通訊數(shù)據(jù)的處理方法和裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及互聯(lián)網(wǎng)領(lǐng)域,具體而言���,涉及一種通訊數(shù)據(jù)的處理方法和裝置���。
【背景技術(shù)】
[0002]使用下一代防火墻(即NGFW)技術(shù),可以有效的實(shí)現(xiàn)識(shí)別用戶�、控制用戶、監(jiān)控用戶等功能��。在實(shí)現(xiàn)控制用戶這個(gè)功能時(shí)��,對(duì)用戶的控制僅限于允許訪問(wèn)哪些應(yīng)用和業(yè)務(wù)、不允許訪問(wèn)哪些應(yīng)用和業(yè)務(wù)�����,而沒(méi)有考慮到用戶對(duì)允許訪問(wèn)的業(yè)務(wù)是否存在越權(quán)或偽冒他人賬號(hào)訪問(wèn)該業(yè)務(wù)的情形�。如在某公司的防火墻中限定了只有財(cái)務(wù)部門的員工可以訪問(wèn)公司的財(cái)務(wù)數(shù)據(jù),假設(shè)財(cái)務(wù)數(shù)據(jù)在一個(gè)FTP服務(wù)器上�,為了確保財(cái)務(wù)數(shù)據(jù)的安全,財(cái)務(wù)部門的每個(gè)員工對(duì)不同類型的財(cái)務(wù)數(shù)據(jù)的訪問(wèn)權(quán)限又有所不同�。當(dāng)員工訪問(wèn)財(cái)務(wù)數(shù)據(jù)時(shí)只能通過(guò)自己的電腦訪問(wèn)有權(quán)限的財(cái)務(wù)數(shù)據(jù),防火墻可以通過(guò)Content_ID(即內(nèi)容標(biāo)識(shí))獲知用戶正在訪問(wèn)什么數(shù)據(jù)����,如收納員在使用自己的FTP賬號(hào)和密碼在自己的電腦上訪問(wèn)財(cái)務(wù)部門的財(cái)務(wù)數(shù)據(jù)時(shí),防火墻可以通過(guò)Content_ID來(lái)確定收納員訪問(wèn)該財(cái)務(wù)數(shù)據(jù)的行為是否合法���,但是如果收納員在自己的電腦上使用了薪酬專員的FTP賬號(hào)和密碼來(lái)訪問(wèn)只有薪酬專員才能訪問(wèn)的財(cái)務(wù)數(shù)據(jù)時(shí)�,防火墻也會(huì)認(rèn)為這個(gè)訪問(wèn)是一個(gè)合法的行為�,防火墻無(wú)法防止這種訪問(wèn)行為造成的信息泄露。
[0003]針對(duì)現(xiàn)有技術(shù)中防火墻安全性低的技術(shù)問(wèn)題�,目前尚未提出有效的解決方案。
【發(fā)明內(nèi)容】
[0004]本發(fā)明實(shí)施例提供了一種通訊數(shù)據(jù)的處理方法和裝置���,以至少解決現(xiàn)有技術(shù)中防火墻安全性低的技術(shù)問(wèn)題����。
[0005]根據(jù)本發(fā)明實(shí)施例的一個(gè)方面,提供了一種通訊數(shù)據(jù)的處理方法���,該處理方法包括:接收用戶終端發(fā)送的通訊數(shù)據(jù)包�;判斷用戶終端是否有權(quán)限訪問(wèn)外網(wǎng)��;在判斷出用戶終端有權(quán)限訪問(wèn)外網(wǎng)的情況下�����,從通訊數(shù)據(jù)包中讀取用戶終端請(qǐng)求訪問(wèn)的目標(biāo)服務(wù)器的賬號(hào)信息���;在賬號(hào)信息與用戶終端的預(yù)設(shè)賬號(hào)信息相匹配的情況下�,將通訊數(shù)據(jù)包發(fā)送至目標(biāo)服務(wù)器����。
[0006]進(jìn)一步地�,從通訊數(shù)據(jù)包中讀取用戶終端請(qǐng)求訪問(wèn)的目標(biāo)服務(wù)器的賬號(hào)信息包括:從通訊數(shù)據(jù)包中讀取應(yīng)用標(biāo)識(shí),其中�,應(yīng)用標(biāo)識(shí)為用戶終端請(qǐng)求訪問(wèn)的目標(biāo)應(yīng)用的標(biāo)識(shí);根據(jù)應(yīng)用標(biāo)識(shí)判斷目標(biāo)應(yīng)用是否驗(yàn)證用戶終端的合法性;在判斷出需要驗(yàn)證用戶終端的合法性的情況下���,從通訊數(shù)據(jù)包中讀取用戶終端請(qǐng)求訪問(wèn)的目標(biāo)服務(wù)器的賬號(hào)信息�����。
[0007]進(jìn)一步地�,在根據(jù)應(yīng)用標(biāo)識(shí)判斷目標(biāo)應(yīng)用是否驗(yàn)證用戶終端的合法性之后����,該處理方法還包括:在判斷出不需要驗(yàn)證用戶終端的合法性的情況下或從通訊數(shù)據(jù)包中讀取賬號(hào)信息失敗時(shí),將通訊數(shù)據(jù)包發(fā)送至目標(biāo)服務(wù)器���。
[0008]進(jìn)一步地���,判斷用戶終端是否有權(quán)限訪問(wèn)外網(wǎng)包括:從通訊數(shù)據(jù)包中讀取用戶終端的IP地址;從數(shù)據(jù)庫(kù)中讀取與IP地址對(duì)應(yīng)的用戶終端的標(biāo)識(shí)���;若用戶終端的標(biāo)識(shí)在預(yù)設(shè)終端標(biāo)識(shí)集合內(nèi)���,則確定用戶終端有權(quán)限訪問(wèn)外網(wǎng);若用戶終端的標(biāo)識(shí)不在預(yù)設(shè)終端標(biāo)識(shí)集合內(nèi)�����,則確定用戶終端沒(méi)有權(quán)限訪問(wèn)外網(wǎng)。
[0009]進(jìn)一步地�,在從數(shù)據(jù)庫(kù)中讀取與IP地址對(duì)應(yīng)的用戶終端的標(biāo)識(shí)之前,該處理方法還包括:在用戶終端第一次訪問(wèn)外網(wǎng)時(shí)�����,從用戶終端的通訊數(shù)據(jù)包中讀取用戶終端的IP地址����;按照預(yù)定格式生成用戶終端的標(biāo)識(shí),并建立用戶終端的標(biāo)識(shí)與IP地址的映射關(guān)系���;將映射關(guān)系存入數(shù)據(jù)庫(kù)�。
[0010]進(jìn)一步地���,在從通訊數(shù)據(jù)包中讀取用戶終端請(qǐng)求訪問(wèn)的目標(biāo)服務(wù)器的賬號(hào)信息之后�,該處理方法還包括:在賬號(hào)信息與預(yù)設(shè)賬號(hào)信息不匹配的情況下�����,確定用戶終端發(fā)起的訪問(wèn)為非法訪問(wèn)����,并將非法訪問(wèn)的信息寫(xiě)入日志。
[0011]根據(jù)本發(fā)明實(shí)施例的另一方面�����,還提供了一種通訊數(shù)據(jù)的處理裝置����,該處理裝置包括:接收模塊,用于接收用戶終端發(fā)送的通訊數(shù)據(jù)包��;第一判斷模塊����,用于判斷用戶終端是否有權(quán)限訪問(wèn)外網(wǎng);第一讀取模塊��,用于在判斷出用戶終端有權(quán)限訪問(wèn)外網(wǎng)的情況下��,從通訊數(shù)據(jù)包中讀取用戶終端請(qǐng)求訪問(wèn)的目標(biāo)服務(wù)器的賬號(hào)信息�����;第一發(fā)送模塊���,用于在賬號(hào)信息與用戶終端的預(yù)設(shè)賬號(hào)信息相匹配的情況下�,將通訊數(shù)據(jù)包發(fā)送至目標(biāo)服務(wù)器。
[0012]進(jìn)一步地�����,第一讀取模塊包括:第二讀取模塊���,用于從通訊數(shù)據(jù)包中讀取應(yīng)用標(biāo)識(shí)�����,其中�,應(yīng)用標(biāo)識(shí)為用戶終端請(qǐng)求訪問(wèn)的目標(biāo)應(yīng)用的標(biāo)識(shí)�����;第二判斷模塊�����,用于根據(jù)應(yīng)用標(biāo)識(shí)判斷目標(biāo)應(yīng)用是否驗(yàn)證用戶終端的合法性�����;第三讀取模塊����,用于在判斷出需要驗(yàn)證用戶終端的合法性的情況下,從通訊數(shù)據(jù)包中讀取用戶終端請(qǐng)求訪問(wèn)的目標(biāo)服務(wù)器的賬號(hào)信息�。
[0013]進(jìn)一步地,該處理裝置還包括:第二發(fā)送模塊���,用于在根據(jù)應(yīng)用標(biāo)識(shí)判斷目標(biāo)應(yīng)用是否驗(yàn)證用戶終端的合法性之后�����,在判斷出不需要驗(yàn)證用戶終端的合法性的情況下或從通訊數(shù)據(jù)包中讀取賬號(hào)信息失敗時(shí)�,將通訊數(shù)據(jù)包發(fā)送至目標(biāo)服務(wù)器����。
[0014]進(jìn)一步地,第一判斷模塊包括:第四讀取模塊����,用于從通訊數(shù)據(jù)包中讀取用戶終端的IP地址;第五讀取模塊����,用于從數(shù)據(jù)庫(kù)中讀取與IP地址對(duì)應(yīng)的用戶終端的標(biāo)識(shí)�����;第一確定模塊��,用于若用戶終端的標(biāo)識(shí)在預(yù)設(shè)終端標(biāo)識(shí)集合內(nèi)��,則確定用戶終端有權(quán)限訪問(wèn)外網(wǎng)�����;第二確定模塊�,用于若用戶終端的標(biāo)識(shí)不在預(yù)設(shè)終端標(biāo)識(shí)集合內(nèi)�,則確定用戶終端沒(méi)有權(quán)限訪問(wèn)外網(wǎng)。
[0015]進(jìn)一步地��,該處理裝置還包括:第六讀取模塊����,用于在從數(shù)據(jù)庫(kù)中讀取與IP地址對(duì)應(yīng)的用戶終端的標(biāo)識(shí)之前,在用戶終端第一次訪問(wèn)外網(wǎng)時(shí)�,從用戶終端的通訊數(shù)據(jù)包中讀取用戶終端的IP地址;生成模塊�����,用于按照預(yù)定格式生成用戶終端的標(biāo)識(shí),并建立用戶終端的標(biāo)識(shí)與IP地址的映射關(guān)系�;保存模塊,用于將映射關(guān)系存入數(shù)據(jù)庫(kù)��。
[0016]進(jìn)一步地�����,該處理裝置還包括:第三確定模塊��,用于在從通訊數(shù)據(jù)包中讀取用戶終端請(qǐng)求訪問(wèn)的目標(biāo)服務(wù)器的賬號(hào)信息之后����,在賬號(hào)信息與預(yù)設(shè)賬號(hào)信息不匹配的情況下����,確定用戶終端發(fā)起的訪問(wèn)為非法訪問(wèn),并將非法訪問(wèn)的信息寫(xiě)入日志�����。
[0017]采用本發(fā)明����,在用戶訪問(wèn)外網(wǎng)時(shí)�����,根據(jù)接收到的用戶終端發(fā)送的通訊數(shù)據(jù)包判斷該用戶終端是否有權(quán)限訪問(wèn)外網(wǎng)�,在判斷出該用戶終端有權(quán)限訪問(wèn)外網(wǎng)的情況下���,從通訊數(shù)據(jù)包中讀取用戶終端請(qǐng)求訪問(wèn)的目標(biāo)服務(wù)器的賬號(hào)信息�����,若賬號(hào)信息與用戶終端所對(duì)應(yīng)的預(yù)設(shè)賬號(hào)信息相匹配�����,則確定這是一個(gè)安全合法的訪問(wèn)��,并將通訊數(shù)據(jù)包發(fā)送至目標(biāo)服務(wù)器�����,從而解決了現(xiàn)有技術(shù)中防火墻安全性低的技術(shù)問(wèn)題��,實(shí)現(xiàn)了提高防火墻的安全性的效果��。
【附圖說(shuō)明】
[0018]此處所說(shuō)明的附圖用來(lái)提供對(duì)本發(fā)明的進(jìn)一步理解�,構(gòu)成本申請(qǐng)的一部分,本發(fā)明的示意性實(shí)施例及其說(shuō)明用于解釋本發(fā)明����,并不構(gòu)成對(duì)本發(fā)明的不當(dāng)限定。在附圖中:
[0019]圖1是根據(jù)本發(fā)明實(shí)施例的通訊數(shù)據(jù)的處理方法的流程圖����;
[0020]圖2是根據(jù)本發(fā)明實(shí)施例的一種可選的防火墻系統(tǒng)示意圖��;
[0021]圖3是根據(jù)本發(fā)明實(shí)施例的一種可選的處理通訊數(shù)據(jù)的流程圖�;以及
[0022]圖4是根據(jù)本發(fā)明實(shí)施例的通訊數(shù)據(jù)的處理裝置的示意圖。
【具體實(shí)施方式】
[0023]為了使本技術(shù)領(lǐng)域的人員更好地理解本發(fā)明方案��,下面將結(jié)合本發(fā)明實(shí)施例中的附圖����,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述����,顯然,所描述的實(shí)施例僅僅是本發(fā)明一部分的實(shí)施例����,而不是全部的實(shí)施例�?��;诒景l(fā)明中的實(shí)施例�����,本領(lǐng)域普通技術(shù)人員在沒(méi)有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例��,都應(yīng)當(dāng)屬于本發(fā)明保護(hù)的范圍���。
[0024]需要說(shuō)明的是,本發(fā)明的說(shuō)明書(shū)和權(quán)利要求書(shū)及上述附圖中的術(shù)語(yǔ)“第一”���、“第二”等是用于區(qū)別類似的對(duì)象�����,而不必用于描述特定的順序或先后次序���。應(yīng)該理解這樣使用的數(shù)據(jù)在適當(dāng)情況下可以互換,以便這里描述的本發(fā)明的實(shí)施例能夠以除了在這里圖示或描述的那些以外的順序?qū)嵤?。此外���,術(shù)語(yǔ)“包括”和“具有”以及他們的任何變形,意圖在于覆蓋不排他的包含����,例如,包含了一系列步驟或單元的過(guò)程���、方法�����、系統(tǒng)��、產(chǎn)品或設(shè)備不必限于清楚地列出的那些步驟或單元,而是可包括沒(méi)有清楚地列出的或?qū)τ谶@些過(guò)程���、方法���、產(chǎn)品或設(shè)備固有的其它步驟或單元。
[0025]首先��,在對(duì)本發(fā)明實(shí)施例進(jìn)行描述的過(guò)程中出現(xiàn)的部分名詞或術(shù)語(yǔ)適用于如下解釋:
[0026]下一代防火墻:英文全稱是Next Generat1n Firewall�����,簡(jiǎn)稱為NGFW,具有標(biāo)準(zhǔn)的防火墻功能�����,如網(wǎng)絡(luò)地址轉(zhuǎn)換��、狀態(tài)檢測(cè)���,還具有VPN和大企業(yè)需要的功能�,如IPS���、AV��、行為管理等功能���。Palo Alto在推出NGFW的概念的同時(shí),也創(chuàng)新性的提出了三個(gè)網(wǎng)絡(luò)安全檢測(cè)和控制的維度的元素�����,并將這三個(gè)元素引入NGFW����,這三個(gè)元素分別為App_ID(即應(yīng)用標(biāo)識(shí))�、User_ID (即用戶標(biāo)識(shí))���、Content_ID (即內(nèi)容標(biāo)識(shí))�。其中�����,App_ID用于識(shí)別應(yīng)用�����,User_ID用于識(shí)別用戶���,而Content_ID用于識(shí)別內(nèi)容���?����;谶@三個(gè)維度��,可以準(zhǔn)確當(dāng)前數(shù)據(jù)流量來(lái)自哪個(gè)用戶,是什么應(yīng)用�,以及可以針對(duì)不用的應(yīng)用做深層的內(nèi)容安全檢查、內(nèi)容過(guò)濾��、防敏感信息泄露等處理��。
[0027]文本傳輸協(xié)議:英文全稱File Transfer Protocol�,簡(jiǎn)稱FTP,用于Internet上的控制文件的雙向傳輸�����。同時(shí)�,它也是一個(gè)應(yīng)用程序,基于不同的操作系統(tǒng)有不同的FTP應(yīng)用程序��,而所有這些應(yīng)用程序都遵守同一種協(xié)議以傳輸文件�����。