專利名稱:一種安全網(wǎng)關(guān)及一種網(wǎng)絡(luò)數(shù)據(jù)的交互方法
技術(shù)領(lǐng)域:
本發(fā)明涉及互聯(lián)網(wǎng)領(lǐng)域��,更具體的說���,是涉及ー種安全網(wǎng)關(guān)及一種網(wǎng)絡(luò)數(shù)據(jù)的交互方法�。
背景技術(shù):
隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和社會(huì)大眾對(duì)工作方便性要求的提高��,許多企事業(yè)單位間需要通過網(wǎng)絡(luò)進(jìn)行ー些數(shù)據(jù)共享,交互查詢等工作。而有些企事業(yè)單位的內(nèi)網(wǎng)信息因其重要性或機(jī)密性需要得到一定的安全保護(hù)��,以防外網(wǎng)對(duì)其進(jìn)行惡意攻擊,給社會(huì)帶來損失或危害。為在保證內(nèi)網(wǎng)安全性的前提下對(duì)外網(wǎng)提供必要的數(shù)據(jù)共享�、交互查詢等服務(wù)���,用戶需要部署信息通信網(wǎng)邊界接入平臺(tái),所述信息通信邊界接入平臺(tái)首先通過安全隔離網(wǎng)閘等安全隔離設(shè)備將內(nèi)網(wǎng)的特定數(shù)據(jù)擺渡到外部數(shù)據(jù)庫���,再將這些資源有機(jī)聯(lián)網(wǎng)��、整合共享���,最后通過服務(wù)器對(duì)外提供數(shù)據(jù)交互��。而在外網(wǎng)對(duì)內(nèi)網(wǎng)訪問前����,外網(wǎng)訪問請(qǐng)求需通過系統(tǒng)設(shè)置的安全網(wǎng)關(guān)?��,F(xiàn)有的安全網(wǎng)關(guān),是通過判斷源地址IP�、目的地址IP��、端口號(hào)等來對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行攔截和監(jiān)測(cè)�,以阻止惡意攻擊,保障內(nèi)網(wǎng)數(shù)據(jù)信息的安全性���。但是�����,現(xiàn)有的安全網(wǎng)關(guān)只是在網(wǎng)絡(luò)層和傳輸層對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行判斷控制,不能對(duì)網(wǎng)絡(luò)數(shù)據(jù)本身進(jìn)行嚴(yán)格的檢查和過濾���,不能有效的防范黑客的攻擊,當(dāng)黑客將源IP包改變成合法IP即進(jìn)行IP地址欺騙后����,就能夠輕松的通過安全網(wǎng)關(guān),進(jìn)入內(nèi)網(wǎng),網(wǎng)絡(luò)系統(tǒng)安全性低�����。因此����,如何提供ー種安全網(wǎng)關(guān)及一種網(wǎng)絡(luò)數(shù)據(jù)的交互方法���,使得安全網(wǎng)關(guān)對(duì)網(wǎng)絡(luò)數(shù)據(jù)本身能夠進(jìn)行安全分析和控制,提高網(wǎng)絡(luò)系統(tǒng)的安全性,是本領(lǐng)域技術(shù)人員急需解決的問題。
發(fā)明內(nèi)容
有鑒于此���,本發(fā)明提供了ー種安全網(wǎng)關(guān)及一種網(wǎng)絡(luò)數(shù)據(jù)的交互方法,以克服現(xiàn)有技術(shù)中由于不能夠?qū)W(wǎng)絡(luò)數(shù)據(jù)本身進(jìn)行安全分析而導(dǎo)致的內(nèi)網(wǎng)系統(tǒng)安全性低的問題�。為實(shí)現(xiàn)上述目的���,本發(fā)明提供如下技術(shù)方案:ー種安全網(wǎng)關(guān)���,包括:數(shù)據(jù)連接模塊、數(shù)據(jù)處理模塊及數(shù)據(jù)庫模塊����;所述數(shù)據(jù)連接模塊用于判斷客戶端發(fā)起的訪問請(qǐng)求是否符合預(yù)設(shè)的檢測(cè)策略��,并根據(jù)判斷結(jié)果將所述訪問請(qǐng)求提交給數(shù)據(jù)處理模塊或截?cái)嗨鲈L問請(qǐng)求��;所述數(shù)據(jù)處理模塊用于判斷所述訪問請(qǐng)求的數(shù)據(jù)內(nèi)容是否符合預(yù)設(shè)的類型策略�,并根據(jù)判斷結(jié)果建立所述訪問請(qǐng)求與服務(wù)器的連接或截?cái)嗨鲈L問請(qǐng)求�;數(shù)據(jù)庫模塊��,用于存儲(chǔ)所述預(yù)設(shè)的檢測(cè)策略及預(yù)設(shè)的類型策略����,并記錄數(shù)據(jù)連接模塊和數(shù)據(jù)處理模塊的操作信息。其中��,所述數(shù)據(jù)連接模塊具體包括:連接接收模塊��,用于接收客戶端發(fā)起的訪問請(qǐng)求�����;
策略檢測(cè)模塊�,用于根據(jù)所述訪問請(qǐng)求檢測(cè)所述客戶端的IP及訪問時(shí)間是否符合預(yù)設(shè)的檢測(cè)策略���;數(shù)據(jù)傳輸模塊,用于在所述策略檢測(cè)模塊的檢測(cè)結(jié)果為是的情況下:將所述訪問請(qǐng)求提交給所述數(shù)據(jù)處理模塊�;截?cái)嗾?qǐng)求模塊,用于在所述策略檢測(cè)模塊的檢測(cè)結(jié)果為否的情況下:截?cái)嗨鲈L問請(qǐng)求�。其中,所述數(shù)據(jù)傳輸模塊���,具體用于將多個(gè)所述訪問請(qǐng)求多線程的提交給數(shù)據(jù)處理模塊��。優(yōu)選的,所述數(shù)據(jù)連接模塊還包括:監(jiān)聽模塊�����,用于監(jiān)聽對(duì)綁定服務(wù)套接字的連接�,以使策略檢測(cè)模塊檢測(cè)所述客戶端的IP及訪問時(shí)間。其中����,所述數(shù)據(jù)處理模塊具體包括:處理接收模塊,用于接收數(shù)據(jù)連接模塊提交的所述訪問請(qǐng)求���;類型判斷模塊�,用于對(duì)所述訪問請(qǐng)求的數(shù)據(jù)內(nèi)容進(jìn)行格式匹配及敏感數(shù)據(jù)匹配,判斷所述訪問請(qǐng)求的數(shù)據(jù)內(nèi)容是否符合預(yù)設(shè)的類型策略��;建立連接模塊��,用于在所述類型判斷模塊的判斷結(jié)果為是的情況下:建立所述訪問請(qǐng)求與服務(wù)器的連接��;截?cái)嗾?qǐng)求模塊����,用于在所述類型判斷模塊的判斷結(jié)果為否的情況下:截?cái)嗨鲈L問請(qǐng)求。其中�,所述數(shù)據(jù)庫模塊具體包括:配置文件模塊,用于存儲(chǔ)所述預(yù)設(shè)的檢測(cè)策略及預(yù)設(shè)的類型策略�����;記錄模塊�����,用于記錄所述數(shù)據(jù)連接模塊和數(shù)據(jù)處理模塊的操作信息����。優(yōu)選的,還包括:統(tǒng)計(jì)模塊,用于統(tǒng)計(jì)發(fā)送至所述安全網(wǎng)關(guān)的訪問請(qǐng)求的類型�、分布區(qū)域及異常訪問的相關(guān)信息。一種網(wǎng)絡(luò)數(shù)據(jù)的交互方法���,包括:數(shù)據(jù)連接模塊判斷客戶端發(fā)起的訪問請(qǐng)求是否符合預(yù)設(shè)的檢測(cè)策略���,并根據(jù)判斷結(jié)果將所述訪問請(qǐng)求提交給數(shù)據(jù)處理模塊或截?cái)嗨鲈L問請(qǐng)求;數(shù)據(jù)處理模塊判斷所述訪問請(qǐng)求是否符合預(yù)設(shè)的類型策略����,并根據(jù)判斷結(jié)果建立所述訪問請(qǐng)求與服務(wù)器的連接或截?cái)嗨鲈L問請(qǐng)求;數(shù)據(jù)庫模塊存儲(chǔ)所述預(yù)設(shè)的檢測(cè)策略及預(yù)設(shè)的類型策略�,并記錄數(shù)據(jù)連接模塊和數(shù)據(jù)處理模塊的操作信息。其中�����,所述數(shù)據(jù)連接模塊判斷客戶端發(fā)起的訪問請(qǐng)求是否符合預(yù)設(shè)的檢測(cè)策略�,并根據(jù)判斷結(jié)果將所述訪問請(qǐng)求提交給數(shù)據(jù)處理模塊或截?cái)嗨鲈L問請(qǐng)求具體包括:連接接收模塊接收客戶端發(fā)起的訪問請(qǐng)求���;監(jiān)聽模塊監(jiān)聽對(duì)綁定服務(wù)套接字的連接����;策略檢測(cè)模塊根據(jù)所述監(jiān)聽模塊的監(jiān)聽結(jié)果檢測(cè)所述客戶端的IP及訪問時(shí)間是否符合預(yù)設(shè)的檢測(cè)策略;在所述策略檢測(cè)模塊的檢測(cè)結(jié)果為是的情況下:將所述訪問請(qǐng)求提交給所述數(shù)據(jù)處理模塊����;在所述策略檢測(cè)模塊的檢測(cè)結(jié)果為否的情況下:截?cái)嗨鲈L問請(qǐng)求。其中��,所述數(shù)據(jù)處理模塊判斷所述訪問請(qǐng)求是否符合預(yù)設(shè)的類型策略���,并根據(jù)判斷結(jié)果建立所述訪問請(qǐng)求與服務(wù)器的連接或截?cái)嗨鲈L問請(qǐng)求���,具體為:處理接收模塊接收數(shù)據(jù)連接模塊提交的所述訪問請(qǐng)求;類型判斷模塊對(duì)所述訪問請(qǐng)求的數(shù)據(jù)內(nèi)容進(jìn)行格式匹配及敏感數(shù)據(jù)匹配�,判斷所述訪問請(qǐng)求的數(shù)據(jù)內(nèi)容是否符合預(yù)設(shè)的類型策略;在所述類型判斷模塊的判斷結(jié)果為是的情況下:建立所述訪問請(qǐng)求與服務(wù)器的連接;在所述類型判斷模塊的判斷結(jié)果為否的情況下:截?cái)嗨鲈L問請(qǐng)求����。經(jīng)由上述的技術(shù)方案可知,與現(xiàn)有技術(shù)相比���,本發(fā)明公開了ー種安全網(wǎng)關(guān)及ー種網(wǎng)絡(luò)數(shù)據(jù)的交互方法��,該安全網(wǎng)關(guān)能夠?qū)h(yuǎn)端的訪問請(qǐng)求進(jìn)行檢測(cè)���,判斷其是否符合預(yù)設(shè)的檢測(cè)策略,檢測(cè)內(nèi)容包括IP檢測(cè)及時(shí)段檢測(cè),通過IP檢測(cè)及時(shí)段檢測(cè)的訪問請(qǐng)求才會(huì)被允許建立連接,所述安全網(wǎng)關(guān)還能夠進(jìn)一歩對(duì)所述訪問請(qǐng)求的數(shù)據(jù)內(nèi)容類型進(jìn)行分析��,判斷其是否符合預(yù)設(shè)的類型策略����,只有符合檢測(cè)策略及類型策略的訪問請(qǐng)求,所述安全網(wǎng)關(guān)才會(huì)保障其與服務(wù)器的正常連接�����,而過程中如果所述訪問請(qǐng)求被判斷出不符合系統(tǒng)預(yù)設(shè)的檢測(cè)策略和/或類型策略����,即會(huì)立即被斷掉連接。通過所述的安全網(wǎng)關(guān)及網(wǎng)絡(luò)數(shù)據(jù)交互方法��,能夠?qū)υL問請(qǐng)求進(jìn)行基于數(shù)據(jù)本身的檢測(cè)分析����,提高了網(wǎng)絡(luò)系統(tǒng)的安全性。
為了更清楚地說明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案����,下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡(jiǎn)單地介紹��,顯而易見地,下面描述中的附圖僅僅是本發(fā)明的實(shí)施例���,對(duì)于本領(lǐng)域普通技術(shù)人員來講���,在不付出創(chuàng)造性勞動(dòng)的前提下,還可以根據(jù)提供的附圖獲得其他的附圖�。圖1為本發(fā)明實(shí)施例公開的安全網(wǎng)關(guān)的第一結(jié)構(gòu)示意圖;圖2為本發(fā)明實(shí)施例公開的數(shù)據(jù)連接模塊的結(jié)構(gòu)示意圖�����;圖3為本發(fā)明實(shí)施例公開的數(shù)據(jù)處理模塊的結(jié)構(gòu)示意圖��;圖4為本發(fā)明實(shí)施例公開的數(shù)據(jù)庫模塊的結(jié)構(gòu)示意圖���;圖5為本發(fā)明實(shí)施例公開的安全網(wǎng)關(guān)的第二結(jié)構(gòu)示意圖�����;圖6為本發(fā)明實(shí)施例公開的網(wǎng)絡(luò)數(shù)據(jù)交互方法的第一流程圖����;圖7為本發(fā)明實(shí)施例公開的判斷訪問請(qǐng)求是否符合預(yù)設(shè)的檢測(cè)策略的流程示意圖���;圖8為本發(fā)明實(shí)施例公開的判斷訪問請(qǐng)求是否符合預(yù)設(shè)的類型策略的流程示意圖�;圖9為本發(fā)明實(shí)施例公開的網(wǎng)絡(luò)數(shù)據(jù)交互方法的第二流程圖。
具體實(shí)施例方式下面將結(jié)合本發(fā)明實(shí)施例中的附圖���,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚�����、完整地描述�,顯然�����,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例���,而不是全部的實(shí)施例�����?����;诒景l(fā)明中的實(shí)施例�����,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例���,都屬于本發(fā)明保護(hù)的范圍。實(shí)施例一圖1為本發(fā)明實(shí)施例公開的安全網(wǎng)關(guān)的第一結(jié)構(gòu)示意圖�,參照?qǐng)D1所示,所述安全網(wǎng)關(guān)10可以包括:數(shù)據(jù)連接模塊101��,用于判斷客戶端發(fā)起的訪問請(qǐng)求是否符合預(yù)設(shè)的檢測(cè)策略�,并根據(jù)判斷結(jié)果將所述訪問請(qǐng)求提交給數(shù)據(jù)處理模塊或截?cái)嗨鲈L問請(qǐng)求;其中�,當(dāng)客戶端發(fā)來訪問請(qǐng)求時(shí),所述數(shù)據(jù)連接模塊101能夠?qū)⑺鲈L問請(qǐng)求的相關(guān)信息與系統(tǒng)配置文件里預(yù)設(shè)的檢測(cè)策略進(jìn)行比較���,判斷所述訪問請(qǐng)求是否符合所述預(yù)設(shè)的檢測(cè)策略�����,然后根據(jù)上述判斷的判斷結(jié)果進(jìn)行不同的操作����,根據(jù)所述數(shù)據(jù)連接模塊101的具體功能����,參考圖2所示���,所述數(shù)據(jù)連接模塊101具體又可以包括:連接接收模塊1011,用于接收客戶端發(fā)起的訪問請(qǐng)求; 此模塊負(fù)責(zé)接收不同客戶端發(fā)送來的訪問請(qǐng)求����,所述訪問請(qǐng)求可以是讀取請(qǐng)求,也可以是寫入請(qǐng)求�;策略檢測(cè)模塊1012,用于根據(jù)所述訪問請(qǐng)求檢測(cè)所述客戶端的IP及訪問時(shí)間是否符合預(yù)設(shè)的檢測(cè)策略��;所述檢測(cè)包括對(duì)所述訪問請(qǐng)求進(jìn)行IP檢測(cè)及時(shí)段檢測(cè)��,當(dāng)所述連接接收模塊1011接收到客戶端發(fā)起的訪問請(qǐng)求時(shí),根據(jù)接收到的所述訪問請(qǐng)求對(duì)其遠(yuǎn)端的IP地址及該訪問請(qǐng)求的訪問時(shí)間進(jìn)行檢測(cè)��,判斷出所述訪問請(qǐng)求的相關(guān)信息是否符合系統(tǒng)配置文件里預(yù)設(shè)的檢測(cè)策略��,所述預(yù)設(shè)的檢測(cè)策略存在于配置文件的存儲(chǔ)器中��,在所述策略檢測(cè)模塊需要時(shí)可以隨時(shí)獲取�����,所述預(yù)設(shè)的檢測(cè)策略是由用戶依靠經(jīng)驗(yàn)或?qū)嶋H情況需要提前設(shè)置于存儲(chǔ)器中的����,以便于拒絕ー些很可能是惡意攻擊���、數(shù)據(jù)竊取等異常的訪問請(qǐng)求�,所述預(yù)設(shè)的檢測(cè)策略記錄有符合要求的訪問請(qǐng)求的IP地址及訪問時(shí)間,如:預(yù)設(shè)的檢測(cè)策略規(guī)定了具有訪問權(quán)利的IP地址范圍�����,并規(guī)定訪問請(qǐng)求的處理時(shí)間在早上8點(diǎn)至晚上9點(diǎn)之間����,那么如果一個(gè)訪問請(qǐng)求的源地址包括在所述預(yù)設(shè)的檢測(cè)策略規(guī)定的具有訪問權(quán)利的IP地址范圍內(nèi),且其訪問時(shí)間在早上8點(diǎn)至晚上九點(diǎn)之間�����,那么此訪問請(qǐng)求即符合所述預(yù)設(shè)的檢測(cè)策略���,如果ー個(gè)訪問請(qǐng)求的源地址包括在所述預(yù)設(shè)的檢測(cè)策略規(guī)定的具有訪問權(quán)利的IP地址范圍內(nèi)�����,但是訪問時(shí)間為凌晨一點(diǎn)���,那么該訪問請(qǐng)求就不符合所述預(yù)設(shè)的檢測(cè)策略����;數(shù)據(jù)傳輸模塊1013�����,用于在所述策略檢測(cè)模塊的檢測(cè)結(jié)果為是的情況下:將所述訪問請(qǐng)求提交給所述數(shù)據(jù)處理模塊�����;當(dāng)所述訪問請(qǐng)求通過策略檢測(cè)模塊1012的檢測(cè)吋�,即符合系統(tǒng)配置文件中關(guān)于訪問請(qǐng)求IP地址及訪問時(shí)間的預(yù)設(shè)的檢測(cè)策略時(shí),所述數(shù)據(jù)傳輸模塊1013將符合所述預(yù)設(shè)的檢測(cè)策略的訪問請(qǐng)求提交給數(shù)據(jù)處理模塊102 (詳見后述)����;截?cái)嗾?qǐng)求模塊1014,用于在所述策略檢測(cè)模塊的檢測(cè)結(jié)果為否的情況下:截?cái)嗨鲈L問請(qǐng)求�;當(dāng)所述訪問請(qǐng)求沒有通過策略檢測(cè)模塊1012的檢測(cè)吋,即不符合系統(tǒng)配置文件中關(guān)于訪問請(qǐng)求IP地址及訪問時(shí)間的預(yù)設(shè)的檢測(cè)策略時(shí)���,所述截?cái)嗾?qǐng)求模塊將1014所述訪問請(qǐng)求的連接截?cái)?�;通過所述數(shù)據(jù)連接模塊101檢測(cè)的訪問請(qǐng)求����,將被提交給數(shù)據(jù)處理模塊102 ;數(shù)據(jù)處理模塊102����,用于判斷所述訪問請(qǐng)求的數(shù)據(jù)內(nèi)容是否符合預(yù)設(shè)的類型策略,并根據(jù)判斷結(jié)果建立所述訪問請(qǐng)求與服務(wù)器的連接或截?cái)嗨鲈L問請(qǐng)求�����;當(dāng)所述數(shù)據(jù)處理模塊102接收到所述數(shù)據(jù)連接模塊提交的所述訪問請(qǐng)求時(shí)���,所述數(shù)據(jù)處理模塊102能夠?qū)⑺鲈L問請(qǐng)求應(yīng)用層的相關(guān)信息,即數(shù)據(jù)信息與系統(tǒng)配置文件的存儲(chǔ)器里預(yù)設(shè)的類型策略進(jìn)行比較���,判斷所述訪問請(qǐng)求的數(shù)據(jù)信息是否符合所述預(yù)設(shè)的類型策略�����,所述預(yù)設(shè)的類型策略是由用戶依靠經(jīng)驗(yàn)或?qū)嶋H情況需要提前設(shè)置于存儲(chǔ)器中的����,以便于拒絕ー些很可能是惡意攻擊、數(shù)據(jù)竊取等異常的訪問請(qǐng)求�,然后根據(jù)上述判斷的判斷結(jié)果進(jìn)行不同的操作,如:所述預(yù)設(shè)的類型策略規(guī)定訪問請(qǐng)求的報(bào)文長(zhǎng)度必須大于設(shè)定的閾值N����,那么當(dāng)訪問請(qǐng)求的報(bào)文長(zhǎng)度小于用戶設(shè)定的N值時(shí),就不符合預(yù)設(shè)的類型策略���,根據(jù)所述數(shù)據(jù)處理模塊102的具體功能����,參考圖3所示�,所述數(shù)據(jù)處理模塊102具體又可以包括:處理接收模塊1021,用于接收數(shù)據(jù)連接模塊提交的所述訪問請(qǐng)求����;此時(shí)接收到的訪問請(qǐng)求為通過所述數(shù)據(jù)連接模塊101檢測(cè)的訪問請(qǐng)求;類型判斷模塊1022����,用于對(duì)所述訪問請(qǐng)求的數(shù)據(jù)內(nèi)容進(jìn)行格式匹配及敏感數(shù)據(jù)匹配,判斷所述訪問請(qǐng)求的數(shù)據(jù)內(nèi)容是否符合預(yù)設(shè)的類型策略�����;所述判斷依據(jù)對(duì)所述訪問請(qǐng)求進(jìn)行數(shù)據(jù)格式匹配及敏感數(shù)據(jù)匹配的匹配結(jié)果,所述數(shù)據(jù)格式及敏感數(shù)據(jù)可以由用戶根據(jù)實(shí)際應(yīng)用情況來自主設(shè)定��,且用戶可以隨時(shí)重新設(shè)定數(shù)據(jù)格式及敏感數(shù)據(jù)���,所述敏感數(shù)據(jù)可以為一段時(shí)期內(nèi)或長(zhǎng)時(shí)期內(nèi)涉及到私密信息或一些合法機(jī)構(gòu)明確規(guī)定不可以使用或流傳的ー些字�、詞或句子�����,當(dāng)所述訪問請(qǐng)求的數(shù)據(jù)中包含所述預(yù)設(shè)的類型策略里規(guī)定的敏感數(shù)據(jù)時(shí)�,所述訪問請(qǐng)求即不符合所述預(yù)設(shè)的類型策略,如��,所述預(yù)設(shè)的類型策略規(guī)定訪問請(qǐng)求中不可攜帯“非典”這個(gè)詞�,那么當(dāng)訪問請(qǐng)求為“查詢有過非典病史的人”時(shí)�,該訪問請(qǐng)求就不符合預(yù)設(shè)的類型策略,當(dāng)所述處理連接模塊1021接收到所述數(shù)據(jù)連接模塊101提交的訪問請(qǐng)求時(shí)�����,根據(jù)接收到的所述訪問請(qǐng)求對(duì)其進(jìn)行數(shù)據(jù)格式匹配及敏感數(shù)據(jù)的匹配�����,判斷出所述訪問請(qǐng)求的數(shù)據(jù)信息是否符合系統(tǒng)配置文件里預(yù)設(shè)的類型策略;建立連接模塊1023����,用于在所述類型判斷模塊的判斷結(jié)果為是的情況下:建立所述訪問請(qǐng)求與服務(wù)器的連接;當(dāng)所述訪問請(qǐng)求通過類型判斷模塊1022的判斷吋��,即符合系統(tǒng)配置文件中關(guān)于訪問請(qǐng)求數(shù)據(jù)格式及敏感數(shù)據(jù)的預(yù)設(shè)的類型策略時(shí)�����,所述建立連接模塊1023為符合所述預(yù)設(shè)的類型策略的訪問請(qǐng)求建立與應(yīng)用服務(wù)器的連接���;截?cái)嗾?qǐng)求模塊1024����,用于在所述類型判斷模塊的判斷結(jié)果為否的情況下:截?cái)嗨鲈L問請(qǐng)求���;當(dāng)所述訪問請(qǐng)求沒有通過類型判斷模塊1022的檢測(cè)吋�,即不符合系統(tǒng)配置文件中關(guān)于訪問請(qǐng)求數(shù)據(jù)格式及敏感數(shù)據(jù)的預(yù)設(shè)的檢測(cè)策略時(shí)�,所述截?cái)嗾?qǐng)求模塊1024將所述訪問請(qǐng)求的連接截?cái)啵粩?shù)據(jù)庫模塊103����,用于存儲(chǔ)所述預(yù)設(shè)的檢測(cè)策略及預(yù)設(shè)的類型策略���,并記錄數(shù)據(jù)連接模塊和數(shù)據(jù)處理模塊的操作信息;上述預(yù)設(shè)的檢測(cè)策略及預(yù)設(shè)的類型策略保存在配置文件的存儲(chǔ)器中�����,所述配置文件中還包括能夠保證各個(gè)模塊正常運(yùn)行的配置管理信息��,所述預(yù)設(shè)的檢測(cè)策略��、預(yù)設(shè)的類型策略及所述配置管理信息均存儲(chǔ)在所述數(shù)據(jù)庫模塊103中�,所述數(shù)據(jù)庫模塊103還能夠記錄下所述數(shù)據(jù)連接模塊101及所述數(shù)據(jù)處理模塊102相關(guān)的操作信息,根據(jù)所述數(shù)據(jù)庫模塊103的具體功能���,參照?qǐng)D4�,所述數(shù)據(jù)庫模塊103具體可以包括:配置文件模塊1031�����,用于存儲(chǔ)所述預(yù)設(shè)的檢測(cè)策略及預(yù)設(shè)的類型策略�����;記錄模塊1032����,用于記錄所述數(shù)據(jù)連接模塊和數(shù)據(jù)處理模塊的操作信息。本實(shí)施例中�,所述安全網(wǎng)關(guān)能夠?qū)蛻舳税l(fā)起的訪問請(qǐng)求首先進(jìn)行IP地址檢測(cè)及時(shí)段檢測(cè),在通過所述IP地址檢測(cè)及時(shí)段檢測(cè)的情況下����,再對(duì)所述訪問請(qǐng)求的數(shù)據(jù)進(jìn)行格式匹配及敏感數(shù)據(jù)匹配,在所述訪問請(qǐng)求的數(shù)據(jù)格式符合系統(tǒng)預(yù)設(shè)的數(shù)據(jù)格式���,且沒有攜帯系統(tǒng)預(yù)設(shè)的敏感數(shù)據(jù)時(shí)�����,才會(huì)允許與網(wǎng)絡(luò)服務(wù)器建立連接�,實(shí)現(xiàn)數(shù)據(jù)共享�、交互查詢等內(nèi)容。通過本發(fā)明實(shí)施例公開的安全網(wǎng)關(guān)����,不僅能夠在網(wǎng)絡(luò)層和傳輸層上對(duì)訪問請(qǐng)求進(jìn)行IP地址及訪問時(shí)段的分析,且能夠?qū)υL問請(qǐng)求的數(shù)據(jù)本身進(jìn)行安全分析�,大大提高了網(wǎng)絡(luò)的安全性。實(shí)施例ニ圖5為本發(fā)明實(shí)施例公開的安全網(wǎng)關(guān)的第二結(jié)構(gòu)示意圖�����,參照?qǐng)D5所示,所述安全網(wǎng)關(guān)50可以包括:數(shù)據(jù)連接模塊101�����,用于判斷客戶端發(fā)起的訪問請(qǐng)求是否符合預(yù)設(shè)的檢測(cè)策略����,并根據(jù)判斷結(jié)果將所述訪問請(qǐng)求提交給數(shù)據(jù)處理模塊或截?cái)嗨鲈L問請(qǐng)求;所述數(shù)據(jù)連接模塊101具體又可以包括:連接接收模塊1011����,用于接收客戶端發(fā)起的訪問請(qǐng)求;監(jiān)聽模塊1015���,用于監(jiān)聽對(duì)綁定服務(wù)套接字的連接��;通過監(jiān)聽對(duì)綁定服務(wù)套字的連接��,判斷出接收的所述訪問請(qǐng)求的IP地址及訪問時(shí)間�;策略檢測(cè)模塊1012���,用于根據(jù)監(jiān)聽結(jié)果檢測(cè)所述客戶端的IP及訪問時(shí)間是否符合預(yù)設(shè)的檢測(cè)策略���;數(shù)據(jù)傳輸模塊1013,用于在所述策略檢測(cè)模塊的檢測(cè)結(jié)果為是的情況下:將所述訪問請(qǐng)求提交給所述數(shù)據(jù)處理模塊�;所述數(shù)據(jù)傳輸模塊1013,能夠?qū)⒍鄠€(gè)所述訪問請(qǐng)求多線程的提交給數(shù)據(jù)處理模塊102 (詳見后述)��;截?cái)嗾?qǐng)求模塊1014��,用于在所述策略檢測(cè)模塊的檢測(cè)結(jié)果為否的情況下:截?cái)嗨鲈L問請(qǐng)求��;通過所述數(shù)據(jù)連接模塊101檢測(cè)的訪問請(qǐng)求��,將被提交給數(shù)據(jù)處理模塊102 ����;數(shù)據(jù)處理模塊102,用于判斷所述訪問請(qǐng)求的數(shù)據(jù)內(nèi)容是否符合預(yù)設(shè)的類型策略��,并根據(jù)判斷結(jié)果建立所述訪問請(qǐng)求與服務(wù)器的連接或截?cái)嗨鲈L問請(qǐng)求�;所述數(shù)據(jù)處理模塊102具體可以包括:處理接收模塊1021,用于接收數(shù)據(jù)連接模塊提交的所述訪問請(qǐng)求�����;類型判斷模塊1022�����,用于對(duì)所述訪問請(qǐng)求的數(shù)據(jù)內(nèi)容進(jìn)行格式匹配及敏感數(shù)據(jù)匹配,判斷所述訪問請(qǐng)求的數(shù)據(jù)內(nèi)容是否符合預(yù)設(shè)的類型策略����;建立連接模塊1023,用于在所述類型判斷模塊的判斷結(jié)果為是的情況下:建立所述訪問請(qǐng)求與服務(wù)器的連接��;截?cái)嗾?qǐng)求模塊1024���,用于在所述類型判斷模塊的判斷結(jié)果為否的情況下:截?cái)嗨鲈L問請(qǐng)求�����;數(shù)據(jù)庫模塊103��,用于存儲(chǔ)所述預(yù)設(shè)的檢測(cè)策略及預(yù)設(shè)的類型策略��,并記錄數(shù)據(jù)連接模塊和數(shù)據(jù)處理模塊的操作信息���;所述數(shù)據(jù)庫模塊103具體可以包括:配置文件模塊1031,用于存儲(chǔ)所述預(yù)設(shè)的檢測(cè)策略及預(yù)設(shè)的類型策略����;記錄模塊1032�,用于記錄所述數(shù)據(jù)連接模塊和數(shù)據(jù)處理模塊的操作信息��;統(tǒng)計(jì)模塊104�,用于統(tǒng)計(jì)發(fā)送至所述安全網(wǎng)關(guān)的訪問請(qǐng)求的類型�、分布區(qū)域及異常訪問的相關(guān)信息;通過統(tǒng)計(jì)發(fā)送至所述安全網(wǎng)關(guān)的訪問請(qǐng)求的相關(guān)信息���,便于用戶分析異常訪問的特點(diǎn)���,并根據(jù)分析得到的特點(diǎn)配置相關(guān)的預(yù)設(shè)策略,使得所述安全網(wǎng)關(guān)能夠更準(zhǔn)確��、快速的分析出異常的訪問及數(shù)據(jù)信息�����。本實(shí)施例中��,所述安全網(wǎng)關(guān)能夠?qū)蛻舳税l(fā)起的訪問請(qǐng)求首先進(jìn)行IP地址檢測(cè)及時(shí)段檢測(cè)���,在通過所述IP地址檢測(cè)及時(shí)段檢測(cè)的情況下����,再對(duì)所述訪問請(qǐng)求的數(shù)據(jù)進(jìn)行格式匹配及敏感數(shù)據(jù)匹配,在所述訪問請(qǐng)求的數(shù)據(jù)格式符合系統(tǒng)預(yù)設(shè)的數(shù)據(jù)格式�����,且沒有攜帯系統(tǒng)預(yù)設(shè)的敏感數(shù)據(jù)時(shí)�,才會(huì)允許與網(wǎng)絡(luò)服務(wù)器建立連接,實(shí)現(xiàn)數(shù)據(jù)共享��、交互查詢等內(nèi)容�,且能夠統(tǒng)計(jì)所有訪問請(qǐng)求的類型、分布區(qū)域及異常訪問等先關(guān)信息�,便于用戶分析異常訪問的特點(diǎn)并做出相應(yīng)的處理對(duì)策。通過本發(fā)明實(shí)施例公開的安全網(wǎng)關(guān)�����,不僅能夠在網(wǎng)絡(luò)層和傳輸層上對(duì)訪問請(qǐng)求進(jìn)行IP地址及訪問時(shí)段的分析�����,且能夠?qū)υL問請(qǐng)求的數(shù)據(jù)本身進(jìn)行安全分析���,大大提高了網(wǎng)絡(luò)的安全性�。實(shí)施例三圖6為本發(fā)明實(shí)施例公開的網(wǎng)絡(luò)數(shù)據(jù)交互方法的第一流程圖,參照?qǐng)D6所示���,所述網(wǎng)絡(luò)數(shù)據(jù)交互方法的步驟可以包括:步驟601:數(shù)據(jù)連接模塊判斷客戶端發(fā)起的訪問請(qǐng)求是否符合預(yù)設(shè)的檢測(cè)策略��,并根據(jù)判斷結(jié)果將所述訪問請(qǐng)求提交給數(shù)據(jù)處理模塊或截?cái)嗨鲈L問請(qǐng)求�;其中����,所述數(shù)據(jù)連接模塊能夠?qū)⑺鲈L問請(qǐng)求的相關(guān)信息與系統(tǒng)配置文件里預(yù)設(shè)的檢測(cè)策略進(jìn)行比較�,判斷所述訪問請(qǐng)求是否符合所述預(yù)設(shè)的檢測(cè)策略,然后根據(jù)上述判斷的判斷結(jié)果進(jìn)行不同的操作���;參考圖7�����,在實(shí)際應(yīng)用中����,所述步驟601具體可以包括以下步驟:步驟701:連接接收模塊接收客戶端發(fā)起的訪問請(qǐng)求�����;步驟702:策略檢測(cè)模塊根據(jù)所述訪問請(qǐng)求檢測(cè)所述客戶端的IP及訪問時(shí)間是否符合預(yù)設(shè)的檢測(cè)策略,如果是���,進(jìn)入步驟703�����,如果否���,進(jìn)入步驟704 ;步驟703:將所述訪問請(qǐng)求提交給所述數(shù)據(jù)處理模塊���;步驟704:截?cái)嗨鲈L問請(qǐng)求��;在步驟601之后��,進(jìn)入步驟602 ;步驟602:數(shù)據(jù)處理模塊判斷所述訪問請(qǐng)求是否符合預(yù)設(shè)的類型策略��,并根據(jù)判斷結(jié)果建立所述訪問請(qǐng)求與服務(wù)器的連接或截?cái)嗨鲈L問請(qǐng)求����;當(dāng)所述數(shù)據(jù)處理模塊接收到所述數(shù)據(jù)連接模塊提交的所述訪問請(qǐng)求時(shí)���,所述數(shù)據(jù)處理模塊能夠?qū)⑺鲈L問請(qǐng)求應(yīng)用層的相關(guān)信息�,即數(shù)據(jù)信息與系統(tǒng)配置文件里預(yù)設(shè)的類型策略進(jìn)行比較,判斷所述訪問請(qǐng)求的數(shù)據(jù)信息是否符合所述預(yù)設(shè)的類型策略��,然后根據(jù)上述判斷的判斷結(jié)果進(jìn)行不同的操作�;參考圖8所示,在實(shí)際應(yīng)用中�����,所述步驟602具體可以包括以下步驟:步驟801:處理接收模塊接收數(shù)據(jù)連接模塊提交的所述訪問請(qǐng)求�;步驟802:類型判斷模塊對(duì)所述訪問請(qǐng)求的數(shù)據(jù)內(nèi)容進(jìn)行格式匹配及敏感數(shù)據(jù)匹配,判斷所述訪問請(qǐng)求的數(shù)據(jù)內(nèi)容是否符合預(yù)設(shè)的類型策略�,如果是��,進(jìn)入步驟803����,如果否,進(jìn)入步驟804 �����;步驟803:建立所述訪問請(qǐng)求與服務(wù)器的連接�;步驟804:截?cái)嗨鲈L問請(qǐng)求;步驟603:數(shù)據(jù)庫模塊存儲(chǔ)所述預(yù)設(shè)的檢測(cè)策略及預(yù)設(shè)的類型策略���,并記錄數(shù)據(jù)連接模塊和數(shù)據(jù)處理模塊的操作信息���。本實(shí)施例中�����,所述網(wǎng)絡(luò)數(shù)據(jù)的交互方法能夠?qū)蛻舳税l(fā)起的訪問請(qǐng)求首先進(jìn)行IP地址檢測(cè)及時(shí)段檢測(cè)��,在通過所述IP地址檢測(cè)及時(shí)段檢測(cè)的情況下�,再對(duì)所述訪問請(qǐng)求的數(shù)據(jù)進(jìn)行與預(yù)設(shè)的類型策略的比較檢測(cè)���,在所述訪問請(qǐng)求的數(shù)據(jù)符合所述預(yù)設(shè)的類型策略時(shí)����,才會(huì)允許與網(wǎng)絡(luò)服務(wù)器建立連接�,實(shí)現(xiàn)數(shù)據(jù)共享、交互查詢等內(nèi)容��。通過本發(fā)明實(shí)施例公開的網(wǎng)絡(luò)數(shù)據(jù)交互方法����,不僅能夠在網(wǎng)絡(luò)層和傳輸層上對(duì)訪問請(qǐng)求進(jìn)行IP地址及訪問時(shí)段的分析,且能夠?qū)υL問請(qǐng)求的數(shù)據(jù)本身進(jìn)行安全分析����,大大提高了網(wǎng)絡(luò)的安全性����。實(shí)施例四圖9為本發(fā)明實(shí)施例公開的網(wǎng)絡(luò)數(shù)據(jù)交互方法的第二流程圖�,參照?qǐng)D9所示,所述網(wǎng)絡(luò)數(shù)據(jù)交互方法的步驟可以包括:步驟901:連接接收模塊接收客戶端發(fā)起的訪問請(qǐng)求��;步驟902:監(jiān)聽模塊監(jiān)聽對(duì)綁定服務(wù)套接字的連接�;步驟903:策略檢測(cè)模塊根據(jù)所述監(jiān)聽模塊的監(jiān)聽結(jié)果檢測(cè)所述客戶端的IP及訪問時(shí)間是否符合預(yù)設(shè)的檢測(cè)策略,如果是��,進(jìn)入步驟904��,如果否��,進(jìn)入步驟905 �����;步驟904:將所述訪問請(qǐng)求提交給所述數(shù)據(jù)處理模塊�;步驟905:截?cái)嗨鲈L問請(qǐng)求����;步驟906:處理接收模塊接收數(shù)據(jù)連接模塊提交的所述訪問請(qǐng)求�����;步驟907:類型判斷模塊對(duì)所述訪問請(qǐng)求的數(shù)據(jù)內(nèi)容進(jìn)行格式匹配及敏感數(shù)據(jù)匹配�����,判斷所述訪問請(qǐng)求的數(shù)據(jù)內(nèi)容是否符合預(yù)設(shè)的類型策略�,如果是,進(jìn)入步驟908,如果否�����,進(jìn)入步驟909 ���;步驟908:建立所述訪問請(qǐng)求與服務(wù)器的連接;步驟909:截?cái)嗨鲈L問請(qǐng)求�����;步驟910:數(shù)據(jù)庫模塊存儲(chǔ)所述預(yù)設(shè)的檢測(cè)策略及預(yù)設(shè)的類型策略���,并記錄數(shù)據(jù)連接模塊和數(shù)據(jù)處理模塊的操作信息����;步驟911:統(tǒng)計(jì)模塊:統(tǒng)計(jì)發(fā)送至所述安全網(wǎng)關(guān)的訪問請(qǐng)求的類型、分布區(qū)域及異常訪問的相關(guān)信息�。本實(shí)施例中,所述網(wǎng)絡(luò)數(shù)據(jù)的交互方法能夠?qū)蛻舳税l(fā)起的訪問請(qǐng)求進(jìn)行連接監(jiān)聽�,根據(jù)監(jiān)聽結(jié)果首先進(jìn)行IP地址檢測(cè)及時(shí)段檢測(cè),在通過所述IP地址檢測(cè)及時(shí)段檢測(cè)的情況下��,再對(duì)所述訪問請(qǐng)求的數(shù)據(jù)進(jìn)行與預(yù)設(shè)的類型策略的比較檢測(cè)��,在所述訪問請(qǐng)求的數(shù)據(jù)符合所述預(yù)設(shè)的類型策略時(shí)��,才會(huì)允許與網(wǎng)絡(luò)服務(wù)器建立連接�����,實(shí)現(xiàn)數(shù)據(jù)共享���、交互查詢等內(nèi)容�����,且能夠統(tǒng)計(jì)所有訪問請(qǐng)求的類型、分布區(qū)域及異常訪問等先關(guān)信息����,便于用戶分析異常訪問的特點(diǎn)并做出相應(yīng)的處理對(duì)策��。通過本發(fā)明實(shí)施例公開的網(wǎng)絡(luò)數(shù)據(jù)交互方法���,不僅能夠在網(wǎng)絡(luò)層和傳輸層上對(duì)訪問請(qǐng)求進(jìn)行IP地址及訪問時(shí)段的分析,且能夠?qū)υL問請(qǐng)求的數(shù)據(jù)本身進(jìn)行安全分析�,大大提高了網(wǎng)絡(luò)的安全性。還需要說明的是����,在本文中,諸如第一和第二等之類的關(guān)系術(shù)語僅僅用來將ー個(gè)實(shí)體或者操作與另ー個(gè)實(shí)體或操作區(qū)分開來��,而不一定要求或者暗示這些實(shí)體或操作之間存在任何這種實(shí)際的關(guān)系或者順序�����。而且�����,術(shù)語“包括”��、“包含”或者其任何其他變體意在涵蓋非排他性的包含�,從而使得包括一系列要素的過程、方法、物品或者設(shè)備不僅包括那些要素�,而且還包括沒有明確列出的其他要素,或者是還包括為這種過程�、方法、物品或者設(shè)
備所固有的要素�。在沒有更多限制的情況下,由語句“包括ー個(gè)......”限定的要素�,并不
排除在包括所述要素的過程、方法���、物品或者設(shè)備中還存在另外的相同要素�。對(duì)所公開的實(shí)施例的上述說明���,使本領(lǐng)域?qū)I(yè)技術(shù)人員能夠?qū)崿F(xiàn)或使用本發(fā)明�����。對(duì)這些實(shí)施例的多種修改對(duì)本領(lǐng)域的專業(yè)技術(shù)人員來說將是顯而易見的��,本文中所定義的一般原理可以在不脫離本發(fā)明的精神或范圍的情況下�����,在其它實(shí)施例中實(shí)現(xiàn)。因此,本發(fā)明將不會(huì)被限制于本文所示的這些實(shí)施例�����,而是要符合與本文所公開的原理和新穎特點(diǎn)相一致的最寬的范圍���。
權(quán)利要求
1.ー種安全網(wǎng)關(guān)�����,其特征在于��,包括:數(shù)據(jù)連接模塊��、數(shù)據(jù)處理模塊及數(shù)據(jù)庫模塊��; 所述數(shù)據(jù)連接模塊用于判斷客戶端發(fā)起的訪問請(qǐng)求是否符合預(yù)設(shè)的檢測(cè)策略���,并根據(jù)判斷結(jié)果將所述訪問請(qǐng)求提交給數(shù)據(jù)處理模塊或截?cái)嗨鲈L問請(qǐng)求; 所述數(shù)據(jù)處理模塊用于判斷所述訪問請(qǐng)求的數(shù)據(jù)內(nèi)容是否符合預(yù)設(shè)的類型策略���,井根據(jù)判斷結(jié)果建立所述訪問請(qǐng)求與服務(wù)器的連接或截?cái)嗨鲈L問請(qǐng)求�����; 數(shù)據(jù)庫模塊���,用于存儲(chǔ)所述預(yù)設(shè)的檢測(cè)策略及預(yù)設(shè)的類型策略����,并記錄數(shù)據(jù)連接模塊和數(shù)據(jù)處理模塊的操作信息��。
2.根據(jù)權(quán)利要求1所述的安全網(wǎng)關(guān)��,其特征在于����,所述數(shù)據(jù)連接模塊具體包括: 連接接收模塊,用于接收客戶端發(fā)起的訪問請(qǐng)求�����; 策略檢測(cè)模塊���,用于根據(jù)所述訪問請(qǐng)求檢測(cè)所述客戶端的IP及訪問時(shí)間是否符合預(yù)設(shè)的檢測(cè)策略����; 數(shù)據(jù)傳輸模塊�����,用于在所述策略檢測(cè)模塊的檢測(cè)結(jié)果為是的情況下:將所述訪問請(qǐng)求提交給所述數(shù)據(jù)處理模塊;截?cái)嗾?qǐng)求模塊��,用于在所述策略檢測(cè)模塊的檢測(cè)結(jié)果為否的情況下:截?cái)嗨鲈L問請(qǐng)求��。
3.根據(jù)權(quán)利要求2所述的安全網(wǎng)關(guān)�����,其特征在于�,所述數(shù)據(jù)傳輸模塊����,具體用于將多個(gè)所述訪問請(qǐng)求多線程的提交給數(shù)據(jù)處理模塊。
4.根據(jù)權(quán)利要求2所述的安全網(wǎng)關(guān)�����,其特征在于�����,所述數(shù)據(jù)連接模塊還包括: 監(jiān)聽模塊���,用于監(jiān)聽對(duì)綁定服務(wù)套接字的連接��,以使策略檢測(cè)模塊檢測(cè)所述客戶端的IP及訪問時(shí)間���。
5.根據(jù)權(quán)利要求1所述的安全網(wǎng)關(guān)�����,其特征在于���,所述數(shù)據(jù)處理模塊具體包括: 處理接收模塊,用于接收數(shù)據(jù)連接模塊提交的所述訪問請(qǐng)求�����; 類型判斷模塊���,用于對(duì)所述訪問請(qǐng)求的數(shù)據(jù)內(nèi)容進(jìn)行格式匹配及敏感數(shù)據(jù)匹配���,判斷所述訪問請(qǐng)求的數(shù)據(jù)內(nèi)容是否符合預(yù)設(shè)的類型策略; 建立連接模塊�����,用于在所述類型判斷模塊的判斷結(jié)果為是的情況下:建立所述訪問請(qǐng)求與服務(wù)器的連接;截?cái)嗾?qǐng)求模塊�����,用于在所述類型判斷模塊的判斷結(jié)果為否的情況下:截?cái)嗨鲈L問請(qǐng)求�。
6.根據(jù)權(quán)利要求1所述的安全網(wǎng)關(guān),其特征在于���,所述數(shù)據(jù)庫模塊具體包括: 配置文件模塊,用于存儲(chǔ)所述預(yù)設(shè)的檢測(cè)策略及預(yù)設(shè)的類型策略���; 記錄模塊����,用于記錄所述數(shù)據(jù)連接模塊和數(shù)據(jù)處理模塊的操作信息���。
7.根據(jù)權(quán)利要求1-6任一項(xiàng)所述的安全網(wǎng)關(guān)�����,還包括:統(tǒng)計(jì)模塊����,用于統(tǒng)計(jì)發(fā)送至所述安全網(wǎng)關(guān)的訪問請(qǐng)求的類型、分布區(qū)域及異常訪問的相關(guān)信息�����。
8.—種網(wǎng)絡(luò)數(shù)據(jù)的交互方法��,其特征在于�����,包括: 數(shù)據(jù)連接模塊判斷客戶端發(fā)起的訪問請(qǐng)求是否符合預(yù)設(shè)的檢測(cè)策略��,并根據(jù)判斷結(jié)果將所述訪問請(qǐng)求提交給數(shù)據(jù)處理模塊或截?cái)嗨鲈L問請(qǐng)求��; 數(shù)據(jù)處理模塊判斷所述訪問請(qǐng)求是否符合預(yù)設(shè)的類型策略���,并根據(jù)判斷結(jié)果建立所述訪問請(qǐng)求與服務(wù)器的連接或截?cái)嗨鲈L問請(qǐng)求��;數(shù)據(jù)庫模塊存儲(chǔ)所述預(yù)設(shè)的檢測(cè)策略及預(yù)設(shè)的類型策略��,并記錄數(shù)據(jù)連接模塊和數(shù)據(jù)處理模塊的操作信息���。
9.根據(jù)權(quán)利要求8所述的方法,其特征在于,所述數(shù)據(jù)連接模塊判斷客戶端發(fā)起的訪問請(qǐng)求是否符合預(yù)設(shè)的檢測(cè)策略�,并根據(jù)判斷結(jié)果將所述訪問請(qǐng)求提交給數(shù)據(jù)處理模塊或截?cái)嗨鲈L問請(qǐng)求具體包括: 連接接收模塊接收客戶端發(fā)起的訪問請(qǐng)求; 監(jiān)聽模塊監(jiān)聽對(duì)綁定服務(wù)套接字的連接�; 策略檢測(cè)模塊根據(jù)所述監(jiān)聽模塊的監(jiān)聽結(jié)果檢測(cè)所述客戶端的IP及訪問時(shí)間是否符合預(yù)設(shè)的檢測(cè)策略; 在所述策略檢測(cè)模塊的檢測(cè)結(jié)果為是的情況下:將所述訪問請(qǐng)求提交給所述數(shù)據(jù)處理模塊��; 在所述策略檢測(cè)模塊的檢測(cè)結(jié)果為否的情況下:截?cái)嗨鲈L問請(qǐng)求�。
10.根據(jù)權(quán)利要求8所述的方法,其特征在于���,所述數(shù)據(jù)處理模塊判斷所述訪問請(qǐng)求是否符合預(yù)設(shè)的類型策略���,并根據(jù)判斷結(jié)果建立所述訪問請(qǐng)求與服務(wù)器的連接或截?cái)嗨鲈L問請(qǐng)求��,具體為: 處理接收模塊接收數(shù)據(jù)連接模塊提交的所述訪問請(qǐng)求���; 類型判斷模塊對(duì)所述訪問請(qǐng)求的數(shù)據(jù)內(nèi)容進(jìn)行格式匹配及敏感數(shù)據(jù)匹配����,判斷所述訪問請(qǐng)求的數(shù)據(jù)內(nèi)容是否符合預(yù)設(shè)的類型策略���; 在所述類型判斷模塊的判斷結(jié)果為是的情況下:建立所述訪問請(qǐng)求與服務(wù)器的連接���; 在所述類型判斷模塊的判斷結(jié)果為否的情況下:截?cái)嗨鲈L問請(qǐng)求�。
全文摘要
本發(fā)明公開了一種安全網(wǎng)關(guān)及一種網(wǎng)絡(luò)數(shù)據(jù)的交互方法��,該安全網(wǎng)關(guān)能夠?qū)h(yuǎn)端的訪問請(qǐng)求進(jìn)行檢測(cè)�,判斷其是否符合預(yù)設(shè)的檢測(cè)策略,檢測(cè)內(nèi)容包括IP檢測(cè)及時(shí)段檢測(cè)����,通過IP檢測(cè)及時(shí)段檢測(cè)的訪問請(qǐng)求才會(huì)被允許建立連接,所述安全網(wǎng)關(guān)還能夠進(jìn)一步對(duì)所述訪問請(qǐng)求的數(shù)據(jù)內(nèi)容類型進(jìn)行分析����,判斷其是否符合預(yù)設(shè)的類型策略,只有符合檢測(cè)策略及類型策略的訪問請(qǐng)求�,所述安全網(wǎng)關(guān)才會(huì)保障其與服務(wù)器的正常連接,而過程中如果所述訪問請(qǐng)求被判斷出不符合系統(tǒng)預(yù)設(shè)的檢測(cè)策略和/或類型策略����,即會(huì)立即被斷掉連接。通過所述的安全網(wǎng)關(guān)及網(wǎng)絡(luò)數(shù)據(jù)交互方法�,能夠?qū)υL問請(qǐng)求進(jìn)行基于數(shù)據(jù)本身的檢測(cè)分析,提高了網(wǎng)絡(luò)系統(tǒng)的安全性�����。
文檔編號(hào)H04L29/06GK103139056SQ20111039396
公開日2013年6月5日 申請(qǐng)日期2011年12月1日 優(yōu)先權(quán)日2011年12月1日
發(fā)明者李志鵬, 王洪波 申請(qǐng)人:北京天行網(wǎng)安信息技術(shù)有限責(zé)任公司