一种基于WFP平台的网络访问控制方法及装置与流程

本发明涉及网络安全领域，具体涉及一种基于wfp平台的网络访问控制方法及装置。

背景技术：

sslvpn软件使用spi注入或者hook技术，将应用的网络访问重定向到本地的代理模块，通过本地代理模块建立的虚拟安全通道实现相关服务的访问。对于windows10系统上出现的windowsapps无法获取网络访问过程，比如edge浏览器就属于windowsapps，sslvpn软件针对windows10系统上的某些应用存在兼容行问题。网络行为控制软件，根据设置不同，可以限制程序可以访问的远程ip或端口，或者限制某些程序访问网络。

为了网络访问的安全，现有技术中的网络重定向技术如如图1所示。

1)应用程序启动；

2)用户进行交互操作；

3)判断是否退出保护，如果是，则结束，否则跳转到步骤4)；

4)是否进行网络访问，如果是，对网络访问重定向，进行处理处理；否则，跳转到步骤5)；

5)进行其他处理，跳转到步骤2)。

上述网络重定向技术，只针对普通应用程序有效，windows10系统上的windowsapps使用全新的技术，使原来的网络重定向技术失效，不能实现windowsapps的网络重定向。

技术实现要素：

为解决上述技术问题，本发明提供了一种基于wfp(windowsfilterplatform)平台的网络访问控制方法，包括以下步骤：

1).操作系统启动相关系统服务；

2).启动进程监控模块及策略解析模块；

3).启动网络代理模块；

4).用户启动应用程序；

5).所述应用程序访问远程数据；

6).核心驱动模块截获所述应用程序的网络访问行为，根据配置的控制策略和代理信息，进行网络访问的禁止、放行、或者重定向操作。

优选的，所述步骤1)操作系统启动相关系统服务包括：初始化桌面环境、运行核心驱动模块及系统服务。

优选的，所述步骤2)启动进程监控模块及策略解析模块包括：

2.1).所述进程监控模块及策略解析模块启动后，等待进程创建通知；

2.2).接收到进程创建通知后，进行进程识别，进行进程配置策略数据解析；

2.3).进程配置策略数据解析完成后，通知所述核心驱动模块，更新相关进程配置策略数据；

2.4).判断是否为退出事件，如果是退出，则响应动作，退出进程；否则返回步骤2.1)。

优选的，所述步骤3)启动网络代理模块包括：

3.1).所述网络代理模块启动后，将代理进程信息通知核心驱动模块；

3.2).代理进程进行数据转发；

3.3).判断是否为退出事件，如果是退出，则响应动作，退出进程；否则返回步骤3.2)。

为解决上述技术问题，本发明提供了一种基于wfp(windowsfilterplatform)平台的网络访问控制系统，该系统包括：应用策略配置层、核心驱动层、重定向代理层；

其中，所述应用策略配置层，负责进程启动监控及策略配置数据解析下发；

所述核心驱动层，接收策略配置数据和代理配置数据，处理进程网络访问行为；

所述重定向代理层，负责代理信息设置，处理网络访问数据。

优选的，所述应用策略配置层由进程启动监控模块和策略解析模块组成；

所述进程启动监控模块，负责监控进程的启动和关闭；

所述策略解析模块，根据进程启动监控模块提供的进程信息，将所述策略配置数据进行解析，返回与进程相关的策略数据。

优选的，所述进程启动监控模块，负责监控进程的启动和关闭具体包括：进程启动时，进行进程识别并调用策略解析模块分析进程应用的策略，将进程的策略配置数据下发给核心驱动层；进程关闭时，下发命令给核心驱动层，清除相关策略配置数据。

优选的，所述核心驱动层，基于wfp平台的callout驱动插件，负责接收应用策略配置层下发的进程策略配置数据和重定向代理层下发的代理配置信息，并根据策略配置数据对相关进程的网络访问进行控制，做出禁止、放行、重定向等操作。

优选的，所述重定向代理层包括：加密库、网络代理模块；重定向代理层将所述网络代理模块的进程信息下发到所述核心驱动层，同时代理受控进程的网络访问，根据所述策略配置数据对网络数据进行加密处理。

为解决上述技术问题，本发明提供了一种计算设备，该计算设备包括处理器和存储介质，所述存储介质包括计算机程序指令，所述处理器通过执行所述计算机程序指令实现权利要求1-4之一的方法。

通过本发明的技术方案，本发明的架构先进，技术稳定，兼容性高；兼容windowsapps，实现进进程粒度的网络访问控制，权限控制灵活；客户端安全性高。

附图说明

图1是现有技术实现流程图

图2是本发明的系统架构图

图3是本发明具体方法流程图

图4是本发明一实施例的方法流程图

具体实施方式

名词解释：

windowsapps：windows通用平台的应用，比如windows10操作系统自带的edge浏览器、应用商店等。

win10：指微软最新的windows10操作系统。

wfp：windowsfilterplatform，为网络过滤应用开发平台提供支持的api和系统服务的集合。

sslvpn：指的是基于安全套接层协议(securitysocketlayer-ssl)建立远程安全访问通道的vpn技术。它是近年来兴起的vpn技术，其应用随着web的普及和电子商务、远程办公的兴起而发展迅速。

本发明从实际需求和应用的角度出发，基于windows系统的wfp过滤平台，使用内核技术，实现callout驱动。在内核层拦截所有应用的网络访问行为，根据每个应用配置的不同策略，实现对网络访问的禁止、放行或者重定向操作；可以根据配置，对重定向数据进行加密传输。针对windows应用，本技术可以完全兼容，减少了安全漏洞。

如图2，基于wfp过滤平台的网络控制方法，总体上划分为三个层次：应用策略配置层、核心驱动层、重定向代理层。应用策略配置层，负责进程启动监控及策略配置解析下发；核心驱动层，接收策略配置数据和代理配置数据，处理进程网络访问行为；重定向代理层，负责代理信息设置，处理网络访问数据。

应用策略配置层，位于总体架构的最上层，由进程启动监控模块和策略数据解析模块组成。进程启动监控模块，负责监控进程的启动和关闭，进程启动时，进行进程识别并调用策略解析模块分析进程应用的策略，将进程的策略数据下发给内核驱动模块；进程关闭时，下发命令给驱动，清除相关策略数据。策略解析模块，根据进程监控模块提供的进程信息，将配置的策略数据进行解析，返回与进程相关的策略数据。

核心驱动层，基于wfp平台的callout驱动插件，负责接收应用策略配置层下发的进程策略数据和重定向代理层下发的代理配置信息，并根据配置数据对相关进程的网络访问进行控制，做出禁止、放行、重定向等操作。

重定向代理层，位于整体架构的最下层，将代理模块的进程信息下发到核心驱动层，同时代理受控进程的网络访问，根据配置可对网络数据进行加密处理(需远端代理配合，支持国密算法)。

如图3，为本发明的系统执行流程。

在此，描述下本架构的系统流程：

1、系统开机后，操作系统启动相关系统服务，初始化桌面环境，运行核心驱动及系统服务。

2、启动进程监控及策略解析模块。

a、模块启动后，等待进程创建或关闭通知。

b、接收到进程创建或关闭通知后，进行进程识别，进行进程配置策略解析。

c、进程策略数据解析完成后，通知核心驱动层，更新相关策略数据。

d、判断是否为退出事件，如果是退出，则响应动作，退出程序；否则返回a，继续接收进程通知。

3、启动网络代理模块。

a、模块启动后，将代理进行信息通知和兴驱动层。

b、代理进程进出数据转发。

c、判断是否为退出事件，如果是退出，则响应动作，退出程序；否则返回b，继续接收进程通知。

4、用户启动应用程序。

5、用户操作程序访问远程数据。

6、核心驱动截获应用的网络访问行为，根据配置的控制策略和代理信息，进行禁止、放行、或者重定向操作。

7、用户关闭应用程序。

8、判断用户关机操作，如果非关机，则转至4处执行；否则转至9处执行。

9、系统关机。

如图4，为应用本发明的一个具体实施例。

1、计算机系统登录后，登录v3账号系统，验证通过后转至第2步处理。

2、v3后台服务及相关模块启动初始化，完成后转至第3步处理。

3、v3客户端接收控制台配置的用户策略，完成后转至第4步处理。

4、用户启动应用程序，转至第5步处理。

5、基于wfp平台的内核驱动，拦截网络访问，转至第6步处理。

6、内核驱动根据配置的进程策略和代理进程信息，控制应用的网络访问行为(禁止访问；放行；重定向至代理模块处理)，转至第7步处理。

7、用户结束应用程序，转至第8步继续处理

8、检查是否退出系统，如果不是，则转至第3步处理；否则退出系统，结束。

近几年，随着各种泄密事件突发，对国家安全和长远发展都构成了极大威胁。因此国家专门成立了国家信息安全小组，十分重视网络安全。针对关系到国计民生的金融行业等提出了更高的安全防护要求，避免发生泄密事件。

针对金融行业的特点，v3不断更新完善，加强对网络应用的防护，各项功能得到金融业的广泛认可，在实际项目中得到大力推广。

本发明架构先进，技术稳定，兼容性高；兼容windowsapps，实现进进程粒度的网络访问控制，权限控制灵活；客户端安全性高。

以上所述仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内，所作的任何修改、等同替换以及改进等，均应保护在本发明的保护范围之内。