CN107294962B - 一种配置防火墙安全策略的方法及终端 - Google Patents

一种配置防火墙安全策略的方法及终端 Download PDF

Info

Publication number
CN107294962B
CN107294962B CN201710445968.9A CN201710445968A CN107294962B CN 107294962 B CN107294962 B CN 107294962B CN 201710445968 A CN201710445968 A CN 201710445968A CN 107294962 B CN107294962 B CN 107294962B
Authority
CN
China
Prior art keywords
firewall
security policy
application program
configuring
service
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201710445968.9A
Other languages
English (en)
Other versions
CN107294962A (zh
Inventor
黄有焱
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujian Huisibo Digital Technology Co ltd
Original Assignee
Fuzhou Huisibo Information Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fuzhou Huisibo Information Technology Co ltd filed Critical Fuzhou Huisibo Information Technology Co ltd
Priority to CN201710445968.9A priority Critical patent/CN107294962B/zh
Publication of CN107294962A publication Critical patent/CN107294962A/zh
Application granted granted Critical
Publication of CN107294962B publication Critical patent/CN107294962B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/28Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/34Network arrangements or protocols for supporting network services or applications involving the movement of software or configuration parameters 

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明涉及信息安全技术领域,尤其涉及一种配置防火墙安全策略的方法及终端。本发明通过预设防火墙服务;为所述防火墙服务配置最高的系统权限;验证调用所述防火墙服务的应用程序的合法性,得到验证结果;当所述验证结果为所述应用程序合法时,所述防火墙服务配置防火墙安全策略。实现Android设备在非Root权限下配置防火墙的安全策略。

Description

一种配置防火墙安全策略的方法及终端
技术领域
本发明涉及信息安全技术领域,尤其涉及一种配置防火墙安全策略的方法及终端。
背景技术
随着基于Android操作系统的智能设备越来越普及,应用领域日益多样化,发生在Android智能设备上的信息安全问题越来越多。在Android智能终端内部,恶意应用的存在可能使用户的机密信息遭到窃取、传播;在Android智能终端的外部,钓鱼网站、色情网站等恶意网络站点可能使用户遭受经济或身心上的伤害。因此,通过构建一套有效、灵活的系统防火墙,对出入智能设备的数据包进行过滤,对访问有害网站进行拦截十分必要。
当前,应用于Android操作系统的防火墙有DroidWall。DroidWall是在获取Android设备的Root权限的情况下,在应用层通过配置iptables的安全策略实现对Android应用的Wifi、GPRS等的网络访问控制。iptables是Linux内核集成的IP信息包过滤系统。Android是基于Linux的操作系统,默认带有iptables功能。
但是,DroidWall必须要在获取Android设备的Root权限的情况下,才能够使iptables的安全策略生效,而对于运行有实时性要求高的应用程序的Android设备,只被允许在较长时间段后暂停使用该应用程序,之后才能切换权限进行安全策略更新操作,无法及时更新防火墙安全策略。
发明内容
本发明所要解决的技术问题是:如何实现Android设备在非Root权限下配置防火墙的安全策略。
为了解决上述技术问题,本发明采用的技术方案为:
本发明提供一种配置防火墙安全策略的方法,包括:
S1、预设防火墙服务;
S2、为所述防火墙服务配置最高的系统权限;
S3、验证调用所述防火墙服务的应用程序的合法性,得到验证结果;
S4、当所述验证结果为所述应用程序合法时,所述防火墙服务配置防火墙安全策略。
本发明还提供一种配置防火墙安全策略的终端,包括:
一个或多个处理器及存储器,所述存储器存储有程序,并且被配置成由所述一个或多个处理器执行以下步骤:
S1、预设防火墙服务;
S2、为所述防火墙服务配置最高的系统权限;
S3、验证调用所述防火墙服务的应用程序的合法性,得到验证结果;
S4、当所述验证结果为所述应用程序合法时,所述防火墙服务配置防火墙安全策略。
本发明的有益效果在于:本发明通过为预设的防火墙服务配置Root权限,使得操作系统在使用普通账户登录运行的情况下,可通过应用层中合法的应用程序调用具有Root权限的防火墙服务以达到Android设备在非Root权限下配置防火墙安全策略的目的。从而实现灵活地、便捷地、安全地在非Root权限下更新Android设备中防火墙的安全策略。
附图说明
图1为本发明提供的一种配置防火墙安全策略的方法的具体实施方式的流程框图;
图2为本发明提供的一种配置防火墙安全策略的终端的具体实施方式的结构框图;
标号说明:
1、处理器;2、存储器。
具体实施方式
为详细说明本发明的技术内容、所实现目的及效果,以下结合实施方式并配合附图予以说明。
请参照图1至图2,
如图1所示,本发明提供一种配置防火墙安全策略的方法,包括:
S1、预设防火墙服务;
S2、为所述防火墙服务配置最高的系统权限;
S3、验证调用所述防火墙服务的应用程序的合法性,得到验证结果;
S4、当所述验证结果为所述应用程序合法时,所述防火墙服务配置防火墙安全策略。
进一步地,所述S3,具体为:
当预设的应用程序白名单中存在所述应用程序的唯一标识时,设置验证结果为所述应用程序合法。
由上述描述可知,通过本发明提供的方法,可实现设置应用程序白名单只包含防火墙厂商认证过的应用程序或防火墙厂商开发的应用程序,从而避免安全策略被任意更改,提高系统的安全性。
进一步地,还包括:
设置所述防火墙服务为开机启动项。
由上述描述可知,确保系统应用时刻处于防火墙的防护状态下。
进一步地,所述S3之前还包括:
生成与iptables命令对应的应用程序编程接口;
所述应用程序调用所述应用程序编程接口。
进一步地,所述防火墙服务配置防火墙安全策略,具体为:
所述防火墙服务执行与所述应用程序编程接口对应的iptables命令。
由上述描述可知,实现应用层的应用程序可调用系统底层的iptables命令配置防火墙的安全策略。
进一步地,所述S4之后,还包括:
生成与所述防火墙安全策略对应的新安全策略文件;
添加所述新安全策略文件至预设的文件夹,并保留所述文件夹中的原始安全策略文件。
由上述描述可知,保留原始安全策略文件,以免新安全策略文件失效而导致系统处于无防火墙保护的状态,有利于提高系统的可靠性和安全性。
本发明还提供一种配置防火墙安全策略的终端,包括:
一个或多个处理器1及存储器2,所述存储器2存储有程序,并且被配置成由所述一个或多个处理器1执行以下步骤:
S1、预设防火墙服务;
S2、为所述防火墙服务配置最高的系统权限;
S3、验证调用所述防火墙服务的应用程序的合法性,得到验证结果;
S4、当所述验证结果为所述应用程序合法时,所述防火墙服务配置防火墙安全策略。
进一步地,所述S3,具体为:
当预设的应用程序白名单中存在所述应用程序的唯一标识时,设置验证结果为所述应用程序合法。
进一步地,还包括:
设置所述防火墙服务为开机启动项。
进一步地,所述S3之前还包括:
生成与iptables命令对应的应用程序编程接口;
所述应用程序调用所述应用程序编程接口。
进一步地,所述防火墙服务配置防火墙安全策略,具体为:
所述防火墙服务执行与所述应用程序编程接口对应的iptables命令。
进一步地,所述S4之后,还包括:
生成与所述防火墙安全策略对应的新安全策略文件;
添加所述新安全策略文件至预设的文件夹,并保留所述文件夹中的原始安全策略文件。
本发明的实施例一为:
本实施例提供一种配置防火墙安全策略的方法,包括:
S1、预设防火墙服务;设置所述防火墙服务为开机启动项;为所述防火墙服务配置最高的系统权限;
S2、生成与iptables命令对应的应用程序编程接口;
其中,在Android操作系统的应用层,用Java编写一个应用层服务,该服务把iptables策略字串封装成Java API函数,供Android系统中的应用程序调用;例如,应用层服务提供的API flushRules():
public static void flushRules(){
String flushCmd=“iptalbes–F”;//iptables命令,用于清空规则
runIptalbes(flushCmd);//执行规则
}
S3、所述应用程序调用所述应用程序编程接口;
其中,Android系统中的应用程序通过调用flushRules函数来执行iptalbes命令:“iptables-F”,以达到清空iptables规则的目的;
S4、验证调用所述防火墙服务的应用程序的合法性,得到验证结果;
其中,一验证方式为:
当预设的应用程序白名单中存在所述应用程序的唯一标识时,设置验证结果为所述应用程序合法;所述应用程序白名单中只包含向防火墙厂商认证过的应用程序或防火墙厂商开发的应用程序,从而避免安全策略被任意应用程序更改,提高系统的安全性;
S5、当所述验证结果为所述应用程序合法时,所述防火墙服务配置防火墙安全策略;
其中,所述防火墙服务配置防火墙安全策略,具体为:
所述防火墙服务执行与所述应用程序编程接口对应的iptables命令;
防火墙服务作为具有Root权限的代理,通过进程间通信,在系统层执行应用程序配置的防火墙策略字符串数组,如“iptalbes-F”,实现配置防火墙安全策略;
S6、生成与所述防火墙安全策略对应的新安全策略文件;添加所述新安全策略文件至预设的文件夹,并保留所述文件夹中的原始安全策略文件;
其中,防火墙的安全策略配置成功之后,应该要持续保存。系统重启后,之前配置的防火墙策略要被首先执行,这样才能确保系统应用处于防火墙的防护状态下。
本发明的实施例二为:
本实施例提供一种配置防火墙安全策略的终端,包括:
一个或多个处理器1及存储器2,所述存储器2存储有程序,并且被配置成由所述一个或多个处理器1执行以下步骤:
S1、预设防火墙服务;设置所述防火墙服务为开机启动项;为所述防火墙服务配置最高的系统权限;
S2、生成与iptables命令对应的应用程序编程接口;
S3、所述应用程序调用所述应用程序编程接口;
S4、验证调用所述防火墙服务的应用程序的合法性,得到验证结果;
S5、当所述验证结果为所述应用程序合法时,所述防火墙服务配置防火墙安全策略;
S6、生成与所述防火墙安全策略对应的新安全策略文件;添加所述新安全策略文件至预设的文件夹,并保留所述文件夹中的原始安全策略文件。
综上所述,本发明提供的一种配置防火墙安全策略的方法及终端,本发明通过为预设的防火墙服务配置Root权限,使得操作系统在使用普通账户登录运行的情况下,可通过应用层中合法的应用程序调用具有Root权限的防火墙服务以达到Android设备在非Root权限下配置防火墙安全策略的目的。从而实现灵活地、便捷地、安全地在非Root权限下更新Android设备中防火墙的安全策略。进一步地,通过本发明提供的方法,可实现设置应用程序白名单只包含防火墙厂商认证过的应用程序或防火墙厂商开发的应用程序,从而避免安全策略被任意更改,提高系统的安全性。进一步地,确保系统应用时刻处于防火墙的防护状态下。进一步地,实现应用层的应用程序可调用系统底层的iptables命令配置防火墙的安全策略。进一步地,保留原始安全策略文件,以免新安全策略文件失效而导致系统处于无防火墙保护的状态,有利于提高系统的可靠性和安全性。
以上所述仅为本发明的实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等同变换,或直接或间接运用在相关的技术领域,均同理包括在本发明的专利保护范围内。

Claims (8)

1.一种配置防火墙安全策略的方法,其特征在于,包括:
S1、预设防火墙服务;
S2、为所述防火墙服务配置最高的系统权限;
S3、验证调用所述防火墙服务的应用程序的合法性,得到验证结果;
S4、当所述验证结果为所述应用程序合法时,所述防火墙服务配置防火墙安全策略;
所述S3之前还包括:
生成与iptables命令对应的应用程序编程接口;
所述应用程序调用所述应用程序编程接口;
所述防火墙服务配置防火墙安全策略,具体为:
所述防火墙服务执行与所述应用程序编程接口对应的iptables命令。
2.根据权利要求1所述的配置防火墙安全策略的方法,其特征在于,所述S3,具体为:
当预设的应用程序白名单中存在所述应用程序的唯一标识时,设置验证结果为所述应用程序合法。
3.根据权利要求1所述的配置防火墙安全策略的方法,其特征在于,还包括:
设置所述防火墙服务为开机启动项。
4.根据权利要求1所述的配置防火墙安全策略的方法,其特征在于,所述S4之后,还包括:
生成与所述防火墙安全策略对应的新安全策略文件;
添加所述新安全策略文件至预设的文件夹,并保留所述文件夹中的原始安全策略文件。
5.一种配置防火墙安全策略的终端,其特征在于,包括:
一个或多个处理器及存储器,所述存储器存储有程序,并且被配置成由所述一个或多个处理器执行以下步骤:
S1、预设防火墙服务;
S2、为所述防火墙服务配置最高的系统权限;
S3、验证调用所述防火墙服务的应用程序的合法性,得到验证结果;
S4、当所述验证结果为所述应用程序合法时,所述防火墙服务配置防火墙安全策略;
所述S3之前还包括:
生成与iptables命令对应的应用程序编程接口;
所述应用程序调用所述应用程序编程接口;
所述防火墙服务配置防火墙安全策略,具体为:
所述防火墙服务执行与所述应用程序编程接口对应的iptables命令。
6.根据权利要求5所述的配置防火墙安全策略的终端,其特征在于,所述S3,具体为:
当预设的应用程序白名单中存在所述应用程序的唯一标识时,设置验证结果为所述应用程序合法。
7.根据权利要求5所述的配置防火墙安全策略的终端,其特征在于,还包括:
设置所述防火墙服务为开机启动项。
8.根据权利要求5所述的配置防火墙安全策略的终端,其特征在于,所述S4之后,还包括:
生成与所述防火墙安全策略对应的新安全策略文件;
添加所述新安全策略文件至预设的文件夹,并保留所述文件夹中的原始安全策略文件。
CN201710445968.9A 2017-06-14 2017-06-14 一种配置防火墙安全策略的方法及终端 Active CN107294962B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710445968.9A CN107294962B (zh) 2017-06-14 2017-06-14 一种配置防火墙安全策略的方法及终端

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710445968.9A CN107294962B (zh) 2017-06-14 2017-06-14 一种配置防火墙安全策略的方法及终端

Publications (2)

Publication Number Publication Date
CN107294962A CN107294962A (zh) 2017-10-24
CN107294962B true CN107294962B (zh) 2020-09-29

Family

ID=60096437

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710445968.9A Active CN107294962B (zh) 2017-06-14 2017-06-14 一种配置防火墙安全策略的方法及终端

Country Status (1)

Country Link
CN (1) CN107294962B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109922030B (zh) * 2017-12-13 2021-11-19 南京领创信息科技有限公司 基于Android设备的全局网络访问控制方法
CN109936550A (zh) * 2017-12-18 2019-06-25 福建天泉教育科技有限公司 一种安卓系统中网络防火墙的设置方法及终端
CN109325358A (zh) * 2018-08-22 2019-02-12 深圳点猫科技有限公司 基于Linux系统定义应用程序权限的方法、电子设备

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102917346A (zh) * 2012-10-17 2013-02-06 浙江大学城市学院 一种基于Android的应用程序运行时安全策略管理系统及方法
CN103067392A (zh) * 2012-12-28 2013-04-24 中国人民解放军理工大学 一种基于Android终端的安全访问控制方法
CN105656860A (zh) * 2014-11-20 2016-06-08 中兴通讯股份有限公司 Android系统的安全管控方法、装置及其系统

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8782412B2 (en) * 2011-08-31 2014-07-15 AstherPal Inc. Secured privileged access to an embedded client on a mobile device

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102917346A (zh) * 2012-10-17 2013-02-06 浙江大学城市学院 一种基于Android的应用程序运行时安全策略管理系统及方法
CN103067392A (zh) * 2012-12-28 2013-04-24 中国人民解放军理工大学 一种基于Android终端的安全访问控制方法
CN105656860A (zh) * 2014-11-20 2016-06-08 中兴通讯股份有限公司 Android系统的安全管控方法、装置及其系统

Also Published As

Publication number Publication date
CN107294962A (zh) 2017-10-24

Similar Documents

Publication Publication Date Title
US11356431B2 (en) Operating system integrated domain management
RU2755880C2 (ru) Аппаратная виртуализированная изоляция для обеспечения безопасности
US8990920B2 (en) Creating a virtual private network (VPN) for a single app on an internet-enabled device or system
KR101948044B1 (ko) 웹 런타임 시스템을 위한 샌드박싱 기술의 방법 및 장치
US8893225B2 (en) Method and apparatus for secure web widget runtime system
US7882352B2 (en) Secure mobile wireless device
US20080066187A1 (en) Mobile Wireless Device with Protected File System
US20120246731A1 (en) Secure execution of unsecured apps on a device
JP2004530968A (ja) ネットワークアダプタ管理
CN107294962B (zh) 一种配置防火墙安全策略的方法及终端
US8752130B2 (en) Trusted multi-stakeholder environment
EP2939390A2 (en) Processing device and method of operation thereof
EP2939392A1 (en) Processing device and method of operation thereof
WO2014044165A1 (zh) 一种在Java虚拟机中安全运行第三方代码的方法
US9672353B2 (en) Securing and managing apps on a device using policy gates
CN105701415B (zh) 一种移动终端内核权限管理系统及方法
CN103870761A (zh) 基于本地虚拟环境的防泄密方法及装置
WO2001018650A2 (en) Resource access control system
EP2581853B1 (en) Method and apparatus for secure web widget runtime system
JP2008234410A (ja) リモートアクセスシステム、情報処理装置、リモートアクセスプログラム、及びリモートアクセス方法
Singh et al. Discovering persuaded risk of permission in android applications for malicious application detection
EP2840755A1 (en) Processing device and method of operation thereof
KR101854996B1 (ko) 악성 애플리케이션을 방지할 수 있는 소프트웨어 정의 네트워크 및 이에 포함되는 판단 장치
CN112912879A (zh) 用于进程间安全消息传递的装置和方法
WO2024007096A1 (zh) 一种用于安卓系统的隐私数据保护方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CP03 Change of name, title or address
CP03 Change of name, title or address

Address after: Room 201-9, Zone C, No. 18 Guanri Road, Phase II, Software Park, Torch High tech Zone, Xiamen City, Fujian Province, 361000

Patentee after: Fujian Huisibo Digital Technology Co.,Ltd.

Address before: No. 89 Software Avenue, Tongpan Road, Gulou District, Fuzhou City, Fujian Province, 350000. 510, Floor 5, 34 #, Zone C, Fuzhou Software Park

Patentee before: FUZHOU HUISIBO INFORMATION TECHNOLOGY Co.,Ltd.