CN101789941A - 一种网络安全设备联动的方法及系统 - Google Patents
一种网络安全设备联动的方法及系统 Download PDFInfo
- Publication number
- CN101789941A CN101789941A CN201010104928A CN201010104928A CN101789941A CN 101789941 A CN101789941 A CN 101789941A CN 201010104928 A CN201010104928 A CN 201010104928A CN 201010104928 A CN201010104928 A CN 201010104928A CN 101789941 A CN101789941 A CN 101789941A
- Authority
- CN
- China
- Prior art keywords
- blocking
- auditing system
- compartment wall
- fire compartment
- packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种网络安全设备联动的方法及系统,涉及网络安全领域,用以解决现有网络安全设备联动阻断技术的时效性较差的问题。方法包括:数据包到达用户主机之前被审计系统和防火墙同时截获;防火墙判定不是http数据包;或者判定是http数据包,但未在设定的时间内收到审计系统发来的阻断要求,则转发该数据包;防火墙判定是http数据包,并且在设定的时间内收到审计系统发来的阻断要求,则进行阻断处理。系统包括:部署在网络侧集线器与用户主机侧交换机之间的防火墙,以及并联在所述集线器与交换机之间的审计系统。
Description
技术领域
本发明涉及网络安全领域,特别是涉及一种网络安全设备联动的方法及系统。
背景技术
目前网络信息日益丰富,但是非法、色情、暴力等不良内容在互联网上泛滥成灾。如何保证网络信息内容的合法性、健康性已经成为一个社会问题。国家也出台了一系列整治互联网低俗内容的措施。然而,互联网页的内容每天都在变化当中,如何保证动态变化的网络信息内容的健康合法以及如何对突然出现的不良内容进行判断及阻断,已经成为安全领域研究中的热点技术。
网络信息内容安全的主要技术包括应用层防火墙(网关产品)及网络内容审计系统(旁路监听产品)。应用层防火墙兼具内容审计功能,但由于部署在网关位置,大量的抓包过滤分析会影响网络的正常应用。而且目前许多网络中都部署了传统防火墙设备,如果再部署应用层防火墙会造成重复投资。网络内容审计系统作为旁路监听设备,一般采用并联到交换机监听口的方式部署,不会对网络性能造成影响,可用性强于应用层防火墙。但是其问题是只能提供事后报警,且传统的阻断方式是以双向tcp reset方式,具有时间滞后、网络传输率下降、成功率低等问题,无法精确对不良链接进行阻断。
现有技术提出了一种并联设备(如入侵检测系统)与串联设备(防火墙)的联动协议,通过server-client的方式实现设备联动阻断连接的目的。该技术的缺点在于阻断的滞后性,即入侵行为已经到达了内部网络之后,才由入侵检测系统发现,然后再通知处于网关位置的防火墙对该连接进行阻断,此时内部网络也许已经有被注入病毒的危险。而对于网络内容审计而言,即使旁路部署的审计系统发现了用户访问不良网页,并且通知了防火墙墙阻断该连接。然而由于浏览器缓存或不良网页频繁变换IP等方式,用户还能继续浏览到不良信息。
综上,现有阻断技术具有时效性差的问题。
发明内容
本发明提供了一种网络安全设备联动的方法及系统,用以解决现有网络安全设备联动阻断技术的时效性较差的问题。
本发明的一种网络安全设备联动的方法,包括下列步骤:数据包到达用户主机之前被审计系统和防火墙同时截获;防火墙判定不是http数据包;或者判定是http数据包,但未在设定的时间内收到审计系统发来的阻断要求,则转发该数据包;防火墙判定是http数据包,并且在设定的时间内收到审计系统发来的阻断要求,则进行阻断处理。
本发明的一种网络安全设备联动的系统,包括:部署在网络侧集线器与用户主机侧交换机之间的防火墙,以及并联在所述集线器与交换机之间的审计系统;数据包从网络侧通过所述集线器后,被审计系统和防火墙同时截获;防火墙判定不是http数据包;或者判定是http数据包,但未在设定的时间内收到审计系统发来的阻断要求,则向用户主机侧转发该数据包;防火墙判定是http数据包,并且在设定的时间内收到审计系统发来的阻断要求,则进行阻断处理。
本发明有益效果如下:
由于本发明的系统结构中防火墙与审计系统并联,所以可同时截获数据包。之后通过防火墙的判断数据包协议类型机制,以及定时缓存http数据包并等待审计系统的阻断要求机制,达到了在线阻断不良链接,不会被用户主机侧接收的效果,进而体现了阻断技术的时效性。
附图说明
图1为本发明实施例1中的系统结构图;
图2为本发明实施例2中的方法步骤流程图;
图3为本发明实施例3中的流程图。
具体实施方式
为了解决现有网络安全设备联动阻断技术的时效性较差的问题,更为具体的是为了解决网络旁路审计设备通过防火墙的并行联动实现在线阻断不良链接的时效性问题,本发明提供了一种网络安全设备联动的方法及系统。以下通过若干实施例具体说明。
参见图1所示,本发明实施例1中的系统包括:部署在网络侧集线器与用户主机侧交换机之间的防火墙,以及并联在所述集线器与交换机之间的审计系统(即审计系统以双臂并联方式接入网络,具有对集线器hub及对主交换机两个旁路监听口)。
数据包从网络侧通过所述集线器后,被审计系统和防火墙同时截获。防火墙判断数据包是否是http数据包,若防火墙判定不是http数据包,则向用户主机侧正常转发该数据包。判定是http数据包,则做暂缓处理,将数据包暂存到一个暂存器中(可为先入先出存储器FIFO原则),之后若未在设定的时间内收到审计系统发来的阻断要求,则向用户主机侧正常转发该数据包,同时清除暂存记录;之后若在设定的时间内收到审计系统发来的阻断要求,则进行丢包或替代后转发等阻断处理,同时清除暂存记录。审计系统判断是否发出阻断要求的逻辑为:拆接所述数据包;以拆接所得内容与预设的内容规则进行匹配;发现违反规则,则向防火墙发出阻断请求,未发现违反规则,则不做联动处理。在防火墙中设定的所述时间应大于审计系统处理的时间与阻断请求从审计系统到达防火墙的时间之和。上述处理过程均以毫秒级计算,所以对用户体验影响不大。
参见图2所示,本发明实施例2中的方法包括下列主要步骤:
S1、数据包到达用户主机之前被审计系统和防火墙同时截获。
S2、防火墙判断该数据包是否为http数据包,若是,则转入S3,否则转入S5。
S3、防火墙开始计时,判断设定的时间内是否收到审计系统发来的阻断要求,若是,则转入S4,否则转入S5。
S4、防火墙进行阻断处理,并终结流程。
S5、防火墙转发该数据包,并终结流程。
参见图3所示,本发明实施例3中的方法包括下列步骤:
数据包同时到达防火墙及审计系统。
防火墙判断数据包,如果该包是http协议的数据包,则做暂缓处理,将数据包暂存到一个暂存器中(FIFO原则),假设该http数据包标示为x,达到一定时间后(标记为tx,一般为数百毫秒),如未收到审计系统的阻断要求,则进行正常转发处理,同时清除暂存记录,如该段时间内收到审计系统发来的阻断要求,则进行丢包或替代后转发处理,同时清除暂存记录。如果该包不是http协议的数据包,则进行正常转发处理。
审计系统同时截获到该数据包x,拆接包进行内容规则匹配,处理时间为mx(通常为数百毫秒),一旦发现违反规则,则向防火墙发出阻断请求,该请求从审计系统到达防火墙的时间为nx(通常小于10毫秒),如未发现数据包x违反规则,则不做联动处理。
通常情况下,只要tx>mx+nx,就能达到时效性要求,在数据包未转发到用户主机前完成阻断。网页延时数百毫秒对用户体验影响不大。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (8)
1.一种网络安全设备联动的方法,其特征在于,包括下列步骤:
数据包到达用户主机之前被审计系统和防火墙同时截获;
防火墙判定不是超文本传输协议http数据包;或者判定是http数据包,但未在设定的时间内收到审计系统发来的阻断要求,则转发该数据包;
防火墙判定是http数据包,并且在设定的时间内收到审计系统发来的阻断要求,则进行阻断处理。
2.如权利要求1所述网络安全设备联动的方法,其特征在于,审计系统判断是否发出所述阻断要求的过程包括:
拆接所述数据包;
以拆接所得内容与预设的内容规则进行匹配;
发现违反规则,则向防火墙发出阻断请求,未发现违反规则,则不做联动处理。
3.如权利要求1所述网络安全设备联动的方法,其特征在于,所述阻断处理包括:丢包处理,或替代后转发处理。
4.如权利要求1所述网络安全设备联动的方法,其特征在于,所述设定的时间大于审计系统处理的时间与阻断请求从审计系统到达防火墙的时间之和。
5.一种网络安全设备联动的系统,其特征在于,包括:部署在网络侧集线器与用户主机侧交换机之间的防火墙,以及并联在所述集线器与交换机之间的审计系统;
数据包从网络侧通过所述集线器后,被审计系统和防火墙同时截获;
防火墙判定不是http数据包;或者判定是http数据包,但未在设定的时间内收到审计系统发来的阻断要求,则向用户主机侧转发该数据包;
防火墙判定是http数据包,并且在设定的时间内收到审计系统发来的阻断要求,则进行阻断处理。
6.如权利要求5所述网络安全设备联动的系统,其特征在于,所述审计系统判断是否发出阻断要求的逻辑为:拆接所述数据包;以拆接所得内容与预设的内容规则进行匹配;发现违反规则,则向防火墙发出阻断请求,未发现违反规则,则不做联动处理。
7.如权利要求5所述网络安全设备联动的系统,其特征在于,所述防火墙的阻断处理包括:丢包处理,或替代后转发处理。
8.如权利要求5所述网络安全设备联动的系统,其特征在于,在防火墙中设定的所述时间大于审计系统处理的时间与阻断请求从审计系统到达防火墙的时间之和。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010104928A CN101789941A (zh) | 2010-01-29 | 2010-01-29 | 一种网络安全设备联动的方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010104928A CN101789941A (zh) | 2010-01-29 | 2010-01-29 | 一种网络安全设备联动的方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101789941A true CN101789941A (zh) | 2010-07-28 |
Family
ID=42532995
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201010104928A Pending CN101789941A (zh) | 2010-01-29 | 2010-01-29 | 一种网络安全设备联动的方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101789941A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103051552A (zh) * | 2012-12-04 | 2013-04-17 | 恒安嘉新(北京)科技有限公司 | 基于串接阻断、旁路分析相分离的智能管控方法和系统 |
| CN104283855A (zh) * | 2013-07-08 | 2015-01-14 | 北京思普崚技术有限公司 | 一种垃圾邮件的截获方法 |
| CN104980408A (zh) * | 2014-04-11 | 2015-10-14 | 中国移动通信集团陕西有限公司 | 恶意网站的封堵方法、装置以及系统 |
| CN114553670A (zh) * | 2022-02-18 | 2022-05-27 | 山西清网信息技术有限公司 | 一种信息化网络安全应急联动系统及方法 |
-
2010
- 2010-01-29 CN CN201010104928A patent/CN101789941A/zh active Pending
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103051552A (zh) * | 2012-12-04 | 2013-04-17 | 恒安嘉新(北京)科技有限公司 | 基于串接阻断、旁路分析相分离的智能管控方法和系统 |
| CN103051552B (zh) * | 2012-12-04 | 2015-06-17 | 恒安嘉新(北京)科技有限公司 | 基于串接阻断、旁路分析相分离的智能管控方法和系统 |
| CN104283855A (zh) * | 2013-07-08 | 2015-01-14 | 北京思普崚技术有限公司 | 一种垃圾邮件的截获方法 |
| CN104980408A (zh) * | 2014-04-11 | 2015-10-14 | 中国移动通信集团陕西有限公司 | 恶意网站的封堵方法、装置以及系统 |
| CN114553670A (zh) * | 2022-02-18 | 2022-05-27 | 山西清网信息技术有限公司 | 一种信息化网络安全应急联动系统及方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5826920B2 (ja) | 遮断サーバを用いたスプーフィング攻撃に対する防御方法 | |
| CN100474819C (zh) | 一种深度报文检测方法、网络设备及系统 | |
| CN108063765B (zh) | 适于解决网络安全的sdn系统 | |
| CN101980506B (zh) | 一种基于流量特征分析的分布式入侵检测方法 | |
| CN101175013B (zh) | 一种拒绝服务攻击防护方法、网络系统和代理服务器 | |
| CN101030977B (zh) | 用于防御非法通信的装置及其网络系统 | |
| CN107347021A (zh) | 一种基于sdn网络可靠传输方法 | |
| CN101257450A (zh) | 网络安全防护方法、网关设备、客户端及网络系统 | |
| CN106161333A (zh) | 基于sdn的ddos攻击防护方法、装置及系统 | |
| CN101083563A (zh) | 一种防分布式拒绝服务攻击的方法及设备 | |
| CN106685992A (zh) | 基于单向传输技术跨网安全交换及交互式应用系统及方法 | |
| CN103139315A (zh) | 一种适用于家庭网关的应用层协议解析方法 | |
| CA2514039A1 (en) | Tcp normalization engine | |
| CN102510385A (zh) | 防ip数据报分片攻击的方法 | |
| CN101789941A (zh) | 一种网络安全设备联动的方法及系统 | |
| CN100499587C (zh) | 交换设备及其防止流量冲击的报文处理方法 | |
| CN101997871A (zh) | 一种数据快速捕获与过滤转发装置 | |
| CN101272346B (zh) | 一种对报文进行流量监管的方法和装置 | |
| CN109561051A (zh) | 内容分发网络安全检测方法及系统 | |
| WO2010000698A1 (en) | Optimized selection of transmission protocol respecting thresholds | |
| CN105429814A (zh) | 利用多板卡保护bfd的方法和设备 | |
| CN101483649A (zh) | 一种基于fpga的网络安全内容处理卡 | |
| CN101981877A (zh) | 数据中继装置和数据中继方法 | |
| CN102882894A (zh) | 一种识别攻击的方法及装置 | |
| US20110176437A1 (en) | Traffic volume monitoring system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| DD01 | Delivery of document by public notice |
Addressee: Wu Bingtang Document name: Notification of Passing Preliminary Examination of the Application for Invention |
|
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| DD01 | Delivery of document by public notice |
Addressee: Wu Bingtang Document name: Notification of Publication and of Entering the Substantive Examination Stage of the Application for Invention |
|
| DD01 | Delivery of document by public notice |
Addressee: Wu Bingtang Document name: Notification of Passing Examination on Formalities |
|
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20100728 |