CN115001823B - 基于逐流、逐包过滤的网络透明代理方法及装置 - Google Patents
基于逐流、逐包过滤的网络透明代理方法及装置 Download PDFInfo
- Publication number
- CN115001823B CN115001823B CN202210622766.8A CN202210622766A CN115001823B CN 115001823 B CN115001823 B CN 115001823B CN 202210622766 A CN202210622766 A CN 202210622766A CN 115001823 B CN115001823 B CN 115001823B
- Authority
- CN
- China
- Prior art keywords
- data
- rule
- network
- packet
- proxy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001914 filtration Methods 0.000 title claims abstract description 75
- 238000000034 method Methods 0.000 title claims abstract description 37
- 238000012544 monitoring process Methods 0.000 claims abstract description 22
- 230000008569 process Effects 0.000 claims description 10
- 230000005540 biological transmission Effects 0.000 claims description 8
- 230000000977 initiatory effect Effects 0.000 claims description 3
- 238000005070 sampling Methods 0.000 claims description 3
- 230000000750 progressive effect Effects 0.000 claims 2
- 230000009977 dual effect Effects 0.000 abstract description 6
- 230000007246 mechanism Effects 0.000 abstract description 3
- 239000003795 chemical substances by application Substances 0.000 description 6
- 238000010586 diagram Methods 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000004891 communication Methods 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
基于逐流、逐包过滤的网络透明代理方法及装置,该方法通过接收用户下发的网络代理规则;根据网络代理规则创建防火墙策略,创建转发规则中目的端口监听,代理接收外部网络区设备发起的连接请求及数据;对代理接收外部网络区设备发起的连接请求及数据进行第一预设数量的数据包逐流过滤;若数据包匹配失败,则认为对应数据流不符合网络代理规则的配置协议;对外部网关和内部网关之间转发的数据进行第二预设数量的数据包逐包过滤;若第二预设数量的数据包符合网络代理规则,则转发对应数据流;若第二预设数量的数据包不符合网络代理规则,断开客户端的连接。本发明能有效防御绝大多数网络上报文攻击;双网关实现内部转发机制,安全性高。
Description
技术领域
本发明涉及计算机网络通信技术领域,具体涉及一种基于逐流、逐包过滤的网络透明代理方法及装置。
背景技术
网络透明代理是指客户端在感觉不到代理存在的情况下,通过网络透明代理与真实服务器进行连接和数据交互。客户端不需要设置任何代理,客户只需要设置缺省网关,客户端向真实服务器发起的报文被发送到缺省网关,而这时缺省网关运行着一个代理服务器,代理机冒充服务器与客户端建立连接,并以客户端IP与真实服务器建立连接进行代理转发。理论上透明代理可以对任何协议通用。
现有技术中,无法安全隔离内部和外部网络,外部网络对代理服务器代理端口的攻击报文载荷容易进入真实服务器,无法防御绝大多数网络上报文攻击,存在外部网关能直接访问内部网络的危险操作,导致内部网络存在较大的安全隐患。如何确保网络透明代理的安全性是亟待解决的技术问题。
发明内容
为此,本发明提供一种基于逐流、逐包过滤的网络透明代理方法及装置,以解决传统网络透明代理无法有效防御绝大多数网络上报文攻击,存在较大安全性隐患的问题。
为了实现上述目的,本发明提供如下技术方案:基于逐流、逐包过滤的网络透明代理方法,包括:
接收用户下发的网络代理规则,所述网络代理规则包括源地址范围、目的地址范围、目的端口范围、传输协议类型、应用数据规则和有效时间;
根据所述网络代理规则创建防火墙策略,创建转发规则中目的端口监听,代理接收外部网络区设备发起的连接请求及数据;
对代理接收外部网络区设备发起的连接请求及数据进行第一预设数量的数据包逐流过滤;若第一预设数量的数据包匹配失败,则认为对应数据流不符合所述网络代理规则的配置协议;
对外部网关和内部网关之间转发的数据进行第二预设数量的数据包逐包过滤;若第二预设数量的数据包符合所述网络代理规则,则转发对应数据流;若第二预设数量的数据包不符合所述网络代理规则,断开客户端的连接。
作为基于逐流、逐包过滤的网络透明代理方法的优选方案,通过防火墙策略对非所述网络代理规则内的报文进行屏蔽;
在外部网关的网络代理软件中创建转发规则中目的端口监听,以代理接收外部网络区设备发起的连接请求以及数据。
作为基于逐流、逐包过滤的网络透明代理方法的优选方案,逐流过滤过程采用l7-filter,通过模式匹配算法对数据包应用层数据与预先定义的应用数据规则进行匹配。
作为基于逐流、逐包过滤的网络透明代理方法的优选方案,当所述网络代理规则中带有应用数据规则,符合另一网络代理规则的数据流时,通过内部网关的网络代理软件创建临时端口,向内部网络区设备发起连接请求。
作为基于逐流、逐包过滤的网络透明代理方法的优选方案,逐流过滤过程中,按时间顺序取数据流中第一预设数量的数据包;
逐包过滤过程中,按时间顺序取数据流中第二预设数量的数据包。
本发明还公开一种基于逐流、逐包过滤的网络透明代理装置,包括:
网络代理规则接收模块,用于接收用户下发的网络代理规则,所述网络代理规则包括源地址范围、目的地址范围、目的端口范围、传输协议类型、应用数据规则和有效时间;
防火墙创建模块,用于根据所述网络代理规则创建防火墙策略;
端口监听创建模块,用于创建转发规则中目的端口监听,代理接收外部网络区设备发起的连接请求及数据;
逐流过滤模块,用于对代理接收外部网络区设备发起的连接请求及数据进行第一预设数量的数据包逐流过滤;若第一预设数量的数据包匹配失败,则认为对应数据流不符合所述网络代理规则的配置协议;
逐包过滤模块,用于对外部网关和内部网关之间转发的数据进行第二预设数量的数据包逐包过滤;若第二预设数量的数据包符合所述网络代理规则,则转发对应数据流;若第二预设数量的数据包不符合所述网络代理规则,断开客户端的连接。
作为基于逐流、逐包过滤的网络透明代理装置优选方案,所述防火墙创建模块中,通过防火墙策略对非所述网络代理规则内的报文进行屏蔽;
所述端口监听创建模块中,在外部网关的网络代理软件中创建转发规则中目的端口监听,以代理接收外部网络区设备发起的连接请求以及数据。
作为基于逐流、逐包过滤的网络透明代理装置优选方案,所述逐流过滤模块采用l7-filter,通过模式匹配算法对数据包应用层数据与预先定义的应用数据规则进行匹配。
作为基于逐流、逐包过滤的网络透明代理装置优选方案,还包括临时端口创建模块,用于当所述网络代理规则中带有应用数据规则,符合另一网络代理规则的数据流时,通过内部网关的网络代理软件创建临时端口,向内部网络区设备发起连接请求。
作为基于逐流、逐包过滤的网络透明代理装置优选方案,所述逐流过滤模块中,按时间顺序取数据流中第一预设数量的数据包;
所述逐包过滤模块中,按时间顺序取数据流中第二预设数量的数据包。
本发明具有如下优点:通过接收用户下发的网络代理规则,所述网络代理规则包括源地址范围、目的地址范围、目的端口范围、传输协议类型、应用数据规则和有效时间;根据所述网络代理规则创建防火墙策略,创建转发规则中目的端口监听,代理接收外部网络区设备发起的连接请求及数据;对代理接收外部网络区设备发起的连接请求及数据进行第一预设数量的数据包逐流过滤;若第一预设数量的数据包匹配失败,则认为对应数据流不符合所述网络代理规则的配置协议;对外部网关和内部网关之间转发的数据进行第二预设数量的数据包逐包过滤;若第二预设数量的数据包符合所述网络代理规则,则转发对应数据流;若第二预设数量的数据包不符合所述网络代理规则,断开客户端的连接。本发明能有效防御绝大多数网络上报文攻击;使用逐流和逐包过滤方案,针对进入网络代理服务器的应用层数据载荷进行规则匹配,防止攻击报文占用外力内部服务器CPU资源;双网关实现内部转发机制,起到安全隔离内部和外部网络的功能,避免外部网关能直接访问内部网络的危险操作,提高网络透明代理的安全性。
附图说明
为了更清楚地说明本发明的实施方式或现有技术中的技术方案,下面将对实施方式或现有技术描述中所需要使用的附图作简单地介绍。显而易见地,下面描述中的附图仅仅是示例性的,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图引申获得其他的实施附图。
本说明书所绘示的结构、比例、大小等,均仅用以配合说明书所揭示的内容,以供熟悉此技术的人士了解与阅读,并非用以限定本发明可实施的限定条件,故不具技术上的实质意义,任何结构的修饰、比例关系的改变或大小的调整,在不影响本发明所能产生的功效及所能达成的目的下,均应仍落在本发明所揭示的技术内容能涵盖的范围内。
图1为本发明实施例1提供的基于逐流、逐包过滤的网络透明代理方法流程示意图;
图2为本发明实施例1提供的基于逐流、逐包过滤的网络透明代理逻辑框图;
图3为本发明实施例1提供的基于逐流、逐包过滤的网络透明代理方法中双网关示意图;
图4为本发明实施例2提供的基于逐流、逐包过滤的网络透明代理装置示意图。
具体实施方式
以下由特定的具体实施例说明本发明的实施方式,熟悉此技术的人士可由本说明书所揭露的内容轻易地了解本发明的其他优点及功效,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
由于现有技术无法安全隔离内部和外部网络,外部网络对代理服务器代理端口的攻击报文载荷容易进入真实服务器,无法防御绝大多数网络上报文攻击,存在外部网关能直接访问内部网络的危险操作,导致内部网络存在较大的安全隐患。
有鉴于此,本发明采用双网关方式实现基于逐流和逐包过滤的网络透明代理。通过数据的合法性检测,提高内部网络安全性,避免外部网络对代理服务器代理端口的攻击报文载荷进入真实服务器。以下为本发明技术方案的具体实施情况。
实施例1
参见图1、图2和图3,本发明实施例1提供一种基于逐流、逐包过滤的网络透明代理方法,应用于网络代理服务器,包括以下步骤:
S1、接收用户下发的网络代理规则,所述网络代理规则包括源地址范围、目的地址范围、目的端口范围、传输协议类型、应用数据规则和有效时间;
S2、根据所述网络代理规则创建防火墙策略,创建转发规则中目的端口监听,代理接收外部网络区设备发起的连接请求及数据;
S3、对代理接收外部网络区设备发起的连接请求及数据进行第一预设数量的数据包逐流过滤;若第一预设数量的数据包匹配失败,则认为对应数据流不符合所述网络代理规则的配置协议;
S4、对外部网关和内部网关之间转发的数据进行第二预设数量的数据包逐包过滤;若第二预设数量的数据包符合所述网络代理规则,则转发对应数据流;若第二预设数量的数据包不符合所述网络代理规则,断开客户端的连接。
本实施例中,通过防火墙策略对非所述网络代理规则内的报文进行屏蔽;
在外部网关的网络代理软件中创建转发规则中目的端口监听,以代理接收外部网络区设备发起的连接请求以及数据。
具体的,根据用户下发的网络代理规则,在网络代理服务器创建防火墙策略,并于外部网关的网络代理软件创建转发规则中目的端口监听,来代理接收外部网络区设备发起的连接请求以及数据。对应不符合网络代理规则内的报文,被防火墙屏蔽.
具体的,防火墙端口代理策略添加nat PREROUTING,将源地址为192.168.10.0/24,目的地址为192.168.20.0/24,目的端口为1111的TCP报文,重定向到外部网关的1111端口,由外部网关的网络代理软件接管客户端连接。此外,规则中可以添加此策略生效的时间范围。
其中,防火墙端口代理策略如下:
“Target prot opt source Destination
REDIRECT tcp--192.168.10.0/24 192.168.20.0/24 tcp dpt:1111 redirports 1111”。
本实施例中,当所述网络代理规则中带有应用数据规则,符合另一网络代理规则的数据流时,通过内部网关的网络代理软件创建临时端口,向内部网络区设备发起连接请求。
具体的,当配置的网络代理规则中带有应用数据规则,符合其它网络代理规则的数据流,外部网关接收外部网络区的连接,同时内部网关的网络代理软件创建临时端口向内部网络区设备发起连接请求。此时整条代理转发的通路已经创建成功。
本实施例中,逐流过滤过程采用l7-filter,通过模式匹配算法对数据包应用层数据与预先定义的应用数据规则进行匹配。逐流过滤过程中,按时间顺序取数据流中第一预设数量的数据包;逐包过滤过程中,按时间顺序取数据流中第二预设数量的数据包。
具体的,l7-filter为linux防火墙体系Netfilter下的独立模块,基于数据流应用层载荷的过滤,使用模式匹配算法把进入设备的数据包应用层数据与定义好的应用数据规则进行匹配,匹配成功认为属于合法的数据。
其中,应用数据规则以正则表达式的方式进行规定,逐包和逐流方式都是对数据包进行正则表达式匹配运算,从运算结果来决定数据包丢弃与否。
由于一个数据流或者一个连接中所有数据都属于同一应用,所以l7-filter没有必要对所有数据包进行模式匹配,而只是匹配一个流中第一预设数量的前几个数据包。如果前几个数据包匹配失败,则认为这个数据流不符合配置的协议。
参见图2和图3,逐包过滤通过对网络代理服务器内部双网关间(内部网关和外观网关)的转发数据进行应用数据规则匹配实现。内部网关和外观网关均包含TCP代理软件、UDP代理软件、规则配置软件、iptables(可以将规则组成一个列表,实现绝对详细的访问控制功能)配置软件和配置同步软件。其中,内部网关还包含网页配置管理软件对外提供配置管理用户界面。
其中,逐包过滤的目的在于解决逐流过滤无法对数据流的前几个数据包进行屏蔽的问题,因此逐包过滤只需要对每个数据流的前几个数据包进行规则匹配检查。
具体的,第一预设数量的前几个数据包在l7-filter采样完成后,由网关间内部转发前做逐包检测;如果符合应用数据规则,则进行数据转发且后续数据包不作逐包检测。如果不符合应用数据规则,则直接断开客户端的连接。代理规则中包含应用数据规则时,防火墙添加mangle PREROUTING策略和filter INPUT策略。mangle PREROUTING策略对满足源IP地址、目的IP地址以及端口策略,但是不符合应用数据规则的报文在采样完成后打上标签0xa;filter INPUT策略检测到带有标签0xa的TCP数据流则直接断开连接。
其中,mangle PREROUTING策略内容如下:
“target prot opt source destination
MARK tcp--192.168.10.0/24 192.168.20.0/24 tcp dpt:1111LAYER7 l7proto!http_filter MARK set oxa”。
其中,filter INPUT策略内容如下:
“target prot opt source destination
DROP tcp--anywhere anywhere tcp dpt:kerberos
DROP udp--anywhere anywhere mark match 0xa
REJECT tcp--anywhere anywhere mark match 0xareject-with tcp-reset
ACCEPT all--anywhere anywhere state RELATED,ESTABLISHED”。
综上所述,本发明通过接收用户下发的网络代理规则,所述网络代理规则包括源地址范围、目的地址范围、目的端口范围、传输协议类型、应用数据规则和有效时间;根据所述网络代理规则创建防火墙策略,创建转发规则中目的端口监听,代理接收外部网络区设备发起的连接请求及数据;对代理接收外部网络区设备发起的连接请求及数据进行第一预设数量的数据包逐流过滤;若第一预设数量的数据包匹配失败,则认为对应数据流不符合所述网络代理规则的配置协议;对外部网关和内部网关之间转发的数据进行第二预设数量的数据包逐包过滤;若第二预设数量的数据包符合所述网络代理规则,则转发对应数据流;若第二预设数量的数据包不符合所述网络代理规则,断开客户端的连接。本发明能有效防御绝大多数网络上报文攻击;使用逐流和逐包过滤方案,针对进入网络代理服务器的应用层数据载荷进行规则匹配,防止攻击报文占用外力内部服务器CPU资源;双网关实现内部转发机制,起到安全隔离内部和外部网络的功能,避免外部网关能直接访问内部网络的危险操作,提高网络透明代理的安全性。
需要说明的是,本公开实施例的方法可以由单个设备执行,例如一台计算机或服务器等。本实施例的方法也可以应用于分布式场景下,由多台设备相互配合来完成。在这种分布式场景的情况下,这多台设备中的一台设备可以只执行本公开实施例的方法中的某一个或多个步骤,这多台设备相互之间会进行交互以完成所述的方法。
需要说明的是,上述对本公开的一些实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于上述实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
实施例2
参见图4,本发明实施例2提供一种基于逐流、逐包过滤的网络透明代理装置,包括:
网络代理规则接收模块1,用于接收用户下发的网络代理规则,所述网络代理规则包括源地址范围、目的地址范围、目的端口范围、传输协议类型、应用数据规则和有效时间;
防火墙创建模块2,用于根据所述网络代理规则创建防火墙策略;
端口监听创建模块3,用于创建转发规则中目的端口监听,代理接收外部网络区设备发起的连接请求及数据;
逐流过滤模块4,用于对代理接收外部网络区设备发起的连接请求及数据进行第一预设数量的数据包逐流过滤;若第一预设数量的数据包匹配失败,则认为对应数据流不符合所述网络代理规则的配置协议;
逐包过滤模块5,用于对外部网关和内部网关之间转发的数据进行第二预设数量的数据包逐包过滤;若第二预设数量的数据包符合所述网络代理规则,则转发对应数据流;若第二预设数量的数据包不符合所述网络代理规则,断开客户端的连接。
本实施例中,所述防火墙创建模块2中,通过防火墙策略对非所述网络代理规则内的报文进行屏蔽;
所述端口监听创建模块3中,在外部网关的网络代理软件中创建转发规则中目的端口监听,以代理接收外部网络区设备发起的连接请求以及数据。
本实施例中,所述逐流过滤模块4采用l7-filter,通过模式匹配算法对数据包应用层数据与预先定义的应用数据规则进行匹配。
本实施例中,还包括临时端口创建模块6,用于当所述网络代理规则中带有应用数据规则,符合另一网络代理规则的数据流时,通过内部网关的网络代理软件创建临时端口,向内部网络区设备发起连接请求。
本实施例中,所述逐流过滤模块4中,按时间顺序取数据流中第一预设数量的数据包;
所述逐包过滤模块5中,按时间顺序取数据流中第二预设数量的数据包。
需要说明的是,上述装置各模块/单元之间的信息交互、执行过程等内容,由于与本申请实施例1中的方法实施例基于同一构思,其带来的技术效果与本申请方法实施例相同,具体内容可参见本申请前述所示的方法实施例中的叙述,此处不再赘述。
实施例3
本发明实施例3提供一种非暂态计算机可读存储介质,所述计算机可读存储介质中存储有基于逐流、逐包过滤的网络透明代理方法的程序代码,所述程序代码包括用于执行实施例1或其任意可能实现方式的基于逐流、逐包过滤的网络透明代理方法的指令。
计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘(SolidState Disk、SSD))等。
实施例4
本发明实施例4提供一种电子设备,包括:存储器和处理器;
所述处理器和所述存储器通过总线完成相互间的通信;所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行实施例1或其任意可能实现方式的基于逐流、逐包过滤的网络透明代理方法。
具体的,处理器可以通过硬件来实现也可以通过软件来实现,当通过硬件实现时,该处理器可以是逻辑电路、集成电路等;当通过软件来实现时,该处理器可以是一个通用处理器,通过读取存储器中存储的软件代码来实现,该存储器可以集成在处理器中,可以位于所述处理器之外,独立存在。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
虽然,上文中已经用一般性说明及具体实施例对本发明作了详尽的描述,但在本发明基础上,可以对之作一些修改或改进,这对本领域技术人员而言是显而易见的。因此,在不偏离本发明精神的基础上所做的这些修改或改进,均属于本发明要求保护的范围。
Claims (4)
1.基于逐流、逐包过滤的网络透明代理方法,其特征在于,包括:
接收用户下发的网络代理规则,所述网络代理规则包括源地址范围、目的地址范围、目的端口范围、传输协议类型、应用数据规则和有效时间;
根据所述网络代理规则创建防火墙策略,创建转发规则中目的端口监听,代理接收外部网络区设备发起的连接请求及数据;
对代理接收外部网络区设备发起的连接请求及数据进行第一预设数量的数据包逐流过滤;若第一预设数量的数据包匹配失败,则认为对应数据流不符合所述网络代理规则的配置协议;
对外部网关和内部网关之间转发的数据进行第二预设数量的数据包逐包过滤;若第二预设数量的数据包符合所述网络代理规则,则转发对应数据流;若第二预设数量的数据包不符合所述网络代理规则,断开客户端的连接;
逐流过滤过程采用l7-filter,通过模式匹配算法对数据包应用层数据与预先定义的应用数据规则进行匹配;
当所述网络代理规则中带有应用数据规则,符合另一网络代理规则的数据流时,通过内部网关的网络代理软件创建临时端口,向内部网络区设备发起连接请求;
逐流过滤过程中,按时间顺序取数据流中第一预设数量的数据包;
逐包过滤过程中,按时间顺序取数据流中第二预设数量的数据包;
如果符合应用数据规则,则进行数据转发且后续数据包不作逐包检测;如果不符合应用数据规则,则直接断开客户端的连接;
代理规则中包含应用数据规则时,防火墙添加mangle PREROUTING策略和filterINPUT策略;mangle PREROUTING策略对满足源IP地址、目的IP地址以及端口策略,但是不符合应用数据规则的报文在采样完成后打上标签0xa;filterINPUT策略检测到带有标签0xa的TCP数据流则直接断开连接。
2.根据权利要求1所述的基于逐流、逐包过滤的网络透明代理方法,其特征在于,通过防火墙策略对非所述网络代理规则内的报文进行屏蔽;
在外部网关的网络代理软件中创建转发规则中目的端口监听,以代理接收外部网络区设备发起的连接请求以及数据。
3.基于逐流、逐包过滤的网络透明代理装置,其特征在于,包括:
网络代理规则接收模块,用于接收用户下发的网络代理规则,所述网络代理规则包括源地址范围、目的地址范围、目的端口范围、传输协议类型、应用数据规则和有效时间;
防火墙创建模块,用于根据所述网络代理规则创建防火墙策略;
端口监听创建模块,用于创建转发规则中目的端口监听,代理接收外部网络区设备发起的连接请求及数据;
逐流过滤模块,用于对代理接收外部网络区设备发起的连接请求及数据进行第一预设数量的数据包逐流过滤;若第一预设数量的数据包匹配失败,则认为对应数据流不符合所述网络代理规则的配置协议;
逐包过滤模块,用于对外部网关和内部网关之间转发的数据进行第二预设数量的数据包逐包过滤;若第二预设数量的数据包符合所述网络代理规则,则转发对应数据流;若第二预设数量的数据包不符合所述网络代理规则,断开客户端的连接;
所述逐流过滤模块采用l7-filter,通过模式匹配算法对数据包应用层数据与预先定义的应用数据规则进行匹配;
还包括临时端口创建模块,用于当所述网络代理规则中带有应用数据规则,符合另一网络代理规则的数据流时,通过内部网关的网络代理软件创建临时端口,向内部网络区设备发起连接请求;
所述逐流过滤模块中,按时间顺序取数据流中第一预设数量的数据包;
所述逐包过滤模块中,按时间顺序取数据流中第二预设数量的数据包;
如果符合应用数据规则,则进行数据转发且后续数据包不作逐包检测;如果不符合应用数据规则,则直接断开客户端的连接;
代理规则中包含应用数据规则时,防火墙添加mangle PREROUTING策略和filterINPUT策略;mangle PREROUTING策略对满足源IP地址、目的IP地址以及端口策略,但是不符合应用数据规则的报文在采样完成后打上标签0xa;filterINPUT策略检测到带有标签0xa的TCP数据流则直接断开连接。
4.根据权利要求3所述的基于逐流、逐包过滤的网络透明代理装置,其特征在于,所述防火墙创建模块中,通过防火墙策略对非所述网络代理规则内的报文进行屏蔽;
所述端口监听创建模块中,在外部网关的网络代理软件中创建转发规则中目的端口监听,以代理接收外部网络区设备发起的连接请求以及数据。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210622766.8A CN115001823B (zh) | 2022-06-02 | 2022-06-02 | 基于逐流、逐包过滤的网络透明代理方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210622766.8A CN115001823B (zh) | 2022-06-02 | 2022-06-02 | 基于逐流、逐包过滤的网络透明代理方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115001823A CN115001823A (zh) | 2022-09-02 |
| CN115001823B true CN115001823B (zh) | 2024-02-06 |
Family
ID=83030673
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210622766.8A Active CN115001823B (zh) | 2022-06-02 | 2022-06-02 | 基于逐流、逐包过滤的网络透明代理方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115001823B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116915852B (zh) * | 2023-09-13 | 2024-02-20 | 麒麟软件有限公司 | 一种linux应用程序的透明代理方法及系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108848049A (zh) * | 2018-04-18 | 2018-11-20 | 山石网科通信技术有限公司 | 域名解析系统的代理方法及装置、存储介质和处理器 |
| CN110830434A (zh) * | 2019-08-27 | 2020-02-21 | 杭州美创科技有限公司 | 通用透明代理方法 |
| CN112769850A (zh) * | 2021-01-19 | 2021-05-07 | 英赛克科技(北京)有限公司 | 网络报文过滤方法、电子设备及存储介质 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10609152B2 (en) * | 2017-07-11 | 2020-03-31 | Cisco Technology, Inc. | Creation of remote direct access path via internet to firewalled device using multi-site session forwarding |
-
2022
- 2022-06-02 CN CN202210622766.8A patent/CN115001823B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108848049A (zh) * | 2018-04-18 | 2018-11-20 | 山石网科通信技术有限公司 | 域名解析系统的代理方法及装置、存储介质和处理器 |
| CN110830434A (zh) * | 2019-08-27 | 2020-02-21 | 杭州美创科技有限公司 | 通用透明代理方法 |
| CN112769850A (zh) * | 2021-01-19 | 2021-05-07 | 英赛克科技(北京)有限公司 | 网络报文过滤方法、电子设备及存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| 基于数据包过滤和透明代理相结合的防网络攻击;刘军等;计算机工程与设计(05);正文第2-4章 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115001823A (zh) | 2022-09-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9124550B1 (en) | Distributed multi-processing security gateway | |
| US8782260B2 (en) | Network access control system and method using adaptive proxies | |
| US11968178B2 (en) | Reduction and acceleration of a deterministic finite automaton | |
| US20150047012A1 (en) | System and method for distributed multi-processing security gateway | |
| US20120210416A1 (en) | Load balancing in a network with session information | |
| US20160255012A1 (en) | Method for mitigation of unauthorized data transfer over domain name service (dns) | |
| US11924165B2 (en) | Securing containerized applications | |
| CN108881328B (zh) | 数据包过滤方法、装置、网关设备及存储介质 | |
| US11005813B2 (en) | Systems and methods for modification of p0f signatures in network packets | |
| US11665139B2 (en) | Distributed offload leveraging different offload devices | |
| JP7388613B2 (ja) | パケット処理方法及び装置、デバイス、並びに、コンピュータ可読ストレージ媒体 | |
| US10893065B2 (en) | Malware detection in distributed computer systems | |
| US11689502B2 (en) | Securing control and user plane separation in mobile networks | |
| CN112769850B (zh) | 网络报文过滤方法、电子设备及存储介质 | |
| KR100723864B1 (ko) | 패킷에 포함된 정보를 이용하여 네트워크 공격을 차단하는방법 및 그 장치 | |
| CN115001823B (zh) | 基于逐流、逐包过滤的网络透明代理方法及装置 | |
| CN110995586B (zh) | 一种bgp报文的处理方法、装置、电子设备及存储介质 | |
| US20220385631A1 (en) | Distributed traffic steering and enforcement for security solutions | |
| CN110581843B (zh) | 一种拟态Web网关多应用流量定向分配方法 | |
| Crane | SE 4C03 Winter 2005 Firewall Design Principles |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |