CN106302371A - 一种基于用户业务系统的防火墙控制方法和系统 - Google Patents
一种基于用户业务系统的防火墙控制方法和系统 Download PDFInfo
- Publication number
- CN106302371A CN106302371A CN201510323975.2A CN201510323975A CN106302371A CN 106302371 A CN106302371 A CN 106302371A CN 201510323975 A CN201510323975 A CN 201510323975A CN 106302371 A CN106302371 A CN 106302371A
- Authority
- CN
- China
- Prior art keywords
- network
- service security
- operation system
- access control
- operational order
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
Abstract
本发明公开一种基于用户业务系统的防火墙控制方法和系统,包括:接收客户端发送的包含业务系统标识和业务系统网络信息的网络请求信息。将业务系统标识与预置的业务安全访问控制策略中的业务系统标识相匹配。当在第一业务安全访问控制策略中找到匹配的业务系统标识时,检测第一业务安全访问控制策略中已经建立的网络连接中是否存在与业务系统网络信息相匹配的网络连接;根据检测结果以及第一业务安全访问控制策略中的相应操作指令,建立完成该操作指令的业务安全访问控制子策略。基于业务安全访问控制子策略处理业务系统向防火墙传输的报文。通过本发明的方案,能够实现基于用户业务系统的防火墙级别的安全访问控制,增强了用户安全管理的易用性。
Description
技术领域
本发明涉及信息安全领域,具体涉及一种基于用户业务系统的防火墙控制方法和系统。
背景技术
互联网技术的快速发展以及便捷使用的特点,已使其成为人们工作生活信息交流的最广泛的平台之一,同时,也使得用户信息暴露在被攻击和被窃取的风险之中.
传统的防火墙/安全网关可以完成3~4层网络的访问控制,但较难形成7层也就是网络应用层的有效防护。当前广泛讨论的下一代防火墙、应用防火墙、NGFW、UTM、上网行为管理产品,可以通过深度应用网络协议分析(DPI)来识别具体的应用并予以防护.
在现实工作中,存在多个不同安全需求的业务系统,这些业务如果采用相同的应用层网络协议,仅依赖针对网络传输的应用协议报文的分析检测,无法实现按照业务安全需求做细粒度的访问控制。
另一方面,业务系统如果采用了多种网络应用协议,安全管理员只能通过人工方式整理这种对应关系,并通过在防火墙/安全网关上实施不同应用协议的多条安全策略来实现访问控制,防火墙/安全网关策略和用户业务系统的关联很难理解也很难维护,提高了运维成本增加了出错的可能性。
经对现有技术的文献检索发现,中国专利申请号:CN103209181A,发明名称:一种linux网络架构下应用连接防火墙的实现方法,提供了一种linux网络架构下应用连接防火墙的实现方法,包括步骤:a:系统启动时,正则表达式匹配引擎模块通过调用初始化接口函数对应用层的特征码配置文件进行初始化处理;b:数据报文到达连接跟踪模块时,系统将连接跟踪模块进行扩展处理;c:数据报文经网络层、传输层连接过滤处理后,由应用层对数据报文进行匹配分析处理连接。它提供的linux网络架构下应用连接防火墙\安全网关的实现方法,解决了现有的Netfilter架构无法识别七层应用的问题,实现对数据报文进行从IP层到应用层的全方位识别和控制,但是,该发明针对网络传输的报文协议进行解析处理,不能理解哪些网络协议属于哪种用户业务系统,也无法做相应的控制。中国专利申请号:CN101160774A,发明名称:基于下一代网络业务的防火墙控制系统及方法.提供了一种基于NGN业务的防火墙控制系统及方法。由业务控制设备中的应用层代理模块解析应用层信令,进行信令流的安全检测,确定业务媒体流的安全级别需求信息,并提供给策略决策功能实体;策略决策功能实体根据媒体流的安全级别需求信息以及保存的策略信息确定相应的媒体流的安全级别控制信息,并提供给网络边界设备;网络边界设备中的基于包过滤的防火墙功能模块根据媒体流的安全级别控制信息对流经的业务媒体流进行安全检测。该发明使得基于包过滤的防火墙可以执行NGN每用户每会话细粒度的安全分级处理,可根据用户需求和会话类型动态选择不同安全级别的包过滤工作方式进行媒体流的安全检测,防止网络攻击。但是,该发明也是基于到达防火墙的正在网络中传输的网络报文进行匹配分析,识别应用协议或应用信令,从而根据安全级别的需求进而网络报文的处理,如果两个业务系统的报文协议相同,就无法做区别控制。
发明内容
为了解决上述问题,本发明提出了一种基于用户业务系统的防火墙控制方法和系统,能够实现基于用户业务系统的防火墙级别的安全访问控制,增强了用户安全管理的易用性。
为了达到上述目的,本发明提出了一种基于用户业务系统的防火墙控制方法,该方法包括:
接收客户端发送的包含一个或多个业务系统标识和业务系统网络信息的网络请求信息。
将网络请求信息中的业务系统标识与预置的一个或多个不同的业务安全访问控制策略中包含的业务系统标识一一匹配;其中,每个业务安全访问控制策略中包含一个或多个业务系统标识。
当在第一业务安全访问控制策略中找到与网络请求信息中包含的业务系统标识相匹配的业务系统标识时,检测第一业务安全访问控制策略中已经建立的网络连接中是否存在与业务系统网络信息相匹配的网络连接;根据检测结果以及第一业务安全访问控制策略中针对该网络连接的操作指令,建立完成该操作指令的一个或多个业务安全访问控制子策略。
基于业务安全访问控制子策略处理业务系统向防火墙传输的报文。
优选地,根据检测结果以及第一业务安全访问控制策略中针对该网络连接的操作指令,建立完成该操作指令的一个或多个业务安全访问控制子策略包括:
如果已经存在相匹配的网络连接,则根据第一业务安全访问控制策略中针对网络连接的不同的操作指令,建立一个或多个不同的业务安全访问控制子策略;不同的操作指令包括:继续连接该网络连接、断开该网络连接或者部分断开该网络连接。
如果不存在相匹配的网络连接,则根据第一业务安全访问控制策略中的建立与业务系统网络信息相匹配的网络连接的操作指令建立一个或多个业务安全访问控制子策略,或者,根据第一业务安全访问控制策略中的断开与业务系统网络信息相匹配的网络连接的操作指令忽略该网络请求信息。
优选地,业务安全访问控制策略和业务安全访问控制子策略中均包含以下信息的一种或多种:匹配条件、网络连接信息以及与所述网络连接信息相对应的操作指令。
优选地,业务安全访问控制策略中的匹配条件包括以下一种或多种:业务系统标识、网络协议IP地址、服务端口、网络协议、用户或用户组、时间、媒体访问地址MAC地址和网络访问统一资源定位符URL。
业务安全访问控制子策略的匹配条件包括以下一种或多种:IP地址、服务端口、网络协议、用户或用户组、时间、媒体访问地址MAC地址和网络访问URL。
优选地,业务系统标识包括以下一种或多种:每个进程的厂商名称、每个进程的系统名称注册信息和每个进程对应的主窗口的窗口标题。
业务系统网络信息包括以下一种或多种:网络连接的协议、网络源端口、网络目的端口、网络源地址和网络目的地址。
为了达到上述目的,本发明还提出了一种基于用户业务系统的防火墙控制系统,该系统包括:接收模块、匹配模块、检测模块、构建模块和处理模块。
接收模块、用于接收客户端发送的包含一个或多个业务系统标识和业务系统网络信息的网络请求信息。
匹配模块、用于将网络请求信息中的业务系统标识与预置的一个或多个不同的业务安全访问控制策略中包含的业务系统标识一一匹配;其中,每个业务安全访问控制策略中包含一个或多个业务系统标识。
检测模块、用于当在第一业务安全访问控制策略中找到与该网络请求信息中包含的业务系统标识相匹配的业务系统标识时,检测第一业务安全访问控制策略中已经建立的网络连接中是否存在与业务系统网络信息相匹配的网络连接。
构建模块,用于根据检测结果以及第一业务安全访问控制策略中针对该网络连接的操作指令,建立完成该操作指令的一个或多个业务安全访问控制子策略。
处理模块,用于基于业务安全访问控制子策略处理业务系统向防火墙传输的报文。
优选地,检测模块根据检测结果以及第一业务安全访问控制策略中针对该网络连接的操作指令,建立完成该操作指令的一个或多个业务安全访问控制子策略是指:
如果已经存在相匹配的网络连接,则根据第一业务安全访问控制策略中针对网络连接的不同的操作指令,建立一个或多个不同的业务安全访问控制子策略;不同的操作指令包括:继续连接所述网络连接、断开所述网络连接或者部分断开所述网络连接。
如果不存在相匹配的网络连接,则根据第一业务安全访问控制策略中的建立与业务系统网络信息相匹配的网络连接的操作指令建立一个或多个业务安全访问控制子策略,或者,根据第一业务安全访问控制策略中的断开与业务系统网络信息相匹配的网络连接的操作指令忽略该网络请求信息。
优选地,业务安全访问控制策略和业务安全访问控制子策略中均包含以下信息的一种或多种:匹配条件、网络连接信息以及与网络连接信息相对应的操作指令。
优选地,业务安全访问控制策略中的匹配条件包括以下一种或多种:业务系统标识、网络协议IP地址、服务端口、网络协议、用户或用户组、时间、媒体访问地址MAC地址和网络访问统一资源定位符URL。
业务安全访问控制子策略的匹配条件包括以下一种或多种:IP地址、服务端口、网络协议、用户或用户组、时间、媒体访问地址MAC地址和网络访问URL。
优选地,业务系统标识包括以下一种或多种:每个进程的厂商名称、每个进程的系统名称注册信息和每个进程对应的主窗口的窗口标题。
业务系统网络信息包括以下一种或多种:网络连接的协议、网络源端口、网络目的端口、网络源地址和网络目的地址。
与现有技术相比,本发明包括:接收客户端发送的包含一个或多个业务系统标识和业务系统网络信息的网络请求信息。将网络请求信息中的业务系统标识与预置的一个或多个不同的业务安全访问控制策略中包含的业务系统标识一一匹配;其中,每个业务安全访问控制策略中包含一个或多个业务系统标识。当在第一业务安全访问控制策略中找到与网络请求信息中包含的业务系统标识相匹配的业务系统标识时,检测第一业务安全访问控制策略中已经建立的网络连接中是否存在与业务系统网络信息相匹配的网络连接;根据检测结果以及第一业务安全访问控制策略中针对该网络连接的操作指令,建立完成该操作指令的一个或多个业务安全访问控制子策略。基于业务安全访问控制子策略处理业务系统向防火墙传输的报文。通过本发明的方案,能够实现基于用户业务系统的防火墙级别的安全访问控制,增强了用户安全管理的易用性。
附图说明
下面对本发明实施例中的附图进行说明,实施例中的附图是用于对本发明的进一步理解,与说明书一起用于解释本发明,并不构成对本发明保护范围的限制。
图1为本发明的基于用户业务系统的防火墙控制方法流程图;
图2为本发明的基于用户业务系统的防火墙控制系统框图。
具体实施方式
为了便于本领域技术人员的理解,下面结合附图对本发明作进一步的描述,并不能用来限制本发明的保护范围。
本发明的目的在于针对已有实现技术和现有发明的不足,提出了一种基于用户业务系统的网络安全网关和防火墙的控制系统及方法,能够通过用户的终端上安装的客户端分析用户业务系统通信所需要的网络协议特征,并把特征传递到网关或防火墙设备,网络安全网关或防火墙系统根据管理员预设的基于用户业务系统的访问控制策略处理当前的网络连接和流量。
需要说明的是,在以下内容中,虽然都是以防火墙来对本发明的方案进行描述,但本发明方案同样适用于网络安全网络。并且,在本发明实施例中,防火墙/安全网关系统,应该理解为包含但不限于以下任意一种:传统的防火墙、传统的安全网关、下一代防火墙、应用防火墙,入侵防护系统、入侵防御系统、病毒防火墙、病毒安全网关、上网行为管理等产品形态。
具体地,本发明提出了一种基于用户业务系统的防火墙控制方法,如图1所示,该方法包括:
S101、接收客户端发送的包含一个或多个业务系统标识和业务系统网络信息的网络请求信息。
优选地,业务系统标识包括以下一种或多种:每个进程的厂商名称、每个进程的系统名称注册信息和每个进程对应的主窗口的窗口标题。
业务系统网络信息包括以下一种或多种:网络连接的协议、网络源端口、网络目的端口、网络源地址和网络目的地址。
在使用本发明方案之前,需要在用户的终端上安装客户端软件,用户访问网络时,客户端向防火墙或安全网关系统发送具有业务系统标识和业务系统网络信息,即,该业务系统正在使用的一个或多个网络使用特征(例如:网络连接的协议、网络源端口、网络目的端口、网络源地址、网络目的地址等信息)的网络请求信息到防火墙或安全网关系统。客户端软件会获取每个进程的厂商名称和系统名称注册信息,进程对应的主窗口的窗口标题,并用这3个信息组合生成业务系统标识。并且,客户端软件遍历属于相同业务系统标识的进程对应的所有线程或进程实例,获取本进程当前打开的所有套接字socks接口,读取传输协议、网络源目的地址,源目的端口等信息,生成业务系统网络信息。
S102、将网络请求信息中的业务系统标识与预置的一个或多个不同的业务安全访问控制策略中包含的业务系统标识一一匹配;其中,每个业务安全访问控制策略中包含一个或多个业务系统标识。
在本发明实施例中,管理员需要在防火墙和/或安全网关系统上预先配置业务安全访问控制策略。
优选地,业务安全访问控制策略和业务安全访问控制子策略中均包含以下信息的一种或多种:匹配条件、网络连接信息以及与所述网络连接信息相对应的操作指令。
优选地,业务安全访问控制策略中的匹配条件包括以下一种或多种:业务系统标识、网络协议IP地址、服务端口、网络协议、用户或用户组、时间、媒体访问地址MAC地址和网络访问统一资源定位符URL。
其中,业务安全访问控制策略中可以包含业务系统标识和/或业务系统标识的预留位。
S103、当在第一业务安全访问控制策略中找到与网络请求信息中包含的业务系统标识相匹配的业务系统标识时,检测第一业务安全访问控制策略中已经建立的网络连接中是否存在与业务系统网络信息相匹配的网络连接;根据检测结果以及第一业务安全访问控制策略中针对该网络连接的操作指令,建立完成该操作指令的一个或多个业务安全访问控制子策略。
优选地,根据检测结果以及第一业务安全访问控制策略中针对该网络连接的操作指令,建立完成该操作指令的一个或多个业务安全访问控制子策略包括:
情况一、如果已经存在相匹配的网络连接,则根据第一业务安全访问控制策略中针对网络连接的不同的操作指令,建立一个或多个不同的业务安全访问控制子策略;不同的操作指令包括:继续连接该网络连接、断开该网络连接或者部分断开该网络连接。当然,操作指令包含但不限于上述内容,其可以是用户所需要的、可实施的任何命令信息。
其中,在本发明实施例中,根据不同的操作指令建立一个或多个不同的业务安全访问控制子策略是指:
当操作指令为继续连接该网络连接时,防火墙会根据业务系统标识、IP地址、服务端口、网络协议、用户或用户组、时间、MAC地址和网络访问URL等信息,建立一条或多条不同的源端地址到不同的目的端的地址的具体的网络连接通道,并且为每条网络连接通道设置相应的匹配条件,以备后续对该连接通道进行快速查找。
当操作指令为断开该网络连接时,防火墙会根据业务系统标识、IP地址、服务端口、网络协议、用户或用户组、时间、MAC地址和网络访问URL等信息,将该网络连接中的一条或多条不同的源端地址到不同的目的端的地址的具体的网络连接通道一一设置为阻断状态,并且每条网络连接通道同样设置有相应的匹配条件。
当操作指令为部分断开该网络连接时,防火墙会根据业务系统标识、IP地址、服务端口、网络协议、用户或用户组、时间、MAC地址和网络访问URL等信息,将该网络连接中的一条或多条不同的源端地址到不同的目的端的地址的具体的网络连接通道中的一部分,根据该操作指令中的具体命令(如,源端地址1到目的端的地址3之间的通道断开),设置为阻断状态,并且在该方案中,每条网络连接通道同样设置有相应的匹配条件。
情况二、如果不存在相匹配的网络连接,则根据第一业务安全访问控制策略中的建立与业务系统网络信息相匹配的网络连接的操作指令建立一个或多个业务安全访问控制子策略,或者,根据第一业务安全访问控制策略中的断开与业务系统网络信息相匹配的网络连接的操作指令忽略该网络请求信息。
其中,根据第一业务安全访问控制策略中的建立与业务系统网络信息相匹配的网络连接的操作指令建立一个或多个业务安全访问控制子策略是指:
防火墙会根据业务系统标识、IP地址、服务端口、网络协议、用户或用户组、时间、MAC地址和网络访问URL等信息,建立一条或多条不同的源端地址到不同的目的端的地址的具体的网络连接通道,并且为每条网络连接通道设置相应的匹配条件,以备后续对该连接通道进行快速查找。
需要说明的是,业务安全访问控制子策略的匹配条件包括以下一种或多种:IP地址、服务端口、网络协议、用户或用户组、时间、媒体访问地址MAC地址和网络访问URL。
S104、基于业务安全访问控制子策略处理业务系统向防火墙传输的报文。
在本发明实施例中,业务安全访问控制子策略建立以后,业务系统后续的向防火墙发送的报文将会依据建立的业务安全访问控制子策略进行处理。
其中,报文处理的具体内容包含以下一种或多种,并且并不限于以下内容:丢弃数据报文,转发该数据报文,对报文所属的网络连接做流量控制,对报文进行存储审计,发送日志等动作的组合。
具体地,发送的报文将会依据建立的业务安全访问控制子策略进行处理是指:
防火墙会将接收到的业务系统发送来的报文网络请求信息中的匹配条件与业务安全访问控制子策略中预置的匹配条件相匹配,这里的方案同上述的与业务安全访问控制策略中的业务系统标识相匹配类似,在业务安全访问控制子策略中找到相匹配的条件以后,按照建立的与该匹配条件对应的一条或多条不同的源端地址到不同的目的端的地址的具体的网络连接通道对该报文进行传输,转发或阻断等处理。
为了达到上述目的,本发明还提出了一种基于用户业务系统的防火墙控制系统01,如图2所示,该系统包括:接收模块02、匹配模块03、检测模块04、构建模块05和处理模块06。
接收模块02、用于接收客户端发送的包含一个或多个业务系统标识和业务系统网络信息的网络请求信息。
匹配模块03、用于将网络请求信息中的业务系统标识与预置的一个或多个不同的业务安全访问控制策略中包含的业务系统标识一一匹配;其中,每个业务安全访问控制策略中包含一个或多个业务系统标识。
检测模块04、用于当在第一业务安全访问控制策略中找到与该网络请求信息中包含的业务系统标识相匹配的业务系统标识时,检测第一业务安全访问控制策略中已经建立的网络连接中是否存在与业务系统网络信息相匹配的网络连接。
构建模块05,用于根据检测结果以及第一业务安全访问控制策略中针对该网络连接的操作指令,建立完成该操作指令的一个或多个业务安全访问控制子策略。
处理模块06,用于基于业务安全访问控制子策略处理业务系统向防火墙传输的报文。
优选地,检测模块04根据检测结果以及第一业务安全访问控制策略中针对该网络连接的操作指令,建立完成该操作指令的一个或多个业务安全访问控制子策略是指:
如果已经存在相匹配的网络连接,则根据第一业务安全访问控制策略中针对网络连接的不同的操作指令,建立一个或多个不同的业务安全访问控制子策略;不同的操作指令包括:继续连接所述网络连接、断开所述网络连接或者部分断开所述网络连接。
如果不存在相匹配的网络连接,则根据第一业务安全访问控制策略中的建立与业务系统网络信息相匹配的网络连接的操作指令建立一个或多个业务安全访问控制子策略,或者,根据第一业务安全访问控制策略中的断开与业务系统网络信息相匹配的网络连接的操作指令忽略该网络请求信息。
优选地,业务安全访问控制策略和业务安全访问控制子策略中均包含以下信息的一种或多种:匹配条件、网络连接信息以及与网络连接信息相对应的操作指令。
优选地,业务安全访问控制策略中的匹配条件包括以下一种或多种:业务系统标识、网络协议IP地址、服务端口、网络协议、用户或用户组、时间、媒体访问地址MAC地址和网络访问统一资源定位符URL;
业务安全访问控制子策略的匹配条件包括以下一种或多种:IP地址、服务端口、网络协议、用户或用户组、时间、媒体访问地址MAC地址和网络访问URL。
优选地,业务系统标识包括以下一种或多种:每个进程的厂商名称、每个进程的系统名称注册信息和每个进程对应的主窗口的窗口标题。
业务系统网络信息包括以下一种或多种:网络连接的协议、网络源端口、网络目的端口、网络源地址和网络目的地址。
与现有技术相比,本发明包括:接收客户端发送的包含一个或多个业务系统标识和业务系统网络信息的网络请求信息。将网络请求信息中的业务系统标识与预置的一个或多个不同的业务安全访问控制策略中包含的业务系统标识一一匹配;其中,每个业务安全访问控制策略中包含一个或多个业务系统标识。当在第一业务安全访问控制策略中找到与网络请求信息中包含的业务系统标识相匹配的业务系统标识时,检测第一业务安全访问控制策略中已经建立的网络连接中是否存在与业务系统网络信息相匹配的网络连接;根据检测结果以及第一业务安全访问控制策略中针对该网络连接的操作指令,建立完成该操作指令的一个或多个业务安全访问控制子策略。基于业务安全访问控制子策略处理业务系统向防火墙传输的报文。通过本发明的方案,能够实现基于用户业务系统的防火墙级别的安全访问控制,增强了用户安全管理的易用性。
具体地,本发明的方案具有以下有益效果:
1)可以实现统一的针对用户业务系统的安全策略,实现基于用户业务系统的网关级别的安全访问控制,增强了用户安全管理的易用性。
2)可以实现针对使用相同网络应用协议的不同应用系统做不同的防火墙\安全网关系统的网络安全访问和流量控制策略,增强了用户业务系统的网络安全性。
3)可以实现业务到安全防护的需求和实现策略的直接呈现,管理员可以不用去理解业务系统到各种网络应用协议之间的技术映射关系,让管理员更关注于安全防护本身,降低了运维成本和安全管理难度。
需要说明的是,以上所述的实施例仅是为了便于本领域的技术人员理解而已,并不用于限制本发明的保护范围,在不脱离本发明的发明构思的前提下,本领域技术人员对本发明所做出的任何显而易见的替换和改进等均在本发明的保护范围之内。
Claims (10)
1.一种基于用户业务系统的防火墙控制方法,其特征在于,所述方法包括:
接收客户端发送的包含一个或多个业务系统标识和业务系统网络信息的网络请求信息;
将所述网络请求信息中的所述业务系统标识与预置的一个或多个不同的业务安全访问控制策略中包含的所述业务系统标识一一匹配;其中,每个所述业务安全访问控制策略中包含一个或多个所述业务系统标识;
当在第一业务安全访问控制策略中找到与所述网络请求信息中包含的所述业务系统标识相匹配的业务系统标识时,检测所述第一业务安全访问控制策略中已经建立的网络连接中是否存在与所述业务系统网络信息相匹配的网络连接;根据检测结果以及所述第一业务安全访问控制策略中针对所述网络连接的操作指令,建立完成所述操作指令的一个或多个业务安全访问控制子策略;
基于所述业务安全访问控制子策略处理所述业务系统向所述防火墙传输的报文。
2.如权利要求1所述的方法,其特征在于,所述根据检测结果以及所述第一业务安全访问控制策略中针对所述网络连接的操作指令,建立完成所述操作指令的一个或多个业务安全访问控制子策略包括:
如果已经存在相匹配的网络连接,则根据所述第一业务安全访问控制策略中针对所述网络连接的不同的操作指令,建立一个或多个不同的业务安全访问控制子策略;所述不同的操作指令包括:继续连接所述网络连接、断开所述网络连接或者部分断开所述网络连接;
如果不存在相匹配的网络连接,则根据所述第一业务安全访问控制策略中的建立与所述业务系统网络信息相匹配的网络连接的操作指令建立一个或多个业务安全访问控制子策略,或者,根据所述第一业务安全访问控制策略中的断开与所述业务系统网络信息相匹配的网络连接的操作指令忽略所述网络请求信息。
3.如权利要求2所述的方法,其特征在于,所述业务安全访问控制策略和所述业务安全访问控制子策略中均包含以下信息的一种或多种:匹配条件、网络连接信息以及与所述网络连接信息相对应的操作指令。
4.如权利要求3所述的方法,其特征在于,所述业务安全访问控制策略中的匹配条件包括以下一种或多种:所述业务系统标识、网络协议IP地址、服务端口、网络协议、用户或用户组、时间、媒体访问地址MAC地址和网络访问统一资源定位符URL;
所述业务安全访问控制子策略的匹配条件包括以下一种或多种:所述IP地址、服务端口、网络协议、用户或用户组、时间、媒体访问地址MAC地址和网络访问URL。
5.如权利要求4所述的方法,其特征在于,所述业务系统标识包括以下一种或多种:每个进程的厂商名称、每个进程的系统名称注册信息和每个进程对应的主窗口的窗口标题;
所述业务系统网络信息包括以下一种或多种:网络连接的协议、网络源端口、网络目的端口、网络源地址和网络目的地址。
6.一种基于用户业务系统的防火墙控制系统,其特征在于,所述系统包括:接收模块、匹配模块、检测模块、构建模块和处理模块;
接收模块、用于接收客户端发送的包含一个或多个业务系统标识和业务系统网络信息的网络请求信息;
匹配模块、用于将所述网络请求信息中的所述业务系统标识与预置的一个或多个不同的业务安全访问控制策略中包含的所述业务系统标识一一匹配;其中,每个所述业务安全访问控制策略中包含一个或多个所述业务系统标识;
检测模块、用于当在第一业务安全访问控制策略中找到与所述网络请求信息中包含的所述业务系统标识相匹配的业务系统标识时,检测所述第一业务安全访问控制策略中已经建立的网络连接中是否存在与所述业务系统网络信息相匹配的网络连接;
构建模块,用于根据检测结果以及所述第一业务安全访问控制策略中针对所述网络连接的操作指令,建立完成所述操作指令的一个或多个业务安全访问控制子策略;
处理模块,用于基于所述业务安全访问控制子策略处理所述业务系统向所述防火墙传输的报文。
7.如权利要求6所述的系统,其特征在于,所述检测模块根据检测结果以及所述第一业务安全访问控制策略中针对所述网络连接的操作指令,建立完成所述操作指令的一个或多个业务安全访问控制子策略是指:
如果已经存在相匹配的网络连接,则根据所述第一业务安全访问控制策略中针对所述网络连接的不同的操作指令,建立一个或多个不同的业务安全访问控制子策略;所述不同的操作指令包括:继续连接所述网络连接、断开所述网络连接或者部分断开所述网络连接;
如果不存在相匹配的网络连接,则根据所述第一业务安全访问控制策略中的建立与所述业务系统网络信息相匹配的网络连接的操作指令建立一个或多个业务安全访问控制子策略,或者,根据所述第一业务安全访问控制策略中的断开与所述业务系统网络信息相匹配的网络连接的操作指令忽略所述网络请求信息。
8.如权利要求7所述的系统,其特征在于,所述业务安全访问控制策略和所述业务安全访问控制子策略中均包含以下信息的一种或多种:匹配条件、网络连接信息以及与所述网络连接信息相对应的操作指令。
9.如权利要求8所述的系统,其特征在于,所述业务安全访问控制策略中的匹配条件包括以下一种或多种:所述业务系统标识、网络协议IP地址、服务端口、网络协议、用户或用户组、时间、媒体访问地址MAC地址和网络访问统一资源定位符URL;
所述业务安全访问控制子策略的匹配条件包括以下一种或多种:所述IP地址、服务端口、网络协议、用户或用户组、时间、媒体访问地址MAC地址和网络访问URL。
10.如权利要求9所述的系统,其特征在于,所述业务系统标识包括以下一种或多种:每个进程的厂商名称、每个进程的系统名称注册信息和每个进程对应的主窗口的窗口标题;
所述业务系统网络信息包括以下一种或多种:网络连接的协议、网络源端口、网络目的端口、网络源地址和网络目的地址。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510323975.2A CN106302371B (zh) | 2015-06-12 | 2015-06-12 | 一种基于用户业务系统的防火墙控制方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510323975.2A CN106302371B (zh) | 2015-06-12 | 2015-06-12 | 一种基于用户业务系统的防火墙控制方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106302371A true CN106302371A (zh) | 2017-01-04 |
| CN106302371B CN106302371B (zh) | 2019-06-28 |
Family
ID=57650074
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510323975.2A Active CN106302371B (zh) | 2015-06-12 | 2015-06-12 | 一种基于用户业务系统的防火墙控制方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106302371B (zh) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110532789A (zh) * | 2019-08-13 | 2019-12-03 | 南京芯驰半导体科技有限公司 | 一种层次化的系统防火墙及配置方法 |
| CN112087415A (zh) * | 2019-06-12 | 2020-12-15 | 瞻博网络公司 | 基于应用路径的网络业务控制 |
| CN112448948A (zh) * | 2020-11-12 | 2021-03-05 | 平安普惠企业管理有限公司 | 一种防火墙开通结果验证方法、装置、设备及存储介质 |
| CN113079180A (zh) * | 2021-04-20 | 2021-07-06 | 成都安恒信息技术有限公司 | 一种基于执行上下文的防火墙细粒度访问控制方法及系统 |
| CN113162943A (zh) * | 2021-04-28 | 2021-07-23 | 中国工商银行股份有限公司 | 一种防火墙策略动态管理的方法、装置、设备和存储介质 |
| CN113300908A (zh) * | 2021-04-28 | 2021-08-24 | 郑州信大捷安信息技术股份有限公司 | 一种基于单向网络边界设备的链路监测方法和系统 |
| CN113301053A (zh) * | 2021-05-31 | 2021-08-24 | 深圳市风云实业有限公司 | 一种基于可扩展的高性能网络边界防护检测系统及方法 |
| CN113407983A (zh) * | 2020-03-16 | 2021-09-17 | 北京国双科技有限公司 | 一种安全策略的下发方法及装置 |
| CN113596033A (zh) * | 2021-07-30 | 2021-11-02 | 深信服科技股份有限公司 | 访问控制方法及装置、设备、存储介质 |
| CN114679290A (zh) * | 2021-05-20 | 2022-06-28 | 腾讯云计算(北京)有限责任公司 | 一种网络安全管理方法及电子设备 |
| CN115065613A (zh) * | 2022-06-08 | 2022-09-16 | 北京启明星辰信息安全技术有限公司 | 一种基于防火墙配置的网络连通性分析系统及分析方法 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1794720A (zh) * | 2005-07-29 | 2006-06-28 | 华为技术有限公司 | 一种数据业务系统及接入控制方法 |
| EP2547049A1 (en) * | 2010-05-25 | 2013-01-16 | Huawei Technologies Co., Ltd. | Method, system and corresponding apparatus for implementing policy and charging control |
| CN103246262A (zh) * | 2013-04-22 | 2013-08-14 | 湖南智卓创新金融电子有限公司 | 一种网络数据分析用综合服务系统 |
| CN103532833A (zh) * | 2013-11-05 | 2014-01-22 | 中国联合网络通信集团有限公司 | 一种业务系统访问方法、终端及代理服务系统 |
| CN103888928A (zh) * | 2014-03-04 | 2014-06-25 | 华为技术有限公司 | 一种业务策略控制方法及系统 |
| CN104053141A (zh) * | 2010-03-31 | 2014-09-17 | 华为技术有限公司 | 对用户业务的数据流进行控制的方法和装置 |
-
2015
- 2015-06-12 CN CN201510323975.2A patent/CN106302371B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1794720A (zh) * | 2005-07-29 | 2006-06-28 | 华为技术有限公司 | 一种数据业务系统及接入控制方法 |
| CN104053141A (zh) * | 2010-03-31 | 2014-09-17 | 华为技术有限公司 | 对用户业务的数据流进行控制的方法和装置 |
| EP2547049A1 (en) * | 2010-05-25 | 2013-01-16 | Huawei Technologies Co., Ltd. | Method, system and corresponding apparatus for implementing policy and charging control |
| CN103246262A (zh) * | 2013-04-22 | 2013-08-14 | 湖南智卓创新金融电子有限公司 | 一种网络数据分析用综合服务系统 |
| CN103532833A (zh) * | 2013-11-05 | 2014-01-22 | 中国联合网络通信集团有限公司 | 一种业务系统访问方法、终端及代理服务系统 |
| CN103888928A (zh) * | 2014-03-04 | 2014-06-25 | 华为技术有限公司 | 一种业务策略控制方法及系统 |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112087415A (zh) * | 2019-06-12 | 2020-12-15 | 瞻博网络公司 | 基于应用路径的网络业务控制 |
| CN112087415B (zh) * | 2019-06-12 | 2023-01-31 | 瞻博网络公司 | 基于应用路径的网络业务控制 |
| CN110532789A (zh) * | 2019-08-13 | 2019-12-03 | 南京芯驰半导体科技有限公司 | 一种层次化的系统防火墙及配置方法 |
| CN113407983A (zh) * | 2020-03-16 | 2021-09-17 | 北京国双科技有限公司 | 一种安全策略的下发方法及装置 |
| CN112448948A (zh) * | 2020-11-12 | 2021-03-05 | 平安普惠企业管理有限公司 | 一种防火墙开通结果验证方法、装置、设备及存储介质 |
| CN113079180A (zh) * | 2021-04-20 | 2021-07-06 | 成都安恒信息技术有限公司 | 一种基于执行上下文的防火墙细粒度访问控制方法及系统 |
| CN113079180B (zh) * | 2021-04-20 | 2023-03-10 | 成都安恒信息技术有限公司 | 一种基于执行上下文的防火墙细粒度访问控制方法及系统 |
| CN113300908B (zh) * | 2021-04-28 | 2022-03-11 | 郑州信大捷安信息技术股份有限公司 | 一种基于单向网络边界设备的链路监测方法和系统 |
| CN113300908A (zh) * | 2021-04-28 | 2021-08-24 | 郑州信大捷安信息技术股份有限公司 | 一种基于单向网络边界设备的链路监测方法和系统 |
| CN113162943A (zh) * | 2021-04-28 | 2021-07-23 | 中国工商银行股份有限公司 | 一种防火墙策略动态管理的方法、装置、设备和存储介质 |
| CN114679290A (zh) * | 2021-05-20 | 2022-06-28 | 腾讯云计算(北京)有限责任公司 | 一种网络安全管理方法及电子设备 |
| CN113301053A (zh) * | 2021-05-31 | 2021-08-24 | 深圳市风云实业有限公司 | 一种基于可扩展的高性能网络边界防护检测系统及方法 |
| CN113596033A (zh) * | 2021-07-30 | 2021-11-02 | 深信服科技股份有限公司 | 访问控制方法及装置、设备、存储介质 |
| CN115065613A (zh) * | 2022-06-08 | 2022-09-16 | 北京启明星辰信息安全技术有限公司 | 一种基于防火墙配置的网络连通性分析系统及分析方法 |
| CN115065613B (zh) * | 2022-06-08 | 2024-01-12 | 北京启明星辰信息安全技术有限公司 | 一种基于防火墙配置的网络连通性分析系统及分析方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106302371B (zh) | 2019-06-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106302371A (zh) | 一种基于用户业务系统的防火墙控制方法和系统 | |
| CN106161335B (zh) | 一种网络数据包的处理方法和装置 | |
| CN101022340B (zh) | 实现城域以太网交换机接入安全的智能控制方法 | |
| CN101431449B (zh) | 一种网络流量清洗系统 | |
| CN101399749B (zh) | 一种报文过滤的方法、系统和设备 | |
| CN100437543C (zh) | 在第2层装置中实现第3层/第7层防火墙的方法和设备 | |
| CN101378395B (zh) | 一种防止拒绝访问攻击的方法及装置 | |
| CN105634956B (zh) | 一种报文转发方法、装置和系统 | |
| CN102882828A (zh) | 一种内网与外网间的信息安全传输控制方法及其网关 | |
| CN100459563C (zh) | 认证网关及其数据处理方法 | |
| CN101022394A (zh) | 一种实现虚拟局域网聚合的方法及汇聚交换机 | |
| CN104601566B (zh) | 认证方法以及装置 | |
| CN102594814A (zh) | 基于端末的网络访问控制系统 | |
| CN111385326B (zh) | 轨道交通通信系统 | |
| CN102984031B (zh) | 一种使编码设备安全接入监控网络的方法和装置 | |
| CN101577729A (zh) | DNS重定向与Http重定向相结合的旁路阻断方法 | |
| CN101102291A (zh) | 基于pppoe代理功能实现用户接入互联网的方法 | |
| US7971250B2 (en) | System and method for providing data content analysis in a local area network | |
| CN104378657A (zh) | 一种基于代理与隔离的视频安全接入系统及其方法 | |
| CN102594834B (zh) | 网络攻击的防御方法及装置、网络设备 | |
| CN101917425A (zh) | 双向在线方式的网吧流量集中式清洗系统及方法 | |
| US20110176437A1 (en) | Traffic volume monitoring system | |
| CN101141396B (zh) | 报文处理方法和网络设备 | |
| CN101909021A (zh) | Bgp网关设备及利用该设备实现通断网关功能的方法 | |
| CN108712398A (zh) | 认证服务器的端口认证方法、服务器、交换机和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |