The invention discloses a control method, device and computer readable storage medium for network access, which relates to the technical field of network information security. The method includes: detecting the internal and external access flow to the firewall to obtain the user's behavior characteristics information and access protocol information; establishing connection status table entries for the internal and external access flow allowed to cross the firewall based on the behavior characteristics information and access protocol information; and deciding whether to release the external return flow to the firewall based on the connection status table. This method and device can improve the reliability and efficiency of network information security protection.
【技术实现步骤摘要】
网络访问的控制方法、装置和计算机可读存储介质
本专利技术涉及网络信息安全
,特别涉及一种网络访问的控制方法、网络访问的控制装置和计算机可读存储介质。
技术介绍
状态检测防火墙可以用于监视每一个有效连接的状态,以保证网络信息的安全。相关技术中的防火墙默认放行从内部或信任区域到外部或不信任区域的流量,拦截外部或不信任区域到内部或信任区域的流量。拦截还是放行流量都需要根据明确编写的ACL(AccessControlList,访问控制列表)或者相关安全策略来决定。ACL和相关安全策略根据源IP、目的IP、源端口、目的端口和协议类型等网络层协议信息编写。
技术实现思路
本专利技术的专利技术人发现上述相关技术中存在如下问题:仅将协议信息作为防火墙的判断依据并不可靠而且效率低下,因为防火墙不仅需要支持基于TCP(TransmissionControlProtocol,传输控制协议)的应用,还需要支持基于无连接协议(如远程过程调用协议、用户数据报协议)的应用。针对上述问题,本专利技术人提出了解决方案。本专利技术的一个目的是提供一种可靠的、高效率的网络访问的控制技术方案。根据本专利技术的一个实施例,提供了一种网络访问的控制方法,包括:对到达防火墙的内外访问流量进行检测以获取用户的行为特征信息和访问协议信息;根据所述行为特征信息以及所述访问协议信息为允许穿越防火墙的内外访问流量建立连接状态化表项;根据所述连接状态化表项决定是否放行到达防火墙的外内返回流量。可选地,根据预设的安全策略确定所述内外访问流量是否允许穿越防火墙。可选地,检测所述连接状态化表项中的行为特征信息是否异常 ...
【技术保护点】
1.一种网络访问的控制方法,包括:对到达防火墙的内外访问流量进行检测以获取用户的行为特征信息和访问协议信息;根据所述行为特征信息以及所述访问协议信息为允许穿越防火墙的内外访问流量建立连接状态化表项;根据所述连接状态化表项决定是否放行到达防火墙的外内返回流量。
【技术特征摘要】
1.一种网络访问的控制方法,包括:对到达防火墙的内外访问流量进行检测以获取用户的行为特征信息和访问协议信息;根据所述行为特征信息以及所述访问协议信息为允许穿越防火墙的内外访问流量建立连接状态化表项;根据所述连接状态化表项决定是否放行到达防火墙的外内返回流量。2.根据权利要求1所述的控制方法,还包括:根据预设的安全策略确定所述内外访问流量是否允许穿越防火墙。3.根据权利要求2所述的控制方法,还包括:检测所述连接状态化表项中的行为特征信息是否异常;在所述行为特征信息异常的情况下,删除所述连接状态化表项,并更新所述安全策略。4.根据权利要求3所述的控制方法,其中所述更新所述安全策略包括:禁止用户根据被删除的连接状态化表项中的访问协议信息和行为特征信息访问外部网络。5.根据权利要求1所述的控制方法,在获取用户的行为特征信息和访问协议信息的步骤之前还包括:验证用户输入的用户ID和密码。6.根据权利要求5所述的控制方法,其中,所述连接状态化表项还包括用户ID。7.根据权利要求1-6任一项所述的控制方法,其中,所述行为特征信息包括所述用户使用的应用ID和/或所述用户的网络访问行为。8.根据权利要求1-6任一项所述的控制方法,其中,所述决定是否放行到达防火墙的外内返回流量包括:查询是否存在与所述外内返回流量相匹配的连接状态化表项,如果存在则放行所述外内返回流量,否则阻断所述外内返回流量。9.一种网络访问的控制装置,包括:信息获取模块,用于对到达防火墙的内外访问流量进行检测以获取用户的行为特征信息和访问协议信息;表项建立模块,用于根据所述行为特征信息以及所述访问协...
【专利技术属性】
技术研发人员:肖宇峰,金华敏,沈军,汪来富,黄维龙,刘东鑫,
申请(专利权)人:中国电信股份有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。