CN107360178A - 一种使用白名单控制网络访问的方法 - Google Patents
一种使用白名单控制网络访问的方法 Download PDFInfo
- Publication number
- CN107360178A CN107360178A CN201710639348.9A CN201710639348A CN107360178A CN 107360178 A CN107360178 A CN 107360178A CN 201710639348 A CN201710639348 A CN 201710639348A CN 107360178 A CN107360178 A CN 107360178A
- Authority
- CN
- China
- Prior art keywords
- address
- white list
- port
- network access
- list
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供一种使用白名单控制网络访问的方法,属于信息安全技术领域,本发明将允许的网络访问设置为白名单,阻止名单外的IP、端口、网络协议的连接,并记录尝试进行非法网络访问的日志。可有效阻止非法的网络连接,保护局域网络安全。
Description
技术领域
本发明涉及信息安全技术,尤其涉及一种使用白名单控制网络访问的方法。
背景技术
在信息化飞速发展的今天,计算机网络得到了广泛应用,但随着网络之间信息传输量的急剧增长,一些机构和部门在得益于网络加快业务运作的同时,其上网的数据也遭到了不同程度的攻击和破坏。攻击者不仅可以窃听网络上的信息,窃取用户的口令、数据库的信息;还可以篡改数据库内容,伪造用户身份,否认自己的签名。更有甚者,他们删除数据库内容,摧毁网络节点,释放计算机病毒等等。这些都使数据的安全性和自身的利益受到了严重的威胁。许多网络系统都存在着这样那样的漏洞,这些漏洞有可能是系统本身所有的,如windows nt、unix等都有数量不等的漏洞;也有可能是由于网管的疏忽而造成的。黑客利用这些漏洞就能完成密码探测、系统入侵等攻击。对于系统本身的漏洞,可以安装软件补丁。
发明内容
基于以上问题,本发明提出了一种使用白名单控制网络访问的方法。通过设置允许进行网络访问的白名单,从而限制名单外的网络访问。
使用白名单形式控制计算机仅能进行名单内的IP、端口的网络连接,最大程度保证安全性。
本发明的技术方案是:
一种使用白名单控制网络访问的方法,
将允许的网络访问设置为白名单,阻止名单外的IP、端口、网络协议的连接,并记录尝试进行非法网络访问的日志。
具体操作步骤为:
1)将页面中设置的白名单记录到数据库;
2)当操作系统发起网络访问时,将目的IP地址、目的端口、网络协议与白名单列表中出站规则进行匹配,如果匹配成功,则允许连接,如果任一字段匹配失败,则拒绝连接,并记录日志;
3)当操作系统收到网络访问时,将源IP地址、源端口、目的端口、网络协议与白名单列表中入站规则进行匹配,如果匹配成功,则允许连接,如果任一字段匹配失败,则拒绝连接,并记录日志;
4)记录的日志内容包括:时间、协议类型【TCP、UDP、TCP/UDP】、连接类型【入站、出站】、源IP地址、目的IP地址、源端口、目的端口及操作结果【成功、失败】。
设置网络访问的白名单包括:
连接类型:网络连接类型,包括:入站和出站;
协议类型:协议类型,包括:TCP、UDP,可单选也可多选;使用白名单形式以控制入站、出站的网络连接,可以控制源IP、源端口、目的IP、目的端口;可以设置单个IP、IP段、IP子网,允许设置单个端口、端口范围;
源IP地址:发送网络数据包的IP地址或地址段,选项包括:任何IP地址、指定IP地址、指定IP地址子网以及指定IP地址范围;
源端口:发送网络数据包的TCP/UDP端口,选项包括:任何端口和指定端口;
目的IP地址:接收网络数据包的IP地址或地址段,选项包括:任何IP地址、指定IP地址、指定IP地址子网以及指定IP地址范围;
目的端口:接收网络数据包的TCP/UDP端口,选项包括:任何端口和指定端口;
可添加多个白名单,组成白名单列表,当操作系统尝试进行白名单列表外的网络访问时给予阻止,并记录日志。
本发明的有益效果是
本发明可将允许的网络访问设置为白名单,阻止名单外的IP、端口、网络协议等的连接,并记录尝试进行非法网络访问的日志。可有效阻止非法的网络连接,保护局域网络安全。
附图说明
图1是本发明的工作流程示意图。
具体实施方式
下面对本发明的内容进行更加详细的阐述:
本发明提出了一种白名单方式控制网络访问的方法,此方法通过设置允许进行网络访问的白名单,从而限制名单外的网络访问。
设置网络访问的白名单包括:
连接类型:网络连接类型,包括:入站和出站;
协议类型:协议类型,包括:TCP、UDP,可单选也可多选;
源IP地址:发送网络数据包的IP地址或地址段,选项包括:任何IP地址、指定IP地址、指定IP地址子网以及指定IP地址范围;
源端口:发送网络数据包的TCP/UDP端口,选项包括:任何端口和指定端口;
目的IP地址:接收网络数据包的IP地址或地址段,选项包括:任何IP地址、指定IP地址、指定IP地址子网以及指定IP地址范围;
目的端口:接收网络数据包的TCP/UDP端口,选项包括:任何端口和指定端口;
可添加多个白名单,组成白名单列表,当操作系统尝试进行白名单列表外的网络访问时给予阻止,并记录日志。
具体实施过程如下:
1)将页面中设置的白名单记录到数据库
2)当操作系统发起网络访问时,将目的IP地址、目的端口、网络协议与白名单列表中出站规则进行匹配,如果匹配成功,则允许连接,如果任一字段匹配失败,则拒绝连接,并记录日志
3)当操作系统收到网络访问时,将源IP地址、源端口、目的端口、网络协议与白名单列表中入站规则进行匹配,如果匹配成功,则允许连接,如果任一字段匹配失败,则拒绝连接,并记录日志
4)记录的日志内容包括:时间、协议类型【TCP、UDP、TCP/UDP】、连接类型【入站、出站】、源IP地址、目的IP地址、源端口、目的端口及操作结果【成功、失败】。
Claims (5)
1.一种使用白名单控制网络访问的方法,其特征在于,
将允许的网络访问设置为白名单,阻止名单外的IP、端口、网络协议的连接,并记录尝试进行非法网络访问的日志。
2.根据权利要求1所述的方法,其特征在于,
具体操作步骤为:
1)将页面中设置的白名单记录到数据库;
2)当操作系统发起网络访问时,将目的IP地址、目的端口、网络协议与白名单列表中出站规则进行匹配,如果匹配成功,则允许连接,如果任一字段匹配失败,则拒绝连接,并记录日志;
3)当操作系统收到网络访问时,将源IP地址、源端口、目的端口、网络协议与白名单列表中入站规则进行匹配,如果匹配成功,则允许连接,如果任一字段匹配失败,则拒绝连接,并记录日志;
4)记录的日志内容包括:时间、协议类型【TCP、UDP、TCP/UDP】、连接类型【入站、出站】、源IP地址、目的IP地址、源端口、目的端口及操作结果【成功、失败】。
3.根据权利要求2所述的方法,其特征在于,
设置网络访问的白名单包括:
连接类型:网络连接类型,包括:入站和出站;
使用白名单形式以控制入站、出站的网络连接,可以控制源IP、源端口、目的IP、目的端口;可以设置单个IP、IP段、IP子网,允许设置单个端口、端口范围。
4.根据权利要求3所述的方法,其特征在于,
可添加数个白名单,组成白名单列表,当操作系统尝试进行白名单列表外的网络访问时给予阻止,并记录日志。
5.根据权利要求4所述的方法,其特征在于,
协议类型包括:TCP、UDP;
源IP地址:发送网络数据包的IP地址或地址段,选项包括:任何IP地址、指定IP地址、指定IP地址子网以及指定IP地址范围;
源端口:发送网络数据包的TCP/UDP端口,选项包括:任何端口和指定端口;
目的IP地址:接收网络数据包的IP地址或地址段,选项包括:任何IP地址、指定IP地址、指定IP地址子网以及指定IP地址范围;
目的端口:接收网络数据包的TCP/UDP端口,选项包括:任何端口和指定端口。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710639348.9A CN107360178A (zh) | 2017-07-31 | 2017-07-31 | 一种使用白名单控制网络访问的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710639348.9A CN107360178A (zh) | 2017-07-31 | 2017-07-31 | 一种使用白名单控制网络访问的方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN107360178A true CN107360178A (zh) | 2017-11-17 |
Family
ID=60285882
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710639348.9A Pending CN107360178A (zh) | 2017-07-31 | 2017-07-31 | 一种使用白名单控制网络访问的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107360178A (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110647771A (zh) * | 2019-09-10 | 2020-01-03 | 许昌许继软件技术有限公司 | 一种mysql数据库存储完整性校验保护方法及装置 |
CN111083154A (zh) * | 2019-12-24 | 2020-04-28 | 北京网太科技发展有限公司 | 一种安全防护方法、装置及存储介质 |
CN112039836A (zh) * | 2020-06-30 | 2020-12-04 | 浙江远望信息股份有限公司 | 一种非法网络出口的监测识别方法、系统及设备 |
CN112333191A (zh) * | 2020-11-06 | 2021-02-05 | 杭州安恒信息技术股份有限公司 | 违规网络资产检测与访问阻断方法、装置、设备及介质 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102420872A (zh) * | 2011-12-06 | 2012-04-18 | 公安部交通管理科学研究所 | 一种基于http数据流的传输管理框架 |
CN104079531A (zh) * | 2013-03-26 | 2014-10-01 | 中国移动通信集团公司 | 一种盗链检测方法、系统及装置 |
US20150067764A1 (en) * | 2013-09-03 | 2015-03-05 | Electronics And Telecommunications Research Institute | Whitelist-based network switch |
CN105704145A (zh) * | 2016-03-22 | 2016-06-22 | 英赛克科技(北京)有限公司 | 针对opc协议的安全防护方法和系统 |
CN106027358A (zh) * | 2016-07-12 | 2016-10-12 | 上海厚泽信息技术有限公司 | 一种社会视频网接入视频专网的网络安全管控系统 |
CN106295355A (zh) * | 2016-08-11 | 2017-01-04 | 南京航空航天大学 | 一种面向Linux服务器的主动安全保障方法 |
CN106850637A (zh) * | 2017-02-13 | 2017-06-13 | 韩伟杰 | 一种基于流量白名单的异常流量检测方法 |
-
2017
- 2017-07-31 CN CN201710639348.9A patent/CN107360178A/zh active Pending
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102420872A (zh) * | 2011-12-06 | 2012-04-18 | 公安部交通管理科学研究所 | 一种基于http数据流的传输管理框架 |
CN104079531A (zh) * | 2013-03-26 | 2014-10-01 | 中国移动通信集团公司 | 一种盗链检测方法、系统及装置 |
US20150067764A1 (en) * | 2013-09-03 | 2015-03-05 | Electronics And Telecommunications Research Institute | Whitelist-based network switch |
CN105704145A (zh) * | 2016-03-22 | 2016-06-22 | 英赛克科技(北京)有限公司 | 针对opc协议的安全防护方法和系统 |
CN106027358A (zh) * | 2016-07-12 | 2016-10-12 | 上海厚泽信息技术有限公司 | 一种社会视频网接入视频专网的网络安全管控系统 |
CN106295355A (zh) * | 2016-08-11 | 2017-01-04 | 南京航空航天大学 | 一种面向Linux服务器的主动安全保障方法 |
CN106850637A (zh) * | 2017-02-13 | 2017-06-13 | 韩伟杰 | 一种基于流量白名单的异常流量检测方法 |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110647771A (zh) * | 2019-09-10 | 2020-01-03 | 许昌许继软件技术有限公司 | 一种mysql数据库存储完整性校验保护方法及装置 |
CN110647771B (zh) * | 2019-09-10 | 2021-11-16 | 许昌许继软件技术有限公司 | 一种mysql数据库存储完整性校验保护方法及装置 |
CN111083154A (zh) * | 2019-12-24 | 2020-04-28 | 北京网太科技发展有限公司 | 一种安全防护方法、装置及存储介质 |
CN112039836A (zh) * | 2020-06-30 | 2020-12-04 | 浙江远望信息股份有限公司 | 一种非法网络出口的监测识别方法、系统及设备 |
CN112333191A (zh) * | 2020-11-06 | 2021-02-05 | 杭州安恒信息技术股份有限公司 | 违规网络资产检测与访问阻断方法、装置、设备及介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10542006B2 (en) | Network security based on redirection of questionable network access | |
US9762543B2 (en) | Using DNS communications to filter domain names | |
US9756017B2 (en) | Data leak protection in upper layer protocols | |
CN101378395B (zh) | 一种防止拒绝访问攻击的方法及装置 | |
JP4174392B2 (ja) | ネットワークへの不正接続防止システム、及びネットワークへの不正接続防止装置 | |
US7716729B2 (en) | Method for responding to denial of service attacks at the session layer or above | |
US20180146001A1 (en) | Network security based on device identifiers and network addresses | |
US20100138910A1 (en) | Methods for encrypted-traffic url filtering using address-mapping interception | |
CN111556061B (zh) | 网络伪装方法、装置、设备及计算机可读存储介质 | |
US10050938B2 (en) | Highly secure firewall system | |
CN107360178A (zh) | 一种使用白名单控制网络访问的方法 | |
US20040153665A1 (en) | Wireless network control and protection system | |
Avolio et al. | A network perimeter with secure external access | |
CN105939326A (zh) | 处理报文的方法及装置 | |
CN108924122B (zh) | 一种网络敌我识别方法及系统 | |
EP1574009B1 (en) | Systems and apparatuses using identification data in network communication | |
CN107317816A (zh) | 一种基于客户端应用程序鉴别的网络访问控制方法 | |
CN113904826B (zh) | 数据传输方法、装置、设备和存储介质 | |
Murthy et al. | Firewalls for security in wireless networks | |
JP2006099590A (ja) | アクセス制御装置、アクセス制御方法およびアクセス制御プログラム | |
US11683337B2 (en) | Harvesting fully qualified domain names from malicious data packets | |
EP2109284A1 (en) | Protection mechanism against denial-of-service attacks via traffic redirection | |
Saddam et al. | Sniffing and Spoofing in Computer Security | |
Izhar et al. | Network security issues in context of rsna and firewall | |
CN107395655A (zh) | 一种使用黑名单控制网络访问的系统和方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20171117 |
|
RJ01 | Rejection of invention patent application after publication |