网络安全防护方法、网元设备、系统及计算机存储介质与流程

本发明涉及防护技术，尤其涉及一种网络安全防护方法、网元设备、系统及计算机存储介质。

背景技术：

现有的网络中，以lte网络架构为例，为了确保网络安全，如图1所示的一个网络架构中，每个省级网络的出口处存在一个隔离区(dmz，demilitarizedzone)。dmz网络的特性是保护内网不受到外部网络的攻击，其中在内网出口处，dmz存在网络地址转换(nat，networkaddresstranslation)转化，将内网的地址转换为隔离区的一个地址，同时在防火墙处再次通过nat转换为外部的网络，从而对内网进行了保护。该dmz功能是：监听网络信息，并主动终止非法的信息传递。

目前mec设备部署在s1口上，当用户发起数据请求，若是本地业务请求，则请求数据直接本地路由转发，若非本地业务，则将数据直接上传到epc，正常进入外部网络。其中在epc后端的dmz域是隔离区，是外网和内网的一个缓冲区，保证了内网的安全性，但是，网络加入了mec后，该处提供了一个本地路由转发的功能，该处没有任何保护措施，内网容易暴露于外网，存在较大的安全隐患。

采用现有技术存在的问题是：对于mec设备而言，当前并没有针对mec设备入网所提供的安全性保护措施，mec设备的出口侧无法主动切断存在安全隐患的通信，同时，网络加入了mec设备后，该设备提供了一个外网访问内网的端口，容易受到来自外网的攻击，存在较大安全风险。

技术实现要素：

有鉴于此，本发明实施例希望提供一种网络安全防护方法、网元设备、系统及计算机存储介质，至少解决了现有技术存在的问题。

本发明实施例的技术方案是这样实现的：

本发明实施例的一种网络安全防护方法，在mec设备的出口侧设置子隔离区dmz，至少一个子dmz、epc后端的总dmz、及与总dmz连接的dmz管理平台构成分布式的网络安全架构；所述方法包括：

对数据流进行监控；

当监测到所述数据流会导致网络安全风险的监控信息时，向总dmz上报所述监控信息；

主动切断所述数据流，结束用户通信。

上述方案中，所述对数据流进行监控，包括：

对内网的mec数据流、和/或内网与外网通信的外网数据流进行监控，得到网络端口信息；

将所述网络端口信息确定为待监控信息。

上述方案中，所述对数据流进行监控，包括：

对内网的mec数据流、和/或内网与外网通信的外网数据流进行监控，对数据流中表征用户信息的数据包进行解析，提取出符合特征的关键字；

所述关键字用于记录用户的访问信息参数；

将所述访问信息参数确定为待监控信息。

上述方案中，当监测到所述数据流会导致网络安全风险的监控信息时，向总dmz上报所述监控信息，包括：

当监测到所述待监控信息为导致网络安全风险的监控信息时，将所述监控信息实时上报给所述总dmz；或者，

当监测到所述待监控信息为导致网络安全风险的监控信息时，将所述监控信息周期性上报给所述总dmz；或者，

当监测到所述待监控信息为导致网络安全风险的监控信息时，响应当前时刻接收到的所述dmz管理平台下发的统计命令，将对应所述当前时刻所统计得到的监控信息主动上报给所述总dmz。

上述方案中，所述主动切断所述数据流，结束用户通信，包括：

根据所述监控信息，将所述数据流的通信端口进行切断，终止所述与所述通信端口的链路通信。

本发明实施例的一种网元设备，所述网元设备包括：存储器和处理器；其中，

所述存储器，用于存储能够在处理器上运行的计算机程序；

所述处理器，用于运行所述计算机程序时，对数据流进行监控；当监测到所述数据流会导致网络安全风险的监控信息时，向总dmz上报所述监控信息；主动切断所述数据流，结束用户通信。

上述方案中，所述处理器，还用于对内网的mec数据流、和/或内网与外网通信的外网数据流进行监控，得到网络端口信息；将所述网络端口信息确定为待监控信息。

上述方案中，所述处理器，还用于对内网的mec数据流、和/或内网与外网通信的外网数据流进行监控，对数据流中表征用户信息的数据包进行解析，提取出符合特征的关键字；所述关键字用于记录用户的访问信息参数；将所述访问信息参数确定为待监控信息。

上述方案中，所述处理器，还用于当监测到所述待监控信息为导致网络安全风险的监控信息时，将所述监控信息实时上报给所述总dmz；或者，当监测到所述待监控信息为导致网络安全风险的监控信息时，将所述监控信息周期性上报给所述总dmz；或者，当监测到所述待监控信息为导致网络安全风险的监控信息时，响应当前时刻接收到的所述dmz管理平台下发的统计命令，将对应所述当前时刻所统计得到的监控信息主动上报给所述总dmz。

上述方案中，所述处理器，还用于根据所述监控信息，将所述数据流的通信端口进行切断，终止所述与所述通信端口的链路通信。

本发明实施例的一种网络安全防护系统，所述系统包括：mec设备、在mec设备的出口侧设置的子隔离区dmz、至少一个子dmz、epc后端的总dmz、及与总dmz连接的dmz管理平台；其中，

所述至少一个子dmz，包括：存储器和处理器；

所述存储器，用于存储能够在处理器上运行的计算机程序；

处理器，用于运行所述计算机程序时，执行如上述方案中任一项所述方法的步骤。

本发明实施例的一种计算机存储介质，其上存储有计算机程序，其特征在于，该计算机程序被处理器执行时实现如上述方案中任一项所述方法的步骤。

本发明实施例的网络安全防护方法，是在mec设备的出口侧设置子隔离区dmz，至少一个子dmz、epc后端的总dmz、及与总dmz连接的dmz管理平台构成分布式的网络安全架构。所述方法包括：对数据流进行监控；当监测到所述数据流会导致网络安全风险的监控信息时，向总dmz上报所述监控信息；主动切断所述数据流，结束用户通信。

采用本发明实施例，在mec设备的出口侧设置了子dmz，通过子dmz所提供的功能可以主动切断存在安全隐患的通信，避免了mec设备所提供的外网访问内网的端口受到来自外网的攻击，降低了网络安全风险。且，由子dmz、总dmz和dmz管理平台所构成的分布式架构部署，可以保证网络部署的灵活性，降低了整体设备的投入。

附图说明

图1为现有技术中的一个包含mec设备的网络安全架构示意图；

图2为本发明实施例一方法的实现流程图；

图3为应用本发明实施例一dmz域及其模块组成的示意图；

图4为应用本发明实施例一dmz分布式架构的示意图；

图5为应用本发明实施例一包括mec设备的网络安全架构示意图；

图6为应用本发明实施例一dmz域中子dmz域和总dmz域的信息交互示意图。

具体实施方式

下面结合附图对技术方案的实施作进一步的详细描述。

本发明实施例的一种网络安全防护方法，是在mec设备的出口侧设置子dmz，至少一个子dmz、epc后端的总dmz、及与总dmz连接的dmz管理平台构成分布式的网络安全架构。如图2所示，所述方法包括：

步骤101、对数据流进行监控；

步骤102、当监测到所述数据流会导致网络安全风险的监控信息时，向总dmz上报所述监控信息；

步骤103、主动切断所述数据流，结束用户通信。

在如图1所示的现有网络安全架构中，只有防火墙对mec设备进行保护，而防火墙并不能主动阻断存在网络安全风险的通信。而在本发明实施例中，在mec设备的出口侧设置子dmz，通过子dmz所提供的功能可以主动切断存在安全隐患的通信，即：利用子dmz的阻断功能来切断异常通信。具体的，当监测到所述数据流会导致网络安全风险的监控信息时，向总dmz上报所述监控信息，以进行实时告警。在上报之前、之后或者同时的任意时机都可以触发切断数据流的操作，以避免mec设备所提供的外网访问内网的端口受到来自外网的攻击，从而降低网络安全风险。

本发明实施例中，由子dmz、总dmz和dmz管理平台构成的分布式架构中，子dmz和总dmz都具备监控功能、上报功能和阻断功能。在子dmz和总dmz中都至少包含如图3所示的各个模块，即：执行监控功能的监控模块11、执行上报功能的上报模块12、执行阻断功能的阻断模块13。

本发明实施例中，由子dmz、总dmz和dmz管理平台构成的分布式架构的一个示例如图4所示，总dmz与dmz管理平台直连，起对子dmz信息收集、分析、统一管控，参数配置及上报等功能。采用这种分布式架构，可以保证络部署的灵活性，从而降低了整体设备的投入。

本发明实施例中，包含mec设备和上述分布式架构的一个系统示意图如图5所示，在mec设备和企业网络/internet之间增加了缓冲区dmz域和防火墙，其中dmz域和mec共虚拟化平台部署，所述共虚拟化平台部署的一个示例指采用同一套硬件设备，而将dmz域和mec的一些软件功能都配置于mec设备上。同时，该系统中，还增加了一套dmz的管理平台，通过dmz的管理平台对dmz网络域进行管理和监控。dmz网络域中，与mec设备相连的子dmz域而言，其具体实现可以为：过mec部分数据达到dmz隔离区后，通过nat进行地址转换，当数据从防火墙出去时候，同样再次经过一次nat转换为外网地址，同理外网数据进内网之后同样存在nat转换，保证了数据访问安全性，保护内网的安全性。而在epc后端的dmz，是上述分布式架构中的dmz总节点(可以称为总dmz)。各个mec设备出口处是dmz子区域，从而将整个移动网络的内网与外网进行了完全隔离。由于dmz总节点(可以称为总dmz)直连了dmz管理平台，因此，dmz总节点(可以称为总dmz)可以在该dmz管理平台的控制下，对网络中的子dmz进行参数配置，统计所有子dmz上报信息，并统一更新现有的网络安全配置参数。

本发明实施例一实施方式中，所述对数据流进行监控，包括：对内网的mec数据流、和/或内网与外网通信的外网数据流进行监控，得到网络端口信息，比如报警信息。一个示例可以为端口报警信息。将所述网络端口信息确定为待监控信息。

本发明实施例一实施方式中，所述对数据流进行监控，包括：对内网的mec数据流、和/或内网与外网通信的外网数据流进行监控，对数据流中表征用户信息的数据包进行解析，提取出符合特征的关键字，比如用户访问数据特征信息。所述关键字用于记录用户的访问信息参数。将所述访问信息参数确定为待监控信息。

本发明实施例一实施方式中，当监测到所述数据流会导致网络安全风险的监控信息时，向总dmz上报所述监控信息，存在三种上报方式，分别阐述如下：

一、当监测到所述待监控信息为导致网络安全风险的监控信息时，将所述监控信息实时上报给所述总dmz。一个示例中，实时上报是各子dmz域监控到网络存在安全风险，或者提取关键信息时候发现了有违法或者网络受到入侵时，立马将其上报给总dmz域，进行实时告警。

二、当监测到所述待监控信息为导致网络安全风险的监控信息时，将所述监控信息周期性上报给所述总dmz。一个示例中，各子dmz域会将网络访问的一些信息进行定时上报，包括访问的参数信息，以及该网络受到攻击等信息定期上报，dmz管理平台将收集到的信息进行汇总，更新统一的dmz区访问参数，并将其统一下发到各个子dmz域中，实时保护整个内网的安全。

三、当监测到所述待监控信息为导致网络安全风险的监控信息时，响应当前时刻接收到的所述dmz管理平台下发的统计命令，将对应所述当前时刻所统计得到的监控信息主动上报给所述总dmz。一个示例中，dmz管理平台主动下发了统计命令，各dmz域(包括各子dmz域和总dmz域)主动将该时刻统计信息进行主动上报。

如图4所示，各dmz域(包括各子dmz域和总dmz域)包含监控模块11，上报模块12和阻断模块13，可以实现分布式的dmz架构。其中，监控模块11包含网络端口信息监控，对用户信息的数据包解析功能，并提取其中关键字，记录用户的访问信息参数等；上报模块12是将监控信息(用户访问数据特征信息，报警信息等)进行存储并上报；阻断模块13功能是主动切断用户的通信。dmz管理平台提供了一套可视化操作界面，在该可视化操作界面中，可以呈现网络中所有的dmz系统运行状况。

本发明实施例一实施方式中，主动切断所述数据流，结束用户通信，包括：根据所述监控信息，将所述数据流的通信端口进行切断，终止所述与所述通信端口的链路通信。一个示例中，由子dmz、总dmz、dmz管理平台所构成的上述分布式架构，其工作原理为：通过监控模块对经过该模块的数据进行监控，当存在非法信息，非法访问参数，网络入侵等，监控模块将所涉及到的信息(如非法信息传输端口，以及用户相关信息等)发送给上报模块。上报模块将涉及到危险的信息发往总dmz进行统计，同时该信息也触发了阻断模块的功能。阻断模块收到监控模块的信息后，立即将该监控模块该通信端口进行切断，终止了该条链路通信。总dmz将收集到的信息进行统计，将访问参数等进行整合，同时针对原有的信息参数进行更新，保证了网络安全性实时更新，通过总dmz管理平台将整理的参数模板统一下发给监控模块，对监控模块的参数进行了更新，完成了dmz实时更新。

如图6所示的一个流程，包括如下步骤：

步骤301、监控模块侦听到非法信息传输。

步骤302、同时触发了上报模块和阻断模块的上报和阻断功能。

步骤303、将非法信息上报给总dmz域。

步骤304、阻断模块主动切断了通信。

步骤305、将全网汇总非法访问参数进行统一下发，增强了网络安全性。

本发明实施例的一种网元设备，所述网元设备包括：监控模块、上报模块和阻断模块；其中，

所述监控模块，用于对数据流进行监控；

所述上报模块，用于当监测到所述数据流会导致网络安全风险的监控信息时，向总dmz上报所述监控信息；

所述阻断模块，用于主动切断所述数据流，结束用户通信。

本发明实施例一实施方式中，所述监控模块，进一步用于对内网的mec数据流、和/或内网与外网通信的外网数据流进行监控，得到网络端口信息；将所述网络端口信息确定为待监控信息。

本发明实施例一实施方式中，所述监控模块，进一步用于对内网的mec数据流、和/或内网与外网通信的外网数据流进行监控，对数据流中表征用户信息的数据包进行解析，提取出符合特征的关键字；所述关键字用于记录用户的访问信息参数；将所述访问信息参数确定为待监控信息。

本发明实施例一实施方式中，所述上报模块，进一步用于：

当监测到所述待监控信息为导致网络安全风险的监控信息时，将所述监控信息实时上报给所述总dmz；或者，

当监测到所述待监控信息为导致网络安全风险的监控信息时，将所述监控信息周期性上报给所述总dmz；或者，

当监测到所述待监控信息为导致网络安全风险的监控信息时，响应当前时刻接收到的所述dmz管理平台下发的统计命令，将对应所述当前时刻所统计得到的监控信息主动上报给所述总dmz。

本发明实施例一实施方式中，所述阻断模块，进一步用于根据所述监控信息，将所述数据流的通信端口进行切断，终止所述与所述通信端口的链路通信。

本发明实施例的一种网元设备，所述网元设备包括：存储器和处理器；其中，

所述存储器，用于存储能够在处理器上运行的计算机程序；

所述处理器，用于运行所述计算机程序时，对数据流进行监控；当监测到所述数据流会导致网络安全风险的监控信息时，向总dmz上报所述监控信息；主动切断所述数据流，结束用户通信。

本发明实施例一实施方式中，所述处理器，还用于对内网的mec数据流、和/或内网与外网通信的外网数据流进行监控，得到网络端口信息；将所述网络端口信息确定为待监控信息。

本发明实施例一实施方式中，所述处理器，还用于对内网的mec数据流、和/或内网与外网通信的外网数据流进行监控，对数据流中表征用户信息的数据包进行解析，提取出符合特征的关键字；所述关键字用于记录用户的访问信息参数；将所述访问信息参数确定为待监控信息。

本发明实施例一实施方式中，所述处理器，还用于当监测到所述待监控信息为导致网络安全风险的监控信息时，将所述监控信息实时上报给所述总dmz；或者，当监测到所述待监控信息为导致网络安全风险的监控信息时，将所述监控信息周期性上报给所述总dmz；或者，当监测到所述待监控信息为导致网络安全风险的监控信息时，响应当前时刻接收到的所述dmz管理平台下发的统计命令，将对应所述当前时刻所统计得到的监控信息主动上报给所述总dmz。

本发明实施例一实施方式中，所述处理器，还用于根据所述监控信息，将所述数据流的通信端口进行切断，终止所述与所述通信端口的链路通信。

本发明实施例的一种网络安全防护系统，所述系统包括：mec设备、在mec设备的出口侧设置的子隔离区dmz、至少一个子dmz、epc后端的总dmz、及与总dmz连接的dmz管理平台；其中，

所述至少一个子dmz，包括：存储器和处理器；

所述存储器，用于存储能够在处理器上运行的计算机程序；

处理器，用于运行所述计算机程序时，执行如上述实施例任一项所述方法的步骤。

本发明实施例的一种计算机存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如上述实施例任一项所述方法的步骤。

本发明实施例所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时，也可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例所述方法的全部或部分。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、磁碟或者光盘等各种可以存储程序代码的介质。这样，本发明实施例不限制于任何特定的硬件和软件结合。

相应的，本发明实施例还提供一种计算机存储介质，其中存储有计算机程序，该计算机程序用于执行本发明实施例的网络安全防护方法。

以上所述，仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。