【技术实现步骤摘要】
内网恶意反向连接行为的管控方法、装置、设备和系统
本专利技术涉及网络安全
,具体涉及一种内网恶意反向连接行为的管控方法、装置、设备和系统。
技术介绍
随着互联网技术的发展,越来越多的行业开始以互联网为平台开展业务,与此同时网络安全的形式也是越来越严峻。各种形式的网络攻击越来越频繁地发生在人们的生活中,应运而生的则是各类网络安全技术的出现。随着网络安全的发展,企业的安全建设的关注点从早期的边界安全逐步扩展到了内网安全,内网恶意反向连接的管控成为了企业关注的安全技术。目前常用的内网防护恶意反向连接的管控技术为基于网络层、传输层技术的防火墙技术,使用白名单的方式进行放行或阻断。使用防火墙的方式来进行管控时,只能基于网络层、传输层进行管控,运维人员需要对域名进行解析后再放行合法的目标IP,而域名可能由于内容分发网络技术被随机解析成不同的IP,从而导致错误拦截。使用反向代理方式进行管控,在代理Https流量时,由于Https流量为加密流量,不能通过头部的host字段获取域名信息。若要获取明文信息,需要在被代理的应用系统安...
【技术保护点】
1.一种内网恶意反向连接行为的管控方法,其特征在于,应用于旁挂在核心交换机的内网恶意反向连接行为的管控设备,所述方法包括:/n基于策略路由模式,获取从所述核心交换机处转发的外网访问请求;其中,所述外网访问请求是终端设备发送给所述核心交换机的;/n若所述外网访问请求为http访问请求,解析所述http访问请求中http数据包头部的host字段,作为目的域名;/n若所述外网访问请求为https访问请求,获取所述终端设备发送的与所述外网访问请求对应的第一个SSL协商数据包;/n解析所述SSL协商数据包头部Server Name Indication extension的Serve...
【技术特征摘要】
1.一种内网恶意反向连接行为的管控方法,其特征在于,应用于旁挂在核心交换机的内网恶意反向连接行为的管控设备,所述方法包括:
基于策略路由模式,获取从所述核心交换机处转发的外网访问请求;其中,所述外网访问请求是终端设备发送给所述核心交换机的;
若所述外网访问请求为http访问请求,解析所述http访问请求中http数据包头部的host字段,作为目的域名;
若所述外网访问请求为https访问请求,获取所述终端设备发送的与所述外网访问请求对应的第一个SSL协商数据包;
解析所述SSL协商数据包头部ServerNameIndicationextension的ServerName字段,作为所述目的域名;
若检测到所述目的域名在预设的白名单中,则允许所述终端设备访问所述目的域名对应的IP。
2.根据权利要求1所述的内网恶意反向连接行为的管控方法,其特征在于,所述若检测到所述目的域名在预设的白名单中,则允许所述终端设备访问所述目的域名对应的IP之前,还包括:
解析所述目的域名对应的所述IP;
所述若检测到所述目的域名在预设的白名单中,则允许所述终端设备访问所述目的域名对应的IP,包括:
若检测到所述目的域名在所述白名单中,判断所述IP是否在预设的域名-IP映射表中;其中,所述域名-IP映射表是根据所述预设的白名单生成的;
若所述IP在所述域名-IP映射表中,允许所述终端设备访问所述目的域名对应的所述IP。
3.根据权利要求2所述的内网恶意反向连接行为的管控方法,其特征在于,所述若检测到所述目的域名在预设的白名单中,则允许所述终端设备访问所述目的域名对应的IP,还包括:
若所述域名-IP映射表中不存在所述IP,将所述IP存入所述预设的域名-IP映射表中,并允许所述终端设备访问所述目的域名对应的所述IP。
4.根据权利要求1所述的内网恶意反向连接行为的管控方法,其特征在于,所述方法还包括:
若检测到故障信号,切换所述策略路由模式为普通路由模式,以使所述核心交换机直接将所述外网访问请求经由网关发送至所述外网。
5.根据权利要求1所述的内网恶意反向连接行为的管控方法,其特征在于,所述终端设备包括个人主机和服务器。
6.一种内网恶意反向连接行为的管控装置,其特征在于,集成于旁挂在核心交换机...
【专利技术属性】
技术研发人员:施煜程,
申请(专利权)人:上海中通吉网络技术有限公司,
类型:发明
国别省市:上海;31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。