Onvif应用系统中的安全防护方法及防火墙设备的制造方法
【技术领域】
[0001] 本发明属于防火墙技术领域,尤其涉及一种ONVIF应用系统中的安全防护方法及 防火墙设备。
【背景技术】
[0002] 视频监控是安全防范系统的重要组成部分,视频监控以其直观、准确、及时和信息 内容丰富而广泛应用于许多场合。近年来,随着计算机、网络以及图像处理、传输技术的飞 速发展,视频监控的普及化趋势越来越明显,越来越多的监控业务被连接到了互联网上。与 此同时,由于越来越多的设备暴露在互联网上,用户面临安全的风险也日益增大,用户对设 备本身的安全以及防火墙的安全要求日益增强。
[0003] 现有技术中一般采用的智能防火墙,都是通过捕获接收到的数据包或用户执行的 应用程序的进程,并根据防火墙设置的规则来进行拦截,需要对所有业务进行应用层状态 解析。由于需要解析所有应用层数据,对运算量要求高,从而提高了防火墙设备硬件的要 求。且目前网络应用更新日新月异,防火墙需要不断的更新才能满足安全防护的需求。最终 防火墙的规则不断膨胀,系统硬件要求也越来越高,企业或个人对于防火墙设备的投入水 涨船高,只能大企业才能承受较高的费用。
【发明内容】
[0004] 本发明的目的是提供一种ONVIF应用系统中的安全防护方法及防火墙设备,由NVT 设备检测到攻击后通知防火墙(NVC)动态更新访问规则,或防火墙遇到可疑的访问,向NVT 设备发起查询以判断是否合法,从而避免现有技术中由防火墙对所有业务进行应用层状态 解析,降低了防火墙设备对硬件的要求。
[0005] 为了实现上述目的,本发明技术方案如下:
[0006] -种ONVIF应用系统中的安全防护方法,应用于基于ONVIF应用系统的防火墙设 备,所述安全防护方法包括:
[0007] 基于ONVIF发现流程发现网络中的NVT设备具备动态规则配置能力;
[0008]向发现的NVT设备发送获取访问规则消息,接收NVT设备的响应消息,从响应消息 中获取NVT设备具有的访问规则;
[0009]配置获取的访问规则,并根据配置的访问规则进行安全防护。
[0010]进一步地,所述安全防护方法还包括:
[0011] 接收NVT设备检测到攻击时发出的事件告警,向该NVT设备发送获取访问规则消 息,接收该NVT设备的响应消息,从响应消息中获取该NVT设备针对攻击所生成的访问规则, 配置获取的访问规则,并根据配置的访问规则进行安全防护。
[0012] 进一步地,所述安全防护方法还包括:
[0013] 在检测到具有设定的可疑特征的访问时,携带该访问的访问报文向该访问对应的 NVT设备发起确认请求,以便对应的NVT解析确认请求中的访问报文,根据自身业务判断是 否是异常攻击,如果是则返回访问规则;
[0014] 接收对应的NVT设备返回的访问规则进行配置,并根据配置的访问规则进行安全 防护。
[0015] 进一步地,所述安全防护方法还包括:
[0016] 在检测到具有设定的可疑特征的访问时,携带该访问的访问报文向该访问对应的 NVT设备发起确认请求,以便NVT返回该访问的合法特征;
[0017] 根据NVT返回的该访问的合法特征,判断该访问是否合法,丢弃非法的访问报文并 屏蔽访问源。
[0018] 进一步地,所述基于ONVIF发现流程发现网络中的NVT设备具备动态规则配置能 力,包括:
[0019] 接收NVT设备通过组播的Hello消息,根据Hello消息中携带的表示动态规则配置 能力的标识符,发现该NVT设备具备动态规则配置能力;
[0020] 或发送组播的Probe消息/Resolve消息,并接收NVT设备返回的ProbeMatch响应消 息/ResolveMatch响应消息,根据ProbeMatch响应消息/Resol veMatch响应消息中携带的表 示动态规则配置能力的标识符,发现该NVT设备具备动态规则配置能力。
[0021]本发明一种ONVIF应用系统中的防火墙设备,所述防火墙设备包括:
[0022]发现模块,用于基于ONVIF发现流程发现网络中的NVT设备具备动态规则配置能 力;
[0023]规则获取模块,用于向发现的NVT设备发送获取访问规则消息,接收NVT设备的响 应消息,从响应消息中获取NVT设备具有的访问规则;
[0024]规则应用模块,用于配置获取的访问规则,并根据配置的访问规则进行安全防护。 [0025]进一步地,所述规则获取模块还用于:
[0026]接收NVT设备检测到攻击时发出的事件告警,向该NVT设备发送获取访问规则消 息,接收该NVT设备的响应消息,从响应消息中获取该NVT设备针对攻击所生成的访问规则。 [0027]进一步地,所述防火墙设备还包括:
[0028] 可疑检测模块,用于在检测到具有设定的可疑特征的访问时,携带该访问的访问 报文向该访问对应的NVT设备发起确认请求,以便对应的NVT解析确认请求中的访问报文, 根据自身业务判断是否是异常攻击,如果是则返回访问规则,或便于NVT返回该访问的合法 特征。
[0029] 进一步地,所述规则应用模块还用于:
[0030] 根据NVT返回的该访问的合法特征,判断该访问是否合法,丢弃非法的访问报文并 屏蔽访问源。
[0031] 进一步地,所述发现模炔基于ONVIF发现流程发现网络中的NVT设备具备动态规则 配置能力,执行如下操作:
[0032]接收NVT设备通过组播的Hello消息,根据Hello消息中携带的表示动态规则配置 能力的标识符,发现该NVT设备具备动态规则配置能力;
[0033] 或发送组播的Probe消息/Resolve消息,并接收NVT设备返回的ProbeMatch响应消 息/ResolveMatch响应消息,根据ProbeMatch响应消息/ResolveMatch响应消息中携带的表 示动态规则配置能力的标识符,发现该NVT设备具备动态规则配置能力。
[0034] 本发明提出了一种ONVIF应用系统中的安全防护方法及防火墙设备,防火墙自动 发现各个支持动态规则配置的设备,支持动态规则配置的设备检测到攻击后通知防火墙添 加访问规则,防火墙遇到可疑的访问,向设备查询,由设备判断是否合法,告诉防火墙添加 访问规则,实施相关防护。同时防火墙遇到可疑的访问,向设备索要进一步的信息,由防火 墙主动判断是否合法,从而避免设备受到伤害,主动实施保护。本发明的防火墙访问规则动 态更新,应用针对性强,硬件开销小,与支持ONVIF协议的监控设备集成,无需做其他配置。
【附图说明】
[0035] 图1为本发明实施例视频监控网络示意图;
[0036]图2为本发明ONVIF应用系统中的安全防护方法流程图;
[0037]图3为本发明防火墙设备结构示意图。
【具体实施方式】
[0038]下面结合附图和实施例对本发明技术方案做进一步详细说明,以下实施例不构成 对本发明的限定。
[0039] 本发明适用于基于0NVIF(0pen Network Video Interface Forum)的应用系统, 例如视频监控系统。本实施例以视频监控系统为例,如图I所示一个典型的小型视频监控网 络,所有设备通过局域网互联,防火墙作为局域网对外接口。在逻辑上,IPC4和IPC5隶属于 NVRl 管理,IPC4和 IPC5是 NVT (Network Video Transmit ter)设备,NVRl 是 NVC (Network Video Client);IPC6和IPC7隶属于NVR2管理,IPC6和IPC7是NVT设备,NVR2是NVC。然而在本 实施例中,防火墙作为系统中的NVC设备,其他NVR和IPC都是NVT设备。
[0040] 如图2所示,本发明一种ONVIF应用系统中的安全防护方法,应用于基于ONVIF应用 系统的防火墙设备,包括如下步骤:
[0041 ] 基于ONVIF发现流程发现网络中的NVT设备具备动态规则配置能力;
[0042]向发现的NVT设备发送获取访问规则消息,接收NVT设备的响应消息,从响应消息 中获取NVT设备具有的访问规则;
[0043] 配置获取的访问规则,并根据配置的访问规则进行安全防护。
[0044] 在初始情况下,防火墙设备不包括任何访问规则。在设备启动后,防火墙设备作为 NVC通过既有的ONVIF协议发现流程发现NVT设备(IPC/NVR)。
[0045] ONVIF中服务的发现流程主要采用三种方式,具体如下:
[0046] NVT(IPC/NVR)可以通过组播的Hello消息主动在网络中通告自己的服务;
[0047] NVC (防火墙)通过组播的Probe消息在网络中发现ONVIF设备,NVT (IPC/NVR)在收 至IjProbe报文后,通过单播的ProbeMatch进行响应;
[0048] NVC (防火墙)通过组播的Reso Ive消息在网络中发现ONVIF设备,NVT (IPC/NVR)在 收到Probe报文后,通过单播的Resol veMatch进