專利名稱：一種網(wǎng)絡(luò)安全設(shè)備聯(lián)動(dòng)的方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域：
本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域，特別是涉及一種網(wǎng)絡(luò)安全設(shè)備聯(lián)動(dòng)的方法及系統(tǒng)。
背景技術(shù)：
目前網(wǎng)絡(luò)信息日益豐富，但是非法、色情、暴力等不良內(nèi)容在互聯(lián)網(wǎng)上泛濫成災(zāi)。如何保證網(wǎng)絡(luò)信息內(nèi)容的合法性、健康性已經(jīng)成為一個(gè)社會(huì)問題。國家也出臺(tái)了一系列整治互聯(lián)網(wǎng)低俗內(nèi)容的措施。然而，互聯(lián)網(wǎng)頁的內(nèi)容每天都在變化當(dāng)中，如何保證動(dòng)態(tài)變化的網(wǎng)絡(luò)信息內(nèi)容的健康合法以及如何對突然出現(xiàn)的不良內(nèi)容進(jìn)行判斷及阻斷，已經(jīng)成為安全領(lǐng)域研究中的熱點(diǎn)技術(shù)。 網(wǎng)絡(luò)信息內(nèi)容安全的主要技術(shù)包括應(yīng)用層防火墻(網(wǎng)關(guān)產(chǎn)品)及網(wǎng)絡(luò)內(nèi)容審計(jì)系統(tǒng)(旁路監(jiān)聽產(chǎn)品)。應(yīng)用層防火墻兼具內(nèi)容審計(jì)功能，但由于部署在網(wǎng)關(guān)位置，大量的抓包過濾分析會(huì)影響網(wǎng)絡(luò)的正常應(yīng)用。而且目前許多網(wǎng)絡(luò)中都部署了傳統(tǒng)防火墻設(shè)備，如果再部署應(yīng)用層防火墻會(huì)造成重復(fù)投資。網(wǎng)絡(luò)內(nèi)容審計(jì)系統(tǒng)作為旁路監(jiān)聽設(shè)備，一般采用并聯(lián)到交換機(jī)監(jiān)聽口的方式部署，不會(huì)對網(wǎng)絡(luò)性能造成影響，可用性強(qiáng)于應(yīng)用層防火墻。但是其問題是只能提供事后報(bào)警，且傳統(tǒng)的阻斷方式是以雙向tcp reset方式，具有時(shí)間滯后、網(wǎng)絡(luò)傳輸率下降、成功率低等問題，無法精確對不良鏈接進(jìn)行阻斷。 現(xiàn)有技術(shù)提出了一種并聯(lián)設(shè)備(如入侵檢測系統(tǒng))與串聯(lián)設(shè)備(防火墻)的聯(lián)動(dòng)協(xié)議，通過server-client的方式實(shí)現(xiàn)設(shè)備聯(lián)動(dòng)阻斷連接的目的。該技術(shù)的缺點(diǎn)在于阻斷的滯后性，即入侵行為已經(jīng)到達(dá)了內(nèi)部網(wǎng)絡(luò)之后，才由入侵檢測系統(tǒng)發(fā)現(xiàn)，然后再通知處于網(wǎng)關(guān)位置的防火墻對該連接進(jìn)行阻斷，此時(shí)內(nèi)部網(wǎng)絡(luò)也許已經(jīng)有被注入病毒的危險(xiǎn)。而對于網(wǎng)絡(luò)內(nèi)容審計(jì)而言，即使旁路部署的審計(jì)系統(tǒng)發(fā)現(xiàn)了用戶訪問不良網(wǎng)頁，并且通知了防火墻墻阻斷該連接。然而由于瀏覽器緩存或不良網(wǎng)頁頻繁變換IP等方式，用戶還能繼續(xù)瀏覽到不良信息。 綜上，現(xiàn)有阻斷技術(shù)具有時(shí)效性差的問題。

發(fā)明內(nèi)容
本發(fā)明提供了一種網(wǎng)絡(luò)安全設(shè)備聯(lián)動(dòng)的方法及系統(tǒng)，用以解決現(xiàn)有網(wǎng)絡(luò)安全設(shè)備聯(lián)動(dòng)阻斷技術(shù)的時(shí)效性較差的問題。 本發(fā)明的一種網(wǎng)絡(luò)安全設(shè)備聯(lián)動(dòng)的方法，包括下列步驟數(shù)據(jù)包到達(dá)用戶主機(jī)之前被審計(jì)系統(tǒng)和防火墻同時(shí)截獲；防火墻判定不是http數(shù)據(jù)包；或者判定是http數(shù)據(jù)包，但未在設(shè)定的時(shí)間內(nèi)收到審計(jì)系統(tǒng)發(fā)來的阻斷要求，則轉(zhuǎn)發(fā)該數(shù)據(jù)包；防火墻判定是http數(shù)據(jù)包，并且在設(shè)定的時(shí)間內(nèi)收到審計(jì)系統(tǒng)發(fā)來的阻斷要求，則進(jìn)行阻斷處理。
本發(fā)明的一種網(wǎng)絡(luò)安全設(shè)備聯(lián)動(dòng)的系統(tǒng)，包括部署在網(wǎng)絡(luò)側(cè)集線器與用戶主機(jī)側(cè)交換機(jī)之間的防火墻，以及并聯(lián)在所述集線器與交換機(jī)之間的審計(jì)系統(tǒng)；數(shù)據(jù)包從網(wǎng)絡(luò)側(cè)通過所述集線器后，被審計(jì)系統(tǒng)和防火墻同時(shí)截獲；防火墻判定不是http數(shù)據(jù)包；或者判定是http數(shù)據(jù)包，但未在設(shè)定的時(shí)間內(nèi)收到審計(jì)系統(tǒng)發(fā)來的阻斷要求，則向用戶主機(jī)側(cè)轉(zhuǎn)發(fā)該數(shù)據(jù)包；防火墻判定是http數(shù)據(jù)包，并且在設(shè)定的時(shí)間內(nèi)收到審計(jì)系統(tǒng)發(fā)來的阻斷
要求，則進(jìn)行阻斷處理。 本發(fā)明有益效果如下 由于本發(fā)明的系統(tǒng)結(jié)構(gòu)中防火墻與審計(jì)系統(tǒng)并聯(lián)，所以可同時(shí)截獲數(shù)據(jù)包。之后 通過防火墻的判斷數(shù)據(jù)包協(xié)議類型機(jī)制，以及定時(shí)緩存http數(shù)據(jù)包并等待審計(jì)系統(tǒng)的阻 斷要求機(jī)制，達(dá)到了在線阻斷不良鏈接，不會(huì)被用戶主機(jī)側(cè)接收的效果，進(jìn)而體現(xiàn)了阻斷技 術(shù)的時(shí)效性。


圖1為本發(fā)明實(shí)施例1中的系統(tǒng)結(jié)構(gòu)圖；
圖2為本發(fā)明實(shí)施例2中的方法步驟流程圖；
圖3為本發(fā)明實(shí)施例3中的流程圖。
具體實(shí)施例方式
為了解決現(xiàn)有網(wǎng)絡(luò)安全設(shè)備聯(lián)動(dòng)阻斷技術(shù)的時(shí)效性較差的問題，更為具體的是為
了解決網(wǎng)絡(luò)旁路審計(jì)設(shè)備通過防火墻的并行聯(lián)動(dòng)實(shí)現(xiàn)在線阻斷不良鏈接的時(shí)效性問題，本
發(fā)明提供了一種網(wǎng)絡(luò)安全設(shè)備聯(lián)動(dòng)的方法及系統(tǒng)。以下通過若干實(shí)施例具體說明。
參見圖l所示，本發(fā)明實(shí)施例1中的系統(tǒng)包括部署在網(wǎng)絡(luò)側(cè)集線器與用戶主機(jī)側(cè)
交換機(jī)之間的防火墻，以及并聯(lián)在所述集線器與交換機(jī)之間的審計(jì)系統(tǒng)(即審計(jì)系統(tǒng)以雙
臂并聯(lián)方式接入網(wǎng)絡(luò)，具有對集線器hub及對主交換機(jī)兩個(gè)旁路監(jiān)聽口 )。 數(shù)據(jù)包從網(wǎng)絡(luò)側(cè)通過所述集線器后，被審計(jì)系統(tǒng)和防火墻同時(shí)截獲。防火墻判斷
數(shù)據(jù)包是否是http數(shù)據(jù)包，若防火墻判定不是http數(shù)據(jù)包，則向用戶主機(jī)側(cè)正常轉(zhuǎn)發(fā)該數(shù)
據(jù)包。判定是http數(shù)據(jù)包，則做暫緩處理，將數(shù)據(jù)包暫存到一個(gè)暫存器中(可為先入先出
存儲(chǔ)器FIFO原則)，之后若未在設(shè)定的時(shí)間內(nèi)收到審計(jì)系統(tǒng)發(fā)來的阻斷要求，則向用戶主
機(jī)側(cè)正常轉(zhuǎn)發(fā)該數(shù)據(jù)包，同時(shí)清除暫存記錄；之后若在設(shè)定的時(shí)間內(nèi)收到審計(jì)系統(tǒng)發(fā)來的
阻斷要求，則進(jìn)行丟包或替代后轉(zhuǎn)發(fā)等阻斷處理，同時(shí)清除暫存記錄。審計(jì)系統(tǒng)判斷是否發(fā)
出阻斷要求的邏輯為拆接所述數(shù)據(jù)包；以拆接所得內(nèi)容與預(yù)設(shè)的內(nèi)容規(guī)則進(jìn)行匹配；發(fā)
現(xiàn)違反規(guī)則，則向防火墻發(fā)出阻斷請求，未發(fā)現(xiàn)違反規(guī)則，則不做聯(lián)動(dòng)處理。在防火墻中設(shè)
定的所述時(shí)間應(yīng)大于審計(jì)系統(tǒng)處理的時(shí)間與阻斷請求從審計(jì)系統(tǒng)到達(dá)防火墻的時(shí)間之和。
上述處理過程均以毫秒級計(jì)算，所以對用戶體驗(yàn)影響不大。 參見圖2所示，本發(fā)明實(shí)施例2中的方法包括下列主要步驟 Sl、數(shù)據(jù)包到達(dá)用戶主機(jī)之前被審計(jì)系統(tǒng)和防火墻同時(shí)截獲。 S2、防火墻判斷該數(shù)據(jù)包是否為http數(shù)據(jù)包，若是，則轉(zhuǎn)入S3，否則轉(zhuǎn)入S5。 S3、防火墻開始計(jì)時(shí)，判斷設(shè)定的時(shí)間內(nèi)是否收到審計(jì)系統(tǒng)發(fā)來的阻斷要求，若
是，則轉(zhuǎn)入S4，否則轉(zhuǎn)入S5。 S4、防火墻進(jìn)行阻斷處理，并終結(jié)流程。 S5、防火墻轉(zhuǎn)發(fā)該數(shù)據(jù)包，并終結(jié)流程。 參見圖3所示，本發(fā)明實(shí)施例3中的方法包括下列步驟 數(shù)據(jù)包同時(shí)到達(dá)防火墻及審計(jì)系統(tǒng)。
4
防火墻判斷數(shù)據(jù)包，如果該包是http協(xié)議的數(shù)據(jù)包，則做暫緩處理，將數(shù)據(jù)包暫存到一個(gè)暫存器中(FIFO原則)，假設(shè)該http數(shù)據(jù)包標(biāo)示為x，達(dá)到一定時(shí)間后(標(biāo)記為tx， 一般為數(shù)百毫秒)，如未收到審計(jì)系統(tǒng)的阻斷要求，則進(jìn)行正常轉(zhuǎn)發(fā)處理，同時(shí)清除暫存記錄，如該段時(shí)間內(nèi)收到審計(jì)系統(tǒng)發(fā)來的阻斷要求，則進(jìn)行丟包或替代后轉(zhuǎn)發(fā)處理，同時(shí)清除暫存記錄。如果該包不是http協(xié)議的數(shù)據(jù)包，則進(jìn)行正常轉(zhuǎn)發(fā)處理。
審計(jì)系統(tǒng)同時(shí)截獲到該數(shù)據(jù)包x，拆接包進(jìn)行內(nèi)容規(guī)則匹配，處理時(shí)間為mx(通常為數(shù)百毫秒)，一旦發(fā)現(xiàn)違反規(guī)則，則向防火墻發(fā)出阻斷請求，該請求從審計(jì)系統(tǒng)到達(dá)防火墻的時(shí)間為nx (通常小于10毫秒)，如未發(fā)現(xiàn)數(shù)據(jù)包x違反規(guī)則，則不做聯(lián)動(dòng)處理。
通常情況下，只要tx > mx+nx，就能達(dá)到時(shí)效性要求，在數(shù)據(jù)包未轉(zhuǎn)發(fā)到用戶主機(jī)前完成阻斷。網(wǎng)頁延時(shí)數(shù)百毫秒對用戶體驗(yàn)影響不大。 顯然，本領(lǐng)域的技術(shù)人員可以對本發(fā)明進(jìn)行各種改動(dòng)和變型而不脫離本發(fā)明的精神和范圍。這樣，倘若本發(fā)明的這些修改和變型屬于本發(fā)明權(quán)利要求及其等同技術(shù)的范圍之內(nèi)，則本發(fā)明也意圖包含這些改動(dòng)和變型在內(nèi)。
權(quán)利要求
一種網(wǎng)絡(luò)安全設(shè)備聯(lián)動(dòng)的方法，其特征在于，包括下列步驟數(shù)據(jù)包到達(dá)用戶主機(jī)之前被審計(jì)系統(tǒng)和防火墻同時(shí)截獲；防火墻判定不是超文本傳輸協(xié)議http數(shù)據(jù)包；或者判定是http數(shù)據(jù)包，但未在設(shè)定的時(shí)間內(nèi)收到審計(jì)系統(tǒng)發(fā)來的阻斷要求，則轉(zhuǎn)發(fā)該數(shù)據(jù)包；防火墻判定是http數(shù)據(jù)包，并且在設(shè)定的時(shí)間內(nèi)收到審計(jì)系統(tǒng)發(fā)來的阻斷要求，則進(jìn)行阻斷處理。
2. 如權(quán)利要求1所述網(wǎng)絡(luò)安全設(shè)備聯(lián)動(dòng)的方法，其特征在于，審計(jì)系統(tǒng)判斷是否發(fā)出 所述阻斷要求的過程包括拆接所述數(shù)據(jù)包；以拆接所得內(nèi)容與預(yù)設(shè)的內(nèi)容規(guī)則進(jìn)行匹配；發(fā)現(xiàn)違反規(guī)則，則向防火墻發(fā)出阻斷請求，未發(fā)現(xiàn)違反規(guī)則，則不做聯(lián)動(dòng)處理。
3. 如權(quán)利要求l所述網(wǎng)絡(luò)安全設(shè)備聯(lián)動(dòng)的方法，其特征在于，所述阻斷處理包括丟包 處理，或替代后轉(zhuǎn)發(fā)處理。
4. 如權(quán)利要求1所述網(wǎng)絡(luò)安全設(shè)備聯(lián)動(dòng)的方法，其特征在于，所述設(shè)定的時(shí)間大于審 計(jì)系統(tǒng)處理的時(shí)間與阻斷請求從審計(jì)系統(tǒng)到達(dá)防火墻的時(shí)間之和。
5. —種網(wǎng)絡(luò)安全設(shè)備聯(lián)動(dòng)的系統(tǒng)，其特征在于，包括部署在網(wǎng)絡(luò)側(cè)集線器與用戶主 機(jī)側(cè)交換機(jī)之間的防火墻，以及并聯(lián)在所述集線器與交換機(jī)之間的審計(jì)系統(tǒng)；數(shù)據(jù)包從網(wǎng)絡(luò)側(cè)通過所述集線器后，被審計(jì)系統(tǒng)和防火墻同時(shí)截獲； 防火墻判定不是http數(shù)據(jù)包；或者判定是http數(shù)據(jù)包，但未在設(shè)定的時(shí)間內(nèi)收到審計(jì)系統(tǒng)發(fā)來的阻斷要求，則向用戶主機(jī)側(cè)轉(zhuǎn)發(fā)該數(shù)據(jù)包；防火墻判定是http數(shù)據(jù)包，并且在設(shè)定的時(shí)間內(nèi)收到審計(jì)系統(tǒng)發(fā)來的阻斷要求，則進(jìn)行阻斷處理。
6. 如權(quán)利要求5所述網(wǎng)絡(luò)安全設(shè)備聯(lián)動(dòng)的系統(tǒng)，其特征在于，所述審計(jì)系統(tǒng)判斷是否 發(fā)出阻斷要求的邏輯為拆接所述數(shù)據(jù)包；以拆接所得內(nèi)容與預(yù)設(shè)的內(nèi)容規(guī)則進(jìn)行匹配； 發(fā)現(xiàn)違反規(guī)則，則向防火墻發(fā)出阻斷請求，未發(fā)現(xiàn)違反規(guī)則，則不做聯(lián)動(dòng)處理。
7. 如權(quán)利要求5所述網(wǎng)絡(luò)安全設(shè)備聯(lián)動(dòng)的系統(tǒng)，其特征在于，所述防火墻的阻斷處理 包括丟包處理，或替代后轉(zhuǎn)發(fā)處理。
8. 如權(quán)利要求5所述網(wǎng)絡(luò)安全設(shè)備聯(lián)動(dòng)的系統(tǒng)，其特征在于，在防火墻中設(shè)定的所述 時(shí)間大于審計(jì)系統(tǒng)處理的時(shí)間與阻斷請求從審計(jì)系統(tǒng)到達(dá)防火墻的時(shí)間之和。
全文摘要
本發(fā)明公開了一種網(wǎng)絡(luò)安全設(shè)備聯(lián)動(dòng)的方法及系統(tǒng)，涉及網(wǎng)絡(luò)安全領(lǐng)域，用以解決現(xiàn)有網(wǎng)絡(luò)安全設(shè)備聯(lián)動(dòng)阻斷技術(shù)的時(shí)效性較差的問題。方法包括數(shù)據(jù)包到達(dá)用戶主機(jī)之前被審計(jì)系統(tǒng)和防火墻同時(shí)截獲；防火墻判定不是http數(shù)據(jù)包；或者判定是http數(shù)據(jù)包，但未在設(shè)定的時(shí)間內(nèi)收到審計(jì)系統(tǒng)發(fā)來的阻斷要求，則轉(zhuǎn)發(fā)該數(shù)據(jù)包；防火墻判定是http數(shù)據(jù)包，并且在設(shè)定的時(shí)間內(nèi)收到審計(jì)系統(tǒng)發(fā)來的阻斷要求，則進(jìn)行阻斷處理。系統(tǒng)包括部署在網(wǎng)絡(luò)側(cè)集線器與用戶主機(jī)側(cè)交換機(jī)之間的防火墻，以及并聯(lián)在所述集線器與交換機(jī)之間的審計(jì)系統(tǒng)。
文檔編號(hào)H04L29/06GK101789941SQ201010104928
公開日2010年7月28日 申請日期2010年1月29日 優(yōu)先權(quán)日2010年1月29日
發(fā)明者柯宗慶, 柯宗貴 申請人:藍(lán)盾信息安全技術(shù)股份有限公司