本申请涉及网络通信技术领域,特别涉及一种防护网络安全的方法和装置。
背景技术:
随着网络的快速发展,网络的规模越来越大,为了防护网络的安全,各种各样的安全设备层出不穷,比如,防火墙、虚拟专用网、入侵防御系统、抗拒绝服务系统、web应用防火墙等。网络安全设备通过对流过本设备的流量进行检测,对恶意流量进行拦截,从而实现网络安全防护的作用。
网络安全设备对流量进行检测时,通常基于预先配置的安全规则对流量进行检测。其中,安全规则由规则条件和动作组成。当接收到的流量满足规则条件时,网络安全设备可以对该流量执行相应的动作。当网络安全设备基于安全规则检测到接收到的流量为恶意流量时,可以将丢弃该恶意流量,从而实现防护网络的安全。
在现有技术中,网络安全设备除了丢弃该恶意流量外,还会中断该恶意流量所属的会话。在实现时,网络安全设备可以基于该恶意流量分别模拟客户端向服务端发送用于中断会话的报文,以及模拟服务端向客户端发送用于中断会话的报文。
然而,网络的发展规模越来越大,同时也变得越来越复杂,在网络中会出现流量回流的情况。
假设网络安全设备接收到客户端发送至服务端的流量,且该流量为恶意流量,网络安全设备可以基于该恶意流量模拟服务端向客户端发送用于中断会话的报文;其中,该报文可以直接到达客户端。然而,当网络安全设备基于该恶意流量模拟客户端向服务端发送用于中断会话的报文;其中,该报文中的vlan与服务端所属的vlan不同,因此,该报文需要通过网络将该报文中的vlan修过为服务端所属的vlan后,回流至网络安全设备,然后再将该报文通过相应的接口发送至服务端。当该报文通过网络回流至网络安全设备时,网络安全设备可以检测到该报文与该恶意流量属于同一会话,因此网络安全设备会直接将该报文当作是恶意流量,并丢弃该报文,从而导致该报文无法到达服务端,使得该恶意流量所属会话无法中断。
技术实现要素:
有鉴于此,本申请提供一种防护网络安全的方法和装置,应用于网络安全设备,用于实现在网络回流的情况下成功中断恶意流量所属的会话。
具体地,本申请是通过如下技术方案实现的:
一种网络安全的防护方法,应用于网络安全设备,包括:
当接收到的流量匹配中目标会话表项时,从本端保存的会话表项与丢包表项之间的对应关系中查找所述目标会话表项对应的丢包表项;
如果查找到所述目标会话表项对应的丢包表项,将所述流量丢弃;
如果没有查找到所述目标会话表项对应的丢包表项,将所述流量转发。
一种网络安全的防护装置,应用于网络安全设备,包括:
查找单元,用于当接收到的流量匹配中目标会话表项时,从本端保存的会话表项与丢包表项之间的对应关系中查找所述目标会话表项对应的丢包表项;
丢弃单元,用于如果查找到所述目标会话表项对应的丢包表项,将所述流量丢弃;
转发单元,用于如果没有查找到所述目标会话表项对应的丢包表项,将所述流量转发。
本申请提供的技术方案带来的有益效果:
在本申请中,当网络安全设备接收到的报文与恶意流量属于同一会话时,网络安全设备不会直接将该报文丢弃。网络安全设备会进一步判断该报文与恶意流量所属会话的会话表项所对应的丢包表项是否匹配,如果匹配,网络安全设备再将该报文丢弃,如果不匹配,网络安全设备将该报文转发出去。由于用于中断会话的报文经过网络回流后,该报文中的vlan与首次从网络安全设备发出去时该报文中的vlan不相同,因此,网络安全设备不会查找到与该报文所属会话的会话表项对应的丢包表项,网络安全设备从而可以将该报文顺利地发送至接收该报文的目的设备,实现在网络回流的情况下成功中断会话。
附图说明
图1为网络安全设备防护网络安全的原理示意图;
图2为本申请实施例一示出的一种网络安全防护的方法流程图;
图3为本申请实施例二示出的一种防护网络安全的装置所在网络安全设备的一种硬件结构图;
图4为本申请实施例二示出的一种防护网络安全的装置。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
在现有技术中,网络安全设备通过安全规则对接收到的流量进行检测并拦截恶意流量从而达到防护网络安全的作用。
其中,上述安全规则由规则条件和动作组成。当网络安全设备接收到的流量满足规则条件时,网络安全设备可以对该流量执行相应的动作。动作规定了流量的传输方式,主要有丢弃、放行、阻断、推送、重定向等动作。
丢弃动作是指丢弃当前接收到的流量;
放行动作是指将当前接收到的流量进行正常转发;
阻断动作是指中断客户端和服务端之间的会话;
推送动作是指向客户端发送特定的数据报文,并中断客户端和服务端之间的会话;
重定向动作是指向客户端发送特定的重定向报文,并中断客户端和服务端之间的会话。
请参见图1,图1为网络安全设备防护网络安全的原理示意图。
当网络安全设备接收到的流量为首次接收到的流量时,可以基于接收到的流量中的五元组创建对应的会话表项,并基于安全规则对该流量进行安全检测。当检测到该流量为恶意流量时,网络安全设备可以丢弃该流量,以及中断该流量所属的会话,并在该会话表项中添加丢包标记,当再次接收到同一会话的流量时,直接将接收到的流量丢弃。如图1所示,网络安全设备上包括接口a,接口b,接口c,接口d,其中,接口a和接口c的vlan为100,接口b和接口d的vlan为200,接口a与客户端相连,接口b与服务端相连。假设网络安全设备从接口a接收到客户端发送至服务端的流量为首次接收到的流量,并且该流量为恶意流量时,网络安全设备可以基于该流量的五元组创建对应的会话表项,并在该会话表项中添加丢包标记,然后可以丢弃该流量,并基于该流量分别模拟服务端向客户端发送用于中断该流量所属会话的报文以及模拟客户端向服务端发送用于中断该流量所属会话的报文。具体过程为:
假设用于中断该流量所属会话的报文为reset报文,网络安全设备可以模拟服务端向客户端发送reset报文,以及模拟客户端向服务端发送reset报文。其中,由于reset报文基于该流量生成,该流量的vlan为100,因此reset报文中的vlan也为100。网络安全设备可以通过接口a直接向客户端发送reset报文,然而由于服务器与接口b连接,接口b的vlan与reset报文中的vlan不相同,因此,在不通过其它策略强制将该reset报文直接经过接口b发送至服务端的情况下,该reset报文需要从接口c输出,通过外部设备将该reset报文中的vlan(100)修改为vlan(200)后从接口d回流至网络安全设备,然后再通过接口b将该reset报文发送至服务端。
然而,该reset报文与该恶意流量属于同一会话,当网络安全设备接收到回流至本端的reset报文后,该reset报文可以匹配到该流量所属会话的会话表项,且该会话表项中携带丢包标记,因此网络安全设备会直接将该reset报文当作恶意流量并将该reset报文丢弃,因此该reset报文无法到达服务端,从而会导致该恶意流量所属会话无法中断。
实施例一
为了解决现有技术中的问题,本申请实施例一示出了一种网络安全的防护方法,应用于网络安全设备。请参见图2,图2为本申请实施例一示出的一种网络安全防护的方法流程图,具体执行以下步骤:
步骤201:当接收到的流量匹配中目标会话表项时,从本端保存的会话表项与丢包表项之间的对应关系中查找所述目标会话表项对应的丢包表项;
步骤202:如果查找到所述目标会话表项对应的丢包表项,将所述流量丢弃;
步骤203:如果没有查找到所述目标会话表项对应的丢包表项,将所述流量转发。
在本实施例中,当网络安全设备接收到的流量匹配中本端保存的任一会话表项时,从本端保存的会话表项与丢包表项之间的对应关系中查找与该匹配中的会话表项所对应的丢包表项,如果查找到与该匹配中的会话表项所对应的丢包表项,直接将该流量丢弃;如果没有查找到与该匹配中的会话表项所对应的丢包表项,对该流量执行相应的动作。
其中,上述丢包表项以及会话表项与丢包表项的对应关系的创建过程为:
当网络安全设备接收到的流量为首次接收到的流量时,网络安全设备可以基于该流量的五元组为该流量所属的会话创建对应的会话表项,然后基于配置的安全规则对该流量进行检测。当检测到该流量为携带攻击的恶意流量时,网络安全设备可以从该流量中获取该流量所属的vlan,该流量流入网络安全设备的入接口,以及该流量的传输方向,并基于该流量所属的vlan,该流量流入网络安全设备的入接口,以及该流量的传输方向为该流量所属会话创建生成对应的丢包表项,即该丢包表项至少包括了流量所属的vlan、流量流入网络安全设备的入接口、流量的传输方向这三个属性。当然,用户可以根据实际需要在丢包表项中增加另外的属性,比如丢包标识等。当网络安全设备为该流量所属会话创建对应的会话表项和丢包表项后,建立该会话表项与丢包表项之间的对应关系。
其中,上述流量的传输方向包括:客户端→服务端、服务端→客户端。
上述流量流入网络安全设备的入接口为网络安全设备接收流量的物理接口。
例如,基于图1所示,当网络安全设备从客户端发送至服务端的流量为首次接收到的流量时,网络安全设备可以基于该流量的五元组信息为该流量所属会话创建生成对应的会话表项,然后基于安全规则对该流量进行检测。当检测到该流量为携带攻击的恶意流量时,网络安全设备可以基于该流量创建对应的丢包表项,该丢包表项中包括该流量所属的vlan(100),该流量流入网络安全设备的入接口(接口a),该流量的传输方向(客户端→服务端),最后,网络安全设备可以建立该会话表项与丢包表项之间的对应关系。
类似地,当网络安全设备从服务端发送至客户端的流量为首次接收到的流量时,网络安全设备可以基于该流量的五元组信息为该流量所属会话创建生成对应的会话表项,然后基于安全规则对该流量进行检测。当检测到该流量为携带攻击的恶意流量时,网络安全设备可以基于该流量创建对应的丢包表项,该丢包表项中包括该流量所属的vlan(200),该流量流入网络安全设备的入接口(接口b),该流量的传输方向(服务端→客户端),最后,网络安全设备可以建立该会话表项与丢包表项之间的对应关系。
换言之,在本申请中,当网络安全设备接收到的流量为首次接收到的流量,且为合法流量时,网络安全设备按照现有技术为该流量所属的会话创建对应的会话表项。当网络安全设备接收到的流量为首次接收到的流量,且为携带攻击的恶意流量时,网络安全设备基于该流量的五元组为该流量创建对应的会话表项后,还需要将该流量所属的vlan、该流量流入网络安全设备的入接口、以及该流量的传输方向创建对应的丢包表项,并建立该会话表项与该丢包表项之间的对应关系。
在本实施例中,当网络安全设备接收到流量后,对该流量的具体操作过程为:
当网络安全设备接收到流量后,网络安全设备可以将该流量与本端保存的会话表项进行匹配。如果网络安全设备从本端保存的会话表项中查找到与该流量匹配的会话表项,说明网络安全设备已经为该流量所属的会话创建了对应的会话表项。网络安全设备可以从本端保存的会话表项与丢包表项之间的对应关系中查找该流量匹配中的会话表项所对应的丢包表项。
如果网络安全设备没有查找到该流量匹配中的会话表项所对应的丢包表项,说明该流量所属会话的流量为合法流量。网络安全设备可以基于匹配中的会话表项对该流量进行处理。
如果网络安全设备查找到该流量匹配中的会话表项所对应的丢包表项,说明该流量所属会话的流量为恶意流量,网络安全设备可以直接将该流量丢弃。
如果网络安全设备没有在从本端保存的会话表项中查找到与该流量匹配的会话表项,说明该流量为网络安全设备首次接收到的流量。网络安全设备可以为该流量所属的会话创建生成对应的会话表项,并基于预设的安全规则对该流量进行安全检测。当该流量通过安全检测时,基于安全规则对该流量执行相应的动作。当该流量未通过安全检测时,为该流量所属的会话创建生成对应的丢包表项,以及建立该会话表项与该丢包表项之间的对应关系。丢包表项以及丢包表项与会话表项之间的对应关系的具体创建过程请参见上述内容,在此不再进行赘述。
在本实施例中,当网络安全设备接收到流量为首次接收到的流量,且该流量为恶意流量时,网络安全设备可以中断该流量所属会话。网络安全设备分别模拟服务端向客户端发送用于中断会话的报文,以及模拟客户端向服务端发送用于中断会话的报文。
由于该报文基于接收到的该流量生成的,因此该报文中的vlan和该流量中的vlan相同。当网络安全设备将该报文发送至发送该流量的设备时,该设备可以直接接收到该报文。然而,当网络安全设备将该报文发送至该流量的目的接收设备时,由于该目的接收设备所属的vlan与该报文中的vlan不同,因此,在不通过其它策略强制将该报文直接发送至该目的接收设备的情况下,该报文需要通过外部设备将该报文中的vlan修改成与该目的接收设备所属的vlan相同的vlan,然后通过网络回流至网络安全设备。
在现有技术中,当该报文回流至网络安全设备后,由于网络安全设备检测到该报文与恶意流量为同一个会话的流量,然后直接将该报文当作恶意流量进行丢弃。
在实施例中,当该报文回流至网络安全设备后,网络安全设备可以检测到该报文与恶意流量为同一个会话的流量,当时网络安全设备不会直接将该报文丢弃。网络安全设备会进一步查找本端保存的丢包表项中是否存在与该报文所属会话的会话表项对应的丢包表项。由于该报文通过网络回流至网络安全设备后,该报文中的vlan已经改变了,因此,网络安全设备不会查找到与该报文所属会话的会话表项对应的丢包表项,网络安全设备从而可以将该报文顺利地发送至接收该报文的目的设备。例如,结合图1所示,假设网络安全设备接收到的恶意流量为客户端发送至服务端的流量,网络安全设备基于该流量创建完对应的reset报文,此时,由于该reset报文所属的vlan与客户端所属的vlan相同,则网络安全设备可以通过接口a将该reset报文发送至客户端。而服务端所属的vlan与该reset报文所属的vlan不相同,在不通过其它策略强制将该reset报文直接经过接口b发送至服务端的情况下,该reset报文需要从接口c输出,通过外部设备将该reset报文中的vlan(100)修改为vlan(200)后从接口d回流至网络安全设备,网络安全设备再通过接口b将该reset报文发送至服务端。
在本实施例中,当网络安全设备接收到的报文与恶意流量属于同一会话时,网络安全设备不会直接将该报文丢弃。网络安全设备会进一步判断该报文与恶意流量所属会话的会话表项所对应的丢包表项是否匹配,如果匹配,网络安全设备再将该报文丢弃,如果不匹配,网络安全设备将该报文转发出去。由于用于中断会话的报文经过网络回流后,该报文中的vlan与首次从网络安全设备发出去时该报文中的vlan不相同,因此,网络安全设备不会查找到与该报文所属会话的会话表项对应的丢包表项,网络安全设备从而可以将该报文顺利地发送至接收该报文的目的设备,实现在网络回流的情况下成功中断会话。
实施例二
与前述一种防护网络安全的方法的实施例一相对应,本申请还提供了一种防护网络安全的装置的实施例二。
本申请一种防护网络安全的装置的实施例可以应用在网络安全设备上。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在网络安全设备的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言,如图3所示,为本申请一种防护网络安全的装置所在网络安全设备的一种硬件结构图,除了图3所示的处理器、内存、网络接口、以及非易失性存储器之外,实施例中装置所在的网络安全设备通常根据该防护网络安全的实际功能,还可以包括其他硬件,对此不再赘述。
请参见图4,图4为本申请实施例二示出的一种防护网络安全的装置,应用于网络安全设备,所述装置包括:查找单元410、丢弃单元420、转发单元430。
所述查找单元410,用于当接收到的流量匹配中目标会话表项时,从本端保存的会话表项与丢包表项之间的对应关系中查找所述目标会话表项对应的丢包表项;
所述丢弃单元420,用于如果查找到所述目标会话表项对应的丢包表项,将所述流量丢弃;
所述转发单元430,用于如果没有查找到所述目标会话表项对应的丢包表项,将所述流量转发。
在本实施例中,所述装置还包括:
匹配单元,用于当接收到流量时,将所述流量与本端保存的会话表项进行匹配。
第一创建单元,用于如果所述流量没有匹配中任一会话表项,基于所述流量为所述流量所属会话创建对应的会话表项;
检测单元,用于基于预设的安全规则对所述流量进行检测;
第二创建单元,用于当所述流量未通过安全检测时,基于所述流量为所述流量所属会话创建对应的丢包表项;其中,所述丢包表项包括所述流量所属的vlan、网络安全设备接收所述流量的入接口、所述流量的传输方向;
建立单元,用于建立为所述流量所属会话创建的会话表项,与为所述流量所属会话创建的丢包表项之间的对应关系。
执行单元,用于当所述流量通过安全检测时,基于所述安全规则对所述流量执行相应的动作。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。