CN103139056A - 一种安全网关及一种网络数据的交互方法 - Google Patents
一种安全网关及一种网络数据的交互方法 Download PDFInfo
- Publication number
- CN103139056A CN103139056A CN201110393961XA CN201110393961A CN103139056A CN 103139056 A CN103139056 A CN 103139056A CN 201110393961X A CN201110393961X A CN 201110393961XA CN 201110393961 A CN201110393961 A CN 201110393961A CN 103139056 A CN103139056 A CN 103139056A
- Authority
- CN
- China
- Prior art keywords
- access request
- module
- data
- described access
- detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
本发明公开了一种安全网关及一种网络数据的交互方法,该安全网关能够对远端的访问请求进行检测,判断其是否符合预设的检测策略,检测内容包括IP检测及时段检测,通过IP检测及时段检测的访问请求才会被允许建立连接,所述安全网关还能够进一步对所述访问请求的数据内容类型进行分析,判断其是否符合预设的类型策略,只有符合检测策略及类型策略的访问请求,所述安全网关才会保障其与服务器的正常连接,而过程中如果所述访问请求被判断出不符合系统预设的检测策略和/或类型策略,即会立即被断掉连接。通过所述的安全网关及网络数据交互方法,能够对访问请求进行基于数据本身的检测分析,提高了网络系统的安全性。
Description
技术领域
本发明涉及互联网领域,更具体的说,是涉及一种安全网关及一种网络数据的交互方法。
背景技术
随着网络技术的发展和社会大众对工作方便性要求的提高,许多企事业单位间需要通过网络进行一些数据共享,交互查询等工作。而有些企事业单位的内网信息因其重要性或机密性需要得到一定的安全保护,以防外网对其进行恶意攻击,给社会带来损失或危害。
为在保证内网安全性的前提下对外网提供必要的数据共享、交互查询等服务,用户需要部署信息通信网边界接入平台,所述信息通信边界接入平台首先通过安全隔离网闸等安全隔离设备将内网的特定数据摆渡到外部数据库,再将这些资源有机联网、整合共享,最后通过服务器对外提供数据交互。而在外网对内网访问前,外网访问请求需通过系统设置的安全网关。
现有的安全网关,是通过判断源地址IP、目的地址IP、端口号等来对网络数据进行拦截和监测,以阻止恶意攻击,保障内网数据信息的安全性。但是,现有的安全网关只是在网络层和传输层对网络数据进行判断控制,不能对网络数据本身进行严格的检查和过滤,不能有效的防范黑客的攻击,当黑客将源IP包改变成合法IP即进行IP地址欺骗后,就能够轻松的通过安全网关,进入内网,网络系统安全性低。
因此,如何提供一种安全网关及一种网络数据的交互方法,使得安全网关对网络数据本身能够进行安全分析和控制,提高网络系统的安全性,是本领域技术人员急需解决的问题。
发明内容
有鉴于此,本发明提供了一种安全网关及一种网络数据的交互方法,以克服现有技术中由于不能够对网络数据本身进行安全分析而导致的内网系统安全性低的问题。
为实现上述目的,本发明提供如下技术方案:
一种安全网关,包括:数据连接模块、数据处理模块及数据库模块;
所述数据连接模块用于判断客户端发起的访问请求是否符合预设的检测策略,并根据判断结果将所述访问请求提交给数据处理模块或截断所述访问请求;
所述数据处理模块用于判断所述访问请求的数据内容是否符合预设的类型策略,并根据判断结果建立所述访问请求与服务器的连接或截断所述访问请求;
数据库模块,用于存储所述预设的检测策略及预设的类型策略,并记录数据连接模块和数据处理模块的操作信息。
其中,所述数据连接模块具体包括:
连接接收模块,用于接收客户端发起的访问请求;
策略检测模块,用于根据所述访问请求检测所述客户端的IP及访问时间是否符合预设的检测策略;
数据传输模块,用于在所述策略检测模块的检测结果为是的情况下:将所述访问请求提交给所述数据处理模块;
截断请求模块,用于在所述策略检测模块的检测结果为否的情况下:截断所述访问请求。
其中,所述数据传输模块,具体用于将多个所述访问请求多线程的提交给数据处理模块。
优选的,所述数据连接模块还包括:
监听模块,用于监听对绑定服务套接字的连接,以使策略检测模块检测所述客户端的IP及访问时间。
其中,所述数据处理模块具体包括:
处理接收模块,用于接收数据连接模块提交的所述访问请求;
类型判断模块,用于对所述访问请求的数据内容进行格式匹配及敏感数据匹配,判断所述访问请求的数据内容是否符合预设的类型策略;
建立连接模块,用于在所述类型判断模块的判断结果为是的情况下:建立所述访问请求与服务器的连接;
截断请求模块,用于在所述类型判断模块的判断结果为否的情况下:截断所述访问请求。
其中,所述数据库模块具体包括:
配置文件模块,用于存储所述预设的检测策略及预设的类型策略;
记录模块,用于记录所述数据连接模块和数据处理模块的操作信息。
优选的,还包括:
统计模块,用于统计发送至所述安全网关的访问请求的类型、分布区域及异常访问的相关信息。
一种网络数据的交互方法,包括:
数据连接模块判断客户端发起的访问请求是否符合预设的检测策略,并根据判断结果将所述访问请求提交给数据处理模块或截断所述访问请求;
数据处理模块判断所述访问请求是否符合预设的类型策略,并根据判断结果建立所述访问请求与服务器的连接或截断所述访问请求;
数据库模块存储所述预设的检测策略及预设的类型策略,并记录数据连接模块和数据处理模块的操作信息。
其中,所述数据连接模块判断客户端发起的访问请求是否符合预设的检测策略,并根据判断结果将所述访问请求提交给数据处理模块或截断所述访问请求具体包括:
连接接收模块接收客户端发起的访问请求;
监听模块监听对绑定服务套接字的连接;
策略检测模块根据所述监听模块的监听结果检测所述客户端的IP及访问时间是否符合预设的检测策略;
在所述策略检测模块的检测结果为是的情况下:将所述访问请求提交给所述数据处理模块;
在所述策略检测模块的检测结果为否的情况下:截断所述访问请求。
其中,所述数据处理模块判断所述访问请求是否符合预设的类型策略,并根据判断结果建立所述访问请求与服务器的连接或截断所述访问请求,具体为:
处理接收模块接收数据连接模块提交的所述访问请求;
类型判断模块对所述访问请求的数据内容进行格式匹配及敏感数据匹配,判断所述访问请求的数据内容是否符合预设的类型策略;
在所述类型判断模块的判断结果为是的情况下:建立所述访问请求与服务器的连接;
在所述类型判断模块的判断结果为否的情况下:截断所述访问请求。
经由上述的技术方案可知,与现有技术相比,本发明公开了一种安全网关及一种网络数据的交互方法,该安全网关能够对远端的访问请求进行检测,判断其是否符合预设的检测策略,检测内容包括IP检测及时段检测,通过IP检测及时段检测的访问请求才会被允许建立连接,所述安全网关还能够进一步对所述访问请求的数据内容类型进行分析,判断其是否符合预设的类型策略,只有符合检测策略及类型策略的访问请求,所述安全网关才会保障其与服务器的正常连接,而过程中如果所述访问请求被判断出不符合系统预设的检测策略和/或类型策略,即会立即被断掉连接。通过所述的安全网关及网络数据交互方法,能够对访问请求进行基于数据本身的检测分析,提高了网络系统的安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本发明实施例公开的安全网关的第一结构示意图;
图2为本发明实施例公开的数据连接模块的结构示意图;
图3为本发明实施例公开的数据处理模块的结构示意图;
图4为本发明实施例公开的数据库模块的结构示意图;
图5为本发明实施例公开的安全网关的第二结构示意图;
图6为本发明实施例公开的网络数据交互方法的第一流程图;
图7为本发明实施例公开的判断访问请求是否符合预设的检测策略的流程示意图;
图8为本发明实施例公开的判断访问请求是否符合预设的类型策略的流程示意图;
图9为本发明实施例公开的网络数据交互方法的第二流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。实施例一
图1为本发明实施例公开的安全网关的第一结构示意图,参照图1所示,所述安全网关10可以包括:
数据连接模块101,用于判断客户端发起的访问请求是否符合预设的检测策略,并根据判断结果将所述访问请求提交给数据处理模块或截断所述访问请求;
其中,当客户端发来访问请求时,所述数据连接模块101能够将所述访问请求的相关信息与系统配置文件里预设的检测策略进行比较,判断所述访问请求是否符合所述预设的检测策略,然后根据上述判断的判断结果进行不同的操作,根据所述数据连接模块101的具体功能,参考图2所示,所述数据连接模块101具体又可以包括:
连接接收模块1011,用于接收客户端发起的访问请求;
此模块负责接收不同客户端发送来的访问请求,所述访问请求可以是读取请求,也可以是写入请求;
策略检测模块1012,用于根据所述访问请求检测所述客户端的IP及访问时间是否符合预设的检测策略;
所述检测包括对所述访问请求进行IP检测及时段检测,当所述连接接收模块1011接收到客户端发起的访问请求时,根据接收到的所述访问请求对其远端的IP地址及该访问请求的访问时间进行检测,判断出所述访问请求的相关信息是否符合系统配置文件里预设的检测策略,所述预设的检测策略存在于配置文件的存储器中,在所述策略检测模块需要时可以随时获取,所述预设的检测策略是由用户依靠经验或实际情况需要提前设置于存储器中的,以便于拒绝一些很可能是恶意攻击、数据窃取等异常的访问请求,所述预设的检测策略记录有符合要求的访问请求的IP地址及访问时间,如:预设的检测策略规定了具有访问权利的IP地址范围,并规定访问请求的处理时间在早上8点至晚上9点之间,那么如果一个访问请求的源地址包括在所述预设的检测策略规定的具有访问权利的IP地址范围内,且其访问时间在早上8点至晚上九点之间,那么此访问请求即符合所述预设的检测策略,如果一个访问请求的源地址包括在所述预设的检测策略规定的具有访问权利的IP地址范围内,但是访问时间为凌晨一点,那么该访问请求就不符合所述预设的检测策略;
数据传输模块1013,用于在所述策略检测模块的检测结果为是的情况下:将所述访问请求提交给所述数据处理模块;
当所述访问请求通过策略检测模块1012的检测时,即符合系统配置文件中关于访问请求IP地址及访问时间的预设的检测策略时,所述数据传输模块1013将符合所述预设的检测策略的访问请求提交给数据处理模块102(详见后述);
截断请求模块1014,用于在所述策略检测模块的检测结果为否的情况下:截断所述访问请求;
当所述访问请求没有通过策略检测模块1012的检测时,即不符合系统配置文件中关于访问请求IP地址及访问时间的预设的检测策略时,所述截断请求模块将1014所述访问请求的连接截断;
通过所述数据连接模块101检测的访问请求,将被提交给数据处理模块102;
数据处理模块102,用于判断所述访问请求的数据内容是否符合预设的类型策略,并根据判断结果建立所述访问请求与服务器的连接或截断所述访问请求;
当所述数据处理模块102接收到所述数据连接模块提交的所述访问请求时,所述数据处理模块102能够将所述访问请求应用层的相关信息,即数据信息与系统配置文件的存储器里预设的类型策略进行比较,判断所述访问请求的数据信息是否符合所述预设的类型策略,所述预设的类型策略是由用户依靠经验或实际情况需要提前设置于存储器中的,以便于拒绝一些很可能是恶意攻击、数据窃取等异常的访问请求,然后根据上述判断的判断结果进行不同的操作,如:所述预设的类型策略规定访问请求的报文长度必须大于设定的阈值N,那么当访问请求的报文长度小于用户设定的N值时,就不符合预设的类型策略,根据所述数据处理模块102的具体功能,参考图3所示,所述数据处理模块102具体又可以包括:
处理接收模块1021,用于接收数据连接模块提交的所述访问请求;
此时接收到的访问请求为通过所述数据连接模块101检测的访问请求;
类型判断模块1022,用于对所述访问请求的数据内容进行格式匹配及敏感数据匹配,判断所述访问请求的数据内容是否符合预设的类型策略;
所述判断依据对所述访问请求进行数据格式匹配及敏感数据匹配的匹配结果,所述数据格式及敏感数据可以由用户根据实际应用情况来自主设定,且用户可以随时重新设定数据格式及敏感数据,所述敏感数据可以为一段时期内或长时期内涉及到私密信息或一些合法机构明确规定不可以使用或流传的一些字、词或句子,当所述访问请求的数据中包含所述预设的类型策略里规定的敏感数据时,所述访问请求即不符合所述预设的类型策略,如,所述预设的类型策略规定访问请求中不可携带“非典”这个词,那么当访问请求为“查询有过非典病史的人”时,该访问请求就不符合预设的类型策略,当所述处理连接模块1021接收到所述数据连接模块101提交的访问请求时,根据接收到的所述访问请求对其进行数据格式匹配及敏感数据的匹配,判断出所述访问请求的数据信息是否符合系统配置文件里预设的类型策略;
建立连接模块1023,用于在所述类型判断模块的判断结果为是的情况下:建立所述访问请求与服务器的连接;
当所述访问请求通过类型判断模块1022的判断时,即符合系统配置文件中关于访问请求数据格式及敏感数据的预设的类型策略时,所述建立连接模块1023为符合所述预设的类型策略的访问请求建立与应用服务器的连接;
截断请求模块1024,用于在所述类型判断模块的判断结果为否的情况下:截断所述访问请求;
当所述访问请求没有通过类型判断模块1022的检测时,即不符合系统配置文件中关于访问请求数据格式及敏感数据的预设的检测策略时,所述截断请求模块1024将所述访问请求的连接截断;
数据库模块103,用于存储所述预设的检测策略及预设的类型策略,并记录数据连接模块和数据处理模块的操作信息;
上述预设的检测策略及预设的类型策略保存在配置文件的存储器中,所述配置文件中还包括能够保证各个模块正常运行的配置管理信息,所述预设的检测策略、预设的类型策略及所述配置管理信息均存储在所述数据库模块103中,所述数据库模块103还能够记录下所述数据连接模块101及所述数据处理模块102相关的操作信息,根据所述数据库模块103的具体功能,参照图4,所述数据库模块103具体可以包括:
配置文件模块1031,用于存储所述预设的检测策略及预设的类型策略;
记录模块1032,用于记录所述数据连接模块和数据处理模块的操作信息。
本实施例中,所述安全网关能够对客户端发起的访问请求首先进行IP地址检测及时段检测,在通过所述IP地址检测及时段检测的情况下,再对所述访问请求的数据进行格式匹配及敏感数据匹配,在所述访问请求的数据格式符合系统预设的数据格式,且没有携带系统预设的敏感数据时,才会允许与网络服务器建立连接,实现数据共享、交互查询等内容。通过本发明实施例公开的安全网关,不仅能够在网络层和传输层上对访问请求进行IP地址及访问时段的分析,且能够对访问请求的数据本身进行安全分析,大大提高了网络的安全性。
实施例二
图5为本发明实施例公开的安全网关的第二结构示意图,参照图5所示,所述安全网关50可以包括:
数据连接模块101,用于判断客户端发起的访问请求是否符合预设的检测策略,并根据判断结果将所述访问请求提交给数据处理模块或截断所述访问请求;
所述数据连接模块101具体又可以包括:
连接接收模块1011,用于接收客户端发起的访问请求;
监听模块1015,用于监听对绑定服务套接字的连接;
通过监听对绑定服务套字的连接,判断出接收的所述访问请求的IP地址及访问时间;
策略检测模块1012,用于根据监听结果检测所述客户端的IP及访问时间是否符合预设的检测策略;
数据传输模块1013,用于在所述策略检测模块的检测结果为是的情况下:将所述访问请求提交给所述数据处理模块;
所述数据传输模块1013,能够将多个所述访问请求多线程的提交给数据处理模块102(详见后述);
截断请求模块1014,用于在所述策略检测模块的检测结果为否的情况下:截断所述访问请求;
通过所述数据连接模块101检测的访问请求,将被提交给数据处理模块102;
数据处理模块102,用于判断所述访问请求的数据内容是否符合预设的类型策略,并根据判断结果建立所述访问请求与服务器的连接或截断所述访问请求;
所述数据处理模块102具体可以包括:
处理接收模块1021,用于接收数据连接模块提交的所述访问请求;
类型判断模块1022,用于对所述访问请求的数据内容进行格式匹配及敏感数据匹配,判断所述访问请求的数据内容是否符合预设的类型策略;
建立连接模块1023,用于在所述类型判断模块的判断结果为是的情况下:建立所述访问请求与服务器的连接;
截断请求模块1024,用于在所述类型判断模块的判断结果为否的情况下:截断所述访问请求;
数据库模块103,用于存储所述预设的检测策略及预设的类型策略,并记录数据连接模块和数据处理模块的操作信息;
所述数据库模块103具体可以包括:
配置文件模块1031,用于存储所述预设的检测策略及预设的类型策略;
记录模块1032,用于记录所述数据连接模块和数据处理模块的操作信息;
统计模块104,用于统计发送至所述安全网关的访问请求的类型、分布区域及异常访问的相关信息;
通过统计发送至所述安全网关的访问请求的相关信息,便于用户分析异常访问的特点,并根据分析得到的特点配置相关的预设策略,使得所述安全网关能够更准确、快速的分析出异常的访问及数据信息。
本实施例中,所述安全网关能够对客户端发起的访问请求首先进行IP地址检测及时段检测,在通过所述IP地址检测及时段检测的情况下,再对所述访问请求的数据进行格式匹配及敏感数据匹配,在所述访问请求的数据格式符合系统预设的数据格式,且没有携带系统预设的敏感数据时,才会允许与网络服务器建立连接,实现数据共享、交互查询等内容,且能够统计所有访问请求的类型、分布区域及异常访问等先关信息,便于用户分析异常访问的特点并做出相应的处理对策。通过本发明实施例公开的安全网关,不仅能够在网络层和传输层上对访问请求进行IP地址及访问时段的分析,且能够对访问请求的数据本身进行安全分析,大大提高了网络的安全性。
实施例三
图6为本发明实施例公开的网络数据交互方法的第一流程图,参照图6所示,所述网络数据交互方法的步骤可以包括:
步骤601:数据连接模块判断客户端发起的访问请求是否符合预设的检测策略,并根据判断结果将所述访问请求提交给数据处理模块或截断所述访问请求;
其中,所述数据连接模块能够将所述访问请求的相关信息与系统配置文件里预设的检测策略进行比较,判断所述访问请求是否符合所述预设的检测策略,然后根据上述判断的判断结果进行不同的操作;参考图7,在实际应用中,所述步骤601具体可以包括以下步骤:
步骤701:连接接收模块接收客户端发起的访问请求;
步骤702:策略检测模块根据所述访问请求检测所述客户端的IP及访问时间是否符合预设的检测策略,如果是,进入步骤703,如果否,进入步骤704;
步骤703:将所述访问请求提交给所述数据处理模块;
步骤704:截断所述访问请求;
在步骤601之后,进入步骤602;
步骤602:数据处理模块判断所述访问请求是否符合预设的类型策略,并根据判断结果建立所述访问请求与服务器的连接或截断所述访问请求;
当所述数据处理模块接收到所述数据连接模块提交的所述访问请求时,所述数据处理模块能够将所述访问请求应用层的相关信息,即数据信息与系统配置文件里预设的类型策略进行比较,判断所述访问请求的数据信息是否符合所述预设的类型策略,然后根据上述判断的判断结果进行不同的操作;参考图8所示,在实际应用中,所述步骤602具体可以包括以下步骤:
步骤801:处理接收模块接收数据连接模块提交的所述访问请求;
步骤802:类型判断模块对所述访问请求的数据内容进行格式匹配及敏感数据匹配,判断所述访问请求的数据内容是否符合预设的类型策略,如果是,进入步骤803,如果否,进入步骤804;
步骤803:建立所述访问请求与服务器的连接;
步骤804:截断所述访问请求;
步骤603:数据库模块存储所述预设的检测策略及预设的类型策略,并记录数据连接模块和数据处理模块的操作信息。
本实施例中,所述网络数据的交互方法能够对客户端发起的访问请求首先进行IP地址检测及时段检测,在通过所述IP地址检测及时段检测的情况下,再对所述访问请求的数据进行与预设的类型策略的比较检测,在所述访问请求的数据符合所述预设的类型策略时,才会允许与网络服务器建立连接,实现数据共享、交互查询等内容。通过本发明实施例公开的网络数据交互方法,不仅能够在网络层和传输层上对访问请求进行IP地址及访问时段的分析,且能够对访问请求的数据本身进行安全分析,大大提高了网络的安全性。
实施例四
图9为本发明实施例公开的网络数据交互方法的第二流程图,参照图9所示,所述网络数据交互方法的步骤可以包括:
步骤901:连接接收模块接收客户端发起的访问请求;
步骤902:监听模块监听对绑定服务套接字的连接;
步骤903:策略检测模块根据所述监听模块的监听结果检测所述客户端的IP及访问时间是否符合预设的检测策略,如果是,进入步骤904,如果否,进入步骤905;
步骤904:将所述访问请求提交给所述数据处理模块;
步骤905:截断所述访问请求;
步骤906:处理接收模块接收数据连接模块提交的所述访问请求;
步骤907:类型判断模块对所述访问请求的数据内容进行格式匹配及敏感数据匹配,判断所述访问请求的数据内容是否符合预设的类型策略,如果是,进入步骤908,如果否,进入步骤909;
步骤908:建立所述访问请求与服务器的连接;
步骤909:截断所述访问请求;
步骤910:数据库模块存储所述预设的检测策略及预设的类型策略,并记录数据连接模块和数据处理模块的操作信息;
步骤911:统计模块:统计发送至所述安全网关的访问请求的类型、分布区域及异常访问的相关信息。
本实施例中,所述网络数据的交互方法能够对客户端发起的访问请求进行连接监听,根据监听结果首先进行IP地址检测及时段检测,在通过所述IP地址检测及时段检测的情况下,再对所述访问请求的数据进行与预设的类型策略的比较检测,在所述访问请求的数据符合所述预设的类型策略时,才会允许与网络服务器建立连接,实现数据共享、交互查询等内容,且能够统计所有访问请求的类型、分布区域及异常访问等先关信息,便于用户分析异常访问的特点并做出相应的处理对策。通过本发明实施例公开的网络数据交互方法,不仅能够在网络层和传输层上对访问请求进行IP地址及访问时段的分析,且能够对访问请求的数据本身进行安全分析,大大提高了网络的安全性。
还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个......”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (10)
1.一种安全网关,其特征在于,包括:数据连接模块、数据处理模块及数据库模块;
所述数据连接模块用于判断客户端发起的访问请求是否符合预设的检测策略,并根据判断结果将所述访问请求提交给数据处理模块或截断所述访问请求;
所述数据处理模块用于判断所述访问请求的数据内容是否符合预设的类型策略,并根据判断结果建立所述访问请求与服务器的连接或截断所述访问请求;
数据库模块,用于存储所述预设的检测策略及预设的类型策略,并记录数据连接模块和数据处理模块的操作信息。
2.根据权利要求1所述的安全网关,其特征在于,所述数据连接模块具体包括:
连接接收模块,用于接收客户端发起的访问请求;
策略检测模块,用于根据所述访问请求检测所述客户端的IP及访问时间是否符合预设的检测策略;
数据传输模块,用于在所述策略检测模块的检测结果为是的情况下:将所述访问请求提交给所述数据处理模块;
截断请求模块,用于在所述策略检测模块的检测结果为否的情况下:截断所述访问请求。
3.根据权利要求2所述的安全网关,其特征在于,所述数据传输模块,具体用于将多个所述访问请求多线程的提交给数据处理模块。
4.根据权利要求2所述的安全网关,其特征在于,所述数据连接模块还包括:
监听模块,用于监听对绑定服务套接字的连接,以使策略检测模块检测所述客户端的IP及访问时间。
5.根据权利要求1所述的安全网关,其特征在于,所述数据处理模块具体包括:
处理接收模块,用于接收数据连接模块提交的所述访问请求;
类型判断模块,用于对所述访问请求的数据内容进行格式匹配及敏感数据匹配,判断所述访问请求的数据内容是否符合预设的类型策略;
建立连接模块,用于在所述类型判断模块的判断结果为是的情况下:建立所述访问请求与服务器的连接;
截断请求模块,用于在所述类型判断模块的判断结果为否的情况下:截断所述访问请求。
6.根据权利要求1所述的安全网关,其特征在于,所述数据库模块具体包括:
配置文件模块,用于存储所述预设的检测策略及预设的类型策略;
记录模块,用于记录所述数据连接模块和数据处理模块的操作信息。
7.根据权利要求1-6任一项所述的安全网关,还包括:
统计模块,用于统计发送至所述安全网关的访问请求的类型、分布区域及异常访问的相关信息。
8.一种网络数据的交互方法,其特征在于,包括:
数据连接模块判断客户端发起的访问请求是否符合预设的检测策略,并根据判断结果将所述访问请求提交给数据处理模块或截断所述访问请求;
数据处理模块判断所述访问请求是否符合预设的类型策略,并根据判断结果建立所述访问请求与服务器的连接或截断所述访问请求;
数据库模块存储所述预设的检测策略及预设的类型策略,并记录数据连接模块和数据处理模块的操作信息。
9.根据权利要求8所述的方法,其特征在于,所述数据连接模块判断客户端发起的访问请求是否符合预设的检测策略,并根据判断结果将所述访问请求提交给数据处理模块或截断所述访问请求具体包括:
连接接收模块接收客户端发起的访问请求;
监听模块监听对绑定服务套接字的连接;
策略检测模块根据所述监听模块的监听结果检测所述客户端的IP及访问时间是否符合预设的检测策略;
在所述策略检测模块的检测结果为是的情况下:将所述访问请求提交给所述数据处理模块;
在所述策略检测模块的检测结果为否的情况下:截断所述访问请求。
10.根据权利要求8所述的方法,其特征在于,所述数据处理模块判断所述访问请求是否符合预设的类型策略,并根据判断结果建立所述访问请求与服务器的连接或截断所述访问请求,具体为:
处理接收模块接收数据连接模块提交的所述访问请求;
类型判断模块对所述访问请求的数据内容进行格式匹配及敏感数据匹配,判断所述访问请求的数据内容是否符合预设的类型策略;
在所述类型判断模块的判断结果为是的情况下:建立所述访问请求与服务器的连接;
在所述类型判断模块的判断结果为否的情况下:截断所述访问请求。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110393961.XA CN103139056B (zh) | 2011-12-01 | 2011-12-01 | 一种安全网关及一种网络数据的交互方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110393961.XA CN103139056B (zh) | 2011-12-01 | 2011-12-01 | 一种安全网关及一种网络数据的交互方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103139056A true CN103139056A (zh) | 2013-06-05 |
| CN103139056B CN103139056B (zh) | 2016-08-03 |
Family
ID=48498386
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110393961.XA Active CN103139056B (zh) | 2011-12-01 | 2011-12-01 | 一种安全网关及一种网络数据的交互方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103139056B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110457897A (zh) * | 2019-07-17 | 2019-11-15 | 福建龙田网络科技有限公司 | 一种基于通信协议与sql语法的数据库安全检测方法 |
| CN111566999A (zh) * | 2017-08-03 | 2020-08-21 | 奥恩全球运营有限公司,新加坡分公司 | 使用不同消息格式的参与者之间的数据共享 |
| CN112055020A (zh) * | 2020-09-04 | 2020-12-08 | 北京明朝万达科技股份有限公司 | 报文筛选方法、装置及数据传输系统 |
| CN116032570A (zh) * | 2022-12-15 | 2023-04-28 | 中国联合网络通信集团有限公司 | 网络访问管理方法、装置、电子设备和存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101252443A (zh) * | 2008-03-20 | 2008-08-27 | 华为技术有限公司 | 检测报文安全性的方法和装置 |
| US20080320567A1 (en) * | 2007-06-20 | 2008-12-25 | Imperva, Inc. | System and method for preventing web frauds committed using client-scripting attacks |
| CN102006246A (zh) * | 2010-11-26 | 2011-04-06 | 中国航天科工集团第二研究院七○六所 | 一种可信隔离网关 |
| CN102045309A (zh) * | 2009-10-14 | 2011-05-04 | 上海可鲁系统软件有限公司 | 一种用于防止计算机病毒攻击的方法和装置 |
-
2011
- 2011-12-01 CN CN201110393961.XA patent/CN103139056B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080320567A1 (en) * | 2007-06-20 | 2008-12-25 | Imperva, Inc. | System and method for preventing web frauds committed using client-scripting attacks |
| CN101252443A (zh) * | 2008-03-20 | 2008-08-27 | 华为技术有限公司 | 检测报文安全性的方法和装置 |
| CN102045309A (zh) * | 2009-10-14 | 2011-05-04 | 上海可鲁系统软件有限公司 | 一种用于防止计算机病毒攻击的方法和装置 |
| CN102006246A (zh) * | 2010-11-26 | 2011-04-06 | 中国航天科工集团第二研究院七○六所 | 一种可信隔离网关 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111566999A (zh) * | 2017-08-03 | 2020-08-21 | 奥恩全球运营有限公司,新加坡分公司 | 使用不同消息格式的参与者之间的数据共享 |
| CN111566999B (zh) * | 2017-08-03 | 2023-05-30 | 奥恩全球运营有限公司,新加坡分公司 | 使用不同消息格式的参与者之间的数据共享 |
| CN110457897A (zh) * | 2019-07-17 | 2019-11-15 | 福建龙田网络科技有限公司 | 一种基于通信协议与sql语法的数据库安全检测方法 |
| CN112055020A (zh) * | 2020-09-04 | 2020-12-08 | 北京明朝万达科技股份有限公司 | 报文筛选方法、装置及数据传输系统 |
| CN116032570A (zh) * | 2022-12-15 | 2023-04-28 | 中国联合网络通信集团有限公司 | 网络访问管理方法、装置、电子设备和存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103139056B (zh) | 2016-08-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7340768B2 (en) | System and method for wireless local area network monitoring and intrusion detection | |
| CN107809433B (zh) | 资产管理方法及装置 | |
| US20140020067A1 (en) | Apparatus and method for controlling traffic based on captcha | |
| US7590844B1 (en) | Decryption system and method for network analyzers and security programs | |
| US20060149848A1 (en) | System, apparatuses, and method for linking and advising of network events related to resource access | |
| AU2022202238B2 (en) | Tunneled monitoring service and methods | |
| CN101588360A (zh) | 内部网络安全管理的相关设备及方法 | |
| MXPA05002559A (es) | Sistema y metodo para monitorear redes inalambricas de forma remota. | |
| CN107276983A (zh) | 一种基于dpi和云同步的流量安全控制方法及系统 | |
| CN103139056A (zh) | 一种安全网关及一种网络数据的交互方法 | |
| CN109150853A (zh) | 基于角色访问控制的入侵检测系统及方法 | |
| CN109600395A (zh) | 一种终端网络接入控制系统的装置及实现方法 | |
| CN111049853A (zh) | 一种基于计算机网络的安全认证系统 | |
| CN106888197A (zh) | 一种网络风险的处理方法和设备 | |
| JP4039361B2 (ja) | ネットワークを用いた分析システム | |
| CN111343193B (zh) | 云网络端口安全防护方法、装置、电子设备及存储介质 | |
| CN105959147A (zh) | 命令存储方法、客户端以及中心服务器 | |
| CN103744992B (zh) | 一种用于访问计算机文件内容的控制方法及系统 | |
| CN111259383A (zh) | 一种安全管理中心系统 | |
| US10523715B1 (en) | Analyzing requests from authenticated computing devices to detect and estimate the size of network address translation systems | |
| KR101186875B1 (ko) | 네트워크 유무선 통합관제 시스템 및 그 방법 | |
| CN111416724A (zh) | 一种服务器入侵检测报警设计方法 | |
| CN117896166A (zh) | 计算机网络的监测方法、装置、设备和存储介质 | |
| CN117786663A (zh) | 一种商用密码应用合规性检测系统及方法 | |
| CN113301053A (zh) | 一种基于可扩展的高性能网络边界防护检测系统及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 100084 No. 2 Building 2A201, 202, No. 1 Yuan, Nongda South Road, Haidian District, Beijing Patentee after: TOLS TIANXIANG NET AN INFORMATION TECHNOLOGY Co.,Ltd. Address before: 100084 No. 2 Building 2A201, 202, No. 1 Yuan, Nongda South Road, Haidian District, Beijing Patentee before: BEIJING TOPWALK INFORMATION TECHNOLOGY Co.,Ltd. |
|
| CP01 | Change in the name or title of a patent holder | ||
| CP02 | Change in the address of a patent holder |
Address after: 100096 101, 1st to 7th floors, Building 3, Yard 6, Jianfeng Road (South Extension), Haidian District, Beijing Patentee after: TOLS TIANXIANG NET AN INFORMATION TECHNOLOGY Co.,Ltd. Address before: 100084 2a201, 202, building 2, yard 1, Nongda South Road, Haidian District, Beijing Patentee before: TOLS TIANXIANG NET AN INFORMATION TECHNOLOGY Co.,Ltd. |
|
| CP02 | Change in the address of a patent holder |