CN111865915A - 一种用于访问服务器的ip控制方法及系统 - Google Patents
一种用于访问服务器的ip控制方法及系统 Download PDFInfo
- Publication number
- CN111865915A CN111865915A CN202010544293.5A CN202010544293A CN111865915A CN 111865915 A CN111865915 A CN 111865915A CN 202010544293 A CN202010544293 A CN 202010544293A CN 111865915 A CN111865915 A CN 111865915A
- Authority
- CN
- China
- Prior art keywords
- server
- user side
- white list
- information
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供一种服务器黑白名单获取方法及系统,包括:以第一设定周期定期自关系型数据库自动获取至少一条用户端IP信息;根据设置在服务器内的黑白名单检测规则,检测自关系型数据库获取的每一条用户端IP信息中的用户端IP地址属于黑名单还是白名单;服务器的白名单设置单元根据用户端IP地址属于黑名单还是白名单的检测结果更新设置在服务器内的白名单集合;根据更新后的白名单集合通过服务器的包过滤组件iptables设置服务器的访问控制策略;基于所述访问控制策略对自关系型数据库自动获取的每一条用户端IP信息进行访问控制。自动配置,省时省力,不遗漏IP地址和控制策略。
Description
技术领域
本发明涉及服务器安全,具体涉及一种用于访问服务器的IP控制方法及系统。
背景技术
现有技术中在配置服务器防火墙黑白名单策略时,多数为手工配置较多的单个IP地址或端口的iptables链(Linux平台下的包过滤防火墙的组成部分)。也有一部分通过人工配置ipset集合,更进一步的利用crontab来定时添加ipset元素,来配置服务器黑白名单。
在实现本发明过程中,申请人发现现有技术中至少存在如下问题:
逐条配置单个IP地址或端口的iptables链费时费力,当配置过多策略时,容易出现遗漏。
发明内容
本发明实施例提供一种用于访问服务器的IP控制方法及系统,本发明通过将属于白名单用户端IP地址写入白名单集合,然后在包过滤组件iptables里为属于白名单内的IP地址和属于黑名单的用户端IP地址配置相关控制策略,自动配置,省时省力,不遗漏IP地址和控制策略。
为达上述目的,一方面,本发明实施例提供一种用于访问服务器的IP控制方法,包括:
以第一设定周期定期自关系型数据库自动获取至少一条用户端IP信息,所述用户端IP信息包括用户端IP地址;
根据设置在服务器内的黑白名单检测规则,检测自关系型数据库获取的每一条用户端IP信息中的用户端IP地址属于黑名单还是白名单;服务器的白名单设置单元根据用户端IP地址属于黑名单还是白名单的检测结果更新设置在服务器内的白名单集合;
根据更新后的白名单集合通过服务器的包过滤组件iptables设置服务器的访问控制策略;所述服务器的访问控制策略包括允许白名单集合内的用户端IP地址访问服务器,以及禁止白名单集合以外的用户端IP地址访问服务器;以及,
基于所述访问控制策略对自关系型数据库自动获取的每一条用户端IP信息进行访问控制。
另一方面,本发明实施例提供一种一种用于访问服务器的IP控制系统,包括:
IP获取单元,用于以第一设定周期定期自关系型数据库自动获取至少一条用户端IP信息,所述用户端IP信息包括用户端IP地址;
服务器的白名单设置单元,用于根据设置在服务器内的黑白名单检测规则,检测自关系型数据库获取的每一条用户端IP信息中的用户端IP地址属于黑名单还是白名单;根据用户端IP地址属于黑名单还是白名单的检测结果更新设置在服务器内的白名单集合;
IP访问控制设置单元,用于根据更新后的白名单集合通过服务器的包过滤组件iptables设置服务器的访问控制策略;所述服务器的访问控制策略包括允许白名单集合内的用户端IP地址访问服务器,以及禁止白名单集合以外的用户端IP地址访问服务器;以及,基于所述访问控制策略对自关系型数据库自动获取的每一条用户端IP信息进行访问控制。
上述技术方案具有如下有益效果:本发明通过将属于白名单用户端IP地址写入白名单集合(ipset集合),然后在包过滤组件iptables里为属于白名单内的IP地址和属于黑名单的用户端IP地址配置相关控制策略,自动配置,省时省力,不遗漏IP地址和控制策略。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例的一种用于访问服务器的IP控制方法的流程图;
图2是本发明实施例的一种用于访问服务器的IP控制系统的结构图;
图3是本发明实施例的黑白名单设计系统框架图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,结合本发明的实施例,提供一种用于访问服务器的IP控制方法,包括:
S101:以第一设定周期定期自关系型数据库自动获取至少一条用户端IP信息,所述用户端IP信息包括用户端IP地址;
S102:根据设置在服务器内的黑白名单检测规则,检测自关系型数据库获取的每一条用户端IP信息中的用户端IP地址属于黑名单还是白名单;服务器的白名单设置单元根据用户端IP地址属于黑名单还是白名单的检测结果更新设置在服务器内的白名单集合;
S103:根据更新后的白名单集合通过服务器的包过滤组件iptables设置服务器的访问控制策略;所述服务器的访问控制策略包括允许白名单集合内的用户端IP地址访问服务器,以及禁止白名单集合以外的用户端IP地址访问服务器;以及,
基于所述访问控制策略对自关系型数据库自动获取的每一条用户端IP信息进行访问控制。
优选地,在步骤101之前,还包括:
S104:以第二设定周期定期自用户端的网卡配置文件自动采集用户端IP信息,所述第二设定周期大于第一设定周期;
S105:将自用户端的网卡配置文件所采集到的用户端IP信息保存于关系型数据库。
优选地,步骤104具体包括:
S1041:通过设于用户端操作系统中的IP采集器agent以第二设定周期定期自用户端的网卡配置文件采集用户端IP信息;以及,
S1042:初次启动IP采集器agent时,IP采集器agent即时自用户端的网卡配置文件采集用户端IP信息。
优选地,还包括:
S106:通过web页面采集用户端IP信息并将web页面所采集的用户端IP信息保存于关系型数据库。
优选地,步骤101具体包括:
通过守护进程以第一设定周期定期检查关系型数据库,并自关系型数据库自动获取至少一条用户端IP信息;
所述用于访问服务器的IP控制方法,还包括:
S107:在守护进程启动时,生成跟踪守护进程的子进程;
S108:在守护进程运行期间,通过跟踪守护进程的子进程定期检查守护进程是否发生异常或中止,当检查到守护进程发生异常或中止时,则发出告警并重启守护进程。
优选地,所述服务器的白名单设置单元为包过滤组件iptables协助工具ipset,所述白名单集合为ipset白名单集合;
所述用于访问服务器的IP控制方法,还包括:
S109:当运行ipset的服务器启动后,通过开机自动创建ipset白名单集合的指令即时自动重新创建ipset白名单集合。
优选地,所述黑白名单检测规则包括:
如果用户端在预设时间段内更新了用户端IP信息,则相应的用户端IP地址属于白名单,以及,如果用户端在预设时间段内未更新用户端IP信息,则相应的用户端IP地址属于黑名单,所述预设时间段大于第二设定周期。
如图2所示,结合本发明的实施例,提供一种用于访问服务器的IP控制系统,包括:
IP获取单元21,用于以第一设定周期定期自关系型数据库自动获取至少一条用户端IP信息,所述用户端IP信息包括用户端IP地址;
服务器的白名单设置单元22,用于根据设置在服务器内的黑白名单检测规则,检测自关系型数据库获取的每一条用户端IP信息中的用户端IP地址属于黑名单还是白名单;根据用户端IP地址属于黑名单还是白名单的检测结果更新设置在服务器内的白名单集合;
IP访问控制设置单元23,用于根据更新后的白名单集合通过服务器的包过滤组件iptables设置服务器的访问控制策略;所述服务器的访问控制策略包括允许白名单集合内的用户端IP地址访问服务器,以及禁止白名单集合以外的用户端IP地址访问服务器;以及,基于所述访问控制策略对自关系型数据库自动获取的每一条用户端IP信息进行访问控制。
优选地,还包括:
第一IP采集单元24,用于以第二设定周期定期自用户端的网卡配置文件自动采集用户端IP信息,所述第二设定周期大于第一设定周期;;
IP保存单元25,用于将自用户端的网卡配置文件所采集到的用户端IP信息保存于关系型数据库。
优选地,所述第一IP采集单元24具体用于:
通过设于用户端操作系统中的IP采集器agent以第二设定周期定期自用户端的网卡配置文件采集用户端IP信息;以及,
初次启动IP采集器agent时,IP采集器agent即时自用户端的网卡配置文件采集用户端IP信息。
优选地,还包括:
第二IP采集单元26,用于通过web页面采集用户端IP信息并将web页面所采集的用户端IP信息保存于关系型数据库。
优选地,所述IP获取单元21具体用于:
通过守护进程以第一设定周期定期检查关系型数据库,并自关系型数据库自动获取至少一条用户端IP信息;
所述用于访问服务器的IP控制系统,还包括:
子进程生成单元27,用于在守护进程启动时,生成跟踪守护进程的子进程;
守护进程自查单元28,用于在守护进程运行期间,通过跟踪守护进程的子进程定期检查守护进程是否发生异常或中止,当检查到守护进程发生异常或中止时,则发出告警并重启守护进程。
优选地,所述服务器的白名单设置单元为包过滤组件iptables协助工具ipset,所述白名单集合为ipset白名单集合;
所述用于访问服务器的IP控制系统,还包括:
Ipset开机重建单元29,用于当运行ipset的服务器启动后,通过开机自动创建ipset白名单集合的指令即时自动重新创建ipset白名单集合。
优选地,所述黑白名单检测规则包括:
如果用户端在预设时间段内更新了用户端IP信息,则相应的用户端IP地址属于白名单,以及,如果用户端在预设时间段内未更新用户端IP信息,则相应的用户端IP地址属于黑名单,所述预设时间段大于第二设定周期。
本发明所取得的有益效果如下:
本发明通过将IP写入ipset集合,然后在iptables里配置ipset相关的策略,自动配置,省时省力,不遗漏IP和策略。
当多台服务器需要初始化、更新相同的黑白名单策略时,需要逐台操作,效率低;本发明在各个客户端初始化配置时,会创建ipset名单集合、启动守护进程、初始化用户端的agent等。后期,守护进程会周期性从数据库中获取IP列表以便更新ipset名单集合,避免了更新相同的黑白名单策略时,需要对用户端逐台操作,提高了配置效率。
自动收集用户端IP信息,并自动更新ipset集合,避免人工手动汇总ipset集合、配置iptables限制策略时,避免不能及时更新ipset集合而引发的安全隐患,提高系统数据的安全防护。
通过agent程序在crontab命令中添加定时任务,定时采集客户端的IP信息,避免当用户端本机的crontab出现进程终止或其它异常时,会导致无法及时更新服务器黑白名单策略所带来的安全隐患。
下面结合具体的应用实例对本发明实施例上述技术方案进行详细说明,实施过程中没有介绍到的技术细节,可以参考前文的相关描述。
本发明涉及的技术用语如下:
Iptables:Linux平台下的(数据)包过滤防火墙的组成部分;
Ipset:iptables的扩展,它允许你创建匹配整个地址集合的规则;
MySQL:一种常用的关系型数据库;
Crontab:linux平台下基于时间的任务管理系统;
Agent:本发明中自行设计开发、运行在客户端上用于采集服务器ip信息的程序;
守护进程:运行在需要进行黑白名单管理的服务端机器上的进程,用于检查黑白名单是否需要更新。
本申请为服务器黑白名单安全设计,将服务器黑白名单设计为一种多应用协作、高自动化、可靠的系统。通过自行开发的agent收集服务器IP地址信息存入MySQL,然后通过自有的守护进程定时从数据库中拉取IP添加到ipset中,解决本机crontab可能异常的问题,同时避免不能及时更新ipset而引发的安全隐患;同时解决了多台服务器配置相同iptables链时需要逐台配置,效率低的问题;此外还解决了添加过多单条iptables链,增加管理难度和存在遗漏的缺陷。
下面以公司内部公网IP访问为应用场景来介绍本发明的服务器黑白名单安全设计。
本发明的服务器黑白名单安全设计,系统架构总体上分为客户端(用户端)和服务端,其中,客户端和服务端是相对而言,在我们实际应用中,服务端是属于后台设备,上面有一些资源需要被其它服务器(客户端或用户端)访问;可以把客户端理解为用户端。具体如下:
服务端:开放端口等资源,供客户端访问、使用。客户端:需要访问服务端的端口,获取或回传相应数据。
在服务端的设备内设有iptables规则链和Ipset,其中iptables为黑白名单的规则链,将黑白名单按照顺序依次放入对应的链中;Ipset是iptables的扩展,用于创建匹配整个地址集合的规则。
在创建时,初始化配置是整个架构中的第一步也是最重要的一步。
首先,在服务端,执行一系列脚本,相应的脚本会检查服务端机器的iptables的安装与启动状态,如果没安装,则安装;如果安装后没启动,则启动。相应的脚本检查服务端ipset的安装情况,检查ipset内关于黑白名单集合的创建情况;就是初始化配置时会安装ipset并创建ipset黑白名单集合。在绝大多数服务器上,iptables都是默认安装并启动的,类似于windows里的防火墙;Ipset一般不会默认安装,但是首次安装后,除非手工去升级,否则不会发生改变。
Ipset是黑白名单策略里至关重要的一部分,创建的Ipset集合既可以存放可以访问服务端资源的白名单ip,也可以存放禁止访问资源的黑名单ip。
安装ipset后,创建ipset集合。服务端的守护进程会周期性检查MySQL数据库中的数据,与ipset中的ip列表进行比对,进行增加/删除。如前所述,然后ipset与iptables策略合作,形成黑白名单。
Ipset提供一系列的命令,包括:
1)添加IP到ipset实际是执行一个命令:
Ipset–add集合名称ip
如果ipset集合中没有这个ip,那么就添加进去;如果有,ipset本身就会忽略并继续添加下一个IP,同时提示“Element cannot be added to the set:it's alreadyadded”
删除ipset集合的一个元素,则执行
Ipset–del集合名称ip。
但是Ipset形成黑白名单,是需要与iptables一起才行,总体是在iptables里添加一个策略,比如:
#这条命令表示服务端拒绝所有IP访问“端口a”的TCP请求:
/sbin/iptables-I INPUT-p tcp-m tcp--dport端口a-j DROP
然后在该条策略之上添加一个ipset的策略,比如:
/sbin/iptables-I INPUT-m set--match-set IPSET集合src-p tcp--destination-port端口a-j ACCEPT。
由于iptables的特性(从上到下逐条匹配策略),这样就保证如果IP在ipset集合中,那么就被允许访问TCP端口和资源;如果不在ipset中,那么请求就会被DROP(拒绝)。
启动守护进程,守护进程用于定时从MySQL数据库拉取客户端IP地址。客户端IP地址被用于根据黑白名单的制作规则放于黑名单或者白名单内。整个黑白名单添加流程是创新的,从收集IP到回传到自动添加。
守护进程是一段封装的代码,会在服务端上启动,用于检查是否需要更新黑白名单的IP;实际应用中,是某个IP已被明确了是黑还是白。具体是agent采集的IP和web页面添加的IP属于白名单,其它都属于黑名单。只有白名单的IP能访问资源,黑名单的则被禁止访问端口、资源。另外,但是对于一些特殊的ip,根据需要也可以创建一个ipset黑名单,不让ipset黑名单中的IP访问服务端的资源。守护进程启动后,通过将本身的进程号写入一个文件,并会派生出一个子进程,用于监测守护进程的进程号与文件里的进程号是否在一致。通过这个操作定时检查本身的存活状态,如异常或中止,则重新启动并发送告警至管理员。
此外,会在客户端的服务器操作系统上安装自行开发的agent程序,通过运行agent程序来定时采集IP信息,并将采集到的IP信息回传到MySQL数据库。当Agent采集时,从Centos(Linux操作系统的发行版之一)的网卡配置文件里直接获取的IP信息。
因为本发明服务器黑白名单安全设计更适合于具有多台网络设备的公司,所以用户端发送访问请求请求主要以以公司内网或专线进行,而且操作系统本身有安全策略来用户端使用假IP,还有公司内部也可设有IP库来对比,以免IP被盗用或者盗用其他IP。agent程序在crontab命令中添加定时任务,定时任务的含义就是定时采集客户端的IP信息,并将采集到的客户端IP信息回传至MySQL数据库,供服务端的守护进程使用。
首先通过初始化程序,检查iptables服务是否正常启动,初始化采集IP信息的agent,安装ipset,并初始化创建ipset集合,ipset的集合是每次开机都需要重新创建,所以需要将创建ipset集合的命令同时添加到/etc/rc.local开机启动,使得linux开机时,会执行/etc/rc.local里的命令,从而在开机时就能够自动创建ipset的集合,避免服务器重启后ipset集合失效。/etc/rc.local实际上是linux操作系统里的一个可执行文件,在开机时执行。
/etc/rc.local是linux提供的,用户可以添加创建ipset集合的命令,用于开机时执行此命令。该文件里的命令被执行,是在启动终端(用户可登录)之前完成的。把创建ipset集合的命令写入/etc/rc.local中,开机时自动创建ipset集合,可避免服务器重启后ipset集合失效的问题。
初始化配置完成后,程序进入自我监控、循环的状态。如果守护进程发现自身异常或者中止,则会发送告警至管理员,以便及时处理。
在客户端,Agent程序在第一次启动时,会即时回传客户端的IP信息至MySQL数据库。之后通过客户端的crontab命令设置的定时任务每6小时回传一次IP信息至MySQL数据库。
服务端的守护进程,每5分钟检查一次数据库。如果检测到IP信息及时变化更新,该IP属于白名单,或某条记录预设时间,比如超过1天未被更新,则该IP属于黑名单,根据IP的变化来更新服务端ipset集合,即更新了黑白名单。其中,关系型数据库的关于用户端IP的某条记录信息包括:IP类型(type,公网还是内网)、IP用途(remark)、IP来源(source,agent采集或web页面提交)、IP地址、IP最后一次更新的时间戳(time)。
此外,在服务端的web页面上,新增非agent(即未安装agent程序的用户端)采集的ip地址,点击提交即可写入MySQL数据库。实际应用中,公司基本所有的服务器都会安装agent,这些服务器的ip会被自动传到MySQL数据库中存储。但是有一些部门会有非公司设备访问服务端资源的情况,而这些设备不能安装agent,所以为避免一些不安全的情况,那么这部分IP只能通过页面进行增加/删除,然后更新数据库里的记录。
本发明所取得的有益效果如下:
本发明通过将IP写入ipset集合,然后在iptables里配置ipset相关的策略,自动配置,省时省力,不遗漏IP和策略。
当多台服务器需要初始化、更新相同的黑白名单策略时,需要逐台操作,效率低;本发明在各个客户端初始化配置时,会创建ipset名单集合、启动守护进程、初始化用户端的agent等。后期,守护进程会周期性从数据库中获取IP列表以便更新ipset名单集合,避免了更新相同的黑白名单策略时,需要对用户端逐台操作,提高了配置效率。
自动收集用户端IP信息,并自动更新ipset集合,避免人工手动汇总ipset集合、配置iptables限制策略时,避免不能及时更新ipset集合而引发的安全隐患,提高系统数据的安全防护。
通过agent程序在crontab命令中添加定时任务,定时采集客户端的IP信息,避免当用户端本机的crontab出现进程终止或其它异常时,会导致无法及时更新服务器黑白名单策略所带来的安全隐患。
综上,本发明具有可复用性;高程度的自动化和可靠性;黑白名单管理更方便,减少不必要的隐患的优点。
应该明白,公开的过程中的步骤的特定顺序或层次是示例性方法的实例。基于设计偏好,应该理解,过程中的步骤的特定顺序或层次可以在不脱离本公开的保护范围的情况下得到重新安排。所附的方法权利要求以示例性的顺序给出了各种步骤的要素,并且不是要限于所述的特定顺序或层次。
在上述的详细描述中,各种特征一起组合在单个的实施方案中,以简化本公开。不应该将这种公开方法解释为反映了这样的意图,即,所要求保护的主题的实施方案需要比清楚地在每个权利要求中所陈述的特征更多的特征。相反,如所附的权利要求书所反映的那样,本发明处于比所公开的单个实施方案的全部特征少的状态。因此,所附的权利要求书特此清楚地被并入详细描述中,其中每项权利要求独自作为本发明单独的优选实施方案。
为使本领域内的任何技术人员能够实现或者使用本发明,上面对所公开实施例进行了描述。对于本领域技术人员来说;这些实施例的各种修改方式都是显而易见的,并且本文定义的一般原理也可以在不脱离本公开的精神和保护范围的基础上适用于其它实施例。因此,本公开并不限于本文给出的实施例,而是与本申请公开的原理和新颖性特征的最广范围相一致。
上文的描述包括一个或多个实施例的举例。当然,为了描述上述实施例而描述部件或方法的所有可能的结合是不可能的,但是本领域普通技术人员应该认识到,各个实施例可以做进一步的组合和排列。因此,本文中描述的实施例旨在涵盖落入所附权利要求书的保护范围内的所有这样的改变、修改和变型。此外,就说明书或权利要求书中使用的术语“包含”,该词的涵盖方式类似于术语“包括”,就如同“包括,”在权利要求中用作衔接词所解释的那样。此外,使用在权利要求书的说明书中的任何一个术语“或者”是要表示“非排它性的或者”。
本领域技术人员还可以了解到本发明实施例列出的各种说明性逻辑块(illustrative logical block),单元,和步骤可以通过电子硬件、电脑软件,或两者的结合进行实现。为清楚展示硬件和软件的可替换性(interchangeability),上述的各种说明性部件(illustrative components),单元和步骤已经通用地描述了它们的功能。这样的功能是通过硬件还是软件来实现取决于特定的应用和整个系统的设计要求。本领域技术人员可以对于每种特定的应用,可以使用各种方法实现所述的功能,但这种实现不应被理解为超出本发明实施例保护的范围。
本发明实施例中所描述的各种说明性的逻辑块,或单元都可以通过通用处理器,数字信号处理器,专用集成电路(ASIC),现场可编程门阵列或其它可编程逻辑装置,离散门或晶体管逻辑,离散硬件部件,或上述任何组合的设计来实现或操作所描述的功能。通用处理器可以为微处理器,可选地,该通用处理器也可以为任何传统的处理器、控制器、微控制器或状态机。处理器也可以通过计算装置的组合来实现,例如数字信号处理器和微处理器,多个微处理器,一个或多个微处理器联合一个数字信号处理器核,或任何其它类似的配置来实现。
本发明实施例中所描述的方法或算法的步骤可以直接嵌入硬件、处理器执行的软件模块、或者这两者的结合。软件模块可以存储于RAM存储器、闪存、ROM存储器、EPROM存储器、EEPROM存储器、寄存器、硬盘、可移动磁盘、CD-ROM或本领域中其它任意形式的存储媒介中。示例性地,存储媒介可以与处理器连接,以使得处理器可以从存储媒介中读取信息,并可以向存储媒介存写信息。可选地,存储媒介还可以集成到处理器中。处理器和存储媒介可以设置于ASIC中,ASIC可以设置于用户终端中。可选地,处理器和存储媒介也可以设置于用户终端中的不同的部件中。
在一个或多个示例性的设计中,本发明实施例所描述的上述功能可以在硬件、软件、固件或这三者的任意组合来实现。如果在软件中实现,这些功能可以存储与电脑可读的媒介上,或以一个或多个指令或代码形式传输于电脑可读的媒介上。电脑可读媒介包括电脑存储媒介和便于使得让电脑程序从一个地方转移到其它地方的通信媒介。存储媒介可以是任何通用或特殊电脑可以接入访问的可用媒体。例如,这样的电脑可读媒体可以包括但不限于RAM、ROM、EEPROM、CD-ROM或其它光盘存储、磁盘存储或其它磁性存储装置,或其它任何可以用于承载或存储以指令或数据结构和其它可被通用或特殊电脑、或通用或特殊处理器读取形式的程序代码的媒介。此外,任何连接都可以被适当地定义为电脑可读媒介,例如,如果软件是从一个网站站点、服务器或其它远程资源通过一个同轴电缆、光纤电缆、双绞线、数字用户线(DSL)或以例如红外、无线和微波等无线方式传输的也被包含在所定义的电脑可读媒介中。所述的碟片(disk)和磁盘(disc)包括压缩磁盘、镭射盘、光盘、DVD、软盘和蓝光光盘,磁盘通常以磁性复制数据,而碟片通常以激光进行光学复制数据。上述的组合也可以包含在电脑可读媒介中。
以上所述的具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施方式而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (14)
1.一种用于访问服务器的IP控制方法,其特征在于,包括:
以第一设定周期定期自关系型数据库自动获取至少一条用户端IP信息,所述用户端IP信息包括用户端IP地址;
根据设置在服务器内的黑白名单检测规则,检测自关系型数据库获取的每一条用户端IP信息中的用户端IP地址属于黑名单还是白名单;服务器的白名单设置单元根据各用户端IP地址属于黑名单还是白名单的检测结果更新设置在服务器内的白名单集合;
根据更新后的白名单集合通过服务器的包过滤组件iptables设置服务器的访问控制策略;所述服务器的访问控制策略包括允许白名单集合内的用户端IP地址访问服务器,以及禁止白名单集合以外的用户端IP地址访问服务器;以及,
基于所述访问控制策略对自关系型数据库自动获取的每一条用户端IP信息进行访问控制。
2.根据权利要求1所述的用于访问服务器的IP控制方法,其特征在于,在所述以第一设定周期定期自关系型数据库自动获取至少一条用户端IP信息之前,还包括:
以第二设定周期定期自用户端的网卡配置文件自动采集用户端IP信息,所述第二设定周期大于第一设定周期;
将自用户端的网卡配置文件所采集到的用户端IP信息保存于关系型数据库。
3.根据权利要求2所述的用于访问服务器的IP控制方法,其特征在于,所述以第二设定周期定期自用户端的网卡配置文件自动采集用户端IP信息,具体包括:
通过设于用户端操作系统中的IP采集器agent以第二设定周期定期自用户端的网卡配置文件采集用户端IP信息;以及,
初次启动IP采集器agent时,IP采集器agent即时自用户端的网卡配置文件采集用户端IP信息。
4.根据权利要求2所述的用于访问服务器的IP控制方法,其特征在于,在所述以第一设定周期定期自关系型数据库自动获取至少一条用户端IP信息之前,还包括:
通过web页面采集用户端IP信息并将web页面所采集的用户端IP信息保存于关系型数据库。
5.根据权利要求1所述的用于访问服务器的IP控制方法,其特征在于,所述以第一设定周期定期自关系型数据库自动获取至少一条用户端IP信息,具体包括:
通过守护进程以第一设定周期定期检查关系型数据库,并自关系型数据库自动获取至少一条用户端IP信息;
所述用于访问服务器的IP控制方法,还包括:
在守护进程启动时,生成跟踪守护进程的子进程;
在守护进程运行期间,通过跟踪守护进程的子进程定期检查守护进程是否发生异常或中止,当检查到守护进程发生异常或中止时,则发出告警并重启守护进程。
6.根据权利要求1所述的用于访问服务器的IP控制方法,其特征在于,所述服务器的白名单设置单元为包过滤组件iptables协助工具ipset,所述白名单集合为ipset白名单集合;
所述用于访问服务器的IP控制方法,还包括:
当运行ipset的服务器启动后,通过开机自动创建ipset白名单集合的指令即时自动重新创建ipset白名单集合。
7.根据权利要求2所述的用于访问服务器的IP控制方法,其特征在于,所述黑白名单检测规则包括:
如果用户端在预设时间段内更新了用户端IP信息,则相应的用户端IP地址属于白名单,以及,如果用户端在预设时间段内未更新用户端IP信息,则相应的用户端IP地址属于黑名单,所述预设时间段大于第二设定周期。
8.一种用于访问服务器的IP控制系统,其特征在于,包括:
IP获取单元,用于以第一设定周期定期自关系型数据库自动获取至少一条用户端IP信息,所述用户端IP信息包括用户端IP地址;
服务器的白名单设置单元,用于根据设置在服务器内的黑白名单检测规则,检测自关系型数据库获取的每一条用户端IP信息中的用户端IP地址属于黑名单还是白名单;根据用户端IP地址属于黑名单还是白名单的检测结果更新设置在服务器内的白名单集合;
IP访问控制设置单元,用于根据更新后的白名单集合通过服务器的包过滤组件iptables设置服务器的访问控制策略;所述服务器的访问控制策略包括允许白名单集合内的用户端IP地址访问服务器,以及禁止白名单集合以外的用户端IP地址访问服务器;以及,基于所述访问控制策略对自关系型数据库自动获取的每一条用户端IP信息进行访问控制。
9.根据权利要求8所述的用于访问服务器的IP控制系统,其特征在于,还包括:
第一IP采集单元,用于以第二设定周期定期自用户端的网卡配置文件自动采集用户端IP信息,所述第二设定周期大于第一设定周期;
IP保存单元,用于将自用户端的网卡配置文件所采集到的用户端IP信息保存于关系型数据库。
10.根据权利要求9所述的用于访问服务器的IP控制系统,其特征在于,所述第一IP采集单元具体用于:
通过设于用户端操作系统中的IP采集器agent以第二设定周期定期自用户端的网卡配置文件采集用户端IP信息;以及,
初次启动IP采集器agent时,IP采集器agent即时自用户端的网卡配置文件采集用户端IP信息。
11.根据权利要求9所述的用于访问服务器的IP控制系统,其特征在于,还包括:
第二IP采集单元,用于通过web页面采集用户端IP信息并将web页面所采集的用户端IP信息保存于关系型数据库。
12.根据权利要求8所述的用于访问服务器的IP控制系统,其特征在于,所述IP获取单元具体用于:
通过守护进程以第一设定周期定期检查关系型数据库,并自关系型数据库自动获取至少一条用户端IP信息;
所述用于访问服务器的IP控制系统,还包括:
子进程生成单元,用于在守护进程启动时,生成跟踪守护进程的子进程;
守护进程自查单元,用于在守护进程运行期间,通过跟踪守护进程的子进程定期检查守护进程是否发生异常或中止,当检查到守护进程发生异常或中止时,则发出告警并重启守护进程。
13.根据权利要求8所述的用于访问服务器的IP控制系统,其特征在于,所述服务器的白名单设置单元为包过滤组件iptables协助工具ipset,所述白名单集合为ipset白名单集合;
所述用于访问服务器的IP控制系统,还包括:
Ipset开机重建单元,用于当运行ipset的服务器启动后,通过开机自动创建ipset白名单集合的指令即时自动重新创建ipset白名单集合。
14.根据权利要求9所述的用于访问服务器的IP控系统,其特征在于,所述黑白名单检测规则包括:
如果用户端在预设时间段内更新了用户端IP信息,则相应的用户端IP地址属于白名单,以及,如果用户端在预设时间段内未更新用户端IP信息,则相应的用户端IP地址属于黑名单,所述预设时间段大于第二设定周期。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010544293.5A CN111865915B (zh) | 2020-06-15 | 2020-06-15 | 一种用于访问服务器的ip控制方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010544293.5A CN111865915B (zh) | 2020-06-15 | 2020-06-15 | 一种用于访问服务器的ip控制方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111865915A true CN111865915A (zh) | 2020-10-30 |
| CN111865915B CN111865915B (zh) | 2022-09-13 |
Family
ID=72987969
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010544293.5A Active CN111865915B (zh) | 2020-06-15 | 2020-06-15 | 一种用于访问服务器的ip控制方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111865915B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116846678A (zh) * | 2023-08-10 | 2023-10-03 | 国网冀北电力有限公司张家口供电公司 | 一种高可疑ip判定方法 |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100017360A1 (en) * | 2008-07-17 | 2010-01-21 | International Buisness Machines Corporation | System and method to control email whitelists |
| CN103595577A (zh) * | 2013-10-31 | 2014-02-19 | 赛尔网络有限公司 | Isp间互联口超过阈值流量监控系统及方法 |
| CN104598313A (zh) * | 2015-02-04 | 2015-05-06 | 广州市久邦数码科技有限公司 | 一种应用进程被停止后自动重启的实现方法及其系统 |
| CN105224441A (zh) * | 2015-09-17 | 2016-01-06 | 杭州华为数字技术有限公司 | 虚拟机信息采集装置、方法及虚拟机信息维护方法和系统 |
| CN105323206A (zh) * | 2014-06-04 | 2016-02-10 | 同程网络科技股份有限公司 | Ip防御方法 |
| CN105704146A (zh) * | 2016-03-18 | 2016-06-22 | 四川长虹电器股份有限公司 | Sql防注入的系统与方法 |
| CN106371911A (zh) * | 2016-09-06 | 2017-02-01 | 北京海誉动想科技股份有限公司 | 守护进程重启被守护进程的方法 |
| CN108400905A (zh) * | 2018-01-31 | 2018-08-14 | 山东汇贸电子口岸有限公司 | 一种处理分布式存储端到端流量分析的方法 |
| CN109922030A (zh) * | 2017-12-13 | 2019-06-21 | 南京领创信息科技有限公司 | 基于Android设备的全局网络访问控制系统及方法 |
| CN111083166A (zh) * | 2019-12-31 | 2020-04-28 | 紫光云(南京)数字技术有限公司 | 云数据库设置白名单的方法、装置及计算机存储介质 |
| CN111245781A (zh) * | 2019-12-27 | 2020-06-05 | 广东睿江云计算股份有限公司 | 一种linux服务器动态封阻IP的方法及其系统 |
-
2020
- 2020-06-15 CN CN202010544293.5A patent/CN111865915B/zh active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100017360A1 (en) * | 2008-07-17 | 2010-01-21 | International Buisness Machines Corporation | System and method to control email whitelists |
| CN103595577A (zh) * | 2013-10-31 | 2014-02-19 | 赛尔网络有限公司 | Isp间互联口超过阈值流量监控系统及方法 |
| CN105323206A (zh) * | 2014-06-04 | 2016-02-10 | 同程网络科技股份有限公司 | Ip防御方法 |
| CN104598313A (zh) * | 2015-02-04 | 2015-05-06 | 广州市久邦数码科技有限公司 | 一种应用进程被停止后自动重启的实现方法及其系统 |
| CN105224441A (zh) * | 2015-09-17 | 2016-01-06 | 杭州华为数字技术有限公司 | 虚拟机信息采集装置、方法及虚拟机信息维护方法和系统 |
| CN105704146A (zh) * | 2016-03-18 | 2016-06-22 | 四川长虹电器股份有限公司 | Sql防注入的系统与方法 |
| CN106371911A (zh) * | 2016-09-06 | 2017-02-01 | 北京海誉动想科技股份有限公司 | 守护进程重启被守护进程的方法 |
| CN109922030A (zh) * | 2017-12-13 | 2019-06-21 | 南京领创信息科技有限公司 | 基于Android设备的全局网络访问控制系统及方法 |
| CN108400905A (zh) * | 2018-01-31 | 2018-08-14 | 山东汇贸电子口岸有限公司 | 一种处理分布式存储端到端流量分析的方法 |
| CN111245781A (zh) * | 2019-12-27 | 2020-06-05 | 广东睿江云计算股份有限公司 | 一种linux服务器动态封阻IP的方法及其系统 |
| CN111083166A (zh) * | 2019-12-31 | 2020-04-28 | 紫光云(南京)数字技术有限公司 | 云数据库设置白名单的方法、装置及计算机存储介质 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116846678A (zh) * | 2023-08-10 | 2023-10-03 | 国网冀北电力有限公司张家口供电公司 | 一种高可疑ip判定方法 |
| CN116846678B (zh) * | 2023-08-10 | 2024-01-19 | 国网冀北电力有限公司张家口供电公司 | 一种高可疑ip判定方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111865915B (zh) | 2022-09-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8850587B2 (en) | Network security scanner for enterprise protection | |
| US8572371B2 (en) | Discovery of kernel rootkits with memory scan | |
| JP4988724B2 (ja) | データ記憶アクセスの制御方法 | |
| KR101443932B1 (ko) | 시스템 분석 및 관리 | |
| US8621278B2 (en) | System and method for automated solution of functionality problems in computer systems | |
| CN111931166B (zh) | 基于代码注入和行为分析的应用程序防攻击方法和系统 | |
| RU2589852C2 (ru) | Система и способ автоматической регулировки правил контроля приложений | |
| US20070079178A1 (en) | Discovery of kernel rootkits by detecting hidden information | |
| US20120233670A1 (en) | Method and system for managing security objects | |
| CN109684833B (zh) | 使程序危险行为模式适应用户计算机系统的系统和方法 | |
| CN107563198B (zh) | 一种工业控制系统的主机病毒防治系统及方法 | |
| CN110688657A (zh) | 一种u盘病毒隔离器及其工作方法 | |
| CN106339629A (zh) | 一种应用程序管理方法及装置 | |
| CN103428212A (zh) | 一种恶意代码检测及防御的方法 | |
| CN111131221A (zh) | 接口校验的装置、方法及存储介质 | |
| CN113504932B (zh) | 一种固件数据更新方法和装置 | |
| CN105335197A (zh) | 终端中应用程序的启动控制方法和装置 | |
| CN111865915B (zh) | 一种用于访问服务器的ip控制方法及系统 | |
| CN111914250B (zh) | 一种Linux系统脚本程序运行时验证与管控方法 | |
| CN111107101A (zh) | 一种用于nginx的多维过滤请求的防火墙系统及方法 | |
| CN109076068A (zh) | 减少经由网络接入点对设备弱点的攻击可能性 | |
| US20070256067A1 (en) | Method and system for upgrading a software image | |
| CN116302176A (zh) | 应用程序的启动方法、装置及电子设备 | |
| CN115688092A (zh) | 终端弱管控方法、装置、电子设备及存储介质 | |
| CN112398695B (zh) | 一种大规模终端设备管控方法、系统、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20230427 Address after: Room 501-502, 5/F, Sina Headquarters Scientific Research Building, Block N-1 and N-2, Zhongguancun Software Park, Dongbei Wangxi Road, Haidian District, Beijing, 100193 Patentee after: Sina Technology (China) Co.,Ltd. Address before: 100193 7th floor, scientific research building, Sina headquarters, plot n-1, n-2, Zhongguancun Software Park, Dongbei Wangxi Road, Haidian District, Beijing, 100193 Patentee before: Sina.com Technology (China) Co.,Ltd. |