专利名称:一种网络安全传输的方法、装置及系统的制作方法
技术领域:
本发明涉及通信领域的网络技术,具体指一种网络安全传输的方法、装 置及系统。
背景技术:
随着计算机技术、网络技术的发展,各种网络业务的普及推广,接入Internet (因特网)的用户越来越多,网关作为企业网络与外网,家庭网络与外网的主 要连接通道是整个局域网络的核心。局域网内各种终端设备通过网关实现局域 网内资源共享,通过网关接入Internet,实现与外部网络进行信息交互。可见, 网关防护成功与否,直接影响着整个网络的安全。传统的网关, 一般只具有简单防网络攻击能力,起到简单的防火墙的功能, 可以过滤外网主动发送的带病毒的报文信息,但是,对局域网内终端设备感染 了病毒后,发送的请求访问外网的报文则不做过滤,导致局域网内终端设备的 安全隐患侵入网络并阻塞网络。同时,还会感染使用同一台网关设备分接上网 的其它终端i殳备。针对上述问题,现有技术提出的方案,如图l所示,企业过滤网关部署在防 火墙和中心交换机之间。防火墙防止局域网内终端设备受到Internet的网络攻击, 但网络病毒往往能利用企业内网终端设备的安全漏洞通过防火墙侵入内部,这 是因为防火墙只具备拒绝非法访问的能力,而一些互联网网页页面中的恶意代 码能穿透防火墙,对局域网内终端设备进行攻击,对局域网内已经感染病毒的 终端设备访问外网时无法控制和处理,例如内网终端访问一个带有病毒的外网 网页,网关是没有办法保护的。 上述现有技术具有如下缺点 1、 现有技术大多将防火墙和网关分离,分别完成各自的功能,实时性差, 且对数据进行分析是应用层的技术,这对网关本身的性能有很高的要求,成本 高,价格昂贵。2、 企业网关和家庭网关基本上都有防火墙的功能。也就是说,两者都将内 网认为是安全的,默认都将外网的主动发送的报文给过滤掉,来保证内网的安 全,但是对局域网内终端设备主动发出的请求报文则不做过滤。发明内容有鉴于此,本发明实施例的主要目的在于提供一种网络安全传输的方法 及装置,解决了现有技术中网络病毒利用终端设备的安全隐患侵入网络并阻 塞网络的问题。为实现上述目的,本发明实施例提供如下的技术方案一种网络安全传输的方法,包括网络设备监测终端设备的安全状态, 并判断所述终端是否存在安全隐患;当所述终端设备存在安全隐患时,依据 安全控制策略控制限制所述终端设备发送或接受信息;或,接收到所述终端 的网络连接请求后,丢弃或不处理所述网络连接请求,发送控制命令给所述 终端设备,命令所述终端设备对所述安全隐患的进行处理,消除所述终端设 备的安全隐患后,恢复所述终端设备的网络传输。一种防病毒网关装置,包括监测模块和控制模块。监测模块用于监测 终端设备的安全状态,判断所述终端是否存在安全隐患;控制模块用于实现 对终端设备的控制,若所述终端设备存在安全隐患,依据安全控制策略控制 所述终端设备的网络传输。一种网络安全传输系统,其特征在于,包括至少一个防病毒网关和一 个或一个以上终端设备,终端设备与防病毒网关相连;所述终端设备,用于接收所述防病毒网关发送的控制信息,并完成相应 处理;
所述防病毒网关,用于监测终端设备的安全状态,判断所述终端是否存 在安全隐患;当所述监测模块判断所述终端设备存在安全隐患时,依据安全 控制策略控制所述终端设备的网络传输。在本发明实施例中,通过防病毒网关监测终端设备的安全状态,依据安 全控制策略控制终端设备的方法和装置,及时发现终端设备的安全隐患,实 时性强,且通过终端设备自身消除终端设备的安全隐患,不占用防病毒网关 的资源,解决了网络病毒利用网内终端设备的安全隐患侵入网络并阻塞网络 的问题,同时避免了局域网内终端设备相互感染和影响,实现了网络的安全 传输。一种网络安全传输系统,其特征在于,包括至少一个防病毒网关和一 个或一个以上终端设备,终端设备与防病毒网关相连;所述终端设备,用于接收所述防病毒网关发送的控制信息,并完成相应 处理;所述防病毒网关,用于监测终端设备的安全状态,判断所述终端是否存 在安全隐患;当所述监测模块判断所述终端设备存在安全隐患时,依据安全 控制策略控制所述终端设备的网络传输。
图1为现有技术中企业网关的系统组网示意图。图2为本发明实施方式中网络安全传输系统的组网示意图。图3为本发明实施方式中防病毒网关的组成结构图。图4为本发明实施方式中防病毒网关的具体组成结构示意图。图5为本发明另一实施方式中防病毒网关的具体组成结构示意图。图6为本发明一实施方式中网络安全传输的方法流程图。图7为本发明另一实施方式中网络安全传输的方法流程图。
具体实施方式
本发明实施例通过网络监测终端设备的安全状态,并判断所述终端是否存在安全隐患;当所述终端设备存在安全隐患时,依据安全控制策略控制限 制所述终端设备发送或接受信息;或,接收到所述终端的网络连接请求后, 丟弃或不处理所述网络连接请求,同时发送控制命令给所述终端设备,命令 所述终端设备对所述安全隐患的进行处理,消除所述终端设备的安全隐患后, 恢复终端设备的网络传输。为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发 明作进一 步地详细描述。请参阅图2,为本发明实施方式中网络安全传输系统结构图,下面将本 发明的一种网络安全传输系统结构图作具体介绍,所述的系统包括至少一 个防病毒网关200和一个或一个以上终端设备100,终端设备100与防病毒 网关200相连;所述终端设备100,用于接收所述防病毒网关发送的控制信息,并完成 相应处理;所述防病毒网关200,用于监测终端设备的安全状态,判断所述终端是 否存在安全隐患;当所述监测模块判断所述终端设备存在安全隐患时,依据 安全控制策略控制所述终端设备的网络传输,所述安全控制策略是本地设置 或由其他网络设备提供,所述其它网络设备可以是策略服务器,也可以是 ACS(自动配置服务器)。当所述终端设备存在安全隐患时,所述防病毒网关 200可以是自身提供策略控制,也可以是通过策略服务器或者自动配置服务 器提供的策略控制,下发给防病毒网关,防病毒网关限制所述终端设备发送 或接收信息;还可以用于当所述终端设备存在安全隐患时,接收来自所述终 端设备的网络连接请求后,丟弃或过滤所述终端设备发送的网络连接请求报 文,通过所述监测模块监测到所述终端设备消除安全隐患后,通过恢复对终 端设备的上网权限及内部互相访问权限,恢复所述终端设备的网络传输。页请参阅图3,为本发明实施方式中网络安全传输系统的组网示意图。防病毒网关200,与所述终端连接,由监测模块、控制模块和恢复模块组成。 所述防病毒网关200可以应用于企业的局域网,也可以应用于小区内局域网等。所述监测模块用于监测终端设备的安全状态,判断终端设备是否存在安全 隐患。所述监测模块通过定时、周期或循环方式发送监测信息给终端设备,扫 描所述终端设备的杀毒程序端口 ;然后通过判断所述杀毒程序端口是否关闭, 若所述杀毒程序端口关闭,则确定终端设备存在安全隐患。所述终端设备存在安全隐患可以是由于终端设备执行各种"网络可执行 程序"例如一些互联网网页面中的恶意代码,电子邮件病毒等而存在安全隐 患,这些代码一般不包含有害功能,通常是安全的,但是一旦执行时,这些 代码可能会阻塞网络,导致局域网内其它终端设备通过相互访问而互相感染 病毒和整个网络感染病毒;所述终端设备存在安全隐患也可以是由于终端设 备的应用操作系统版本信息或者终端设备本身的操作系统版本信息的原因, 导致终端设备存在安全隐患;也可以是由于终端设备补丁程序未安装或者病 毒库未升级等导致终端设备存在安全隐患。这里的所述终端设备可以是企业网的终端设备,也可以是小区内局域网 的终端设备,例如用户计算机、会议终端、语音视频终端、IPTV或四种任意 组合。所述控制模块用于实现对终端设备的控制。所述控制模块根据监测模块 提供的监测信息,若终端设备存在安全隐患,则记录下所述终端设备的IP地 址,并释放或者封闭所述终端设备上网的IP地址,也可以封闭所述终端设备 的端口或者是终端设备的其它地址,例如MAC地址等,可以是通过自身提 供策略控制,也可以是通过策略服务器或者自动配置服务器提供的策略控制, 下发给防病毒网关,防病毒网关限制所述终端设备发送或接收信息,并记录 所述终端的IP地址,以提示该终端设备存在安全隐患已经被隔离,需要消除 安全隐患后才能正常上网,同时发送控制命令给终端设备,该终端设备接收
控制命令,启动杀毒程序,进行自身查杀病毒,或者进行自身杀毒程序的升 级、更新等,消除安全隐患。当终端设备的安全隐患消除后,控制模块解除 对终端设备的控制,并记录下相关安全日志,通过记录所述终端设备的IP地 址;或者根据监测模块提供的监测信息,当接收到传输模块提供的终端设备 网络连接请求后,由于终端设备自身的杀毒程序端口关闭,终端设备已经感 染病毒,但其自身并不知道已经感染病毒的情况下,控制模块通过丢弃或过 滤终端设备发送的网络连接请求报文,加载控制信息后返回给终端设备,控 制终端设备访问到隔离区入口页面,终端设备根据隔离区入口页面的提示信 息,重新启动杀毒程序,进行自身查杀病毒,或者进行自身杀毒程序的升级、 更新等,消除终端设备的安全隐患。当终端设备的安全隐患消除后,控制模 块解除对终端设备的控制,并记录下相关安全日志。所述恢复模块,用于当所述终端设备消除安全隐患后,记录所述终端设 备的IP地址,通过恢复对终端设备的上网权限及内部互相访问权限,恢复所 述终端设备的网络传输。请参阅图4,为本发明实施方式中防病毒网关的具体组成结构示意图。防病毒网关200,与所述终端连接,由监测模块、控制模块和恢复模块组成。 所述防病毒网关200可以应用于企业的局域网,也可以应用于小区内局域网等。所迷监测模块包括查询模块和判断模块,所述查询模块通过定时、周期或 循环方式发送监测信息给终端设备,扫描所述终端设备的杀毒程序端口;所述 判断模块用于通过判断所述杀毒程序端口是否关闭,若所述杀毒程序端口关闭, 则确定终端设备存在安全隐患。所述终端设备存在安全隐患可以是由于终端设备执行各种"网络可执行 程序,,例如一些互联网网页面中的恶意代码,电子邮件病毒等而存在安全隐 患,这些代码一般不包含有害功能,通常是安全的,但是一旦执行时,这些 代码可能会阻塞网络,导致局域网内其它终端设备通过相互访问而互相感染 病毒和整个网络感染病毒;所述终端设备存在安全隐患也可以是由于终端设
备的应用操作系统版本信息或者终端设备本身的操作系统版本信息的原因,导致终端设备存在安全隐患;也可以是由于终端设备补丁程序未安装或者病毒库未升级等导致终端设备存在安全隐患。这里的所述终端设备可以是企业网的终端设备,也可以是小区内局域网的终端设备,例如用户计算机、会议终端、语音视频终端、IPTV或四种任意 组合。所述控制模块用于实现对终端设备的控制。所述控制模块包括第一处理 模块,用于根据监测模块提供的监测信息,若终端设备存在安全隐患,则记 录下所述终端设备的IP地址,并释;^文或者封闭所述终端设备上网的IP地址, 也可以封闭所述终端设备的端口或者是终端设备的其它地址,例如MAC地 址等,可以是通过自身提供策略控制,也可以是通过策略服务器或者自动配 置服务器提供的策略控制,下发给防病毒网关,防病毒网关限制所述终端设 备发送或接收信息,并记录所述终端的IP地址,以提示该终端设备存在安全 隐患已经被隔离,需要消除安全隐患后才能正常上网。同时发送控制命令给 终端设备,该终端设备接收控制命令,启动杀毒程序,进行自身查杀病毒, 或者进行自身杀毒程序的升级、更新等,消除安全隐患。当终端设备的安全 隐患消除后,控制模块解除对终端设备的控制,并记录下相关安全日志,通 过记录所述终端设备的IP地址。所述恢复模块用于当所述终端设备消除安全隐患后,记录所述终端设备 的IP地址,通过恢复对终端设备的上网权限及内部互相访问权限,恢复所述 终端设备的网络传输。请参阅图5,为本发明另 一实施方式中防病毒网关的具体组成结构图。防病毒网关200,,与所述终端连接,由监测模块、控制模块和恢复模块组 成。所述防病毒网关200,可以应用于企业的局域网,也可以应用于小区内局域网 等。所述监测模块包括查询模块和判断模块,所述查询模块通过定时、周期或 循环方式发送监测信息给终端设备,扫描所述终端设备的杀毒程序端口;所述 判断模块用于通过判断所述杀毒程序端口是否关闭,若所述杀毒程序端口关闭, 则确定终端设备存在安全隐患。所述终端设备存在安全隐患可以是由于终端设备执行各种"网络可执行 程序"例如一些互联网网页面中的恶意代码,电子邮件病毒等而存在安全隐 患,这些代码一般不包含有害功能,通常是安全的,但是一旦执行时,这些 代码可能会阻塞网络,导致局域网内其它终端设备通过相互访问而互相感染病毒和整个网络感染病毒;所述终端设备存在安全隐患也可以是由于终端设 备的应用操作系统版本信息或者终端设备本身的操作系统版本信息的原因, 导致终端设备存在安全隐患;也可以是由于终端设备补丁程序未安装或者病 毒库未升级等导致终端设备存在安全隐患。这里的所述终端设备可以是企业网的终端设备,也可以是小区内局域网 的终端设备,例如用户计算机、会议终端、语音视频终端、IPTV或四种任意 组合。所述控制模块包括第二处理模块,可以根据监测模块提供的监测信息, 当接收到传输模块提供的终端设备网络连接请求后,由于终端设备自身的杀 毒程序端口关闭,终端设备已经感染病毒,但其自身并不知道已经感染病毒 的情况下,控制模块通过丟弃或过滤终端设备发送的网络连接请求报文,加 载控制信息后返回给终端设备,控制终端设备访问到隔离区入口页面,终端 设备根据隔离区入口页面的提示信息,重新启动杀毒程序,进行自身查杀病 毒,或者进行自身杀毒程序的升级、更新等,消除终端设备的安全隐患。当 终端设备的安全隐患消除后,控制模块解除对终端设备的控制,并记录下相 关安全日志。这里所述防病毒网关解除对终端设备的控制可以是终端设备通过设置与 防病毒网关进行消息交互的代理端口主动发送消除安全隐患消息给防病毒网 关后,防病毒网关解除对终端设备的控制;或者,终端设备通过所安装的杀 毒程序主动发送消除安全隐患消息给防病毒网关,防病毒网关解除对终端设 备的控制;也可以是防病毒网关通过监测模块监测终端设备已经消除安全隐 患。这里的所述隔离区入口页面至少包括执行杀毒程序、对病毒库进行更新 或升级、补丁程序下载、操作系统版本升级等任何一种提示信息。所述恢复模块用于当所述终端设备消除安全隐患后,记录所述终端设备 的IP地址,通过恢复对终端设备的上网权限及内部互相访问权限,恢复所述 终端设备的网络传输。本发明实施例通过防病毒网关装置的监测模块和控制模块,完成对终端 设备的监测和控制,及时对局域网内存在安全隐患的终端设备进行控制和处 理,避免了局域网内终端设备相互感染和影响,实现网络安全的传输。请参阅图6,为本发明一实施方式中网络安全传输的方法流程图,下面 将本发明的一种网络安全传输的方法流程作具体介绍,所述的方法包括如下 步骤在步骤S602中,网络设备通过定时、周期或循环方式发送监测信息给 终端设备,扫描所述终端设备的杀毒程序端口。这里的所述网络设备与所述终端设备相互独立,并与终端设备连接,可 以是防病毒网关。这里的所述终端设备可以是企业网的终端设备,也可以是小区内局域网 的终端设备,例如用户计算机、会议终端、语音一见频终端、IPTV或四种任意 组合。在步骤S604中,防病毒网关通过扫描所述终端设备的杀毒程序端口 , 查询所述杀毒程序端口是否关闭,若终端设备的杀毒程序已经关闭,则该终 端设备存在安全隐患,并反馈监测结果。这里所述的安全隐患可以是由于终端设备执行各种"网络可执行程序" 例如一些互联网网页面中的恶意代码,电子邮件病毒等而存在安全隐患,这 些代码一般不包含有害功能,通常是安全的,但是一旦执行时,这些代码可 能会阻塞网络,导致局域网内其它终端设备通过相互访问而互相感染病毒,甚至可能导致整个网络感染病毒;所述终端设备存在安全隐患也可以是由于终端设备的应用操作系统版本信息或者终端设备本身的操作系统版本信息的原因,导致终端设备存在安全隐患;也可以是由于终端设备补丁程序未安装 或者病毒库未升级等导致终端设备存在安全隐患。在步骤S606中,根据监测信息监测到终端设备存在安全隐患,则防病 毒网关记录下所述终端设备的IP地址,并释^:或者封闭所述终端设备上网的 IP地址,也可以封闭所述终端设备的端口或者是终端设备的其它地址,例如 MAC地址等,可以是通过自身提供策略控制,也可以是通过策略服务器或者 自动配置服务器提供的策略控制,下发给防病毒网关,防病毒网关限制所述 终端设备发送或接收信息,以提示该终端设备存在安全隐患已经被隔离,需 要消除安全隐患后才能正常上网。在步骤S608中,防病毒网关发送控制命令给终端设备,该终端设备接 收控制命令后,启动杀毒程序,进行自身查杀病毒,或者进行自身杀毒程序 的升级、更新等,消除安全隐患。在步骤S610中,当终端设备的安全隐患消除后,防病毒网关解除对终 端设备的控制,并记录下相关安全日志。这里所述防病毒网关解除对终端设备的控制可以是终端设备通过设置与 防病毒网关进行消息交互的代理端口主动发送消除安全隐患消息给防病毒网 关后,防病毒网关解除对终端设备的控制;或者,终端设备通过所安装的杀 毒程序主动发送消除安全隐患消息给防病毒网关,防病毒网关解除对终端设 备的控制;也可以是防病毒网关通过监测模块监测终端设备已经消除安全隐 患,在步骤S612中,防病毒网关通过记录所述终端设备的IP地址,恢复所述 终端设备的网络传输。
本发明发明一实施方式中网络安全传输的方法可以应用于企业的局域 网,也可以应用于小区内局域网。通过本发明所述的方法可以及时发现局域网内终端设备的安全隐患,限制终端设备访问Internet网络,同时根据策略 控制,消除终端设备的安全隐患,且不占用防病毒网关的资源,实时性强。请参阅图7,为本发明另一实施方式中网络安全传输的方法流程图,下 面将本发明另 一种网络安全传输的方法流程作具体介绍,所述的方法包括如 下步骤在步骤S702中,防病毒网关通过定时、周期或循环方式发送监测信息 给终端设备,扫描所述终端设备的杀毒程序端口 。这里的所述终端设备可以是企业网的终端设备,也可以是小区内局域网 的终端设备,例如用户计算机、会议终端、语音一见频终端、IPTV或四种任意 组合。在步骤S704中,防病毒网关通过扫描所述终端设备的杀毒程序端口 , 查询所述杀毒程序端口是否关闭,若终端设备的杀毒程序已经关闭,则该终 端设备存在安全隐患,并反馈监测结果。这里所述的安全隐患可以是由于终端设备执行各种"网络可执行程序" 例如一些互联网网页面中的恶意代码,电子邮件病毒等而存在安全隐患,这 些代码一般不包含有害功能,通常是安全的,但是一旦执行时,这些代码可 能会阻塞网络,导致局域网内其它终端设备通过相互访问而互相感染病毒和 整个网络感染病毒;所述终端设备存在安全隐患也可以是由于终端设备的应 用操作系统版本信息或者终端设备本身的操作系统版本信息的原因,导致终 端设备存在安全隐患;也可以是由于终端设备补丁程序未安装或者病毒库未 升级等导致终端设备存在安全隐患。在步骤S706中,终端设备发送网络连接请求给防病毒网关。在步骤S708中,防病毒网关接收来自于终端设备发送的网络连接请求 后,根据监测结果,若终端设备存在安全隐患,则防病毒网关丟弃或者过滤
网络连接请求报文,限制终端设备访问外网。
在步骤S710中,防病毒网关将终端设备发送的网络连接请求报文丟弃 或者过滤,加载控制信息,发送给所述终端设备,控制终端设备访问隔离区 入口页面。
这里的所述隔离区入口页面至少包括执行杀毒程序、对病毒库进行更新 或升级、补丁程序下载、操作系统版本升级等任何一种提示信息。在步骤S712中,终端设备根据隔离区入口页面的提示信息,重新启动 杀毒程序,进行自身查杀病毒,或者进行自身杀毒程序的升级、更新等,消 除终端设备的安全隐患。
在步骤S714中,当终端设备的安全隐患消除后,防病毒网关解除对终端 设备的控制,并记录下相关安全日志。这里所述防病毒网关解除对终端设备的控制可以是终端设备通过设置与 防病毒网关进行消息交互的代理端口主动发送消除安全隐患消息给防病毒网 关后,防病毒网关解除对终端设备的控制;或者,终端设备通过所安装的杀 毒程序主动发送消除安全隐患消息给防病毒网关,防病毒网关解除对终端设 备的控制;也可以是防病毒网关通过监测模块监测终端设备已经消除安全隐 患。
在步骤S716中,防病毒网关接收所述终端设备的连接请求,恢复所述终 端设备的网络传输。综上所述,本发明实施例提供了一种网络安全传输的方法及装置,以克 服现有技术中网络病毒利用局域网内终端设备的安全漏洞侵入内部网络并阻 塞网络,通过防病毒网关实时监测用户终端的安全状态,及时对局域网内存 在安全隐患的终端设备进行控制和处理,避免了局域网内终端用户间的相互 感染和传播,解决了背景技术中存在的问题,实现了终端设备通过防病毒网 关访问外网的安全性、实用性及实时性等。本发明实施例实现了1、防病毒网关可以及时发现局域网内终端设备的安全隐患,同时限制
终端设备访问Internet网络;2、 防病毒网关可以根据策略控制,消除终端设备的安全隐患,且不占 用防病毒网关的资源,实时性强;3、 防病毒网关可以防止网络病毒利用局域网内终端设备的安全隐患侵 入网络并阻塞网络,同时避免了局域网内终端设备之间病毒的传播,实现了 网络安全的传输。
以上所述,仅为本发明较佳的具体实施方式
,但本发明的保护范围并补 局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可 轻易想到的变化或替换,都应该涵盖在本发明的保护范围之内。因此,本发 明的保护范围应该以权利要求的保护范围为准。
权利要求
1、一种网络安全传输的方法,其特征在于,包括网络设备监测终端设备的安全状态,判断所述终端设备是否存在安全隐患;若所述终端设备存在安全隐患,依据安全控制策略控制所述终端设备的网络传输。
2、 根据权利要求1所述的网络安全传输的方法,其特征在于,所述监 测终端设备的安全状态,判断所述终端设备是否存在安全隐患的步骤包括通过定时或周期性地查询所述终端设备的杀毒程序端口 ,监测终端设备 的安全状态;若所述杀毒程序端口关闭,则确定所述终端设备存在安全隐患。
3、 根据权利要求1所述的网络安全传输的方法,其特征在于,所述安 全控制策略是本地设置或由其他网络设备提供。
4、 根据权利要求l所述的网络安全传输的方法,其特征在于,依据安全 控制策略控制所述终端设备的网络传输的步骤包括限制所述终端设备发送或接收信息; 或,接收来自所述终端设备的网络连接请求后,丟弃或过滤所述终端设备发 送的网络连接请求报文。
5、 根据权利要求1所述的网络安全传输的方法,其特征在于,所述的 方法还包括网络设备发送控制命令给所述终端设备,命令所述终端设备对所述安全 隐患的进行处理。
6、 根据权利要求5所述的网络安全传输的方法,其特征在于,所述的 方法还包括 当所述终端设备消除安全隐患后,恢复所述终端设备的网络传输。
7、 一种防病毒网关,其特征在于,包括监测模块和控制模块; 所述监测模块,用于监测终端设备的安全状态,判断所述终端是否存在安全隐患;所述控制模块,用于当所述监测模块判断所述终端设备存在安全隐患时, 依据安全控制策略控制所述终端设备的网络传输。
8、 根据权利要求7所述的防病毒网关,其特征在于,所述监测模块包 括查询模块和判断模块;所述查询模块,用于定时、周期性地查询所述终端设备的杀毒程序端口; 所述判断模块,用于判断所述杀毒程序端口是否关闭,若所述杀毒程序 端口关闭,这确定所述终端设备存在安全隐患。
9、 根据权利要求7所述的防病毒网关,其特征在于,所述安全控制策略 是本地设置或由其他网络设备提供。
10、 根据权利要求7所述的防病毒网关,其特征在于,所述控制模块包 括第一处理模块,用于当监测模块判断所述终端设备存在安全隐患时,限制 所述终端设备发送或接收信息。
11、 根据权利要求7所述的防病毒网关,其特征在于,所述控制模块包 括第二处理模块,用于当监测模块判断所述终端设备存在安全隐患时,接收 来自所述终端设备的网络连接请求后,丢弃或过滤所述终端设备发送的网络 连接请求报文。
12、 根据权利要求7所述的防病毒网关,其特征在于,所述装置进一步 包括恢复模块,用于当所述监测模块监测到所述终端设备消除安全隐患后, 通过恢复对终端设备的上网权限及内部互相访问权限,恢复所述终端设备的 网络传输。
13、 一种网络安全传输系统,其特征在于,包括至少一个防病毒网关 和一个或一个以上终端设备,终端设备与防病毒网关相连; 所述终端设备,用于接收所述防病毒网关发送的控制信息,并完成相应处理;所述防病毒网关,用于监测终端设备的安全状态,判断所述终端是否存在安全隐患;当所述监测模块判断所述终端设备存在安全隐患时,依据安全 控制策略控制所述终端设备的网络传输。
14、 根据权利要求13所述的网络安全传输系统,其特征在于,所述安全 控制策略是本地设置或由其他网络设备提供。
15、 根据权利要求13所述的网络安全传输系统,其特征在于,所述防病 毒网关进一步包括恢复模块,用于当所述监测模块监测到所述终端设备消除 安全隐患后,恢复所述终端设备的网络传输。
全文摘要
本发明提供了一种网络安全传输的方法、装置及系统。本发明所述方法包括防病毒网关用于监测终端设备的安全状态,判断所述终端是否存在安全隐患;当所述终端设备存在安全隐患时,依据安全控制策略控制所述终端设备的网络传输,并发送控制命令给终端设备,命令终端设备进行查杀病毒,消除终端设备的安全隐患。本发明所述防病毒网关装置包括监测模块、传输模块和控制模块。利用本发明,解决了网络病毒利用终端设备的安全隐患侵入网络并阻塞网络的问题,同时避免了终端设备之间病毒的相互传播,实现了网络的安全传输。
文档编号H04L29/06GK101399786SQ20071012367
公开日2009年4月1日 申请日期2007年9月29日 优先权日2007年9月29日
发明者猛 刁, 亮 李 申请人:华为技术有限公司