【技术实现步骤摘要】
一种基于执行上下文的防火墙细粒度访问控制方法及系统
本专利技术属于数据安全防护
,具体涉及一种基于执行上下文的防火墙细粒度访问控制方法及系统。
技术介绍
网络防火墙部署在网络边界上,检查流过其中的数据报文,阻断或放行报文。一般防火墙访问控制技术中访问控制的粒度最小是主机(通过网络地址来标识,比如IP地址,MAC地址等),安全策略可以阻止或放行某个主机对某个应用的访问。然而,该访问控制策略无法精确阻断或放行来自某个主机的某个用户的访问。若细粒度的访问控制最小粒度可以做到基于用户的访问控制(比如用户名),这样安全策略能够更精确。现有的网络防火墙通过分析流经防火墙的数据报文来判断是否为异常流量,比如拒绝来自源ip地址为1.1.1.1,发往目的地址2.2.2.2,tcp端口80的数据包。但随着攻击越来越复杂,这类防护能力存在很大的局限性。例如:黑客可能通过ARP欺骗等手段伪造源IP地址,从而绕过上述防护墙的检查。因此,防火墙需要知道某段数据是否真实的来自于某个设备,而非伪造的设备。此外,黑客也可能直接入侵目标设备,通过...
【技术保护点】
1.一种基于执行上下文的防火墙细粒度访问控制方法,其特征在于,通过部署在终端上的agent拦截数据发送请求,以获取数据发送者的执行上下文信息,并将该信息以隧道的方式注入正常数据中,所述防火墙端通过解开隧道获得执行上下文信息,并分析正常数据以及对应的执行上下文信息进行细粒度的访问控制。/n
【技术特征摘要】
1.一种基于执行上下文的防火墙细粒度访问控制方法,其特征在于,通过部署在终端上的agent拦截数据发送请求,以获取数据发送者的执行上下文信息,并将该信息以隧道的方式注入正常数据中,所述防火墙端通过解开隧道获得执行上下文信息,并分析正常数据以及对应的执行上下文信息进行细粒度的访问控制。
2.根据权利要求1所述的一种基于执行上下文的防火墙细粒度访问控制方法,其特征在于,所述执行上下文信息包括设备信息、用户信息、进程信息、调用栈信息中的任意一种或者多种;所述设备信息用于唯一标识一台设备,所述用户信息用于确定发送当前数据的用户,所述进程信息用于标识发送当前数据的程序,所述调用栈信息用于区分是否有恶意程序通过代码注入的方式发送数据。
3.根据权利要求2所述的一种基于执行上下文的防火墙细粒度访问控制方法,其特征在于,所述设备信息包括设备ID和/或设备指纹,所述用户信息包括用户ID和/或用户组ID,所述进程信息包括进程名、进程ID、进程可执行文件中的任意一种或者多种。
4.根据权利要求1-3任一项所述的一种基于执行上下文的防火墙细粒度访问控...
【专利技术属性】
技术研发人员:刘颖,范渊,吴永越,郑学新,刘韬,
申请(专利权)人:成都安恒信息技术有限公司,
类型:发明
国别省市:四川;51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。