专利名称:网络反馈主机安全防护方法
技术领域:
本发明涉及一种网络反馈主机安全防护方法,属于网络信息安全技术领域。
背景技术:
Internet的迅速发展在提高了工作效率的同时,也带来了 一个日益严峻的问题一 一网络安全。人们研究各种不同的网络安全防护手段保护计算机和网络上的信息资 源,抵挡黑客的各种攻击活动。防火墙技术是建立在现代通信网络技术和信息安全技 术基础上的应用性安全防护技术,越来越多地应用于专用网络与公用网络的互连环境 之中,尤以Internet网络为最甚。Internet的迅猛发展,使得防火墙产品在短短的几 年内异军突起,很快形成了 一个产业。
防火墙是指设置在不同网络(如可信4壬的企业内部网和不可信的公共网)或网络安 全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口 , 能才艮据安全策略控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻 击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。在逻辑上,防火 墙是一个分离器、限制器、分析器,有效地监控内部网络和Internet之间的任何活 动,保证了内部网络的安全。防火墙深层策略的制定与安全事件的响应,以及如何防 止各种防火墙突破技术是目前防护墙研究的重点。
传统的防火墙通常是基于访问控制列表(ACL)进行包过滤的。随着计算机技术的 发展,新的防火墙技术不断涌现,如电路级网关技术、应用网关技术和动态包过滤技 水等。新一代防火墙系统不仅应该能更好地保护防火墙后面内部网络的安全,而且应 该具有更为优良的整体性能。
现有防火墙安全防护的新技术有
一种实现包过滤的防火墙及其实现包过滤的方法,该防火墙包括同步动态随机存 储器,网络处理器芯片,静态随机存储器,緩存器和引导只读存储器;该实现包过滤 的方法使用所迷防火墙包括以下步骤,-由微引擎完成以下操作接收处理,规则处 理,发送处理;由strongarm核完成控制处理。
5一种防火墙与入侵检测系统联动的方法,入侵检测系统检测到网络中的入侵行为
后,与防火墙建立联动的安全通信信道;入侵检测系统通过安全通信信道向防火墙发
送联动内容;防火墙根据收到的联动内容,生成相应的安全规则,阻断攻击行为。
一种计算机网络防火墙,其基本的控制方法是以状态包过滤的形态实现对应用 层的保护,通过内嵌的专门实现的TCP协议栈,在状态检测包过滤的基础上实现了透
明的应用信息过滤机制,防火墙的标准设计,具备完善的身份鉴别、访问控制和审计
能力,同时,系统提供了丰富的GUI方式的管理和监控工具,能够方便的对系统进行 安全策略配置、用户管理、实时监控、审计查询、流量管理等操作,为保证系统的安 全运行,系统能够有效的防范多种DOS的攻击手段,并对攻击事件进行报警。
这些防火墙技术可以分为两种基于主机的防火墙技术和基于网络的防火墙技 术。主机防火墙主要的防护对象是网络中的服务器和桌面机,主要釆用软件形式进行 防护,实时监控系统运行的各个进程和软件,保证系统不被病毒感染。主机防火墙的 优点在于能够针对主机上运行的具体应用和对外提供的服务设定针对性很强的安全 策略,监控主机上各进程、开放服务的网络连接和操作,对非法的^:作、连接和访问 给予报警和阻断。不足之处在于,如果病毒等恶意代码的采用比主机防火墙监控技术 更深层次的操作系统内核机制,主机防火墙就不能起到很好的监控效果。
而网络防火墙位于内部网与外部网以及内部各子网之间,通过包过滤、应用代 理、状态包过滤等方法,对所有进出网络的数据包进行检测。网络防火墙能够截取所 有通过的网络数据包进行检测和处理,但受到防火墙规则的限制,对某些采用欺骗、 伪装等技术进行网络连接和数据传输的病毒不能有效的一金测。
发明内容
本发明的目的是提供一种网络反馈主机安全防护方法,在计算机系统遭受入侵或 感染病毒的情况下,能够在一定程度上防止病毒、木马等恶意的对外连接,无法窃取 本地信息。本系统提供方便的管理接口,灵活配置安全策略和访问权限,提高日志和 审计功能。
该系统由硬件设备和PC终端软件组成,可以应用在个人或单位等各种网络环境 中。主要内容为主机监控软件对系统的进程、文件、应用软件、网络连接等各种资源进行监控,网络硬件设备检测并控制内外网之间的连接,主机监控与网络检测有机的 交叉融合,从而更加有效的保护计算机终端上信息的安全性。
计算机网络安全防护系统的总体结构由网络安全防护硬件设备、用户PC机、管理
和审计服务器三部分组成。网络防护系统位于PC机与Internet之间,隔离内外网络, 实现对内部网络和外部网络之间的网络连接的访问控制。PC机是用户连接Internet网 络访问的终端设备,PC机上安装有主机防护软件,监控系统中进程、文件、注册表、 应用程序等各种资源的正常运行。主机防护软件与网络安全防护硬件能够进行信息的 交互,更新网络防护规则,并对用户进行安全事件告警,由用户选择处理策略。管理 和审计服务器负责网络安全防护硬件设备的配置和管理,用户进行Internet连接和行 为及发生安全事件的审计工作。
工作步骤具体如下
步骤一策略配置与下达
在审计控制端装有管理软件,方便管理员对内部网络访问外网的权限进行配置。 管理员可对不同的用户登陆ID配置不同的权限,方便进行分别管理。控制台配置防护 规则文件,其中网址的访问控制列表是基于白名单的,访问控制列表中含有可信域名或 可信IP地址,将该配置文件下达到网络防护硬件。
步骤二网络防护^便件初始化。
网络防护硬件在接受到配置文件后,对其中用户配置的可信IP地址添加到访问控 制列表中。对其中的可信域名,通过发送DNS数据包,进行可信域名的DNS解析,获得 可信域名对应的可信IP,并把IP添加到访问控制列表中。
步骤三监控网络连接,基于步骤一,二中的形成的配置文件,实现访问控制 (一)若系统中发现有E-mail的收发,则捕获邮件数据包,根据相关邮件协议对其 进行深度解析。将解析出的发信人邮件的地址,收信人的邮件地址,是否含有附件以及 附件文件的格式等相关信息,由网络硬件防护设备反馈给用户主机,并向用户主机发送 核实信息以及确认是否收发的命令,系统根据用户的反馈命令,决定是否允许该E-mail 的收发。
这一处理机制,在用户主机感染木马、病毒后,能有效的遏制木马、病毒窃取主机的信息。
(二)若系统中发现DNS数据包,则捕获DNS数据包,对其进行深度解析。将解析 出的域名与配置文件的可信域名匹配。
如果匹配成功,则允许该DNS数据包的通过。
如果匹配不成功,网络安全防护石更件将解析DNS获得的目的地址域名信息反^t给 用户主机,询问用户是否访问。若用户回馈否,则该目的地址禁止访问,禁止该DNS数 据包的通过。若用户回馈是,则将该目的地址的IP和域名添加到配置文件的临时白名 单列表,即该IP相对步骤二中的可信IP为不完全可信IP,系统将其视为临时的白名 单,允许用户按照审计控制台形成的配置文件中已设定的访问控制策略对其进行受限访 问。
(三)对于流经的其他数据包,判断是否是流经于系统与允许访问的目的地址(包 含配置文件中的白名单和临时白名单)之间的数据交流,如果是,按照步骤四进行处理; 如果不是,则禁止其通过。
步骤四检测所有流经系统与可信地址之间的数据包,对其进行深度解析,基于设 定规则进行包过滤。
对于流经系统与该目的地址之间的数据包,基于配制文件中设定的过滤规则进行处 理,即根据数据包的源地址、目的地址、协il类型,源端口号、目的端口号,数据包头 中的各种标志位以及数据包的流向等因素来确定是否允许数据包通过。
另外,解析数据包中的应用层协议,对于应用协议中控制连接的指令包和由外网发 向内网的数据包允许通过,而对于从内网发往外网的数据包进行控制,默认为拒绝发送 状态,但可根据用户的配置策略有选择的转发。
步骤五网络行为审计
网络防护^ 更件实时统计用户的网l备^ 亍为如使用网络的用户,用户^_用网络的时间, 用户访问的网站,邮件发送接收情况,进出网络的连接以及对数据包应用层的分析等审 计信息,形成相关的日志,并将日志发送到审计控制端。
步骤六完善策略配置,更新配置文件
审计控制端冲艮据相关日志和审计信息,更改用户的访问权限,添加或删除访问控制列表中的名单,完善策略配置,更新配置文件,并把新的配置文件下达到网络防护硬件。
有益效果
1、 网络防护与主机防护的有机结合。本系统采用网络安全硬件设备与主机防护软 件结合的方式,网络防护和主机防护都不再孤立的存在,而是相互交叉融合。
2、 在计算机终端遭到木马、病毒等恶意攻击的情况下,能在一定程度上保证计算 机终端信息的安全性,使得木马、病毒无法连接远程网络和窃取信息。
3、 高效灵活的策略配置和审计功能,使用户能够及时全面的管理配置网络安全防 护系统,并掌握计算机终端所有网络连接和行为。
图1 是网络反馈主机安全防护方法的功能模块图
图2 是网络反馈主机安全防护方法工作中对邮件处理的流程图
图3 是网络反馈主机安全防护方法中除E-mail外的目的地址访问控制处理工 作流程图
图4 是网络反馈主机安全防护方法网络安全防护硬件整体结构图
图5 是网络反馈主机安全防护方法的网络硬件设备接口示意图
具体实施例方式
现结合
对发明内容进行进一步解释说明。
该系统由石更件设备和PC终端软件组成,可以应用在个人或单位等各种网络环境 中。主要内容为主机监控軟件对系统的进程、文件、应用软件、网络连接等各种资源 进行监控,网络硬件设备片企测并控制内外网之间的连接,主对凡监控与网络检测有机的 交叉融合,从而更加有效的保护计算机终端上信息的安全性。
计算才儿网络安全防护系统的总体结构由网络安全防护硬件设备、用户PC机、管理 和审计服务器三部分组成。网络防护系统位于PC机与Intemet之间,隔离内外网络,
9实现对内部网络和外部网络之间的网络连接的访问控制。PC机是用户连接Internet网 络访问的终端设备,PC机上安装有主机防护软件,监控系统中进程、文件、注册表、 应用程序等各种资源的正常运行。主机防护软件与网络安全防护硬件能够进行信息的 交互,更新网络防护规则,并对用户进行安全事件告警,由用户选择处理策略。管理 和审计服务器负责网络安全防护硬件设备的配置和管理,用户进行Internet连接和行 为及发生安全事件的审计工作。
网络安全防护硬件主要用来隔离主机与Internet,对所有进出的数据包进行检测, 判定是否允许对目的地址的访问,阻断不符合安全规则的数据,并完成与主积4关动、审 计等功能。其功能结构如图4所示,主要包括了 CPU、 SRAM、 SDRAM、 Flash、外部接 口等。网络安全防护硬件结构图如图三所示。
网络防护系统网络接口如图5所示。网络安全防护^更件有三个以太网接口和一个 USB接口。其中三个以太网接口分别连接内部主机、外部网络和审计控制。USB接口用 于和内部主机的确认交互及信息反馈。
参照系统结构图中的连接方式,将计算机终端通过网络硬件防护设备连接到 Internet,网络硬件防护设备还需连接审计管理服务器。
管理员在审计管理服务器上配置网络防护规则策略,下发至网络硬件防护设备, 网络防护硬件在接收到配置文件后,根据网址的访问控制列表中的可信域名,通过发送 DNS数据包,然后解析相应的DNS应答数据包,获得可信域名对应的可信IP,并把IP 添加到配置文件的访问控制列表中,然后系统就会按照配置文件的配置规则进行安全防 护。 '
计算机网络安全防护系统的功能模块如图l所示。整个系统含有五个功能模块,分 别为消息通信模块,网络应用访问控制模块,数据包过滤模块,审计模块,策略配置 模块。
消息通信模块实现用户主机与网络防护硬件,以及网络防护硬件与审计控制端的 信息交互。确保用户主机与网络防护硬件之间及时通信,保证审计控制端的配置文件安 全准确下达到网络防护硬件。
网络应用访问控制模块 一方面,控制邮件的收发,防止感染主机的病毒,木马窃取用户信息。另一方面,基于配置文件的白名单,对位于访问列表中的可信目的地址允
许用户直接访问;对于不在访问列表中的目的地址,通过询问用户的方式,以及根据配
置文件中设定的控制访问策略来判定是允许对目的地址的受限访问还是禁止对目的地
址的访问。
数据包过滤模块对于流经系统的所有数据包,基于配制文件中设定的过滤规则进 行处理,即根据数据包的源地址、目的地址、协议类型,源端口号、目的端口号,数据 包头中的各种标志位以及数据包的流向等因素来确定是否允许数据包通过。
审计模块统计用户的网络行为如使用网络的用户,用户使用网络的时间,用户访 问的网站,邮件发送接收情况以及处理数据包的相关信息等审计信息,并形成相关的日志o
策略配置模块根据相关日志和审计信息,更改用户的访问权限,添加或删除访问 控制列表中的名单,完善策略配置,更新配置文件。 系统的主要功能描述 (1 )控制主机的对外连接
网络防护系统可以精确控制内网主机对外的连接行为.网络防护系统可根据网络 管理员设置的网站访问权限,对内部网络实施集中的安全管理。确保一个单位内的网 络与因特网的通信符合该单位的安全策略。
即使在感染在病毒与木马后,也可以防止它们与外部通信,从而保证内部信息的 机密性。只有在访问权限内的数据包才能通过,阻止病毒与木马等对外连接,保证内 部网络的安全与可控性。 (2 )邮件安全防护
网络防护系统对邮件进行安全检测,并发送反馈信息至客户端进行确认交互。对 由内部往外部发送的邮件,如果检测到存在安全隐患,则反馈提醒信息来防止信息窃. 取。只有用户对所发送邮件内容、附件及收信人等信息确认后,邮件才能被发送出 去。即使在感染病毒或木马后,也可以防止内部机密信息外泄。 (3)对外部网络的防护
从外部网络访问内部网络的数据包,要进行包匹配检查,只有符合访问规则的数据包才能通过网络防护系统。对不安全的数据包进行过滤,隔离内外网络,保证内部 网络不受外部网络的攻击。 (4)日志与审计功能
提供了可选的审计功能,为管理人员提供下列信息谁在使用网络,在网络上做 什么,什么时间使用了网络,上网去了何处,谁要上网没有成功等审计信息。这为完 善策略配置,更新配置文件提供了宝贵的资料。
若用户访问某个目的地址(E-mai 1除外),网络安全防护系统截获流经的数据包。
若数据包是DNS数据包,网络防护硬件对其进行深度解析。将解析出的域名与配置 文件的可信域名匹配。如果匹配成功,则允许该DNS数据包的通过。如果匹配不成功, 网络安全防护硬件将解析MS获得的目的地址域名信息反馈给用户主机,询问用户是 否访问。若用户回馈否,则该目的地址禁止访问,禁止该DNS数据包的通过。若用户回 馈是,则将该目的地址的IP和域名添力口到配置文件的临时白名单列表,即该IP相对步 骤二中的可信IP为不完全可信IP,系统将其视为临时的白名单,允许用户按照控制台 下达的配置文件中已设定的访问控制策略对其进行受限访问。
若数据包不是DNS数据包,网络通过解析该数据包,获得其目的地址的IP,从而 判断该包是否是流经于系统与允许访问的目的地址(包含配置文件中的白名单和临时白 名单)之间的数据交流。如果不是,则禁止其通过;如果是,系统按照设定的过滤规则, 对该数据包进行检查和处理,任何不符合规则的数据包都将按照指定操作处理。当需要 与主机交互时,网络硬件防护设备通过USB接口与主机通信,报告安全检测结果,并根 据用户返回策略进行相应处理。
若系统中发现有用户操作E-raail的收发,则捕获邮件数据包,根据相关邮件协议 对其进行深度解析。将解析出的发信人邮件的地址,收信人的邮件地址,是否舍有附件 以及附件文件的格式等相关信息,由网络硬件防护设备反馈给用户主机,并向用户主机 发送核实信息以及确认是否收发的命令,系统根据用户的反馈命令,决定是否允许该 E-mail的收发。这在用户主机感染木马,病毒后,能有的效遏制木马、病毒窃取主机 的信息。
网络硬件防护设备记录用户的各种网络行为以及处理数据包的相关信息,形成相关曰志,并发送给审计服务器。
一段时间后,审计控制端根据相关日志和审计信息,更改用户的访问权限,添加或 删除白名单控制访问列表,完善策略配置,更新配置文件,并把新的配置文件下达到网 络防护》更件。
工作主要流程如图2 (基于邮件的处理),如图3 (除E-mail外的目的地址访问控 制处理)所示。
本发明包括但不限于以上的实施例,凡是在本发明的精神和原则之下进行的任何局 郎改进,等同替换都将视为在本发明的保护范围之内。
权利要求
1.一种网络反馈主机安全防护方法,主要由硬件设备和PC终端软件组成;其特征在于具体步骤如下步骤一策略配置与下达在审计控制端装有管理软件,方便管理员对内部网络访问外网的权限进行配置;管理员可对不同的用户登陆I D配置不同的权限,方便进行分别管理;控制台配置防护规则文件,其中网址的访问控制列表是基于白名单的,访问控制列表中含有可信域名或可信IP地址,将该配置文件下达到网络防护硬件;步骤二网络防护硬件初始化;网络防护硬件在接受到配置文件后,对其中用户配置的可信IP地址添加到访问控制列表中;对其中的可信域名,通过发送DNS数据包,进行可信域名的DNS解析,获得可信域名对应的可信IP,并把IP添加到访问控制列表中;步骤三监控网络连接,基于步骤一,二中的形成的配置文件,实现访问控制(一)若系统中发现有E-mail的收发,则捕获邮件数据包,根据相关邮件协议对其进行深度解析;将解析出的发信人邮件的地址,收信人的邮件地址,是否含有附件以及附件文件的格式等相关信息,由网络硬件防护设备反馈给用户主机,并向用户主机发送核实信息以及确认是否收发的命令,系统根据用户的反馈命令,决定是否允许该E-mail的收发;(二)若系统中发现DNS数据包,则捕获DNS数据包,对其进行深度解析;将解析出的域名与配置文件的可信域名匹配;如果匹配成功,则允许该DNS数据包的通过;如果匹配不成功,网络安全防护硬件将解析DNS获得的目的地址域名信息反馈给用户主机,询问用户是否访问;若用户回馈否,则该目的地址禁止访问,禁止该DNS数据包的通过;若用户回馈是,则将该目的地址的IP和域名添加到配置文件的临时白名单列表,即该IP相对步骤二中的可信IP为不完全可信IP,系统将其视为临时的白名单,允许用户按照审计控制台形成的配置文件中已设定的访问控制策略对其进行受限访问;(三)对于流经的其他数据包,判断是否是流经于系统与允许访问的目的地址之间的数据交流,系统与允许访问的目的地址包含配置文件中的白名单和临时白名单,如果是,按照步骤四进行处理;如果不是,则禁止其通过;步骤四检测所有流经系统与可信地址之间的数据包,对其进行深度解析,基于设定规则进行包过滤;对于流经系统与该目的地址之间的数据包,基于配制文件中设定的过滤规则进行处理,即根据数据包的源地址、目的地址、协议类型,源端口号、目的端口号,数据包头中的各种标志位以及数据包的流向等因素来确定是否允许数据包通过;另外,解析数据包中的应用层协议,对于应用协议中控制连接的指令包和由外网发向内网的数据包允许通过,而对于从内网发往外网的数据包进行控制,默认为拒绝发送状态,但可根据用户的配置策略有选择的转发;步骤五网络行为审计网络防护硬件实时统计用户的网络行为如使用网络的用户,用户使用网络的时间,用户访问的网站,邮件发送接收情况,进出网络的连接以及对数据包应用层的分析等审计信息,形成相关的日志,并将日志发送到审计控制端;步骤六完善策略配置,更新配置文件审计控制端根据相关日志和审计信息,更改用户的访问权限,添加或删除访问控制列表中的名单,完善策略配置,更新配置文件,并把新的配置文件下达到网络防护硬件。
全文摘要
本发明公开了一种网络反馈主机安全防护方法,主要由硬件设备和PC终端软件组成;具体过程为,首先进行策略配置与下达,然后对网络防护硬件初始化,获得可信域名对应的可信IP;再基于前两步形成的配置文件,实施监控网络连接,实现访问控制;接着检测所有流经系统与可信地址之间的数据包,对其进行深度解析,基于设定规则进行包过滤;再接着,对网络行为审计;最后,完善策略配置,更新配置文件;本方法在计算机终端遭到木马、病毒等恶意攻击的情况下,能在一定程度上保证计算机终端信息的安全性,并能高效灵活的策略配置和审计功能,使用户能够及时全面的管理配置网络安全防护系统,并掌握计算机终端所有网络连接和行为。
文档编号H04L29/06GK101567888SQ20091013609
公开日2009年10月28日 申请日期2009年4月28日 优先权日2008年12月29日
发明者郑康锋, 郭世泽 申请人:郭世泽;郑康锋