CN105162763A - 通讯数据的处理方法和装置 - Google Patents
通讯数据的处理方法和装置 Download PDFInfo
- Publication number
- CN105162763A CN105162763A CN201510456893.5A CN201510456893A CN105162763A CN 105162763 A CN105162763 A CN 105162763A CN 201510456893 A CN201510456893 A CN 201510456893A CN 105162763 A CN105162763 A CN 105162763A
- Authority
- CN
- China
- Prior art keywords
- user terminal
- communication data
- described user
- access
- data packets
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种通讯数据的处理方法和装置。其中,该方法包括:接收用户终端发送的通讯数据包;判断用户终端是否有权限访问外网;在判断出用户终端有权限访问外网的情况下,从通讯数据包中读取用户终端请求访问的目标服务器的账号信息;在账号信息与用户终端的预设账号信息相匹配的情况下,将通讯数据包发送至目标服务器,从而解决了现有技术中防火墙安全性低的技术问题,实现了提高防火墙的安全性的效果。
Description
技术领域
本发明涉及互联网领域,具体而言,涉及一种通讯数据的处理方法和装置。
背景技术
使用下一代防火墙(即NGFW)技术,可以有效的实现识别用户、控制用户、监控用户等功能。在实现控制用户这个功能时,对用户的控制仅限于允许访问哪些应用和业务、不允许访问哪些应用和业务,而没有考虑到用户对允许访问的业务是否存在越权或伪冒他人账号访问该业务的情形。如在某公司的防火墙中限定了只有财务部门的员工可以访问公司的财务数据,假设财务数据在一个FTP服务器上,为了确保财务数据的安全,财务部门的每个员工对不同类型的财务数据的访问权限又有所不同。当员工访问财务数据时只能通过自己的电脑访问有权限的财务数据,防火墙可以通过Content_ID(即内容标识)获知用户正在访问什么数据,如收纳员在使用自己的FTP账号和密码在自己的电脑上访问财务部门的财务数据时,防火墙可以通过Content_ID来确定收纳员访问该财务数据的行为是否合法,但是如果收纳员在自己的电脑上使用了薪酬专员的FTP账号和密码来访问只有薪酬专员才能访问的财务数据时,防火墙也会认为这个访问是一个合法的行为,防火墙无法防止这种访问行为造成的信息泄露。
针对现有技术中防火墙安全性低的技术问题,目前尚未提出有效的解决方案。
发明内容
本发明实施例提供了一种通讯数据的处理方法和装置,以至少解决现有技术中防火墙安全性低的技术问题。
根据本发明实施例的一个方面,提供了一种通讯数据的处理方法,该处理方法包括:接收用户终端发送的通讯数据包;判断用户终端是否有权限访问外网;在判断出用户终端有权限访问外网的情况下,从通讯数据包中读取用户终端请求访问的目标服务器的账号信息;在账号信息与用户终端的预设账号信息相匹配的情况下,将通讯数据包发送至目标服务器。
进一步地,从通讯数据包中读取用户终端请求访问的目标服务器的账号信息包括:从通讯数据包中读取应用标识,其中,应用标识为用户终端请求访问的目标应用的标识;根据应用标识判断目标应用是否验证用户终端的合法性;在判断出需要验证用户终端的合法性的情况下,从通讯数据包中读取用户终端请求访问的目标服务器的账号信息。
进一步地,在根据应用标识判断目标应用是否验证用户终端的合法性之后,该处理方法还包括:在判断出不需要验证用户终端的合法性的情况下或从通讯数据包中读取账号信息失败时,将通讯数据包发送至目标服务器。
进一步地,判断用户终端是否有权限访问外网包括:从通讯数据包中读取用户终端的IP地址;从数据库中读取与IP地址对应的用户终端的标识;若用户终端的标识在预设终端标识集合内,则确定用户终端有权限访问外网;若用户终端的标识不在预设终端标识集合内,则确定用户终端没有权限访问外网。
进一步地,在从数据库中读取与IP地址对应的用户终端的标识之前,该处理方法还包括:在用户终端第一次访问外网时,从用户终端的通讯数据包中读取用户终端的IP地址;按照预定格式生成用户终端的标识,并建立用户终端的标识与IP地址的映射关系;将映射关系存入数据库。
进一步地,在从通讯数据包中读取用户终端请求访问的目标服务器的账号信息之后,该处理方法还包括:在账号信息与预设账号信息不匹配的情况下,确定用户终端发起的访问为非法访问,并将非法访问的信息写入日志。
根据本发明实施例的另一方面,还提供了一种通讯数据的处理装置,该处理装置包括:接收模块,用于接收用户终端发送的通讯数据包;第一判断模块,用于判断用户终端是否有权限访问外网;第一读取模块,用于在判断出用户终端有权限访问外网的情况下,从通讯数据包中读取用户终端请求访问的目标服务器的账号信息;第一发送模块,用于在账号信息与用户终端的预设账号信息相匹配的情况下,将通讯数据包发送至目标服务器。
进一步地,第一读取模块包括:第二读取模块,用于从通讯数据包中读取应用标识,其中,应用标识为用户终端请求访问的目标应用的标识;第二判断模块,用于根据应用标识判断目标应用是否验证用户终端的合法性;第三读取模块,用于在判断出需要验证用户终端的合法性的情况下,从通讯数据包中读取用户终端请求访问的目标服务器的账号信息。
进一步地,该处理装置还包括:第二发送模块,用于在根据应用标识判断目标应用是否验证用户终端的合法性之后,在判断出不需要验证用户终端的合法性的情况下或从通讯数据包中读取账号信息失败时,将通讯数据包发送至目标服务器。
进一步地,第一判断模块包括:第四读取模块,用于从通讯数据包中读取用户终端的IP地址;第五读取模块,用于从数据库中读取与IP地址对应的用户终端的标识;第一确定模块,用于若用户终端的标识在预设终端标识集合内,则确定用户终端有权限访问外网;第二确定模块,用于若用户终端的标识不在预设终端标识集合内,则确定用户终端没有权限访问外网。
进一步地,该处理装置还包括:第六读取模块,用于在从数据库中读取与IP地址对应的用户终端的标识之前,在用户终端第一次访问外网时,从用户终端的通讯数据包中读取用户终端的IP地址;生成模块,用于按照预定格式生成用户终端的标识,并建立用户终端的标识与IP地址的映射关系;保存模块,用于将映射关系存入数据库。
进一步地,该处理装置还包括:第三确定模块,用于在从通讯数据包中读取用户终端请求访问的目标服务器的账号信息之后,在账号信息与预设账号信息不匹配的情况下,确定用户终端发起的访问为非法访问,并将非法访问的信息写入日志。
采用本发明,在用户访问外网时,根据接收到的用户终端发送的通讯数据包判断该用户终端是否有权限访问外网,在判断出该用户终端有权限访问外网的情况下,从通讯数据包中读取用户终端请求访问的目标服务器的账号信息,若账号信息与用户终端所对应的预设账号信息相匹配,则确定这是一个安全合法的访问,并将通讯数据包发送至目标服务器,从而解决了现有技术中防火墙安全性低的技术问题,实现了提高防火墙的安全性的效果。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据本发明实施例的通讯数据的处理方法的流程图;
图2是根据本发明实施例的一种可选的防火墙系统示意图;
图3是根据本发明实施例的一种可选的处理通讯数据的流程图;以及
图4是根据本发明实施例的通讯数据的处理装置的示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
首先,在对本发明实施例进行描述的过程中出现的部分名词或术语适用于如下解释:
下一代防火墙:英文全称是NextGenerationFirewall,简称为NGFW,具有标准的防火墙功能,如网络地址转换、状态检测,还具有VPN和大企业需要的功能,如IPS、AV、行为管理等功能。PaloAlto在推出NGFW的概念的同时,也创新性的提出了三个网络安全检测和控制的维度的元素,并将这三个元素引入NGFW,这三个元素分别为App_ID(即应用标识)、User_ID(即用户标识)、Content_ID(即内容标识)。其中,App_ID用于识别应用,User_ID用于识别用户,而Content_ID用于识别内容。基于这三个维度,可以准确当前数据流量来自哪个用户,是什么应用,以及可以针对不用的应用做深层的内容安全检查、内容过滤、防敏感信息泄露等处理。
文本传输协议:英文全称FileTransferProtocol,简称FTP,用于Internet上的控制文件的双向传输。同时,它也是一个应用程序,基于不同的操作系统有不同的FTP应用程序,而所有这些应用程序都遵守同一种协议以传输文件。
FTP服务器:是在互联网上提供文件存储和访问服务的计算机,它们依照FTP协议提供服务。
活动目录:英文全称是ActiveDirectory,简称AD,是面向WindowsStandardServer、WindowsEnterpriseServer以及WindowsDatacenterServer的目录服务。它为用户管理网络环境各个组成要素的标识和关系提供了一种有力的手段。
安全域:是指同一系统内有相同的安全保护需求,相互信任,并具有相同的安全访问控制和边界控制策略的子网或网络,且相同的网络安全域共享一样的安全策略。广义可理解为具有相同业务要求和安全要求的IT系统要素的集合。
根据本发明实施例,提供了一种通讯数据的处理方法的方法实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
图1是根据本发明实施例的通讯数据的处理方法的流程图,如图1所示,该处理方法包括如下步骤:
步骤S102,接收用户终端发送的通讯数据包。
防火墙内部的终端与外部的终端进行通讯的数据需要经过防火墙来转发,因此,在用户利用用户终端访问外网时,发送至外网的目标服务器的通讯数据包会先发送到防火墙。
步骤S104,判断用户终端是否有权限访问外网。
防火墙根据通讯数据包所携带的信息判断发送该通讯数据包的用户终端是否有权限访问外网,由于用户终端和用户存在着对应关系,所以可以间接地根据用户终端来验证用户是否有权限访问外网。
步骤S106,在判断出用户终端有权限访问外网的情况下,从通讯数据包中读取用户终端请求访问的目标服务器的账号信息。
若根据通讯数据包判断出该用户终端(或用户)有权限访问外网,则从用户终端发出的通讯数据包中读取用于登录目标服务器的账号信息。
步骤S108,在账号信息与用户终端的预设账号信息相匹配的情况下,将通讯数据包发送至目标服务器。
每个用户终端(或用户)都有用于登录目标服务器的账号和密码(即预设账号信息),在用户终端访问目标服务器时,若从通讯数据包中读取到的账号信息与预设账号信息不匹配,则可以确定该用户不是在用自己的账号信息登录目标服务器,或者该用户是在不安全的用户终端上使用自己的账号信息登录,防火墙会认为该访问不合法,若读取到的账号信息与预设账号信息匹配,则认为这是一个安全合法的访问,并将通讯数据包发送至目标服务器。
通过上述实施例,在用户访问外网时,根据接收到的用户终端发送的通讯数据包判断该用户终端是否有权限访问外网,在判断出该用户终端有权限访问外网的情况下,从通讯数据包中读取用户终端请求访问的目标服务器的账号信息,若账号信息与用户终端所对应的预设账号信息相匹配,则确定这是一个安全合法的访问,并将通讯数据包发送至目标服务器,从而解决了现有技术中防火墙安全性低的技术问题,提高了防火墙的安全性。
在一个可选地实施例中,在从数据库中读取与IP地址对应的用户终端的标识之前,该处理方法还可以包括:在用户终端第一次访问外网时,从用户终端的通讯数据包中读取用户终端的IP地址;按照预定格式生成用户终端的标识,并建立用户终端的标识与IP地址的映射关系;将映射关系存入数据库。
下面结合图2详述本发明的实施例。
具体地,在公司内部,员工都分配有自己的办公电脑及相应的访问公司服务器的账号,公司的防火墙(即NGFW)允许办公区的用户终端和外部的匿名电脑访问服务器区的各类服务器,在用户通过办公电脑或匿名电脑访问服务器时,会在防火墙端自动生成该用户终端(即办公电脑或匿名电脑)的标识,并将该标识和该用户终端的IP地址绑定,然后将该用户终端的标识与IP地址的对应关系存入数据库中。
需要说明的是,公司的服务器区包括公司的AD安全域存储服务器、FTP服务器、WEB服务器以及远程打印机等,公司的员工可以通过自己的账号(即账号信息)利用办公区的用户终端通过局域网访问服务器区的这些服务器终端;用户终端包括办公区的办公电脑、笔记本、PDA和外网的匿名电脑,在局域网外部的用户可以利用匿名电脑通过互联网(即Internet)访问服务器区。
可选地,由于公司的网关开启了WEB认证,当员工test使用办公电脑访问FTP服务器时,会先弹出WEB认证页面,要求员工test先做WEB认证,员工test只有输入了正确的用户名和密码才能访问外网,WEB认证成功后,公司的网关会自动生成一个用户标识,并将该用户标识和员工test使用的办公电脑的IP地址绑定,并将该用户标识和员工test使用的办公电脑的IP地址的对应关系存入数据库,在以后的使用过程中,只要是从该办公电脑发出的访问行为,则该访问行为就会被认为是员工test的行为。
可选地,在公司内部可以使用AD安全域,每个员工有唯一的账号,可用于登录自己的电脑和访问公司的业务系统,将员工的账号信息(包括登陆账号和密码)和电脑(即用户终端)的IP地址存入数据库,这样在员工访问服务器时,防火墙就能根据电脑的IP地址识别出用户。也可以采用手动或一些收集技术(如自动学习机)收集员工和该员工时常使用的用户终端的IP地址,并将这些信息存入数据库中,这样也可以通过判断IP地址来判断是哪一位员工或用户在访问服务器。
在上述实施例中,判断用户终端是否有权限访问外网可以包括:从通讯数据包中读取用户终端的IP地址;从数据库中读取与IP地址对应的用户终端的标识;若用户终端的标识在预设终端标识集合内,则确定用户终端有权限访问外网;若用户终端的标识不在预设终端标识集合内,则确定用户终端没有权限访问外网。
本发明的实施例可以通过图3中的如下步骤实现:
步骤S302,根据IP地址识别用户终端。
由于数据库中记载了用户终端与IP地址的对应关系,所以可以根据IP地址识别出发起访问行为的用户终端。
如员工test通过自己的办公电脑访问公司的WEB服务器时,公司的网关就会截取到该用户终端发出的通讯数据包,并读取该数据包的包头中所包含的IP地址,然后根据该IP地址确定发起访问用户终端的标识,同时也能根据IP地址确定对应的用户标识,确认是哪一位用户想要访问服务器。
步骤S304,判断用户终端是否有权限访问外网。
出于对安全方面的考虑,公司只允许有权限的用户终端或者用户访问其服务器,公司会选择性地将部分用户终端和用户的标识存入预设终端标识集合和预设用户标识集合,在用户终端或者用户访问外网时,即可通过判断该用户终端或者用户的标识是否在预设终端标识集合或者预设用户标识集合内来确定该用户终端是否有权限访问外网。若该用户终端有权限访问外网则执行步骤S308,否则执行步骤S306。
步骤S306,丢弃通讯数据包。
若确定出用户终端(或用户)没有权限访问外网,则直接丢弃其发出的通讯数据包。
通过上述实施例,可以防止没有权限的终端和用户访问外网造成的数据泄露,从而提高了数据的安全性。
在上述实施例中,从通讯数据包中读取用户终端请求访问的目标服务器的账号信息可以包括:从通讯数据包中读取应用标识,其中,应用标识为用户终端请求访问的目标应用的标识;根据应用标识判断目标应用是否验证用户终端的合法性;在判断出需要验证用户终端的合法性的情况下,从通讯数据包中读取用户终端请求访问的目标服务器的账号信息。
可选地,在根据应用标识判断目标应用是否验证用户终端的合法性之后,该处理方法还可以包括:在判断出不需要验证用户终端的合法性的情况下或从通讯数据包中读取账号信息失败时,将通讯数据包发送至目标服务器。
本发明的上述实施例可以通过图3所示的如下步骤实现:
步骤S308,根据通讯数据包识别目标应用。
在公司的防火墙验证出用户终端或用户有权限访问外网之后,往往需要识别出该用户终端所访问的目标应用,由于每一个目标应用都对应有应用标识,所以在用户终端与目标服务器进行数据传输时,公司的防火墙(即网关)可以根据用户终端发送至目标服务器的通讯数据包中的应用标识识别出该用户终端或用户需要访问的目标应用。
步骤S310,根据应用标识判断是否需要验证用户终端的合法性。
在公司的不同服务器上的不同目标应用中往往保存着不同的数据,如财务数据和销售数据,有的数据是所有用户都可以访问的数据(如销售数据),有的数据是属于公司的机密信息(如财务数据),这类机密信息只有指定的用户通过自己的账号信息才能访问,即在访问该目标应用时目标应用(或者目标服务器)需要验证用户或者用户终端的合法性,另外,对于这类访问行为还需要在防火墙端验证发起该访问的用户终端或者用户的合法性(即步骤S108所执行的操作)。
由于在公司服务器上的所有包含机密信息的目标应用所对应的应用标识都会保存在一个特定的数据库中,因此,在用户访问目标应用时,可以通过应用标识来判断与该应用标识对应的目标应用是否需要验证用户终端或用户的合法性,即将通讯数据包中的应用标识与数据库中的应用标识进行对比,若该应用标识存在于数据库中,则说明该目标应用中包含机密信息,对于这类目标应用,在用户登录该目标应用(或服务器)时需要验证用户终端或用户的合法性,否则不需要。若判断出需要验证用户终端的合法性则执行步骤S312,否则执行步骤S314。
步骤S312,判断通讯数据包是否包含账号信息。
对于需要保密的数据而言(如财务数据),用户需要用账号登陆才能查看,因此在用户访问这类数据时需要判断用户终端和目标服务器之间的通讯数据包是否包含用于登录目标服务器(如FTP服务器)的账号信息,若通讯数据包中包含账号信息则执行步骤S316,否则执行步骤S314。
步骤S314,发送通讯数据包至目标服务器。
公司的数据类型可以分为三类,一类是公司内部和外部都能访问的数据,对于访问这类数据的通讯数据包,不需要账号信息,也不需要验证用户终端(或用户)的合法性,可以直接将通讯数据包转发至目标服务器;第二类仅限于公司内部员工才可以访问的数据,对于这类数据,不需要验证用户终端(或用户)的合法性,只要使用了公司员工的账号信息就能访问,而不必验证是否是该账号信息的主人在使用该账号信息访问数据;第三类数据是需要保密的数据,这类数据只有公司内部的指定员工才有权限访问,对于这类访问,公司的防火墙会验证用户终端(或用户)的合法性。在用户访问第二类数据和第三类数据时,若通讯数据包中不包含账号信息,则必然不能登录目标服务器,因此,在不需要验证用户终端的合法性或通讯数据包中不包含账号信息的情况下可以直接将通讯数据包转发至目标服务器。
步骤S316,从通讯数据包中提取账号信息。
从用户终端与目标服务器之间的通讯数据包中读取用于登录目标服务器的账号信息。
步骤S318,判断用户终端是否合法。
每个用户终端(或用户)均有对应的用于访问公司服务器区的账号信息,即预设账号信息,所以防火墙可以通过判断从通讯数据包中读取的账号信息是否和预设账号信息相同来判断用户终端或用户是否合法,若判断出用户终端或用户合法,则执行步骤S322,否则执行步骤S320。
例如,当用户test访问FTP服务器时,公司的防火墙识别出用户test的业务账号(即预设账号信息)也是test,那么用户test使用业务账号apple(即账号信息)访问业务时,则认为此时用户test仿冒了用户apple,此时,则认为用户test的访问为非法访问。
通过上述实施例,实现了与实际业务联动的原子级别的控制,并配合业务系统的认证信息实现了对用户的更细粒度的访问控制和安全监控。
需要说明的是,基于用户的原子级控制主要体现如下几个方面:首先,根据用户终端(即终端设备)的数据识别出用户是谁(例如通过WEB认证),然后,明确这些用户与业务服务器(如存储财务部门的财务数据的FTP服务器)中账号信息的关系;其次,在防火墙上监控用户终端访问业务(即位于目标服务器上的目标应用)时使用的账号信息,若用户使用的账号信息与该用户对应的账号信息(即预设账号信息)不匹配,则根据需要予以阻断或给出日志告警。
通过上述实施例,使用基于用户的原子级控制让所有需要访问权限的业务都变的更可控,可以有效防止由内部人员导致的信息泄露,并且可以准确识别伪冒内部人员进行非法操作的用户是谁。
可选地,在从通讯数据包中读取用户终端请求访问的目标服务器的账号信息之后,该处理方法还可以包括:在账号信息与预设账号信息不匹配的情况下,确定用户终端发起的访问为非法访问,并将非法访问的信息写入日志。
步骤S320,丢弃通讯数据包或给出日志警告。
若用户终端(或用户)的访问是非法访问,则会在用户终端弹出警告信息,并将与这次访问相关的信息写入日志,以便进一步处理。
步骤S322,转发通讯数据包至目标服务器。
若用户终端(或用户)的访问是合法访问,即该用户是在使用自己的账号信息访问目标服务器,则允许该用户终端(或用户)访问目标服务器的目标应用,并转发用户终端和目标服务器之间进行通讯的通讯数据包。
假设用户的用户名和账号信息相同,当用户Alice-NB和Anonymous都利用用户名Bob(即账号信息)访问公司的FTP服务器时,公司的防火墙会根据数据源(即通讯数据包)识别出发出访问请求的分别是用户Alice-NB和用户Anonymous,且他们没有使用自己的账号而是使用了用户Bob的账号来访问FTP服务器,防火墙则会认为这个访问是非法访问,会阻止访问并给出警告信息。而当用户Bob在自己的电脑上用Bob登录FTP服务器时,防火墙则会认为这是一个合法的访问,从而允许Bob访问FTP服务器。
通过上述实施例,既可以实现让公司员工访问不需要访问权限的数据,也可以实现对访问需要权限的数据的用户的合法性的验证,对用户做到更细粒度的访问控制,防止由公司内部员工导致的信息泄露,及时发现攻击者并阻止盗用员工账号进行越权访问的威胁类操作,从而可以提高公司防火墙的安全性,防止安全数据的泄露。
本发明实施例还提供了一种通讯数据的处理装置。需要说明的是,本发明实施例的通讯数据的处理装置可以用于执行本发明实施例所提供的通讯数据的处理方法,本发明实施例的通讯数据的处理方法也可以通过本发明实施例所提供的通讯数据的处理装置来执行。
图4是根据本发明实施例的通讯数据的处理装置的示意图。该处理装置包括:接收模块10,用于接收用户终端发送的通讯数据包;第一判断模块30,用于判断用户终端是否有权限访问外网;第一读取模块50,用于在判断出用户终端有权限访问外网的情况下,从通讯数据包中读取用户终端请求访问的目标服务器的账号信息;第一发送模块70,用于在账号信息与用户终端的预设账号信息相匹配的情况下,将通讯数据包发送至目标服务器。
通过上述实施例,在用户访问外网时,根据接收到的用户终端发送的通讯数据包判断该用户终端是否有权限访问外网,在判断出该用户终端有权限访问外网的情况下,从通讯数据包中读取用户终端请求访问的目标服务器的账号信息,若账号信息与用户终端所对应的预设账号信息相匹配,则确定这是一个安全合法的访问,则将通讯数据包发送至目标服务器,从而解决了现有技术中防火墙安全性低的技术问题,提高了防火墙的安全性。
可选地,第一读取模块可以包括:第二读取模块,用于从通讯数据包中读取应用标识,其中,应用标识为用户终端请求访问的目标应用的标识;第二判断模块,用于根据应用标识判断目标应用是否验证用户终端的合法性;第三读取模块,用于在判断出需要验证用户终端的合法性的情况下,从通讯数据包中读取用户终端请求访问的目标服务器的账号信息。
可选地,该处理装置还可以包括:第二发送模块,用于在根据应用标识判断目标应用是否验证用户终端的合法性之后,在判断出不需要验证用户终端的合法性的情况下或从通讯数据包中读取账号信息失败时,将通讯数据包发送至目标服务器。
通过上述实施例,在用户访问敏感数据时,验证用户的账号信息,可以防止没有权限的终端和用户访问外网造成的数据泄露,从而提高了数据的安全性。
在上述实施例中,第一判断模块可以包括:第四读取模块,用于从通讯数据包中读取用户终端的IP地址;第五读取模块,用于从数据库中读取与IP地址对应的用户终端的标识;第一确定模块,用于若用户终端的标识在预设终端标识集合内,则确定用户终端有权限访问外网;第二确定模块,用于若用户终端的标识不在预设终端标识集合内,则确定用户终端没有权限访问外网。
通过上述实施例,实现了与实际业务联动的原子级别的控制,并配合业务系统的认证信息实现了对用户的更细粒度的访问控制和安全监控。
在上述实施例中,该处理装置还可以包括:第六读取模块,用于在从数据库中读取与IP地址对应的用户终端的标识之前,在用户终端第一次访问外网时,从用户终端的通讯数据包中读取用户终端的IP地址;生成模块,用于按照预定格式生成用户终端的标识,并建立用户终端的标识与IP地址的映射关系;保存模块,用于将映射关系存入数据库。
通过上述实施例,使用基于用户的原子级控制让所有需要访问权限的业务都变的更可控,可以有效防止由内部人员导致的信息泄露,并且可以准确识别伪冒内部人员进行非法操作的用户是谁。
可选地,该处理装置还可以包括:第三确定模块,用于在从通讯数据包中读取用户终端请求访问的目标服务器的账号信息之后,在账号信息与预设账号信息不匹配的情况下,确定用户终端发起的访问为非法访问,并将非法访问的信息写入日志。
通过上述实施例,既可以实现让公司员工访问不需要访问权限的数据,也可以实现对访问需要权限的数据的用户的合法性的验证,对用户做到更细粒度的访问控制,防止由公司内部员工导致的信息泄露,及时发现攻击者并阻止盗用员工账号进行越权访问的威胁类操作,从而可以提高公司防火墙的安全性,防止安全数据的泄露。
本实施例中所提供的各个模块与方法实施例对应步骤所提供的使用方法相同、应用场景也可以相同。当然,需要注意的是,上述模块涉及的方案可以不限于上述实施例中的内容和场景,且上述模块可以运行在计算机终端或移动终端,可以通过软件或硬件实现。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
在本发明的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,可以为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,RandomAccessMemory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (12)
1.一种通讯数据的处理方法,其特征在于,包括:
接收用户终端发送的通讯数据包;
判断所述用户终端是否有权限访问外网;
在判断出所述用户终端有权限访问外网的情况下,从所述通讯数据包中读取所述用户终端请求访问的目标服务器的账号信息;以及
在所述账号信息与所述用户终端的预设账号信息相匹配的情况下,将所述通讯数据包发送至所述目标服务器。
2.根据权利要求1所述的处理方法,其特征在于,从所述通讯数据包中读取所述用户终端请求访问的目标服务器的账号信息包括:
从所述通讯数据包中读取应用标识,其中,所述应用标识为所述用户终端请求访问的目标应用的标识;
根据所述应用标识判断所述目标应用是否验证所述用户终端的合法性;以及
在判断出需要验证所述用户终端的合法性的情况下,从所述通讯数据包中读取所述用户终端请求访问的目标服务器的账号信息。
3.根据权利要求2所述的处理方法,其特征在于,在根据所述应用标识判断所述目标应用是否验证所述用户终端的合法性之后,所述处理方法还包括:
在判断出不需要验证所述用户终端的合法性的情况下或从所述通讯数据包中读取所述账号信息失败时,将所述通讯数据包发送至所述目标服务器。
4.根据权利要求1所述的处理方法,其特征在于,判断所述用户终端是否有权限访问外网包括:
从所述通讯数据包中读取所述用户终端的IP地址;
从数据库中读取与所述IP地址对应的所述用户终端的标识;
若所述用户终端的标识在预设终端标识集合内,则确定所述用户终端有权限访问外网;以及
若所述用户终端的标识不在预设终端标识集合内,则确定所述用户终端没有权限访问外网。
5.根据权利要求4所述的处理方法,其特征在于,在从数据库中读取与所述IP地址对应的所述用户终端的标识之前,所述处理方法还包括:
在所述用户终端第一次访问外网时,从所述用户终端的通讯数据包中读取所述用户终端的IP地址;
按照预定格式生成所述用户终端的标识,并建立所述用户终端的标识与所述IP地址的映射关系;以及
将所述映射关系存入所述数据库。
6.根据权利要求1所述的处理方法,其特征在于,在从所述通讯数据包中读取所述用户终端请求访问的目标服务器的账号信息之后,所述处理方法还包括:
在所述账号信息与所述预设账号信息不匹配的情况下,确定所述用户终端发起的访问为非法访问,并将所述非法访问的信息写入日志。
7.一种通讯数据的处理装置,其特征在于,包括:
接收模块,用于接收用户终端发送的通讯数据包;
第一判断模块,用于判断所述用户终端是否有权限访问外网;
第一读取模块,用于在判断出所述用户终端有权限访问外网的情况下,从所述通讯数据包中读取所述用户终端请求访问的目标服务器的账号信息;以及
第一发送模块,用于在所述账号信息与所述用户终端的预设账号信息相匹配的情况下,将所述通讯数据包发送至所述目标服务器。
8.根据权利要求7所述的处理装置,其特征在于,所述第一读取模块包括:
第二读取模块,用于从所述通讯数据包中读取应用标识,其中,所述应用标识为所述用户终端请求访问的目标应用的标识;
第二判断模块,用于根据所述应用标识判断所述目标应用是否验证所述用户终端的合法性;以及
第三读取模块,用于在判断出需要验证所述用户终端的合法性的情况下,从所述通讯数据包中读取所述用户终端请求访问的目标服务器的账号信息。
9.根据权利要求8所述的处理装置,其特征在于,所述处理装置还包括:
第二发送模块,用于在根据所述应用标识判断所述目标应用是否验证所述用户终端的合法性之后,在判断出不需要验证所述用户终端的合法性的情况下或从所述通讯数据包中读取所述账号信息失败时,将所述通讯数据包发送至所述目标服务器。
10.根据权利要求7所述的处理装置,其特征在于,所述第一判断模块包括:
第四读取模块,用于从所述通讯数据包中读取所述用户终端的IP地址;
第五读取模块,用于从数据库中读取与所述IP地址对应的所述用户终端的标识;
第一确定模块,用于若所述用户终端的标识在预设终端标识集合内,则确定所述用户终端有权限访问外网;以及
第二确定模块,用于若所述用户终端的标识不在预设终端标识集合内,则确定所述用户终端没有权限访问外网。
11.根据权利要求10所述的处理装置,其特征在于,所述处理装置还包括:
第六读取模块,用于在从数据库中读取与所述IP地址对应的所述用户终端的标识之前,在所述用户终端第一次访问外网时,从所述用户终端的通讯数据包中读取所述用户终端的IP地址;
生成模块,用于按照预定格式生成所述用户终端的标识,并建立所述用户终端的标识与所述IP地址的映射关系;以及
保存模块,用于将所述映射关系存入所述数据库。
12.根据权利要求7所述的处理装置,其特征在于,所述处理装置还包括:
第三确定模块,用于在从所述通讯数据包中读取所述用户终端请求访问的目标服务器的账号信息之后,在所述账号信息与所述预设账号信息不匹配的情况下,确定所述用户终端发起的访问为非法访问,并将所述非法访问的信息写入日志。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510456893.5A CN105162763B (zh) | 2015-07-29 | 2015-07-29 | 通讯数据的处理方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510456893.5A CN105162763B (zh) | 2015-07-29 | 2015-07-29 | 通讯数据的处理方法和装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105162763A true CN105162763A (zh) | 2015-12-16 |
CN105162763B CN105162763B (zh) | 2020-12-04 |
Family
ID=54803517
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510456893.5A Active CN105162763B (zh) | 2015-07-29 | 2015-07-29 | 通讯数据的处理方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105162763B (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106850631A (zh) * | 2017-02-10 | 2017-06-13 | 北京匡恩网络科技有限责任公司 | 用于数据传输的方法、装置及通信系统 |
CN107743114A (zh) * | 2016-12-15 | 2018-02-27 | 腾讯科技(深圳)有限公司 | 一种网络访问方法、装置和系统 |
CN108322366A (zh) * | 2017-01-17 | 2018-07-24 | 阿里巴巴集团控股有限公司 | 接入网络的方法、装置和系统 |
CN109743402A (zh) * | 2019-01-31 | 2019-05-10 | 深圳云合科技有限公司 | 答题信息的处理方法、传输方法、接收器和答题器 |
CN111614639A (zh) * | 2020-05-09 | 2020-09-01 | 深圳市云盾科技有限公司 | 一种基于边界理论的网络安全分析方法 |
CN113992369A (zh) * | 2021-10-18 | 2022-01-28 | 北京天融信网络安全技术有限公司 | 一种网络安全设备拓扑管理方法及系统 |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050071682A1 (en) * | 2003-09-30 | 2005-03-31 | Nec Corporation | Layer 2 switch device with verification management table |
WO2006072994A1 (ja) * | 2005-01-07 | 2006-07-13 | Systemk Corporation | ネットワークカメラへのログイン認証システム |
CN101378358A (zh) * | 2008-09-19 | 2009-03-04 | 成都市华为赛门铁克科技有限公司 | 一种实现安全接入控制的方法及系统、服务器 |
CN101997686A (zh) * | 2009-08-25 | 2011-03-30 | 镇江精英软件科技有限公司 | Activex跨防火墙获取MAC用户验证的方法 |
CN102123166A (zh) * | 2010-12-31 | 2011-07-13 | 百度在线网络技术(北京)有限公司 | 基于即时通信客户端访问目标网络应用的设备及其方法 |
CN102227115A (zh) * | 2011-06-13 | 2011-10-26 | 北京星网锐捷网络技术有限公司 | 一种限制用户访问的方法和装置 |
CN102761849A (zh) * | 2012-08-01 | 2012-10-31 | 杭州迪普科技有限公司 | 一种短信网络管理方法及装置 |
CN103366134A (zh) * | 2013-07-12 | 2013-10-23 | 浙江吉利汽车研究院有限公司杭州分公司 | 网络连线管理系统和方法 |
CN104469762A (zh) * | 2013-09-12 | 2015-03-25 | 西安龙飞网络科技有限公司 | 一种3g/wifi无线路由器用户分级控制方法 |
CN104468862A (zh) * | 2014-12-15 | 2015-03-25 | 北京奇虎科技有限公司 | 一种ip地址绑定的方法、装置及系统 |
-
2015
- 2015-07-29 CN CN201510456893.5A patent/CN105162763B/zh active Active
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050071682A1 (en) * | 2003-09-30 | 2005-03-31 | Nec Corporation | Layer 2 switch device with verification management table |
WO2006072994A1 (ja) * | 2005-01-07 | 2006-07-13 | Systemk Corporation | ネットワークカメラへのログイン認証システム |
CN101378358A (zh) * | 2008-09-19 | 2009-03-04 | 成都市华为赛门铁克科技有限公司 | 一种实现安全接入控制的方法及系统、服务器 |
CN101997686A (zh) * | 2009-08-25 | 2011-03-30 | 镇江精英软件科技有限公司 | Activex跨防火墙获取MAC用户验证的方法 |
CN102123166A (zh) * | 2010-12-31 | 2011-07-13 | 百度在线网络技术(北京)有限公司 | 基于即时通信客户端访问目标网络应用的设备及其方法 |
CN102227115A (zh) * | 2011-06-13 | 2011-10-26 | 北京星网锐捷网络技术有限公司 | 一种限制用户访问的方法和装置 |
CN102761849A (zh) * | 2012-08-01 | 2012-10-31 | 杭州迪普科技有限公司 | 一种短信网络管理方法及装置 |
CN103366134A (zh) * | 2013-07-12 | 2013-10-23 | 浙江吉利汽车研究院有限公司杭州分公司 | 网络连线管理系统和方法 |
CN104469762A (zh) * | 2013-09-12 | 2015-03-25 | 西安龙飞网络科技有限公司 | 一种3g/wifi无线路由器用户分级控制方法 |
CN104468862A (zh) * | 2014-12-15 | 2015-03-25 | 北京奇虎科技有限公司 | 一种ip地址绑定的方法、装置及系统 |
Non-Patent Citations (2)
Title |
---|
HENRY NUNOO-MENSAH: "A Review of Opensource Network Access Control (NAC) Tools for Enterprise Educational Networks", 《INTERNATIONAL JOURNAL OF COMPUTER APPLICATIONS》 * |
陈晓男: "使用分布式防火墙技术实现内外网关数据安全交换", 《网络与信息》 * |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107743114A (zh) * | 2016-12-15 | 2018-02-27 | 腾讯科技(深圳)有限公司 | 一种网络访问方法、装置和系统 |
CN107743114B (zh) * | 2016-12-15 | 2020-03-17 | 腾讯科技(深圳)有限公司 | 一种网络访问方法、装置和系统 |
CN108322366A (zh) * | 2017-01-17 | 2018-07-24 | 阿里巴巴集团控股有限公司 | 接入网络的方法、装置和系统 |
CN108322366B (zh) * | 2017-01-17 | 2021-10-01 | 阿里巴巴集团控股有限公司 | 接入网络的方法、装置和系统 |
CN106850631A (zh) * | 2017-02-10 | 2017-06-13 | 北京匡恩网络科技有限责任公司 | 用于数据传输的方法、装置及通信系统 |
CN109743402A (zh) * | 2019-01-31 | 2019-05-10 | 深圳云合科技有限公司 | 答题信息的处理方法、传输方法、接收器和答题器 |
CN111614639A (zh) * | 2020-05-09 | 2020-09-01 | 深圳市云盾科技有限公司 | 一种基于边界理论的网络安全分析方法 |
CN113992369A (zh) * | 2021-10-18 | 2022-01-28 | 北京天融信网络安全技术有限公司 | 一种网络安全设备拓扑管理方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN105162763B (zh) | 2020-12-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Huang et al. | SecIoT: a security framework for the Internet of Things | |
CN105162763A (zh) | 通讯数据的处理方法和装置 | |
US20170324777A1 (en) | Injecting supplemental data into data queries at network end-points | |
US20140020067A1 (en) | Apparatus and method for controlling traffic based on captcha | |
US20170324774A1 (en) | Adding supplemental data to a security-related query | |
CN104660562A (zh) | 一种信息查看方法、相关装置及系统 | |
CN103297437A (zh) | 一种移动智能终端安全访问服务器的方法 | |
US11824850B2 (en) | Systems and methods for securing login access | |
CN104025544A (zh) | 机密信息泄露防止系统、机密信息泄露防止方法和计算机可读记录介质 | |
Strobl et al. | Connected cars—Threats, vulnerabilities and their impact | |
KR102271201B1 (ko) | 블록체인을 이용한 개인정보 관리 방법 및 그 방법이 적용된 블록체인 네트워크 관리자 | |
CN110708156B (zh) | 一种通信方法、客户端及服务器 | |
US20160205102A1 (en) | Secure Remote Authentication of Local Machine Services Using a Self Discovery Network Protocol | |
CN104052829A (zh) | 自适应名字解析 | |
WO2017119916A1 (en) | Secure remote authentication | |
CN106295423A (zh) | 一种数据展示方法及客户端 | |
CN108462671A (zh) | 一种基于反向代理的认证保护方法及系统 | |
CN103069767B (zh) | 交付认证方法 | |
CN102972005A (zh) | 交付认证方法 | |
CN109587134A (zh) | 接口总线的安全认证的方法、装置、设备和介质 | |
Asan | Data security | |
CN103546472B (zh) | 一种业务系统防伪保护的方法和装置 | |
Feagin | The value of cyber security in small business | |
Lundgren et al. | Security and privacy of smart homes: issues and solutions | |
CN109922058A (zh) | 一种防止非法访问内网的内网保护方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CP03 | Change of name, title or address | ||
CP03 | Change of name, title or address |
Address after: 2nd Floor, Building 1, Yard 26, Xizhimenwai South Road, Xicheng District, Beijing, 100032 Patentee after: Qianxin Wangshen information technology (Beijing) Co.,Ltd. Address before: 1st Floor, Section 2, Xianfeng Building, No. 7 Shangdi Kaifeng Road, Haidian District, Beijing, 100085 Patentee before: LEGENDSEC INFORMATION TECHNOLOGY (BEIJING) Inc. |