安全網(wǎng)關(guān)的報(bào)文處理方法及裝置的制造方法
【技術(shù)領(lǐng)域】
[0001] 本申請(qǐng)涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域,特別涉及一種安全網(wǎng)關(guān)的報(bào)文處理方法及裝置�。
【背景技術(shù)】
[0002] 安全網(wǎng)關(guān)一般部署在大中型企業(yè)的網(wǎng)絡(luò)出口、企業(yè)內(nèi)部網(wǎng)絡(luò)之間�、或者數(shù)據(jù)中心 的出口,用以對(duì)外網(wǎng)訪問內(nèi)網(wǎng)的數(shù)據(jù)流進(jìn)行檢測(cè)實(shí)現(xiàn)保護(hù)內(nèi)部網(wǎng)絡(luò)安全的目的����,以及對(duì)內(nèi) 網(wǎng)訪問外網(wǎng)的數(shù)據(jù)流進(jìn)行檢測(cè)實(shí)現(xiàn)企業(yè)敏感信息的控制。
[0003] DPI (Deep Packet Inspect���,深度報(bào)文檢測(cè))和DFI (Deep Flow Inspect�,深度流檢 測(cè))是安全網(wǎng)關(guān)基于應(yīng)用層控制數(shù)據(jù)流的基礎(chǔ)��。根據(jù)實(shí)際需求��,用于實(shí)現(xiàn)DPI和DFI的數(shù) 據(jù)流檢測(cè)模塊中可以包括:內(nèi)容過濾���、文件過濾���、入侵防御和防病毒等業(yè)務(wù)模塊��,每一個(gè)業(yè) 務(wù)模塊中包含有多條規(guī)則��。經(jīng)過安全網(wǎng)關(guān)的報(bào)文會(huì)進(jìn)入數(shù)據(jù)流檢測(cè)模塊中進(jìn)行處理�,與數(shù) 據(jù)流檢測(cè)模塊中包括的各個(gè)業(yè)務(wù)模塊中的規(guī)則進(jìn)行匹配�����,并按照命中的規(guī)則對(duì)應(yīng)的處理動(dòng) 作對(duì)報(bào)文進(jìn)行處理��,常見的處理動(dòng)作包括:放行���、丟棄(drop)、連接重置�、修改報(bào)文內(nèi)容、加 入黑名單等����。在各個(gè)業(yè)務(wù)模塊中命中的規(guī)則對(duì)應(yīng)的處理工作,會(huì)最終決定該報(bào)文的轉(zhuǎn)發(fā)動(dòng) 作���。
[0004] 現(xiàn)有技術(shù)中��,業(yè)務(wù)模塊中的規(guī)則對(duì)應(yīng)的處理動(dòng)作是固定的���,在安全網(wǎng)關(guān)的配置不 變的前提下�,安全網(wǎng)關(guān)對(duì)同一 IP(因特網(wǎng)協(xié)議)地址發(fā)出的報(bào)文的轉(zhuǎn)發(fā)動(dòng)作可能是固定的��。 但是�,在某些情況下,對(duì)于同一威脅源發(fā)出的報(bào)文執(zhí)行固定的轉(zhuǎn)發(fā)動(dòng)作�����,可能會(huì)浪費(fèi)系統(tǒng)資 源并降低安全網(wǎng)關(guān)性能����。
[0005] 例如,防病毒業(yè)務(wù)模塊中的某一個(gè)規(guī)則R1�����,該規(guī)則Rl對(duì)應(yīng)的處理動(dòng)作是連接重 置�����。假設(shè)����,某一個(gè)郵件客戶端發(fā)送攜帶有符合規(guī)則Rl的病毒的郵件�,安全網(wǎng)關(guān)在接收到該 郵件并進(jìn)行檢測(cè)時(shí)�,會(huì)檢測(cè)到該病毒并執(zhí)行連接重置的處理動(dòng)作,于是該郵件發(fā)送失敗��。但 是�����,很多郵件客戶端在郵件發(fā)送失敗后會(huì)不停的嘗試重新發(fā)送����,甚至沒有次數(shù)的限制,這就 造成了安全網(wǎng)關(guān)會(huì)不停的檢測(cè)到同一種病毒并執(zhí)行相應(yīng)的處理動(dòng)作��,屬于重復(fù)操作�����,浪費(fèi) 了系統(tǒng)資源����,降低了安全網(wǎng)關(guān)的性能�。
[0006] 或者,某一個(gè)組織或單位通過安全網(wǎng)關(guān)過濾非法或敏感言論,安全網(wǎng)關(guān)對(duì)這些包 含敏感詞匯的報(bào)文的處理動(dòng)作是丟棄�����。如果某一個(gè)用戶經(jīng)常發(fā)表一些非法或敏感言論�,這 樣,安全網(wǎng)關(guān)在接收到包含這些非法或敏感言論的報(bào)文并進(jìn)行檢測(cè)時(shí)�����,就會(huì)不停的命中相 應(yīng)的規(guī)則并執(zhí)行丟棄動(dòng)作�,從而,浪費(fèi)了系統(tǒng)資源�,降低了安全網(wǎng)關(guān)的性能。
【發(fā)明內(nèi)容】
[0007] 有鑒于此�,本申請(qǐng)?zhí)峁┝艘环N安全網(wǎng)關(guān)的報(bào)文處理方法及裝置。
[0008] 本申請(qǐng)的技術(shù)方案如下:
[0009] -方面�,提供了一種安全網(wǎng)關(guān)的報(bào)文處理方法,包括:
[0010] 從威脅源記錄表中獲取威脅綜合次數(shù)不小于預(yù)定閾值的IP地址����,將獲取到的IP 地址添加到黑名單中,其中�����,威脅源記錄表中記錄有IP地址、威脅總次數(shù)與出現(xiàn)頻度之間 的對(duì)應(yīng)關(guān)系�,IP地址的威脅綜合次數(shù)與該IP地址對(duì)應(yīng)的威脅總次數(shù)和出現(xiàn)頻度成正比;
[0011] 在接收到報(bào)文之后��,將該報(bào)文的源IP地址與黑名單中的IP地址進(jìn)行匹配��;
[0012] 若匹配到一個(gè)IP地址���,則停止轉(zhuǎn)發(fā)該報(bào)文�����;
[0013] 若沒有匹配到任一 IP地址���,則對(duì)該報(bào)文進(jìn)行深度檢測(cè),并在安全日志文件中添加 對(duì)應(yīng)的日志記錄����。
[0014] 另一方面���,還提供了一種安全網(wǎng)關(guān)的報(bào)文處理裝置���,包括:
[0015] IP地址獲取模塊,用于從威脅源記錄表中獲取威脅綜合次數(shù)不小于預(yù)定閾值的 IP地址,其中��,威脅源記錄表中記錄有IP地址�����、威脅總次數(shù)與出現(xiàn)頻度之間的對(duì)應(yīng)關(guān)系���,IP 地址的威脅綜合次數(shù)與該IP地址對(duì)應(yīng)的威脅總次數(shù)和出現(xiàn)頻度成正比�����;
[0016] 黑名單添加模塊���,用于將IP地址獲取模塊獲取到的IP地址添加到黑名單中;
[0017] 接收模塊���,用于接收?qǐng)?bào)文�;
[0018] 黑名單匹配模塊����,用于在接收模塊接收到報(bào)文之后,將該報(bào)文的源IP地址與黑名 單中的IP地址進(jìn)行匹配����;
[0019] 轉(zhuǎn)發(fā)模塊���,用于若黑名單匹配模塊匹配到一個(gè)IP地址,則停止轉(zhuǎn)發(fā)該報(bào)文�;
[0020] 數(shù)據(jù)流檢測(cè)模塊,用于若黑名單匹配模塊沒有匹配到任一 IP地址�����,則對(duì)該報(bào)文進(jìn) 行深度檢測(cè)����,并在安全日志文件中添加對(duì)應(yīng)的日志記錄。
[0021] 本申請(qǐng)的以上技術(shù)方案中�����,從威脅源記錄表中獲取威脅綜合次數(shù)不小于預(yù)定閾值 的IP地址���,將獲取到的IP地址添加到黑名單中���,其中����,威脅源記錄表中記錄有IP地址��、威 脅總次數(shù)與出現(xiàn)頻度之間的對(duì)應(yīng)關(guān)系��,IP地址的威脅綜合次數(shù)與該IP地址對(duì)應(yīng)的威脅總 次數(shù)和出現(xiàn)頻度成正比����;這樣�,在接收到報(bào)文之后,先將該報(bào)文的源IP地址與黑名單中的 IP地址進(jìn)行匹配����,若匹配到一個(gè)IP地址,就不再轉(zhuǎn)發(fā)該報(bào)文��,若沒有匹配到任一 IP地址�����, 才會(huì)對(duì)該報(bào)文進(jìn)行深度檢測(cè)�����,例如����,DPI和DFI���。從而,可以預(yù)先識(shí)別出威脅源����,并將威脅源 的IP地址添加到黑名單中,先通過黑名單對(duì)收到的報(bào)文進(jìn)行篩除��,只有沒有匹配到黑名單 中的任一 IP地址的報(bào)文才會(huì)進(jìn)行后續(xù)的深度檢測(cè)��,節(jié)省了系統(tǒng)資源并提高了安全網(wǎng)關(guān)性 能��。來(lái)自威脅源的報(bào)文可以先通過黑名單匹配被過濾掉����,無(wú)需再進(jìn)行深度檢測(cè),黑名單匹配 是一個(gè)基于IP地址比較的過程����,相對(duì)于深度檢測(cè)更加高效。
【附圖說明】
[0022] 圖1是本申請(qǐng)實(shí)施例的威脅源記錄表的生成方法的流程圖��;
[0023] 圖2是本申請(qǐng)實(shí)施例的在接收到報(bào)文后執(zhí)行的操作流程圖;
[0024] 圖3是本申請(qǐng)實(shí)施例的安全網(wǎng)關(guān)的報(bào)文處理裝置的一種結(jié)構(gòu)示意圖�����;
[0025] 圖4是本申請(qǐng)實(shí)施例的安全網(wǎng)關(guān)的報(bào)文處理裝置的另一種結(jié)構(gòu)示意圖�;
[0026] 圖5是本申請(qǐng)實(shí)施例的安全網(wǎng)關(guān)的報(bào)文處理裝置的又一種結(jié)構(gòu)示意圖���。
【具體實(shí)施方式】
[0027] 為了解決現(xiàn)有技術(shù)中存在的浪費(fèi)系統(tǒng)資源�����,降低安全網(wǎng)關(guān)性能的問題�����,本申請(qǐng)以 下實(shí)施例中提供了一種安全網(wǎng)關(guān)的報(bào)文處理方法���,以及一種可以應(yīng)用該方法的裝置。
[0028] 本申請(qǐng)實(shí)施例中���,安全網(wǎng)關(guān)的報(bào)文處理方法包括以下內(nèi)容:
[0029] 如圖1所示�����,威脅源記錄表的生成方法包括以下步驟:
[0030] 步驟S102,判斷日志記錄獲取定時(shí)器是否到時(shí)�,若是,則執(zhí)行步驟S104,否則��,返 回步驟S102 ;
[0031] 其中��,日志記錄獲取定時(shí)器的計(jì)時(shí)時(shí)間為預(yù)定時(shí)間間隔T�。
[0032] 步驟S104,將日志記錄獲取定時(shí)器重新開始計(jì)時(shí),從安全日志文件中獲取在日志 記錄獲取定時(shí)器計(jì)時(shí)時(shí)間內(nèi)記錄的滿足特定條件的日志記錄��;
[0033] 其中����,每一條日志記錄中包括:該日志記錄所針對(duì)的報(bào)文的源IP地址、該報(bào)文命 中的規(guī)則對(duì)應(yīng)的處理動(dòng)作和命中該規(guī)則的時(shí)間�。
[0034] 該特定條件包括:日志記錄中的處理動(dòng)作是用于停止轉(zhuǎn)發(fā)報(bào)文到安全網(wǎng)關(guān)外部的 處理動(dòng)作。在實(shí)際實(shí)施過程中��,用于停止轉(zhuǎn)發(fā)報(bào)文到安全網(wǎng)關(guān)外部的處理動(dòng)作包括:丟棄或 連接重置�����,顯然����,還可以是其它處理動(dòng)作,只要是不再?gòu)陌踩W(wǎng)關(guān)中將報(bào)文轉(zhuǎn)發(fā)出去的處理 動(dòng)作即可,本申請(qǐng)對(duì)此不做限定�����。
[0035] 顯然��,當(dāng)一個(gè)報(bào)文命中了多條規(guī)則時(shí)����,對(duì)應(yīng)的日志記錄中會(huì)包括每一條規(guī)則對(duì)應(yīng) 的處理動(dòng)作和命中該規(guī)則的時(shí)間��,步驟S104中獲取的是包括的所有處理動(dòng)作均為用于停 止轉(zhuǎn)發(fā)報(bào)文到安全網(wǎng)關(guān)外部的處理動(dòng)作的日志記錄�。
[0036] 步驟S106,針對(duì)