專利名稱:一種安全網(wǎng)關(guān)及一種網(wǎng)絡(luò)數(shù)據(jù)的交互方法
技術(shù)領(lǐng)域:
本發(fā)明涉及互聯(lián)網(wǎng)領(lǐng)域�����,更具體的說����,是涉及ー種安全網(wǎng)關(guān)及一種網(wǎng)絡(luò)數(shù)據(jù)的交互方法。
背景技術(shù):
隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和社會大眾對工作方便性要求的提高��,許多企事業(yè)單位間需要通過網(wǎng)絡(luò)進(jìn)行ー些數(shù)據(jù)共享�,交互查詢等工作。而有些企事業(yè)單位的內(nèi)網(wǎng)信息因其重要性或機(jī)密性需要得到一定的安全保護(hù)�����,以防外網(wǎng)對其進(jìn)行惡意攻擊,給社會帶來損失或危害���。為在保證內(nèi)網(wǎng)安全性的前提下對外網(wǎng)提供必要的數(shù)據(jù)共享���、交互查詢等服務(wù),用戶需要部署信息通信網(wǎng)邊界接入平臺���,所述信息通信邊界接入平臺首先通過安全隔離網(wǎng)閘等安全隔離設(shè)備將內(nèi)網(wǎng)的特定數(shù)據(jù)擺渡到外部數(shù)據(jù)庫,再將這些資源有機(jī)聯(lián)網(wǎng)�����、整合共享����,最后通過服務(wù)器對外提供數(shù)據(jù)交互。而在外網(wǎng)對內(nèi)網(wǎng)訪問前��,外網(wǎng)訪問請求需通過系統(tǒng)設(shè)置的安全網(wǎng)關(guān)?���,F(xiàn)有的安全網(wǎng)關(guān),是通過判斷源地址IP、目的地址IP���、端口號等來對網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行攔截和監(jiān)測�,以阻止惡意攻擊�����,保障內(nèi)網(wǎng)數(shù)據(jù)信息的安全性����。但是,現(xiàn)有的安全網(wǎng)關(guān)只是在網(wǎng)絡(luò)層和傳輸層對網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行判斷控制�,不能對網(wǎng)絡(luò)數(shù)據(jù)本身進(jìn)行嚴(yán)格的檢查和過濾,不能有效的防范黑客的攻擊�����,當(dāng)黑客將源IP包改變成合法IP即進(jìn)行IP地址欺騙后�,就能夠輕松的通過安全網(wǎng)關(guān),進(jìn)入內(nèi)網(wǎng)��,網(wǎng)絡(luò)系統(tǒng)安全性低�����。因此,如何提供ー種安全網(wǎng)關(guān)及一種網(wǎng)絡(luò)數(shù)據(jù)的交互方法���,使得安全網(wǎng)關(guān)對網(wǎng)絡(luò)數(shù)據(jù)本身能夠進(jìn)行安全分析和控制��,提高網(wǎng)絡(luò)系統(tǒng)的安全性��,是本領(lǐng)域技術(shù)人員急需解決的問題����。
發(fā)明內(nèi)容
有鑒于此���,本發(fā)明提供了ー種安全網(wǎng)關(guān)及一種網(wǎng)絡(luò)數(shù)據(jù)的交互方法,以克服現(xiàn)有技術(shù)中由于不能夠?qū)W(wǎng)絡(luò)數(shù)據(jù)本身進(jìn)行安全分析而導(dǎo)致的內(nèi)網(wǎng)系統(tǒng)安全性低的問題��。為實現(xiàn)上述目的��,本發(fā)明提供如下技術(shù)方案:ー種安全網(wǎng)關(guān)����,包括:數(shù)據(jù)連接模塊、數(shù)據(jù)處理模塊及數(shù)據(jù)庫模塊����;所述數(shù)據(jù)連接模塊用于判斷客戶端發(fā)起的訪問請求是否符合預(yù)設(shè)的檢測策略,并根據(jù)判斷結(jié)果將所述訪問請求提交給數(shù)據(jù)處理模塊或截斷所述訪問請求;所述數(shù)據(jù)處理模塊用于判斷所述訪問請求的數(shù)據(jù)內(nèi)容是否符合預(yù)設(shè)的類型策略���,并根據(jù)判斷結(jié)果建立所述訪問請求與服務(wù)器的連接或截斷所述訪問請求�����;數(shù)據(jù)庫模塊�,用于存儲所述預(yù)設(shè)的檢測策略及預(yù)設(shè)的類型策略���,并記錄數(shù)據(jù)連接模塊和數(shù)據(jù)處理模塊的操作信息���。其中,所述數(shù)據(jù)連接模塊具體包括:連接接收模塊�,用于接收客戶端發(fā)起的訪問請求;
策略檢測模塊��,用于根據(jù)所述訪問請求檢測所述客戶端的IP及訪問時間是否符合預(yù)設(shè)的檢測策略�;數(shù)據(jù)傳輸模塊,用于在所述策略檢測模塊的檢測結(jié)果為是的情況下:將所述訪問請求提交給所述數(shù)據(jù)處理模塊�;截斷請求模塊,用于在所述策略檢測模塊的檢測結(jié)果為否的情況下:截斷所述訪問請求�。其中,所述數(shù)據(jù)傳輸模塊��,具體用于將多個所述訪問請求多線程的提交給數(shù)據(jù)處理模塊。優(yōu)選的����,所述數(shù)據(jù)連接模塊還包括:監(jiān)聽模塊,用于監(jiān)聽對綁定服務(wù)套接字的連接�����,以使策略檢測模塊檢測所述客戶端的IP及訪問時間���。其中����,所述數(shù)據(jù)處理模塊具體包括:處理接收模塊��,用于接收數(shù)據(jù)連接模塊提交的所述訪問請求�����;類型判斷模塊����,用于對所述訪問請求的數(shù)據(jù)內(nèi)容進(jìn)行格式匹配及敏感數(shù)據(jù)匹配����,判斷所述訪問請求的數(shù)據(jù)內(nèi)容是否符合預(yù)設(shè)的類型策略����;建立連接模塊���,用于在所述類型判斷模塊的判斷結(jié)果為是的情況下:建立所述訪問請求與服務(wù)器的連接���;截斷請求模塊,用于在所述類型判斷模塊的判斷結(jié)果為否的情況下:截斷所述訪問請求���。其中�,所述數(shù)據(jù)庫模塊具體包括:配置文件模塊��,用于存儲所述預(yù)設(shè)的檢測策略及預(yù)設(shè)的類型策略���;記錄模塊����,用于記錄所述數(shù)據(jù)連接模塊和數(shù)據(jù)處理模塊的操作信息��。優(yōu)選的�,還包括:統(tǒng)計模塊����,用于統(tǒng)計發(fā)送至所述安全網(wǎng)關(guān)的訪問請求的類型�、分布區(qū)域及異常訪問的相關(guān)信息。一種網(wǎng)絡(luò)數(shù)據(jù)的交互方法���,包括:數(shù)據(jù)連接模塊判斷客戶端發(fā)起的訪問請求是否符合預(yù)設(shè)的檢測策略����,并根據(jù)判斷結(jié)果將所述訪問請求提交給數(shù)據(jù)處理模塊或截斷所述訪問請求��;數(shù)據(jù)處理模塊判斷所述訪問請求是否符合預(yù)設(shè)的類型策略�,并根據(jù)判斷結(jié)果建立所述訪問請求與服務(wù)器的連接或截斷所述訪問請求;數(shù)據(jù)庫模塊存儲所述預(yù)設(shè)的檢測策略及預(yù)設(shè)的類型策略�����,并記錄數(shù)據(jù)連接模塊和數(shù)據(jù)處理模塊的操作信息�。其中,所述數(shù)據(jù)連接模塊判斷客戶端發(fā)起的訪問請求是否符合預(yù)設(shè)的檢測策略���,并根據(jù)判斷結(jié)果將所述訪問請求提交給數(shù)據(jù)處理模塊或截斷所述訪問請求具體包括:連接接收模塊接收客戶端發(fā)起的訪問請求;監(jiān)聽模塊監(jiān)聽對綁定服務(wù)套接字的連接���;策略檢測模塊根據(jù)所述監(jiān)聽模塊的監(jiān)聽結(jié)果檢測所述客戶端的IP及訪問時間是否符合預(yù)設(shè)的檢測策略�;在所述策略檢測模塊的檢測結(jié)果為是的情況下:將所述訪問請求提交給所述數(shù)據(jù)處理模塊;在所述策略檢測模塊的檢測結(jié)果為否的情況下:截斷所述訪問請求�����。其中��,所述數(shù)據(jù)處理模塊判斷所述訪問請求是否符合預(yù)設(shè)的類型策略��,并根據(jù)判斷結(jié)果建立所述訪問請求與服務(wù)器的連接或截斷所述訪問請求�,具體為:處理接收模塊接收數(shù)據(jù)連接模塊提交的所述訪問請求;類型判斷模塊對所述訪問請求的數(shù)據(jù)內(nèi)容進(jìn)行格式匹配及敏感數(shù)據(jù)匹配�,判斷所述訪問請求的數(shù)據(jù)內(nèi)容是否符合預(yù)設(shè)的類型策略;在所述類型判斷模塊的判斷結(jié)果為是的情況下:建立所述訪問請求與服務(wù)器的連接;在所述類型判斷模塊的判斷結(jié)果為否的情況下:截斷所述訪問請求���。經(jīng)由上述的技術(shù)方案可知�,與現(xiàn)有技術(shù)相比�,本發(fā)明公開了ー種安全網(wǎng)關(guān)及ー種網(wǎng)絡(luò)數(shù)據(jù)的交互方法,該安全網(wǎng)關(guān)能夠?qū)h(yuǎn)端的訪問請求進(jìn)行檢測���,判斷其是否符合預(yù)設(shè)的檢測策略�����,檢測內(nèi)容包括IP檢測及時段檢測,通過IP檢測及時段檢測的訪問請求才會被允許建立連接����,所述安全網(wǎng)關(guān)還能夠進(jìn)一歩對所述訪問請求的數(shù)據(jù)內(nèi)容類型進(jìn)行分析,判斷其是否符合預(yù)設(shè)的類型策略�����,只有符合檢測策略及類型策略的訪問請求���,所述安全網(wǎng)關(guān)才會保障其與服務(wù)器的正常連接�,而過程中如果所述訪問請求被判斷出不符合系統(tǒng)預(yù)設(shè)的檢測策略和/或類型策略�����,即會立即被斷掉連接����。通過所述的安全網(wǎng)關(guān)及網(wǎng)絡(luò)數(shù)據(jù)交互方法,能夠?qū)υL問請求進(jìn)行基于數(shù)據(jù)本身的檢測分析��,提高了網(wǎng)絡(luò)系統(tǒng)的安全性���。
為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術(shù)中的技術(shù)方案�����,下面將對實施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹�,顯而易見地�,下面描述中的附圖僅僅是本發(fā)明的實施例,對于本領(lǐng)域普通技術(shù)人員來講���,在不付出創(chuàng)造性勞動的前提下�����,還可以根據(jù)提供的附圖獲得其他的附圖�����。圖1為本發(fā)明實施例公開的安全網(wǎng)關(guān)的第一結(jié)構(gòu)示意圖��;圖2為本發(fā)明實施例公開的數(shù)據(jù)連接模塊的結(jié)構(gòu)示意圖����;圖3為本發(fā)明實施例公開的數(shù)據(jù)處理模塊的結(jié)構(gòu)示意圖���;圖4為本發(fā)明實施例公開的數(shù)據(jù)庫模塊的結(jié)構(gòu)示意圖���;圖5為本發(fā)明實施例公開的安全網(wǎng)關(guān)的第二結(jié)構(gòu)示意圖��;圖6為本發(fā)明實施例公開的網(wǎng)絡(luò)數(shù)據(jù)交互方法的第一流程圖����;圖7為本發(fā)明實施例公開的判斷訪問請求是否符合預(yù)設(shè)的檢測策略的流程示意圖��;圖8為本發(fā)明實施例公開的判斷訪問請求是否符合預(yù)設(shè)的類型策略的流程示意圖�;圖9為本發(fā)明實施例公開的網(wǎng)絡(luò)數(shù)據(jù)交互方法的第二流程圖。
具體實施例方式下面將結(jié)合本發(fā)明實施例中的附圖���,對本發(fā)明實施例中的技術(shù)方案進(jìn)行清楚����、完整地描述�,顯然,所描述的實施例僅僅是本發(fā)明一部分實施例����,而不是全部的實施例?�;诒景l(fā)明中的實施例,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例�,都屬于本發(fā)明保護(hù)的范圍。實施例一圖1為本發(fā)明實施例公開的安全網(wǎng)關(guān)的第一結(jié)構(gòu)示意圖�,參照圖1所示,所述安全網(wǎng)關(guān)10可以包括:數(shù)據(jù)連接模塊101�,用于判斷客戶端發(fā)起的訪問請求是否符合預(yù)設(shè)的檢測策略�,并根據(jù)判斷結(jié)果將所述訪問請求提交給數(shù)據(jù)處理模塊或截斷所述訪問請求;其中�����,當(dāng)客戶端發(fā)來訪問請求時����,所述數(shù)據(jù)連接模塊101能夠?qū)⑺鲈L問請求的相關(guān)信息與系統(tǒng)配置文件里預(yù)設(shè)的檢測策略進(jìn)行比較,判斷所述訪問請求是否符合所述預(yù)設(shè)的檢測策略��,然后根據(jù)上述判斷的判斷結(jié)果進(jìn)行不同的操作�,根據(jù)所述數(shù)據(jù)連接模塊101的具體功能,參考圖2所示�����,所述數(shù)據(jù)連接模塊101具體又可以包括:連接接收模塊1011,用于接收客戶端發(fā)起的訪問請求��; 此模塊負(fù)責(zé)接收不同客戶端發(fā)送來的訪問請求,所述訪問請求可以是讀取請求����,也可以是寫入請求;策略檢測模塊1012�����,用于根據(jù)所述訪問請求檢測所述客戶端的IP及訪問時間是否符合預(yù)設(shè)的檢測策略����;所述檢測包括對所述訪問請求進(jìn)行IP檢測及時段檢測,當(dāng)所述連接接收模塊1011接收到客戶端發(fā)起的訪問請求時,根據(jù)接收到的所述訪問請求對其遠(yuǎn)端的IP地址及該訪問請求的訪問時間進(jìn)行檢測���,判斷出所述訪問請求的相關(guān)信息是否符合系統(tǒng)配置文件里預(yù)設(shè)的檢測策略�,所述預(yù)設(shè)的檢測策略存在于配置文件的存儲器中��,在所述策略檢測模塊需要時可以隨時獲取���,所述預(yù)設(shè)的檢測策略是由用戶依靠經(jīng)驗或?qū)嶋H情況需要提前設(shè)置于存儲器中的����,以便于拒絕ー些很可能是惡意攻擊���、數(shù)據(jù)竊取等異常的訪問請求���,所述預(yù)設(shè)的檢測策略記錄有符合要求的訪問請求的IP地址及訪問時間���,如:預(yù)設(shè)的檢測策略規(guī)定了具有訪問權(quán)利的IP地址范圍,并規(guī)定訪問請求的處理時間在早上8點至晚上9點之間����,那么如果一個訪問請求的源地址包括在所述預(yù)設(shè)的檢測策略規(guī)定的具有訪問權(quán)利的IP地址范圍內(nèi)�,且其訪問時間在早上8點至晚上九點之間,那么此訪問請求即符合所述預(yù)設(shè)的檢測策略��,如果ー個訪問請求的源地址包括在所述預(yù)設(shè)的檢測策略規(guī)定的具有訪問權(quán)利的IP地址范圍內(nèi)���,但是訪問時間為凌晨一點�,那么該訪問請求就不符合所述預(yù)設(shè)的檢測策略�����;數(shù)據(jù)傳輸模塊1013���,用于在所述策略檢測模塊的檢測結(jié)果為是的情況下:將所述訪問請求提交給所述數(shù)據(jù)處理模塊�;當(dāng)所述訪問請求通過策略檢測模塊1012的檢測吋,即符合系統(tǒng)配置文件中關(guān)于訪問請求IP地址及訪問時間的預(yù)設(shè)的檢測策略時���,所述數(shù)據(jù)傳輸模塊1013將符合所述預(yù)設(shè)的檢測策略的訪問請求提交給數(shù)據(jù)處理模塊102 (詳見后述)�;截斷請求模塊1014�����,用于在所述策略檢測模塊的檢測結(jié)果為否的情況下:截斷所述訪問請求���;當(dāng)所述訪問請求沒有通過策略檢測模塊1012的檢測吋��,即不符合系統(tǒng)配置文件中關(guān)于訪問請求IP地址及訪問時間的預(yù)設(shè)的檢測策略時�,所述截斷請求模塊將1014所述訪問請求的連接截斷��;通過所述數(shù)據(jù)連接模塊101檢測的訪問請求��,將被提交給數(shù)據(jù)處理模塊102 ��;數(shù)據(jù)處理模塊102��,用于判斷所述訪問請求的數(shù)據(jù)內(nèi)容是否符合預(yù)設(shè)的類型策略�����,并根據(jù)判斷結(jié)果建立所述訪問請求與服務(wù)器的連接或截斷所述訪問請求;當(dāng)所述數(shù)據(jù)處理模塊102接收到所述數(shù)據(jù)連接模塊提交的所述訪問請求時��,所述數(shù)據(jù)處理模塊102能夠?qū)⑺鲈L問請求應(yīng)用層的相關(guān)信息�����,即數(shù)據(jù)信息與系統(tǒng)配置文件的存儲器里預(yù)設(shè)的類型策略進(jìn)行比較���,判斷所述訪問請求的數(shù)據(jù)信息是否符合所述預(yù)設(shè)的類型策略��,所述預(yù)設(shè)的類型策略是由用戶依靠經(jīng)驗或?qū)嶋H情況需要提前設(shè)置于存儲器中的����,以便于拒絕ー些很可能是惡意攻擊���、數(shù)據(jù)竊取等異常的訪問請求,然后根據(jù)上述判斷的判斷結(jié)果進(jìn)行不同的操作�,如:所述預(yù)設(shè)的類型策略規(guī)定訪問請求的報文長度必須大于設(shè)定的閾值N,那么當(dāng)訪問請求的報文長度小于用戶設(shè)定的N值時��,就不符合預(yù)設(shè)的類型策略�,根據(jù)所述數(shù)據(jù)處理模塊102的具體功能,參考圖3所示��,所述數(shù)據(jù)處理模塊102具體又可以包括:處理接收模塊1021,用于接收數(shù)據(jù)連接模塊提交的所述訪問請求���;此時接收到的訪問請求為通過所述數(shù)據(jù)連接模塊101檢測的訪問請求�;類型判斷模塊1022��,用于對所述訪問請求的數(shù)據(jù)內(nèi)容進(jìn)行格式匹配及敏感數(shù)據(jù)匹配�����,判斷所述訪問請求的數(shù)據(jù)內(nèi)容是否符合預(yù)設(shè)的類型策略���;所述判斷依據(jù)對所述訪問請求進(jìn)行數(shù)據(jù)格式匹配及敏感數(shù)據(jù)匹配的匹配結(jié)果�����,所述數(shù)據(jù)格式及敏感數(shù)據(jù)可以由用戶根據(jù)實際應(yīng)用情況來自主設(shè)定��,且用戶可以隨時重新設(shè)定數(shù)據(jù)格式及敏感數(shù)據(jù)�,所述敏感數(shù)據(jù)可以為一段時期內(nèi)或長時期內(nèi)涉及到私密信息或一些合法機(jī)構(gòu)明確規(guī)定不可以使用或流傳的ー些字�、詞或句子,當(dāng)所述訪問請求的數(shù)據(jù)中包含所述預(yù)設(shè)的類型策略里規(guī)定的敏感數(shù)據(jù)時���,所述訪問請求即不符合所述預(yù)設(shè)的類型策略�,如,所述預(yù)設(shè)的類型策略規(guī)定訪問請求中不可攜帯“非典”這個詞�����,那么當(dāng)訪問請求為“查詢有過非典病史的人”時��,該訪問請求就不符合預(yù)設(shè)的類型策略�����,當(dāng)所述處理連接模塊1021接收到所述數(shù)據(jù)連接模塊101提交的訪問請求時�,根據(jù)接收到的所述訪問請求對其進(jìn)行數(shù)據(jù)格式匹配及敏感數(shù)據(jù)的匹配,判斷出所述訪問請求的數(shù)據(jù)信息是否符合系統(tǒng)配置文件里預(yù)設(shè)的類型策略��;建立連接模塊1023�����,用于在所述類型判斷模塊的判斷結(jié)果為是的情況下:建立所述訪問請求與服務(wù)器的連接�����;當(dāng)所述訪問請求通過類型判斷模塊1022的判斷吋���,即符合系統(tǒng)配置文件中關(guān)于訪問請求數(shù)據(jù)格式及敏感數(shù)據(jù)的預(yù)設(shè)的類型策略時�����,所述建立連接模塊1023為符合所述預(yù)設(shè)的類型策略的訪問請求建立與應(yīng)用服務(wù)器的連接�����;截斷請求模塊1024�����,用于在所述類型判斷模塊的判斷結(jié)果為否的情況下:截斷所述訪問請求���;當(dāng)所述訪問請求沒有通過類型判斷模塊1022的檢測吋,即不符合系統(tǒng)配置文件中關(guān)于訪問請求數(shù)據(jù)格式及敏感數(shù)據(jù)的預(yù)設(shè)的檢測策略時�����,所述截斷請求模塊1024將所述訪問請求的連接截斷�����;數(shù)據(jù)庫模塊103���,用于存儲所述預(yù)設(shè)的檢測策略及預(yù)設(shè)的類型策略��,并記錄數(shù)據(jù)連接模塊和數(shù)據(jù)處理模塊的操作信息�����;上述預(yù)設(shè)的檢測策略及預(yù)設(shè)的類型策略保存在配置文件的存儲器中��,所述配置文件中還包括能夠保證各個模塊正常運(yùn)行的配置管理信息���,所述預(yù)設(shè)的檢測策略��、預(yù)設(shè)的類型策略及所述配置管理信息均存儲在所述數(shù)據(jù)庫模塊103中��,所述數(shù)據(jù)庫模塊103還能夠記錄下所述數(shù)據(jù)連接模塊101及所述數(shù)據(jù)處理模塊102相關(guān)的操作信息�,根據(jù)所述數(shù)據(jù)庫模塊103的具體功能�,參照圖4,所述數(shù)據(jù)庫模塊103具體可以包括:配置文件模塊1031����,用于存儲所述預(yù)設(shè)的檢測策略及預(yù)設(shè)的類型策略;記錄模塊1032����,用于記錄所述數(shù)據(jù)連接模塊和數(shù)據(jù)處理模塊的操作信息。本實施例中�,所述安全網(wǎng)關(guān)能夠?qū)蛻舳税l(fā)起的訪問請求首先進(jìn)行IP地址檢測及時段檢測,在通過所述IP地址檢測及時段檢測的情況下�,再對所述訪問請求的數(shù)據(jù)進(jìn)行格式匹配及敏感數(shù)據(jù)匹配,在所述訪問請求的數(shù)據(jù)格式符合系統(tǒng)預(yù)設(shè)的數(shù)據(jù)格式�����,且沒有攜帯系統(tǒng)預(yù)設(shè)的敏感數(shù)據(jù)時����,才會允許與網(wǎng)絡(luò)服務(wù)器建立連接,實現(xiàn)數(shù)據(jù)共享��、交互查詢等內(nèi)容�。通過本發(fā)明實施例公開的安全網(wǎng)關(guān),不僅能夠在網(wǎng)絡(luò)層和傳輸層上對訪問請求進(jìn)行IP地址及訪問時段的分析���,且能夠?qū)υL問請求的數(shù)據(jù)本身進(jìn)行安全分析����,大大提高了網(wǎng)絡(luò)的安全性���。實施例ニ圖5為本發(fā)明實施例公開的安全網(wǎng)關(guān)的第二結(jié)構(gòu)示意圖��,參照圖5所示�,所述安全網(wǎng)關(guān)50可以包括:數(shù)據(jù)連接模塊101,用于判斷客戶端發(fā)起的訪問請求是否符合預(yù)設(shè)的檢測策略�,并根據(jù)判斷結(jié)果將所述訪問請求提交給數(shù)據(jù)處理模塊或截斷所述訪問請求;所述數(shù)據(jù)連接模塊101具體又可以包括:連接接收模塊1011����,用于接收客戶端發(fā)起的訪問請求;監(jiān)聽模塊1015��,用于監(jiān)聽對綁定服務(wù)套接字的連接���;通過監(jiān)聽對綁定服務(wù)套字的連接���,判斷出接收的所述訪問請求的IP地址及訪問時間;策略檢測模塊1012�����,用于根據(jù)監(jiān)聽結(jié)果檢測所述客戶端的IP及訪問時間是否符合預(yù)設(shè)的檢測策略����;數(shù)據(jù)傳輸模塊1013,用于在所述策略檢測模塊的檢測結(jié)果為是的情況下:將所述訪問請求提交給所述數(shù)據(jù)處理模塊�;所述數(shù)據(jù)傳輸模塊1013����,能夠?qū)⒍鄠€所述訪問請求多線程的提交給數(shù)據(jù)處理模塊102 (詳見后述)�����;截斷請求模塊1014����,用于在所述策略檢測模塊的檢測結(jié)果為否的情況下:截斷所述訪問請求�;通過所述數(shù)據(jù)連接模塊101檢測的訪問請求,將被提交給數(shù)據(jù)處理模塊102 ��;數(shù)據(jù)處理模塊102���,用于判斷所述訪問請求的數(shù)據(jù)內(nèi)容是否符合預(yù)設(shè)的類型策略���,并根據(jù)判斷結(jié)果建立所述訪問請求與服務(wù)器的連接或截斷所述訪問請求;所述數(shù)據(jù)處理模塊102具體可以包括:處理接收模塊1021��,用于接收數(shù)據(jù)連接模塊提交的所述訪問請求����;類型判斷模塊1022���,用于對所述訪問請求的數(shù)據(jù)內(nèi)容進(jìn)行格式匹配及敏感數(shù)據(jù)匹配,判斷所述訪問請求的數(shù)據(jù)內(nèi)容是否符合預(yù)設(shè)的類型策略��;建立連接模塊1023���,用于在所述類型判斷模塊的判斷結(jié)果為是的情況下:建立所述訪問請求與服務(wù)器的連接����;截斷請求模塊1024�����,用于在所述類型判斷模塊的判斷結(jié)果為否的情況下:截斷所述訪問請求��;數(shù)據(jù)庫模塊103���,用于存儲所述預(yù)設(shè)的檢測策略及預(yù)設(shè)的類型策略�,并記錄數(shù)據(jù)連接模塊和數(shù)據(jù)處理模塊的操作信息�����;所述數(shù)據(jù)庫模塊103具體可以包括:配置文件模塊1031�,用于存儲所述預(yù)設(shè)的檢測策略及預(yù)設(shè)的類型策略�;記錄模塊1032�,用于記錄所述數(shù)據(jù)連接模塊和數(shù)據(jù)處理模塊的操作信息;統(tǒng)計模塊104�,用于統(tǒng)計發(fā)送至所述安全網(wǎng)關(guān)的訪問請求的類型、分布區(qū)域及異常訪問的相關(guān)信息��;通過統(tǒng)計發(fā)送至所述安全網(wǎng)關(guān)的訪問請求的相關(guān)信息��,便于用戶分析異常訪問的特點�,并根據(jù)分析得到的特點配置相關(guān)的預(yù)設(shè)策略����,使得所述安全網(wǎng)關(guān)能夠更準(zhǔn)確、快速的分析出異常的訪問及數(shù)據(jù)信息�。本實施例中,所述安全網(wǎng)關(guān)能夠?qū)蛻舳税l(fā)起的訪問請求首先進(jìn)行IP地址檢測及時段檢測�����,在通過所述IP地址檢測及時段檢測的情況下����,再對所述訪問請求的數(shù)據(jù)進(jìn)行格式匹配及敏感數(shù)據(jù)匹配,在所述訪問請求的數(shù)據(jù)格式符合系統(tǒng)預(yù)設(shè)的數(shù)據(jù)格式����,且沒有攜帯系統(tǒng)預(yù)設(shè)的敏感數(shù)據(jù)時����,才會允許與網(wǎng)絡(luò)服務(wù)器建立連接�,實現(xiàn)數(shù)據(jù)共享、交互查詢等內(nèi)容���,且能夠統(tǒng)計所有訪問請求的類型�、分布區(qū)域及異常訪問等先關(guān)信息��,便于用戶分析異常訪問的特點并做出相應(yīng)的處理對策����。通過本發(fā)明實施例公開的安全網(wǎng)關(guān),不僅能夠在網(wǎng)絡(luò)層和傳輸層上對訪問請求進(jìn)行IP地址及訪問時段的分析�,且能夠?qū)υL問請求的數(shù)據(jù)本身進(jìn)行安全分析,大大提高了網(wǎng)絡(luò)的安全性�����。實施例三圖6為本發(fā)明實施例公開的網(wǎng)絡(luò)數(shù)據(jù)交互方法的第一流程圖���,參照圖6所示�,所述網(wǎng)絡(luò)數(shù)據(jù)交互方法的步驟可以包括:步驟601:數(shù)據(jù)連接模塊判斷客戶端發(fā)起的訪問請求是否符合預(yù)設(shè)的檢測策略,并根據(jù)判斷結(jié)果將所述訪問請求提交給數(shù)據(jù)處理模塊或截斷所述訪問請求��;其中��,所述數(shù)據(jù)連接模塊能夠?qū)⑺鲈L問請求的相關(guān)信息與系統(tǒng)配置文件里預(yù)設(shè)的檢測策略進(jìn)行比較����,判斷所述訪問請求是否符合所述預(yù)設(shè)的檢測策略,然后根據(jù)上述判斷的判斷結(jié)果進(jìn)行不同的操作���;參考圖7,在實際應(yīng)用中�,所述步驟601具體可以包括以下步驟:步驟701:連接接收模塊接收客戶端發(fā)起的訪問請求;步驟702:策略檢測模塊根據(jù)所述訪問請求檢測所述客戶端的IP及訪問時間是否符合預(yù)設(shè)的檢測策略��,如果是�����,進(jìn)入步驟703��,如果否�,進(jìn)入步驟704 ;步驟703:將所述訪問請求提交給所述數(shù)據(jù)處理模塊�;步驟704:截斷所述訪問請求��;在步驟601之后�,進(jìn)入步驟602 ;步驟602:數(shù)據(jù)處理模塊判斷所述訪問請求是否符合預(yù)設(shè)的類型策略����,并根據(jù)判斷結(jié)果建立所述訪問請求與服務(wù)器的連接或截斷所述訪問請求;當(dāng)所述數(shù)據(jù)處理模塊接收到所述數(shù)據(jù)連接模塊提交的所述訪問請求時�,所述數(shù)據(jù)處理模塊能夠?qū)⑺鲈L問請求應(yīng)用層的相關(guān)信息,即數(shù)據(jù)信息與系統(tǒng)配置文件里預(yù)設(shè)的類型策略進(jìn)行比較���,判斷所述訪問請求的數(shù)據(jù)信息是否符合所述預(yù)設(shè)的類型策略���,然后根據(jù)上述判斷的判斷結(jié)果進(jìn)行不同的操作;參考圖8所示����,在實際應(yīng)用中,所述步驟602具體可以包括以下步驟:步驟801:處理接收模塊接收數(shù)據(jù)連接模塊提交的所述訪問請求�����;步驟802:類型判斷模塊對所述訪問請求的數(shù)據(jù)內(nèi)容進(jìn)行格式匹配及敏感數(shù)據(jù)匹配����,判斷所述訪問請求的數(shù)據(jù)內(nèi)容是否符合預(yù)設(shè)的類型策略��,如果是�,進(jìn)入步驟803�,如果否,進(jìn)入步驟804 ���;步驟803:建立所述訪問請求與服務(wù)器的連接����;步驟804:截斷所述訪問請求����;步驟603:數(shù)據(jù)庫模塊存儲所述預(yù)設(shè)的檢測策略及預(yù)設(shè)的類型策略,并記錄數(shù)據(jù)連接模塊和數(shù)據(jù)處理模塊的操作信息���。本實施例中,所述網(wǎng)絡(luò)數(shù)據(jù)的交互方法能夠?qū)蛻舳税l(fā)起的訪問請求首先進(jìn)行IP地址檢測及時段檢測�,在通過所述IP地址檢測及時段檢測的情況下,再對所述訪問請求的數(shù)據(jù)進(jìn)行與預(yù)設(shè)的類型策略的比較檢測�,在所述訪問請求的數(shù)據(jù)符合所述預(yù)設(shè)的類型策略時,才會允許與網(wǎng)絡(luò)服務(wù)器建立連接�,實現(xiàn)數(shù)據(jù)共享、交互查詢等內(nèi)容。通過本發(fā)明實施例公開的網(wǎng)絡(luò)數(shù)據(jù)交互方法�,不僅能夠在網(wǎng)絡(luò)層和傳輸層上對訪問請求進(jìn)行IP地址及訪問時段的分析,且能夠?qū)υL問請求的數(shù)據(jù)本身進(jìn)行安全分析���,大大提高了網(wǎng)絡(luò)的安全性��。實施例四圖9為本發(fā)明實施例公開的網(wǎng)絡(luò)數(shù)據(jù)交互方法的第二流程圖�����,參照圖9所示���,所述網(wǎng)絡(luò)數(shù)據(jù)交互方法的步驟可以包括:步驟901:連接接收模塊接收客戶端發(fā)起的訪問請求;步驟902:監(jiān)聽模塊監(jiān)聽對綁定服務(wù)套接字的連接��;步驟903:策略檢測模塊根據(jù)所述監(jiān)聽模塊的監(jiān)聽結(jié)果檢測所述客戶端的IP及訪問時間是否符合預(yù)設(shè)的檢測策略����,如果是,進(jìn)入步驟904��,如果否��,進(jìn)入步驟905 ����;步驟904:將所述訪問請求提交給所述數(shù)據(jù)處理模塊��;步驟905:截斷所述訪問請求����;步驟906:處理接收模塊接收數(shù)據(jù)連接模塊提交的所述訪問請求��;步驟907:類型判斷模塊對所述訪問請求的數(shù)據(jù)內(nèi)容進(jìn)行格式匹配及敏感數(shù)據(jù)匹配�,判斷所述訪問請求的數(shù)據(jù)內(nèi)容是否符合預(yù)設(shè)的類型策略,如果是���,進(jìn)入步驟908����,如果否�,進(jìn)入步驟909 ;步驟908:建立所述訪問請求與服務(wù)器的連接���;步驟909:截斷所述訪問請求;步驟910:數(shù)據(jù)庫模塊存儲所述預(yù)設(shè)的檢測策略及預(yù)設(shè)的類型策略���,并記錄數(shù)據(jù)連接模塊和數(shù)據(jù)處理模塊的操作信息�;步驟911:統(tǒng)計模塊:統(tǒng)計發(fā)送至所述安全網(wǎng)關(guān)的訪問請求的類型、分布區(qū)域及異常訪問的相關(guān)信息��。本實施例中��,所述網(wǎng)絡(luò)數(shù)據(jù)的交互方法能夠?qū)蛻舳税l(fā)起的訪問請求進(jìn)行連接監(jiān)聽�����,根據(jù)監(jiān)聽結(jié)果首先進(jìn)行IP地址檢測及時段檢測�,在通過所述IP地址檢測及時段檢測的情況下,再對所述訪問請求的數(shù)據(jù)進(jìn)行與預(yù)設(shè)的類型策略的比較檢測����,在所述訪問請求的數(shù)據(jù)符合所述預(yù)設(shè)的類型策略時,才會允許與網(wǎng)絡(luò)服務(wù)器建立連接�����,實現(xiàn)數(shù)據(jù)共享����、交互查詢等內(nèi)容,且能夠統(tǒng)計所有訪問請求的類型��、分布區(qū)域及異常訪問等先關(guān)信息�,便于用戶分析異常訪問的特點并做出相應(yīng)的處理對策��。通過本發(fā)明實施例公開的網(wǎng)絡(luò)數(shù)據(jù)交互方法�����,不僅能夠在網(wǎng)絡(luò)層和傳輸層上對訪問請求進(jìn)行IP地址及訪問時段的分析���,且能夠?qū)υL問請求的數(shù)據(jù)本身進(jìn)行安全分析,大大提高了網(wǎng)絡(luò)的安全性�����。還需要說明的是����,在本文中,諸如第一和第二等之類的關(guān)系術(shù)語僅僅用來將ー個實體或者操作與另ー個實體或操作區(qū)分開來�,而不一定要求或者暗示這些實體或操作之間存在任何這種實際的關(guān)系或者順序。而且���,術(shù)語“包括”���、“包含”或者其任何其他變體意在涵蓋非排他性的包含,從而使得包括一系列要素的過程�、方法、物品或者設(shè)備不僅包括那些要素��,而且還包括沒有明確列出的其他要素����,或者是還包括為這種過程、方法�、物品或者設(shè)
備所固有的要素。在沒有更多限制的情況下�,由語句“包括ー個......”限定的要素,并不
排除在包括所述要素的過程���、方法�、物品或者設(shè)備中還存在另外的相同要素����。對所公開的實施例的上述說明,使本領(lǐng)域?qū)I(yè)技術(shù)人員能夠?qū)崿F(xiàn)或使用本發(fā)明���。對這些實施例的多種修改對本領(lǐng)域的專業(yè)技術(shù)人員來說將是顯而易見的��,本文中所定義的一般原理可以在不脫離本發(fā)明的精神或范圍的情況下����,在其它實施例中實現(xiàn)。因此�����,本發(fā)明將不會被限制于本文所示的這些實施例��,而是要符合與本文所公開的原理和新穎特點相一致的最寬的范圍�����。
權(quán)利要求
1.ー種安全網(wǎng)關(guān)����,其特征在于,包括:數(shù)據(jù)連接模塊����、數(shù)據(jù)處理模塊及數(shù)據(jù)庫模塊; 所述數(shù)據(jù)連接模塊用于判斷客戶端發(fā)起的訪問請求是否符合預(yù)設(shè)的檢測策略��,并根據(jù)判斷結(jié)果將所述訪問請求提交給數(shù)據(jù)處理模塊或截斷所述訪問請求�; 所述數(shù)據(jù)處理模塊用于判斷所述訪問請求的數(shù)據(jù)內(nèi)容是否符合預(yù)設(shè)的類型策略,井根據(jù)判斷結(jié)果建立所述訪問請求與服務(wù)器的連接或截斷所述訪問請求����; 數(shù)據(jù)庫模塊���,用于存儲所述預(yù)設(shè)的檢測策略及預(yù)設(shè)的類型策略,并記錄數(shù)據(jù)連接模塊和數(shù)據(jù)處理模塊的操作信息���。
2.根據(jù)權(quán)利要求1所述的安全網(wǎng)關(guān),其特征在于����,所述數(shù)據(jù)連接模塊具體包括: 連接接收模塊,用于接收客戶端發(fā)起的訪問請求���; 策略檢測模塊���,用于根據(jù)所述訪問請求檢測所述客戶端的IP及訪問時間是否符合預(yù)設(shè)的檢測策略; 數(shù)據(jù)傳輸模塊����,用于在所述策略檢測模塊的檢測結(jié)果為是的情況下:將所述訪問請求提交給所述數(shù)據(jù)處理模塊;截斷請求模塊�,用于在所述策略檢測模塊的檢測結(jié)果為否的情況下:截斷所述訪問請求。
3.根據(jù)權(quán)利要求2所述的安全網(wǎng)關(guān)�����,其特征在于,所述數(shù)據(jù)傳輸模塊����,具體用于將多個所述訪問請求多線程的提交給數(shù)據(jù)處理模塊。
4.根據(jù)權(quán)利要求2所述的安全網(wǎng)關(guān)�����,其特征在于�,所述數(shù)據(jù)連接模塊還包括: 監(jiān)聽模塊,用于監(jiān)聽對綁定服務(wù)套接字的連接�����,以使策略檢測模塊檢測所述客戶端的IP及訪問時間����。
5.根據(jù)權(quán)利要求1所述的安全網(wǎng)關(guān),其特征在于�,所述數(shù)據(jù)處理模塊具體包括: 處理接收模塊,用于接收數(shù)據(jù)連接模塊提交的所述訪問請求�����; 類型判斷模塊,用于對所述訪問請求的數(shù)據(jù)內(nèi)容進(jìn)行格式匹配及敏感數(shù)據(jù)匹配���,判斷所述訪問請求的數(shù)據(jù)內(nèi)容是否符合預(yù)設(shè)的類型策略���; 建立連接模塊,用于在所述類型判斷模塊的判斷結(jié)果為是的情況下:建立所述訪問請求與服務(wù)器的連接���;截斷請求模塊,用于在所述類型判斷模塊的判斷結(jié)果為否的情況下:截斷所述訪問請求�����。
6.根據(jù)權(quán)利要求1所述的安全網(wǎng)關(guān)�����,其特征在于����,所述數(shù)據(jù)庫模塊具體包括: 配置文件模塊,用于存儲所述預(yù)設(shè)的檢測策略及預(yù)設(shè)的類型策略��; 記錄模塊���,用于記錄所述數(shù)據(jù)連接模塊和數(shù)據(jù)處理模塊的操作信息�����。
7.根據(jù)權(quán)利要求1-6任一項所述的安全網(wǎng)關(guān)�����,還包括:統(tǒng)計模塊�����,用于統(tǒng)計發(fā)送至所述安全網(wǎng)關(guān)的訪問請求的類型����、分布區(qū)域及異常訪問的相關(guān)信息。
8.—種網(wǎng)絡(luò)數(shù)據(jù)的交互方法��,其特征在于�����,包括: 數(shù)據(jù)連接模塊判斷客戶端發(fā)起的訪問請求是否符合預(yù)設(shè)的檢測策略�,并根據(jù)判斷結(jié)果將所述訪問請求提交給數(shù)據(jù)處理模塊或截斷所述訪問請求; 數(shù)據(jù)處理模塊判斷所述訪問請求是否符合預(yù)設(shè)的類型策略����,并根據(jù)判斷結(jié)果建立所述訪問請求與服務(wù)器的連接或截斷所述訪問請求�;數(shù)據(jù)庫模塊存儲所述預(yù)設(shè)的檢測策略及預(yù)設(shè)的類型策略����,并記錄數(shù)據(jù)連接模塊和數(shù)據(jù)處理模塊的操作信息。
9.根據(jù)權(quán)利要求8所述的方法��,其特征在于��,所述數(shù)據(jù)連接模塊判斷客戶端發(fā)起的訪問請求是否符合預(yù)設(shè)的檢測策略�����,并根據(jù)判斷結(jié)果將所述訪問請求提交給數(shù)據(jù)處理模塊或截斷所述訪問請求具體包括: 連接接收模塊接收客戶端發(fā)起的訪問請求�����; 監(jiān)聽模塊監(jiān)聽對綁定服務(wù)套接字的連接�; 策略檢測模塊根據(jù)所述監(jiān)聽模塊的監(jiān)聽結(jié)果檢測所述客戶端的IP及訪問時間是否符合預(yù)設(shè)的檢測策略���; 在所述策略檢測模塊的檢測結(jié)果為是的情況下:將所述訪問請求提交給所述數(shù)據(jù)處理模塊�; 在所述策略檢測模塊的檢測結(jié)果為否的情況下:截斷所述訪問請求��。
10.根據(jù)權(quán)利要求8所述的方法,其特征在于�,所述數(shù)據(jù)處理模塊判斷所述訪問請求是否符合預(yù)設(shè)的類型策略,并根據(jù)判斷結(jié)果建立所述訪問請求與服務(wù)器的連接或截斷所述訪問請求���,具體為: 處理接收模塊接收數(shù)據(jù)連接模塊提交的所述訪問請求���; 類型判斷模塊對所述訪問請求的數(shù)據(jù)內(nèi)容進(jìn)行格式匹配及敏感數(shù)據(jù)匹配,判斷所述訪問請求的數(shù)據(jù)內(nèi)容是否符合預(yù)設(shè)的類型策略�; 在所述類型判斷模塊的判斷結(jié)果為是的情況下:建立所述訪問請求與服務(wù)器的連接; 在所述類型判斷模塊的判斷結(jié)果為否的情況下:截斷所述訪問請求�����。
全文摘要
本發(fā)明公開了一種安全網(wǎng)關(guān)及一種網(wǎng)絡(luò)數(shù)據(jù)的交互方法�,該安全網(wǎng)關(guān)能夠?qū)h(yuǎn)端的訪問請求進(jìn)行檢測,判斷其是否符合預(yù)設(shè)的檢測策略��,檢測內(nèi)容包括IP檢測及時段檢測����,通過IP檢測及時段檢測的訪問請求才會被允許建立連接,所述安全網(wǎng)關(guān)還能夠進(jìn)一步對所述訪問請求的數(shù)據(jù)內(nèi)容類型進(jìn)行分析�,判斷其是否符合預(yù)設(shè)的類型策略,只有符合檢測策略及類型策略的訪問請求���,所述安全網(wǎng)關(guān)才會保障其與服務(wù)器的正常連接���,而過程中如果所述訪問請求被判斷出不符合系統(tǒng)預(yù)設(shè)的檢測策略和/或類型策略�����,即會立即被斷掉連接��。通過所述的安全網(wǎng)關(guān)及網(wǎng)絡(luò)數(shù)據(jù)交互方法����,能夠?qū)υL問請求進(jìn)行基于數(shù)據(jù)本身的檢測分析���,提高了網(wǎng)絡(luò)系統(tǒng)的安全性���。
文檔編號H04L29/06GK103139056SQ20111039396
公開日2013年6月5日 申請日期2011年12月1日 優(yōu)先權(quán)日2011年12月1日
發(fā)明者李志鵬, 王洪波 申請人:北京天行網(wǎng)安信息技術(shù)有限責(zé)任公司