本发明专利技术公开了一种ONVIF应用系统中的安全防护方法及防火墙设备,应用于基于ONVIF应用系统的防火墙设备,所述安全防护方法基于ONVIF发现流程发现网络中的NVT设备具备动态规则配置能力,向发现的NVT设备发送获取访问规则消息,接收NVT设备的响应消息,从响应消息中获取NVT设备具有的访问规则,配置获取的访问规则,并根据配置的访问规则进行安全防护。所述防火墙设备包括发现模块、规则获取模块和规则应用模块。本发明专利技术的方法和防火墙设备,降低了防火墙设备对硬件的要求,实现访问规则的动态更新,应用针对性强,硬件开销小。
【技术实现步骤摘要】
ONVIF应用系统中的安全防护方法及防火墙设备
本专利技术属于防火墙
,尤其涉及一种ONVIF应用系统中的安全防护方法及防火墙设备。
技术介绍
视频监控是安全防范系统的重要组成部分,视频监控以其直观、准确、及时和信息内容丰富而广泛应用于许多场合。近年来,随着计算机、网络以及图像处理、传输技术的飞速发展,视频监控的普及化趋势越来越明显,越来越多的监控业务被连接到了互联网上。与此同时,由于越来越多的设备暴露在互联网上,用户面临安全的风险也日益增大,用户对设备本身的安全以及防火墙的安全要求日益增强。现有技术中一般采用的智能防火墙,都是通过捕获接收到的数据包或用户执行的应用程序的进程,并根据防火墙设置的规则来进行拦截,需要对所有业务进行应用层状态解析。由于需要解析所有应用层数据,对运算量要求高,从而提高了防火墙设备硬件的要求。且目前网络应用更新日新月异,防火墙需要不断的更新才能满足安全防护的需求。最终防火墙的规则不断膨胀,系统硬件要求也越来越高,企业或个人对于防火墙设备的投入水涨船高,只能大企业才能承受较高的费用。
技术实现思路
本专利技术的目的是提供一种ONVIF应用系统中的安全防护方法及防火墙设备,由NVT设备检测到攻击后通知防火墙(NVC)动态更新访问规则,或防火墙遇到可疑的访问,向NVT设备发起查询以判断是否合法,从而避免现有技术中由防火墙对所有业务进行应用层状态解析,降低了防火墙设备对硬件的要求。为了实现上述目的,本专利技术技术方案如下:一种ONVIF应用系统中的安全防护方法,应用于基于ONVIF应用系统的防火墙设备,所述安全防护方法包括:基于ONVIF发现流程发现网络中的NVT设备具备动态规则配置能力;向发现的NVT设备发送获取访问规则消息,接收NVT设备的响应消息,从响应消息中获取NVT设备具有的访问规则;配置获取的访问规则,并根据配置的访问规则进行安全防护。进一步地,所述安全防护方法还包括:接收NVT设备检测到攻击时发出的事件告警,向该NVT设备发送获取访问规则消息,接收该NVT设备的响应消息,从响应消息中获取该NVT设备针对攻击所生成的访问规则,配置获取的访问规则,并根据配置的访问规则进行安全防护。进一步地,所述安全防护方法还包括:在检测到具有设定的可疑特征的访问时,携带该访问的访问报文向该访问对应的NVT设备发起确认请求,以便对应的NVT解析确认请求中的访问报文,根据自身业务判断是否是异常攻击,如果是则返回访问规则;接收对应的NVT设备返回的访问规则进行配置,并根据配置的访问规则进行安全防护。进一步地,所述安全防护方法还包括:在检测到具有设定的可疑特征的访问时,携带该访问的访问报文向该访问对应的NVT设备发起确认请求,以便NVT返回该访问的合法特征;根据NVT返回的该访问的合法特征,判断该访问是否合法,丢弃非法的访问报文并屏蔽访问源。进一步地,所述基于ONVIF发现流程发现网络中的NVT设备具备动态规则配置能力,包括:接收NVT设备通过组播的Hello消息,根据Hello消息中携带的表示动态规则配置能力的标识符,发现该NVT设备具备动态规则配置能力;或发送组播的Probe消息/Resolve消息,并接收NVT设备返回的ProbeMatch响应消息/ResolveMatch响应消息,根据ProbeMatch响应消息/ResolveMatch响应消息中携带的表示动态规则配置能力的标识符,发现该NVT设备具备动态规则配置能力。本专利技术一种ONVIF应用系统中的防火墙设备,所述防火墙设备包括:发现模块,用于基于ONVIF发现流程发现网络中的NVT设备具备动态规则配置能力;规则获取模块,用于向发现的NVT设备发送获取访问规则消息,接收NVT设备的响应消息,从响应消息中获取NVT设备具有的访问规则;规则应用模块,用于配置获取的访问规则,并根据配置的访问规则进行安全防护。进一步地,所述规则获取模块还用于:接收NVT设备检测到攻击时发出的事件告警,向该NVT设备发送获取访问规则消息,接收该NVT设备的响应消息,从响应消息中获取该NVT设备针对攻击所生成的访问规则。进一步地,所述防火墙设备还包括:可疑检测模块,用于在检测到具有设定的可疑特征的访问时,携带该访问的访问报文向该访问对应的NVT设备发起确认请求,以便对应的NVT解析确认请求中的访问报文,根据自身业务判断是否是异常攻击,如果是则返回访问规则,或便于NVT返回该访问的合法特征。进一步地,所述规则应用模块还用于:根据NVT返回的该访问的合法特征,判断该访问是否合法,丢弃非法的访问报文并屏蔽访问源。进一步地,所述发现模块基于ONVIF发现流程发现网络中的NVT设备具备动态规则配置能力,执行如下操作:接收NVT设备通过组播的Hello消息,根据Hello消息中携带的表示动态规则配置能力的标识符,发现该NVT设备具备动态规则配置能力;或发送组播的Probe消息/Resolve消息,并接收NVT设备返回的ProbeMatch响应消息/ResolveMatch响应消息,根据ProbeMatch响应消息/ResolveMatch响应消息中携带的表示动态规则配置能力的标识符,发现该NVT设备具备动态规则配置能力。本专利技术提出了一种ONVIF应用系统中的安全防护方法及防火墙设备,防火墙自动发现各个支持动态规则配置的设备,支持动态规则配置的设备检测到攻击后通知防火墙添加访问规则,防火墙遇到可疑的访问,向设备查询,由设备判断是否合法,告诉防火墙添加访问规则,实施相关防护。同时防火墙遇到可疑的访问,向设备索要进一步的信息,由防火墙主动判断是否合法,从而避免设备受到伤害,主动实施保护。本专利技术的防火墙访问规则动态更新,应用针对性强,硬件开销小,与支持ONVIF协议的监控设备集成,无需做其他配置。附图说明图1为本专利技术实施例视频监控网络示意图;图2为本专利技术ONVIF应用系统中的安全防护方法流程图;图3为本专利技术防火墙设备结构示意图。具体实施方式下面结合附图和实施例对本专利技术技术方案做进一步详细说明,以下实施例不构成对本专利技术的限定。本专利技术适用于基于ONVIF(OpenNetworkVideoInterfaceForum)的应用系统,例如视频监控系统。本实施例以视频监控系统为例,如图1所示一个典型的小型视频监控网络,所有设备通过局域网互联,防火墙作为局域网对外接口。在逻辑上,IPC4和IPC5隶属于NVR1管理,IPC4和IPC5是NVT(NetworkVideoTransmitter)设备,NVR1是NVC(NetworkVideoClient);IPC6和IPC7隶属于NVR2管理,IPC6和IPC7是NVT设备,NVR2是NVC。然而在本实施例中,防火墙作为系统中的NVC设备,其他NVR和IPC都是NVT设备。如图2所示,本专利技术一种ONVIF应用系统中的安全防护方法,应用于基于ONVIF应用系统的防火墙设备,包括如下步骤:基于ONVIF发现流程发现网络中的NVT设备具备动态规则配置能力;向发现的NVT设备发送获取访问规则消息,接收NVT设备的响应消息,从响应消息中获取NVT设备具有的访问规则;配置获取的访问规则,并根据配置的访问规则进行安全防护。在初始情况下,防火墙设备不包括任何访问本文档来自技高网...
【技术保护点】
1.一种ONVIF应用系统中的安全防护方法,应用于基于ONVIF应用系统的防火墙设备,其特征在于,所述安全防护方法包括:基于ONVIF发现报文中的Hello消息或ProbeMatch响应消息/ResolveMatch响应消息携带的表示动态规则配置能力的标识符发现网络中的NVT设备具备动态规则配置能力;向发现的NVT设备发送获取访问规则消息,接收NVT设备的响应消息,从响应消息中获取NVT设备具有的访问规则;配置获取的访问规则,并根据配置的访问规则进行安全防护。
【技术特征摘要】
1.一种ONVIF应用系统中的安全防护方法,应用于基于ONVIF应用系统的防火墙设备,其特征在于,所述安全防护方法包括:基于ONVIF发现报文中的Hello消息或ProbeMatch响应消息/ResolveMatch响应消息携带的表示动态规则配置能力的标识符发现网络中的NVT设备具备动态规则配置能力;向发现的NVT设备发送获取访问规则消息,接收NVT设备的响应消息,从响应消息中获取NVT设备具有的访问规则;配置获取的访问规则,并根据配置的访问规则进行安全防护。2.根据权利要求1所述的ONVIF应用系统中的安全防护方法,其特征在于,所述安全防护方法还包括:接收NVT设备检测到攻击时发出的事件告警,向该NVT设备发送获取访问规则消息,接收该NVT设备的响应消息,从响应消息中获取该NVT设备针对攻击所生成的访问规则,配置获取的访问规则,并根据配置的访问规则进行安全防护。3.根据权利要求1所述的ONVIF应用系统中的安全防护方法,其特征在于,所述安全防护方法还包括:在检测到具有设定的可疑特征的访问时,携带该访问的访问报文向该访问对应的NVT设备发起确认请求,以便对应的NVT解析确认请求中的访问报文,根据自身业务判断是否是异常攻击,如果是则返回访问规则;接收对应的NVT设备返回的访问规则进行配置,并根据配置的访问规则进行安全防护。4.根据权利要求1所述的ONVIF应用系统中的安全防护方法,其特征在于,所述安全防护方法还包括:在检测到具有设定的可疑特征的访问时,携带该访问的访问报文向该访问对应的NVT设备发起确认请求,以便NVT返回该访问的合法特征;根据NVT返回的该访问的合法特征,判断该访问是否合法,丢弃非法的访问报文并屏蔽访问源。5.根据权利要求1所述的ONVIF应用系统中的安全防护方法,其特征在于,基于ONVIF发现报文中的Hello消息或ProbeMatch响应消息/ResolveMatch响应消息携带的表示动态规则配置能力的标识符发现网络中的NVT设备具备动态规则配置能力,包括:接收NVT设备通过组播的Hello消息,根据Hello消息中携带的表示动态规则配置能力的标识符,发现该NVT设备具备动态规则配置能力;或发送组播的Probe消息/Resolve消息,并接收NVT设备返回的ProbeMatch响应消息/ResolveMatch响应消息,根据ProbeMatch响应消息/Resolv...
【专利技术属性】
技术研发人员:周迪,赵子华,
申请(专利权)人:浙江宇视科技有限公司,
类型:发明
国别省市:浙江,33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。