专利名称:防火墙中多个安全模块之间联动防御的方法及防火墙的制作方法
技术领域:
本发明涉及到数据安全技术领域,特别涉及到一种防火墙中多个安全模块之间联动防御的方法及系统。
背景技术:
目前传统的 IPS (Intrusion Prevention System,入侵防御系统)、WAF (WebApplication Firewall,TOB应用防火墙)、杀毒以及内容过滤等安全模块发现攻击行为时,只能简单阻断由当前攻击产生的会话,攻击者发现会话被阻断后,可能换一种攻击方式或更简单地换个源端口再次发起攻击。上述安全模块则需要再次进行检测,对于来自同一个攻击人的攻击需要安全引擎不断地检测,消耗安全模块的资源。同时,黑客使用应用扫描、漏洞利用、Web入侵、木马后门以及恶意网站等不同的攻击手法进行攻击时,IPS、WAF、杀毒、内容过滤等安全模块都是各自处理自己的数据,各个安全模块之间缺少联动,不能快速准确的阻断攻击,影响安全防范的效率。
发明内容
本发明的主要目的为提供一种防火墙中多个安全模块之间联动防御的方法,提升安全防御的效率。本发明提出一种防火墙中多个安全模块之间联动防御的方法,包括步骤防火墙在检查访问安全时,获取所述访问的访问者特征并根据预设的攻击者特征库进行匹配;当匹配成功时,阻断当前访问者的访问。优选地,所述防火墙在检查访问安全时,获取所述访问的访问者特征并根据预设的攻击者特征库进行匹配的步骤之前,还包括防火墙建立攻击者特征库。优选地,所述防火墙在检查访问安全时,获取所述访问的访问者特征并根据预设的攻击者特征库进行匹配的步骤之前,还包括当安全模块检测到攻击时,获取攻击者特征放入防火墙中建立的攻击者特征库保存。优选地,所述安全模块包括IPS、WAF、杀毒和/或内容过滤模块。优选地,所述攻击者特征库为访问控制列表。本发明还提出一种防火墙,包括检查匹配单元,用于在检查访问安全时,获取所述访问的访问者特征并根据预设的攻击者特征库进行匹配;阻断访问单元,用于当匹配成功时,阻断当前访问者的访问。优选地,所述防火墙还包括
特征库建立单元,用于建立攻击者特征库。优选地,所述防火墙还包括特征获取单元,用于当安全模块检测到攻击时,获取攻击者的特征放入防火墙中建立的攻击者特征库中保存。优选地,所述安全模块包括IPS、WAF、杀毒和/或内容过滤模块。优选地,所述攻击者特征库为访问控制列表。本发明可在防火墙中的各个安全模块之间形成联动,使得各个安全模块不再相互割裂,形成一个有效的闭环,抵御外部的攻击,有效提升了防火墙防御速度和准确度。
图1是本发明防火墙中多个安全模块之间联动防御的方法一实施例中的步骤流程示意图;图2是本发明防火墙中多个安全模块之间联动防御的方法另一实施例中的步骤流程示意图;图3是本发明防火墙中多个安全模块之间联动防御的效果示意图;图4是本发明防火墙一实施例中的结构示意图;图5是本发明防火墙另一实施例中的结构示意图。本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施例方式应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。参照图1,提出本发明一种防火墙中多个安全模块之间联动防御的方法一实施例。该方法可包括步骤S10、防火墙在检查访问安全时,获取所述访问的访问者特征并根据预设的攻击者特征库进行匹配;步骤S11、当匹配成功时,阻断当前访问者的访问。针对传统防火墙内部各个安全模块不能联动缺点,上述防火墙中多个安全模块之间联动防御的方法,通过攻击者特征库对访问进行检查。当访问对应的访问者特征存在于该攻击者特征库中时,即可说明该访问者有过攻击记录,防火墙可直接终止该访问,阻断攻击。从而可不用经过安全模块引擎检测,即可实现对攻击的阻断,提升了安全防御的效率。参照图2,在本发明的另一实施例中,上述步骤SlO之前还可包括步骤S100、防火墙建立攻击者特征库;步骤S101、当安全模块检测到攻击时,获取攻击者的特征放入防火墙中建立的攻击者特征库保存。防火墙中可预先建立攻击者特征库,该攻击者特征库可为访问控制列表(ALC),即上述访问者特征可为访问者身份特征。该访问控制列表的规则可预先设置,该规则包括设定允许被访问的访问者白名单以及禁止被访问的黑名单等。同时,当出现攻击数据被安全模块引擎检测出来后,由安全模块及时将当前进行攻击的攻击者加入防火墙的ACL规则中。当已加入ACL中的攻击者继续攻击时,就会命中防火墙中ACL规则,不用经过安全模块引擎的检测,即可阻断该攻击,而且只要是来自该攻击者的任何攻击都会被拦截。上述安全模块可包括IPS、WAF、杀毒和/或内容过滤模块等。(参照图3)上述防火墙中多个安全模块之间联动防御的方法,可在防火墙中的各个安全模块之间形成联动,使得各个安全模块不再相互割裂,形成一个有效的闭环,抵御外部的攻击,有效提升了防火墙防御速度和准确度;且防火墙可自行获取攻击者特征并保存到攻击者特征库中,相较传统防火墙而言,无需管理员手动调整防火墙的控制策略,既可节省管理员工作量,又保证了攻击者特征库能够及时更新,有效提升防火墙防御的精确度。参照图4,提出本发明一种防火墙20 —实施例。该防火墙20可包括检查匹配单元21以及阻断访问单元22 ;该检查匹配单元21,用于在检查访问安全时,获取所述访问的访问者特征并根据预设的攻击者特征库进行匹配;该阻断访问单元22,用于当匹配成功时,阻断当前访问者的访问。针对传统防火墙20内部各个安全模块不能联动缺点,上述防火墙20可通过检查匹配单元21利用攻击者特征库对访问进行检查。当访问对应的访问者特征存在于该攻击者特征库中时,即可说明该访问者有过攻击记录,防火墙20可使用阻断访问单元22直接终止该访问,阻断攻击。从而可不用经过安全模块引擎检测,即可实现对攻击的阻断,提升了安全防御的效率。参照图5,上述防火墙20还可包括特征库建立单元200以及特征获取单元201 ;特征库建立单元200,用于建立攻击者特征库;该特征获取单元201,用于当安全模块检测到攻击时,获取攻击者的特征加入防火墙20中建立的攻击者特征库中保存。防火墙20可通过特征库建立单元200预先建立攻击者特征库,该攻击者特征库可为访问控制列表(ALC),即上述访问者特征可为访问者身份特征。该访问控制列表的规则可预先设置,该规则包括设定允许被访问的访问者白名单以及禁止被访问的黑名单等。上述特征获取单元201可设置于安全模块中,各个安全模块中可分别设置。当出现攻击数据被安全模块引擎检测出来后,由安全模块通过特征获取单元201及时将当前进行攻击的攻击者加入防火墙20的ACL规则中。当已加入ACL中的攻击者继续攻击时,就会命中防火墙20中ACL规则,不用经过安全模块引擎的检测,即可阻断该攻击,而且只要是来自该攻击者的任何攻击都会被拦截。上述安全模块可包括IPS、WAF、杀毒和/或内容过滤模块等。上述防火墙20可在各个安全模块之间形成联动,使得各个安全模块不再相互割裂,形成一个有效的闭环,抵御外部的攻击,有效提升了防火墙20防御速度和准确度;且防火墙可自行获取攻击者特征并保存到攻击者特征库中,相较传统防火墙而言,无需管理员手动调整防火墙的控制策略,既可节省管理员工作量,又保证了攻击者特征库能够及时更新,有效提升防火墙防御的精确度。以上所述仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
权利要求
1.一种防火墙中多个安全模块之间联动防御的方法,其特征在于,包括步骤防火墙在检查访问安全时,获取所述访问的访问者特征并根据预设的攻击者特征库进行匹配;当匹配成功时,阻断当前访问者的访问。
2.根据权利要求1所述的防火墙中多个安全模块之间联动防御的方法,其特征在于,所述防火墙在检查访问安全时,获取所述访问的访问者特征并根据预设的攻击者特征库进行匹配的步骤之前,还包括防火墙建立攻击者特征库。
3.根据权利要求1或2所述的防火墙中多个安全模块之间联动防御的方法,其特征在于,所述防火墙在检查访问安全时,获取所述访问的访问者特征并根据预设的攻击者特征库进行匹配的步骤之前,还包括当安全模块检测到攻击时,获取攻击者特征放入防火墙中建立的攻击者特征库保存。
4.根据权利要求3所述的防火墙中多个安全模块之间联动防御的方法,其特征在于,所述安全模块包括IPS、WAF、杀毒和/或内容过滤模块。
5.根据权利要求1或2所述的防火墙中多个安全模块之间联动防御的方法,其特征在于,所述攻击者特征库为访问控制列表。
6.一种防火墙,其特征在于,包括检查匹配单元,用于在检查访问安全时,获取所述访问的访问者特征并根据预设的攻击者特征库进行匹配;阻断访问单元,用于当匹配成功时,阻断当前访问者的访问。
7.根据权利要求6所述的防火墙,其特征在于,所述防火墙还包括特征库建立单元,用于建立攻击者特征库。
8.根据权利要求6或7所述的防火墙,其特征在于,所述防火墙还包括特征获取单元,用于当安全模块检测到攻击时,获取攻击者的特征放入防火墙中建立的攻击者特征库中保存。
9.根据权利要求8所述的防火墙,其特征在于,所述安全模块包括IPS、WAF、杀毒和/或内容过滤模块。
10.根据权利要求6或7所述的防火墙,其特征在于,所述攻击者特征库为访问控制列
全文摘要
本发明揭示了一种防火墙中多个安全模块之间联动防御的方法及防火墙。该方法可包括步骤防火墙在检查访问安全时,获取所述访问的访问者特征并根据预设的攻击者特征库进行匹配;当匹配成功时,阻断当前访问者的访问。本发明可在防火墙中的各个安全模块之间形成联动,使得各个安全模块不再相互割裂,形成一个有效的闭环,抵御外部的攻击,有效提升了防火墙防御速度和准确度。
文档编号H04L29/06GK102571786SQ201110454169
公开日2012年7月11日 申请日期2011年12月30日 优先权日2011年12月30日
发明者赵振洋 申请人:深信服网络科技(深圳)有限公司