网络访问的控制方法、装置和计算机可读存储介质制造方法及图纸

本发明专利技术公开了一种网络访问的控制方法、装置和计算机可读存储介质，涉及网络信息安全技术领域。该方法包括：对到达防火墙的内外访问流量进行检测以获取用户的行为特征信息和访问协议信息；根据行为特征信息以及访问协议信息为允许穿越防火墙的内外访问流量建立连接状态化表项；根据连接状态化表项决定是否放行到达防火墙的外内返回流量。该方法和装置能够提高网络信息安全防护的可靠性和效率。

Control methods, devices and computer readable storage media for network access

The invention discloses a control method, device and computer readable storage medium for network access, which relates to the technical field of network information security. The method includes: detecting the internal and external access flow to the firewall to obtain the user's behavior characteristics information and access protocol information; establishing connection status table entries for the internal and external access flow allowed to cross the firewall based on the behavior characteristics information and access protocol information; and deciding whether to release the external return flow to the firewall based on the connection status table. This method and device can improve the reliability and efficiency of network information security protection.

【技术实现步骤摘要】
网络访问的控制方法、装置和计算机可读存储介质
本专利技术涉及网络信息安全
，特别涉及一种网络访问的控制方法、网络访问的控制装置和计算机可读存储介质。
技术介绍
状态检测防火墙可以用于监视每一个有效连接的状态，以保证网络信息的安全。相关技术中的防火墙默认放行从内部或信任区域到外部或不信任区域的流量，拦截外部或不信任区域到内部或信任区域的流量。拦截还是放行流量都需要根据明确编写的ACL(AccessControlList，访问控制列表)或者相关安全策略来决定。ACL和相关安全策略根据源IP、目的IP、源端口、目的端口和协议类型等网络层协议信息编写。
技术实现思路
本专利技术的专利技术人发现上述相关技术中存在如下问题：仅将协议信息作为防火墙的判断依据并不可靠而且效率低下，因为防火墙不仅需要支持基于TCP(TransmissionControlProtocol，传输控制协议)的应用，还需要支持基于无连接协议(如远程过程调用协议、用户数据报协议)的应用。针对上述问题，本专利技术人提出了解决方案。本专利技术的一个目的是提供一种可靠的、高效率的网络访问的控制技术方案。根据本专利技术的一个实施例，提供了一种网络访问的控制方法，包括：对到达防火墙的内外访问流量进行检测以获取用户的行为特征信息和访问协议信息；根据所述行为特征信息以及所述访问协议信息为允许穿越防火墙的内外访问流量建立连接状态化表项；根据所述连接状态化表项决定是否放行到达防火墙的外内返回流量。可选地，根据预设的安全策略确定所述内外访问流量是否允许穿越防火墙。可选地，检测所述连接状态化表项中的行为特征信息是否异常；在所述行为特征信息异常的情况下，删除所述连接状态化表项，并更新所述安全策略。可选地，禁止用户根据被删除的连接状态化表项中的访问协议信息和行为特征信息访问外部网络。可选地，验证用户输入的用户ID和密码，所述连接状态化表项还包括用户ID。可选地，所述行为特征信息包括所述用户使用的应用ID和/或所述用户的网络访问行为。可选地，查询是否存在与所述外内返回流量相匹配的连接状态化表项，如果存在则放行所述外内返回流量，否则阻断所述外内返回流量。根据本专利技术的另一个实施例，提供一种网络访问的控制装置，包括：信息获取模块，用于对到达防火墙的内外访问流量进行检测以获取用户的行为特征信息和访问协议信息；表项建立模块，用于根据所述行为特征信息以及所述访问协议信息为允许穿越防火墙的内外访问流量建立连接状态化表项；状态检测模块，用于根据所述连接状态化表项决定是否放行到达防火墙的外内返回流量。可选地，该装置还包括安全防护模块，用于根据预设的安全策略确定所述内外访问流量是否允许穿越防火墙。可选地，所述安全防护模块还用于检测所述连接状态化表项中的行为特征信息是否异常，在所述行为特征信息异常的情况下，删除所述连接状态化表项，并更新所述安全策略。可选地，所述更新所述安全策略包括禁止用户根据被删除的连接状态化表项中的访问协议信息和行为特征信息访问外部网络。可选地，所述信息获取模块在获取用户的行为特征信息和访问协议信息之前，验证用户输入的用户ID和密码，所述连接状态化表项还包括用户ID。可选地，所述行为特征信息包括所述用户使用的应用ID和/或所述用户的网络访问行为。可选地，所述状态检测模块查询是否存在与所述外内返回流量相匹配的连接状态化表项，如果存在则放行所述外内返回流量，否则阻断所述外内返回流量。根据本专利技术的又一个实施例，提供一种网络访问的控制装置，包括：存储器以及耦接至所述存储器的处理器，所述处理器被配置为基于存储在所述存储器装置中的指令，执行上述任一个实施例中的网络访问的控制方法。根据本专利技术的再一个实施例，提供一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现上述任一个实施例中的网络访问的控制方法。本专利技术的一个优点在于，结合用户的访问协议信息和行为特征信息建立连接状态化表项，并将其作为是否放行访问流量的判断标准，提高了网络信息安全防护的可靠性和效率。附图说明构成说明书的一部分的附图描述了本专利技术的实施例，并且连同说明书一起用于解释本专利技术的原理。参照附图，根据下面的详细描述，可以更加清楚地理解本专利技术，其中：图1示出本专利技术的网络访问的控制方法的一个实施例的流程图。图2示出本专利技术的网络访问的控制方法的另一个实施例的流程图。图3示出本专利技术的网络访问的控制方法的一个实施例的示意图。图4示出本专利技术的网络访问的控制装置的一个实施例的结构图。图5示出本专利技术的网络访问的控制装置的另一个实施例的结构图。具体实施方式现在将参照附图来详细描述本专利技术的各种示例性实施例。应注意到：除非另外具体说明，否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本专利技术的范围。同时，应当明白，为了便于描述，附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。以下对至少一个示例性实施例的描述实际上仅仅是说明性的，决不作为对本专利技术及其应用或使用的任何限制。对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论，但在适当情况下，所述技术、方法和设备应当被视为授权说明书的一部分。在这里示出和讨论的所有示例中，任何具体值应被解释为仅仅是示例性的，而不是作为限制。因此，示例性实施例的其它示例可以具有不同的值。应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步讨论。图1示出本专利技术的网络访问的控制方法的一个实施例的流程图。如图1所示，该方法包括：步骤110，获取内外访问流量的用户信息；步骤130，建立连接状态化表项；以及步骤180，决定是否放行外内返回流量。在步骤110中，对到达防火墙的内外访问流量进行检测以获取用户的行为特征信息和访问协议信息。例如，行为特征信息可以是用户使用的应用ID(如微信、QQ等)或者用户的网络访问行为中的至少一项。网络访问行为可以包括用户登录、常规访问、文件操作(如新建文件、文件拷贝、文件上传、文件删除、文件传输和下载越权文件等)、账号操作(如添加账号、删除账号和修改账号等)、域名查询和系统更改(如修改启动项目、重启系统和关闭系统等)。例如，访问协议信息可以包括源IP、目的IP、源端口、目的端口、协议类型、标志位和序列号。在一个实施例中，在步骤110之前，防火墙内部用户访问外部网络时，需要输入用户ID和密码以通过防火墙本地认证或AAA(Authentication、Authorization、Accounting，认证、授权、计费)服务器认证。在步骤130中，根据行为特征信息以及访问协议信息为允许穿越防火墙的内外访问流量建立连接状态化表项。在一个实施例中，连接状态化表项中包括访问协议信息以及应用ID、用户的网络访问行为和用户ID中的至少一项。在步骤180中，根据连接状态化表项决定是否放行到达防火墙的外内返回流量。在一个实施例中，可以查询是否存在与外内返回流量相匹配的连接状态化表项，如果存在则放行外内返回流量，否则阻断外内返回流量。上述实施例中，利用防火墙能够实现应用层安全防护的特点，使得连接状态化表项不但包含了网络层的访问协议信息，而且还具备了用户ID、应用ID或访问行为这些信息。因此，防火墙不但能基于用本文档来自技高网...

【技术保护点】
1.一种网络访问的控制方法，包括：对到达防火墙的内外访问流量进行检测以获取用户的行为特征信息和访问协议信息；根据所述行为特征信息以及所述访问协议信息为允许穿越防火墙的内外访问流量建立连接状态化表项；根据所述连接状态化表项决定是否放行到达防火墙的外内返回流量。

【技术特征摘要】
1.一种网络访问的控制方法，包括：对到达防火墙的内外访问流量进行检测以获取用户的行为特征信息和访问协议信息；根据所述行为特征信息以及所述访问协议信息为允许穿越防火墙的内外访问流量建立连接状态化表项；根据所述连接状态化表项决定是否放行到达防火墙的外内返回流量。2.根据权利要求1所述的控制方法，还包括：根据预设的安全策略确定所述内外访问流量是否允许穿越防火墙。3.根据权利要求2所述的控制方法，还包括：检测所述连接状态化表项中的行为特征信息是否异常；在所述行为特征信息异常的情况下，删除所述连接状态化表项，并更新所述安全策略。4.根据权利要求3所述的控制方法，其中所述更新所述安全策略包括：禁止用户根据被删除的连接状态化表项中的访问协议信息和行为特征信息访问外部网络。5.根据权利要求1所述的控制方法，在获取用户的行为特征信息和访问协议信息的步骤之前还包括：验证用户输入的用户ID和密码。6.根据权利要求5所述的控制方法，其中，所述连接状态化表项还包括用户ID。7.根据权利要求1-6任一项所述的控制方法，其中，所述行为特征信息包括所述用户使用的应用ID和/或所述用户的网络访问行为。8.根据权利要求1-6任一项所述的控制方法，其中，所述决定是否放行到达防火墙的外内返回流量包括：查询是否存在与所述外内返回流量相匹配的连接状态化表项，如果存在则放行所述外内返回流量，否则阻断所述外内返回流量。9.一种网络访问的控制装置，包括：信息获取模块，用于对到达防火墙的内外访问流量进行检测以获取用户的行为特征信息和访问协议信息；表项建立模块，用于根据所述行为特征信息以及所述访问协...

【专利技术属性】
技术研发人员：肖宇峰，金华敏，沈军，汪来富，黄维龙，刘东鑫，
申请(专利权)人：中国电信股份有限公司，
类型：发明
国别省市：北京,11