CN114143077B - 一种终端安全防护方法及装置 - Google Patents

一种终端安全防护方法及装置 Download PDF

Info

Publication number
CN114143077B
CN114143077B CN202111435996.5A CN202111435996A CN114143077B CN 114143077 B CN114143077 B CN 114143077B CN 202111435996 A CN202111435996 A CN 202111435996A CN 114143077 B CN114143077 B CN 114143077B
Authority
CN
China
Prior art keywords
terminal
edr
strategy
client
determining
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202111435996.5A
Other languages
English (en)
Other versions
CN114143077A (zh
Inventor
郝卓楠
谌颐
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Original Assignee
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Topsec Technology Co Ltd, Beijing Topsec Network Security Technology Co Ltd, Beijing Topsec Software Co Ltd filed Critical Beijing Topsec Technology Co Ltd
Priority to CN202111435996.5A priority Critical patent/CN114143077B/zh
Publication of CN114143077A publication Critical patent/CN114143077A/zh
Application granted granted Critical
Publication of CN114143077B publication Critical patent/CN114143077B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明提供一种终端安全防护方法及装置,应用于防火墙中,所述方法包括:获得第一终端访问外网的流量报文;基于所述流量报文确定所述第一终端的IP地址;基于所述IP地址与EDR管理中心上报的资产列表判断所述第一终端是否未安装EDR客户端;基于判断结果确定处理策略,所述处理策略包括第一策略及第二策略,所述第一策略包括禁止所述第一终端访问外网,所述第二策略包括为所述第一终端添加适配所述第一终端的目标安全防护策略。本发明提供一种终端安全防护方法,用于结合EDR和防火墙而有效提高终端的安全防护,实现网络边界到终端的纵深防御。

Description

一种终端安全防护方法及装置
技术领域
本发明实施例涉及网络安全技术领域,特别涉及一种终端安全防护方法及装置。
背景技术
下一代防火墙(简称防火墙)用于边界和其他环境中的网络安全防护,是可以全面应对应用层威胁的高性能防火墙。通过深入洞察网络流量中的用户、应用和内容,并借助全新的高性能并行处理引擎,防火墙能够为用户提供有效的一体化安全防护,帮助用户安全地开展业务并简化用户的网络安全架构。
端点检测与响应系统(简称EDR)用于防护终端安全,具有病毒查杀、漏洞修复、系统加固、网络防御、终端管控、资产管理、风险态势展示等功能,能实时监控每个服务器端/客户端的运行状态、攻击日志、病毒状态,最大程度的减小病毒传播的可能。EDR通常由EDR管理中心和客户端两部分组成。EDR管理中心独立安装在服务器上,采用B/S架构,可以随时通过浏览器打开访问,进行全网集中管理、策略定制以及任务下发等管理操作。客户端部署在被保护的终端上,执行最终的病毒查杀、漏洞修复、安全防护等安全操作,并与EDR管理中心通信,提供控制平台管理所需的相关安全数据。
防火墙与EDR通常独立工作,防火墙用于防护边界安全,EDR用于防护终端安全。
目前,现有的EDR功能强大,能用于检测终端存在的各类风险和威胁,全面防护终端安全。对于已安装EDR的终端,能进行病毒查杀、漏洞修复、系统加固、网络防御、终端管控、资产管理、风险态势展示等操作。但是,EDR能够发挥强大作用的前提是终端必须安装EDR,而由于EDR集中管理平台自身无法监控未安装EDR的终端设备情况,也无法强制要求终端安装EDR,导致EDR并未全面部署在网络中,造成终端安全检测和防护的盲点。
对于已安装EDR的终端设备,防火墙与EDR之间的联动仅限于采集两者数据进行分析和形成告警,防火墙无法根据EDR上报的终端资产信息自动生成防护策略,导致终端流量无法受到防火墙的IPS、WAF、AV安全防护。终端如果受到外部攻击或者失陷后异常外联,无法在边界防火墙处第一时间阻断攻击,从而引发安全事件。
对于上述问题,有些方案会要求内网终端必须安装EDR,其实现强制要求内网终端安装客户端时采用如下方案:系统中部署集中管理平台,被管理的终端上部署客户端程序。被管理的终端安装客户端程序时,客户端程序注册到集中管理平台,通过集中管理平台对该终端进行管理,并对接入网络但未注册的终端进行ARP阻断,禁止其联网。另外,也有为实现内网终端的安全防护,采用如下方案:利用终端桌面管理程序和集中管理平台对终端自身进行管理,管理内容包括终端上的进程、应用程序、外设、杀毒软件、密码等。
但是接入网络但未注册的终端由于被ARP阻断,无法自动重定向到客户端下载页面,必须手动拷贝客户端到终端上进行安装。对大型机构而言,大规模手动部署客户端耗时费力,运维难度很高。而对于已安装客户端的终端设备,对其进行的安全防护是通过加强对终端自身的安全管理实现的,管理内容包括进程、应用程序、外设、杀毒软件、密码等,但未与防火墙进行联动,导致终端无法受到来自防火墙的IPS、WAF、AV安全防护。终端如果受到外部攻击或者失陷后异常外联,无法在边界防火墙处第一时间阻断攻击,从而引发安全事件。
发明内容
本发明提供了一种终端安全防护方法及装置,用于结合EDR和防火墙而有效提高终端的安全防护,实现网络边界到终端的纵深防御。
为了解决上述技术问题,本发明实施例提供了一种终端安全防护方法,应用于防火墙中,所述方法包括:
获得第一终端访问外网的流量报文;
基于所述流量报文确定所述第一终端的IP地址;
基于所述IP地址与EDR管理中心上报的资产列表判断所述第一终端是否未安装EDR客户端;
基于判断结果确定处理策略,所述处理策略包括第一策略及第二策略,所述第一策略包括禁止所述第一终端访问外网,所述第二策略包括为所述第一终端添加适配所述第一终端的目标安全防护策略。
作为一可选实施例,还包括:
所述EDR管理中心收集所有安装了所述EDR客户端的第二终端的资产信息,并基于收集的所述资产信息建立所述资产列表,所述资产信息包括所述第二终端的IP地址;
所述EDR管理中心将所述资产列表上报至所述防火墙。
作为一可选实施例,所述基于所述IP地址与EDR管理中心上报的资产列表判断所述第一终端是否未安装EDR客户端,包括:
基于所述IP地址在所述资产列表中进行匹配查找,若能够在所述资产列表中查找到对应的IP地址,则确定所述第一终端安装了所述EDR客户端,若未能查找到对应的IP地址,则确定所述第一终端未安装所述EDR客户端。
作为一可选实施例,所述基于判断结果确定处理策略,包括:
若确定所述第一终端未安装所述EDR客户端,则以第一策略处理所述流量报文及第一终端;
若确定所述第一终端安装有所述EDR客户端,则以第二策略处理所述流量报文及第一终端。
作为一可选实施例,所述以第一策略处理所述流量报文及第一终端,包括:
确定所述流量报文采用的数据传输协议;
丢弃所述流量报文,以禁止所述第一终端访问外网;
在所述数据传输协议为目标协议的情况下,基于所述目标协议将返回页面重定向至所述EDR客户端的安装页面,以引导所述第一终端安装所述EDR客户端。
作为一可选实施例,所述资产列表包含终端设备类型信息,所述以第二策略处理所述流量报文及第一终端,包括:
放行所述流量报文;
基于所述资产列表确定所述第一终端的设备类型;
基于所述第一终端的设备类型确定适配的目标安全防护策略,其中,相同设备类型对应的安全防护策略相同;
自动生成并启动所述目标安全防护策略。
作为一可选实施例,所述基于所述第一终端的设备类型确定适配的目标安全防护策略,包括:
当所述设备类型为服务器时,所述目标安全策略包括将所述第一终端作为目的地址对象;
当所述设备类型为非服务器时,所述目标安全策略包括将所述第一终端作为源地址对象。
作为一可选实施例,所述目标安全防护策略包括IPS、WAF、AV中的一种或多种。
作为一可选实施例,所述启动所述目标安全防护策略,包括:
确定管辖范围内与所述第一终端的设备类型相同的第三终端;
对所述第一终端、第三终端均自动生成并启动所述目标安全防护策略。
本发明另一实施例同时提供一种终端安全防护装置,应用于防火墙中,所述装置包括:
获得模块,用于获得第一终端访问外网的流量报文;
第一确定模块,用于根据所述流量报文确定所述第一终端的IP地址;
判断模块,用于根据所述IP地址与EDR管理中心上报的资产列表判断所述第一终端是否未安装EDR客户端;
第二确定模块,用于根据判断结果确定处理策略,所述处理策略包括第一策略及第二策略,所述第一策略包括禁止所述第一终端访问外网,所述第二策略包括为所述第一终端自动生成适配于所述第一终端的目标安全防护策略。
基于上述实施例的公开可以获知,本发明实施例具备的有益效果包括:
1)防火墙能够基于EDR管理中心而自动识别终端是否未安装EDR客户端,并能够在未安装EDR的终端访问外部网络时,自动控制页面自动重定向到EDR客户端下载安装页面,以用于引导终端安装EDR客户端,从而大大降低后期对于终端安全的运维管理难度,且方便用户尽快安装EDR客户端。
2)防火墙能够自动禁止未安装EDR客户端的终端访问外部网络,规避了不可信终端遭受外部网络攻击的风险。
3)EDR通过与防火墙联动,使防火墙基于EDR能够自动对终端设备进行IPS、WAF、AV等类型的安全防护,实现边界和终端的纵深防御,确保安全最大化,弥补了EDR只能对终端设备自身进行安全管理,无法在网络边界进行安全防护的不足,同时提升了内部网络的安全性,不再需要工作人员手动配置防护策略,降低了运维管理难度。
附图说明
附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明的实施例一起用于解释本发明,并不构成对本发明的限制。在附图中:
图1为本发明实施例中的终端安全防护方法的流程图。
图2为本发明实施例中的终端安全防护方法的部分实际应用流程图。
图3为本发明实施例中的终端安全防护方法的部分实际应用流程图。
图4为本发明实施例中的终端安全防护方法的实际应用状态图。
图5为本发明实施例中的终端安全防护方法的另一实际应用状态图。
图6为本发明实施例中的终端安全防护装置的结构框图。
具体实施方式
下面,结合附图对本发明的具体实施例进行详细的描述,但不作为本发明的限定。
应理解的是,可以对此处公开的实施例做出各种修改。因此,下述说明书不应该视为限制,而仅是作为实施例的范例。本领域的技术人员将想到在本公开的范围和精神内的其他修改。
包含在说明书中并构成说明书的一部分的附图示出了本公开的实施例,并且与上面给出的对本公开的大致描述以及下面给出的对实施例的详细描述一起用于解释本公开的原理。
通过下面参照附图对给定为非限制性实例的实施例的优选形式的描述,本发明的这些和其它特性将会变得显而易见。
还应当理解,尽管已经参照一些具体实例对本发明进行了描述,但本领域技术人员能够确定地实现本发明的很多其它等效形式,它们具有如权利要求所述的特征并因此都位于借此所限定的保护范围内。
当结合附图时,鉴于以下详细说明,本公开的上述和其他方面、特征和优势将变得更为显而易见。
此后参照附图描述本公开的具体实施例;然而,应当理解,所公开的实施例仅仅是本公开的实例,其可采用多种方式实施。熟知和/或重复的功能和结构并未详细描述以避免不必要或多余的细节使得本公开模糊不清。因此,本文所公开的具体的结构性和功能性细节并非意在限定,而是仅仅作为权利要求的基础和代表性基础用于教导本领域技术人员以实质上任意合适的详细结构多样地使用本公开。
本说明书可使用词组“在一种实施例中”、“在另一个实施例中”、“在又一实施例中”或“在其他实施例中”,其均可指代根据本公开的相同或不同实施例中的一个或多个。
下面,结合附图详细的说明本发明实施例。
端点检测与响应系统(简称EDR,以下均称EDR),用于防护终端安全。但是未安装EDR的终端是不受EDR管理中心控制的,该种终端通常被认为是不可信终端。这类终端设备可能存在病毒、漏洞等安全风险,访问外部互联网时,也往往更容易遭受外部攻击。但EDR管理中心自身无法监控到未安装EDR的终端,也无法强制要求该终端安装EDR,因此导致EDR管理中心无法全面掌握网络中的风险状况,造成网络安全管理员无法对全网的EDR安装部署情况进行监控。由于网络内部可能存在大量未安装EDR的终端,所以极有可能造成内网中具有多个安全管理盲点,继而引发安全事件。
另外,终端完成EDR的安装后,该EDR也只是对终端进行安全防护,EDR安装完成后,其能在终端处进行安全管理和防护,但如果仅在终端处进行防护,则此时外部威胁或攻击已穿过边界防火墙进入内部网络时,对于终端设备和内部网络而言仍具有较大的安全隐患。
综上,本发明提出的方案需要解决的问题包括两个,第一个技术问题是提出一种技术方案用以自动判断终端是否安装EDR,对于未安装EDR的终端阻断其外网访问权利,并引导其安装EDR;第二个技术问题是提出一种技术方案,用于对已安装EDR的终端,根据其终端类型而自动在互联网边界网关处添加安全防护策略,实现一键防护,进而在提高终端安全性的同时减少工作人员对于安全部署的手工配置,降低运维难度,减少运维工作量。
为了解决上述技术问题,如图1所示,本发明实施例提供一种终端安全防护方法,应用于防火墙中,所述方法包括:
获得第一终端访问外网的流量报文;
基于流量报文确定第一终端的IP地址;
基于IP地址与EDR管理中心上报的资产列表判断第一终端是否未安装EDR客户端;
基于判断结果确定处理策略,处理策略包括第一策略及第二策略,第一策略包括禁止第一终端访问外网,第二策略包括为第一终端添加适配第一终端的目标安全防护策略。
本实施例中的上述方法可以应用于内网或内外网边界的防火墙中。基于上述实施例的公开可以获知,本实施例具备的有益效果包括EDR管理中心与防火墙间是可以联动的,不再如以往各自独立,无交互地运行,本实施例中的防火墙能够基于EDR管理中心而自动识别终端是否未安装EDR客户端,并能够在确定终端未安装EDR客户端时,执行第一策略,以至少禁止其访问外部网络,规避了不可信终端遭受外部网络攻击的风险,从而大大降低终端发生安全事故的情况,有利于后期工作人员对终端安全的运维管理。而倘若防火墙基于EDR终端确定了当前终端安装了EDR客户端时,则可执行第二策略,基于该策略,防火墙至少可以为该终端设备添加适配的作用于网络边界的目标安全防护策略,以此实现边界和终端的纵深防御,确保安全最大化,弥补了EDR管理中心及客户端只能对终端设备自身进行安全管理,无法在网络边界进行安全防护的不足,同时提升了内部网络的安全性,不再需要工作人员手动配置防护策略,降低了运维管理难度。
具体地,本实施例中的方法还包括:
EDR管理中心收集所有安装了EDR客户端的第二终端的资产信息,并基于收集的资产信息建立资产列表,资产信息包括第二终端的IP地址;
EDR管理中心将资产列表上报至防火墙。
结合图2所示,本实施例中的防火墙配置有与EDR管理中心联动的功能,EDR管理中心可以从安装了EDR客户端的第二终端处收集资产信息,该资产信息包括IP地址,之后EDR管理中心基于获得的资产信息建立资产列表,然后将生成的资产列表上报至防火墙中。或者,也可以是防火墙主动获取EDR管理中心的资产列表信息
当防火墙基于IP地址与EDR管理中心上报的资产列表判断第一终端是否未安装EDR客户端时,包括:
基于IP地址在资产列表中进行匹配查找,若能够在资产列表中查找到对应的IP地址,则确定第一终端安装了EDR客户端,若未能查找到对应的IP地址,则确定第一终端未安装EDR客户端。
也即,若能够在资产列表中查找到匹配的IP地址,则表明该第一终端实际为第二终端,若未能查找到,则表明该第一终端不是第二终端,而是具有安全隐患的终端设备。
进一步地,在基于判断结果确定处理策略时,包括:
若确定第一终端未安装EDR客户端,则以第一策略处理流量报文及第一终端;
若确定第一终端安装有EDR客户端,则以第二策略处理流量报文及第一终端。
具体地,在以第一策略处理流量报文及第一终端,包括:
确定流量报文采用的数据传输协议;
丢弃流量报文,以禁止第一终端访问外网;
在数据传输协议为目标协议的情况下,基于目标协议将返回页面重定向至EDR客户端的安装页面,以引导第一终端安装EDR客户端。
例如,继续结合图2所示,如果确定匹配成功,说明该终端在EDR管理中心上报的资产列表中,属于第二终端,由此确认该第一终端已安装EDR客户端,此时防火墙会放行该流量报文,使其继续防火墙的其余检测流程,按照指定策略访问互联网,即外网。
而如果匹配失败,说明该终端不在EDR管理中心上报的资产列表中,由此说明该终端未安装EDR客户端,属于不可信终端,此时防火墙会将流量报文丢弃,以禁止该第一终端访问外网。而且,防火墙会确定流量报文采用的网络传输协议,如果访问外网的流量报文采用的协议为HTTP协议,防火墙则会使用HTTP协议重定向将返回给第一终端的页面强制重定向到EDR客户端的安装页面,以引导第一终端安装EDR客户端,进而使第一终端安装EDR客户端,为后续运维降低难度,减少运维工作量,同时提高终端的网络安全性。
进一步地,本实施例中的资产列表还包含终端设备类型信息,例如终端设备类型包括Web服务器、工作站、网络设备、其他设备等类型,而且终端设备类型可以支持工作人员进行手动更改。如下图所示,本实施例中的资产列表包括终端的IP地址和类型信息:
当然,实际应用时,资产列表的形式不局限于上述表格所示形式及内容,还可以同时包含终端的其他信息。
进一步地,防火墙在以第二策略处理流量报文及第一终端时,包括:
放行流量报文;
基于资产列表确定第一终端的设备类型;
基于第一终端的设备类型确定适配的目标安全防护策略,其中,相同设备类型对应的安全防护策略相同;
启动目标安全防护策略。
其中,在基于第一终端的设备类型确定匹配地目标安全防护策略,包括:
当设备类型为服务器时,目标安全策略包括将第一终端作为目标地址对象;
当设备类型为非服务器时,目标安全策略包括将第一终端作为源地址对象。
启动目标安全防护策略,包括:
确定管辖范围内与第一终端的设备类型相同的第三终端;
对第一终端、第三终端均自动生成并启动目标安全防护策略。
具体地,结合图3所示,防火墙会根据资产列表以及IP地址确定第一终端的设备类型。根据终端设备类型的不同,防火墙会在其资产管理界面中的匹配关系表中确定适配该第一终端的目标安全防护策略,该匹配关系表中记录了不同的设备类型与各个安全防护策略的对应关系,具体可参见下述表格:
本实施例中的安全防护策略至少包括IPS、WAF、AV中的一种或多种。当确定了目标安全防护策略后,防火墙则会对该第一终端(同时也是第二终端)添加,开启该目标防护策略。如上述表格所示,WAF能有效保护Web服务器,因此对Web服务器类型的设备,优先开启WAF安全防护,同时可以选择性开启IPS、AV安全防护,而对其他类型的设备,则不开启WAF安全防护,仅选择性开启IPS、AV安全防护。
进一步地,为了方便更加快捷地进行安全部署,防火墙会基于设备类型,资产列表而确定出其管辖范围内所有与该第一终端的类型相同的第三终端,并同时为该第一终端以及第三终端启动相同的目标安全防护策略,以实现一键式的统一安全部署。具体地,如下述表格所示:
防火墙会基于上述第一终端及所有第三终端的IP地址锁定各个终端,然后对其启动相同的目标安全防护策略。上述表格中记录的是不同设备类型的终端,所开启的安全防护策略。安全防护策略的具体形式包括:对于Web服务器,防火墙会自动生成引用该终端作为目的地址对象的访问控制策略,同时如上文所述,该安全防护策略中还可包含IPS、WAF、AV中的一种或多种安全防护。而对于其他三种类型的终端设备,如工作站等,防火墙会自动生成引用该终端作为源地址对象的访问控制策略(具体可以参见上述表格),且该目标安全防护策略中也同样包含IPS、AV中的一种或多种安全防护。本实施例通过上述方法以达到自动生成终端的IPS、WAF、AV安全防护策略,在网络边界处起到防护终端的效果,实现边界和终端的纵深防御,确保安全最大化,弥补了EDR只能对终端设备自身进行安全管理,无法在网络边界进行安全防护的不足,同时提升了内部网络的安全性,不再需要工作人员手动配置防护策略,降低了运维管理难度。
具体地,在基于本实施例的方法进行实际应用时,例如,如图4所示,首先在防火墙上配置完成与EDR管理中心的联动信息。然后配置防火墙监控的资产范围(也即,防火墙的管辖范围)和资产白名单(也即,可信任的资产列表),根据获得的欲访问外网的流量报文,经防火墙的检测,对于在监控资产范围内且不在资产白名单中的终端设备,如果未安装EDR客户端,防火墙会阻断其外网访问,丢弃其流量报文,并引导其安装EDR客户端。对于不在监控资产范围内或在资产白名单中的终端设备,防火墙放行其流量报文执行其他检测流程,并不强制要求,或引导其安装EDR客户端。
接着,防火墙会配置自定义阻断页面,格式为html格式,当在防火墙监控的资产范围内且不在资产白名单中的终端设备未安装EDR客户端,且试图访问外网时,防火墙会阻断该访问,并返回自定义阻断页面,该自定义阻断页面可设置为下载安装EDR客户端的页面。该页面中可以提供安装EDR客户端的提示、下载EDR客户端的方法和管理员电话,便于终端用户安装EDR客户端、联系管理员。进一步地,如图5所示,防火墙对安装了EDR客户端的终端自动实现IPS、WAF、AV等安全防护中的一种或多种。具体为,防火墙获取到EDR管理中心上报的终端资产列表(含IP地址和终端设备类型),然后根据终端设备类型的不同,在防火墙的资产管理界面中对某一类型的终端设备开启IPS、WAF、AV中的一种或多种安全防护。配置完成后,防火墙自动生成对该终端类型下所有设备的安全防护策略,也即,对管辖范围内的安装有EDR客户端,且类型相同的终端设备均一键式地启动相同的安全防护策略,防火墙或者工作人员可以查看各个终端开启的安全防护策略。
如图6所示,本发明另一实施例同时提供一种终端安全防护装置,应用于防火墙中,所述装置包括:
获得模块,用于获得第一终端访问外网的流量报文;
第一确定模块,用于根据所述流量报文确定所述第一终端的IP地址;
判断模块,用于根据所述IP地址与EDR管理中心上报的资产列表判断所述第一终端是否未安装EDR客户端;
第二确定模块,用于根据判断结果确定处理策略,所述处理策略包括第一策略及第二策略,所述第一策略包括禁止所述第一终端访问外网,所述第二策略包括为所述第一终端添加适配所述第一终端的目标安全防护策略。
作为一可选实施例,还包括EDR管理中心:
所述EDR管理中心收集所有安装了所述EDR客户端的第二终端的资产信息,并基于收集的所述资产信息建立所述资产列表,所述资产信息包括所述第二终端的IP地址;
所述EDR管理中心将所述资产列表上报至所述防火墙。
作为一可选实施例,所述基于所述IP地址与EDR管理中心上报的资产列表判断所述第一终端是否未安装EDR客户端,包括:
基于所述IP地址在所述资产列表中进行匹配查找,若能够在所述资产列表中查找到对应的IP地址,则确定所述第一终端安装了所述EDR客户端,若未能查找到对应的IP地址,则确定所述第一终端未安装所述EDR客户端。
作为一可选实施例,所述基于判断结果确定处理策略,包括:
若确定所述第一终端未安装所述EDR客户端,则以第一策略处理所述流量报文及第一终端;
若确定所述第一终端安装有所述EDR客户端,则以第二策略处理所述流量报文及第一终端。
作为一可选实施例,所述以第一策略处理所述流量报文及第一终端,包括:
确定所述流量报文采用的数据传输协议;
丢弃所述流量报文,以禁止所述第一终端访问外网;
在所述数据传输协议为目标协议的情况下,基于所述目标协议将返回页面重定向至所述EDR客户端的安装页面,以引导所述第一终端安装所述EDR客户端。
作为一可选实施例,所述资产列表包含终端设备类型信息,所述以第二策略处理所述流量报文及第一终端,包括:
放行所述流量报文;
基于所述资产列表确定所述第一终端的设备类型;
基于所述第一终端的设备类型确定适配的目标安全防护策略,其中,相同设备类型对应的安全防护策略相同;
自动生成并启动所述目标安全防护策略。
作为一可选实施例,所述基于所述第一终端的设备类型确定适配的目标安全防护策略,包括:
当所述设备类型为服务器时,所述目标安全策略包括将所述第一终端作为目标地址对象;
当所述设备类型为非服务器时,所述目标安全策略包括将所述第一终端作为源地址对象。
作为一可选实施例,所述目标安全防护策略包括IPS、WAF、AV中的一种或多种。
作为一可选实施例,所述启动所述目标安全防护策略,包括:
确定管辖范围内与所述第一终端的设备类型相同的第三终端;
对所述第一终端、第三终端均自动生成并启动所述目标安全防护策略。
本发明另一实施例还提供一种电子设备,包括:
一个或多个处理器;
存储器,配置为存储一个或多个程序;
当该一个或多个程序被该一个或多个处理器执行时,使得该一个或多个处理器实现上述方法。
本发明一实施例还提供一种存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上所述的方法。应理解,本实施例中的各个方案具有上述方法实施例中对应的技术效果,此处不再赘述。
本发明实施例还提供了一种计算机程序产品,所述计算机程序产品被有形地存储在计算机可读介质上并且包括计算机可读指令,所述计算机可执行指令在被执行时使至少一个处理器执行诸如上文所述实施例中的方法。应理解,本实施例中的各个方案具有上述方法实施例中对应的技术效果,此处不再赘述。
需要说明的是,本申请的计算机存储介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读介质例如可以但不限于是电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储介质(RAM)、只读存储介质(ROM)、可擦式可编程只读存储介质(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储介质(CD-ROM)、光存储介质件、磁存储介质件、或者上述的任意合适的组合。在本申请中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本申请中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输配置为由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、天线、光缆、RF等等,或者上述的任意合适的组合。
应当理解,虽然本申请是按照各个实施例描述的,但并非每个实施例仅包含一个独立的技术方案,说明书的这种叙述方式仅仅是为清楚起见,本领域技术人员应当将说明书作为一个整体,各实施例中的技术方案也可以经适当组合,形成本领域技术人员可以理解的其他实施方式。
以上实施例仅为本发明的示例性实施例,不用于限制本发明,本发明的保护范围由权利要求书限定。本领域技术人员可以在本发明的实质和保护范围内,对本发明做出各种修改或等同替换,这种修改或等同替换也应视为落在本发明的保护范围内。

Claims (10)

1.一种终端安全防护方法,应用于防火墙中,所述方法包括:
获得第一终端访问外网的流量报文;
基于所述流量报文确定所述第一终端的IP地址;
基于所述IP地址与EDR管理中心上报的资产列表与所述第一终端的IP地址,判断所述第一终端是否未安装EDR客户端;所述资产列表包含安装了所述EDR客户端的第二终端的IP地址;
基于判断结果确定处理策略,若确定所述第一终端未安装所述EDR客户端,则以第一策略处理所述流量报文及第一终端;所述处理策略包括第一策略及第二策略,所述第一策略包括禁止所述第一终端访问外网,所述第二策略包括为所述第一终端添加适配所述第一终端的目标安全防护策略。
2.根据权利要求1所述的方法,其特征在于,还包括:
所述EDR管理中心收集所有安装了所述EDR客户端的第二终端的资产信息,并基于收集的所述资产信息建立所述资产列表,所述资产信息包括所述第二终端的IP地址;
所述EDR管理中心将所述资产列表上报至所述防火墙。
3.根据权利要求1所述的方法,其特征在于,所述基于所述IP地址与EDR管理中心上报的资产列表判断所述第一终端是否未安装EDR客户端,包括:
基于所述IP地址在所述资产列表中进行匹配查找,若能够在所述资产列表中查找到对应的IP地址,则确定所述第一终端安装了所述EDR客户端,若未能查找到对应的IP地址,则确定所述第一终端未安装所述EDR客户端。
4.根据权利要求1所述的方法,其特征在于,所述基于判断结果确定处理策略,还包括:
若确定所述第一终端安装有所述EDR客户端,则以第二策略处理所述流量报文及第一终端。
5.根据权利要求4所述的方法,其特征在于,所述以第一策略处理所述流量报文及第一终端,包括:
确定所述流量报文采用的数据传输协议;
丢弃所述流量报文,以禁止所述第一终端访问外网;
在所述数据传输协议为目标协议的情况下,基于所述目标协议将返回页面重定向至所述EDR客户端的安装页面,以引导所述第一终端安装所述EDR客户端。
6.根据权利要求4所述的方法,其特征在于,所述资产列表包含终端设备类型信息,所述以第二策略处理所述流量报文及第一终端,包括:
放行所述流量报文;
基于所述资产列表确定所述第一终端的设备类型;
基于所述第一终端的设备类型确定适配的目标安全防护策略,其中,相同设备类型对应的安全防护策略相同;
自动生成并启动所述目标安全防护策略。
7.根据权利要求6所述的方法,其特征在于,所述基于所述第一终端的设备类型确定适配的目标安全防护策略,包括:
当所述设备类型为服务器时,所述目标安全策略包括将所述第一终端作为目标地址对象;
当所述设备类型为非服务器时,所述目标安全策略包括将所述第一终端作为源地址对象。
8.根据权利要求6或7所述的方法,其特征在于,所述目标安全防护策略包括IPS、WAF、AV中的一种或多种。
9.根据权利要求6所述的方法,其特征在于,所述启动所述目标安全防护策略,包括:
确定管辖范围内与所述第一终端的设备类型相同的第三终端;
对所述第一终端、第三终端均自动生成并启动所述目标安全防护策略。
10.一种终端安全防护装置,应用于防火墙中,所述装置包括:
获得模块,用于获得第一终端访问外网的流量报文;
第一确定模块,用于根据所述流量报文确定所述第一终端的IP地址;
判断模块,用于根据所述IP地址与EDR管理中心上报的资产列表与所述第一终端的IP地址,判断所述第一终端是否未安装EDR客户端;所述资产列表包含安装了所述EDR客户端的第二终端的IP地址;
第二确定模块,用于根据判断结果确定处理策略,若确定所述第一终端未安装所述EDR客户端,则以第一策略处理所述流量报文及第一终端;所述处理策略包括第一策略及第二策略,所述第一策略包括禁止所述第一终端访问外网,所述第二策略包括为所述第一终端添加适配所述第一终端的目标安全防护策略。
CN202111435996.5A 2021-11-29 2021-11-29 一种终端安全防护方法及装置 Active CN114143077B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111435996.5A CN114143077B (zh) 2021-11-29 2021-11-29 一种终端安全防护方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111435996.5A CN114143077B (zh) 2021-11-29 2021-11-29 一种终端安全防护方法及装置

Publications (2)

Publication Number Publication Date
CN114143077A CN114143077A (zh) 2022-03-04
CN114143077B true CN114143077B (zh) 2023-11-10

Family

ID=80389189

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111435996.5A Active CN114143077B (zh) 2021-11-29 2021-11-29 一种终端安全防护方法及装置

Country Status (1)

Country Link
CN (1) CN114143077B (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111368300A (zh) * 2020-03-02 2020-07-03 深信服科技股份有限公司 恶意文件处置方法、装置、设备及存储介质
KR102221726B1 (ko) * 2019-08-27 2021-03-03 (주)하몬소프트 Edr 단말 장치 및 방법
CN112532435A (zh) * 2020-11-20 2021-03-19 深信服科技股份有限公司 一种运维方法、运维管理平台、设备及介质
WO2021112494A1 (ko) * 2019-12-02 2021-06-10 주식회사 파고네트웍스 엔드포인트에 기반한 관리형 탐지 및 대응 시스템과 방법

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102221726B1 (ko) * 2019-08-27 2021-03-03 (주)하몬소프트 Edr 단말 장치 및 방법
WO2021112494A1 (ko) * 2019-12-02 2021-06-10 주식회사 파고네트웍스 엔드포인트에 기반한 관리형 탐지 및 대응 시스템과 방법
CN111368300A (zh) * 2020-03-02 2020-07-03 深信服科技股份有限公司 恶意文件处置方法、装置、设备及存储介质
CN112532435A (zh) * 2020-11-20 2021-03-19 深信服科技股份有限公司 一种运维方法、运维管理平台、设备及介质

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
汽车事件记录器在道路交通事故调查中的应用研究;李毅;高岩;任皓;应朝阳;李平凡;;中国公共安全(学术版)(第04期);全文 *

Also Published As

Publication number Publication date
CN114143077A (zh) 2022-03-04

Similar Documents

Publication Publication Date Title
CN101496025B (zh) 用于向移动设备提供网络安全的系统和方法
US8407791B2 (en) Integrated cyber network security system and method
US20050203921A1 (en) System for protecting database applications from unauthorized activity
CN114978584A (zh) 基于单位单元的网络安全防护安全方法及系统
US7039950B2 (en) System and method for network quality of service protection on security breach detection
CN107872456A (zh) 网络入侵防御方法、装置、系统及计算机可读存储介质
US20060282893A1 (en) Network information security zone joint defense system
CN112702300A (zh) 一种安全漏洞的防御方法和设备
WO2008151321A2 (en) Systems, methods, and media for enforcing a security policy in a network including a plurality of components
CN110493195A (zh) 一种网络准入控制方法及系统
US20110023088A1 (en) Flow-based dynamic access control system and method
KR20220081145A (ko) Ai 기반 이상징후 침입 탐지 및 대응 시스템
Carter et al. Intrusion prevention fundamentals
CN117375942A (zh) 基于节点清洗防范DDoS攻击的方法及装置
CN116781380A (zh) 一种校园网安全风险终端拦截溯源系统
CN114143077B (zh) 一种终端安全防护方法及装置
CN111756707A (zh) 一种应用于全球广域网的后门安全防护装置和方法
CN116707980A (zh) 一种基于零信任的免疫安全防御方法
Veena et al. Implementing file and real time based intrusion detections in secure direct method using advanced honeypot
CN113206852B (zh) 一种安全防护方法、装置、设备及存储介质
Kfouri et al. Design of a Distributed HIDS for IoT Backbone Components.
JP2006501527A (ja) ネットワーク・サービスプロバイダおよびオペレータのサーバシステムに対する攻撃の確認と防御のための方法、データキャリア、コンピュータシステム、およびコンピュータプログラム
KR100578503B1 (ko) 위험도 추론 침입탐지시스템
Zhou et al. Research on computer network information security and protection strategy based on deep learning algorithm
Leelavathy A Secure Methodology to Detect and Prevent Ddos and Sql Injection Attacks

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant