本发明涉及终端应用领域,尤其涉及的是一种网络安全处理方法、终端及存储介质。
背景技术:
::现有的网络安全处理方式主要有两种,一种是绑定访问控制列表的管理方式,另一种则是通过iptables管理系统进行管理。访问控制列表(acl)是一种包过滤的访问控制技术,它可以根据设定的条件将接口上的数据包进行过滤,允许数据包通过或丢弃数据包;访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全;当一个特定的mac用户接入时,可以通过端口绑定mac的acl规则实现管理,但是,这种安全管理方式会占用acl资源,同时与用户的其他acl规则分别管理,带来许多麻烦。iptables是基于linux内核集成的ip信息包过滤系统,该包过滤系统可在linux系统上控制ip信息以及配置防火墙;若linux系统连接到因特网或服务器或代理服务器,则该系统有利于在linux系统上更好地控制ip信息包过滤和防火墙配置。防火墙在做数据包过滤决策时,有一套特定的规则,这些规则存储在专用的数据包过滤表中,而这些数据包过滤表则集成在linux的内核中;在数据包过滤表中,规则被分组放在各种链(chain)中;而iptablesip数据包过滤系统可用于添加、编辑以及移除规则,它使得插入、修改以及删除信息等操作变得容易,可以直接在用户空间操作,同时区别于acl,不占用配置资源,但是存在多个软件模块的相关协议不易管理的问题。因此,现有技术还有待于改进和发展。技术实现要素:本发明要解决的技术问题在于,针对现有技术缺陷,本发明提供一种网络安全处理方法、终端及存储介质,通过模块化的管理方式,简化了新增端口的协议,同时又解决了占用acl资源的问题。本发明解决技术问题所采用的技术方案如下:第一方面,本发明提供一种网络安全处理方法,其中,所述网络安全处理方法包括以下步骤:清除管理应用中的所有配置,并根据网络协议以及对应的网络端口生成配置表;将所述网络端口的权限设置为允许通过,并判断所述管理应用是否与指定的mac管理设备绑定;当所述管理应用未与指定的mac管理设备绑定时,将所述管理应用中管理端口的权限设置为允许通过。进一步地,所述清除管理应用中的所有配置,并根据网络协议以及对应的网络端口生成配置表,之前还包括:启动所述管理应用,并对所述管理应用进行初始化处理。进一步地,所述清除管理应用中的所有配置,并根据网络协议以及对应的网络端口生成配置表,具体包括以下步骤:通过预设指令查询并删除所述管理应用中的已有配置;根据ntp协议或rip协议配置对应的网络端口,并根据所述网络端口生成配置表。进一步地,所述根据ntp协议或rip协议配置对应的网络端口,并根据所述网络端口生成配置表,之后还包括:设置所述配置表中各网络端口的优先等级。进一步地,所述将所述网络端口的权限设置为允许通过,并判断所述管理应用是否与指定的mac管理设备绑定,具体包括以下步骤:将所述网络端口的权限设置为允许通过,并根据所述网络端口的权限允许所述网络端口中的数据包通过;获取输入的配置信息,并根据所述配置信息判断所述管理应用是否与指定的mac管理设备绑定。进一步地,所述当所述管理应用未与指定的mac管理设备绑定时,将所述管理应用中管理端口的权限设置为允许通过,具体包括以下步骤:当所述管理应用未与指定的mac管理设备绑定时,获取所述管理应用中管理端口的协议信息;根据所述协议信息将所述管理应用中管理端口的权限设置为允许通过;根据所述管理端口的权限允许所述管理端口中的数据包通过;将未设置权限的网络端口中的数据包进行拦截,并对所述未设置权限的网络端口作出禁止传输的回应。进一步地,所述获取输入的配置信息,并根据所述配置信息判断所述管理应用是否与指定的mac管理设备绑定,之后还包括:当所述管理应用与指定的mac管理设备绑定时,将非指定的mac管理设备发送的报文进行拦截。进一步地,所述配置表为包含所述网络端口信息以及网络协议的表格。第二方面,本发明提供一种终端,其中,包括:处理器以及与所述处理器连接的存储器;所述存储器存储有网络安全处理程序,所述网络安全处理程序被所述处理器执行时用于实现如第一方面所述的网络安全处理方法。第三方面,本发明提供一种存储介质,其中,所述存储介质存储有网络安全处理程序,所述网络安全处理程序被处理器执行时用于实现如第一方面所述的网络安全处理方法。本发明采用上述技术方案具有以下效果:本发明基于iptables实现对指定的mac进行管理,使其不会占用acl的资源,同时程序实现方便简洁;而且,通过模块化的管理方式,使得网络安全管理软件更加稳定可靠,也使得新增协议的网络端口的操作方式变得更加简单方便,方便了对新增的网络接口的权限管理。附图说明图1是本发明较佳实施例中网络安全处理方法的流程图。图2是本发明较佳实施例中终端的功能示意图。具体实施方式为使本发明的目的、技术方案及优点更加清楚、明确,以下参照附图并举实施例对本发明进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。实施例一如图1所示,在本发明实施例的一种实现方式当中,所述网络安全处理方法包括以下步骤:步骤s100,清除管理应用中的所有配置,并根据网络协议以及对应的网络端口生成配置表。在本实施例中,所述网络安全处理方法应用于终端,并通过iptables防火墙来实现;其中,所述iptables防火墙为基于linux系统的网络安全工具,简单来说,通过配置所述iptables防火墙可有效地对linux系统的安全进行管理。具体地,本实施例需要在所述终端中安装iptables,即安装所述管理应用,以通过所述iptables对各网络端口中的数据包进行管理;例如,设置网络端口的数据包通过权限,以允许该网络端口中的数据包通过,或者拒绝该网络端口中的数据包通过,从而实现对所述终端的网络安全进行管理。在本实施例中,所述iptables包括内建表,其中,所述内建表由内建链组成,而所述内建链由规则组成;所述iptables可对所述规则进行自定义设置、新增、修改以及删除等操作;当用户启动所述iptables时,所述终端会对所述iptables中各管理模块进行初始化处理,所谓初始化处理即为将各管理模块中的数据恢复为默认数据,例如,将所述iptables中的内建表设置为默认表filter;通过对所述iptables进行初始化处理,以使得所述iptables的用户设置恢复为默认设置,从而方便后续使用。即在所述步骤100之前,还包括以下步骤:步骤001,启动所述管理应用,并对所述管理应用进行初始化处理。具体地,在本实施例中,在对所述iptables进行初始化处理之后,还需要删除所述iptables中的已有配置,例如,删除已有的自定义的规则;即在对所述iptables进行配置之前,还需要清空所有的规则;可通过iptables–list指令或者iptables-save指令查看有无现存规则,在查找到现有的规则之后,通过iptables–flush指令对查找到的现有规则进行清空。需说明的是,在清空现有的规则之后,还需检测net表中的规则是否已被删除,若所述net表中还有规则,则进一步将所述net表中的规则进行删除,以防止所述net表中的规则未被自动删除。进一步地,在清空所有的规则之后,即可在所述iptables中配置需要的规则,本实施例中配置的规则是对各网络端口的通过权限进行配置,具体为:允许网络端口的数据包通过,或禁止网络端口的数据包通过;为了便于控制各网络端口的数据包,本实施例还在所述iptables中设置独立的管理模块,通过采用单个模块统一管理各网络端口,生成新的规则,从而对各网络端口的权限进行设置。进一步地,在配置各网络端口时,则根据ntp协议或rip协议配置对应的网络端口,并根据所述网络端口生成配置表,其中,所述配置表为包含所述网络端口信息以及其对应的网络协议的表格;可以理解为,所述配置表为网络端口与网络协议的映射关系表;所述配置表可用于查询各网络端口的信息,且在所述设置有各网络端口的优先等级信息。即在所述步骤100之中,具体包括以下步骤:步骤110,通过预设指令查询并删除所述管理应用中的已有配置;步骤120,根据ntp协议或rip协议配置对应的网络端口,并根据所述网络端口生成配置表。步骤130,设置所述配置表中各网络端口的优先等级。本实施例通过删除已有的规则,避免iptables中后续配置的规则不受已有的规则的影响;而且,根据网络协议来对各网络端口进行配置,以及生成相应的配置表,使得管理时可根据该配置表进行规则查询、规则新增、规则修改以及规则删除等操作。如图1所示,在本发明实施例的一种实现方式当中,所述网络安全处理方法还包括以下步骤:步骤s200,将所述网络端口的权限设置为允许通过,并判断所述管理应用是否与指定的mac管理设备绑定。在本实施例中,在生成相应的配置表之后,可设置各网络端口的权限,即将所述网络端口的权限设置为允许通过;然后,根据所述网络端口的权限允许所述网络端口中的数据包通过;在对各个所述网络端口配置之后,进一步判断在所述iptables之中是否已经设置好特定的mac设备,以根据判断结果进行相应的配置操作。具体地,在设置各所述网络端口的权限时,可在所述iptables的创建的独立配置模块中进行设置;即在所述独立配置模块中创建多个自定义的规则,通过这些规则来定义哪个网络端口的数据包可以通过,哪个网络端口的数据包被禁止;其中,在这些规则当中,设置有对应的规则参数,该规则参数包括:数据包协议、源地址、目的地址、允许经过的网络接口以及数据包处理操作等;通过这些规则控制数据包通过或禁止,从而实现网络安全管理的目的。具体地,在对各个所述网络端口配置之后,还进一步地判断是否与特定的mac管理设备绑定,即通过获取用户在独立配置模块中设置的配置信息,若用户已经在所述iptables中绑定特定的mac管理设备,则获取该mac管理设备的地址信息,并根据该地址信息配置该mac管理设备的权限。即在所述步骤200之中,具体包括以下步骤:步骤210,将所述网络端口的权限设置为允许通过,并根据所述网络端口的权限允许所述网络端口中的数据包通过;步骤220,获取输入的配置信息,并根据所述配置信息判断所述管理应用是否与指定的mac管理设备绑定。本发明通过设置各网络端口的权限,实现了对各网络端口中数据包的控制,从而保证了各网络端口的数据包的安全性;并且,通过判断是否绑定特定的mac管理设备,实现了对特定的mac管理设备的权限配置。如图1所示,在本发明实施例的一种实现方式当中,所述网络安全处理方法包括以下步骤:步骤s300,当所述管理应用未与指定的mac管理设备绑定时,将所述管理应用中管理端口的权限设置为允许通过。在本实施例中,当判断到所述iptables未与指定的mac管理设备绑定时,则获取所述iptables中各管理端口的协议信息;然后根据各管理端口的协议信息来配置各管理端口的权限;并在检测到各管理端口的数据包时,通过该权限来控制各管理端口的数据包,即允许管理端口的数据包通过,或禁止管理端口的数据包通过。具体地,在本实施例中,管理端口用于对各网络端口进行管理,其中,一个管理端口对应管理多个网络端口;而网络端口的数据包通过网络端口后,会进一步前往各管理端口;因此,在设置各网络端口的权限后,还需要进一步设置各管理端口的权限,只有通过各管理端口后,各数据包才能到达目的地址。当所述iptables未绑定指定的mac管理设备时,则进一步地配置各管理端口的权限;在配置各管理端口的权限时,也需要设置相应的规则,而这些规则是基于该管理端口之下的网络端口实现的,即所述管理端口的规则是基于网络端口的规则而设置的。例如,在配置各网络端口(协议端口)的权限后,若没有配置指定的mac管理设备,则将http/https协议端口、snmp协议端口以及telnet协议端口等管理端口的权限设置为允许通过。在配置完各管理端口的权限之后,则对各管理端口中的数据包进行管理,即根据所述管理端口的权限允许所述管理端口中的数据包通过,并将未设置权限的网络端口中的数据包进行拦截,以及对所述未使用的网络端口作出禁止传输的回应。即在所述步骤300之中,具体包括以下步骤:步骤310,当所述管理应用未与指定的mac管理设备绑定时,获取所述管理应用中管理端口的协议信息;步骤320,根据所述协议信息将所述管理应用中管理端口的权限设置为允许通过;步骤330,根据所述管理端口的权限允许所述管理端口中的数据包通过;步骤340,将未设置权限的网络端口中的数据包进行拦截,并对所述未设置权限的网络端口作出禁止传输的回应。在本实施例中,当所述iptables已绑定指定的mac管理设备时,则将非匹配的mac的端口权限设置为禁止通过,即禁止与http/https协议端口、snmp协议端口以及telnet协议端口等不匹配的mac发送的数据包,这样可将非指定的mac管理设备发送的报文进行拦截;在禁止非匹配的mac之后,还需处理没有注册端口,并向这些端口返回不可达的回应。即在所述步骤300之中,还包括以下步骤:步骤350,当所述管理应用与指定的mac管理设备绑定时,将非指定的mac管理设备发送的报文进行拦截。本实施例基于iptables实现对指定的mac进行管理,使其不会占用acl的资源,同时程序实现方便简洁;对于非指定的mac,则将其发送的报文进行拦截,使得非指定的mac不能发送数据进来,从而保证终端的网络安全。实施例二本实施例提供一种终端,其中,包括:处理器10以及与所述处理器10连接的存储器20;所述存储器20存储有网络安全处理程序,所述网络安全处理程序被所述处理器10执行时用于实现如实施例一所述的网络安全处理方法;具体如上所述。实施例三本实施例提供一种存储介质,其中,所述存储介质存储有网络安全处理程序,所述网络安全处理程序被处理器执行时用于实现如实施例一所述的网络安全处理方法;具体如上所述。综上所述,本发明基于iptables实现对指定的mac进行管理,使其不会占用acl的资源,同时程序实现方便简洁;而且,通过模块化的管理方式,使得网络安全处理软件更加稳定可靠,也使得新增协议的网络端口的操作方式变得更加简单方便,方便了对新增的网络接口的权限管理。当然,本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关硬件(如处理器,控制器等)来完成,所述的程序可存储于一计算机可读取的存储介质中,所述程序在执行时可包括如上述各方法实施例的流程。其中所述的存储介质可为存储器、磁碟、光盘等。应当理解的是,本发明的应用不限于上述的举例,对本领域普通技术人员来说,可以根据上述说明加以改进或变换,所有这些改进和变换都应属于本发明所附权利要求的保护范围。当前第1页12当前第1页12