技术领域
[0001] 本
发明涉及信息安全领域,具体涉及一种基于用户业务系统的防火墙控制方法和系统。
背景技术
[0002] 互联网技术的快速发展以及便捷使用的特点,已使其成为人们工作生活信息交流的最广泛的平台之一,同时,也使得用户信息暴露在被攻击和被窃取的
风险之中.[0003] 传统的防火墙/安全网关可以完成3~4层网络的
访问控制,但较难形成7层也就是网络应用层的有效防护。当前广泛讨论的下一代防火墙、应用防火墙、NGFW、UTM、上网行为管理产品,可以通过深度应用网络协议分析(DPI)来识别具体的应用并予以防护.[0004] 在现实工作中,存在多个不同安全需求的业务系统,这些业务如果采用相同的应用层网络协议,仅依赖针对网络传输的应用协议报文的分析检测,无法实现按照业务安全需求做细粒度的访问控制。
[0005] 另一方面,业务系统如果采用了多种网络应用协议,安全管理员只能通过人工方式
整理这种对应关系,并通过在防火墙/安全网关上实施不同应用协议的多条安全策略来实现访问控制,防火墙/安全网关策略和用户业务系统的关联很难理解也很难维护,提高了运维成本增加了出错的可能性。
[0006] 经对
现有技术的文献检索发现,中国
专利申请号:CN103209181A,
发明名称:一种linux网络架构下应用连接防火墙的实现方法,提供了一种linux网络架构下应用连接防火墙的实现方法,包括步骤:a:系统启动时,正则表达式匹配引擎模
块通过调用初始化
接口函数对应用层的特征码配置文件进行初始化处理;b:数据报文到达连接
跟踪模块时,系统将连接跟踪模块进行扩展处理;c:数据报文经网络层、传输层连接过滤处理后,由应用层对数据报文进行匹配分析处理连接。它提供的linux网络架构下应用连接防火墙\安全网关的实现方法,解决了现有的Netfilter架构无法识别七层应用的问题,实现对数据报文进行从IP层到应用层的全方位识别和控制,但是,该发明针对网络传输的报文协议进行解析处理,不能理解哪些网络协议属于哪种用户业务系统,也无法做相应的控制。中国专利申请号:CN101160774A,发明名称:基于下一代网络业务的防火墙控制系统及方法.提供了一种基于NGN业务的防火墙控制系统及方法。由业务控制设备中的应用层代理模块解析应用层信令,进行信令流的安全检测,确定业务
媒体流的安全级别需求信息,并提供给策略决策功能实体;策略决策功能实体根据媒体流的安全级别需求信息以及保存的策略信息确定相应的媒体流的安全级别控制信息,并提供给网络边界设备;网络边界设备中的基于包过滤的防火墙功能模块根据媒体流的安全级别控制信息
对流经的业务媒体流进行安全检测。该发明使得基于包过滤的防火墙可以执行NGN每用户每会话细粒度的安全分级处理,可根据用户需求和会话类型动态选择不同安全级别的包过滤工作方式进行媒体流的安全检测,防止网络攻击。但是,该发明也是基于到达防火墙的正在网络中传输的网络报文进行匹配分析,识别应用协议或应用信令,从而根据安全级别的需求进而网络报文的处理,如果两个业务系统的报文协议相同,就无法做区别控制。
发明内容
[0007] 为了解决上述问题,本发明提出了一种基于用户业务系统的防火墙控制方法和系统,能够实现基于用户业务系统的防火墙级别的安全访问控制,增强了用户安全管理的易用性。
[0008] 为了达到上述目的,本发明提出了一种基于用户业务系统的防火墙控制方法,该方法包括:
[0009] 接收客户端发送的包含一个或多个业务系统标识和业务系统网络信息的网络
请求信息。
[0010] 将网络请求信息中的业务系统标识与预置的一个或多个不同的业务安全访问控制策略中包含的业务系统标识一一匹配;其中,每个业务安全访问控制策略中包含一个或多个业务系统标识。
[0011] 当在第一业务安全访问控制策略中找到与网络请求信息中包含的业务系统标识相匹配的业务系统标识时,检测第一业务安全访问控制策略中已经建立的网络连接中是否存在与业务系统网络信息相匹配的网络连接;根据检测结果以及第一业务安全访问控制策略中针对该网络连接的操作指令,建立完成该操作指令的一个或多个业务安全访问控制子策略。
[0012] 基于业务安全访问控制子策略处理业务系统向防火墙传输的报文。
[0013] 优选地,根据检测结果以及第一业务安全访问控制策略中针对该网络连接的操作指令,建立完成该操作指令的一个或多个业务安全访问控制子策略包括:
[0014] 如果已经存在相匹配的网络连接,则根据第一业务安全访问控制策略中针对网络连接的不同的操作指令,建立一个或多个不同的业务安全访问控制子策略;不同的操作指令包括:继续连接该网络连接、断开该网络连接或者部分断开该网络连接。
[0015] 如果不存在相匹配的网络连接,则根据第一业务安全访问控制策略中的建立与业务系统网络信息相匹配的网络连接的操作指令建立一个或多个业务安全访问控制子策略,或者,根据第一业务安全访问控制策略中的断开与业务系统网络信息相匹配的网络连接的操作指令忽略该网络请求信息。
[0016] 优选地,业务安全访问控制策略和业务安全访问控制子策略中均包含以下信息的一种或多种:匹配条件、网络连接信息以及与所述网络连接信息相对应的操作指令。
[0017] 优选地,业务安全访问控制策略中的匹配条件包括以下一种或多种:业务系统标识、网络协议IP地址、服务端口、网络协议、用户或用户组、时间、媒体访问地址MAC地址和网络访问统一资源
定位符URL。
[0018] 业务安全访问控制子策略的匹配条件包括以下一种或多种:IP地址、服务端口、网络协议、用户或用户组、时间、媒体访问地址MAC地址和网络访问URL。
[0019] 优选地,业务系统标识包括以下一种或多种:每个
进程的厂商名称、每个进程的系统名称注册信息和每个进程对应的主窗口的窗口标题。
[0020] 业务系统网络信息包括以下一种或多种:网络连接的协议、网络源端口、网络目的端口、网络源地址和网络目的地址。
[0021] 为了达到上述目的,本发明还提出了一种基于用户业务系统的防火墙控制系统,该系统包括:接收模块、匹配模块、检测模块、构建模块和处理模块。
[0022] 接收模块、用于接收客户端发送的包含一个或多个业务系统标识和业务系统网络信息的网络请求信息。
[0023] 匹配模块、用于将网络请求信息中的业务系统标识与预置的一个或多个不同的业务安全访问控制策略中包含的业务系统标识一一匹配;其中,每个业务安全访问控制策略中包含一个或多个业务系统标识。
[0024] 检测模块、用于当在第一业务安全访问控制策略中找到与该网络请求信息中包含的业务系统标识相匹配的业务系统标识时,检测第一业务安全访问控制策略中已经建立的网络连接中是否存在与业务系统网络信息相匹配的网络连接。
[0025] 构建模块,用于根据检测结果以及第一业务安全访问控制策略中针对该网络连接的操作指令,建立完成该操作指令的一个或多个业务安全访问控制子策略。
[0026] 处理模块,用于基于业务安全访问控制子策略处理业务系统向防火墙传输的报文。
[0027] 优选地,检测模块根据检测结果以及第一业务安全访问控制策略中针对该网络连接的操作指令,建立完成该操作指令的一个或多个业务安全访问控制子策略是指:
[0028] 如果已经存在相匹配的网络连接,则根据第一业务安全访问控制策略中针对网络连接的不同的操作指令,建立一个或多个不同的业务安全访问控制子策略;不同的操作指令包括:继续连接所述网络连接、断开所述网络连接或者部分断开所述网络连接。
[0029] 如果不存在相匹配的网络连接,则根据第一业务安全访问控制策略中的建立与业务系统网络信息相匹配的网络连接的操作指令建立一个或多个业务安全访问控制子策略,或者,根据第一业务安全访问控制策略中的断开与业务系统网络信息相匹配的网络连接的操作指令忽略该网络请求信息。
[0030] 优选地,业务安全访问控制策略和业务安全访问控制子策略中均包含以下信息的一种或多种:匹配条件、网络连接信息以及与网络连接信息相对应的操作指令。
[0031] 优选地,业务安全访问控制策略中的匹配条件包括以下一种或多种:业务系统标识、网络协议IP地址、服务端口、网络协议、用户或用户组、时间、媒体访问地址MAC地址和网络访问统一资源定位符URL。
[0032] 业务安全访问控制子策略的匹配条件包括以下一种或多种:IP地址、服务端口、网络协议、用户或用户组、时间、媒体访问地址MAC地址和网络访问URL。
[0033] 优选地,业务系统标识包括以下一种或多种:每个进程的厂商名称、每个进程的系统名称注册信息和每个进程对应的主窗口的窗口标题。
[0034] 业务系统网络信息包括以下一种或多种:网络连接的协议、网络源端口、网络目的端口、网络源地址和网络目的地址。
[0035] 与现有技术相比,本发明包括:接收客户端发送的包含一个或多个业务系统标识和业务系统网络信息的网络请求信息。将网络请求信息中的业务系统标识与预置的一个或多个不同的业务安全访问控制策略中包含的业务系统标识一一匹配;其中,每个业务安全访问控制策略中包含一个或多个业务系统标识。当在第一业务安全访问控制策略中找到与网络请求信息中包含的业务系统标识相匹配的业务系统标识时,检测第一业务安全访问控制策略中已经建立的网络连接中是否存在与业务系统网络信息相匹配的网络连接;根据检测结果以及第一业务安全访问控制策略中针对该网络连接的操作指令,建立完成该操作指令的一个或多个业务安全访问控制子策略。基于业务安全访问控制子策略处理业务系统向防火墙传输的报文。通过本发明的方案,能够实现基于用户业务系统的防火墙级别的安全访问控制,增强了用户安全管理的易用性。
附图说明
[0036] 下面对本发明
实施例中的附图进行说明,实施例中的附图是用于对本发明的进一步理解,与
说明书一起用于解释本发明,并不构成对本发明保护范围的限制。
[0037] 图1为本发明的基于用户业务系统的防火墙控制方法
流程图;
[0038] 图2为本发明的基于用户业务系统的防火墙控制系统
框图。
具体实施方式
[0039] 为了便于本领域技术人员的理解,下面结合附图对本发明作进一步的描述,并不能用来限制本发明的保护范围。
[0040] 本发明的目的在于针对已有实现技术和现有发明的不足,提出了一种基于用户业务系统的网络安全网关和防火墙的控制系统及方法,能够通过用户的终端上安装的客户端分析用户业务系统通信所需要的网络协议特征,并把特征传递到网关或防火墙设备,网络安全网关或防火墙系统根据管理员预设的基于用户业务系统的访问控制策略处理当前的网络连接和流量。
[0041] 需要说明的是,在以下内容中,虽然都是以防火墙来对本发明的方案进行描述,但本发明方案同样适用于网络安全网络。并且,在本发明实施例中,防火墙/安全网关系统,应该理解为包含但不限于以下任意一种:传统的防火墙、传统的安全网关、下一代防火墙、应用防火墙,入侵防护系统、入侵防御系统、病毒防火墙、病毒安全网关、上网行为管理等产品形态。
[0042] 具体地,本发明提出了一种基于用户业务系统的防火墙控制方法,如图1所示,该方法包括:
[0043] S101、接收客户端发送的包含一个或多个业务系统标识和业务系统网络信息的网络请求信息。
[0044] 优选地,业务系统标识包括以下一种或多种:每个进程的厂商名称、每个进程的系统名称注册信息和每个进程对应的主窗口的窗口标题。
[0045] 业务系统网络信息包括以下一种或多种:网络连接的协议、网络源端口、网络目的端口、网络源地址和网络目的地址。
[0046] 在使用本发明方案之前,需要在用户的终端上安装客户端
软件,用户访问网络时,客户端向防火墙或安全网关系统发送具有业务系统标识和业务系统网络信息,即,该业务系统正在使用的一个或多个网络使用特征(例如:网络连接的协议、网络源端口、网络目的端口、网络源地址、网络目的地址等信息)的网络请求信息到防火墙或安全网关系统。客户端软件会获取每个进程的厂商名称和系统名称注册信息,进程对应的主窗口的窗口标题,并用这3个信息组合生成业务系统标识。并且,客户端软件遍历属于相同业务系统标识的进程对应的所有线程或进程实例,获取本进程当前打开的所有套接字socks接口,读取传输协议、网络源目的地址,源目的端口等信息,生成业务系统网络信息。
[0047] S102、将网络请求信息中的业务系统标识与预置的一个或多个不同的业务安全访问控制策略中包含的业务系统标识一一匹配;其中,每个业务安全访问控制策略中包含一个或多个业务系统标识。
[0048] 在本发明实施例中,管理员需要在防火墙和/或安全网关系统上预先配置业务安全访问控制策略。
[0049] 优选地,业务安全访问控制策略和业务安全访问控制子策略中均包含以下信息的一种或多种:匹配条件、网络连接信息以及与所述网络连接信息相对应的操作指令。
[0050] 优选地,业务安全访问控制策略中的匹配条件包括以下一种或多种:业务系统标识、网络协议IP地址、服务端口、网络协议、用户或用户组、时间、媒体访问地址MAC地址和网络访问统一资源定位符URL。
[0051] 其中,业务安全访问控制策略中可以包含业务系统标识和/或业务系统标识的预留位。
[0052] S103、当在第一业务安全访问控制策略中找到与网络请求信息中包含的业务系统标识相匹配的业务系统标识时,检测第一业务安全访问控制策略中已经建立的网络连接中是否存在与业务系统网络信息相匹配的网络连接;根据检测结果以及第一业务安全访问控制策略中针对该网络连接的操作指令,建立完成该操作指令的一个或多个业务安全访问控制子策略。
[0053] 优选地,根据检测结果以及第一业务安全访问控制策略中针对该网络连接的操作指令,建立完成该操作指令的一个或多个业务安全访问控制子策略包括:
[0054] 情况一、如果已经存在相匹配的网络连接,则根据第一业务安全访问控制策略中针对网络连接的不同的操作指令,建立一个或多个不同的业务安全访问控制子策略;不同的操作指令包括:继续连接该网络连接、断开该网络连接或者部分断开该网络连接。当然,操作指令包含但不限于上述内容,其可以是用户所需要的、可实施的任何命令信息。
[0055] 其中,在本发明实施例中,根据不同的操作指令建立一个或多个不同的业务安全访问控制子策略是指:
[0056] 当操作指令为继续连接该网络连接时,防火墙会根据业务系统标识、IP地址、服务端口、网络协议、用户或用户组、时间、MAC地址和网络访问URL等信息,建立一条或多条不同的源端地址到不同的目的端的地址的具体的网络连接通道,并且为每条网络连接通道设置相应的匹配条件,以备后续对该连接通道进行快速查找。
[0057] 当操作指令为断开该网络连接时,防火墙会根据业务系统标识、IP地址、服务端口、网络协议、用户或用户组、时间、MAC地址和网络访问URL等信息,将该网络连接中的一条或多条不同的源端地址到不同的目的端的地址的具体的网络连接通道一一设置为阻断状态,并且每条网络连接通道同样设置有相应的匹配条件。
[0058] 当操作指令为部分断开该网络连接时,防火墙会根据业务系统标识、IP地址、服务端口、网络协议、用户或用户组、时间、MAC地址和网络访问URL等信息,将该网络连接中的一条或多条不同的源端地址到不同的目的端的地址的具体的网络连接通道中的一部分,根据该操作指令中的具体命令(如,源端地址1到目的端的地址3之间的通道断开),设置为阻断状态,并且在该方案中,每条网络连接通道同样设置有相应的匹配条件。
[0059] 情况二、如果不存在相匹配的网络连接,则根据第一业务安全访问控制策略中的建立与业务系统网络信息相匹配的网络连接的操作指令建立一个或多个业务安全访问控制子策略,或者,根据第一业务安全访问控制策略中的断开与业务系统网络信息相匹配的网络连接的操作指令忽略该网络请求信息。
[0060] 其中,根据第一业务安全访问控制策略中的建立与业务系统网络信息相匹配的网络连接的操作指令建立一个或多个业务安全访问控制子策略是指:
[0061] 防火墙会根据业务系统标识、IP地址、服务端口、网络协议、用户或用户组、时间、MAC地址和网络访问URL等信息,建立一条或多条不同的源端地址到不同的目的端的地址的具体的网络连接通道,并且为每条网络连接通道设置相应的匹配条件,以备后续对该连接通道进行快速查找。
[0062] 需要说明的是,业务安全访问控制子策略的匹配条件包括以下一种或多种:IP地址、服务端口、网络协议、用户或用户组、时间、媒体访问地址MAC地址和网络访问URL。
[0063] S104、基于业务安全访问控制子策略处理业务系统向防火墙传输的报文。
[0064] 在本发明实施例中,业务安全访问控制子策略建立以后,业务系统后续的向防火墙发送的报文将会依据建立的业务安全访问控制子策略进行处理。
[0065] 其中,报文处理的具体内容包含以下一种或多种,并且并不限于以下内容:丢弃数据报文,转发该数据报文,对报文所属的网络连接做流量控制,对报文进行存储审计,发送日志等动作的组合。
[0066] 具体地,发送的报文将会依据建立的业务安全访问控制子策略进行处理是指:
[0067] 防火墙会将接收到的业务系统发送来的报文网络请求信息中的匹配条件与业务安全访问控制子策略中预置的匹配条件相匹配,这里的方案同上述的与业务安全访问控制策略中的业务系统标识相匹配类似,在业务安全访问控制子策略中找到相匹配的条件以后,按照建立的与该匹配条件对应的一条或多条不同的源端地址到不同的目的端的地址的具体的网络连接通道对该报文进行传输,转发或阻断等处理。
[0068] 为了达到上述目的,本发明还提出了一种基于用户业务系统的防火墙控制系统01,如图2所示,该系统包括:接收模块02、匹配模块03、检测模块04、构建模块05和处理模块06。
[0069] 接收模块02、用于接收客户端发送的包含一个或多个业务系统标识和业务系统网络信息的网络请求信息。
[0070] 匹配模块03、用于将网络请求信息中的业务系统标识与预置的一个或多个不同的业务安全访问控制策略中包含的业务系统标识一一匹配;其中,每个业务安全访问控制策略中包含一个或多个业务系统标识。
[0071] 检测模块04、用于当在第一业务安全访问控制策略中找到与该网络请求信息中包含的业务系统标识相匹配的业务系统标识时,检测第一业务安全访问控制策略中已经建立的网络连接中是否存在与业务系统网络信息相匹配的网络连接。
[0072] 构建模块05,用于根据检测结果以及第一业务安全访问控制策略中针对该网络连接的操作指令,建立完成该操作指令的一个或多个业务安全访问控制子策略。
[0073] 处理模块06,用于基于业务安全访问控制子策略处理业务系统向防火墙传输的报文。
[0074] 优选地,检测模块04根据检测结果以及第一业务安全访问控制策略中针对该网络连接的操作指令,建立完成该操作指令的一个或多个业务安全访问控制子策略是指:
[0075] 如果已经存在相匹配的网络连接,则根据第一业务安全访问控制策略中针对网络连接的不同的操作指令,建立一个或多个不同的业务安全访问控制子策略;不同的操作指令包括:继续连接所述网络连接、断开所述网络连接或者部分断开所述网络连接。
[0076] 如果不存在相匹配的网络连接,则根据第一业务安全访问控制策略中的建立与业务系统网络信息相匹配的网络连接的操作指令建立一个或多个业务安全访问控制子策略,或者,根据第一业务安全访问控制策略中的断开与业务系统网络信息相匹配的网络连接的操作指令忽略该网络请求信息。
[0077] 优选地,业务安全访问控制策略和业务安全访问控制子策略中均包含以下信息的一种或多种:匹配条件、网络连接信息以及与网络连接信息相对应的操作指令。
[0078] 优选地,业务安全访问控制策略中的匹配条件包括以下一种或多种:业务系统标识、网络协议IP地址、服务端口、网络协议、用户或用户组、时间、媒体访问地址MAC地址和网络访问统一资源定位符URL;
[0079] 业务安全访问控制子策略的匹配条件包括以下一种或多种:IP地址、服务端口、网络协议、用户或用户组、时间、媒体访问地址MAC地址和网络访问URL。
[0080] 优选地,业务系统标识包括以下一种或多种:每个进程的厂商名称、每个进程的系统名称注册信息和每个进程对应的主窗口的窗口标题。
[0081] 业务系统网络信息包括以下一种或多种:网络连接的协议、网络源端口、网络目的端口、网络源地址和网络目的地址。
[0082] 与现有技术相比,本发明包括:接收客户端发送的包含一个或多个业务系统标识和业务系统网络信息的网络请求信息。将网络请求信息中的业务系统标识与预置的一个或多个不同的业务安全访问控制策略中包含的业务系统标识一一匹配;其中,每个业务安全访问控制策略中包含一个或多个业务系统标识。当在第一业务安全访问控制策略中找到与网络请求信息中包含的业务系统标识相匹配的业务系统标识时,检测第一业务安全访问控制策略中已经建立的网络连接中是否存在与业务系统网络信息相匹配的网络连接;根据检测结果以及第一业务安全访问控制策略中针对该网络连接的操作指令,建立完成该操作指令的一个或多个业务安全访问控制子策略。基于业务安全访问控制子策略处理业务系统向防火墙传输的报文。通过本发明的方案,能够实现基于用户业务系统的防火墙级别的安全访问控制,增强了用户安全管理的易用性。
[0083] 具体地,本发明的方案具有以下有益效果:
[0084] 1)可以实现统一的针对用户业务系统的安全策略,实现基于用户业务系统的网关级别的安全访问控制,增强了用户安全管理的易用性。
[0085] 2)可以实现针对使用相同网络应用协议的不同应用系统做不同的防火墙\安全网关系统的网络安全访问和流量控制策略,增强了用户业务系统的网络安全性。
[0086] 3)可以实现业务到安全防护的需求和实现策略的直接呈现,管理员可以不用去理解业务系统到各种网络应用协议之间的技术映射关系,让管理员更关注于安全防护本身,降低了运维成本和安全管理难度。
[0087] 需要说明的是,以上所述的实施例仅是为了便于本领域的技术人员理解而已,并不用于限制本发明的保护范围,在不脱离本发明的发明构思的前提下,本领域技术人员对本发明所做出的任何显而易见的替换和改进等均在本发明的保护范围之内。
