CN110336836B - 一种网络过滤服务系统及方法 - Google Patents

一种网络过滤服务系统及方法 Download PDF

Info

Publication number
CN110336836B
CN110336836B CN201910722338.0A CN201910722338A CN110336836B CN 110336836 B CN110336836 B CN 110336836B CN 201910722338 A CN201910722338 A CN 201910722338A CN 110336836 B CN110336836 B CN 110336836B
Authority
CN
China
Prior art keywords
filtering
source address
data packet
gateway
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910722338.0A
Other languages
English (en)
Other versions
CN110336836A (zh
Inventor
孙晓鹏
廖正赟
武宗品
马骥
彭金辉
李顶占
周小欠
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhengzhou Xinda Jiean Information Technology Co Ltd
Original Assignee
Zhengzhou Xinda Jiean Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhengzhou Xinda Jiean Information Technology Co Ltd filed Critical Zhengzhou Xinda Jiean Information Technology Co Ltd
Priority to CN201910722338.0A priority Critical patent/CN110336836B/zh
Publication of CN110336836A publication Critical patent/CN110336836A/zh
Application granted granted Critical
Publication of CN110336836B publication Critical patent/CN110336836B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明提出了一种网络过滤服务系统及方法,所述系统包括:终端设备、网关、过滤服务器和应用服务器;网关预置由过滤服务器推送的基于源地址的过滤配置信息,并判断接收的数据包源地址是否落入过滤配置信息中;过滤服务器用于接收由网关转发的数据包,识别出数据包的源地址,并基于预置的源地址过滤规则对数据包进行过滤;应用服务器基于过滤后的数据包进行相关业务处理。本发明通过在网关中预置由过滤服务器推送的基于源地址的过滤配置信息,并根据过滤配置信息对接收到指定源地址的数据包不做地址转化,以便于过滤服务器能够基于源地址的过滤规则对该数据包进行过滤,从而解决了传统网关与基于源地址的过滤器之间无法适配的问题。

Description

一种网络过滤服务系统及方法
技术领域
本发明涉及网络通信技术领域,尤其涉及一种网络过滤服务系统及方法。
背景技术
互联网满足了人们几千年来苦苦追求的“快”和“没有限制”的突破时空的至高境界,实现人们的自由之梦,他契合了人的原始本性,达到的“自由”程度超越了以前人们的想象。互联网的开放让人们前所未有地享受到不受约束获得各种信息发布言论的自由,但同时也带来了许多信息安全问题。
目前,为了解决信息安全的问题,通常在网络边界设置过滤器来进行信息过滤,具体可以根据分组包头源地址、目的地址和端口号、协议类型等标志来确定是否允许数据包通过,只有满足过滤逻辑的数据包才被转发到相应的目的地出口端,其余数据包则被从数据流中丢弃。然而,当企业内网中的通信设备与外网的通信设备进行通信时,需要由网关将源IP地址转换成与目的IP地址相对应的形式,才能实现正常通信。
例如外网的一通信设备在外网中的IP地址为192.168.14.25,但内网中的通信设备则不会存在这样的IP地址,因此外网的通信设备无法直接采用其外网IP地址与内网的通信设备进行直接通信。外网的通信设备只有通过网关将源外网地址(即192.168.14.25)转换为内网适用的IP地址形式(如11.33.14.25)才能与内网的通信设备进行通信。如此一来,则会导致过滤器无法正常识别源IP地址,进而无法根据基于源IP地址的过滤规则来确定是否允许对应的数据包通过。
发明内容
鉴于上述内容,有必要提供一种网络过滤服务系统及方法,其能够基于源地址的过滤规则对数据包进行有效过滤。
本发明第一方面提出一种网络过滤服务系统,所述系统包括:终端设备、网关、过滤服务器和应用服务器;所述终端设备运行在外网环境中,其通过所述网关访问内网中的应用服务器;
所述终端设备,用于产生访问所述应用服务器的数据包并将所述数据包传送给所述网关;
所述网关,预置由所述过滤服务器推送的基于源地址的过滤配置信息,在接收到所述终端设备的数据包后,判断所述数据包的源地址是否落入所述过滤配置信息中,若是,则不对所述数据包的源地址进行转换;
所述过滤服务器,用于接收由所述网关转发的数据包,识别出所述数据包的源地址,并基于预置的源地址过滤规则对所述数据包的内容进行过滤处理;
所述应用服务器,用于接收由所述过滤服务器过滤后的数据包,并基于过滤后的数据包进行相关业务处理。
进一步的,所述网关判断所述数据包的源地址未落入所述过滤配置信息中,则将所述数据包的源地址转化为与内网适配的地址形式。
进一步的,所述过滤服务器预存有源地址过滤规则的映射表,在所述映射表中包括源地址列和过滤规则列,所述源地址列中的源地址与所述过滤规则列中的过滤规则一一对应。
进一步的,所述映射表支持更新功能,当所述映射表中的源地址被更新时,则所述过滤服务器基于更新后的源地址向所述网关重新推送过滤配置信息,实现所述过滤服务器中的映射表与所述网关中的过滤配置信息之间的源地址信息同步。
进一步的,所述终端设备包括第一安全模块,所述网关包括第二安全模块,所述第一安全模块与所述第二安全模块相互配合以建立所述终端设备与所述网关之间的安全通信链路。
进一步的,所述第一安全模块中预置有终端设备的数字证书和公私钥对,所述第二安全模块预置有所述网关的数字证书和公私钥对;
所述网关在接收到所述终端设备的访问请求时,向所述终端设备返回网关数字证书以及经网关私钥签名的相关身份信息;所述终端设备验证所述网关数字证书是否合法,并采用所述网关的公钥对已签名的相关身份信息进行解密,比对解密后的相关身份信息与所述网关数字证书中的身份信息是否一致,以完成对所述网关身份的认证;
所述终端设备向所述网关返回终端设备数字证书以及经终端设备私钥签名的相关身份信息;所述网关验证所述终端设备数字证书是否合法,并采用所述终端设备的公钥对已签名的相关身份信息进行解密,比对解密后的相关身份信息与所述终端设备数字证书中的身份信息是否一致,以完成对所述终端设备身份的认证。
进一步的,所述终端设备的第一安全模块与所述网关的第二安全模块进行密钥协商并生成会话密钥;所述终端设备与所述网关根据所述会话密钥进行密文通信。
进一步的,所述终端设备为视频采集设备,所述视频采集设备用于采集视频信息,并将所述视频信息打包传送给所述网关。
本发明第二方面还提出一种网络过滤服务方法,应用于上述的网络过滤服务系统,所述方法包括:
网关接收由过滤服务器推送的基于源地址的过滤配置信息,并进行预存处理;
终端设备产生访问应用服务器的数据包并将所述数据包传送给所述网关;
所述网关接收到所述终端设备的数据包,并判断所述数据包的源地址是否落入所述过滤配置信息中,若是,则不对所述数据包的源地址进行转换,并以源地址的方式透传给所述过滤服务器;
所述过滤服务器接收由所述网关转发的数据包,识别出所述数据包的源地址,并基于所述源地址的过滤规则对所述数据包的内容进行过滤处理;
所述应用服务器接收由所述过滤服务器过滤后的数据包,并基于过滤后的数据包进行相关业务处理。
进一步的,基于所述源地址的过滤规则对所述数据包的内容进行过滤处理,具体包括:
所述过滤服务器预存有源地址过滤规则的映射表,在所述映射表中包括源地址列和过滤规则列,所述源地址列中的源地址与所述过滤规则列中的过滤规则一一对应;
所述过滤服务器根据识别出的数据包的源地址,在所述映射表中查找该源地址对应的过滤规则,并基于对应的过滤规则对所述数据包的内容进行过滤处理。
本发明的网络过滤服务系统及方法通过在网关中预置由所述过滤服务器推送的基于源地址的过滤配置信息,并根据所述过滤配置信息对接收到指定源地址的数据包不做地址转化,以便于后续的过滤服务器能够基于源地址的过滤规则对该数据包进行过滤处理,从而解决了传统网关与基于源地址的过滤器之间无法适配的问题。
本发明的附加方面和优点将在下面的描述部分中变得明显,或通过本发明的实践了解到。
附图说明
本发明的上述和/或附加的方面和优点从结合下面附图对实施例的描述中将变得明显和容易理解,其中:
图1示出本发明一种网络过滤服务系统的示意图;
图2示出本发明一种网络过滤服务方法的流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,当一个组件被认为是“连接”另一个组件,它可以是直接连接到另一个组件或者可能同时存在居中组件。
除非另有定义,本文所使用的所有的技术和科学术语与属于本发明的技术领域的技术人员通常理解的含义相同。本文中在本发明的说明书中所使用的术语只是为了描述具体的实施例的目的,不是旨在于限制本发明。
图1示出本发明一种网络过滤服务系统的示意图。
如图1所示,本发明第一方面提出一种网络过滤服务系统,所述系统包括:终端设备、网关、过滤服务器和应用服务器;所述终端设备运行在外网环境中,其通过所述网关访问内网中的应用服务器;
所述终端设备,用于产生访问所述应用服务器的数据包并将所述数据包传送给所述网关;
所述网关,预置由所述过滤服务器推送的基于源地址的过滤配置信息,在接收到所述终端设备的数据包后,判断所述数据包的源地址是否落入所述过滤配置信息中,若是,则不对所述数据包的源地址进行转换;
所述过滤服务器,用于接收由所述网关转发的数据包,识别出所述数据包的源地址,并基于预置的源地址过滤规则对所述数据包的内容进行过滤处理;
所述应用服务器,用于接收由所述过滤服务器过滤后的数据包,并基于过滤后的数据包进行相关业务处理。
需要说明的是,所述网关中的过滤配置信息规定:在接收到指定源地址的数据包时,不执行对该源地址进行地址转换,并使数据包以源地址的方式直接透传给过滤服务器;从而确保所述过滤服务器能够正常识别出数据包的源地址,并基于源地址的过滤规则进行过滤。
需要说明的是,所述应用服务器虽设定在内网中,然其同时具有一个内网IP地址和外网IP地址,所述应用服务器通过外网IP地址来接收和处理基于源地址过滤的数据包,并通过内网IP地址接收和处理无需基于源地址过滤的数据包。
进一步的,如果所述网关判断所述数据包的源地址未落入所述过滤配置信息中,则对所述数据包的源地址进行转化为内网适配的地址方式。如数据包的源地址为外网地址:192.168.11.12,则转换后的内网地址可以为:11.12.22.33,以便于与内网中的通信设备(如采用内网IP地址的应用服务器)建立通信连接。
通常情况下,所有外网的终端设备访问内网均需要通过网关,基于源地址的过滤配置信息,一部分数据包的源地址落入所述过滤配置信息中,无需要网关进行源地址转换,并可以直接透传给过滤服务器;另一部分数据包的源地址未落入所述过滤配置信息中,则需要网关行使通常的源地址转换功能。因此,本发明的网关在不影响正常网间连接、协议转换功能的同时,进一步满足基于源地址的过滤需求,实现了功能的多元化。
进一步的,所述过滤服务器预存有源地址过滤规则的映射表,在所述映射表中包括源地址列和过滤规则列,所述源地址列中的源地址与所述过滤规则列中的过滤规则一一对应。
可以理解,在所述映射表中,各个源地址具有对应的过滤规则,所述过滤规则可以基于敏感信息、过期信息等建立的。
进一步的,所述映射表支持更新功能,当所述映射表中的源地址被更新时,则所述过滤服务器基于更新后的源地址向所述网关重新推送过滤配置信息,实现所述过滤服务中的映射表与所述网关中的过滤配置信息之间的源地址信息同步。
可以理解,所述更新功能具体体现在以下两方面:一方面针对映射表中的过滤规则内容进行修改、删除或新增,另一方面针对映射表中的源地址进行删除或新增。
进一步的,所述终端设备包括第一安全模块,所述网关包括第二安全模块,所述第一安全模块与所述第二安全模块相互配合以建立所述终端设备与所述网关之间的安全通信链路。
根据本发明的实施例,建立安全通信链路的过程可以通过双向认证、密钥协商来具体实现。
所述第一安全模块中预置有终端设备的数字证书和公私钥对,所述第二安全模块预置有所述网关的数字证书和公私钥对;所述网关在接收到所述终端设备的访问请求时,向所述终端设备返回网关数字证书以及经网关私钥签名的相关身份信息;所述终端设备验证所述网关数字证书是否合法,并采用所述网关数字证书中的公钥对已签名的相关身份信息进行解密,比对解密后的相关身份信息与所述网关数字证书中的身份信息是否一致,以完成对所述网关身份的认证。
所述终端设备向所述网关返回终端设备数字证书以及经终端设备私钥签名的相关身份信息;所述网关验证所述终端设备数字证书是否合法,并采用所述终端设备数字证书中的公钥对已签名的相关身份信息进行解密,比对解密后的相关身份信息与所述终端设备数字证书中的身份信息是否一致,以完成对所述终端设备身份的认证。
所述终端设备的第一安全模块与所述网关的第二安全模块进行密钥协商并生成会话密钥;所述终端设备与所述网关根据所述会话密钥进行密文通信。具体的,所述第一安全模块根据会话密钥对数据包进行加密以生成数据包密文,所述终端设备将所述数据包密文传送至所述网关,所述网关接收到所述数据包密文并采用会话密钥进行解密,然后将解密后的数据包传送给过滤服务器进行过滤处理。
需要说明的是,所述第一安全模块和所述第二安全模块均可以支持加解密算法,所述加解密算法可以为SM4、DES、3DES、AES的一种或几种算法。但不限于此。
进一步的,所述终端设备为视频采集设备,所述视频采集设备用于采集视频信息,并将所述视频信息打包传送给所述网关,所述网关判断视频信息的源地址是否落入过滤配置信息中,若是,则不对所述视频信息的源地址进行转换,进而便于后续的过滤服务器基于源地址的过滤规则对所述视频信息进行过滤处理。
可以理解,所述终端设备还应内置有通信模块,所述终端设备通过所述通信模块实现与所述网关的通信连接。具体的,所述通信模块可以为无线通信模块(如3G、4G、5G等)、有线通信模块(如网线接口模块等)。
图2示出本发明一种网络过滤服务方法的流程图。
如图2所示,本发明第二方面还提出一种网络过滤服务方法,所述方法包括以下步骤:
步骤1,一网关接收由过滤服务器推送的基于源地址的过滤配置信息,并进行预存处理;
步骤2,一终端设备产生访问应用服务器的数据包并将所述数据包传送给所述网关;
步骤3,所述网关接收到所述终端设备的数据包,并判断所述数据包的源地址是否落入所述过滤配置信息中,若是,则不对所述数据包的源地址进行转换,并以源地址的方式透传给所述过滤服务器;
步骤4,所述过滤服务器接收由所述网关转发的数据包,识别出所述数据包的源地址,并基于所述源地址的过滤规则对所述数据包的内容进行过滤处理;
步骤5,所述应用服务器接收由所述过滤服务器过滤后的数据包,并基于过滤后的数据包进行相关业务处理。
进一步的,上述步骤4中,基于所述源地址的过滤规则对所述数据包的内容进行过滤处理,具体包括:
所述过滤服务器预存有源地址过滤规则的映射表,在所述映射表中包括源地址列和过滤规则列,所述源地址列中的源地址与所述过滤规则列中的过滤规则一一对应;
所述过滤服务器根据识别出的数据包的源地址,在所述映射表中查找该源地址对应的过滤规则,并基于对应的过滤规对所述数据包的内容进行过滤处理。
可以理解,在步骤4中还可能会出现一些极端的现象,例如该数据包的全部内容因已过期而没有应用价值,如果按照该源地址的过滤规则,数据包的全部内容将被过滤掉时,此时步骤5中的应用服务器不会收到被过滤掉的数据包。
本发明的网络过滤服务系统及方法通过在网关中预置由所述过滤服务器推送的基于源地址的过滤配置信息,并根据所述过滤配置信息对接收到指定源地址的数据包不做地址转化,以便于后续的过滤服务器能够基于源地址的过滤规则对该数据包进行过滤处理,从而解决了传统网关与基于源地址的过滤器之间无法适配的问题。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (6)

1.一种网络过滤服务系统,其特征在于,所述系统包括:终端设备、网关、过滤服务器和应用服务器;所述终端设备运行在外网环境中,其通过所述网关访问内网中的应用服务器;
所述终端设备,用于产生访问所述应用服务器的数据包并将所述数据包传送给所述网关;
所述网关,预置由所述过滤服务器推送的基于源地址的过滤配置信息,在接收到所述终端设备的数据包后,判断所述数据包的源地址是否落入所述过滤配置信息中,若是,则不对所述数据包的源地址进行转换;若否,则将所述数据包的源地址转化为与内网适配的地址形式;
所述过滤服务器,用于接收由所述网关转发的数据包,识别出所述数据包的源地址,并基于预置的源地址过滤规则对所述数据包的内容进行过滤处理;所述过滤服务器预存有源地址过滤规则的映射表,在所述映射表中包括源地址列和过滤规则列,所述源地址列中的源地址与所述过滤规则列中的过滤规则一一对应;所述映射表支持更新功能,当所述映射表中的源地址被更新时,则所述过滤服务器基于更新后的源地址向所述网关重新推送过滤配置信息,实现所述过滤服务器中的映射表与所述网关中的过滤配置信息之间的源地址信息同步;所述过滤规则基于敏感信息、过期信息建立;
所述应用服务器,用于接收由所述过滤服务器过滤后的数据包,并基于过滤后的数据包进行相关业务处理;
所述应用服务器同时具有一个内网IP地址和外网IP地址,所述应用服务器通过外网IP地址来接收和处理基于源地址过滤的数据包,并通过内网IP地址接收和处理无需基于源地址过滤的数据包。
2.根据权利要求1所述的一种网络过滤服务系统,其特征在于,所述终端设备包括第一安全模块,所述网关包括第二安全模块,所述第一安全模块与所述第二安全模块相互配合以建立所述终端设备与所述网关之间的安全通信链路。
3.根据权利要求2所述的一种网络过滤服务系统,其特征在于,所述第一安全模块中预置有终端设备的数字证书和公私钥对,所述第二安全模块预置有所述网关的数字证书和公私钥对;
所述网关在接收到所述终端设备的访问请求时,向所述终端设备返回网关数字证书以及经网关私钥签名的相关身份信息;所述终端设备验证所述网关数字证书是否合法,并采用所述网关的公钥对已签名的相关身份信息进行解密,比对解密后的相关身份信息与所述网关数字证书中的身份信息是否一致,以完成对所述网关身份的认证;
所述终端设备向所述网关返回终端设备数字证书以及经终端设备私钥签名的相关身份信息;所述网关验证所述终端设备数字证书是否合法,并采用所述终端设备的公钥对已签名的相关身份信息进行解密,比对解密后的相关身份信息与所述终端设备数字证书中的身份信息是否一致,以完成对所述终端设备身份的认证。
4.根据权利要求2所述的一种网络过滤服务系统,其特征在于,所述终端设备的第一安全模块与所述网关的第二安全模块进行密钥协商并生成会话密钥;所述终端设备与所述网关根据所述会话密钥进行密文通信。
5.根据权利要求1所述的一种网络过滤服务系统,其特征在于,所述终端设备为视频采集设备,所述视频采集设备用于采集视频信息,并将所述视频信息打包传送给所述网关。
6.一种网络过滤服务方法,应用于权利要求1-5任意一项所述的网络过滤服务系统,其特征在于,所述方法包括:
网关接收由过滤服务器推送的基于源地址的过滤配置信息,并进行预存处理;
终端设备产生访问应用服务器的数据包并将所述数据包传送给所述网关;
所述网关接收到所述终端设备的数据包,并判断所述数据包的源地址是否落入所述过滤配置信息中,若是,则不对所述数据包的源地址进行转换,并以源地址的方式透传给所述过滤服务器;若否,则将所述数据包的源地址转化为与内网适配的地址形式;
所述过滤服务器接收由所述网关转发的数据包,识别出所述数据包的源地址,并基于所述源地址的过滤规则对所述数据包的内容进行过滤处理;
基于所述源地址的过滤规则对所述数据包的内容进行过滤处理,具体包括:所述过滤服务器预存有源地址过滤规则的映射表,在所述映射表中包括源地址列和过滤规则列,所述源地址列中的源地址与所述过滤规则列中的过滤规则一一对应;所述过滤服务器根据识别出的数据包的源地址,在所述映射表中查找该源地址对应的过滤规则,并基于对应的过滤规则对所述数据包的内容进行过滤处理;
所述应用服务器接收由所述过滤服务器过滤后的数据包,并基于过滤后的数据包进行相关业务处理;
所述应用服务器同时具有一个内网IP地址和外网IP地址,所述应用服务器通过外网IP地址来接收和处理基于源地址过滤的数据包,并通过内网IP地址接收和处理无需基于源地址过滤的数据包。
CN201910722338.0A 2019-08-06 2019-08-06 一种网络过滤服务系统及方法 Active CN110336836B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910722338.0A CN110336836B (zh) 2019-08-06 2019-08-06 一种网络过滤服务系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910722338.0A CN110336836B (zh) 2019-08-06 2019-08-06 一种网络过滤服务系统及方法

Publications (2)

Publication Number Publication Date
CN110336836A CN110336836A (zh) 2019-10-15
CN110336836B true CN110336836B (zh) 2021-10-15

Family

ID=68148768

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910722338.0A Active CN110336836B (zh) 2019-08-06 2019-08-06 一种网络过滤服务系统及方法

Country Status (1)

Country Link
CN (1) CN110336836B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113973303B (zh) * 2021-11-02 2024-04-02 上海格尔安全科技有限公司 基于数据包分析的移动终端设备接入控制网关的实现方法

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101005496B (zh) * 2006-06-27 2011-09-14 华为技术有限公司 媒体网关分组过滤方法及媒体网关
CN101605070B (zh) * 2009-07-10 2011-09-14 清华大学 基于控制报文监听的源地址验证方法及装置
CN102201093A (zh) * 2010-03-24 2011-09-28 北京创世网赢高科技有限公司 一种交易平台系统
CN102497380A (zh) * 2011-12-21 2012-06-13 余姚市供电局 一种内网数据包过滤方法
US9888028B2 (en) * 2013-05-03 2018-02-06 Centurylink Intellectual Property Llc Combination of remote triggered source and destination blackhole filtering
CN105721487B (zh) * 2016-03-07 2019-07-26 联想(北京)有限公司 信息处理方法及电子设备
CN106487518A (zh) * 2016-10-31 2017-03-08 金联汇通信息技术有限公司 一种用于快递行业的实名认证系统和方法
KR102610823B1 (ko) * 2017-11-27 2023-12-07 삼성전자주식회사 네트워크 어드레스 변환을 위한 통신 시스템 및 방법
CN108366368A (zh) * 2018-01-08 2018-08-03 国网江苏省电力有限公司 一种基于Wi-Fi的电力云平台系统及其无线接入方法

Also Published As

Publication number Publication date
CN110336836A (zh) 2019-10-15

Similar Documents

Publication Publication Date Title
US11659385B2 (en) Method and system for peer-to-peer enforcement
US7853783B2 (en) Method and apparatus for secure communication between user equipment and private network
US6081601A (en) Method of implementing connection security in a wireless network
US8365269B2 (en) Embedded communication terminal
CN103155512A (zh) 用于对服务提供安全访问的系统和方法
CN111787025B (zh) 加解密处理方法、装置、系统以及数据保护网关
CN105610790A (zh) IPSec加密卡与CPU协同的用户面数据处理方法
JP3259724B2 (ja) 暗号装置、暗号化器および復号器
CN110336836B (zh) 一种网络过滤服务系统及方法
CN111464550B (zh) 一种用于报文处理设备的https透明防护方法
CN113259347B (zh) 一种工业互联网内的设备安全系统及设备行为管理方法
JP3344421B2 (ja) 仮想私設網
Cisco Intranet and Extranet VPN Business Scenarios
CN110896683A (zh) 数据保护方法、装置以及系统
JP2004274666A (ja) 暗号装置及びコンソール端末及び管理装置及びプログラム
US20190149513A1 (en) Packet transmission method, apparatus, and system
JPH11243388A (ja) 暗号通信システム
CN114143788B (zh) 一种基于msisdn实现5g专网认证控制的方法和系统
CN1322702C (zh) 因特网协议语音接入设备的认证方法
US20230224336A1 (en) Methods and apparatus for performing targeted lawful intercept in a system including content delivery networks
CN114143788A (zh) 一种基于msisdn实现5g专网认证控制的方法和系统
JP2002374275A (ja) ルータ装置およびアドレス変換テーブル更新方法
JP5126209B2 (ja) アクセスポイントおよびアクセスポイントのパケット中継制御方法
Saedy et al. Machine-to-machine communications and security solution in cellular systems
CN115549900A (zh) 一种量子安全数据发送、接收方法及通信系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
PE01 Entry into force of the registration of the contract for pledge of patent right
PE01 Entry into force of the registration of the contract for pledge of patent right

Denomination of invention: A Network Filtering Service System and Method

Effective date of registration: 20230412

Granted publication date: 20211015

Pledgee: China Construction Bank Corporation Zhengzhou Jinshui sub branch

Pledgor: ZHENGZHOU XINDA JIEAN INFORMATION TECHNOLOGY Co.,Ltd.

Registration number: Y2023980037751