logo好方法网

面向网闸的安全防护方法、装置及网络系统

发布时间:2020-09-22 发布人:admin 分类:专利技术 资料大小:0.82M 资料格式:pdf

技术摘要:
本发明涉及了一种面向网闸的安全防护方法、装置及网络系统,该安全防护方法包括:截取网络终端发送给网闸的网络数据包;对所述网络数据包进行安全检查,并判断是否通过安全检查;若是,则将安全检查后的网络数据包发送至网闸;若否,则中止所述网络数据包的传送。实施  全部
背景技术:
网闸旨在解决安全隔离下的信息可控交换等问题,以实现两个断开网络间的信息 摆渡,构建信息可控交换“安全岛”,所以在政府、军队、电力等领域有着广泛的应用。目前, 网闸可以满足内部网络用户与外部的文件交换、收发邮件、单向浏览、数据库交换等的要 求。在当前的使用环境中,网闸往往作为网络安全设备,以网络安全服务的提供者身份参与 网络通信活动。但事实上,网闸自身即是安全服务提供者,也是网络中一个固定终端节点, 与其他网络终端一样也可能成为恶意攻击者的目标。甚至由于其特殊地位和作用,攻击者 会投入更多精力研究网闸的攻击方法。这对该问题,现有方案多是在网闸中集成安全防护 功能,但更换网闸会带来高额的成本支出,而且这种方式无法解决现有网闸的安全防护问 题。所以,如何在已使用网闸的网络中增强对网闸的安全防护,仍是本领域技术人员亟待解 决的问题。
技术实现要素:
本发明要解决的技术问题在于,针对现有技术存在的网闸易遭到恶意攻击的缺 陷,提供一种面向网闸的安全防护方法、装置及网络系统。 本发明解决其技术问题所采用的技术方案是:构造一种面向网闸的安全防护方 法,包括: 截取网络终端发送给网闸的网络数据包; 对所述网络数据包进行安全检查,并判断是否通过安全检查; 若是,则将安全检查后的网络数据包发送至网闸; 若否,则中止所述网络数据包的传送。 优选地,还包括: 在安全检查未通过时,将安全检查结果上报给网管。 优选地,对所述网络数据包进行安全检查,包括: 对发送所述网络数据包的网络终端进行身份验证;和/或, 对所述网络数据包的协议进行检查。 优选地,对发送所述网络数据包的网络终端进行身份验证,包括: 获取所述网络数据包的源IP地址,并判断所述源IP地址是否在预设的IP地址授权 列表中;和/或, 对发送所述网络数据包的网络终端的签名信息进行验证。 优选地,对所述网络数据包的协议进行检查包括: 获取所述网络数据包的协议类型,并判断所述协议类型是否在预设的合法协议列 4 CN 111585972 A 说 明 书 2/5 页 表中; 若在预设的合法协议列表中,则对所述协议的格式及内容进行合规检查。 优选地,还包括: 判断所述网络数据包中是否存在特定应用层协议的数据; 若不存在,则将所述网络数据包发送至网闸 若存在,则提取所述网络数据包中的应用层数据,并根据预设的信息隐藏规则,在 所述应用层数据中嵌入随机生成的干扰数据,且将添加了所述干扰数据后的网络数据包发 送至网闸。 本发明还构造一种面向网闸的安全防护装置,设置在网络终端与网闸之间,包括: 网络接口模块,用于截取网络终端发送给网闸的网络数据包; 安全防护模块,用于对所述网络数据包进行安全检查; 网闸接口模块,用于在安全检查通过时,将安全检查后的网络数据包发送至网闸; 在安全检查未通过时,中止所述网络数据包的传送。 优选地,还包括: 上报模块,用于在安全检查未通过时,将安全检查结果上报给网管。 优选地,所述安全防护模块包括: 身份验证单元,用于对发送所述网络数据包的网络终端进行身份验证;和/或, 协议解析单元,用于对所述网络数据包的协议进行检查。 优选地,所述身份验证单元包括: IP验证子单元,用于获取所述网络数据包的源IP地址,并判断所述源IP地址是否 在预设的IP地址授权列表中;和/或, 签名验证子单元,用于对发送所述网络数据包的网络终端的签名信息进行验证。 优选地,所述协议解析单元包括: 类型判断子单元,用于获取所述网络数据包的协议类型,并判断所述协议类型是 否在预设的合法协议列表中; 合规检查子单元,用于在预设的合法协议列表中时,对所述协议的格式及内容进 行合规检查。 优选地,所述安全防护模块还包括隐信道干扰单元,而且, 所述协议解析单元,还判断所述网络数据包中是否存在特定应用层协议的数据, 并在存在时,提取所述网络数据包中的应用层数据,并将其发送至所述隐信道干扰模块; 所述隐信道干扰单元,用于根据预设的信息隐藏规则,在所述应用层数据中嵌入 随机生成的干扰数据,且将添加了所述干扰数据后的网络数据包发送至网闸。 本发明还构造一种网络系统,包括网络终端、网闸,其特征在于,还包括以上所述 的安全防护装置。 优选地,在所述网络终端的数量为多个时,所述网络系统还包括至少一个交换机, 且所述安全防护装置通过所述交换机获取所述网络终端发送至网闸的网络数据包。 实施本发明的技术方案,通过在网络终端与网闸之间部署一独立的安全防护装 置,并通过该安全防护装置对网络终端发送给网闸的网络数据包进行截取及安全检查,且 仅允许安全检查通过的网络数据包到达网闸。这样,可以增强网闸的访问控制安全,且不占 5 CN 111585972 A 说 明 书 3/5 页 用网闸的计算、存储资源,也不会改变原网络架构和部署方式,可以直接集成在已有网络 中,无需更换网闸,节约成本。 附图说明 为了更清楚地说明本发明实施例,下面将对实施例描述中所需要使用的附图作简 单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技 术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。附图 中: 图1是本发明面向网闸的安全防护方法实施例一的流程图; 图2是本发明网络系统实施例一的逻辑结构图; 图3是本发明面向网闸的安全防护装置实施例一的逻辑结构图。
下载此资料需消耗2积分,
分享到:
收藏

相关推荐