CN103281333A - 数据流的转发方法及装置 - Google Patents
数据流的转发方法及装置 Download PDFInfo
- Publication number
- CN103281333A CN103281333A CN2013102395222A CN201310239522A CN103281333A CN 103281333 A CN103281333 A CN 103281333A CN 2013102395222 A CN2013102395222 A CN 2013102395222A CN 201310239522 A CN201310239522 A CN 201310239522A CN 103281333 A CN103281333 A CN 103281333A
- Authority
- CN
- China
- Prior art keywords
- data flow
- health
- health degree
- firewall policy
- identification information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 35
- 230000036541 health Effects 0.000 claims abstract description 194
- 230000008878 coupling Effects 0.000 claims description 8
- 238000010168 coupling process Methods 0.000 claims description 8
- 238000005859 coupling reaction Methods 0.000 claims description 8
- 238000012545 processing Methods 0.000 claims description 4
- 206010000117 Abnormal behaviour Diseases 0.000 abstract description 5
- 230000003862 health status Effects 0.000 description 7
- 230000008569 process Effects 0.000 description 7
- 230000009471 action Effects 0.000 description 6
- 230000005540 biological transmission Effects 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 5
- 238000011156 evaluation Methods 0.000 description 4
- 238000001514 detection method Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 230000002950 deficient Effects 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000013507 mapping Methods 0.000 description 2
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 230000015572 biosynthetic process Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000000295 complement effect Effects 0.000 description 1
- 239000012141 concentrate Substances 0.000 description 1
- 235000019788 craving Nutrition 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000004069 differentiation Effects 0.000 description 1
- 230000007613 environmental effect Effects 0.000 description 1
- 239000012467 final product Substances 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000003780 insertion Methods 0.000 description 1
- 230000037431 insertion Effects 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 239000000047 product Substances 0.000 description 1
- 238000012827 research and development Methods 0.000 description 1
- 238000012502 risk assessment Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种数据流的转发方法及装置,在上述方法中,根据接收到的数据流的一个或多个标识信息的第一健康度获取数据流的第二健康度,其中,第一健康度和第二健康度均与发送数据流的用户和/或用户设备的访问权限相关联;采用防火墙策略属性集合确定是否对数据流进行转发,其中,防火墙策略属性集合包括:第二健康度。根据本发明提供的技术方案,提高了防火墙对网络攻击或者异常行为的识别能力,降低管理成本。
Description
技术领域
本发明涉及通信领域,具体而言,涉及一种数据流的转发方法及装置。
背景技术
目前,相关技术中的防火墙策略或者访问控制列表(Access Control List,简称为ACL)可以根据数据流中的下层属性来判断是否允许数据流通过。通常情况下,防火墙策略所依据的下层属性可以包括但不限于以下至少之一:源地址、源端口、目的地址、目的端口、协议号、应用类型。而入接口和出接口往往也会成为防火墙策略所依据属性的一部分。
随着科学技术日新月异的发展,国内外厂商已经将更多的考虑因素融入到防火墙策略当中。例如:一些厂商引入了安全域的概念,即利用入接口安全域或者出接口安全域来判断是否允许数据流通过;而一些厂商在现有的防火墙策略的基础上,逐步引入了基于用户的访问控制或者基于角色的访问控制(Role Base Access Control,简称为RBAC)的概念;还有一些厂商在现有的防火墙策略的基础上,引入了认证组的概念,首先将检测到的数据流与防火墙策略所依据的下层属性(包括:源地址、源端口、目的地址、目的端口以及协议号)相匹配,其次通过匹配认证确定该数据流所归属的分组,然后采用第一匹配原则判断是否允许该数据流通过。
下面结合两个具体的应用实例对相关技术中所采用的防火墙策略做进一步的描述。
实例一
表1是根据相关技术的基于用户访问控制的防火墙策略实例一。如表1所示,假设在A公司的安全网关上具备防火墙和安全套接层(Secure Sockets Layer,简称为SSL)虚拟专用网(Virtual Private Network,简称为VPN)的双重功能。当用户从公网上通过SSL VPN接入时,公司内部系统会为该用户发送的流量赋予一个SSL角色,而对于那些远程接入的工程师(Engineers),公司内部系统将为此类用户赋予另一个Engineer角色。
此外,公司内网存在两种个人计算机(PC):一种是专门供工程师使用的,其地址组为Eng IPs;而另一种是除工程师以外的其他人使用的,其地址组为Other-IPs。另外,公司还有三个服务器:电邮服务器(Email Server)、内部服务器(Intranet Server),研发用服务器(EngServer)。
表1
| 组 | 源地址 | 源端口 | 目的地址 | 目的端口 | 协议 | 动作 |
| SSL | Any | Any | Intranet_Server | Any | Any | 不允许 |
| Engineer | Any | Any | Eng_Server | Any | Any | 允许 |
| Any | Eng_IPs | Any | Any | Any | Any | 允许 |
| Any | Any | Any | Email_Server | Any | Any | 允许 |
根据上述表1可以看出,远程接入用户不许访问Intranet Server,工程师无论是采取远程接入的方式还是内部访问的方式都可以访问Eng Server,工程师在内网的PC可以访问内网中全部服务器,其他人无论是采取远程接入的方式还是内部访问的方式都可以访问Email Server去查阅Email。由此可见,在该应用实例中,分别对通过SSL接入的用户以及Engineering群组的用户进行了特殊地控制。
然而,该应用实例存在的缺陷在于:同一个用户如果由于特定原因而影响其安全状态时,用户所访问的系统可能需要给予该用户多种不同的访问权限。而特定原因往往又是多方面的,例如:用户当前使用的设备的安全状态、用户使用了非正常应用、用户的异常举动。在考虑到安全访问因素和用户私有信息的前提下,虽然可以不断创建新的角色,例如:假设有N个用户或者用户组,M个安全因素状态,由此需要产生M×N个角色,但是不断创建的新角色给公司内部系统的管理带来了极大地不便,同时也增加了管理的成本。而从另外一个角度考虑,网络管理员如果希望对发起访问的用户进行可视化管理,实时掌握每个用户的安全策略均会受到哪些因素的影响,为此需要有个直观的呈现。而在用户发起访问时,由于用户的角色在不断的转化,对于可视化管理的渴求也将淹没在用户角色的不断演变中。
实例二
网络准入控制(Network Access Control,简称为NAC)技术是一种在接入时的安全准入技术。该项技术常应用于交换机上。在用户通过PC接入网络时,交换机将会检测PC上的病毒防护软件的升级版本、当前可用补丁、浏览器设置限定以及有效的个人防火墙。该PC只有在通过交换机的一系列检测后,才被允许接入网络。而如果PC没有达到上述各项要求,则交换机不允许其接入网络。在特定情况下,PC还会被划分到一个虚拟局域网(Virtual Local AreaNetwork,简称为VLAN)进行在线修复。
然而,该应用实例存在的缺陷在于:NAC的安全检测以PC设备自身的安全状态为依据。在网络安全设备中,网络攻击或者异常行为的识别是通过网络中的数据流量实现的,而无法根据用户自身的综合风险评估来实现防火墙策略的调整。
发明内容
本发明提供了一种数据流的转发方法及装置,以至少解决相关技术中的防火墙策略缺乏对数据流的健康度进行评估的问题。
根据本发明的一个方面,提供了一种数据流的转发方法。
根据本发明的数据流的转发方法包括:根据接收到的数据流的一个或多个标识信息的第一健康度获取数据流的第二健康度,其中,第一健康度和第二健康度均与发送数据流的用户和/或用户设备的访问权限相关联;采用防火墙策略属性集合确定是否对数据流进行转发,其中,防火墙策略属性集合包括:第二健康度。
优选地,根据一个或多个标识信息的第一健康度获取数据流的第二健康度包括:从当前的健康度评估数据库中查找一个或多个标识信息以及与每个标识信息对应的健康级别;选取最差健康级别确定第二健康度,其中,健康级别与访问权限呈线性相关。
优选地,在从健康度评估数据库中查找一个或多个标识信息以及与每个标识信息对应的健康级别之前,还包括:分别对一个或多个标识信息中的每个标识信息进行健康评分;根据健康评分结果所归属的区间获取与该区间对应的健康级别;将每个标识信息以及与该标识信息对应的健康级别保存在健康度评估数据库中。
优选地,采用防火墙策略属性集合确定是否对数据流进行转发包括:根据第二健康度从防火墙策略表中查找与数据流对应的一条或多条防火墙策略记录;采用防火墙策略属性集合中除第二健康度之外的其他属性对一条或多条防火墙策略记录逐条进行匹配;如果匹配成功,则按照与数据流匹配的防火墙策略记录对数据流进行转发;如果匹配失败,则阻断数据流。
优选地,防火墙策略属性集合还包括以下至少之一:数据流的因特网协议IP五元组信息;发送数据流的源端口或源安全域;接收数据流的目的端口或目的安全域;发送数据流的用户信息或用户组信息或用户角色信息。
优选地,标识信息包括以下至少之一:数据流的源IP地址和/或目的IP地址;数据流的源IP地址和/或目的IP地址所归属的分组;与数据流对应的应用程序;发送数据流的用户信息或用户组信息或用户角色信息;发送数据流的源端口或源安全域;接收数据流的目的端口或目的安全域。
根据本发明的另一方面,提供了一种数据流的转发装置。
根据本发明的数据流的转发装置包括:获取模块,用于根据接收到的数据流的一个或多个标识信息的第一健康度获取数据流的第二健康度,其中,第一健康度和第二健康度均与发送数据流的用户和/或用户设备的访问权限相关联;确定模块,用于采用防火墙策略属性集合确定是否对数据流进行转发,其中,防火墙策略属性集合包括:第二健康度。
优选地,获取模块包括:第一查找单元,用于从当前的健康度评估数据库中查找一个或多个标识信息以及与每个标识信息对应的健康级别;选取单元,用于选取最差健康级别确定第二健康度,其中,健康级别与访问权限呈线性相关。
优选地,获取模块还包括:评分单元,用于分别对一个或多个标识信息中的每个标识信息进行健康评分;获取单元,用于根据健康评分结果所归属的区间获取与该区间对应的健康级别;存储单元,用于将每个标识信息以及与该标识信息对应的健康级别保存在健康度评估数据库中。
优选地,确定模块包括:第二查找单元,用于根据第二健康度从防火墙策略表中查找与数据流对应的一条或多条防火墙策略记录;匹配单元,用于采用防火墙策略属性集合中除第二健康度之外的其他属性对一条或多条防火墙策略记录逐条进行匹配;处理单元,用于在匹配单元匹配成功时,按照与数据流匹配的防火墙策略记录对数据流进行转发;在匹配单元匹配失败时,则阻断数据流。
通过本发明,采用根据接收到的数据流的一个或多个标识信息的第一健康度获取数据流的第二健康度,第一健康度和第二健康度均与发送数据流的用户和/或用户设备的访问权限相关联;采用防火墙策略属性集合确定是否对数据流进行转发,该防火墙策略属性集合包括:第二健康度,由于在防火墙策略属性集合中增加了对数据流健康度的评估,因此解决了相关技术中的防火墙策略缺乏对数据流的健康度进行评估的问题,进而提高了防火墙对网络攻击或者异常行为的识别能力,降低管理成本。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据本发明实施例的数据流的转发方法的流程图;
图2是根据本发明实施例的数据流的转发装置的结构框图;
图3是根据本发明优选实施例的数据流的转发装置的结构框图。
具体实施方式
下文中将参考附图并结合实施例来详细说明本发明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
在以下描述中,除非另外指明,否则将参考由一个或多个计算机执行的动作和操作的符号表示来描述本申请的各实施例。其中,计算机包括个人计算机、服务器、移动终端等各种产品,使用了CPU、单片机、DSP等具有处理芯片的设备均可以称为计算机。由此,可以理解,有时被称为计算机执行的这类动作和操作包括计算机的处理单元对以结构化形式表示数据的电信号的操纵。这一操纵转换了数据或在计算机的存储器系统中的位置上维护它,这以本领域的技术人员都理解的方式重配置或改变了计算机的操作。维护数据的数据结构是具有数据的格式所定义的特定属性的存储器的物理位置。然而,尽管在上述上下文中描述本发明,但它并不意味着限制性的,如本领域的技术人员所理解的,后文所描述的动作和操作的各方面也可用硬件来实现。
转向附图,其中相同的参考标号指代相同的元素,本申请的原理被示为在一个合适的计算环境中实现。以下描述基于所述的本申请的实施例,并且不应认为是关于此处未明确描述的替换实施例而限制本申请。
以下实施例可以应用到计算机中,例如应用到PC中。也可以应用到目前采用了智能操作系统中的移动终端中,并且并不限于此。对于计算机或移动终端的操作系统并没有特殊要求,只要能够检测接触、确定该接触是否与预定规则相符合,以及根据该接触的属性实现相应功能即可。
图1是根据本发明实施例的数据流的转发方法的流程图。如图1所示,该方法可以包括以下处理步骤:
步骤S102:根据接收到的数据流的一个或多个标识信息的第一健康度获取数据流的第二健康度,其中,第一健康度和第二健康度均与发送数据流的用户和/或用户设备的访问权限相关联;
步骤S104:采用防火墙策略属性集合确定是否对数据流进行转发,其中,防火墙策略属性集合包括:第二健康度。
相关技术中,防火墙策略缺乏对数据流的健康度进行评估。采用如图1所示的方法,采用根据接收到的数据流的一个或多个标识信息的第一健康度获取数据流的第二健康度,第一健康度和第二健康度均与发送数据流的用户和/或用户设备的访问权限相关联;采用防火墙策略属性集合确定是否对数据流进行转发,该防火墙策略属性集合包括:第二健康度,由于在防火墙策略属性集合中增加了对数据流健康度的评估,因此解决了相关技术中的防火墙策略缺乏对数据流的健康度进行评估的问题,进而提高了防火墙对网络攻击或者异常行为的识别能力,降低管理成本。
在优选实施过程中,上述防火墙策略属性集合还可以包括但不限于以下至少之一:
(1)数据流的因特网协议IP五元组信息;
(2)发送数据流的源端口或源安全域;
(3)接收数据流的目的端口或目的安全域;
(4)发送数据流的用户信息或用户组信息或用户角色信息。
在优选实施过程中,上述标识信息可以包括但不限于以下至少之一:
(1)数据流的源IP地址和/或目的IP地址;
(2)数据流的源IP地址和/或目的IP地址所归属的分组;
(3)与数据流对应的应用程序;
(4)发送数据流的用户信息或用户组信息或用户角色信息;
(5)发送数据流的源端口或源安全域;
(6)接收数据流的目的端口或目的安全域。
在优选实施例中,可以建立健康度评估数据库,其中,该健康度评估数据库评估的对象为数据流的一个或多个标识信息,具体可以包括但不限于以下至少之一:数据流的源IP地址和/或目的IP地址、数据流的源IP地址和/或目的IP地址所归属的分组、发送数据流的用户信息或用户组信息或用户角色信息、与数据流对应的应用程序(一个或多个IP地址以及端口)、发送数据流的源端口或源安全域、接收数据流的目的端口或目的安全域。健康度评估数据库中的各个对象可以周期性地进行更新。
优选地,在步骤S102中,根据一个或多个标识信息的第一健康度获取数据流的第二健康度可以包括以下步骤:
步骤S1:从当前的健康度评估数据库中查找一个或多个标识信息以及与每个标识信息对应的健康级别;
步骤S2:选取最差健康级别确定第二健康度,其中,健康级别与访问权限呈线性相关。
在优选实施例中,健康级别与访问权限可以呈线性相关,即假设健康级别为x,访问权限为y,则y=kx或者y=-kx,其中,k为正整数。以y=kx为例,健康度可以分为N个等级,其中,可以包括:1级代表健康状态,N级代表不健康状态,2…N―1级代表不同程度的亚健康状态。由此可以得出,健康级别越高,访问权限越低。因此,N级为最差健康级别。
假设防火墙当前接收到的数据流Mj有k个标识信息是上述健康度评估数据库的评估对象,其分别为:Mj1、Mj2…Mjk,每个评估对象(标识信息)对应的健康级别分别为:Health(Mj1)、Health(Mj2)…Health(Mjk),由此可以得到如下计算公式:
Health(Mj)=Max(Health(Mj1)、Health(Mj2)、…、Health(Mjk))
即该数据流的健康度是由上述各个对象中健康级别最高(即最差健康级别)的对象所决定的。
优选地,在步骤S1,从健康度评估数据库中查找一个或多个标识信息以及与每个标识信息对应的健康级别之前,还可以包括以下操作:
步骤S3:分别对一个或多个标识信息中的每个标识信息进行健康评分;
步骤S4:根据健康评分结果所归属的区间获取与该区间对应的健康级别;
步骤S5:将每个标识信息以及与该标识信息对应的健康级别保存在健康度评估数据库中。
在优选实施例中,可以设置健康评分,即不同区间的健康评分可以与不同级别的健康度建立映射关系。例如:假设当前的健康度评估分为3个级别,即1级代表健康状态、2级代表亚健康状态、3级代表不健康状态;同时还设立了评分机制,以0―100的评分标准为例,可以将其划分为3个区间并分别与不同的健康度建立映射关系,即80―100对应健康状态、20―79对应亚健康状态、0―19对应不健康状态。由此可见,评分标准可以作为一种粒度更加细化的健康评估的可视化手段。
需要说明的是,上述评分方式仅是本发明提供的一种优选实施方式而并非构成对本发明的限定,只要能够确保每个数据流的健康度是由其各个标识信息中健康度最差(即健康级别最高)的标识信息所决定的评分方式均可以被本发明所采用。
优选地,在步骤S104中,采用防火墙策略属性集合确定是否对数据流进行转发可以包括以下步骤:
步骤S6:根据第二健康度从防火墙策略表中查找与数据流对应的一条或多条防火墙策略记录;
步骤S7:采用防火墙策略属性集合中除第二健康度之外的其他属性对一条或多条防火墙策略记录逐条进行匹配;
步骤S8:如果匹配成功,则按照与数据流匹配的防火墙策略记录对数据流进行转发;如果匹配失败,则阻断数据流。
防火墙通常以“链表数组”的形式组织与管理流,该“链表数组”通常又被称为“流表”。以传输控制协议(Transfer Control Protocol,简称为TCP)报文为例,防火墙通常可以采用IP五元组(源IP地址、目的IP地址、源端口、目的端口以及IP协议号)对TCP流进行标识。每当接收到TCP报文时,防火墙便会对该TCP报文进行解析,然后从报头提取出源IP地址、目的IP地址、源端口、目的端口以及IP协议号,并将五元组经过哈希(HASH)运算,从而得到HASH运算的结果,作为“流表”的索引。在“流表”的索引值为上述HASH运算结果的位置处是一条“流”记录链表,换言之,该链表的每个节点便是一个“流”记录,而每个“流”的五元组的HASH运算结果都与上述HASH运算结果相同。防火墙可以将该TCP报文的五元组与链表上的每个节点所记录的五元组逐个进行匹配,如果能够匹配,表示该报文所归属的“流”已经存在;否则,防火墙在确定该TCP报文符合创建新连接的条件后,将创建一个“流”,添加到在“流表”的索引值为上述HASH运算结果位置处的“流”链表上,以记录该报文所归属连接的上下文环境。为此,防火墙需要重新创建一个“流”记录的报文,通常称之为“首报文”。当然,在将上述TCP报文与防火墙策略进行匹配的过程中,除了采用上述IP五元组(源IP地址、目的IP地址、源端口、目的端口以及IP协议号)之外,还可以采用以下一项或多项策略所依据的下层属性进行综合匹配:
(1)源接口或源安全域;
(2)目的接口或目的安全域;
(3)用户或用户组或角色。
作为本发明的一个优选实施例,本发明所提供的技术方案在现有的防火墙策略所依据的下层属性集合的基础上,还可以加入健康度属性做进一步地匹配。
在该优选实施例中,首先,针对接收到的数据流从上述健康度评估数据库中查找与该数据流对应的全部对象,例如:该数据流属于用户T1、应用T2、其中携带的源IP地址和/或目的IP地址属于IP组T3;然后,因为该数据流的健康度是由上述各个对象中健康度最差(即健康级别最高)的对象所决定的,为此,可以采用如下公式计算该数据流S的健康度结果:
Health(S)=Max(Health(T1),Health(T2),Health(T3))。
由此可见,本发明所提供的防火墙策略所依据的下层属性可以包括但不限于以下至少之一:
(1)健康度(包括:N个健康级别);
(2)IP五元组(源IP地址、目的IP地址、源端口、目的端口以及IP协议号);
(3)源接口或源安全域;
(4)目的接口或目的安全域;
(5)用户或用户组或角色;
(6)动作,其中,可以包括以下之一:允许、拒绝、限流、连接数限制。
如果上述健康度评估数据库中的一个或多个对象的健康级别发生变化,那么在流表中与发生变化的一个或多个对象相关的流记录则需要重新进行策略匹配。
需要说明的是,在防火墙中设置的流表主要是用于对网络数据流量进行快速转发。如果当前接收的数据流在流表中无法找到与之匹配的流记录时,那么则需要利用防火墙策略表进行查找以决定是否建立相应的流记录进而插入流表。而当在防火墙策略表中查找与接收到的数据流相对应的防火墙策略记录时,既可以采用先对健康度信息进行匹配,然后再对其他属性信息(例如:IP五元组信息)进行匹配;当然还可以采用同时对多种属性信息进行匹配。
下面结合表2和表3所示的优选实施方式对上述优选实施过程做进一步的描述。
表2是根据本发明优选实施例的健康度评估对象与健康度对照表。如表2所示,在当前网络中存在4台PC(分别为PC1、PC2、PC3和PC4),以健康度评估对象是IP地址为例(即数据流的源IP地址标识信息),PC1的源IP地址是10.0.0.1,PC2的源IP地址是10.0.0.2,PC3的源IP地址是10.0.0.3,PC4的源IP地址是10.0.0.4。
根据动态健康度检测结果:源IP地址是10.0.0.1的PC1和源IP地址是10.0.0.4的PC4为健康状态,源IP地址是10.0.0.2的PC2为亚健康状态,源IP地址是10.0.0.3的PC3为不健康状态。
表2
| 对象(源IP地址) | 健康度 |
| 10.0.0.1 | 健康 |
| 10.0.0.2 | 亚健康 |
| 10.0.0.3 | 不健康 |
| 10.0.0.4 | 健康 |
表3是根据本发明优选实施例的基于表2的防火墙策略信息表。如表3所示,防火墙策略如下:
表3
| 健康状态 | 用户/组 | 源地址 | 源端口 | 目的地址 | 目的端口 | 协议 | 动作 |
| 不健康 | Any | Any | Any | Internet | Any | Any | 允许 |
| 不健康 | Any | Any | Any | Any | Any | Any | 不允许 |
| 健康 | Finance | Any | Any | ERP_Svr | Any | Any | 允许 |
| 健康,亚健康 | Any | Any | Any | Email_Svr | Any | Any | 允许 |
由表3可以看出,处于不健康状态的PC3只允许访问互联网,而不允许访问其他服务器;处于亚健康状态的PC2只能访问Email Server;处于健康状态的PC1和PC4可以访问EmailServer,而Finance用户组则可以访问ERP Server。
由此可见,上述4台PC可以根据彼此的健康度而获得不同的访问权限。当网络中的攻击检测或者发生其他影响健康度评分/健康状态的检测引起PC健康度发生变化时,相应地,PC会因为健康度的改变而被赋予新的访问权限。
图2是根据本发明实施例的数据流的转发装置的结构框图。如图2所示,该数据流的转发装置可以包括:获取模块10,用于根据接收到的数据流的一个或多个标识信息的第一健康度获取数据流的第二健康度,其中,第一健康度和第二健康度均与发送数据流的用户和/或用户设备的访问权限相关联;确定模块20,用于采用防火墙策略属性集合确定是否对数据流进行转发,其中,防火墙策略属性集合包括:第二健康度。
采用如图2所示的装置,解决了相关技术中的防火墙策略缺乏对数据流的健康度进行评估的问题,进而提高了防火墙对网络攻击或者异常行为的识别能力,降低管理成本。
优选地,如图3所示,获取模块10可以包括:第一查找单元100,用于从当前的健康度评估数据库中查找一个或多个标识信息以及与每个标识信息对应的健康级别;选取单元102,用于选取最差健康级别确定第二健康度,其中,健康级别与访问权限呈线性相关。
优选地,如图3所示,获取模块10还可以包括:评分单元104,用于分别对一个或多个标识信息中的每个标识信息进行健康评分;获取单元106,用于根据健康评分结果所归属的区间获取与该区间对应的健康级别;存储单元108,用于将每个标识信息以及与该标识信息对应的健康级别保存在健康度评估数据库中。
优选地,如图3所示,确定模块20可以包括:第二查找单元200,用于根据第二健康度从防火墙策略表中查找与数据流对应的一条或多条防火墙策略记录;匹配单元202,用于采用防火墙策略属性集合中除第二健康度之外的其他属性对一条或多条防火墙策略记录逐条进行匹配;处理单元204,用于在匹配单元匹配成功时,按照与数据流匹配的防火墙策略记录对数据流进行转发;在匹配单元匹配失败时,则阻断数据流。
从以上的描述中,可以看出,上述实施例实现了如下技术效果(需要说明的是这些效果是某些优选实施例可以达到的效果):本发明所提供的技术方案可以支持基于健康度的访问控制,对不同风险的流量可以采取不同的控制方式。此外,安全控制方式还可以随着风险的变化而进行动态调整。健康度作为风险的总体评估,可以有效地将风险评估过程与基于风险的控制相分离,可以动态地增加或减少风险评估的项目而不影响防火墙策略的配置,从而提高了系统管理的易用性。新增健康度/安全状态的控制的防火墙策略可以保持原有的防火墙策略的自然序列以及第一匹配原则,实现与现有防火墙策略相互兼容。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种数据流的转发方法,其特征在于,包括:
根据接收到的数据流的一个或多个标识信息的第一健康度获取所述数据流的第二健康度,其中,所述第一健康度和所述第二健康度均与发送所述数据流的用户和/或用户设备的访问权限相关联;
采用防火墙策略属性集合确定是否对所述数据流进行转发,其中,所述防火墙策略属性集合包括:所述第二健康度。
2.根据权利要求1所述的方法,其特征在于,根据所述一个或多个标识信息的所述第一健康度获取所述数据流的所述第二健康度包括:
从当前的健康度评估数据库中查找所述一个或多个标识信息以及与每个标识信息对应的健康级别;
选取最差健康级别确定所述第二健康度,其中,所述健康级别与所述访问权限呈线性相关。
3.根据权利要求2所述的方法,其特征在于,在从所述健康度评估数据库中查找所述一个或多个标识信息以及所述与每个标识信息对应的健康级别之前,还包括:
分别对所述一个或多个标识信息中的每个标识信息进行健康评分;
根据健康评分结果所归属的区间获取与该区间对应的健康级别;
将所述每个标识信息以及与该标识信息对应的健康级别保存在所述健康度评估数据库中。
4.根据权利要求1所述的方法,其特征在于,采用所述防火墙策略属性集合确定是否对所述数据流进行转发包括:
根据所述第二健康度从防火墙策略表中查找与所述数据流对应的一条或多条防火墙策略记录;
采用所述防火墙策略属性集合中除所述第二健康度之外的其他属性对所述一条或多条防火墙策略记录逐条进行匹配;
如果匹配成功,则按照与所述数据流匹配的防火墙策略记录对所述数据流进行转发;如果匹配失败,则阻断所述数据流。
5.根据权利要求1至4中任一项所述的方法,其特征在于,所述防火墙策略属性集合还包括以下至少之一:
所述数据流的因特网协议IP五元组信息;
发送所述数据流的源端口或源安全域;
接收所述数据流的目的端口或目的安全域;
发送所述数据流的用户信息或用户组信息或用户角色信息。
6.根据权利要求1至4中任一项所述的方法,其特征在于,所述标识信息包括以下至少之一:
所述数据流的源IP地址和/或目的IP地址;
所述数据流的源IP地址和/或目的IP地址所归属的分组;
与所述数据流对应的应用程序;
发送所述数据流的用户信息或用户组信息或用户角色信息;
发送所述数据流的源端口或源安全域;
接收所述数据流的目的端口或目的安全域。
7.一种数据流的转发装置,其特征在于,包括:
获取模块,用于根据接收到的数据流的一个或多个标识信息的第一健康度获取所述数据流的第二健康度,其中,所述第一健康度和所述第二健康度均与发送所述数据流的用户和/或用户设备的访问权限相关联;
确定模块,用于采用防火墙策略属性集合确定是否对所述数据流进行转发,其中,所述防火墙策略属性集合包括:所述第二健康度。
8.根据权利要求7所述的装置,其特征在于,所述获取模块包括:
第一查找单元,用于从当前的健康度评估数据库中查找所述一个或多个标识信息以及与每个标识信息对应的健康级别;
选取单元,用于选取最差健康级别确定所述第二健康度,其中,所述健康级别与所述访问权限呈线性相关。
9.根据权利要求8所述的装置,其特征在于,所述获取模块还包括:
评分单元,用于分别对所述一个或多个标识信息中的每个标识信息进行健康评分;
获取单元,用于根据健康评分结果所归属的区间获取与该区间对应的健康级别;
存储单元,用于将所述每个标识信息以及与该标识信息对应的健康级别保存在所述健康度评估数据库中。
10.根据权利要求7所述的装置,其特征在于,所述确定模块包括:
第二查找单元,用于根据所述第二健康度从防火墙策略表中查找与所述数据流对应的一条或多条防火墙策略记录;
匹配单元,用于采用所述防火墙策略属性集合中除所述第二健康度之外的其他属性对所述一条或多条防火墙策略记录逐条进行匹配;
处理单元,用于在所述匹配单元匹配成功时,按照与所述数据流匹配的防火墙策略记录对所述数据流进行转发;在所述匹配单元匹配失败时,则阻断所述数据流。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310239522.2A CN103281333B (zh) | 2013-06-17 | 2013-06-17 | 数据流的转发方法及装置 |
| US14/449,109 US9954898B2 (en) | 2013-06-17 | 2014-07-31 | Data flow forwarding method and device |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310239522.2A CN103281333B (zh) | 2013-06-17 | 2013-06-17 | 数据流的转发方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103281333A true CN103281333A (zh) | 2013-09-04 |
| CN103281333B CN103281333B (zh) | 2016-12-28 |
Family
ID=49063780
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310239522.2A Active CN103281333B (zh) | 2013-06-17 | 2013-06-17 | 数据流的转发方法及装置 |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US9954898B2 (zh) |
| CN (1) | CN103281333B (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9311123B2 (en) | 2013-07-02 | 2016-04-12 | Hillstone Networks, Corp. | Distributed virtual security appliance and flow-based forwarding system using virtual machines |
| CN106664245A (zh) * | 2014-08-19 | 2017-05-10 | 高通股份有限公司 | 使用多连接来对业务进行多播 |
| WO2018161802A1 (zh) * | 2017-03-09 | 2018-09-13 | 华为技术有限公司 | 一种业务流的控制方法及装置 |
| CN108650215A (zh) * | 2018-03-19 | 2018-10-12 | 山东超越数控电子股份有限公司 | 一种基于标签的网安设备网络数据流预处理方法 |
| CN109995794A (zh) * | 2019-04-15 | 2019-07-09 | 深信服科技股份有限公司 | 一种安全防护系统、方法、设备及存储介质 |
| CN111147528A (zh) * | 2020-04-03 | 2020-05-12 | 四川新网银行股份有限公司 | 管理网络安全策略的方法 |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10097546B2 (en) * | 2015-07-22 | 2018-10-09 | Verizon Patent And Licensing Inc. | Authentication of a user device using traffic flow information |
| US10637828B2 (en) | 2017-09-17 | 2020-04-28 | Mellanox Technologies, Ltd. | NIC with stateful connection tracking |
| US10547553B2 (en) * | 2017-09-17 | 2020-01-28 | Mellanox Technologies, Ltd. | Stateful connection tracking |
| US10820194B2 (en) * | 2018-10-23 | 2020-10-27 | Duo Security, Inc. | Systems and methods for securing access to computing resources by an endpoint device |
| CN111147519A (zh) * | 2019-12-31 | 2020-05-12 | 奇安信科技集团股份有限公司 | 数据检测方法、装置、电子设备和介质 |
| CN114024765B (zh) * | 2021-11-15 | 2022-07-22 | 北京智维盈讯网络科技有限公司 | 基于旁路流量与防火墙配置相结合的防火墙策略收敛方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1620034A (zh) * | 2003-11-21 | 2005-05-25 | 维豪信息技术有限公司 | 认证网关及其数据处理方法 |
| EP1819126A1 (en) * | 2006-02-10 | 2007-08-15 | 3COM Corporation | Bi-planar network architecture |
| CN101719899A (zh) * | 2008-10-09 | 2010-06-02 | 丛林网络公司 | 用于网络安全装置的具有端口限制的动态访问控制策略 |
| CN101917450A (zh) * | 2010-08-31 | 2010-12-15 | 华为技术有限公司 | 防止网络攻击的报文转发方法和网关 |
| US8291468B1 (en) * | 2009-03-30 | 2012-10-16 | Juniper Networks, Inc. | Translating authorization information within computer networks |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8065712B1 (en) * | 2005-02-16 | 2011-11-22 | Cisco Technology, Inc. | Methods and devices for qualifying a client machine to access a network |
| US20060259980A1 (en) * | 2005-05-16 | 2006-11-16 | Microsoft Corporation | Method and system for limiting rights of services |
| US20070124803A1 (en) * | 2005-11-29 | 2007-05-31 | Nortel Networks Limited | Method and apparatus for rating a compliance level of a computer connecting to a network |
| US7882538B1 (en) * | 2006-02-02 | 2011-02-01 | Juniper Networks, Inc. | Local caching of endpoint security information |
| US20080082662A1 (en) * | 2006-05-19 | 2008-04-03 | Richard Dandliker | Method and apparatus for controlling access to network resources based on reputation |
| US7886335B1 (en) * | 2007-07-12 | 2011-02-08 | Juniper Networks, Inc. | Reconciliation of multiple sets of network access control policies |
| US9495538B2 (en) * | 2008-09-25 | 2016-11-15 | Symantec Corporation | Graduated enforcement of restrictions according to an application's reputation |
| US8561182B2 (en) * | 2009-01-29 | 2013-10-15 | Microsoft Corporation | Health-based access to network resources |
-
2013
- 2013-06-17 CN CN201310239522.2A patent/CN103281333B/zh active Active
-
2014
- 2014-07-31 US US14/449,109 patent/US9954898B2/en active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1620034A (zh) * | 2003-11-21 | 2005-05-25 | 维豪信息技术有限公司 | 认证网关及其数据处理方法 |
| EP1819126A1 (en) * | 2006-02-10 | 2007-08-15 | 3COM Corporation | Bi-planar network architecture |
| CN101719899A (zh) * | 2008-10-09 | 2010-06-02 | 丛林网络公司 | 用于网络安全装置的具有端口限制的动态访问控制策略 |
| US8291468B1 (en) * | 2009-03-30 | 2012-10-16 | Juniper Networks, Inc. | Translating authorization information within computer networks |
| CN101917450A (zh) * | 2010-08-31 | 2010-12-15 | 华为技术有限公司 | 防止网络攻击的报文转发方法和网关 |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9311123B2 (en) | 2013-07-02 | 2016-04-12 | Hillstone Networks, Corp. | Distributed virtual security appliance and flow-based forwarding system using virtual machines |
| CN106664245A (zh) * | 2014-08-19 | 2017-05-10 | 高通股份有限公司 | 使用多连接来对业务进行多播 |
| CN106664245B (zh) * | 2014-08-19 | 2020-06-09 | 高通股份有限公司 | 使用多连接来对业务进行多播 |
| US11323851B2 (en) | 2014-08-19 | 2022-05-03 | Qualcomm Incorporated | Multicasting traffic using multi-connectivity |
| WO2018161802A1 (zh) * | 2017-03-09 | 2018-09-13 | 华为技术有限公司 | 一种业务流的控制方法及装置 |
| US11356416B2 (en) | 2017-03-09 | 2022-06-07 | Huawei Technologies Co., Ltd. | Service flow control method and apparatus |
| CN108650215A (zh) * | 2018-03-19 | 2018-10-12 | 山东超越数控电子股份有限公司 | 一种基于标签的网安设备网络数据流预处理方法 |
| CN109995794A (zh) * | 2019-04-15 | 2019-07-09 | 深信服科技股份有限公司 | 一种安全防护系统、方法、设备及存储介质 |
| CN111147528A (zh) * | 2020-04-03 | 2020-05-12 | 四川新网银行股份有限公司 | 管理网络安全策略的方法 |
| CN111147528B (zh) * | 2020-04-03 | 2020-08-21 | 四川新网银行股份有限公司 | 管理网络安全策略的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20170070535A9 (en) | 2017-03-09 |
| CN103281333B (zh) | 2016-12-28 |
| US20160036856A1 (en) | 2016-02-04 |
| US9954898B2 (en) | 2018-04-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103281333A (zh) | 数据流的转发方法及装置 | |
| Stevanovic et al. | Detection of malicious and non-malicious website visitors using unsupervised neural network learning | |
| Jiang et al. | Identifying suspicious activities through dns failure graph analysis | |
| Ganapathy et al. | Intelligent Agent‐Based Intrusion Detection System Using Enhanced Multiclass SVM | |
| EP2933973A1 (en) | Data protection method, apparatus and system | |
| AU2015403433A1 (en) | System and method for high speed threat intelligence management using unsupervised machine learning and prioritization algorithms | |
| CN104509034A (zh) | 模式合并以识别恶意行为 | |
| Chen et al. | FCM technique for efficient intrusion detection system for wireless networks in cloud environment | |
| Anand et al. | A rule based approach for attribute selection and intrusion detection in wireless sensor networks | |
| CN107733867A (zh) | 一种发现僵尸网络及防护的方法和系统 | |
| Uddin et al. | Intrusion detection system to detect DDoS attack in gnutella hybrid P2P network | |
| Ding et al. | Research and implementation on snort-based hybrid intrusion detection system | |
| WO2023093638A1 (zh) | 异常数据识别方法、装置、设备和存储介质 | |
| Teng et al. | A cooperative intrusion detection model for cloud computing networks | |
| de Oliveira et al. | An access control for IoT based on network community perception and social trust against Sybil attacks | |
| Huang et al. | Socialwatch: detection of online service abuse via large-scale social graphs | |
| CN108322454B (zh) | 一种网络安全检测方法及装置 | |
| CN108900516A (zh) | 一种网络空间漏洞归并平台分布服务系统 | |
| Li et al. | A hierarchical mobile‐agent‐based security operation center | |
| Doss et al. | Packet integrity defense mechanism in OppNets | |
| CN116668078A (zh) | 一种互联网入侵安全防御系统 | |
| CN103078771B (zh) | 基于p2p的僵尸网络分布式协作检测系统和方法 | |
| Fazal et al. | A systematic literature review on the security challenges of Internet of Things and their classification | |
| Sharma et al. | Recent trend in Intrusion detection using Fuzzy-Genetic algorithm | |
| CN115567237A (zh) | 基于知识图谱的网络安全评估方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C53 | Correction of patent of invention or patent application | ||
| CB02 | Change of applicant information |
Address after: 215163 Jiangsu city of Suzhou province high tech Industrial Development Zone, kolding Road No. 78 Su Gaoxin Software Park Building 7 layer 3 Applicant after: HILLSTONE NETWORKS Address before: 215163 Jiangsu city of Suzhou province high tech Zone (Suzhou city) kolding Road No. 78 Gaoxin Software Park Building 7 floor 3 Applicant before: Suzhou Shanshi Network Co., Ltd. |
|
| COR | Change of bibliographic data |
Free format text: CORRECT: APPLICANT; FROM: SUZHOU SHANSHI NETWORK CO., LTD. TO: HILLSTONE NETWORKS COMMUNICATION TECHNOLOGY CO., LTD. |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CB03 | Change of inventor or designer information |
Inventor after: Liu Xiangming Inventor after: Wang Zhong Inventor after: Zhang Lingling Inventor after: Jia Bin Inventor after: Luo Dongping Inventor before: Liu Xiangming Inventor before: Wang Zhong Inventor before: Zhang Lingling Inventor before: Jia Bin |
|
| CB03 | Change of inventor or designer information | ||
| CP03 | Change of name, title or address | ||
| CP03 | Change of name, title or address |
Address after: 215163 No. 181 Jingrun Road, Suzhou High-tech Zone, Jiangsu Province Patentee after: SHANSHI NETWORK COMMUNICATION TECHNOLOGY CO., LTD. Address before: 215163 3rd Floor, 7th Building, No. 78 Keling Road, Suzhou High-tech Industrial Development Zone, Jiangsu Province Patentee before: HILLSTONE NETWORKS |