网络访问的控制方法、装置和计算机可读存储介质与流程

本发明涉及网络信息安全技术领域，特别涉及一种网络访问的控制方法、网络访问的控制装置和计算机可读存储介质。

背景技术：

状态检测防火墙可以用于监视每一个有效连接的状态，以保证网络信息的安全。

相关技术中的防火墙默认放行从内部或信任区域到外部或不信任区域的流量，拦截外部或不信任区域到内部或信任区域的流量。拦截还是放行流量都需要根据明确编写的acl(accesscontrollist，访问控制列表)或者相关安全策略来决定。acl和相关安全策略根据源ip、目的ip、源端口、目的端口和协议类型等网络层协议信息编写。

技术实现要素：

本发明的发明人发现上述相关技术中存在如下问题：仅将协议信息作为防火墙的判断依据并不可靠而且效率低下，因为防火墙不仅需要支持基于tcp(transmissioncontrolprotocol，传输控制协议)的应用，还需要支持基于无连接协议(如远程过程调用协议、用户数据报协议)的应用。针对上述问题，本发明人提出了解决方案。

本发明的一个目的是提供一种可靠的、高效率的网络访问的控制技术方案。

根据本发明的一个实施例，提供了一种网络访问的控制方法，包括：对到达防火墙的内外访问流量进行检测以获取用户的行为特征信息和访问协议信息；根据所述行为特征信息以及所述访问协议信息为允许穿越防火墙的内外访问流量建立连接状态化表项；根据所述连接状态化表项决定是否放行到达防火墙的外内返回流量。

可选地，根据预设的安全策略确定所述内外访问流量是否允许穿越防火墙。

可选地，检测所述连接状态化表项中的行为特征信息是否异常；在所述行为特征信息异常的情况下，删除所述连接状态化表项，并更新所述安全策略。

可选地，禁止用户根据被删除的连接状态化表项中的访问协议信息和行为特征信息访问外部网络。

可选地，验证用户输入的用户id和密码，所述连接状态化表项还包括用户id。

可选地，所述行为特征信息包括所述用户使用的应用id和/或所述用户的网络访问行为。

可选地，查询是否存在与所述外内返回流量相匹配的连接状态化表项，如果存在则放行所述外内返回流量，否则阻断所述外内返回流量。

根据本发明的另一个实施例，提供一种网络访问的控制装置，包括：信息获取模块，用于对到达防火墙的内外访问流量进行检测以获取用户的行为特征信息和访问协议信息；表项建立模块，用于根据所述行为特征信息以及所述访问协议信息为允许穿越防火墙的内外访问流量建立连接状态化表项；状态检测模块，用于根据所述连接状态化表项决定是否放行到达防火墙的外内返回流量。

可选地，该装置还包括安全防护模块，用于根据预设的安全策略确定所述内外访问流量是否允许穿越防火墙。

可选地，所述安全防护模块还用于检测所述连接状态化表项中的行为特征信息是否异常，在所述行为特征信息异常的情况下，删除所述连接状态化表项，并更新所述安全策略。

可选地，所述更新所述安全策略包括禁止用户根据被删除的连接状态化表项中的访问协议信息和行为特征信息访问外部网络。

可选地，所述信息获取模块在获取用户的行为特征信息和访问协议信息之前，验证用户输入的用户id和密码，所述连接状态化表项还包括用户id。

可选地，所述行为特征信息包括所述用户使用的应用id和/或所述用户的网络访问行为。

可选地，所述状态检测模块查询是否存在与所述外内返回流量相匹配的连接状态化表项，如果存在则放行所述外内返回流量，否则阻断所述外内返回流量。

根据本发明的又一个实施例，提供一种网络访问的控制装置，包括：存储器以及耦接至所述存储器的处理器，所述处理器被配置为基于存储在所述存储器装置中的指令，执行上述任一个实施例中的网络访问的控制方法。

根据本发明的再一个实施例，提供一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现上述任一个实施例中的网络访问的控制方法。

本发明的一个优点在于，结合用户的访问协议信息和行为特征信息建立连接状态化表项，并将其作为是否放行访问流量的判断标准，提高了网络信息安全防护的可靠性和效率。

附图说明

构成说明书的一部分的附图描述了本发明的实施例，并且连同说明书一起用于解释本发明的原理。

参照附图，根据下面的详细描述，可以更加清楚地理解本发明，其中：

图1示出本发明的网络访问的控制方法的一个实施例的流程图。

图2示出本发明的网络访问的控制方法的另一个实施例的流程图。

图3示出本发明的网络访问的控制方法的一个实施例的示意图。

图4示出本发明的网络访问的控制装置的一个实施例的结构图。

图5示出本发明的网络访问的控制装置的另一个实施例的结构图。

具体实施方式

现在将参照附图来详细描述本发明的各种示例性实施例。应注意到：除非另外具体说明，否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本发明的范围。

同时，应当明白，为了便于描述，附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。

以下对至少一个示例性实施例的描述实际上仅仅是说明性的，决不作为对本发明及其应用或使用的任何限制。

对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论，但在适当情况下，所述技术、方法和设备应当被视为授权说明书的一部分。

在这里示出和讨论的所有示例中，任何具体值应被解释为仅仅是示例性的，而不是作为限制。因此，示例性实施例的其它示例可以具有不同的值。

应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步讨论。

图1示出本发明的网络访问的控制方法的一个实施例的流程图。

如图1所示，该方法包括：步骤110，获取内外访问流量的用户信息；步骤130，建立连接状态化表项；以及步骤180，决定是否放行外内返回流量。

在步骤110中，对到达防火墙的内外访问流量进行检测以获取用户的行为特征信息和访问协议信息。

例如，行为特征信息可以是用户使用的应用id(如微信、qq等)或者用户的网络访问行为中的至少一项。网络访问行为可以包括用户登录、常规访问、文件操作(如新建文件、文件拷贝、文件上传、文件删除、文件传输和下载越权文件等)、账号操作(如添加账号、删除账号和修改账号等)、域名查询和系统更改(如修改启动项目、重启系统和关闭系统等)。

例如，访问协议信息可以包括源ip、目的ip、源端口、目的端口、协议类型、标志位和序列号。

在一个实施例中，在步骤110之前，防火墙内部用户访问外部网络时，需要输入用户id和密码以通过防火墙本地认证或aaa(authentication、authorization、accounting，认证、授权、计费)服务器认证。

在步骤130中，根据行为特征信息以及访问协议信息为允许穿越防火墙的内外访问流量建立连接状态化表项。

在一个实施例中，连接状态化表项中包括访问协议信息以及应用id、用户的网络访问行为和用户id中的至少一项。

在步骤180中，根据连接状态化表项决定是否放行到达防火墙的外内返回流量。

在一个实施例中，可以查询是否存在与外内返回流量相匹配的连接状态化表项，如果存在则放行外内返回流量，否则阻断外内返回流量。

上述实施例中，利用防火墙能够实现应用层安全防护的特点，使得连接状态化表项不但包含了网络层的访问协议信息，而且还具备了用户id、应用id或访问行为这些信息。因此，防火墙不但能基于用户协议(如tcp、用户数据报协议、控制报文协议等)而且还能基于用户应用(如微信、qq等)保护网络信息安全，从而提高了网络保护的可靠性和效率。

图2示出本发明的网络访问的控制方法的另一个实施例的流程图。

如图2所示，在步骤110之后判断内外访问流量是否符合安全策略(步骤120)。如果是，则建立连接状态化表项(步骤130)；如果否，则禁止穿越防火墙(步骤140)。下面结合图3具体说明步骤110-140。

在一个实施例中，图3示出本发明的网络访问的控制方法的一个实施例的示意图。

如图3所示，内外访问流量31的访问协议信息341可以是用户张三通过源ip10.0.0.1和源端口63456访问目的ip200.200.200.200和目的端口80，采用的协议类型为tcp，标识位为uio(userspacei/o，用户空间i/o)，序列号为1。内外访问流量31的行为特征信息342可以是通过chrome浏览器进行常规web(worldwideweb，全球广域网)访问。

将内外访问流量31与安全策略32进行匹配，如果安全策略32允许相应的访问行为，则生成网络层的连接状态化表项34。例如，结合上述用户信息，连接状态化表项34可以是：10.0.0.1、200.200.200.200、63456、80、tcp、uio、1、chrome浏览器、常规web访问。如果张三通过输入用户id和密码进行访问，则连接状态化表项34还可以包括用户id：张三。用户id343和行为特征信息342中的应用id可以分别从用户数据库36和应用数据库37中获取。

在另一个实施例中，可以将外内返回流量35与连接状态化表项34进行匹配，以决定是否允许外内返回流量35穿越防火墙33。

通过上述步骤建立的连接状态化表项的信息丰富，既能通过网络层信息对网络访问进行控制，也可以通过用户名、应用id或用户访问行为对网络访问进行控制。即，通过上述信息的多种组合对网络访问进行控制，使得防火墙具有更灵活高效的网络访问控制能力。

通过上述步骤建立了连接状态化表项后，可以通过图2中的步骤150-170对连接状态化表项和安全策略进行维护。

在步骤150中，判断连接状态化表项中的行为特征信息是否异常。如果是，则删除连接状态化表项更新安全策略(步骤160)；如果否，则保留连接状态化表项(步骤170)。

在一个实施例中，如图3所示，例如，连接状态化表项34可以是：10.0.0.1、200.200.200.200、63456、80、tcp、uio、1、chrome浏览器、常规web访问。通过对连接状态化表项34的行为特征信息342(通过chrome浏览器进行常规web访问)进行检测，未发现恶意行为，则连接状态化表项34可以常驻内存中。例如，连接状态化表项34可以具有生存时间，当生存时间结束时，连接状态化表项34会在内存中被自动清除。在这种情况下，能够与连接状态化表项34匹配的外内返回流量35可以穿越防火墙33。

在另一个实施例中，如图3所示，例如，匿名用户访问外部网络，连接状态化表项34可以是：10.0.0.2、200.200.200.200、63457、80、tcp、uio、2、chrome浏览器、上传文件行为。通过对连接状态化表项34的行为特征信息342(通过chrome浏览器上传文件)进行检测，发现上传的文件为恶意文件，则可以下发指令直接把状态化表项34连接删除。在这种情况下，与连接状态化表项34匹配的外内返回流量35会立刻中断，并自动更新相应的安全策略：禁止用户通过源ip10.0.0.2访问200.200.200.200，并使用chrome浏览器上传文件。

在又一个实施例中，如图3所示，例如，用户李四通过输入用户id和密码访问外部网络，则连接状态化表项34可以是：10.0.0.2、200.200.200.200、63457、80、tcp、uio、2、李四、chrome浏览器、上传文件行为。通过对连接状态化表项34的行为特征信息342(通过chrome浏览器上传文件)进行检测，发现上传的文件为恶意文件，则可以下发指令直接把状态化表项34连接删除。在这种情况下，与连接状态化表项34匹配的外内返回流量35会立刻中断，并自动更新相应的安全策略：禁止李四通过源ip10.0.0.2访问200.200.200.200，并使用chrome浏览器上传文件。

也可以根据设定的安全级别，由系统自动生成更严格的安全策略。例如，禁止ip10.0.0.2的所有访问。安全策略自动生成后可以通过人工调整来改动。

在一个实施例中，针对变化比较频繁的用户访问行为的安全策略可以从总体安全策略中单独剥离出来优先处理，从而提高网络安全保护效率。

上述实施例中，通过检测用户行为信息，可以直接将用户违规访问产生的连接状态化表项信息从内存中删除，并更新安全策略以阻断相应的访问行为。从而提高了网络访问控制的可靠性和效率。

图4示出本发明的网络访问的控制装置的一个实施例的结构图。

如图4所示，网络访问的控制装置4包括：信息获取模块41、表项建立模块42和状态检测模块43。

信息获取模块41对到达防火墙的内外访问流量进行检测以获取用户的行为特征信息和访问协议信息。

在一个实施例中，信息获取模块41在获取用户的行为特征信息和访问协议信息之前，验证用户输入的用户id和密码。行为特征信息可以包括用户使用的应用id或用户的网络访问行为中的至少一项。

表项建立模块42根据行为特征信息以及访问协议信息为允许穿越防火墙的内外访问流量建立连接状态化表项。在一个实施例中，连接状态化表项还可以包括用户id。

在一个实施例中，网络访问的控制装置4还包括安全防护模块44。安全防护模块44根据预设的安全策略确定内外访问流量是否允许穿越防火墙。安全防护模块44还检测连接状态化表项中的行为特征信息是否异常，在行为特征信息异常的情况下，删除连接状态化表项，并更新安全策略。例如，更新安全策略包括禁止用户根据被删除的连接状态化表项中的访问协议信息和行为特征信息访问外部网络。

状态检测模块43根据连接状态化表项决定是否放行到达防火墙的外内返回流量。

在一个实施例中，状态检测模块43查询是否存在与外内返回流量相匹配的连接状态化表项，如果存在则放行外内返回流量，否则阻断外内返回流量。

上述实施例中，通过检测用户行为信息，可以直接将用户违规访问产生的连接状态化表项信息从内存中删除，并更新安全策略以阻断相应的访问行为。从而提高了网络访问控制的可靠性和效率。

图5示出本发明的网络访问的控制装置的另一个实施例的结构图。

如图5所示，该实施例的装置5包括：存储器51以及耦接至该存储器51的处理器52，处理器52被配置为基于存储在存储器51中的指令，执行本发明中任意一个实施例中的网络访问的控制方法。

其中，存储器51例如可以包括系统存储器、固定非易失性存储介质等。系统存储器例如存储有操作系统、应用程序、引导装载程序(bootloader)、数据库以及其他程序等。

本领域内的技术人员应当明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用非瞬时性存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。

至此，已经详细描述了根据本发明的网络访问的控制方法、装置和计算机可读存储介质。为了避免遮蔽本发明的构思，没有描述本领域所公知的一些细节。本领域技术人员根据上面的描述，完全可以明白如何实施这里公开的技术方案。

可能以许多方式来实现本发明的方法和系统。例如，可通过软件、硬件、固件或者软件、硬件、固件的任何组合来实现本发明的方法和系统。用于所述方法的步骤的上述顺序仅是为了进行说明，本发明的方法的步骤不限于以上具体描述的顺序，除非以其它方式特别说明。此外，在一些实施例中，还可将本发明实施为记录在记录介质中的程序，这些程序包括用于实现根据本发明的方法的机器可读指令。因而，本发明还覆盖存储用于执行根据本发明的方法的程序的记录介质。

虽然已经通过示例对本发明的一些特定实施例进行了详细说明，但是本领域的技术人员应该理解，以上示例仅是为了进行说明，而不是为了限制本发明的范围。本领域的技术人员应该理解，可在不脱离本发明的范围和精神的情况下，对以上实施例进行修改。本发明的范围由所附权利要求来限定。