一種安全檢查的方法和裝置的制造方法
【專(zhuān)利摘要】本發(fā)明提供一種安全檢查的方法和裝置����,該方法應(yīng)用于包括客戶(hù)端�����、安全設(shè)備和服務(wù)器的系統(tǒng)中�,所述方法包括:所述安全設(shè)備在接收到來(lái)自所述客戶(hù)端的報(bào)文時(shí),判斷所述客戶(hù)端與所述服務(wù)器之間的TCP連接是否已經(jīng)建立完成���;如果是�,則所述安全設(shè)備利用審計(jì)策略對(duì)所述報(bào)文進(jìn)行安全檢查��;如果否�����,則所述安全設(shè)備拒絕利用審計(jì)策略對(duì)所述報(bào)文進(jìn)行安全檢查。通過(guò)本發(fā)明的技術(shù)方案��,可以節(jié)約安全設(shè)備的內(nèi)存資源��,減少安全設(shè)備上建立的會(huì)話(huà)數(shù)目��,避免安全設(shè)備的內(nèi)存和會(huì)話(huà)數(shù)目過(guò)載�����,減少對(duì)安全設(shè)備資源(內(nèi)存和會(huì)話(huà)數(shù))的消耗���,提高安全設(shè)備的處理性能��,提高安全設(shè)備利用審計(jì)策略對(duì)公司信息安全的保護(hù)能力��,對(duì)員工行為進(jìn)行有效控制和管理���。
【專(zhuān)利說(shuō)明】
-種安全檢查的方法和裝置
技術(shù)領(lǐng)域
[0001] 本發(fā)明設(shè)及通信技術(shù)領(lǐng)域,尤其設(shè)及一種安全檢查的方法和裝置�����。
【背景技術(shù)】
[0002] TCPdYansmission Control Protocol,傳輸控制協(xié)議)是一種面向連接的�、可靠 的�、基于字節(jié)流的傳輸層通信協(xié)議�����。TCP的S次握手過(guò)程包括:客戶(hù)端向服務(wù)器發(fā)送SYN (Synchronous,握手信號(hào))連接請(qǐng)求報(bào)文�,服務(wù)器收到SYN連接請(qǐng)求報(bào)文后,向客戶(hù)端返回 SYN/ACK(Acknowledgement����,確認(rèn)字符)確認(rèn)報(bào)文,客戶(hù)端收到SYN/ACK確認(rèn)報(bào)文后����,向服務(wù) 器發(fā)送ACK確認(rèn)報(bào)文�����?���;谏鲜鲞^(guò)程,可W完成TCP的=次握手過(guò)程��,并建立TCP連接�。
[0003] 如圖1所示���,為了對(duì)員工行為進(jìn)行控制和管理,通常會(huì)在安全設(shè)備上配置審計(jì)策 略�����,該審計(jì)策略用于控制員工在工作期間的上網(wǎng)行為或者訪問(wèn)公司機(jī)密文件的權(quán)限�����,可W 提高員工的工作效率����,并對(duì)公司信息安全進(jìn)行保障。
[0004] 當(dāng)客戶(hù)端與服務(wù)器之間的交互過(guò)程經(jīng)過(guò)安全設(shè)備時(shí)���,則客戶(hù)端向服務(wù)器發(fā)送的 SYN連接請(qǐng)求報(bào)文會(huì)被安全設(shè)備截獲���。安全設(shè)備根據(jù)SYN連接請(qǐng)求報(bào)文的五元組信息判斷本 地是否存在SYN連接請(qǐng)求報(bào)文對(duì)應(yīng)的會(huì)話(huà),如果不存在����,則為SYN連接請(qǐng)求報(bào)文建立對(duì)應(yīng)的 會(huì)話(huà)。安全設(shè)備判斷SYN連接請(qǐng)求報(bào)文是否匹配到審計(jì)策略,如果是�����,則丟棄SYN連接請(qǐng)求報(bào) 文����。
[000引由于SYN連接請(qǐng)求報(bào)文被丟棄,因此無(wú)法完成雌?的立次握手過(guò)程����,無(wú)法建立TCP連 接。目前��,TCP有相應(yīng)的重連機(jī)制��,當(dāng)TCP連接沒(méi)有建立時(shí)��,則客戶(hù)端會(huì)重新發(fā)送SYN連接請(qǐng)求 報(bào)文��,且SYN連接請(qǐng)求報(bào)文中的五元組信息中的源端口標(biāo)識(shí)會(huì)發(fā)生改變�����。因此��,安全設(shè)備在 根據(jù)SYN連接請(qǐng)求報(bào)文的五元組信息判斷本地是否存在SYN連接請(qǐng)求報(bào)文對(duì)應(yīng)的會(huì)話(huà)時(shí)�,其 判斷結(jié)果為不存在,并重新為SYN連接請(qǐng)求報(bào)文建立對(duì)應(yīng)的會(huì)話(huà)�。
[0006] 顯然,客戶(hù)端會(huì)不斷的發(fā)送SYN連接請(qǐng)求報(bào)文��,安全設(shè)備需要不斷的建立會(huì)話(huà)�����,不 斷的處理SYN連接請(qǐng)求報(bào)文�����,從而會(huì)大量消耗安全設(shè)備的內(nèi)存�,增加安全設(shè)備上建立的會(huì)話(huà) 數(shù)目,導(dǎo)致安全設(shè)備的內(nèi)存和會(huì)話(huà)數(shù)目過(guò)載��,降低安全設(shè)備的處理性能���,甚至對(duì)信息安全W 及管控員工上網(wǎng)行為造成威脅����。
【發(fā)明內(nèi)容】
[0007] 本發(fā)明提供一種安全檢查的方法����,該方法應(yīng)用于包括客戶(hù)端��、安全設(shè)備和服務(wù)器 的系統(tǒng)中�,所述方法包括W下步驟:
[000引所述安全設(shè)備在接收到來(lái)自所述客戶(hù)端的報(bào)文時(shí)�,判斷所述客戶(hù)端與所述服務(wù)器 之間的傳輸控制協(xié)議TCP連接是否已經(jīng)建立完成;
[0009] 如果是�����,則所述安全設(shè)備利用審計(jì)策略對(duì)所述報(bào)文進(jìn)行安全檢查�����;
[0010] 如果否�,則所述安全設(shè)備拒絕利用審計(jì)策略對(duì)所述報(bào)文進(jìn)行安全檢查。
[0011] 所述安全設(shè)備判斷所述客戶(hù)端與所述服務(wù)器之間的TCP連接是否已經(jīng)建立完成的 過(guò)程���,具體包括:
[0012] 所述安全設(shè)備判斷自身是否已經(jīng)依次接收到所述客戶(hù)端向所述服務(wù)器發(fā)送的SYN 連接請(qǐng)求報(bào)文�、所述服務(wù)器向所述客戶(hù)端返回的SYN/ACK確認(rèn)報(bào)文�、所述客戶(hù)端向所述服務(wù) 器發(fā)送的ACK確認(rèn)報(bào)文;如果是,所述安全設(shè)備確定所述客戶(hù)端與所述服務(wù)器之間的TCP連 接已經(jīng)建立完成;如果否����,所述安全設(shè)備確定所述客戶(hù)端與所述服務(wù)器之間的TCP連接沒(méi)有 建立完成。
[0013] 所述審計(jì)策略的匹配選項(xiàng)具體包括第一報(bào)文特征信息��,所述審計(jì)策略的動(dòng)作選項(xiàng) 具體為阻斷報(bào)文��,所述安全設(shè)備利用審計(jì)策略對(duì)所述報(bào)文進(jìn)行安全檢查的過(guò)程��,具體包括:
[0014] 所述安全設(shè)備獲取所述報(bào)文的第二報(bào)文特征信息�,并判斷當(dāng)前獲取的第二報(bào)文特 征信息與所述審計(jì)策略中包括的第一報(bào)文特征信息是否相同;如果相同����,則所述安全設(shè)備 按照所述審計(jì)策略的動(dòng)作選項(xiàng),丟棄所述報(bào)文���;
[0015] 其中��,所述第一報(bào)文特征信息具體包括W下之一或者任意組合:用戶(hù)組地址����、目的 IP地址��、目的端口�、協(xié)議類(lèi)型;所述第二報(bào)文特征信息具體包括W下之一或者任意組合:源 IP地址、目的IP地址�����、目的端口、協(xié)議類(lèi)型���。
[0016] 所述安全設(shè)備按照所述審計(jì)策略的動(dòng)作選項(xiàng)����,丟棄所述報(bào)文之后���,所述方法進(jìn)一 步包括:
[0017] 所述安全設(shè)備向所述客戶(hù)端發(fā)送第一 RS巧良文����,由所述客戶(hù)端中斷所述客戶(hù)端與 所述服務(wù)器之間的TCP連接����,且所述客戶(hù)端中斷所述TCP連接后,不再重新發(fā)起TCP連接的建 立過(guò)程;所述安全設(shè)備向所述服務(wù)器發(fā)送第二RS巧良文���,由所述服務(wù)器中斷所述客戶(hù)端與所 述服務(wù)器之間的TCP連接��。
[0018] 所述安全設(shè)備按照所述審計(jì)策略的動(dòng)作選項(xiàng)��,丟棄所述報(bào)文之后��,所述方法進(jìn)一 步包括:
[0019] 所述安全設(shè)備記錄所述審計(jì)策略對(duì)應(yīng)的阻斷日志���,并將所述審計(jì)策略對(duì)應(yīng)的阻斷 日志發(fā)送給日志管理平臺(tái),由所述日志管理平臺(tái)分析所述阻斷日志����。
[0020] 本發(fā)明提供一種安全檢查的裝置,應(yīng)用于包括客戶(hù)端�����、安全設(shè)備和服務(wù)器的系統(tǒng) 中��,所述安全檢查的裝置應(yīng)用在安全設(shè)備上�,且所述裝置包括:
[0021 ]判斷模塊,用于在接收到來(lái)自所述客戶(hù)端的報(bào)文時(shí)���,判斷所述客戶(hù)端與所述服務(wù) 器之間的傳輸控制協(xié)議TCP連接是否已經(jīng)建立完成��;
[0022] 處理模塊���,用于當(dāng)判斷結(jié)果為是時(shí),則利用審計(jì)策略對(duì)所述報(bào)文進(jìn)行安全檢查�����;當(dāng) 判斷結(jié)果為否時(shí),則拒絕利用審計(jì)策略對(duì)所述報(bào)文進(jìn)行安全檢查�����。
[0023] 所述判斷模塊�,具體用于在判斷所述客戶(hù)端與所述服務(wù)器之間的TCP連接是否已 經(jīng)建立完成的過(guò)程中,判斷所述安全設(shè)備是否已經(jīng)依次接收到所述客戶(hù)端向所述服務(wù)器發(fā) 送的SYN連接請(qǐng)求報(bào)文�、所述服務(wù)器向所述客戶(hù)端返回的SYN/ACK確認(rèn)報(bào)文、所述客戶(hù)端向 所述服務(wù)器發(fā)送的ACK確認(rèn)報(bào)文����;如果是,則確定所述客戶(hù)端與所述服務(wù)器之間的TCP連接 已經(jīng)建立完成;如果否��,則確定所述客戶(hù)端與所述服務(wù)器之間的TCP連接沒(méi)有建立完成�。
[0024] 所述審計(jì)策略的匹配選項(xiàng)具體包括第一報(bào)文特征信息,所述審計(jì)策略的動(dòng)作選項(xiàng) 具體為阻斷報(bào)文;所述處理模塊�,具體用于在利用審計(jì)策略對(duì)所述報(bào)文進(jìn)行安全檢查的過(guò) 程中,獲取所述報(bào)文的第二報(bào)文特征信息�,并判斷當(dāng)前獲取的第二報(bào)文特征信息與所述審 計(jì)策略中包括的第一報(bào)文特征信息是否相同;如果相同��,則按照所述審計(jì)策略的動(dòng)作選項(xiàng), 丟棄所述報(bào)文���;
[0025] 其中���,所述第一報(bào)文特征信息具體包括W下之一或者任意組合:用戶(hù)組地址、目的 IP地址�、目的端口�、協(xié)議類(lèi)型;所述第二報(bào)文特征信息具體包括W下之一或者任意組合:源 IP地址、目的IP地址�����、目的端口����、協(xié)議類(lèi)型。
[0026] 所述處理模塊��,還用于在按照所述審計(jì)策略的動(dòng)作選項(xiàng)�,丟棄所述報(bào)文之后,向所 述客戶(hù)端發(fā)送第一 RS巧良文��,由所述客戶(hù)端中斷所述客戶(hù)端與所述服務(wù)器之間的TCP連接��, 且所述客戶(hù)端中斷所述TCP連接后�,不再重新發(fā)起TCP連接的建立過(guò)程��;W及��,向所述服務(wù)器 發(fā)送第二RS巧良文�����,由所述服務(wù)器中斷所述客戶(hù)端與所述服務(wù)器之間的TCP連接�。
[0027] 所述處理模塊�����,還用于在按照所述審計(jì)策略的動(dòng)作選項(xiàng)����,丟棄所述報(bào)文之后,記錄 所述審計(jì)策略對(duì)應(yīng)的阻斷日志����,并將所述審計(jì)策略對(duì)應(yīng)的阻斷日志發(fā)送給日志管理平臺(tái), 由所述日志管理平臺(tái)分析所述阻斷日志����。
[0028] 基于上述技術(shù)方案,本發(fā)明實(shí)施例中,安全設(shè)備在接收到來(lái)自客戶(hù)端的報(bào)文時(shí)�����,判 斷客戶(hù)端與服務(wù)器之間的TCP連接是否已經(jīng)建立完成�����,如果是����,則安全設(shè)備利用審計(jì)策略對(duì) 報(bào)文進(jìn)行安全檢查��,如果否��,則安全設(shè)備拒絕利用審計(jì)策略對(duì)報(bào)文進(jìn)行安全檢查�����?����;谏鲜?方式�,安全設(shè)備在客戶(hù)端與服務(wù)器之間的TCP連接建立完成后,才去利用審計(jì)策略對(duì)報(bào)文進(jìn) 行安全檢查,當(dāng)報(bào)文由于安全策略被丟棄時(shí)��,安全設(shè)備可W通知客戶(hù)端中斷客戶(hù)端與服務(wù) 器之間的TCP連接�����。在此情況下��,客戶(hù)端在中斷TCP連接后�,由于客戶(hù)端與服務(wù)器之間的TCP 連接已經(jīng)成功建立過(guò),因此�����,客戶(hù)端不再重新發(fā)起TCP連接的建立過(guò)程�。由于客戶(hù)端不會(huì)不 斷發(fā)起TCP連接的建立過(guò)程,因此��,安全設(shè)備不需要不斷的建立會(huì)話(huà)����,從而節(jié)約安全設(shè)備的 內(nèi)存資源,減少安全設(shè)備上建立的會(huì)話(huà)數(shù)目����,避免安全設(shè)備的內(nèi)存和會(huì)話(huà)數(shù)目過(guò)載�����,減少對(duì) 安全設(shè)備資源(內(nèi)存和會(huì)話(huà)數(shù))的消耗�,提高安全設(shè)備的處理性能��,提高安全設(shè)備利用審計(jì) 策略對(duì)公司信息安全的保護(hù)能力���,對(duì)員工行為進(jìn)行有效控制和管理。
【附圖說(shuō)明】
[0029] 圖1是通過(guò)安全設(shè)備進(jìn)行控制和管理的組網(wǎng)示意圖�;
[0030] 圖2是本發(fā)明一種實(shí)施方式中的安全檢查的方法的流程圖;
[0031 ]圖3是本發(fā)明一種實(shí)施方式中的安全設(shè)備的硬件結(jié)構(gòu)圖�;
[0032] 圖4是本發(fā)明一種實(shí)施方式中的安全檢查的裝置的結(jié)構(gòu)圖。
【具體實(shí)施方式】
[0033] 針對(duì)現(xiàn)有技術(shù)中存在的問(wèn)題����,本發(fā)明實(shí)施例中提出一種安全檢查的方法����,該方法 可W應(yīng)用于包括客戶(hù)端、安全設(shè)備(審計(jì)網(wǎng)關(guān)設(shè)備)和服務(wù)器的系統(tǒng)中�����。如圖1所示,安全設(shè) 備位于客戶(hù)端與服務(wù)器之間��,客戶(hù)端與服務(wù)器之間的交互過(guò)程會(huì)經(jīng)過(guò)安全設(shè)備��,且安全設(shè) 備用于對(duì)客戶(hù)端訪問(wèn)服務(wù)器的報(bào)文進(jìn)行安全檢查��。其中�����,為了對(duì)員工行為進(jìn)行控制和管理���, 通常會(huì)在安全設(shè)備上配置審計(jì)策略����,該審計(jì)策略用于控制員工在工作期間的上網(wǎng)行為或者 訪問(wèn)公司機(jī)密文件的權(quán)限�,如安全設(shè)備利用該審計(jì)策略對(duì)客戶(hù)端訪問(wèn)服務(wù)器的報(bào)文進(jìn)行安 全檢查,從而可W提高員工的工作效率���,并對(duì)公司信息安全進(jìn)行保障���。
[0034] 在上述應(yīng)用場(chǎng)景下,如圖2所示�,該安全檢查的方法可W包括W下步驟:
[0035] 步驟201���,安全設(shè)備在接收到來(lái)自客戶(hù)端的報(bào)文時(shí),判斷該客戶(hù)端與服務(wù)器之間的 TCP連接是否已經(jīng)建立完成(即TCP的S次握手過(guò)程是否已經(jīng)完成)��。如果是��,則執(zhí)行步驟 202;如果否�,則執(zhí)行步驟203。
[0036] TCP的S次握手過(guò)程具體包括:客戶(hù)端向服務(wù)器發(fā)送SYN連接請(qǐng)求報(bào)文����,服務(wù)器收 至IjSYN連接請(qǐng)求報(bào)文后�����,向客戶(hù)端返回SYN/ACK確認(rèn)報(bào)文�����,客戶(hù)端收到SYN/ACK確認(rèn)報(bào)文后��, 向服務(wù)器發(fā)送ACK確認(rèn)報(bào)文���。基于上述過(guò)程����,可W完成TCP的S次握手過(guò)程,并建立TCP連接����。 基于此���,本發(fā)明實(shí)施例中,安全設(shè)備判斷客戶(hù)端與服務(wù)器之間的TCP連接是否已經(jīng)建立完成 的過(guò)程����,具體可W包括但不限于如下方式:安全設(shè)備判斷本安全設(shè)備是否已經(jīng)依次接收到 客戶(hù)端向服務(wù)器發(fā)送的SYN連接請(qǐng)求報(bào)文�����、服務(wù)器向客戶(hù)端返回的SYN/ACK確認(rèn)報(bào)文��、客戶(hù) 端向服務(wù)器發(fā)送的ACK確認(rèn)報(bào)文�。如果是����,則安全設(shè)備可W確定客戶(hù)端與服務(wù)器之間的TCP 連接已經(jīng)建立完成;如果否��,則安全設(shè)備可W確定客戶(hù)端與服務(wù)器之間的TCP連接沒(méi)有建立 完成��。
[0037] 其中����,當(dāng)安全設(shè)備接收到來(lái)自客戶(hù)端的SYN連接請(qǐng)求報(bào)文或AO(確認(rèn)報(bào)文時(shí)����,當(dāng)前 客戶(hù)端與服務(wù)器之間的TCP連接沒(méi)有建立完成��,執(zhí)行步驟203��。
[0038] 步驟202,安全設(shè)備利用審計(jì)策略對(duì)報(bào)文進(jìn)行安全檢查����。
[0039] 步驟203,安全設(shè)備拒絕利用審計(jì)策略對(duì)報(bào)文進(jìn)行安全檢查。
[0040] 本發(fā)明實(shí)施例中�����,在客戶(hù)端訪問(wèn)服務(wù)器的過(guò)程中����,客戶(hù)端先向服務(wù)器發(fā)送SYN連接 請(qǐng)求報(bào)文,該SYN連接請(qǐng)求報(bào)文會(huì)被安全設(shè)備截獲��,由于此時(shí)TCP連接沒(méi)有建立完成�,因此安 全設(shè)備拒絕利用審計(jì)策略對(duì)SYN連接請(qǐng)求報(bào)文進(jìn)行安全檢查,直接將SYN連接請(qǐng)求報(bào)文發(fā)送 給服務(wù)器��。服務(wù)器收至IjSYN連接請(qǐng)求報(bào)文后��,向客戶(hù)端返回SYN/ACK確認(rèn)報(bào)文�����,該SYN/ACK確 認(rèn)報(bào)文會(huì)被安全設(shè)備截獲�,由于該SYN/ACK確認(rèn)報(bào)文是服務(wù)器發(fā)送給客戶(hù)端的報(bào)文,因此安 全設(shè)備直接將SYN/ACK確認(rèn)報(bào)文發(fā)送給客戶(hù)端�。客戶(hù)端收到SYN/ACK確認(rèn)報(bào)文后���,向服務(wù)器 發(fā)送ACK確認(rèn)報(bào)文���,該ACK確認(rèn)報(bào)文會(huì)被安全設(shè)備截獲,由于此時(shí)TCP連接沒(méi)有建立完成,因 此安全設(shè)備拒絕利用審計(jì)策略對(duì)AC時(shí)角認(rèn)報(bào)文進(jìn)行安全檢查��,直接將AC時(shí)角認(rèn)報(bào)文發(fā)送給服 務(wù)器����。針對(duì)在后續(xù)過(guò)程中收到的客戶(hù)端發(fā)送給服務(wù)器的報(bào)文,由于此時(shí)TCP連接已經(jīng)建立完 成�,因此安全設(shè)備利用審計(jì)策略對(duì)報(bào)文進(jìn)行安全檢查。
[0041] 本發(fā)明實(shí)施例中��,審計(jì)策略的匹配選項(xiàng)具體可W包括第一報(bào)文特征信息��,審計(jì)策 略的動(dòng)作選項(xiàng)具體可W為阻斷報(bào)文�。基于此��,安全設(shè)備利用審計(jì)策略對(duì)報(bào)文進(jìn)行安全檢查 的過(guò)程���,具體可W包括但不限于如下方式:安全設(shè)備獲取該報(bào)文的第二報(bào)文特征信息��,并判 斷當(dāng)前獲取的第二報(bào)文特征信息與審計(jì)策略中包括的第一報(bào)文特征信息是否相同��。如果相 同���,則安全設(shè)備按照審計(jì)策略的動(dòng)作選項(xiàng)�,丟棄該報(bào)文�����,即丟棄客戶(hù)端向服務(wù)器發(fā)送的報(bào) 文�。如果不同����,則安全設(shè)備可W放行該報(bào)文,即將該報(bào)文轉(zhuǎn)發(fā)給服務(wù)器�����,此時(shí)不影響客戶(hù)端 與服務(wù)器之間的報(bào)文交互���,客戶(hù)端能夠正常的訪問(wèn)服務(wù)器����。
[0042] 其中���,安全設(shè)備維護(hù)的審計(jì)策略中會(huì)包括多個(gè)第一報(bào)文特征信息�,如果當(dāng)前獲取 的第二報(bào)文特征信息與審計(jì)策略中包括的任意的一個(gè)第一報(bào)文特征信息相同�,則說(shuō)明第二 報(bào)文特征信息命中該第一報(bào)文特征信息,此時(shí)安全設(shè)備按照審計(jì)策略的動(dòng)作選項(xiàng),丟棄該 報(bào)文����。如果當(dāng)前獲取的第二報(bào)文特征信息與審計(jì)策略中包括的所有的第一報(bào)文特征信息均 不同,則說(shuō)明第二報(bào)文特征信息沒(méi)有命中所有的第一報(bào)文特征信息����,此時(shí)安全設(shè)備放行該 報(bào)文。
[0043] 本發(fā)明實(shí)施例中����,第一報(bào)文特征信息具體可W包括但不限于W下之一或者任意組 合:用戶(hù)組地址(通常為一個(gè)IP網(wǎng)段地址)、目的IP地址����、目的端口、協(xié)議類(lèi)型(如TCP類(lèi)型)��。 第二報(bào)文特征信息具體可W包括但不限于W下之一或者任意組合:源IP地址��、目的IP地址����、 目的端口、協(xié)議類(lèi)型���。
[0044] 為了方便描述�����,W第一報(bào)文特征信息包括用戶(hù)組地址���、目的IP地址�、目的端口�����,第 二報(bào)文特征信息包括源IP地址�、目的IP地址���、目的端口為例進(jìn)行說(shuō)明��。假設(shè)在安全設(shè)備上配 置表1所示的審計(jì)策略(該審計(jì)策略用于阻斷符合審計(jì)策略的報(bào)文)���,匹配到該審計(jì)策略的 報(bào)文會(huì)被安全設(shè)備丟棄。
[0045] 表 1 rnru"
[0047]安全設(shè)備在接收到客戶(hù)端在TCP連接之后發(fā)送的報(bào)文時(shí)�����,獲取該報(bào)文的源IP地址、 目的IP地址����、目的端口,并將獲取的源IP地址��、目的IP地址�、目的端口分別與審計(jì)策略中包 括的用戶(hù)組地址、目的IP地址���、目的端口進(jìn)行匹配��。假設(shè)報(bào)文的源IP地址為10.29.1.1����、目的 IP地址為192.168.2.11���、目的端口為1600��,則說(shuō)明該報(bào)文命中表1所示的審計(jì)策略�,此時(shí)安 全設(shè)備按照審計(jì)策略的動(dòng)作選項(xiàng)�����,丟棄該報(bào)文。假設(shè)報(bào)文的源IP地址為10.29.1.2�、目的IP 地址為192.168.2.10、目的端口為1500�����,則說(shuō)明該報(bào)文沒(méi)有命中表1所示的審計(jì)策略�,此時(shí) 安全設(shè)備放行該報(bào)文,即將該報(bào)文轉(zhuǎn)發(fā)給服務(wù)器����。
[004引本發(fā)明實(shí)施例中,在安全設(shè)備按照審計(jì)策略的動(dòng)作選項(xiàng)丟棄報(bào)文后��,安全設(shè)備還 可W向客戶(hù)端發(fā)送第一RS巧良文(表示重置連接���、復(fù)位連接),由客戶(hù)端中斷客戶(hù)端與服務(wù)器 之間的TCP連接�����,客戶(hù)端中斷TCP連接后���,不再重新發(fā)起TCP連接的建立過(guò)程�����。安全設(shè)備還向 服務(wù)器發(fā)送第二RS巧良文(與第一RS巧良文相同)�,由服務(wù)器中斷客戶(hù)端與服務(wù)器之間的TCP 連接。
[0049] 其中���,在安全設(shè)備按照審計(jì)策略的動(dòng)作選項(xiàng)丟棄報(bào)文后�,安全設(shè)備可W利用TCP連 接過(guò)程的RS巧良文����,中斷客戶(hù)端與服務(wù)器之間的TCP連接,即安全設(shè)備分別向客戶(hù)端和服務(wù) 器發(fā)送RS巧良文����,由客戶(hù)端中斷客戶(hù)端與服務(wù)器之間的TCP連接,并由服務(wù)器中斷客戶(hù)端與 服務(wù)器之間的TCP連接�。
[0050] 其中,客戶(hù)端在接收到來(lái)自安全設(shè)備的第一RS巧良文后��,客戶(hù)端會(huì)中斷本客戶(hù)端與 服務(wù)器之間的TCP連接�����。此外�,服務(wù)器在接收到來(lái)自安全設(shè)備的第二RS巧良文后��,服務(wù)器會(huì)中 斷客戶(hù)端與本服務(wù)器之間的TCP連接���。
[0051] 需要注意的是,TCP的重連機(jī)制是指:當(dāng)TCP連接沒(méi)有建立時(shí)�����,如果客戶(hù)端中斷本客 戶(hù)端與服務(wù)器之間的TCP連接��,則客戶(hù)端會(huì)重新發(fā)送SYN連接請(qǐng)求報(bào)文�,且SYN連接請(qǐng)求報(bào)文 中的五元組信息中的源端口標(biāo)識(shí)會(huì)發(fā)生改變,W建立TCP連接��。而本發(fā)明實(shí)施例中�,客戶(hù)端 接收到來(lái)自安全設(shè)備的第一 RS巧良文,并中斷本客戶(hù)端與服務(wù)器之間的TCP連接的過(guò)程����,是 在TCP連接已經(jīng)完成建立之后的過(guò)程��,此時(shí)TCP的重連機(jī)制不再適用���,因此��,客戶(hù)端在中斷 TCP連接后����,不再重新發(fā)起TCP連接的建立過(guò)程。
[0052] 基于上述方式�����,可W使得客戶(hù)端與服務(wù)器之間無(wú)法建立連接����,從而達(dá)到指定的某 些用戶(hù)群組,無(wú)法訪問(wèn)指定的服務(wù)器的目的�,保證服務(wù)器的安全性。
[0053] 基于上述技術(shù)方案���,本發(fā)明實(shí)施例中�����,安全設(shè)備在接收到來(lái)自客戶(hù)端的報(bào)文時(shí)����,判 斷客戶(hù)端與服務(wù)器之間的TCP連接是否已經(jīng)建立完成,如果是�����,則安全設(shè)備利用審計(jì)策略對(duì) 報(bào)文進(jìn)行安全檢查�����,如果否��,則安全設(shè)備拒絕利用審計(jì)策略對(duì)報(bào)文進(jìn)行安全檢查�����?�;谏鲜?方式��,安全設(shè)備在客戶(hù)端與服務(wù)器之間的TCP連接建立完成后�����,才去利用審計(jì)策略對(duì)報(bào)文進(jìn) 行安全檢查��,當(dāng)報(bào)文由于安全策略被丟棄時(shí)���,安全設(shè)備可W通知客戶(hù)端中斷客戶(hù)端與服務(wù) 器之間的TCP連接����。在此情況下�����,客戶(hù)端在中斷TCP連接后����,由于客戶(hù)端與服務(wù)器之間的TCP 連接已經(jīng)成功建立過(guò),因此�,客戶(hù)端不再重新發(fā)起TCP連接的建立過(guò)程。由于客戶(hù)端不會(huì)不 斷發(fā)起TCP連接的建立過(guò)程�����,因此�,安全設(shè)備不需要不斷的建立會(huì)話(huà),從而節(jié)約安全設(shè)備的 內(nèi)存資源�,減少安全設(shè)備上建立的會(huì)話(huà)數(shù)目,避免安全設(shè)備的內(nèi)存和會(huì)話(huà)數(shù)目過(guò)載�����,減少對(duì) 安全設(shè)備資源(內(nèi)存和會(huì)話(huà)數(shù))的消耗,提高安全設(shè)備的處理性能���,提高安全設(shè)備利用審計(jì) 策略對(duì)公司信息安全的保護(hù)能力���,對(duì)員工行為進(jìn)行有效控制和管理。
[0054] 本發(fā)明實(shí)施例中�,安全設(shè)備按照審計(jì)策略的動(dòng)作選項(xiàng),丟棄報(bào)文之后���,安全設(shè)備還 可W記錄審計(jì)策略對(duì)應(yīng)的阻斷日志�����,并將審計(jì)策略對(duì)應(yīng)的阻斷日志發(fā)送給日志管理平臺(tái)�, 由日志管理平臺(tái)分析阻斷日志�。
[0055] 基于上述方式,可W由安全設(shè)備記錄一條審計(jì)策略對(duì)應(yīng)的阻斷日志��,即針對(duì)審計(jì) 策略只記錄一條阻斷日志�,從而減少針對(duì)審計(jì)策略記錄的阻斷日志數(shù)量,避免針對(duì)審計(jì)策 略記錄重復(fù)的日志信息���,減輕對(duì)日志管理平臺(tái)的壓力��。
[0056] 基于與上述方法同樣的發(fā)明構(gòu)思��,本發(fā)明實(shí)施例中還提供了一種安全檢查的裝 置���,應(yīng)用于包括客戶(hù)端、安全設(shè)備和服務(wù)器的系統(tǒng)中�,該安全檢查的裝置應(yīng)用在安全設(shè)備 上。其中��,該安全檢查的裝置可W通過(guò)軟件實(shí)現(xiàn)�,也可W通過(guò)硬件或者軟硬件結(jié)合的方式實(shí) 現(xiàn)。W軟件實(shí)現(xiàn)為例�����,作為一個(gè)邏輯意義上的裝置�,是通過(guò)其所在的安全設(shè)備的處理器,讀 取非易失性存儲(chǔ)器中對(duì)應(yīng)的計(jì)算機(jī)程序指令形成的�。從硬件層面而言,如圖3所示��,為本發(fā) 明提出的安全檢查的裝置所在的安全設(shè)備的一種硬件結(jié)構(gòu)圖����,除了圖3所示的處理器�、非易 失性存儲(chǔ)器外���,安全設(shè)備還可W包括其他硬件����,如負(fù)責(zé)處理報(bào)文的轉(zhuǎn)發(fā)忍片�����、網(wǎng)絡(luò)接口�����、內(nèi) 存等;從硬件結(jié)構(gòu)上來(lái)講��,該安全設(shè)備還可能是分布式設(shè)備����,可能包括多個(gè)接口卡,W便在 硬件層面進(jìn)行報(bào)文處理的擴(kuò)展���。
[0057] 如圖4所示�����,為本發(fā)明提出的安全檢查的裝置的結(jié)構(gòu)圖����,應(yīng)用于包括客戶(hù)端、安全 設(shè)備和服務(wù)器的系統(tǒng)中�����,其中�����,所述安全檢查的裝置應(yīng)用在安全設(shè)備上�,所述安全檢查的裝 置具體包括:
[0058] 判斷模塊11����,用于在接收到來(lái)自所述客戶(hù)端的報(bào)文時(shí),判斷所述客戶(hù)端與所述服 務(wù)器之間的傳輸控制協(xié)議TCP連接是否已經(jīng)建立完成���;處理模塊12,用于當(dāng)判斷結(jié)果為是 時(shí)����,則利用審計(jì)策略對(duì)所述報(bào)文進(jìn)行安全檢查�����;當(dāng)判斷結(jié)果為否時(shí),則拒絕利用審計(jì)策略對(duì) 所述報(bào)文進(jìn)行安全檢查�。
[0059] 所述判斷模塊11,具體用于在判斷所述客戶(hù)端與所述服務(wù)器之間的TCP連接是否 已經(jīng)建立完成的過(guò)程中��,判斷所述安全設(shè)備是否已經(jīng)依次接收到所述客戶(hù)端向所述服務(wù)器 發(fā)送的SYN連接請(qǐng)求報(bào)文�����、所述服務(wù)器向所述客戶(hù)端返回的SYN/ACK確認(rèn)報(bào)文���、所述客戶(hù)端 向所述服務(wù)器發(fā)送的ACK確認(rèn)報(bào)文����;如果是����,則確定所述客戶(hù)端與所述服務(wù)器之間的TCP連 接已經(jīng)建立完成;如果否,則確定所述客戶(hù)端與所述服務(wù)器之間的TCP連接沒(méi)有建立完成���。
[0060] 所述審計(jì)策略的匹配選項(xiàng)具體包括第一報(bào)文特征信息���,所述審計(jì)策略的動(dòng)作選項(xiàng) 具體為阻斷報(bào)文;所述處理模塊12,具體用于在利用審計(jì)策略對(duì)所述報(bào)文進(jìn)行安全檢查的 過(guò)程中����,獲取所述報(bào)文的第二報(bào)文特征信息��,并判斷當(dāng)前獲取的第二報(bào)文特征信息與所述 審計(jì)策略中包括的第一報(bào)文特征信息是否相同����;如果相同,則按照所述審計(jì)策略的動(dòng)作選 項(xiàng)��,丟棄所述報(bào)文�����;
[0061] 其中�����,所述第一報(bào)文特征信息具體包括W下之一或者任意組合:用戶(hù)組地址��、目的 IP地址�、目的端口��、協(xié)議類(lèi)型;所述第二報(bào)文特征信息具體包括W下之一或者任意組合:源 IP地址�、目的IP地址�、目的端口��、協(xié)議類(lèi)型����。
[0062] 所述處理模塊12,還用于在按照所述審計(jì)策略的動(dòng)作選項(xiàng),丟棄所述報(bào)文之后�,向 所述客戶(hù)端發(fā)送第一 RS巧良文,由所述客戶(hù)端中斷所述客戶(hù)端與所述服務(wù)器之間的TCP連 接�����,且所述客戶(hù)端中斷所述TCP連接后�����,不再重新發(fā)起TCP連接的建立過(guò)程���;W及���,向所述服 務(wù)器發(fā)送第二RS巧良文,由所述服務(wù)器中斷所述客戶(hù)端與所述服務(wù)器之間的TCP連接����。
[0063] 需要注意的是���,TCP的重連機(jī)制是指:當(dāng)TCP連接沒(méi)有建立時(shí),如果客戶(hù)端中斷本客 戶(hù)端與服務(wù)器之間的TCP連接����,則客戶(hù)端會(huì)重新發(fā)送SYN連接請(qǐng)求報(bào)文,且SYN連接請(qǐng)求報(bào)文 中的五元組信息中的源端口標(biāo)識(shí)會(huì)發(fā)生改變��,W建立TCP連接�。而本發(fā)明實(shí)施例中,客戶(hù)端 接收到來(lái)自安全設(shè)備的第一 RS巧良文����,并中斷本客戶(hù)端與服務(wù)器之間的TCP連接的過(guò)程�����,是 在TCP連接已經(jīng)完成建立之后的過(guò)程�,此時(shí)TCP的重連機(jī)制不再適用,因此��,客戶(hù)端在中斷 TCP連接后����,不再重新發(fā)起TCP連接的建立過(guò)程��。
[0064] 所述處理模塊12,還用于在按照所述審計(jì)策略的動(dòng)作選項(xiàng)���,丟棄所述報(bào)文之后,記 錄所述審計(jì)策略對(duì)應(yīng)的阻斷日志���,并將所述審計(jì)策略對(duì)應(yīng)的阻斷日志發(fā)送給日志管理平 臺(tái)����,由所述日志管理平臺(tái)分析所述阻斷日志�。
[0065] 基于上述方式,可W由安全設(shè)備記錄一條審計(jì)策略對(duì)應(yīng)的阻斷日志��,即針對(duì)審計(jì) 策略只記錄一條阻斷日志���,從而減少針對(duì)審計(jì)策略記錄的阻斷日志數(shù)量�����,避免針對(duì)審計(jì)策 略記錄重復(fù)的日志信息�,減輕對(duì)日志管理平臺(tái)的壓力�。
[0066] 基于上述技術(shù)方案�����,本發(fā)明實(shí)施例中����,安全設(shè)備在接收到來(lái)自客戶(hù)端的報(bào)文時(shí)�����,判 斷客戶(hù)端與服務(wù)器之間的TCP連接是否已經(jīng)建立完成��,如果是����,則安全設(shè)備利用審計(jì)策略對(duì) 報(bào)文進(jìn)行安全檢查,如果否�,則安全設(shè)備拒絕利用審計(jì)策略對(duì)報(bào)文進(jìn)行安全檢查?�;谏鲜?方式�,安全設(shè)備在客戶(hù)端與服務(wù)器之間的TCP連接建立完成后��,才去利用審計(jì)策略對(duì)報(bào)文進(jìn) 行安全檢查��,當(dāng)報(bào)文由于安全策略被丟棄時(shí),安全設(shè)備可W通知客戶(hù)端中斷客戶(hù)端與服務(wù) 器之間的TCP連接����。在此情況下,客戶(hù)端在中斷TCP連接后����,由于客戶(hù)端與服務(wù)器之間的TCP 連接已經(jīng)成功建立過(guò),因此�����,客戶(hù)端不再重新發(fā)起TCP連接的建立過(guò)程����。由于客戶(hù)端不會(huì)不 斷發(fā)起TCP連接的建立過(guò)程,因此�,安全設(shè)備不需要不斷的建立會(huì)話(huà),從而節(jié)約安全設(shè)備的 內(nèi)存資源����,減少安全設(shè)備上建立的會(huì)話(huà)數(shù)目,避免安全設(shè)備的內(nèi)存和會(huì)話(huà)數(shù)目過(guò)載�,減少對(duì) 安全設(shè)備資源(內(nèi)存和會(huì)話(huà)數(shù))的消耗,提高安全設(shè)備的處理性能�����,提高安全設(shè)備利用審計(jì) 策略對(duì)公司信息安全的保護(hù)能力,對(duì)員工行為進(jìn)行有效控制和管理�����。
[0067] 其中���,本發(fā)明裝置的各個(gè)模塊可W集成于一體�����,也可W分離部署����。上述模塊可W合 并為一個(gè)模塊���,也可W進(jìn)一步拆分成多個(gè)子模塊��。
[0068] 通過(guò)W上的實(shí)施方式的描述�����,本領(lǐng)域的技術(shù)人員可W清楚地了解到本發(fā)明可借助 軟件加必需的通用硬件平臺(tái)的方式來(lái)實(shí)現(xiàn)�����,當(dāng)然也可W通過(guò)硬件����,但很多情況下前者是更 佳的實(shí)施方式���?�;谶\(yùn)樣的理解�,本發(fā)明的技術(shù)方案本質(zhì)上或者說(shuō)對(duì)現(xiàn)有技術(shù)做出貢獻(xiàn)的 部分可W W軟件產(chǎn)品的形式體現(xiàn)出來(lái)�,該計(jì)算機(jī)軟件產(chǎn)品存儲(chǔ)在一個(gè)存儲(chǔ)介質(zhì)中,包括若 干指令用W使得一臺(tái)計(jì)算機(jī)設(shè)備(可W是個(gè)人計(jì)算機(jī)�����,服務(wù)器���,或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā) 明各個(gè)實(shí)施例所述的方法���。本領(lǐng)域技術(shù)人員可W理解附圖只是一個(gè)優(yōu)選實(shí)施例的示意圖, 附圖中的模塊或流程并不一定是實(shí)施本發(fā)明所必須的�����。
[0069] 本領(lǐng)域技術(shù)人員可W理解實(shí)施例中的裝置中的模塊可W按照實(shí)施例描述進(jìn)行分 布于實(shí)施例的裝置中,也可W進(jìn)行相應(yīng)變化位于不同于本實(shí)施例的一個(gè)或多個(gè)裝置中����。上 述實(shí)施例的模塊可W合并為一個(gè)模塊,也可進(jìn)一步拆分成多個(gè)子模塊�����。上述本發(fā)明實(shí)施例 序號(hào)僅僅為了描述�����,不代表實(shí)施例的優(yōu)劣��。
[0070] W上公開(kāi)的僅為本發(fā)明的幾個(gè)具體實(shí)施例���,但是���,本發(fā)明并非局限于此,任何本領(lǐng) 域的技術(shù)人員能思之的變化都應(yīng)落入本發(fā)明的保護(hù)范圍��。
【主權(quán)項(xiàng)】
1. 一種安全檢查的方法,該方法應(yīng)用于包括客戶(hù)端�、安全設(shè)備和服務(wù)器的系統(tǒng)中,其特 征在于����,所述方法包括以下步驟: 所述安全設(shè)備在接收到來(lái)自所述客戶(hù)端的報(bào)文時(shí)���,判斷所述客戶(hù)端與所述服務(wù)器之間 的傳輸控制協(xié)議TCP連接是否已經(jīng)建立完成�����; 如果是��,則所述安全設(shè)備利用審計(jì)策略對(duì)所述報(bào)文進(jìn)行安全檢查�����; 如果否�����,則所述安全設(shè)備拒絕利用審計(jì)策略對(duì)所述報(bào)文進(jìn)行安全檢查�。2. 根據(jù)權(quán)利要求1所述的方法�����,其特征在于,所述安全設(shè)備判斷所述客戶(hù)端與所述服務(wù) 器之間的TCP連接是否已經(jīng)建立完成的過(guò)程�����,具體包括: 所述安全設(shè)備判斷自身是否已經(jīng)依次接收到所述客戶(hù)端向所述服務(wù)器發(fā)送的SYN連接 請(qǐng)求報(bào)文�、所述服務(wù)器向所述客戶(hù)端返回的SYN/ACK確認(rèn)報(bào)文、所述客戶(hù)端向所述服務(wù)器發(fā) 送的ACK確認(rèn)報(bào)文;如果是�,所述安全設(shè)備確定所述客戶(hù)端與所述服務(wù)器之間的TCP連接已 經(jīng)建立完成;如果否,所述安全設(shè)備確定所述客戶(hù)端與所述服務(wù)器之間的TCP連接沒(méi)有建立 完成���。3. 根據(jù)權(quán)利要求1所述的方法��,其特征在于��,所述審計(jì)策略的匹配選項(xiàng)具體包括第一報(bào) 文特征信息����,所述審計(jì)策略的動(dòng)作選項(xiàng)具體為阻斷報(bào)文�,所述安全設(shè)備利用審計(jì)策略對(duì)所 述報(bào)文進(jìn)行安全檢查的過(guò)程,具體包括: 所述安全設(shè)備獲取所述報(bào)文的第二報(bào)文特征信息�����,并判斷當(dāng)前獲取的第二報(bào)文特征信 息與所述審計(jì)策略中包括的第一報(bào)文特征信息是否相同;如果相同�����,則所述安全設(shè)備按照 所述審計(jì)策略的動(dòng)作選項(xiàng)�����,丟棄所述報(bào)文�; 其中����,所述第一報(bào)文特征信息具體包括以下之一或者任意組合:用戶(hù)組地址、目的IP地 址�����、目的端口���、協(xié)議類(lèi)型����;所述第二報(bào)文特征信息具體包括以下之一或者任意組合:源IP地 址��、目的IP地址、目的端口�、協(xié)議類(lèi)型。4. 根據(jù)權(quán)利要求2所述的方法���,其特征在于�,所述安全設(shè)備按照所述審計(jì)策略的動(dòng)作選 項(xiàng)���,丟棄所述報(bào)文之后��,所述方法進(jìn)一步包括: 所述安全設(shè)備向所述客戶(hù)端發(fā)送第一 RST報(bào)文�����,由所述客戶(hù)端中斷所述客戶(hù)端與所述 服務(wù)器之間的TCP連接����,且所述客戶(hù)端中斷所述TCP連接后��,不再重新發(fā)起TCP連接的建立過(guò) 程;所述安全設(shè)備向所述服務(wù)器發(fā)送第二RST報(bào)文�����,由所述服務(wù)器中斷所述客戶(hù)端與所述服 務(wù)器之間的TCP連接�。5. 根據(jù)權(quán)利要求2所述的方法�����,其特征在于���,所述安全設(shè)備按照所述審計(jì)策略的動(dòng)作選 項(xiàng),丟棄所述報(bào)文之后����,所述方法進(jìn)一步包括: 所述安全設(shè)備記錄所述審計(jì)策略對(duì)應(yīng)的阻斷日志,并將所述審計(jì)策略對(duì)應(yīng)的阻斷日志 發(fā)送給日志管理平臺(tái)����,由所述日志管理平臺(tái)分析所述阻斷日志�����。6. -種安全檢查的裝置��,應(yīng)用于包括客戶(hù)端�����、安全設(shè)備和服務(wù)器的系統(tǒng)中�,其特征在 于�,所述安全檢查的裝置應(yīng)用在安全設(shè)備上��,且所述裝置包括: 判斷模塊�����,用于在接收到來(lái)自所述客戶(hù)端的報(bào)文時(shí)��,判斷所述客戶(hù)端與所述服務(wù)器之 間的傳輸控制協(xié)議TCP連接是否已經(jīng)建立完成����; 處理模塊,用于當(dāng)判斷結(jié)果為是時(shí)�����,則利用審計(jì)策略對(duì)所述報(bào)文進(jìn)行安全檢查�����;當(dāng)判斷 結(jié)果為否時(shí)��,則拒絕利用審計(jì)策略對(duì)所述報(bào)文進(jìn)行安全檢查�����。7. 根據(jù)權(quán)利要求6所述的裝置,其特征在于����, 所述判斷模塊,具體用于在判斷所述客戶(hù)端與所述服務(wù)器之間的TCP連接是否已經(jīng)建 立完成的過(guò)程中�,判斷所述安全設(shè)備是否已經(jīng)依次接收到所述客戶(hù)端向所述服務(wù)器發(fā)送的 SYN連接請(qǐng)求報(bào)文、所述服務(wù)器向所述客戶(hù)端返回的SYN/ACK確認(rèn)報(bào)文�、所述客戶(hù)端向所述 服務(wù)器發(fā)送的ACK確認(rèn)報(bào)文;如果是���,則確定所述客戶(hù)端與所述服務(wù)器之間的TCP連接已經(jīng) 建立完成;如果否�����,則確定所述客戶(hù)端與所述服務(wù)器之間的TCP連接沒(méi)有建立完成�����。8. 根據(jù)權(quán)利要求6所述的裝置,其特征在于���,所述審計(jì)策略的匹配選項(xiàng)具體包括第一報(bào) 文特征信息����,所述審計(jì)策略的動(dòng)作選項(xiàng)具體為阻斷報(bào)文; 所述處理模塊��,具體用于在利用審計(jì)策略對(duì)所述報(bào)文進(jìn)行安全檢查的過(guò)程中���,獲取所 述報(bào)文的第二報(bào)文特征信息�����,并判斷當(dāng)前獲取的第二報(bào)文特征信息與所述審計(jì)策略中包括 的第一報(bào)文特征信息是否相同��;如果相同�,則按照所述審計(jì)策略的動(dòng)作選項(xiàng)����,丟棄所述報(bào) 文; 其中�,所述第一報(bào)文特征信息具體包括以下之一或者任意組合:用戶(hù)組地址、目的IP地 址�����、目的端口�����、協(xié)議類(lèi)型;所述第二報(bào)文特征信息具體包括以下之一或者任意組合:源IP地 址��、目的IP地址��、目的端口�����、協(xié)議類(lèi)型���。9. 根據(jù)權(quán)利要求8所述的裝置���,其特征在于, 所述處理模塊��,還用于在按照所述審計(jì)策略的動(dòng)作選項(xiàng)���,丟棄所述報(bào)文之后�����,向所述客 戶(hù)端發(fā)送第一 RST報(bào)文,由所述客戶(hù)端中斷所述客戶(hù)端與所述服務(wù)器之間的TCP連接���,且所 述客戶(hù)端中斷所述TCP連接后���,不再重新發(fā)起TCP連接的建立過(guò)程��;以及�,向所述服務(wù)器發(fā)送 第二RST報(bào)文�,由所述服務(wù)器中斷所述客戶(hù)端與所述服務(wù)器之間的TCP連接。10. 根據(jù)權(quán)利要求8所述的裝置��,其特征在于�����, 所述處理模塊��,還用于在按照所述審計(jì)策略的動(dòng)作選項(xiàng)����,丟棄所述報(bào)文之后,記錄所述 審計(jì)策略對(duì)應(yīng)的阻斷日志�,并將所述審計(jì)策略對(duì)應(yīng)的阻斷日志發(fā)送給日志管理平臺(tái),由所 述日志管理平臺(tái)分析所述阻斷日志���。
【文檔編號(hào)】H04L29/08GK105939318SQ201510819493
【公開(kāi)日】2016年9月14日
【申請(qǐng)日】2015年11月23日
【發(fā)明人】張歡
【申請(qǐng)人】杭州迪普科技有限公司