一种实现动态网络防护的方法、系统及动态防火墙与流程

本发明涉及计算机技术领域，更具体地说，涉及一种实现动态网络防护的方法、系统及动态防火墙。

背景技术：

随着网络技术的发展，出现了越来越多功能种类的防火墙以抵御网络攻击，其中，网络防火墙是通过对IP数据包的过滤，以枚举等方式与用户指定的规则匹对进而决定是否允许数据通行。

目前网络防火墙存在如下缺陷：

1、IP包过滤对用户透明，合法用户在进出网络时，使用方便，且具有很好的传输性能，易扩展。但是对应用层信息无感知，不能在用户级别上进行过滤，即不能识别不同的用户和防止IP地址的盗用。如果攻击者把自己主机的IP地址设成一个合法主机的IP地址，则可以很轻易地通过包过滤器，进而形成了IP欺骗；

2、客户端访问服务器时，由ISP动态分配暂时的一个IP地址，此时，IP动态变化时不能在第一时间内对防火墙规则进行更新，而当网络被攻击时，对防火墙规则配置脚本进行修改不但是压力巨大，而且效率低下，不能实时更新；

3、由于防火墙规则配置的复杂性，规则膨胀是防火墙经常会出现的安全问题，制定防火墙规则的技术人员一般仅让用户了解新的防火墙规则，不会让用户知道不再使用的服务，进而存在过期的防火墙规则，而过期的规则很容易成为受攻击的点，因此，需要不断的维护防火墙的规则文件，成本高。

技术实现要素：

本发明要解决的技术问题在于，针对现有技术中的网络防火墙的上述缺陷，提供一种实现动态网络防护的方法、系统及动态防火墙。

本发明解决上述问题所采用的技术方案是提供了一种实现动态网络防护的方法，包括：

公网服务器在预设表中查找所述客户端所要访问的内网服务器；

在所述客户端的IP地址变化时，所述公网服务器控制所述内网服务器实时更新防火墙规则以对所述客户端访问所述内网服务器进行防护。

其中，在所述客户端的IP地址变化时，所述公网服务器控制所述内网服务器实时更新防火墙规则以对所述客户端访问所述内网服务器进行防护的步骤包括：

所述公网服务器接收所述客户端上报的IP地址和访问地址；

将所述IP地址和所述访问地址生成包含所述客户端的IP地址和所述访问地址的规则信息；

向所述内网服务器发送包含所述客户端的IP地址和所述访问地址的规则信息以使所述内网服务器实时更新所述防火墙规则，进而对所述客户端访问所述内网服务器进行防护。

其中，所述内网服务器实时更新所述防火墙规则进而对所述客户端访问所述内网服务器进行防护的步骤包括：

所述内网服务器向所述公网服务器上报本机IP地址；

通过所述本机IP地址接收包含所述客户端的IP地址和所述访问地址的规则信息；

根据包含所述客户端的IP地址和所述访问地址的规则信息对所述防火墙规则进行相应操作以对所述客户端访问所述内网服务器进行防护，所述操作包括增加、删除或修改。

本发明解决上述问题所采用的另一技术方案是提供了一种实现动态网络防护的系统，包括：

客户端，用于访问内网服务器；

公网服务器，用于在预设表中查找所述客户端所要访问的所述内网服务器，并在所述客户端的IP地址变化时，控制所述内网服务器实时更新防火墙规则以对所述客户端访问所述内网服务器进行防护。

其中，所述公网服务器包括：

接收模块，用于接收所述客户端上报的IP地址和访问地址；

生成模块，用户将所述IP地址和所述访问地址生成包含所述客户端的IP地址和所述访问地址的规则信息；

发送模块，用于向所述内网服务器发送包含所述客户端的IP地址和所述访问地址的规则信息以使所述内网服务器实时更新所述防火墙规则，进而对所述客户端访问所述内网服务器进行防护。

其中，还包括：

所述内网服务器，用于在所述客户端的IP地址变化时，实时更新所述防火墙规则，进而对所述客户端访问所述内网服务器进行防护。

其中，所述更新防火墙规则为：

对所述防火墙规则进行相应操作，所述操作包括增加、删除或修改。

本发明解决上述问题所采用的又一技术方案是提供了一种内网服务器，包括：

通信模块，用于向公网服务器上报本机IP地址，并通过所述本机IP地址接收包含客户端的IP地址和访问地址的规则信息；

操作模块，用于根据包含所述客户端的IP地址和所述访问地址的规则信息对防火墙规则进行相应操作以对所述客户端访问所述内网服务器进行防护，所述操作包括增加、删除或修改。

本发明解决上述问题所采用的又一技术方案是提供了一种动态防火墙，包括：

防护模块，用于根据实时更新后的防火墙规则对客户端访问内网服务器进行防护。

其中，所述实时更新后的防火墙规则为根据包含客户端的IP地址和访问地址的规则信息对原防火墙规则进行相应操作而得到的，所述操作包括自动增加、删除或者修改。

本发明的有益效果有：通过公网服务器记录客户端与内网服务器之间的访问关系，进而客户端与所要访问的内网服务器存在对应关系，若攻击者不是使用该客户端，则攻击者使用自己的主机的IP地址假装合法的IP地址也无法通过防火墙的包过滤器，提升了防护能力。同时，当客户端的IP地址变化时，通过公网服务器实时将变化的客户端IP地址发送到该客户端所要访问的内网服务器，内网服务器则实时更新防火墙规则以便对客户端访问内网服务器进行防护，有效减少规则膨胀，且大大缩小了防火墙的过滤访问，维护更容易。另外，即使内网服务器和客户端的IP地址频繁变化，即采用动态IP技术，由于公网服务器记录客户端与所要访问的内网服务器之间的访问关系，仍能保持防护效力。

附图说明

以下结合附图及实施例，对本发明进行进一步详细说明，附图中：

图1是本发明的实现动态网络防护的方法实施方式的流程图；

图2是本发明的公网服务器控制内网服务器实时更新防火墙规则的实施方式的流程图；

图3是本发明的实现动态网络防护的系统实施方式的结构示意图；

图4是本发明的公网服务器的一个实施方式的结构示意图；

图5是本发明的公网服务器的一个实施方式的结构示意图。

具体实施方式

应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明。

如图1所示，是本发明的实现动态网络防护的方法实施方式的流程图，该方法包括以下步骤：

步骤S102：公网服务器在预设表中查找所述客户端所要访问的内网服务器；

公网服务器是指架设在公网上的服务器，内网服务器是架设在家庭或者企业的局域网或私有网络上的服务器，其均可以是机构、企业提供的公众服务器，也可以是个人或企业提供的私有服务器。客户端通过扫描内网服务器的标识信息，则该客户端即可访问该内网服务器，此时，将该客户端与该内网服务器的对应访问关系记录在预设表中，该预设表存储在公网服务器内。在客户端需要访问内网服务器时，公网服务器则在预设表中查找与该客户端存在对应访问关系的内网服务器。其中，内网服务器的标识信息具有唯一性，即该标识信息代表该内网服务器，可以是设备的ID、出厂时设置的二维码信息或者其他自定义的属性信息。

步骤S104：在所述客户端的IP地址变化时，所述公网服务器控制所述内网服务器实时更新防火墙规则以对所述客户端访问所述内网服务器进行防护。

公网服务器查找到客户端所要访问的内网服务器后，客户端即可该访问内网服务器，此时由于客户端由ISP动态分配暂时的一个IP地址，即客户端当前的IP地址变化时，公网服务器则控制该内网服务器实时更新防火墙规则，这样客户端访问该内网服务器能得到防护，且根据IP地址变化，实时更新防火墙规则，无需再维护防火墙规则。

其中，在本发明的一个实施方式中，如图2所示，步骤S104具体包括以下步骤：

步骤S1041：所述公网服务器接收所述客户端上报的IP地址和访问地址；

客户端在建立与公网服务器之间的通信连接后，向公网服务器上报当前的IP地址和所要访问内网服务器的访问地址，进而公网服务器接收该IP地址和访问地址。

步骤S1042：将所述IP地址和所述访问地址生成包含所述客户端的IP地址和所述访问地址的规则信息；

公网服务器接收到该IP地址和访问地址后，通过相关电路的调制或者通过相关软件，根据该IP地址和访问地址生成一规则信息，该规则信息包含该IP地址和该访问地址。

步骤S1043：向所述内网服务器发送包含所述客户端的IP地址和所述访问地址的规则信息以使所述内网服务器实时更新所述防火墙规则，进而对所述客户端访问所述内网服务器进行防护。

由于公网服务器架设在公网上，而内网服务器架设在局域网或私有网络上，内网服务器需向公网服务器上报本机IP地址，进而公网服务器通过穿透、端口映射等技术访问内网服务器，此时，公网服务器向内网服务器下发包含客户端的IP地址和访问地址的规则信息。

其中，在本发明的一个实施方式中，所述内网服务器实时更新所述防火墙规则，进而对所述客户端访问所述内网服务器进行防护的步骤包括：内网服务器向公网服务器上报本机IP地址；通过该本机IP地址接收包含客户端的IP地址和访问地址的规则信息；根据包含客户端的IP地址和访问地址的规则信息对防火墙规则进行相应操作以对客户端访问内网服务器进行防护，其中，根据规则信息对防火墙规则进行增加、删除或者修改，例如，在防火墙规则文件中增加包含客户端的IP地址的防火墙规则，以允许该IP地址，进而在内网服务器响应客户端的访问请求后，对该客户端的访问行为进行防护。

本实施方式中，通过公网服务器记录客户端与内网服务器之间的访问关系，进而客户端与所要访问的内网服务器存在对应关系，若攻击者不是使用该客户端，则攻击者使用自己的主机的IP地址假装合法的IP地址也无法通过防火墙的包过滤器，提升了防护能力。同时，当客户端的IP地址变化时，通过公网服务器实时将变化的客户端IP地址发送到该客户端所要访问的内网服务器，内网服务器则实时更新防火墙规则以便对客户端访问内网服务器进行防护，有效减少规则膨胀，且大大缩小了防火墙的过滤访问，维护更容易。另外，内网服务器和客户端的IP地址频繁变化，即采用动态IP技术，由于公网服务器记录客户端与所要访问的内网服务器之间的访问关系，仍能保持防护效力。

如图3所示，是本发明的实现动态网络防护的系统实施方式的结构示意图。该系统通过上述实施方式的方法来实现动态网络防护，该系统包括客户端31、公网服务器32、内网服务器33和动态防火墙34。

客户端31用于访问内网服务器33。其中，客户端31与内网服务器33存在对应关系，记录在公网服务器32的预设表中。

公网服务器32用于在预设表中查找所述客户端所要访问的所述内网服务器，并在所述客户端的IP地址变化时，控制所述内网服务器实时更新防火墙规则以对所述客户端访问所述内网服务器进行防护。如图4所示，是本发明的公网服务器的一个实施方式，具体地，包括接收模块321、生成模块322和发送模块323，其中，接收模块321用于接收所述客户端上报的IP地址和访问地址；生成模块322用于将所述IP地址和所述访问地址生成包含所述客户端的IP地址和所述访问地址的规则信息；发送模块323用于向所述内网服务器发送包含所述客户端的IP地址和所述访问地址的规则信息以使所述内网服务器实时更新所述防火墙规则，进而对所述客户端访问所述内网服务器进行防护。在一些实施方式中，接收模块321和发送模块323可采用同样的硬件或者软件来实现，生成模块322采用公网服务器的处理单元来实现，例如相关调制的电路。

内网服务器33用于在所述客户端的IP地址变化时，实时更新所述防火墙规则，进而对所述客户端访问所述内网服务器进行防护，其中，更新防火墙为对所述防火墙规则进行相应操作，操作包括增加、删除或修改。

如图5所述，是本发明的内网服务器的一个实施方式，包括通信模块331和操作模块332。

通信模块331用于向公网服务器上报本机IP地址，并通过所述本机IP地址接收包含客户端的IP地址和访问地址的规则信息；

操作模块332用于根据包含所述客户端的IP地址和所述访问地址的规则信息对防火墙规则进行相应操作以对所述客户端访问所述内网服务器进行防护，其中，对防火墙规则进行的操作包括增加、删除或修改。

动态防火墙34用于对所述客户端访问所述内网服务器进行防护，具体地，包括防护模块341，该防火模块341用于根据实时更新后的防火墙规则对客户端访问内网服务器进行防护，其中，实时更新后的防火墙规则为根据包含客户端的IP地址和访问地址的规则信息对原防火墙规则进行相应操作而得到的，其中，对原防火墙进行的操作包括自动增加、删除或者修改。

以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求的保护范围为准。