本发明专利技术公开了一种通讯数据的处理方法和装置。其中,该方法包括:接收用户终端发送的通讯数据包;判断用户终端是否有权限访问外网;在判断出用户终端有权限访问外网的情况下,从通讯数据包中读取用户终端请求访问的目标服务器的账号信息;在账号信息与用户终端的预设账号信息相匹配的情况下,将通讯数据包发送至目标服务器,从而解决了现有技术中防火墙安全性低的技术问题,实现了提高防火墙的安全性的效果。
【技术实现步骤摘要】
本专利技术涉及互联网领域,具体而言,涉及一种通讯数据的处理方法和装置。
技术介绍
使用下一代防火墙(即NGFW)技术,可以有效的实现识别用户、控制用户、监控用户等功能。在实现控制用户这个功能时,对用户的控制仅限于允许访问哪些应用和业务、不允许访问哪些应用和业务,而没有考虑到用户对允许访问的业务是否存在越权或伪冒他人账号访问该业务的情形。如在某公司的防火墙中限定了只有财务部门的员工可以访问公司的财务数据,假设财务数据在一个FTP服务器上,为了确保财务数据的安全,财务部门的每个员工对不同类型的财务数据的访问权限又有所不同。当员工访问财务数据时只能通过自己的电脑访问有权限的财务数据,防火墙可以通过Content_ID(即内容标识)获知用户正在访问什么数据,如收纳员在使用自己的FTP账号和密码在自己的电脑上访问财务部门的财务数据时,防火墙可以通过Content_ID来确定收纳员访问该财务数据的行为是否合法,但是如果收纳员在自己的电脑上使用了薪酬专员的FTP账号和密码来访问只有薪酬专员才能访问的财务数据时,防火墙也会认为这个访问是一个合法的行为,防火墙无法防止这种访问行为造成的信息泄露。针对现有技术中防火墙安全性低的技术问题,目前尚未提出有效的解决方案。
技术实现思路
本专利技术实施例提供了一种通讯数据的处理方法和装置,以至少解决现有技术中防火墙安全性低的技术问题。根据本专利技术实施例的一个方面,提供了一种通讯数据的处理方法,该处理方法包括:接收用户终端发送的通讯数据包;判断用户终端是否有权限访问外网;在判断出用户终端有权限访问外网的情况下,从通讯数据包中读取用户终端请求访问的目标服务器的账号信息;在账号信息与用户终端的预设账号信息相匹配的情况下,将通讯数据包发送至目标服务器。进一步地,从通讯数据包中读取用户终端请求访问的目标服务器的账号信息包括:从通讯数据包中读取应用标识,其中,应用标识为用户终端请求访问的目标应用的标识;根据应用标识判断目标应用是否验证用户终端的合法性;在判断出需要验证用户终端的合法性的情况下,从通讯数据包中读取用户终端请求访问的目标服务器的账号信息。进一步地,在根据应用标识判断目标应用是否验证用户终端的合法性之后,该处理方法还包括:在判断出不需要验证用户终端的合法性的情况下或从通讯数据包中读取账号信息失败时,将通讯数据包发送至目标服务器。进一步地,判断用户终端是否有权限访问外网包括:从通讯数据包中读取用户终端的IP地址;从数据库中读取与IP地址对应的用户终端的标识;若用户终端的标识在预设终端标识集合内,则确定用户终端有权限访问外网;若用户终端的标识不在预设终端标识集合内,则确定用户终端没有权限访问外网。进一步地,在从数据库中读取与IP地址对应的用户终端的标识之前,该处理方法还包括:在用户终端第一次访问外网时,从用户终端的通讯数据包中读取用户终端的IP地址;按照预定格式生成用户终端的标识,并建立用户终端的标识与IP地址的映射关系;将映射关系存入数据库。进一步地,在从通讯数据包中读取用户终端请求访问的目标服务器的账号信息之后,该处理方法还包括:在账号信息与预设账号信息不匹配的情况下,确定用户终端发起的访问为非法访问,并将非法访问的信息写入日志。根据本专利技术实施例的另一方面,还提供了一种通讯数据的处理装置,该处理装置包括:接收模块,用于接收用户终端发送的通讯数据包;第一判断模块,用于判断用户终端是否有权限访问外网;第一读取模块,用于在判断出用户终端有权限访问外网的情况下,从通讯数据包中读取用户终端请求访问的目标服务器的账号信息;第一发送模块,用于在账号信息与用户终端的预设账号信息相匹配的情况下,将通讯数据包发送至目标服务器。进一步地,第一读取模块包括:第二读取模块,用于从通讯数据包中读取应用标识,其中,应用标识为用户终端请求访问的目标应用的标识;第二判断模块,用于根据应用标识判断目标应用是否验证用户终端的合法性;第三读取模块,用于在判断出需要验证用户终端的合法性的情况下,从通讯数据包中读取用户终端请求访问的目标服务器的账号信息。进一步地,该处理装置还包括:第二发送模块,用于在根据应用标识判断目标应用是否验证用户终端的合法性之后,在判断出不需要验证用户终端的合法性的情况下或从通讯数据包中读取账号信息失败时,将通讯数据包发送至目标服务器。进一步地,第一判断模块包括:第四读取模块,用于从通讯数据包中读取用户终端的IP地址;第五读取模块,用于从数据库中读取与IP地址对应的用户终端的标识;第一确定模块,用于若用户终端的标识在预设终端标识集合内,则确定用户终端有权限访问外网;第二确定模块,用于若用户终端的标识不在预设终端标识集合内,则确定用户终端没有权限访问外网。进一步地,该处理装置还包括:第六读取模块,用于在从数据库中读取与IP地址对应的用户终端的标识之前,在用户终端第一次访问外网时,从用户终端的通讯数据包中读取用户终端的IP地址;生成模块,用于按照预定格式生成用户终端的标识,并建立用户终端的标识与IP地址的映射关系;保存模块,用于将映射关系存入数据库。进一步地,该处理装置还包括:第三确定模块,用于在从通讯数据包中读取用户终端请求访问的目标服务器的账号信息之后,在账号信息与预设账号信息不匹配的情况下,确定用户终端发起的访问为非法访问,并将非法访问的信息写入日志。采用本专利技术,在用户访问外网时,根据接收到的用户终端发送的通讯数据包判断该用户终端是否有权限访问外网,在判断出该用户终端有权限访问外网的情况下,从通讯数据包中读取用户终端请求访问的目标服务器的账号信息,若账号信息与用户终端所对应的预设账号信息相匹配,则确定这是一个安全合法的访问,并将通讯数据包发送至目标服务器,从而解决了现有技术中防火墙安全性低的技术问题,实现了提高防火墙的安全性的效果。【附图说明】此处所说明的附图用来提供对本专利技术的进一步理解,构成本申请的一部分,本专利技术的示意性实施例及其说明用于解释本专利技术,并不构成对本专利技术的不当限定。在附图中:图1是根据本专利技术实施例的通讯数据的处理方法的流程图;图2是根据本专利技术实施例的一种可选的防火墙系统示意图;图3是根据本专利技术实施例的一种可选的处理通讯数据的流程图;以及图4是根据本专利技术实施例的通讯数据的处理装置的示意图。【具体实施方式】为了使本
的人员更好地理解本专利技术方案,下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分的实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本专利技术保护的范围。需要说明的是,本专利技术的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本专利技术的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产本文档来自技高网...
【技术保护点】
一种通讯数据的处理方法,其特征在于,包括:接收用户终端发送的通讯数据包;判断所述用户终端是否有权限访问外网;在判断出所述用户终端有权限访问外网的情况下,从所述通讯数据包中读取所述用户终端请求访问的目标服务器的账号信息;以及在所述账号信息与所述用户终端的预设账号信息相匹配的情况下,将所述通讯数据包发送至所述目标服务器。
【技术特征摘要】
【专利技术属性】
技术研发人员:樊俊诚,戴振利,
申请(专利权)人:网神信息技术北京股份有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。