CN106790309A - 一种应用于多协议安全网关系统的过滤模块及其应用 - Google Patents

一种应用于多协议安全网关系统的过滤模块及其应用 Download PDF

Info

Publication number
CN106790309A
CN106790309A CN201710205414.1A CN201710205414A CN106790309A CN 106790309 A CN106790309 A CN 106790309A CN 201710205414 A CN201710205414 A CN 201710205414A CN 106790309 A CN106790309 A CN 106790309A
Authority
CN
China
Prior art keywords
filtering
data
protocol
packet
filtering module
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201710205414.1A
Other languages
English (en)
Inventor
朱书杉
张小亮
李若寒
刘强
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shandong Chaoyue Numerical Control Electronics Co Ltd
Original Assignee
Shandong Chaoyue Numerical Control Electronics Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shandong Chaoyue Numerical Control Electronics Co Ltd filed Critical Shandong Chaoyue Numerical Control Electronics Co Ltd
Priority to CN201710205414.1A priority Critical patent/CN106790309A/zh
Publication of CN106790309A publication Critical patent/CN106790309A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及一种应用于多协议安全网关系统的过滤模块及其应用。本发明所述应用于多协议安全网关系统的过滤模块,进行解析过滤时,按照策略匹配,提供快慢两种通道,通过快慢通道选择提供更大数据流量的处理,过滤模块按照策略匹配对网络包的包头进行筛选,通过筛选的大流量网络包可通过快通道通过过滤模块,其他数据网络包进入慢通道,对网络包的内容进行过滤。快慢通道的设计提高了网关系统的吞吐量,降低了数据传输的时延,通过快慢通道设计实现了业务分流。

Description

一种应用于多协议安全网关系统的过滤模块及其应用
技术领域
本发明涉及一种应用于多协议安全网关系统的过滤模块及其应用,属于网络安全的技术领域。
背景技术
网关又称网间连接器、协议转换器。网关在传输层上以实现网络互连,是最复杂的网络互连设备,仅用于两个高层协议不同的网络互连。网关既可以用于广域网互连,也可以用于局域网互连。它是一种充当转换重任的计算机系统或设备。同时,也可以提供过滤和安全功能。采取适当的技术措施,对互联网不良信息进行过滤,既可阻止不良信息对人们的侵害,适应社会对意识形态方面的要求,通过规范用户的上网行为,提高工作效率,合理利用网络资源,减少病毒对网络的侵害。
现有的网关系统,很难满足数据传输过程中针对多样化协议对数据进行过滤保护的需求,导致网间传输数据安全性不足。
发明内容
针对现有技术的不足,本发明提供一种应用于多协议安全网关系统的过滤模块。
本发明还提供一种利用上述过滤模块对访问数据控制的方法。
发明概述:
本发明所述应用于多协议安全网关系统的过滤模块的主要工作包括对通信协议 的解析、对源IP和目的IP的过滤、系统自身参数配置以及审计工作。其中,系统自身参数配 置,除了Linux操作系统无用服务和端口一律关闭外,还与网关系统的上层形成联动。数据 包经过网关系统时,Netfilter/Iptables机制对数据包内的特征信息进行检测;网关系统 内的安全规则按照白名单和黑名单相结合的方式对数据包进行过滤处理。
本发明的技术方案为:
一种应用于多协议安全网关系统的过滤模块,包括内核层、应用处理层和数据库; 所述内核层通过Netfilter框架处理IP层数据包,通过自定义Iptables规则集表结构、自定 义协议过滤过程和通过Netfilter提供hook函数的管理机制实现对数据包的过滤;所述数 据库内设置有过滤规则和安全策略,并将系统生成的系统日志和审计日志计入数据库,再 由上层交互呈现;所述应用处理层按照所述过滤规则和安全策略进行匹配,并基于白名单 和黑名单方式实现数据包检测、协议信息解析,IP、端口协议策略过滤和数据包处理。
系统自身参数配置,除了Linux操作系统无用服务和端口一律关闭外,还与网关系统的上层形成联动,完成系统IP地址、子网掩码、ID、串口信息、时间等相关参数的设置,并且与上层形成交互,完成对每台受保护设备配置专门的策略和规则。过滤模块中的审计功能主要生成系统产生的系统日志以及对数据包过滤解析时产生的审计日志,记录操作时间、设备ID、源IP地址、目的IP地址、子网掩码、通信协议、数据包类型以及通信结果,在上层交互模块中可由系统管理员查看。
根据本发明优选的,数据库中的安全策略包括规则表、策略表、规则-策略表,设备表;所述设备表用于存储设备的ID及过滤协议,通过设备的ID关联到策略表,通过规则-策略表可由安全策略查找到对应的安全规则,通过多表联查,可以查找该设备所对应的规则,最终在应用处理层中按照安全规则实现数据过滤。
根据本发明优选的,通过Netfilter提供hook函数的管理机制实现对数据包的过滤的具体方法为,将编写的Hook函数注册到Netfilter监控的5个关键点对数据包进行处理。
根据本发明优选的,所述过滤规则和安全策略由上层配置交互模块设置在数据库内。
一种利用上述过滤模块对访问数据控制的方法,包括三方面安全防护:可信IP地 址的认证、串行数据的端口控制及数据校验处理、协议格式检查及协议过滤;过滤模块总体 应用Linux的Netfilter/Iptables机制实现,过程如下:
1)下行数据上传时,对源IP进行访问控制;如果源IP在网关的安全规则中已经配置,则设备与网关系统建立连接;在网关中已经配置的源IP为可信源IP;
2)设备与网关系统建立连接后,应用处理层检测数据是否为业务数据,如果是业务数据,则检测目标IP是否为可信源IP对应的目标IP,并检测目标IP对应的端口是否为可信端口,如果不是业务数据,则将数据丢弃,并记录审计日志;如果目标IP为可信源IP对应的目标IP且目标IP对应的端口为可信端口,则通过可信端口对所述对业务数据的包头进行检查,即协议过滤,从包头中过滤出的数据长度满足安全策略中设置的快速通道数据长度,则数据包进入快通道进行协议过滤,如果从包头中解析出的数据长度不满足安全策略中设置的快通道数据长度,则数据包进入慢通道进行协议过滤;如果目标IP地址不是可信IP,或者目标IP对应的端口不是可信端口,则数据包直接丢弃,不进行解析;
数据包通过本发明实现的过滤模块进行解析过滤时,按照策略匹配,提供快慢两种通道,通过快慢通道选择提供更大数据流量的处理,过滤模块按照策略匹配对网络包的包头进行筛选,通过筛选的大流量网络包可通过快通道通过过滤模块,其他数据网络包进入慢通道,对网络包的内容进行过滤。快慢通道的设计提高了网关系统的吞吐量,降低了数据传输的时延,通过快慢通道设计实现了业务分流。
根据本发明优选的,所述协议过滤的具体过程为,通过数据库中的过滤规则和安全策略对业务数据进行过滤;内核层从所述设备表中读取发送数据包的设备对应的过滤协议和过滤协议对应的安全策略,由安全策略关联到对应的过滤规则;具体过程如下:内核层根据设备ID从安全策略表中查找对应的安全策略ID,然后根据安全策略ID从安全规则-策略表查找对应的安全规则ID,最后根据安全规则ID从安全规则表中查找对应的过滤规则内容;如果业务数据的规格符合对应的安全策略和过滤规则,则网关对数据进行接收或者转发,否则网关将数据丢弃。通过多表联查,最终通过过滤程序实现过滤过程。
根据本发明优选的,所述安全规则包括IP、端口和协议策略;每台受保护设备配置有不同的协议策略。
根据本发明优选的,所述特征信息存储于数据包的包头内。
根据本发明优选的,所述特征信息包括IP地址信息和协议信息。
根据本发明优选的,所述过滤过程在应用处理层进行。应用层进行过滤过程对通过网关的所有数据包都会进行检测和过滤。
根据本发明优选的,源IP的配置和通信端口的配置在每台设备添加时完成。
本发明的有益效果为:
1、本发明所述应用于多协议安全网关系统的过滤模块,对每台受保护的设备都配置专门的安全策略和规则进行工作,于每台设备启动一个进程,能够解析多种常见通信协议,并通过对源IP地址及目的IP地址的过滤,增强通信过程中的安全性,达到更好的保护效果。
2、本发明所述应用于多协议安全网关系统的过滤模块,采用白名单和黑名单的双重过滤机制,使数据过滤速度加快,同时双重保障机制,保证了数据的安全性;
3、本发明所述应用于多协议安全网关系统的过滤模块,进行解析过滤时,按照策略匹配,提供快慢两种通道,通过快慢通道选择提供更大数据流量的处理,过滤模块按照策略匹配对网络包的包头进行筛选,通过筛选的大流量网络包可通过快通道通过过滤模块,其他数据网络包进入慢通道,对网络包的内容进行过滤。快慢通道的设计提高了网关系统的吞吐量,降低了数据传输的时延,通过快慢通道设计实现了业务分流;
4、本发明所述应用于多协议安全网关系统的过滤模块中的数据库,采用四表联查的方式,可由设备ID查找到对应的安全规则,按照匹配的安全规则实现数据包的过滤。
附图说明
图1为本发明所述应用于多协议安全网关系统的过滤模块的结构示意图;
图2为本发明所述协议过滤的流程图。
具体实施方式
下面结合实施例和说明书附图对本发明做进一步说明,但不限于此。
实施例1
如图1-2所示。
一种应用于多协议安全网关系统的过滤模块,包括内核层、应用处理层和数据库; 所述内核层通过Netfilter框架处理IP层数据包,通过自定义Iptables规则集表结构、自定 义协议过滤过程和通过Netfilter提供hook函数的管理机制实现对数据包的过滤;所述数 据库内设置有过滤规则和安全策略,并将系统生成的系统日志和审计日志计入数据库,再 由上层交互呈现;所述应用处理层按照所述过滤规则和安全策略进行匹配,并基于白名单 和黑名单方式实现数据包检测、协议信息解析,IP、端口协议策略过滤和数据包处理。
系统自身参数配置,除了Linux操作系统无用服务和端口一律关闭外,还与网关系统的上层形成联动,完成系统IP地址、子网掩码、ID、串口信息、时间等相关参数的设置,并且与上层形成交互,完成对每台受保护设备配置专门的策略和规则。过滤模块中的审计功能主要生成系统产生的系统日志以及对数据包过滤解析时产生的审计日志,记录操作时间、设备ID、源IP地址、目的IP地址、子网掩码、通信协议、数据包类型以及通信结果,在上层交互模块中可由系统管理员查看。
实施例2
如实施例1所述的应用于多协议安全网关系统的过滤模块,所不同的是,数据库中的安全策略包括规则表、策略表、规则-策略表,设备表;所述设备表用于存储设备的ID及过滤协议,通过设备的ID关联到策略表,通过规则-策略表可由安全策略查找到对应的安全规则,通过多表联查,可以查找该设备所对应的规则,最终在应用处理层中按照安全规则实现数据过滤。
实施例3
如实施例1所述的应用于多协议安全网关系统的过滤模块,所不同的是,通过Netfilter提供hook函数的管理机制实现对数据包的过滤的具体方法为,将编写的Hook函数注册到Netfilter监控的5个关键点对数据包进行处理。
实施例4
如实施例1所述的应用于多协议安全网关系统的过滤模块,所不同的是,所述过滤规则和安全策略由上层配置交互模块设置在数据库内。
实施例5
一种利用实施例1-4所述的过滤模块对访问数据控制的方法,包括三方面安全防 护:可信IP地址的认证、串行数据的端口控制及数据校验处理、协议格式检查及协议过滤; 过滤模块总体应用Linux的Netfilter/Iptables机制实现,过程如下:
1)下行数据上传时,对源IP进行访问控制;如果源IP在网关的安全规则中已经配置,则设备与网关系统建立连接;在网关中已经配置的源IP为可信源IP;
2)设备与网关系统建立连接后,应用处理层检测数据是否为业务数据,如果是业务数据,则检测目标IP是否为可信源IP对应的目标IP,并检测目标IP对应的端口是否为可信端口,如果不是业务数据,则将数据丢弃,并记录审计日志;如果目标IP为可信源IP对应的目标IP且目标IP对应的端口为可信端口,则通过可信端口对所述对业务数据的包头进行检查,即协议过滤,从包头中过滤出的数据长度满足安全策略中设置的快速通道数据长度,则数据包进入快通道进行协议过滤,如果从包头中解析出的数据长度不满足安全策略中设置的快通道数据长度,则数据包进入慢通道进行协议过滤;如果目标IP地址不是可信IP,或者目标IP对应的端口不是可信端口,则数据包直接丢弃,不进行解析;
数据包通过本发明实现的过滤模块进行解析过滤时,按照策略匹配,提供快慢两种通道,通过快慢通道选择提供更大数据流量的处理,过滤模块按照策略匹配对网络包的包头进行筛选,通过筛选的大流量网络包可通过快通道通过过滤模块,其他数据网络包进入慢通道,对网络包的内容进行过滤。快慢通道的设计提高了网关系统的吞吐量,降低了数据传输的时延,通过快慢通道设计实现了业务分流。
实施例6
如实施例5所述的过滤模块对访问数据控制的方法,所不同的是,所述协议过滤的具体过程为,通过数据库中的过滤规则和安全策略对业务数据进行过滤;内核层从所述设备表中读取发送数据包的设备对应的过滤协议和过滤协议对应的安全策略,由安全策略关联到对应的过滤规则;具体过程如下:内核层根据设备ID从安全策略表中查找对应的安全策略ID,然后根据安全策略ID从安全规则-策略表查找对应的安全规则ID,最后根据安全规则ID从安全规则表中查找对应的过滤规则内容;如果业务数据的规格符合对应的安全策略和过滤规则,则网关对数据进行接收或者转发,否则网关将数据丢弃。通过多表联查,最终通过过滤程序实现过滤过程。
实施例7
如实施例5所述的过滤模块对访问数据控制的方法,所不同的是,所述安全规则包括IP、端口和协议策略;每台受保护设备配置有不同的协议策略。
实施例8
如实施例5所述的过滤模块对访问数据控制的方法,所不同的是,所述特征信息存储于数据包的包头内。
实施例9
如实施例5所述的过滤模块对访问数据控制的方法,所不同的是,所述特征信息包括IP地址信息和协议信息。
实施例10
如实施例5所述的过滤模块对访问数据控制的方法,所不同的是,所述过滤过程在应用处理层进行。应用层进行过滤过程对通过网关的所有数据包都会进行检测和过滤。
实施例11
如实施例5所述的过滤模块对访问数据控制的方法,所不同的是,源IP的配置和通信端口的配置在每台设备添加时完成。

Claims (10)

1.一种应用于多协议安全网关系统的过滤模块,其特征在于,包括内核层、应用处理层和数据库;所述内核层通过Netfilter框架处理IP层数据包,通过自定义Iptables规则集表结构、自定义协议过滤过程和通过Netfilter提供hook函数的管理机制实现对数据包的过滤;所述数据库内设置有过滤规则和安全策略,并将系统生成的系统日志和审计日志计入数据库,再由上层交互呈现;所述应用处理层按照所述过滤规则和安全策略进行匹配,并基于白名单和黑名单方式实现数据包检测、协议信息解析,IP、端口协议策略过滤和数据包处理。
2.根据权利要求1所述的应用于多协议安全网关系统的过滤模块,其特征在于,数据库中的安全策略包括规则表、策略表、规则-策略表,设备表。
3.根据权利要求1所述的应用于多协议安全网关系统的过滤模块,其特征在于,通过Netfilter提供hook函数的管理机制实现对数据包的过滤的具体方法为,将编写的Hook函数注册到Netfilter监控的5个关键点对数据包进行处理。
4.根据权利要求1所述的应用于多协议安全网关系统的过滤模块,其特征在于,所述过滤规则和安全策略由上层配置交互模块设置在数据库内。
5.一种利用权利要求1-4任意一项所述过滤模块对访问数据控制的方法,其特征在于,包括三方面安全防护:可信IP地址的认证、串行数据的端口控制及数据校验处理、协议格式检查及协议过滤;过滤模块总体应用Linux的Netfilter/Iptables机制实现,过程如下:
1)下行数据上传时,对源IP进行访问控制;如果源IP在网关的安全规则中已经配置,则设备与网关系统建立连接;在网关中已经配置的源IP为可信源IP;
2)设备与网关系统建立连接后,应用处理层检测数据是否为业务数据,如果是业务数据,则检测目标IP是否为可信源IP对应的目标IP,并检测目标IP对应的端口是否为可信端口,如果不是业务数据,则将数据丢弃,并记录审计日志;如果目标IP为可信源IP对应的目标IP且目标IP对应的端口为可信端口,则通过可信端口对所述对业务数据的包头进行检查,即协议过滤,从包头中过滤出的数据长度满足安全策略中设置的快速通道数据长度,则数据包进入快通道进行协议过滤,如果从包头中解析出的数据长度不满足安全策略中设置的快通道数据长度,则数据包进入慢通道进行协议过滤;如果目标IP地址不是可信IP,或者目标IP对应的端口不是可信端口,则数据包直接丢弃,不进行解析。
6.根据权利要求5所述的过滤模块对访问数据控制的方法,其特征在于,所述协议过滤的具体过程为,通过数据库中的过滤规则和安全策略对业务数据进行过滤;内核层从所述设备表中读取发送数据包的设备对应的过滤协议和过滤协议对应的安全策略,由安全策略关联到对应的过滤规则;具体过程如下:内核层根据设备ID从安全策略表中查找对应的安全策略ID,然后根据安全策略ID从安全规则-策略表查找对应的安全规则ID,最后根据安全规则ID从安全规则表中查找对应的过滤规则内容;如果业务数据的规格符合对应的安全策略和过滤规则,则网关对数据进行接收或者转发,否则网关将数据丢弃。
7.根据权利要求5所述的过滤模块对访问数据控制的方法,其特征在于,所述安全规则包括IP、端口和协议策略;每台受保护设备配置有不同的协议策略。
8.根据权利要求5所述的过滤模块对访问数据控制的方法,其特征在于,所述特征信息存储于数据包的包头内;所述特征信息包括IP地址信息和协议信息。
9.根据权利要求5所述的过滤模块对访问数据控制的方法,其特征在于,所述过滤过程在应用处理层进行。
10.根据权利要求5所述的过滤模块对访问数据控制的方法,其特征在于,源IP的配置和通信端口的配置在每台设备添加时完成。
CN201710205414.1A 2017-03-31 2017-03-31 一种应用于多协议安全网关系统的过滤模块及其应用 Pending CN106790309A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710205414.1A CN106790309A (zh) 2017-03-31 2017-03-31 一种应用于多协议安全网关系统的过滤模块及其应用

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710205414.1A CN106790309A (zh) 2017-03-31 2017-03-31 一种应用于多协议安全网关系统的过滤模块及其应用

Publications (1)

Publication Number Publication Date
CN106790309A true CN106790309A (zh) 2017-05-31

Family

ID=58965539

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710205414.1A Pending CN106790309A (zh) 2017-03-31 2017-03-31 一种应用于多协议安全网关系统的过滤模块及其应用

Country Status (1)

Country Link
CN (1) CN106790309A (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108495087A (zh) * 2018-03-29 2018-09-04 北京安为科技有限公司 视频监控系统前端的安全智能处理装置和控制方法
CN108809795A (zh) * 2018-04-19 2018-11-13 中国科学院计算机网络信息中心 一种局域网环境中透明分流方法和装置
CN110311922A (zh) * 2019-07-16 2019-10-08 山东超越数控电子股份有限公司 一种高并发策略决策系统、可信网络系统及接入方法
CN111193722A (zh) * 2019-12-16 2020-05-22 武汉思为同飞网络技术股份有限公司 基于Linux内核加速转发的方法、装置、设备及介质
CN113098895A (zh) * 2021-04-26 2021-07-09 成都中恒星电科技有限公司 一种基于dpdk的网络流量隔离系统

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104320332A (zh) * 2014-11-13 2015-01-28 济南华汉电气科技有限公司 多协议工业通信安全网关及应用该网关的通信方法

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104320332A (zh) * 2014-11-13 2015-01-28 济南华汉电气科技有限公司 多协议工业通信安全网关及应用该网关的通信方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
宋吉业: "基于L i nux多协议工业/医用安全网关的设计", 《万方》 *

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108495087A (zh) * 2018-03-29 2018-09-04 北京安为科技有限公司 视频监控系统前端的安全智能处理装置和控制方法
CN108809795A (zh) * 2018-04-19 2018-11-13 中国科学院计算机网络信息中心 一种局域网环境中透明分流方法和装置
CN110311922A (zh) * 2019-07-16 2019-10-08 山东超越数控电子股份有限公司 一种高并发策略决策系统、可信网络系统及接入方法
CN110311922B (zh) * 2019-07-16 2021-11-09 超越科技股份有限公司 一种高并发策略决策系统、可信网络系统及接入方法
CN111193722A (zh) * 2019-12-16 2020-05-22 武汉思为同飞网络技术股份有限公司 基于Linux内核加速转发的方法、装置、设备及介质
CN111193722B (zh) * 2019-12-16 2022-02-22 武汉思为同飞网络技术股份有限公司 基于Linux内核加速转发的方法、装置、设备及介质
CN113098895A (zh) * 2021-04-26 2021-07-09 成都中恒星电科技有限公司 一种基于dpdk的网络流量隔离系统

Similar Documents

Publication Publication Date Title
CN106790309A (zh) 一种应用于多协议安全网关系统的过滤模块及其应用
CN101610264B (zh) 一种防火墙系统、安全服务平台及防火墙系统的管理方法
CN1574839B (zh) 多层防火墙结构
CN101834865B (zh) 用于管理基于网络过滤器的策略的方法
US8806607B2 (en) Unauthorized data transfer detection and prevention
CN103650436B (zh) 业务路径分配方法、路由器和业务执行实体
EP3270564B1 (en) Distributed security provisioning
ES2302809T3 (es) Filtro de paquetes dinamicos que utiliza un seguimiento de sesion.
CN101567888B (zh) 网络反馈主机安全防护方法
CN107872456A (zh) 网络入侵防御方法、装置、系统及计算机可读存储介质
US8233388B2 (en) System and method for controlling and tracking network content flow
CN106559382A (zh) 基于opc协议的安全网关防护系统访问控制方法
CN110213198A (zh) 网络流量的监控方法及系统
CN106953837A (zh) 具有威胁可视化的集成安全系统
CA2955066C (en) Method and system for providing a virtual asset perimeter
CN105282157B (zh) 一种安全通信控制方法
CN104243486B (zh) 一种病毒检测方法及系统
ES2768049T3 (es) Procedimientos y sistemas para asegurar y proteger repositorios y directorios
CN103973700A (zh) 移动终端预设联网地址防火墙隔离应用系统
CN103413202B (zh) 一种应用于运维审计系统的自动收集授权关系的方法
CN104994094B (zh) 基于虚拟交换机的虚拟化平台安全防护方法、装置和系统
CN106789865A (zh) 一种基于gre网络结合sdn技术和蜜罐技术的网络安全防护方法
CN1725736A (zh) 配置访问控制列表的方法及其应用
EP3499908A1 (en) A device and method for the determination of applications running on a network
CN103905402B (zh) 一种基于安全标签的保密安全管理方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20170531

RJ01 Rejection of invention patent application after publication