CN111917742B - 终端网页浏览隔离保护系统 - Google Patents

Abstract

本发明公开了浏览隔离保护技术领域的终端网页浏览隔离上保护系统，客户端模块、防火墙模块、隔离引擎模块与控制平面模块，防火墙模块包括有http/https的web代理模块和网关模块，防火墙模块与隔离引擎模块共同构成容器环境；客户端模块与防火墙模块无线连接，防火墙模块与隔离引擎模块无线连接，控制平面模块与容器环境无线连接，防火墙上设置规则，只准许终端访问http/https的web代理模块和网关模块，其他任何对外访问的流量都直接禁止，http/https的web代理模块通过网关转发到隔离引擎模块，可以解密和控制终端到隔离容器的流量，当发现用户在未知网站中输入密码时，对该流量进行屏蔽来进行防钓鱼功能的实现。

Description

终端网页浏览隔离保护系统

技术领域

本发明涉及浏览隔离保护技术领域，具体为终端网页浏览隔离保护系统。

背景技术

企业勒索软件感染率已上升到12％；移动设备勒索软件感染增加到33％；每年新增加58％钓鱼邮件与恶意网站；59％的大企业是钓鱼攻击的目标；15％的用户点击不受信任的未知链接或下载附件；有81％的网站可以用来传播恶意软件；每4秒就有一个未知恶意软件被下载；据迈克菲威胁报告，新的病毒木马等恶意软件数量呈指数增长，到2017年已达3亿个；网络攻击数量增加63％；2018年，赛门铁克分析的url中，有18％为恶意网址；全球平均每个月超过5300个不同网站遭到表单劫持代码入侵；2018年赛门铁克共截获450万次表单劫持终端攻击，每年新增1300+的浏览器与插件漏洞，其中浏览器漏洞700+，多种浏览器，多种版本，针对浏览器统一管理与升级更新难度大；

当前的终端安全的防护主要防火墙、入侵检测/防御系统、入侵检测/防御系统、入侵检测/防御系统，但是传统安全防御设备主要是依靠“规则检测”方式，容易被绕过，基于此，本发明设计了终端网页浏览隔离保护系统以解决上述问题。

发明内容

本发明的目的在于提供终端网页浏览隔离保护系统，以解决上述背景技术中提出的传统安全防御设备主要是依靠“规则检测”方式，容易被绕过。

为实现上述目的，本发明提供如下技术方案：终端网页浏览隔离保护系统，包括客户端模块、防火墙模块、隔离引擎模块与控制平面模块，所述防火墙模块包括有http/https的web代理模块和网关模块，所述防火墙模块与隔离引擎模块共同构成容器环境；

所述客户端模块与防火墙模块无线连接，所述防火墙模块与隔离引擎模块无线连接，所述控制平面模块与容器环境无线连接。

优选的，所述防火墙上设置规则，只准许终端访问http/https的web代理模块和网关模块，其他任何对外访问的流量都直接禁止，http/https的web代理模块通过网关转发到隔离引擎模块。

优选的，所述http/https协议web代理模块用于拦截所有http/https流量，并将流量重定向到网关模块。

优选的，所述网关模块用于对流量做合法性检查，并对后端服务做反向代理。

优选的，所述隔离引擎模块与客户端浏览器建立websocket，并通过私有协议进行交互，并对私有协议进行转化、过滤、检查，确保其符合隔离引擎模块的执行标准，隔离引擎模块将请求原网站，并将执行结果发送到客户端模块进行重新渲染。

优选的，所述控制平面模块用于对隔离引擎模块做参数配置，对用户的访问情况进行展示，对整个系统进行控制。

优选的，所述http/https的web代理模块解密流量，在容器环境中运行原网站访问目标网站，并将目标网站的的访问结果处理完敏感信息之后发回给客户端模块，客户端模块在原网站中重新展现。

与现有技术相比，本发明的有益效果是：采用基于隔离引擎技术，在远端独立的容器环境中运行独立的隔离引擎模块，当用户访问网站的时候，在远端隔离引擎模块访问真实的站点，并将渲染结果通过私有协议传输给客户端浏览器重新渲染；

由于客户端模块接收的数据都是处理之后的渲染结果，从而实现客户端模块和互联网的网络逻辑隔离，渲染结果中不存在脚本可以执行，这样来防御浏览器的0day漏洞，进而让勒索软件无法进入终端；

解析https流量，并针对流量进行修改，从而针对未知连接禁止用户输入密码来实现防钓鱼功能；

终端的其他网络协议都被关闭，然后设置代理，只准许通过http/https的web代理模块访问互联网，http/https的web代理模块会解密流量，然后在容器环境中运行浏览器访问目标网站，并将目标网站的的访问结果处理完敏感信息之后发回给客户端模块，客户端模块在浏览器中重新展现；

用户的网络只能连接隔离容器环境，容器环境会针对所有的流量进行处理，将处理后的信息返回给终端，这样来避免终端直接连接互联网来实现终端与互联网的网络隔离；

由于可以解密和控制终端到隔离容器的流量，当发现用户在未知网站中输入密码时，对该流量进行屏蔽来进行防钓鱼功能的实现。

当然，实施本发明的任一产品并不一定需要同时达到以上所述的所有优点。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明整体系统框图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

请参阅图1，本发明提供终端网页浏览隔离保护系统技术方案：终端网页浏览隔离保护系统，包括客户端模块、防火墙模块、隔离引擎模块与控制平面模块，防火墙模块包括有http/https的web代理模块和网关模块，防火墙模块与隔离引擎模块共同构成容器环境；

客户端模块与防火墙模块无线连接，防火墙模块与隔离引擎模块无线连接，控制平面模块与容器环境无线连接。

防火墙上设置规则，只准许终端访问http/https的web代理模块和网关模块，其他任何对外访问的流量都直接禁止，http/https的web代理模块通过网关转发到隔离引擎模块，http/https协议web代理模块用于拦截所有http/https流量，并将流量重定向到网关模块，网关模块用于对流量做合法性检查，并对后端服务做反向代理，隔离引擎模块与客户端浏览器建立websocket，并通过私有协议进行交互，并对私有协议进行转化、过滤、检查，确保其符合隔离引擎模块的执行标准，隔离引擎模块将请求原网站，并将执行结果发送到客户端模块进行重新渲染，控制平面模块用于对隔离引擎模块做参数配置，对用户的访问情况进行展示，对整个系统进行控制，http/https的web代理模块解密流量，在容器环境中运行原网站访问目标网站，并将目标网站的的访问结果处理完敏感信息之后发回给客户端模块，客户端模块在原网站中重新展现。

在本说明书的描述中，参考术语“一个实施例”、“示例”、“具体示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不一定指的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。

以上公开的本发明优选实施例只是用于帮助阐述本发明。优选实施例并没有详尽叙述所有的细节，也不限制该发明仅为所述的具体实施方式。显然，根据本说明书的内容，可作很多的修改和变化。本说明书选取并具体描述这些实施例，是为了更好地解释本发明的原理和实际应用，从而使所属技术领域技术人员能很好地理解和利用本发明。本发明仅受权利要求书及其全部范围和等效物的限制。

Claims (2)

1.终端 网页浏览隔离保护系统，其特征在于，包括客户端模块、防火墙模块、隔离引擎模块与控制平面模块，所述防火墙模块包括有http/https的web代理模块和网关模块，所述防火墙模块与隔离引擎模块共同构成容器环境；

所述客户端模块与防火墙模块无线连接，所述防火墙模块与隔离引擎模块无线连接，所述控制平面模块与容器环境无线连接；

所述防火墙上设置规则，只准许终端访问http/https的web代理模块和网关模块，其他任何对外访问的流量都直接禁止，http/https的web代理模块通过网关转发到隔离引擎模块；

所述http/https协议web代理模块用于拦截所有http/https流量，并将流量重定向到网关模块；

所述网关模块用于对流量做合法性检查，并对后端服务做反向代理；

所述隔离引擎模块与客户端浏览器建立websocket，并通过私有协议进行交互，并对私有协议进行转化、过滤、检查，确保其符合隔离引擎模块的执行标准，隔离引擎模块将请求原网站，并将执行结果发送到客户端模块进行重新渲染；

所述http/https的web代理模块解密流量，在容器环境中运行原网站访问目标网站，并将目标网站的访问结果处理完敏感信息之后发回给客户端模块，客户端模块在原网站中重新展现。

2.根据权利要求1所述的终端网页浏览隔离保护系统，其特征在于：所述控制平面模块用于对隔离引擎模块做参数配置，对用户的访问情况进行展示，对整个系统进行控制。

Images