CN108540467A - 一种基于防火墙系统的安全隔离方法 - Google Patents
一种基于防火墙系统的安全隔离方法 Download PDFInfo
- Publication number
- CN108540467A CN108540467A CN201810282827.4A CN201810282827A CN108540467A CN 108540467 A CN108540467 A CN 108540467A CN 201810282827 A CN201810282827 A CN 201810282827A CN 108540467 A CN108540467 A CN 108540467A
- Authority
- CN
- China
- Prior art keywords
- user
- behavior
- method based
- access
- isolation method
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000002955 isolation Methods 0.000 title claims abstract description 12
- 238000001514 detection method Methods 0.000 claims abstract description 7
- 241000700605 Viruses Species 0.000 claims abstract description 4
- 238000004458 analytical method Methods 0.000 claims description 6
- 230000002159 abnormal effect Effects 0.000 claims description 3
- 230000002265 prevention Effects 0.000 claims 1
- 230000007123 defense Effects 0.000 abstract description 3
- 230000006399 behavior Effects 0.000 description 23
- 239000003795 chemical substances by application Substances 0.000 description 4
- 238000012544 monitoring process Methods 0.000 description 2
- 239000000243 solution Substances 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 238000000034 method Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于防火墙系统的安全隔离方法,包括用户申请访问服务器,该用户分为外网用户和内网用户;分配用户代理,对申请访问服务器的外网用户进行分配用户代理;申请访问行为判定,对用户的申请访问行为进行防火墙安全检测,判断访问行为是否存在漏洞、带有病毒或者恶意攻击行为,若是则隔离并拒绝申请访问行为,若否则允许申请访问行为。本发明将内网用户和外网用户进行区分,通过对外网用户进行分配用户代理以对外来的访问进行限制,使系统更加有保障和安全,同时提高了内网用户的私密性和安全性,防御功能比传统的防火墙更强。
Description
技术领域
本发明涉及计算机领域,特别是一种基于防火墙系统的安全隔离方法。
背景技术
传统的防火墙外网用户访问都是通过真实的地址进行对服务器上的操作,这样外网用户将得到很多不必要的权限,例如用户可以进行对服务器的漏洞扫描,数据库注入等操作,从而增加服务器的安全风险。
发明内容
为解决上述技术问题,本发明的目的是提供一种基于防火墙系统的安全隔离方法。
本发明采用的技术方案是:
一种基于防火墙系统的安全隔离方法,包括:
用户申请访问服务器,该用户分为外网用户和内网用户;
分配用户代理,对申请访问服务器的外网用户进行分配用户代理;
申请访问行为判定,对用户的申请访问行为进行防火墙安全检测,判断访问行为是否存在漏洞、带有病毒或者恶意攻击行为,若是则隔离并拒绝申请访问行为,若否则允许申请访问行为。
所述防火墙安全检测包括防火墙策略设置、URL分析或数据包分析。
本发明还包括监控用户操作行为,判断用户操作行为是否出现异常,若是则隔离并拒绝申请访问行为。
本发明还包括用户操作行为出现异常时,向管理人员发送警报以提醒管理人员。
本发明还包括将用户信息及其操作行为记录到日志文件中。
本发明的有益效果:
本发明将内网用户和外网用户进行区分,通过对外网用户进行分配用户代理以对外来的访问进行限制,使系统更加有保障和安全,同时提高了内网用户的私密性和安全性,防御功能比传统的防火墙更强。
附图说明
下面结合附图对本发明的具体实施方式做进一步的说明。
图1是本发明的原理框图。
具体实施方式
如图1所示,一种基于防火墙系统的安全隔离方法,包括用户申请访问服务器,该用户分为外网用户和内网用户;
分配用户代理,对申请访问服务器的外网用户进行分配用户代理;
申请访问行为判定,对用户的申请访问行为进行防火墙安全检测,判断访问行为是否存在漏洞、带有病毒或者恶意攻击行为,若是则隔离并拒绝申请访问行为,若否则允许申请访问行为。
本发明将内网用户和外网用户进行区分,通过对外网用户进行分配用户代理以对外来的访问进行限制,使系统更加有保障和安全,同时外网用户和内网用户相互隔离,即外网用户之间可以相互访问,内网用户之间可以相互访问,但是外网用户和内网用户之间不能相互访问,因此提高了内网用户的私密性和安全性,防御功能比传统的防火墙更强。
所述防火墙安全检测包括防火墙策略设置、URL分析或数据包分析。
本发明还包括监控用户操作行为,判断用户操作行为是否出现异常,若是则隔离并拒绝申请访问行为以保证整个网络环境的安全。
本发明还包括用户操作行为出现异常时,向管理人员发送警报以提醒管理人员,如以邮件、短信、微信等方式通知到管理人员,使异常能够及时被解决。
本发明还包括将用户信息及其操作行为记录到日志文件中,如用户的IP地址、MAC地址、访问的网址、行为记录等以方便日后的管理和溯源。
以上所述仅为本发明的优先实施方式,本发明并不限定于上述实施方式,只要以基本相同手段实现本发明目的的技术方案都属于本发明的保护范围之内。
Claims (5)
1.一种基于防火墙系统的安全隔离方法,其特征在于,包括
用户申请访问服务器,该用户分为外网用户和内网用户;
分配用户代理,对申请访问服务器的外网用户进行分配用户代理;申请访问行为判定,对用户的申请访问行为进行防火墙安全检测,判断访问行为是否存在漏洞、带有病毒或者恶意攻击行为,若是则隔离并拒绝申请访问行为,若否则允许申请访问行为。
2.根据权利要求1所述的一种基于防火墙系统的安全隔离方法,其特征在于:所述防火墙安全检测包括防火墙策略设置、URL分析或数据包分析。
3.根据权利要求1所述的一种基于防火墙系统的安全隔离方法,其特征在于:还包括监控用户操作行为,判断用户操作行为是否出现异常,若是则隔离并拒绝申请访问行为。
4.根据权利要求3所述的一种基于防火墙系统的安全隔离方法,其特征在于:用户操作行为出现异常时,向管理人员发送警报以提醒管理人员。
5.根据权利要求1所述的一种基于防火墙系统的安全隔离方法,其特征在于:还包括将用户信息及其操作行为记录到日志文件中。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810282827.4A CN108540467A (zh) | 2018-04-02 | 2018-04-02 | 一种基于防火墙系统的安全隔离方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810282827.4A CN108540467A (zh) | 2018-04-02 | 2018-04-02 | 一种基于防火墙系统的安全隔离方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN108540467A true CN108540467A (zh) | 2018-09-14 |
Family
ID=63482672
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810282827.4A Pending CN108540467A (zh) | 2018-04-02 | 2018-04-02 | 一种基于防火墙系统的安全隔离方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108540467A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109547423A (zh) * | 2018-11-09 | 2019-03-29 | 上海交通大学 | 一种基于机器学习的web恶意请求深度检测系统及方法 |
CN114401133A (zh) * | 2022-01-13 | 2022-04-26 | 中电福富信息科技有限公司 | 一种基于代理的设备监控漏洞检测系统 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1885788A (zh) * | 2005-06-22 | 2006-12-27 | 杭州华为三康技术有限公司 | 网络安全防护方法及系统 |
CN101420455A (zh) * | 2007-08-30 | 2009-04-29 | 软件Ag公司 | 反向http网关数据传输系统和/或方法及其网络 |
CN102790773A (zh) * | 2012-07-30 | 2012-11-21 | 深圳市共进电子股份有限公司 | 一种家庭网关用防火墙的实现方法 |
US9237125B1 (en) * | 2013-05-05 | 2016-01-12 | Applied Knight, LLC | System and associated methods for secure communications |
-
2018
- 2018-04-02 CN CN201810282827.4A patent/CN108540467A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1885788A (zh) * | 2005-06-22 | 2006-12-27 | 杭州华为三康技术有限公司 | 网络安全防护方法及系统 |
CN101420455A (zh) * | 2007-08-30 | 2009-04-29 | 软件Ag公司 | 反向http网关数据传输系统和/或方法及其网络 |
CN102790773A (zh) * | 2012-07-30 | 2012-11-21 | 深圳市共进电子股份有限公司 | 一种家庭网关用防火墙的实现方法 |
US9237125B1 (en) * | 2013-05-05 | 2016-01-12 | Applied Knight, LLC | System and associated methods for secure communications |
Non-Patent Citations (1)
Title |
---|
李宁: "安全高效的OA系统的设计及实现", 《中国优秀硕士学位论文全文数据库 信息科技辑》 * |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109547423A (zh) * | 2018-11-09 | 2019-03-29 | 上海交通大学 | 一种基于机器学习的web恶意请求深度检测系统及方法 |
CN109547423B (zh) * | 2018-11-09 | 2021-03-30 | 上海交通大学 | 一种基于机器学习的web恶意请求深度检测系统及方法 |
CN114401133A (zh) * | 2022-01-13 | 2022-04-26 | 中电福富信息科技有限公司 | 一种基于代理的设备监控漏洞检测系统 |
CN114401133B (zh) * | 2022-01-13 | 2023-12-01 | 中电福富信息科技有限公司 | 一种基于代理的设备监控漏洞检测系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20210224391A1 (en) | Systems and methods for providing security services during power management mode | |
US20120151553A1 (en) | System, method, and apparatus for data cognition incorporating autonomous security protection | |
CN109495443A (zh) | 一种基于主机蜜罐对抗勒索软件攻击的方法和系统 | |
US20120167164A1 (en) | System, method, and apparatus for encryption key cognition incorporating autonomous security protection | |
US11528205B2 (en) | Tunneled monitoring service and method | |
US20200106791A1 (en) | Intelligent system for mitigating cybersecurity risk by analyzing domain name system traffic metrics | |
CN113411295A (zh) | 基于角色的访问控制态势感知防御方法及系统 | |
CN113411297A (zh) | 基于属性访问控制的态势感知防御方法及系统 | |
CN115913665A (zh) | 一种基于串口防火墙的网络安全预警方法及设备 | |
CN117729057A (zh) | 一种基于身份安全的零信任接入系统的方法 | |
CN108540467A (zh) | 一种基于防火墙系统的安全隔离方法 | |
Miloslavskaya et al. | Taxonomy for unsecure big data processing in security operations centers | |
Goutam | The problem of attribution in cyber security | |
CN113660222A (zh) | 基于强制访问控制的态势感知防御方法及系统 | |
CN101453363A (zh) | 网络入侵检测系统 | |
CN111131183B (zh) | 网络安全监控方法、计算机设备及计算机可读存储介质 | |
CN111740973A (zh) | 一种区块链服务与应用的智能防御系统及方法 | |
Mahlous | Threat model and risk management for a smart home iot system | |
Zhao et al. | Network security model based on active defense and passive defense hybrid strategy | |
CN112202821B (zh) | 一种cc攻击的识别防御系统及方法 | |
Jinquan et al. | Analysis and protection of computer network security issues | |
CN107426245B (zh) | 一种基于网络安全的站点访问多层次记录方法 | |
CN114244593B (zh) | 一种dns安全防御方法及系统、电子设备、介质 | |
US20230319116A1 (en) | Signature quality evaluation | |
Demirol et al. | A simple logging system for safe internet use |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180914 |