至客戶端進行確認交互����。對 由內(nèi)部往外部發(fā)送的郵件,如果檢測到存在安全隱患�����,則反饋提醒信息來防止信息竊. 取。只有用戶對所發(fā)送郵件內(nèi)容���、附件及收信人等信息確認后����,郵件才能被發(fā)送出 去��。即使在感染病毒或木馬后����,也可以防止內(nèi)部機密信息外泄。 (3)對外部網(wǎng)絡的防護
從外部網(wǎng)絡訪問內(nèi)部網(wǎng)絡的數(shù)據(jù)包���,要進行包匹配檢查�,只有符合訪問規(guī)則的數(shù)據(jù)包才能通過網(wǎng)絡防護系統(tǒng)�����。對不安全的數(shù)據(jù)包進行過濾��,隔離內(nèi)外網(wǎng)絡�,保證內(nèi)部 網(wǎng)絡不受外部網(wǎng)絡的攻擊���。 (4)日志與審計功能
提供了可選的審計功能,為管理人員提供下列信息誰在使用網(wǎng)絡�,在網(wǎng)絡上做 什么�,什么時間使用了網(wǎng)絡,上網(wǎng)去了何處����,誰要上網(wǎng)沒有成功等審計信息。這為完 善策略配置����,更新配置文件提供了寶貴的資料。
若用戶訪問某個目的地址(E-mai 1除外)��,網(wǎng)絡安全防護系統(tǒng)截獲流經(jīng)的數(shù)據(jù)包�。
若數(shù)據(jù)包是DNS數(shù)據(jù)包,網(wǎng)絡防護硬件對其進行深度解析����。將解析出的域名與配置 文件的可信域名匹配。如果匹配成功���,則允許該DNS數(shù)據(jù)包的通過�����。如果匹配不成功��, 網(wǎng)絡安全防護硬件將解析MS獲得的目的地址域名信息反饋給用戶主機���,詢問用戶是 否訪問��。若用戶回饋否�,則該目的地址禁止訪問��,禁止該DNS數(shù)據(jù)包的通過���。若用戶回 饋是��,則將該目的地址的IP和域名添力口到配置文件的臨時白名單列表����,即該IP相對步 驟二中的可信IP為不完全可信IP,系統(tǒng)將其視為臨時的白名單���,允許用戶按照控制臺 下達的配置文件中已設定的訪問控制策略對其進行受限訪問�。
若數(shù)據(jù)包不是DNS數(shù)據(jù)包,網(wǎng)絡通過解析該數(shù)據(jù)包�,獲得其目的地址的IP,從而 判斷該包是否是流經(jīng)于系統(tǒng)與允許訪問的目的地址(包含配置文件中的白名單和臨時白 名單)之間的數(shù)據(jù)交流。如果不是��,則禁止其通過���;如果是��,系統(tǒng)按照設定的過濾規(guī)則���, 對該數(shù)據(jù)包進行檢查和處理����,任何不符合規(guī)則的數(shù)據(jù)包都將按照指定操作處理。當需要 與主機交互時���,網(wǎng)絡硬件防護設備通過USB接口與主機通信����,報告安全檢測結果����,并根 據(jù)用戶返回策略進行相應處理。
若系統(tǒng)中發(fā)現(xiàn)有用戶操作E-raail的收發(fā),則捕獲郵件數(shù)據(jù)包�,根據(jù)相關郵件協(xié)議 對其進行深度解析。將解析出的發(fā)信人郵件的地址���,收信人的郵件地址�����,是否舍有附件 以及附件文件的格式等相關信息�,由網(wǎng)絡硬件防護設備反饋給用戶主機�,并向用戶主機 發(fā)送核實信息以及確認是否收發(fā)的命令,系統(tǒng)根據(jù)用戶的反饋命令�,決定是否允許該 E-mail的收發(fā)。這在用戶主機感染木馬����,病毒后,能有的效遏制木馬�、病毒竊取主機 的信息。
網(wǎng)絡硬件防護設備記錄用戶的各種網(wǎng)絡行為以及處理數(shù)據(jù)包的相關信息����,形成相關曰志,并發(fā)送給審計服務器�����。
一段時間后,審計控制端根據(jù)相關日志和審計信息��,更改用戶的訪問權限�,添加或 刪除白名單控制訪問列表,完善策略配置����,更新配置文件,并把新的配置文件下達到網(wǎng) 絡防護》更件����。
工作主要流程如圖2 (基于郵件的處理)����,如圖3 (除E-mail外的目的地址訪問控 制處理)所示。
本發(fā)明包括但不限于以上的實施例����,凡是在本發(fā)明的精神和原則之下進行的任何局 郎改進,等同替換都將視為在本發(fā)明的保護范圍之內(nèi)����。
權利要求
1.一種網(wǎng)絡反饋主機安全防護方法,主要由硬件設備和PC終端軟件組成;其特征在于具體步驟如下步驟一策略配置與下達在審計控制端裝有管理軟件�����,方便管理員對內(nèi)部網(wǎng)絡訪問外網(wǎng)的權限進行配置���;管理員可對不同的用戶登陸I D配置不同的權限��,方便進行分別管理��;控制臺配置防護規(guī)則文件�,其中網(wǎng)址的訪問控制列表是基于白名單的����,訪問控制列表中含有可信域名或可信IP地址,將該配置文件下達到網(wǎng)絡防護硬件���;步驟二網(wǎng)絡防護硬件初始化����;網(wǎng)絡防護硬件在接受到配置文件后���,對其中用戶配置的可信IP地址添加到訪問控制列表中�����;對其中的可信域名�,通過發(fā)送DNS數(shù)據(jù)包,進行可信域名的DNS解析����,獲得可信域名對應的可信IP,并把IP添加到訪問控制列表中�����;步驟三監(jiān)控網(wǎng)絡連接��,基于步驟一�,二中的形成的配置文件,實現(xiàn)訪問控制(一)若系統(tǒng)中發(fā)現(xiàn)有E-mail的收發(fā)���,則捕獲郵件數(shù)據(jù)包,根據(jù)相關郵件協(xié)議對其進行深度解析��;將解析出的發(fā)信人郵件的地址�,收信人的郵件地址,是否含有附件以及附件文件的格式等相關信息�,由網(wǎng)絡硬件防護設備反饋給用戶主機���,并向用戶主機發(fā)送核實信息以及確認是否收發(fā)的命令,系統(tǒng)根據(jù)用戶的反饋命令����,決定是否允許該E-mail的收發(fā);(二)若系統(tǒng)中發(fā)現(xiàn)DNS數(shù)據(jù)包�,則捕獲DNS數(shù)據(jù)包,對其進行深度解析�����;將解析出的域名與配置文件的可信域名匹配����;如果匹配成功,則允許該DNS數(shù)據(jù)包的通過�����;如果匹配不成功���,網(wǎng)絡安全防護硬件將解析DNS獲得的目的地址域名信息反饋給用戶主機��,詢問用戶是否訪問��;若用戶回饋否���,則該目的地址禁止訪問�,禁止該DNS數(shù)據(jù)包的通過��;若用戶回饋是��,則將該目的地址的IP和域名添加到配置文件的臨時白名單列表����,即該IP相對步驟二中的可信IP為不完全可信IP,系統(tǒng)將其視為臨時的白名單����,允許用戶按照審計控制臺形成的配置文件中已設定的訪問控制策略對其進行受限訪問;(三)對于流經(jīng)的其他數(shù)據(jù)包�����,判斷是否是流經(jīng)于系統(tǒng)與允許訪問的目的地址之間的數(shù)據(jù)交流�,系統(tǒng)與允許訪問的目的地址包含配置文件中的白名單和臨時白名單,如果是��,按照步驟四進行處理���;如果不是�,則禁止其通過����;步驟四檢測所有流經(jīng)系統(tǒng)與可信地址之間的數(shù)據(jù)包,對其進行深度解析���,基于設定規(guī)則進行包過濾���;對于流經(jīng)系統(tǒng)與該目的地址之間的數(shù)據(jù)包,基于配制文件中設定的過濾規(guī)則進行處理�����,即根據(jù)數(shù)據(jù)包的源地址��、目的地址�����、協(xié)議類型���,源端口號��、目的端口號�,數(shù)據(jù)包頭中的各種標志位以及數(shù)據(jù)包的流向等因素來確定是否允許數(shù)據(jù)包通過;另外����,解析數(shù)據(jù)包中的應用層協(xié)議,對于應用協(xié)議中控制連接的指令包和由外網(wǎng)發(fā)向內(nèi)網(wǎng)的數(shù)據(jù)包允許通過���,而對于從內(nèi)網(wǎng)發(fā)往外網(wǎng)的數(shù)據(jù)包進行控制�,默認為拒絕發(fā)送狀態(tài)�,但可根據(jù)用戶的配置策略有選擇的轉(zhuǎn)發(fā);步驟五網(wǎng)絡行為審計網(wǎng)絡防護硬件實時統(tǒng)計用戶的網(wǎng)絡行為如使用網(wǎng)絡的用戶��,用戶使用網(wǎng)絡的時間����,用戶訪問的網(wǎng)站,郵件發(fā)送接收情況��,進出網(wǎng)絡的連接以及對數(shù)據(jù)包應用層的分析等審計信息�����,形成相關的日志,并將日志發(fā)送到審計控制端�;步驟六完善策略配置��,更新配置文件審計控制端根據(jù)相關日志和審計信息�,更改用戶的訪問權限,添加或刪除訪問控制列表中的名單���,完善策略配置�����,更新配置文件��,并把新的配置文件下達到網(wǎng)絡防護硬件����。
全文摘要
本發(fā)明公開了一種網(wǎng)絡反饋主機安全防護方法���,主要由硬件設備和PC終端軟件組成����;具體過程為�,首先進行策略配置與下達,然后對網(wǎng)絡防護硬件初始化,獲得可信域名對應的可信IP���;再基于前兩步形成的配置文件�,實施監(jiān)控網(wǎng)絡連接�,實現(xiàn)訪問控制;接著檢測所有流經(jīng)系統(tǒng)與可信地址之間的數(shù)據(jù)包�,對其進行深度解析,基于設定規(guī)則進行包過濾���;再接著�,對網(wǎng)絡行為審計�����;最后����,完善策略配置,更新配置文件���;本方法在計算機終端遭到木馬����、病毒等惡意攻擊的情況下,能在一定程度上保證計算機終端信息的安全性��,并能高效靈活的策略配置和審計功能����,使用戶能夠及時全面的管理配置網(wǎng)絡安全防護系統(tǒng)�����,并掌握計算機終端所有網(wǎng)絡連接和行為���。
文檔編號H04L29/06GK101567888SQ20091013609
公開日2009年10月28日 申請日期2009年4月28日 優(yōu)先權日2008年12月29日
發(fā)明者鄭康鋒, 郭世澤 申請人:郭世澤;鄭康鋒