1.本发明涉及计算机领域,特别涉及一种网络防护管理方法、系统、装置及计算机可读存储介质。
背景技术:
::2.随着互联网和通信技术的发展,伴随着5g的普及,物联网技术越来越普遍,各行各业为了提高生产效率,都在加快物联网进展,随着物联网的发展,网络安全受到了极大重视,因为在物联网中,通过网络可以直接控制具体的生产生活设备,如果一旦遭到网络入侵,将会对设备和周边人员与设备安全造成重大隐患,为此,物联网设备中均设置防火墙,以防止网络攻击。3.对于物联网设备,一般装有iptables/netfilter防火墙模块,由于网络攻击多样化,需要不断更新防火墙的网络规则,以应对日益复杂的网络环境,但是现有技术中无法远程下发网络规则,远程配置防火墙模块升级网络防护,只能通过本地升级,造成升级效率低。4.为此,需要一种效率更高更灵活的网络防护管理方法。技术实现要素:5.有鉴于此,本发明的目的在于提供一种网络防护管理方法、系统、装置及计算机可读存储介质,效率更高更灵活。其具体方案如下:6.一种网络防护管理方法,应用于终端,包括:7.接收平台下发的网络规则;8.解析所述网络规则,得到网络安全信息;9.将所述网络安全信息转换为iptables/netfilter防火墙规则;10.通过libiptc库的api接口将所述iptables/netfilter防火墙规则发送至iptables/netfilter防火墙;11.所述iptables/netfilter防火墙利用所述iptables/netfilter防火墙规则,设置本地拦截规则,对相应的网络数据进行拦截或放行。12.可选的,所述接收平台下发的网络规则的过程,包括:13.接收所述平台以json格式下发的所述网络规则;14.其中,所述网络规则包括ip地址、端口信息、拦截策略和放行策略。15.可选的,还包括:16.若解析所述网络规则,得到所述网络安全信息,则上报解析成功信息至所述平台;17.若解析所述网络规则失败,则上报解析失败信息至所述平台。18.本发明公开了一种网络防护管理系统,应用于终端,包括:19.规则接收模块,用于接收平台下发的网络规则;20.规则解析模块,用于解析所述网络规则,得到网络安全信息;21.信息转换模块,用于将所述网络安全信息转换为iptables/netfilter防火墙规则;22.信息下发模块,用于通过libiptc库的api接口将所述iptables/netfilter防火墙规则发送至iptables/netfilter防火墙;23.规则配置模块,用于所述iptables/netfilter防火墙利用所述iptables/netfilter防火墙规则,设置本地拦截规则,对相应的网络数据进行拦截或放行。24.可选的,所述规则接收模块,具体用于接收所述平台以json格式下发的所述网络规则;25.其中,所述网络规则包括ip地址、端口信息、拦截策略和放行策略。26.可选的,还包括:27.成功上报模块,用于若解析所述网络规则,得到所述网络安全信息,则上报解析成功信息至所述平台;28.失败上报模块,用于若解析所述网络规则失败,则上报解析失败信息至所述平台。29.本发明公开了一种网络防护管理装置,包括:30.存储器,用于存储计算机程序;31.处理器,用于执行所述计算机程序以实现如权前述的网络防护管理方法。32.本发明公开了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如前述的网络防护管理方法。33.本发明中,网络防护管理方法,应用于终端,包括:接收平台下发的网络规则;解析网络规则,得到网络安全信息;将网络安全信息转换为iptables/netfilter防火墙规则;通过libiptc库的api接口将iptables/netfilter防火墙规则发送至iptables/netfilter防火墙;iptables/netfilter防火墙利用iptables/netfilter防火墙规则,设置本地拦截规则,对相应的网络数据进行拦截或放行。34.本发明在终端上预先安装了libiptc库,利用libiptc库的api接口打通了与linux内核中iptables/netfilter防火墙的通讯连接,致使平台下发的网络规则最终能够抵达终端中的iptables/netfilter防火墙,从而实现远程配置iptables/netfilter防火墙的防护规则。附图说明35.为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。36.图1为本发明实施例公开的一种网络防护管理方法流程示意图;37.图2为本发明实施例公开的另一种网络防护管理方法流程示意图;38.图3为本发明实施例公开的一种网络防护管理系统结构示意图。具体实施方式39.下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。40.本发明实施例公开了一种网络防护管理方法,参见图1所示,应用于终端,该方法包括:41.s11:接收平台下发的网络规则。42.具体的,用户可以在平台上预先设置网络规则,设置完毕后,通过网络将网络规则下发至与平台连接的各个终端,实现远程接收网络规则。43.s12:解析网络规则,得到网络安全信息。44.具体的,在接收到远程下发的网络规则后,对网络规则进行解析,解析出平台预先在网络规则中配置的需要管控的单个或某一子网设备的ip地址和/或端口号,并同时解析出对单个或某一子网设备的ip地址和/或端口号具体进行的拦截或放行策略,最终得到包括如上信息的网络安全信息。45.s13:将网络安全信息转换为iptables/netfilter防火墙规则。46.具体的,得到网络信息后,需要有终端本地将网络信息转换为适配iptables/netfilter防火墙的iptables/netfilter防火墙规则,以便后续能够将网络信息中记载的内容下发至防火墙并识别使用。47.s14:通过libiptc库的api接口将iptables/netfilter防火墙规则发送至iptables/netfilter防火墙。48.具体的,通过预先安装libiptc库建立libiptc库的api接口与linux内核中iptables/netfilter防火墙建立通信连接,从而使得终端能够将从平台接收到的iptables/netfilter防火墙规则下发至iptables/netfilter防火墙。49.s15:iptables/netfilter防火墙利用iptables/netfilter防火墙规则,设置本地拦截规则,对相应的网络数据进行拦截或放行。50.可以理解的是,防火墙在接收到iptables/netfilter防火墙规则后,便根据iptables/netfilter防火墙规则设置本地拦截规则,执行相应的拦截防护策略,对相应的网络数据进行拦截或放行。51.可见,本发明实施例在终端上预先安装了libiptc库,利用libiptc库的api接口打通了与linux内核中iptables/netfilter防火墙的通讯连接,致使平台下发的网络规则最终能够抵达终端中的iptables/netfilter防火墙,从而实现远程配置iptables/netfilter防火墙的防护规则。52.本发明实施例公开了一种具体的方法,相对于上一实施例,本实施例对技术方案作了进一步的说明和优化。参见图2所示,具体的:53.s21:接收平台以json格式下发的网络规则。54.具体的,为了便于解析网络规则可以具体以json格式编写。55.s22:解析网络规则,得到网络安全信息;56.s23:若解析网络规则,得到网络安全信息,则上报解析成功信息至平台;57.s24:若解析网络规则失败,则上报解析失败信息至平台。58.具体的,为了反馈给平台解析情况,以便平台确认终端是否可以进行网络规则配置,在解析完网络规则后,根据网络规则结果,上报相应的反馈信息即解析成功信息或解析失败信息至平台,以使平台用户及时得知终端情况,便于后续维护。59.可以理解的是,在解析失败后,则无法继续进行后续的s25至s27,只有在解析成功时,才可以继续执行需s25至s27的规则配置过程。60.s25:将网络安全信息转换为iptables/netfilter防火墙规则;61.s26:通过libiptc库的api接口将iptables/netfilter防火墙规则发送至iptables/netfilter防火墙;62.s27:iptables/netfilter防火墙利用iptables/netfilter防火墙规则,设置本地拦截规则,对相应的网络数据进行拦截或放行。63.相应的,本发明实施例还公开了一种网络防护管理系统,参见图3所示,该系统包括:64.规则接收模块11,用于接收平台下发的网络规则;65.规则解析模块12,用于解析网络规则,得到网络安全信息;66.信息转换模块13,用于将网络安全信息转换为iptables/netfilter防火墙规则;67.信息下发模块14,用于通过libiptc库的api接口将iptables/netfilter防火墙规则发送至iptables/netfilter防火墙;68.规则配置模块15,用于iptables/netfilter防火墙利用iptables/netfilter防火墙规则,设置本地拦截规则,对相应的网络数据进行拦截或放行。69.可见,本发明实施例在终端上预先安装了libiptc库,利用libiptc库的api接口打通了与linux内核中iptables/netfilter防火墙的通讯连接,致使平台下发的网络规则最终能够抵达终端中的iptables/netfilter防火墙,从而实现远程配置iptables/netfilter防火墙的防护规则。70.具体的,规则接收模块11,具体用于接收平台以json格式下发的网络规则;71.其中,网络规则包括ip地址、端口信息、拦截策略和放行策略。72.具体的,还包括:73.成功上报模块,用于若解析网络规则,得到网络安全信息,则上报解析成功信息至平台;74.失败上报模块,用于若解析网络规则失败,则上报解析失败信息至平台。75.具体的,信息下发模块14,具体用于通过libiptc库的api接口将iptables/netfilter防火墙规则发送至iptables/netfilter防火墙。76.此外,本发明实施例还公开了一种网络防护管理装置,包括:77.存储器,用于存储计算机程序;78.处理器,用于执行计算机程序以实现如前述的网络防护管理方法。79.另外,本发明实施例还公开了一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现如前述的网络防护管理方法。80.最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。81.专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。82.以上对本发明所提供的技术内容进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。当前第1页12当前第1页12