CN110336836A - 一种网络过滤服务系统及方法 - Google Patents

一种网络过滤服务系统及方法 Download PDF

Info

Publication number
CN110336836A
CN110336836A CN201910722338.0A CN201910722338A CN110336836A CN 110336836 A CN110336836 A CN 110336836A CN 201910722338 A CN201910722338 A CN 201910722338A CN 110336836 A CN110336836 A CN 110336836A
Authority
CN
China
Prior art keywords
filtering
source address
data packet
gateway
terminal device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201910722338.0A
Other languages
English (en)
Other versions
CN110336836B (zh
Inventor
孙晓鹏
廖正赟
武宗品
马骥
彭金辉
李顶占
周小欠
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhengzhou Xinda Jiean Information Technology Co Ltd
Original Assignee
Zhengzhou Xinda Jiean Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhengzhou Xinda Jiean Information Technology Co Ltd filed Critical Zhengzhou Xinda Jiean Information Technology Co Ltd
Priority to CN201910722338.0A priority Critical patent/CN110336836B/zh
Publication of CN110336836A publication Critical patent/CN110336836A/zh
Application granted granted Critical
Publication of CN110336836B publication Critical patent/CN110336836B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明提出了一种网络过滤服务系统及方法,所述系统包括:终端设备、网关、过滤服务器和应用服务器;网关预置由过滤服务器推送的基于源地址的过滤配置信息,并判断接收的数据包源地址是否落入过滤配置信息中;过滤服务器用于接收由网关转发的数据包,识别出数据包的源地址,并基于预置的源地址过滤规则对数据包进行过滤;应用服务器基于过滤后的数据包进行相关业务处理。本发明通过在网关中预置由过滤服务器推送的基于源地址的过滤配置信息,并根据过滤配置信息对接收到指定源地址的数据包不做地址转化,以便于过滤服务器能够基于源地址的过滤规则对该数据包进行过滤,从而解决了传统网关与基于源地址的过滤器之间无法适配的问题。

Description

一种网络过滤服务系统及方法
技术领域
本发明涉及网络通信技术领域,尤其涉及一种网络过滤服务系统及方法。
背景技术
互联网满足了人们几千年来苦苦追求的“快”和“没有限制”的突破时空的至高境界,实现人们的自由之梦,他契合了人的原始本性,达到的“自由”程度超越了以前人们的想象。互联网的开放让人们前所未有地享受到不受约束获得各种信息发布言论的自由,但同时也带来了许多信息安全问题。
目前,为了解决信息安全的问题,通常在网络边界设置过滤器来进行信息过滤,具体可以根据分组包头源地址、目的地址和端口号、协议类型等标志来确定是否允许数据包通过,只有满足过滤逻辑的数据包才被转发到相应的目的地出口端,其余数据包则被从数据流中丢弃。然而,当企业内网中的通信设备与外网的通信设备进行通信时,需要由网关将源IP地址转换成与目的IP地址相对应的形式,才能实现正常通信。
例如外网的一通信设备在外网中的IP地址为192.168.14.25,但内网中的通信设备则不会存在这样的IP地址,因此外网的通信设备无法直接采用其外网IP地址与内网的通信设备进行直接通信。外网的通信设备只有通过网关将源外网地址(即192.168.14.25)转换为内网适用的IP地址形式(如11.33.14.25)才能与内网的通信设备进行通信。如此一来,则会导致过滤器无法正常识别源IP地址,进而无法根据基于源IP地址的过滤规则来确定是否允许对应的数据包通过。
发明内容
鉴于上述内容,有必要提供一种网络过滤服务系统及方法,其能够基于源地址的过滤规则对数据包进行有效过滤。
本发明第一方面提出一种网络过滤服务系统,所述系统包括:终端设备、网关、过滤服务器和应用服务器;所述终端设备运行在外网环境中,其通过所述网关访问内网中的应用服务器;
所述终端设备,用于产生访问所述应用服务器的数据包并将所述数据包传送给所述网关;
所述网关,预置由所述过滤服务器推送的基于源地址的过滤配置信息,在接收到所述终端设备的数据包后,判断所述数据包的源地址是否落入所述过滤配置信息中,若是,则不对所述数据包的源地址进行转换;
所述过滤服务器,用于接收由所述网关转发的数据包,识别出所述数据包的源地址,并基于预置的源地址过滤规则对所述数据包的内容进行过滤处理;
所述应用服务器,用于接收由所述过滤服务器过滤后的数据包,并基于过滤后的数据包进行相关业务处理。
进一步的,所述网关判断所述数据包的源地址未落入所述过滤配置信息中,则将所述数据包的源地址转化为与内网适配的地址形式。
进一步的,所述过滤服务器预存有源地址过滤规则的映射表,在所述映射表中包括源地址列和过滤规则列,所述源地址列中的源地址与所述过滤规则列中的过滤规则一一对应。
进一步的,所述映射表支持更新功能,当所述映射表中的源地址被更新时,则所述过滤服务器基于更新后的源地址向所述网关重新推送过滤配置信息,实现所述过滤服务器中的映射表与所述网关中的过滤配置信息之间的源地址信息同步。
进一步的,所述终端设备包括第一安全模块,所述网关包括第二安全模块,所述第一安全模块与所述第二安全模块相互配合以建立所述终端设备与所述网关之间的安全通信链路。
进一步的,所述第一安全模块中预置有终端设备的数字证书和公私钥对,所述第二安全模块预置有所述网关的数字证书和公私钥对;
所述网关在接收到所述终端设备的访问请求时,向所述终端设备返回网关数字证书以及经网关私钥签名的相关身份信息;所述终端设备验证所述网关数字证书是否合法,并采用所述网关的公钥对已签名的相关身份信息进行解密,比对解密后的相关身份信息与所述网关数字证书中的身份信息是否一致,以完成对所述网关身份的认证;
所述终端设备向所述网关返回终端设备数字证书以及经终端设备私钥签名的相关身份信息;所述网关验证所述终端设备数字证书是否合法,并采用所述终端设备的公钥对已签名的相关身份信息进行解密,比对解密后的相关身份信息与所述终端设备数字证书中的身份信息是否一致,以完成对所述终端设备身份的认证。
进一步的,所述终端设备的第一安全模块与所述网关的第二安全模块进行密钥协商并生成会话密钥;所述终端设备与所述网关根据所述会话密钥进行密文通信。
进一步的,所述终端设备为视频采集设备,所述视频采集设备用于采集视频信息,并将所述视频信息打包传送给所述网关。
本发明第二方面还提出一种网络过滤服务方法,应用于上述的网络过滤服务系统,所述方法包括:
网关接收由过滤服务器推送的基于源地址的过滤配置信息,并进行预存处理;
终端设备产生访问应用服务器的数据包并将所述数据包传送给所述网关;
所述网关接收到所述终端设备的数据包,并判断所述数据包的源地址是否落入所述过滤配置信息中,若是,则不对所述数据包的源地址进行转换,并以源地址的方式透传给所述过滤服务器;
所述过滤服务器接收由所述网关转发的数据包,识别出所述数据包的源地址,并基于所述源地址的过滤规则对所述数据包的内容进行过滤处理;
所述应用服务器接收由所述过滤服务器过滤后的数据包,并基于过滤后的数据包进行相关业务处理。
进一步的,基于所述源地址的过滤规则对所述数据包的内容进行过滤处理,具体包括:
所述过滤服务器预存有源地址过滤规则的映射表,在所述映射表中包括源地址列和过滤规则列,所述源地址列中的源地址与所述过滤规则列中的过滤规则一一对应;
所述过滤服务器根据识别出的数据包的源地址,在所述映射表中查找该源地址对应的过滤规则,并基于对应的过滤规则对所述数据包的内容进行过滤处理。
本发明的网络过滤服务系统及方法通过在网关中预置由所述过滤服务器推送的基于源地址的过滤配置信息,并根据所述过滤配置信息对接收到指定源地址的数据包不做地址转化,以便于后续的过滤服务器能够基于源地址的过滤规则对该数据包进行过滤处理,从而解决了传统网关与基于源地址的过滤器之间无法适配的问题。
本发明的附加方面和优点将在下面的描述部分中变得明显,或通过本发明的实践了解到。
附图说明
本发明的上述和/或附加的方面和优点从结合下面附图对实施例的描述中将变得明显和容易理解,其中:
图1示出本发明一种网络过滤服务系统的示意图;
图2示出本发明一种网络过滤服务方法的流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,当一个组件被认为是“连接”另一个组件,它可以是直接连接到另一个组件或者可能同时存在居中组件。
除非另有定义,本文所使用的所有的技术和科学术语与属于本发明的技术领域的技术人员通常理解的含义相同。本文中在本发明的说明书中所使用的术语只是为了描述具体的实施例的目的,不是旨在于限制本发明。
图1示出本发明一种网络过滤服务系统的示意图。
如图1所示,本发明第一方面提出一种网络过滤服务系统,所述系统包括:终端设备、网关、过滤服务器和应用服务器;所述终端设备运行在外网环境中,其通过所述网关访问内网中的应用服务器;
所述终端设备,用于产生访问所述应用服务器的数据包并将所述数据包传送给所述网关;
所述网关,预置由所述过滤服务器推送的基于源地址的过滤配置信息,在接收到所述终端设备的数据包后,判断所述数据包的源地址是否落入所述过滤配置信息中,若是,则不对所述数据包的源地址进行转换;
所述过滤服务器,用于接收由所述网关转发的数据包,识别出所述数据包的源地址,并基于预置的源地址过滤规则对所述数据包的内容进行过滤处理;
所述应用服务器,用于接收由所述过滤服务器过滤后的数据包,并基于过滤后的数据包进行相关业务处理。
需要说明的是,所述网关中的过滤配置信息规定:在接收到指定源地址的数据包时,不执行对该源地址进行地址转换,并使数据包以源地址的方式直接透传给过滤服务器;从而确保所述过滤服务器能够正常识别出数据包的源地址,并基于源地址的过滤规则进行过滤。
需要说明的是,所述应用服务器虽设定在内网中,然其同时具有一个内网IP地址和外网IP地址,所述应用服务器通过外网IP地址来接收和处理基于源地址过滤的数据包,并通过内网IP地址接收和处理无需基于源地址过滤的数据包。
进一步的,如果所述网关判断所述数据包的源地址未落入所述过滤配置信息中,则对所述数据包的源地址进行转化为内网适配的地址方式。如数据包的源地址为外网地址:192.168.11.12,则转换后的内网地址可以为:11.12.22.33,以便于与内网中的通信设备(如采用内网IP地址的应用服务器)建立通信连接。
通常情况下,所有外网的终端设备访问内网均需要通过网关,基于源地址的过滤配置信息,一部分数据包的源地址落入所述过滤配置信息中,无需要网关进行源地址转换,并可以直接透传给过滤服务器;另一部分数据包的源地址未落入所述过滤配置信息中,则需要网关行使通常的源地址转换功能。因此,本发明的网关在不影响正常网间连接、协议转换功能的同时,进一步满足基于源地址的过滤需求,实现了功能的多元化。
进一步的,所述过滤服务器预存有源地址过滤规则的映射表,在所述映射表中包括源地址列和过滤规则列,所述源地址列中的源地址与所述过滤规则列中的过滤规则一一对应。
可以理解,在所述映射表中,各个源地址具有对应的过滤规则,所述过滤规则可以基于敏感信息、过期信息等建立的。
进一步的,所述映射表支持更新功能,当所述映射表中的源地址被更新时,则所述过滤服务器基于更新后的源地址向所述网关重新推送过滤配置信息,实现所述过滤服务中的映射表与所述网关中的过滤配置信息之间的源地址信息同步。
可以理解,所述更新功能具体体现在以下两方面:一方面针对映射表中的过滤规则内容进行修改、删除或新增,另一方面针对映射表中的源地址进行删除或新增。
进一步的,所述终端设备包括第一安全模块,所述网关包括第二安全模块,所述第一安全模块与所述第二安全模块相互配合以建立所述终端设备与所述网关之间的安全通信链路。
根据本发明的实施例,建立安全通信链路的过程可以通过双向认证、密钥协商来具体实现。
所述第一安全模块中预置有终端设备的数字证书和公私钥对,所述第二安全模块预置有所述网关的数字证书和公私钥对;所述网关在接收到所述终端设备的访问请求时,向所述终端设备返回网关数字证书以及经网关私钥签名的相关身份信息;所述终端设备验证所述网关数字证书是否合法,并采用所述网关数字证书中的公钥对已签名的相关身份信息进行解密,比对解密后的相关身份信息与所述网关数字证书中的身份信息是否一致,以完成对所述网关身份的认证。
所述终端设备向所述网关返回终端设备数字证书以及经终端设备私钥签名的相关身份信息;所述网关验证所述终端设备数字证书是否合法,并采用所述终端设备数字证书中的公钥对已签名的相关身份信息进行解密,比对解密后的相关身份信息与所述终端设备数字证书中的身份信息是否一致,以完成对所述终端设备身份的认证。
所述终端设备的第一安全模块与所述网关的第二安全模块进行密钥协商并生成会话密钥;所述终端设备与所述网关根据所述会话密钥进行密文通信。具体的,所述第一安全模块根据会话密钥对数据包进行加密以生成数据包密文,所述终端设备将所述数据包密文传送至所述网关,所述网关接收到所述数据包密文并采用会话密钥进行解密,然后将解密后的数据包传送给过滤服务器进行过滤处理。
需要说明的是,所述第一安全模块和所述第二安全模块均可以支持加解密算法,所述加解密算法可以为SM4、DES、3DES、AES的一种或几种算法。但不限于此。
进一步的,所述终端设备为视频采集设备,所述视频采集设备用于采集视频信息,并将所述视频信息打包传送给所述网关,所述网关判断视频信息的源地址是否落入过滤配置信息中,若是,则不对所述视频信息的源地址进行转换,进而便于后续的过滤服务器基于源地址的过滤规则对所述视频信息进行过滤处理。
可以理解,所述终端设备还应内置有通信模块,所述终端设备通过所述通信模块实现与所述网关的通信连接。具体的,所述通信模块可以为无线通信模块(如3G、4G、5G等)、有线通信模块(如网线接口模块等)。
图2示出本发明一种网络过滤服务方法的流程图。
如图2所示,本发明第二方面还提出一种网络过滤服务方法,所述方法包括以下步骤:
步骤1,一网关接收由过滤服务器推送的基于源地址的过滤配置信息,并进行预存处理;
步骤2,一终端设备产生访问应用服务器的数据包并将所述数据包传送给所述网关;
步骤3,所述网关接收到所述终端设备的数据包,并判断所述数据包的源地址是否落入所述过滤配置信息中,若是,则不对所述数据包的源地址进行转换,并以源地址的方式透传给所述过滤服务器;
步骤4,所述过滤服务器接收由所述网关转发的数据包,识别出所述数据包的源地址,并基于所述源地址的过滤规则对所述数据包的内容进行过滤处理;
步骤5,所述应用服务器接收由所述过滤服务器过滤后的数据包,并基于过滤后的数据包进行相关业务处理。
进一步的,上述步骤4中,基于所述源地址的过滤规则对所述数据包的内容进行过滤处理,具体包括:
所述过滤服务器预存有源地址过滤规则的映射表,在所述映射表中包括源地址列和过滤规则列,所述源地址列中的源地址与所述过滤规则列中的过滤规则一一对应;
所述过滤服务器根据识别出的数据包的源地址,在所述映射表中查找该源地址对应的过滤规则,并基于对应的过滤规对所述数据包的内容进行过滤处理。
可以理解,在步骤4中还可能会出现一些极端的现象,例如该数据包的全部内容因已过期而没有应用价值,如果按照该源地址的过滤规则,数据包的全部内容将被过滤掉时,此时步骤5中的应用服务器不会收到被过滤掉的数据包。
本发明的网络过滤服务系统及方法通过在网关中预置由所述过滤服务器推送的基于源地址的过滤配置信息,并根据所述过滤配置信息对接收到指定源地址的数据包不做地址转化,以便于后续的过滤服务器能够基于源地址的过滤规则对该数据包进行过滤处理,从而解决了传统网关与基于源地址的过滤器之间无法适配的问题。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (10)

1.一种网络过滤服务系统,其特征在于,所述系统包括:终端设备、网关、过滤服务器和应用服务器;所述终端设备运行在外网环境中,其通过所述网关访问内网中的应用服务器;
所述终端设备,用于产生访问所述应用服务器的数据包并将所述数据包传送给所述网关;
所述网关,预置由所述过滤服务器推送的基于源地址的过滤配置信息,在接收到所述终端设备的数据包后,判断所述数据包的源地址是否落入所述过滤配置信息中,若是,则不对所述数据包的源地址进行转换;
所述过滤服务器,用于接收由所述网关转发的数据包,识别出所述数据包的源地址,并基于预置的源地址过滤规则对所述数据包的内容进行过滤处理;
所述应用服务器,用于接收由所述过滤服务器过滤后的数据包,并基于过滤后的数据包进行相关业务处理。
2.根据权利要求1所述的一种网络过滤服务系统,其特征在于,所述网关判断所述数据包的源地址未落入所述过滤配置信息中,则将所述数据包的源地址转化为与内网适配的地址形式。
3.根据权利要求1所述的一种网络过滤服务系统,其特征在于,所述过滤服务器预存有源地址过滤规则的映射表,在所述映射表中包括源地址列和过滤规则列,所述源地址列中的源地址与所述过滤规则列中的过滤规则一一对应。
4.根据权利要求3所述的一种网络过滤服务系统,其特征在于,所述映射表支持更新功能,当所述映射表中的源地址被更新时,则所述过滤服务器基于更新后的源地址向所述网关重新推送过滤配置信息,实现所述过滤服务器中的映射表与所述网关中的过滤配置信息之间的源地址信息同步。
5.根据权利要求1所述的一种网络过滤服务系统,其特征在于,所述终端设备包括第一安全模块,所述网关包括第二安全模块,所述第一安全模块与所述第二安全模块相互配合以建立所述终端设备与所述网关之间的安全通信链路。
6.根据权利要求5所述的一种网络过滤服务系统,其特征在于,所述第一安全模块中预置有终端设备的数字证书和公私钥对,所述第二安全模块预置有所述网关的数字证书和公私钥对;
所述网关在接收到所述终端设备的访问请求时,向所述终端设备返回网关数字证书以及经网关私钥签名的相关身份信息;所述终端设备验证所述网关数字证书是否合法,并采用所述网关的公钥对已签名的相关身份信息进行解密,比对解密后的相关身份信息与所述网关数字证书中的身份信息是否一致,以完成对所述网关身份的认证;
所述终端设备向所述网关返回终端设备数字证书以及经终端设备私钥签名的相关身份信息;所述网关验证所述终端设备数字证书是否合法,并采用所述终端设备的公钥对已签名的相关身份信息进行解密,比对解密后的相关身份信息与所述终端设备数字证书中的身份信息是否一致,以完成对所述终端设备身份的认证。
7.根据权利要求5所述的一种网络过滤服务系统,其特征在于,所述终端设备的第一安全模块与所述网关的第二安全模块进行密钥协商并生成会话密钥;所述终端设备与所述网关根据所述会话密钥进行密文通信。
8.根据权利要求1所述的一种网络过滤服务系统,其特征在于,所述终端设备为视频采集设备,所述视频采集设备用于采集视频信息,并将所述视频信息打包传送给所述网关。
9.一种网络过滤服务方法,应用于权利要求1-8任意一项所述的网络过滤服务系统,其特征在于,所述方法包括:
网关接收由过滤服务器推送的基于源地址的过滤配置信息,并进行预存处理;
终端设备产生访问应用服务器的数据包并将所述数据包传送给所述网关;
所述网关接收到所述终端设备的数据包,并判断所述数据包的源地址是否落入所述过滤配置信息中,若是,则不对所述数据包的源地址进行转换,并以源地址的方式透传给所述过滤服务器;
所述过滤服务器接收由所述网关转发的数据包,识别出所述数据包的源地址,并基于所述源地址的过滤规则对所述数据包的内容进行过滤处理;
所述应用服务器接收由所述过滤服务器过滤后的数据包,并基于过滤后的数据包进行相关业务处理。
10.根据权利要求9所述的网络过滤服务方法,其特征在于,基于所述源地址的过滤规则对所述数据包的内容进行过滤处理,具体包括:
所述过滤服务器预存有源地址过滤规则的映射表,在所述映射表中包括源地址列和过滤规则列,所述源地址列中的源地址与所述过滤规则列中的过滤规则一一对应;
所述过滤服务器根据识别出的数据包的源地址,在所述映射表中查找该源地址对应的过滤规则,并基于对应的过滤规则对所述数据包的内容进行过滤处理。
CN201910722338.0A 2019-08-06 2019-08-06 一种网络过滤服务系统及方法 Active CN110336836B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910722338.0A CN110336836B (zh) 2019-08-06 2019-08-06 一种网络过滤服务系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910722338.0A CN110336836B (zh) 2019-08-06 2019-08-06 一种网络过滤服务系统及方法

Publications (2)

Publication Number Publication Date
CN110336836A true CN110336836A (zh) 2019-10-15
CN110336836B CN110336836B (zh) 2021-10-15

Family

ID=68148768

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910722338.0A Active CN110336836B (zh) 2019-08-06 2019-08-06 一种网络过滤服务系统及方法

Country Status (1)

Country Link
CN (1) CN110336836B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113973303A (zh) * 2021-11-02 2022-01-25 上海格尔安全科技有限公司 基于数据包分析的移动终端设备接入控制网关的实现方法

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090103551A1 (en) * 2006-06-27 2009-04-23 Yangbo Lin Media gateway and packet filtering method thereof
CN101605070A (zh) * 2009-07-10 2009-12-16 清华大学 基于控制报文监听的源地址验证方法及装置
CN102201093A (zh) * 2010-03-24 2011-09-28 北京创世网赢高科技有限公司 一种交易平台系统
CN102497380A (zh) * 2011-12-21 2012-06-13 余姚市供电局 一种内网数据包过滤方法
CN105721487A (zh) * 2016-03-07 2016-06-29 联想(北京)有限公司 信息处理方法及电子设备
CN106487518A (zh) * 2016-10-31 2017-03-08 金联汇通信息技术有限公司 一种用于快递行业的实名认证系统和方法
US20180124101A1 (en) * 2013-05-03 2018-05-03 Centurylink Intellectual Property Llc Combination of Remote Triggered Source and Destination Blackhole Filtering
CN108366368A (zh) * 2018-01-08 2018-08-03 国网江苏省电力有限公司 一种基于Wi-Fi的电力云平台系统及其无线接入方法
CN109842609A (zh) * 2017-11-27 2019-06-04 三星电子株式会社 用于网络地址转换的通信系统和方法

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090103551A1 (en) * 2006-06-27 2009-04-23 Yangbo Lin Media gateway and packet filtering method thereof
CN101605070A (zh) * 2009-07-10 2009-12-16 清华大学 基于控制报文监听的源地址验证方法及装置
CN102201093A (zh) * 2010-03-24 2011-09-28 北京创世网赢高科技有限公司 一种交易平台系统
CN102497380A (zh) * 2011-12-21 2012-06-13 余姚市供电局 一种内网数据包过滤方法
US20180124101A1 (en) * 2013-05-03 2018-05-03 Centurylink Intellectual Property Llc Combination of Remote Triggered Source and Destination Blackhole Filtering
CN105721487A (zh) * 2016-03-07 2016-06-29 联想(北京)有限公司 信息处理方法及电子设备
CN106487518A (zh) * 2016-10-31 2017-03-08 金联汇通信息技术有限公司 一种用于快递行业的实名认证系统和方法
CN109842609A (zh) * 2017-11-27 2019-06-04 三星电子株式会社 用于网络地址转换的通信系统和方法
CN108366368A (zh) * 2018-01-08 2018-08-03 国网江苏省电力有限公司 一种基于Wi-Fi的电力云平台系统及其无线接入方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
钟雪慧: "一种网络设备虚假源地址过滤配置的采集与分析系统", 《工业技术创新》 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113973303A (zh) * 2021-11-02 2022-01-25 上海格尔安全科技有限公司 基于数据包分析的移动终端设备接入控制网关的实现方法
CN113973303B (zh) * 2021-11-02 2024-04-02 上海格尔安全科技有限公司 基于数据包分析的移动终端设备接入控制网关的实现方法

Also Published As

Publication number Publication date
CN110336836B (zh) 2021-10-15

Similar Documents

Publication Publication Date Title
US20180270660A1 (en) Method and system for peer-to-peer enforcement
EP1658700B1 (en) Personal remote firewall
CN102316093B (zh) 用于移动设备的双模式多服务vpn网络客户端
JP4741193B2 (ja) インターネット接続時のネットワークアクセスにおけるユーザ認証方法およびシステム
CN102333075B (zh) 用于移动设备的具有动态故障转移的多服务vpn网络客户端
CN102333110B (zh) 用于移动设备的具有动态翻译用户主页的vpn网络客户端
US7116349B1 (en) Method of videophone data transmission
US20070157309A1 (en) Method and apparatus for secure communication between user equipment and private network
US20060155984A1 (en) Apparatus, method and computer software products for controlling a home terminal
CN114143788B (zh) 一种基于msisdn实现5g专网认证控制的方法和系统
JP2002118562A (ja) 認証拒否端末に対し特定条件でアクセスを許容するlan
US8769281B2 (en) Method and apparatus for securing communication between a mobile node and a network
CN1997981A (zh) Ip流的按需会话提供
CN108834138A (zh) 一种基于声纹数据的配网方法及系统
US8468354B2 (en) Broker-based interworking using hierarchical certificates
CN106789952A (zh) 一种局域网服务互联网化的方法和系统
CN113259347B (zh) 一种工业互联网内的设备安全系统及设备行为管理方法
CN110336836A (zh) 一种网络过滤服务系统及方法
JP4109273B2 (ja) ネットワーク接続システム、ネットワーク接続装置およびプログラム
US20090271852A1 (en) System and Method for Distributing Enduring Credentials in an Untrusted Network Environment
CN108184134A (zh) 一种视频流安全转发方法及系统
TW201216660A (en) Method and system for handling security in an IP multimedia gateway
CN111464550B (zh) 一种用于报文处理设备的https透明防护方法
JP2000244547A (ja) 認証方法
CN108521649A (zh) 一种智能设备的网络连接方法及网络连接系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
PE01 Entry into force of the registration of the contract for pledge of patent right
PE01 Entry into force of the registration of the contract for pledge of patent right

Denomination of invention: A Network Filtering Service System and Method

Effective date of registration: 20230412

Granted publication date: 20211015

Pledgee: China Construction Bank Corporation Zhengzhou Jinshui sub branch

Pledgor: ZHENGZHOU XINDA JIEAN INFORMATION TECHNOLOGY Co.,Ltd.

Registration number: Y2023980037751