本申请提供了一种服务器的外联防护方法及装置,设置于网络安全设备中。该方法为:接收内网中的目标服务器对外发送的网络报文;从网络报文中解析出报文信息,所述报文信息包括所述目标服务器的第一IP地址;利用第一IP地址匹配预先学习到的第一防护策略表,所述第一防护策略表中包括学习到的所述内网所包括的服务器的IP地址;当第一IP地址命中第一防护策略表时,获取第一IP地址所指向的第二防护策略表,所述第二防护策略表包括所述目标服务器所访问主机的IP地址及对应的安全防护策略;根据报文信息中目标主机的第二IP地址,确定第二防护策略表中目标主机对应的安全防护策略;根据确定出的安全防护策略,对网络报文进行防护处理。理。理。
【技术实现步骤摘要】
一种服务器的外联防护方法及装置
[0001]本申请涉及通信
,尤其涉及一种服务器的外联防护方法及装置。
技术介绍
[0002]随着网络攻击越来越严重,客户对内网服务器防护意识越来越重视,尤其是随着内部服务器数量的扩充,外部网络环境的恶化,急需要服务器异常外联防护的解决方案。通过监控服务器的非法外联行为,满足用户对僵尸网络或内网持续渗透等行为的检测。服务器主动向外发起连接,通过自学习得到服务器连接的外联地址、协议、端口信息记录,选择学习记录信息添加到防护列表中,管理员判断连接合法性来确定是否需要告警,从而对流量产生告警日志或者阻断动作的行为管控。
[0003]然而,目前的外联防护方案中,主要是采集内网服务器访问外网的行为,然后依赖IT信息员人工的筛选、警报、采样和策略的设定进行外联防护,但是该方法效率较低且维护压力大,尤其面对日益增加的服务器系统,不仅需要频繁地维护服务器系统,而且即使频繁地维护往往也不能得到自己理想的结果。
技术实现思路
[0004]有鉴于此,本申请提供一种服务器的外联防护方法及装置,用以对服务器进行有效地防护,且减少人工的参与。
[0005]具体地,本申请是通过如下技术方案实现的:
[0006]根据本申请的第一方面,提供一种服务器的外联防护方法,应用于网络安全设备中,所述方法,包括:
[0007]接收内网中的目标服务器对外发送的网络报文;
[0008]从所述网络报文中解析出报文信息,所述报文信息包括所述目标服务器的第一IP地址;
[0009]利用所述第一IP地址匹配预先学习到的第一防护策略表,所述第一防护策略表中包括学习到的所述内网所包括的服务器的IP地址;
[0010]当所述第一IP地址命中所述第一防护策略表时,获取所述第一IP地址所指向的第二防护策略表,所述第二防护策略表包括所述目标服务器所访问主机的IP地址及对应的安全防护策略;
[0011]根据所述报文信息中目标主机的第二IP地址,确定所述第二防护策略表中所述目标主机对应的安全防护策略;
[0012]根据确定出的安全防护策略,对所述网络报文进行防护处理。
[0013]根据本申请的第二方面,提供一种服务器的外联防护装置,设置于网络安全设备中,所述装置,包括:
[0014]接收模块,用于接收内网中的目标服务器对外发送的网络报文;
[0015]解析模块,用于从所述网络报文中解析出报文信息,所述报文信息包括所述目标
服务器的第一IP地址;
[0016]匹配模块,用于利用所述第一IP地址匹配预先学习到的第一防护策略表,所述第一防护策略表中包括学习到的所述内网所包括的服务器的IP地址;
[0017]获取模块,用于当所述匹配模块的匹配结果为所述第一IP地址命中所述第一防护策略表时,获取所述第一IP地址所指向的第二防护策略表,所述第二防护策略表包括所述目标服务器所访问主机的IP地址及对应的安全防护策略;
[0018]确定模块,用于根据所述报文信息中目标主机的第二IP地址,确定所述第二防护策略表中所述目标主机对应的安全防护策略;
[0019]防护模块,用于根据确定出的安全防护策略,对所述网络报文进行防护处理。
[0020]根据本申请的第三方面,提供一种电子设备,包括处理器和机器可读存储介质,机器可读存储介质存储有能够被处理器执行的计算机程序,处理器被计算机程序促使执行本申请实施例第一方面所提供的方法。
[0021]根据本申请的第四方面,提供一种机器可读存储介质,机器可读存储介质存储有计算机程序,在被处理器调用和执行时,计算机程序促使处理器执行本申请实施例第一方面所提供的方法。
[0022]本申请实施例的有益效果:
[0023]本申请实施例提供的通过实施本申请提供的服务器的外联防护方法,网络安全设备接收到内网中的目标服务器对外发送的网络报文后,从网络报文中解析出报文信息,然后利用报文信息中的第一IP地址匹配预先学习到的第一防护策略表,由于第一防护策略表中包括学习到的内网所包括的服务器的IP地址,这样,网络安全设备当确认第一IP地址命中第一防护策略表时,就可以获取该第一IP地址所指向的第二防护策略表,由于该第二防护策略表包括目标服务器所访问主机的IP地址及对应的安全防护策略,网络安全设备就可以根据目标主机的第二IP地址,确定第二防护策略表中目标主机对应的安全防护策略;进而就可以根据确定出的安全防护策略,对网络报文进行防护处理,从而也就实现了内网中服务器的异常防护的检测,进而实现了服务器的有效防护,同时减少了人工的参与,节省了人工成本。
附图说明
[0024]图1是本申请实施例提供的一种服务器的外联防护方法的流程示意图;
[0025]图2是本申请实施例提供的一种数据链表的链表示意图;
[0026]图3是本申请实施例提供的一种服务器的外联防护装置的结构示意图;
[0027]图4是本申请实施例提供的一种实施服务器的外联防护方法的电子设备的硬件结构示意图。
具体实施方式
[0028]这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如本申请的一些方面相一致的装置和方法的例子。
[0029]在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相对应的列出项目的任何或所有可能组合。
[0030]应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在
……
时”或“当
……
时”或“响应于确定”。
[0031]下面对本申请提供的服务器的外联防护方法进行详细地说明。
[0032]参见图1,图1是本申请提供的一种服务器的外联防护方法的流程图,该方法可以应用于网络安全设备中,网络安全设备实施该方法时,可包括如下所示步骤:
[0033]S101、接收内网中的目标服务器对外发送的网络报文。
[0034]本步骤中,位于内网中的每个服务器经常会有向外网的设备交互的需求,为此,为了保证服务器的外联的安全性,会提出对服务器发往外网的网络报文进行检测,即,执行服务器外联防护,从而保证服务器的安全性。有鉴于此,网络安全设备在接收到服务器对外发送的网络报文时,会执行本实施例提供的服务器的外联防护流程。为了方便描述,后续以目标服务器本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种服务器的外联防护方法,其特征在于,应用于网络安全设备中,所述方法,包括:接收内网中的目标服务器对外发送的网络报文;从所述网络报文中解析出报文信息,所述报文信息包括所述目标服务器的第一IP地址;利用所述第一IP地址匹配预先学习到的第一防护策略表,所述第一防护策略表中包括学习到的所述内网所包括的服务器的IP地址;当所述第一IP地址命中所述第一防护策略表时,获取所述第一IP地址所指向的第二防护策略表,所述第二防护策略表包括所述目标服务器所访问主机的IP地址及对应的安全防护策略;根据所述报文信息中目标主机的第二IP地址,确定所述第二防护策略表中所述目标主机对应的安全防护策略;根据确定出的安全防护策略,对所述网络报文进行防护处理。2.根据权利要求1所述的方法,其特征在于,还包括:当所述第一IP地址未命中所述第一防护策略表,若确认需要学习所述目标服务器访问所述目标主机的安全防护策略,则将所述目标服务器的第一IP地址加入到所述第一防护策略表中,以及将学习到的安全防护策略加入到所述第一IP地址指向的第二防护策略表中;当所述第二防护策略表中不包括所述目标主机的安全防护策略时,若确认需要学习所述目标服务器访问所述目标主机的安全防护策略,则将学习到的安全防护策略加入到所述第一IP地址指向的第二防护策略表中;根据学习到的安全防护策略处理所述网络报文。3.根据权利要求1所述的方法,其特征在于,按照下述方法生成第二防护策略表:获取服务器学习列表,所述服务器学习列表中包括需要学习的服务器的IP地址;根据所述服务器学习列表中的IP地址,收集所述服务器学习列表中每个服务器访问主机的网络报文中的报文信息;根据收集到的每个服务器的报文信息,确定该服务器访问的主机的安全防护策略;根据分别学习到的该服务器访问每个主机的安全防护策略,生成该服务器对应的所述第二防护策略表。4.根据权利要求2所述的方法,其特征在于,每个网络安全设备包括主控板和至少一个业务板;根据所述服务器学习列表中的IP地址,收集所述服务器学习列表中每个服务器访问主机的网络报文中的报文信息,包括:所述主控板将所述服务器学习列表下发给每个业务板,以由每个业务板根据所述服务器学习列表中的IP地址,收集所述服务器学习列表中每个服务器访问主机的网络报文中的报文信息;所述主控板接收每个业务板收集到的报文信息;根据收集到的每个服务器的报文信息,确定该服务器访问的主机的安全防护策略,包括:所述主控板将收集到的报文信息进行输出展示;所述主控板接收用户根据展示的报文信息配置的安全防护策略;
根据学习到的每个主机的安全防护策略,生成该服务器对应的所述第二防护策略表,包括:所述主控板根据分别学习到的该服务器访问每个主机的安全防护策略,生成该服务器对应的所述第二防护策略表。5.根据权利要求1所述的方法,其特征在于,所述第一防护策略表采用...
【专利技术属性】
技术研发人员:胡海林,
申请(专利权)人:新华三信息安全技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。