本發(fā)明涉及網(wǎng)絡(luò)安全�,具體為一種基于數(shù)據(jù)包的網(wǎng)絡(luò)設(shè)備隱形防護(hù)方法。
背景技術(shù):
::1����、隨著信息技術(shù)的迅猛發(fā)展和智能設(shè)備的普及,網(wǎng)絡(luò)安全變得越來(lái)越重要�,面臨的挑戰(zhàn)也越來(lái)越復(fù)雜。2���、在復(fù)雜多變的網(wǎng)絡(luò)環(huán)境中���,黑客攻擊日益頻繁。部分重點(diǎn)保護(hù)設(shè)備�,有極高的安全性和隱私性需求,而目前的網(wǎng)絡(luò)安全防護(hù)技術(shù)存在各種各樣的問(wèn)題�����,也并不能百分百保證網(wǎng)絡(luò)的安全性和隱私性,因此�,需要在現(xiàn)有的網(wǎng)絡(luò)安全防護(hù)技術(shù)基礎(chǔ)上結(jié)合使用更多更新的網(wǎng)絡(luò)安全防護(hù)技術(shù),加強(qiáng)網(wǎng)絡(luò)的安全性和隱私性���。3�����、新的病毒、漏洞不斷出現(xiàn)��,各類網(wǎng)絡(luò)攻擊事件層出不窮����,如何有效進(jìn)行網(wǎng)絡(luò)安全防護(hù),已經(jīng)成了網(wǎng)絡(luò)安全行業(yè)需要不斷思考的問(wèn)題�����。4�、然而,無(wú)論是黑客攻擊還是未授權(quán)的訪問(wèn)��,在網(wǎng)絡(luò)底層����,最終都是以數(shù)據(jù)包的形式來(lái)傳輸命令和數(shù)據(jù)����。如果能夠在網(wǎng)絡(luò)傳輸?shù)年P(guān)鍵節(jié)點(diǎn)進(jìn)行數(shù)據(jù)包的過(guò)濾��,識(shí)別出有問(wèn)題的數(shù)據(jù)包并阻止其傳輸����,這將大大提高網(wǎng)絡(luò)安全性。然而���,面對(duì)海量傳輸?shù)臄?shù)據(jù)包���,如何進(jìn)行有效的識(shí)別、過(guò)濾��,避免誤攔截���,這正是其中的重點(diǎn)��。5�、在以往的網(wǎng)絡(luò)安全防護(hù)策略中�����,一般包括但不限于以下幾種方法:6、(1)普通防火墻:通過(guò)合理配置防火墻規(guī)則(ip�����、協(xié)議或端口等)��,可以允許(或屏蔽)外界對(duì)網(wǎng)絡(luò)設(shè)備的訪問(wèn)����,阻斷其它不必要的流量進(jìn)出網(wǎng)絡(luò)。7����、(2)入侵檢測(cè)和防御系統(tǒng)(ids/ips):監(jiān)控所有進(jìn)出網(wǎng)絡(luò)的流量�,通過(guò)分析網(wǎng)絡(luò)行為模式和特征規(guī)則匹配來(lái)檢測(cè)網(wǎng)絡(luò)中的攻擊和異常,可以對(duì)有威脅的流量進(jìn)行告警甚至阻斷�。8、(3)端口隱藏:將需要對(duì)外開(kāi)放的端口設(shè)置為非常用端口���,減少被掃描和攻擊的風(fēng)險(xiǎn)(比如ssh服務(wù)默認(rèn)端口為22�,如果修改為其它端口��,就可以防止掃描工具直接找到ssh服務(wù))。9�、(4)ip偽裝:使用vpn、代理服務(wù)或nat地址轉(zhuǎn)換等多種方式�����,可以有效隱藏設(shè)備的真實(shí)ip地址����,減少被攻擊的風(fēng)險(xiǎn)。10���、以往的網(wǎng)絡(luò)安全防護(hù)策略中���,通過(guò)一系列網(wǎng)絡(luò)安全技術(shù)的結(jié)合使用,在很多場(chǎng)景中都能在一定程度上保護(hù)網(wǎng)絡(luò)設(shè)備���,減少被攻擊的風(fēng)險(xiǎn)���。但這些措施也并不能百分百保證設(shè)備的安全性。尤其是在存儲(chǔ)了重要數(shù)據(jù)或存在關(guān)鍵服務(wù)的網(wǎng)絡(luò)環(huán)境中���,需要更為嚴(yán)格的保護(hù)機(jī)制�,如果僅采用目前已有的技術(shù)都將存在如下的缺點(diǎn):11、(1)普通防火墻:12�����、普通防火墻中需要設(shè)置防火墻規(guī)則�,才能實(shí)現(xiàn)允許(或屏蔽)特定的ip、協(xié)議或端口進(jìn)行訪問(wèn)的操作��。然而規(guī)則的篩選需要一定的工作量�,時(shí)間上會(huì)存在延后性,同時(shí)針對(duì)規(guī)則的設(shè)置一般也需要專門的管理員進(jìn)行操作���。13��、(2)入侵檢測(cè)和防御系統(tǒng)(ids/ips):14��、入侵檢測(cè)和防御系統(tǒng)(ids/ips)的缺點(diǎn)和普通防火墻類似�����,也需要設(shè)置規(guī)則,同時(shí)網(wǎng)絡(luò)行為模式和特征規(guī)則檢測(cè)都對(duì)規(guī)則的數(shù)量有一定的要求�,大量的規(guī)則檢測(cè)必將對(duì)網(wǎng)絡(luò)延遲造成一定影響。面對(duì)不斷出現(xiàn)新的病毒和漏洞�����,規(guī)則的篩選存在很大的延后性,無(wú)法防御新型攻擊�。漏報(bào)、誤報(bào)和影響網(wǎng)絡(luò)延遲是入侵檢測(cè)和防御系統(tǒng)(ids/ips)始終無(wú)法避免的問(wèn)題�����。15���、(3)端口隱藏:16���、端口隱藏主要是和其它防護(hù)方法結(jié)合使用,它本身而言��,雖然可以減少被掃描和攻擊的風(fēng)險(xiǎn)����,但只要花上足夠多的時(shí)間,挨個(gè)掃描�,這種方法并沒(méi)有太大的防護(hù)作用。17�、(4)ip偽裝:18、ip偽裝也主要是和其它防護(hù)方法結(jié)合使用,保護(hù)隱私���,減少被攻擊的風(fēng)險(xiǎn)����,雖然真實(shí)ip沒(méi)有暴露��,但映射的虛擬ip還是暴露在網(wǎng)絡(luò)中���。技術(shù)實(shí)現(xiàn)思路1�、針對(duì)上述問(wèn)題���,本發(fā)明的目的在于提供一種基于數(shù)據(jù)包的網(wǎng)絡(luò)設(shè)備隱形防護(hù)方法���,2、通過(guò)嚴(yán)格的安全認(rèn)證機(jī)制�,可以有效防止各類網(wǎng)絡(luò)掃描探測(cè)和追蹤,提高網(wǎng)絡(luò)設(shè)備的安全性和隱私性����,是對(duì)現(xiàn)有網(wǎng)絡(luò)安全技術(shù)的強(qiáng)有力補(bǔ)充�����。技術(shù)方案如下:3、一種基于數(shù)據(jù)包的網(wǎng)絡(luò)設(shè)備隱形防護(hù)方法��,包括以下步驟:4�、步驟1:隱形服務(wù)通過(guò)iptables屏蔽來(lái)自網(wǎng)絡(luò)中的包含ip的所有數(shù)據(jù)包,通過(guò)af_packet�,在內(nèi)核協(xié)議棧之前監(jiān)聽(tīng)并捕獲所有數(shù)據(jù)包;5����、步驟2:用戶有訪問(wèn)需求時(shí)通過(guò)特定激活工具向待訪問(wèn)的網(wǎng)絡(luò)設(shè)備發(fā)送自定義協(xié)議類型的激活數(shù)據(jù)包;6���、步驟3:隱形服務(wù)將通過(guò)af_packet捕獲的數(shù)據(jù)包進(jìn)行協(xié)議識(shí)別����,如果識(shí)別到是自定義的協(xié)議類型��,則解密激活數(shù)據(jù)包內(nèi)容并進(jìn)行內(nèi)容校驗(yàn)�;校驗(yàn)成功后通過(guò)iptables將發(fā)送激活數(shù)據(jù)包的用戶ip加入過(guò)濾白名單,使所述用戶能夠正常訪問(wèn)所述網(wǎng)絡(luò)設(shè)備��;7�����、步驟4:隱形服務(wù)進(jìn)行定時(shí)檢查,將超過(guò)指定時(shí)間沒(méi)有再次發(fā)送激活包的用戶視作無(wú)效用戶���,并將所述無(wú)效用戶的ip從過(guò)濾白名單中移除�,使其無(wú)法繼續(xù)發(fā)現(xiàn)和訪問(wèn)網(wǎng)絡(luò)設(shè)備�。8、進(jìn)一步的��,所述步驟1中���,通過(guò)af_packet捕獲數(shù)據(jù)包具體為:在linux系統(tǒng)中使用af_packet套接字越過(guò)內(nèi)核協(xié)議棧直接訪問(wèn)鏈路層的數(shù)據(jù)包�����;在步驟3中��,若識(shí)別到的是自定義的協(xié)議類型��,則通過(guò)私鑰對(duì)數(shù)據(jù)內(nèi)容進(jìn)行解密��,最后根據(jù)解密后的內(nèi)容驗(yàn)證數(shù)據(jù)有效性����;若識(shí)別到的是非自定義的協(xié)議類型,則不做處理��;驗(yàn)證方法為:由于激活數(shù)據(jù)包加密的內(nèi)容為數(shù)據(jù)包本身的ip和端口組成的字符串����,故在進(jìn)行有效性驗(yàn)證時(shí)��,隱形服務(wù)將解密后的內(nèi)容與所述數(shù)據(jù)包本身的ip和端口進(jìn)行比較�����,相等則驗(yàn)證通過(guò)����。9、更進(jìn)一步的��,所述步驟2中����,用戶有訪問(wèn)需求時(shí)通過(guò)特定激活工具進(jìn)行認(rèn)證激活,激活工具向網(wǎng)絡(luò)設(shè)備發(fā)送自定義協(xié)議類型的激活數(shù)據(jù)包��,所述自定義協(xié)議類型的激活數(shù)據(jù)包基于ip層之上�����,在linux系統(tǒng)中采用原始套接字的方式進(jìn)行發(fā)送;發(fā)送的數(shù)據(jù)內(nèi)容使用公鑰進(jìn)行加密�,網(wǎng)絡(luò)設(shè)備接收到所述激活數(shù)據(jù)包后使用對(duì)應(yīng)的私鑰進(jìn)行解密。10��、更進(jìn)一步的���,采用的iptables過(guò)濾數(shù)據(jù)包包括:11��、在步驟1中�,網(wǎng)絡(luò)設(shè)備在啟動(dòng)隱形服務(wù)后���,通過(guò)iptables命令配置linux內(nèi)核的netfilter防火墻��,在數(shù)據(jù)包進(jìn)入linux內(nèi)核協(xié)議棧時(shí)��,屏蔽所有ip數(shù)據(jù)包�,命令為:iptables?-t?mangle?-a?prerouting?-p?ip?-j?drop��;12��、在步驟3中��,通過(guò)af_packet捕獲到的激活數(shù)據(jù)包內(nèi)容校驗(yàn)成功后,通過(guò)iptables將發(fā)送該激活包的用戶ip添加到過(guò)濾白名單��,命令為:iptables?-t?mangle?-iprerouting-s<ip>-j?accept�;13、在步驟4中�,進(jìn)行定時(shí)檢查時(shí)將超過(guò)指定時(shí)間未再次發(fā)送激活包的用戶ip從過(guò)濾白名單移除�����,命令為:iptables?-t?mangle?-d?prerouting-s<ip>-j?accept����。14、本發(fā)明的有益效果是:15���、1)本發(fā)明在網(wǎng)絡(luò)底層通過(guò)防火墻屏蔽所有ip層數(shù)據(jù)包�����,并使用af_packet在內(nèi)核協(xié)議棧之前監(jiān)聽(tīng)所有數(shù)據(jù)包�,實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備隱形�����,對(duì)于所有未經(jīng)認(rèn)證激活的用戶都無(wú)法發(fā)現(xiàn)和訪問(wèn)。16���、2)本發(fā)明只有極少部分擁有權(quán)限的用戶�����,無(wú)需通過(guò)管理員操作�����,當(dāng)用戶使用特定激活工具發(fā)送激活數(shù)據(jù)包到網(wǎng)絡(luò)設(shè)備時(shí)��,隱形服務(wù)將通過(guò)af_packet捕獲到該激活數(shù)據(jù)包�����,并識(shí)別�、驗(yàn)證��,驗(yàn)證成功后通過(guò)防火墻將該用戶ip加入過(guò)濾白名單���,允許用戶訪問(wèn)網(wǎng)絡(luò)設(shè)備�。17、3)本發(fā)明通過(guò)這種網(wǎng)絡(luò)設(shè)備隱形的方法����,在源頭上限制了網(wǎng)絡(luò)流量的進(jìn)出,實(shí)現(xiàn)了對(duì)網(wǎng)絡(luò)設(shè)備的嚴(yán)格保護(hù)�����,是對(duì)現(xiàn)有網(wǎng)絡(luò)安全防護(hù)技術(shù)的一種強(qiáng)有力的補(bǔ)充���。當(dāng)前第1頁(yè)12當(dāng)前第1頁(yè)12