黑名单例外的设置方法、装置、设备及存储介质制造方法及图纸

本申请提供一种黑名单例外的设置方法、装置、设备及存储介质，应用于网络安全技术领域，通过响应于检测到服务器向NAT网关发送的携带有第一初始序列号、第二初始序列号、公网IP地址和服务器的IP地址的地址访问响应，记录服务器的第一初始序列号和客户端的第二初始序列号，在响应于检测到NAT网关向客户端发送的携带第三初始序列号、第四初始序列号、公网IP地址和客户端的IP地址的域名访问响应时，查询是否已记录服务器的第三初始序列号和客户端的第四初始序列号，若已记录第三初始序列号和第四初始序列号，则将公网IP地址设置为黑名单例外，降低因误加黑名单影响用户正常业务的风险。险。险。

【技术实现步骤摘要】
黑名单例外的设置方法、装置、设备及存储介质


[0001]本申请涉及网络安全
，尤其涉及一种黑名单例外的设置方法、装置、设备及存储介质。

技术介绍

[0002]在网络安全
，通常依赖多种检测手段识别网络攻击行为，并采取黑名单的方式如：采取安全策略或访问控制列表(Access Control Lists，简称ACL)的方式对检测出的外部攻击者进行阻断。
[0003]例如在如下场景中，通过网络转换地址(Net Address Translation，简称NAT)网关连接局域网和公网，其中，NAT网关上启用源网络转换地址(Source Net Address Translation，简称SNAT)功能和目的网络转换地址(Destination Net Address Translation，简称DNAT)功能：局域网用户通过SNAT功能访问公网，公网用户通过DNAT功能访问局域网。具体地，当局域网用户访问局域网服务器的公网地址，例如通过域名访问局域网服务器的公网地址时，部署在公网中的公网域名系统(Domain Name System，简称DNS)将域名解析到为NAT网关配置的公网地址池中的一个公网互联网协议(Internet Protocol，简称IP)地址，则上述通过域名访问局域网服务器的公网地址对应的流量访问关系为局域网用户的IP地址(例如192.168.1.1)访问公网IP地址(例如x.x.x.x)，当该流量访问关系被转发至NAT网关时，NAT网关根据SNAT功能和DNAT功能，将该流量访问关系转换为公网IP地址(例如x.x.x.x)访问局域网服务器的IP地址(例如y.y.y.y)。
[0004]上述访问过程中，网络管理员从局域网用户的位置通过公网地址向局域网服务器发起漏洞扫描时，公网中部署的安全检测设备可以检测到公网IP地址为x.x.x.x的“外部攻击者”对IP地址为y.y.y.y的局域网服务器发起网络攻击，并将x.x.x.x这一公网IP地址加入黑名单后发送给公网中部署的安全响应设备，通过安全响应设备基于黑名单阻断源自x.x.x.x的访问请求，造成所有的局域网用户均无法访问IP地址为y.y.y.y的局域网服务器，正常业务受损。
[0005]由于安全检测的误报在实践中难以避免，因此在执行添加黑名单之前，通常需要对黑名单进行过滤，排除一些用户自身业务地址，以减少因误加黑名单影响用户正常业务的风险。
[0006]相关技术中，通过手动在安全设备(包括安全检测设备和安全响应设备)上配置黑名单过滤条件，将NAT网关对应的公网地址池中的地址设为黑名单例外，但网络业务和安全设备部署之间存在耦合，当局域网用户的IP地址发生变化时，此方案对黑名单例外的设置失效。

技术实现思路

[0007]本申请实施例提供一种黑名单例外的设置方法、装置、设备及存储介质，用以解决在网络安全检测中因误加黑名单影响用户正常业务的问题。
[0008]第一方面，本申请实施例提供一种黑名单例外的设置方法，应用于安全设备，该安全设备部署在NAT网关和局域网之间，局域网中包括服务器和客户端，设置方法包括：响应于检测到服务器向NAT网关发送的地址访问响应，记录服务器的第一初始序列号和客户端的第二初始序列号，其中，地址访问响应是服务器响应于地址访问请求向客户端发送的，地址访问响应中携带有第一初始序列号、第二初始序列号、公网IP地址和服务器的IP地址，地址访问请求是域名访问请求经NAT网关进行地址转换得到的，域名访问请求用于请求建立客户端和服务器之间的通信连接，公网IP地址为NAT网关对应的公网地址池中的公网IP地址；响应于检测到NAT网关向客户端发送的域名访问响应，查询是否已记录服务器的第三初始序列号和客户端的第四初始序列号，其中，域名访问响应是地址访问响应经NAT网关进行地址转换得到的，域名访问响应中携带第三初始序列号、第四初始序列号、公网IP地址和客户端的IP地址；若已记录第三初始序列号和第四初始序列号，则将公网IP地址设置为黑名单例外。
[0009]一种可能的实现方式中，该设置方法还包括：若未记录第三初始序列号，和/或，未记录第四初始序列号，则将公网IP地址不设置为黑名单例外。
[0010]一种可能的实现方式中，域名访问请求和地址访问响应的报文结构是基于传输控制协议(Transmission Control Protocol，简称TCP)的。
[0011]一种可能的实现方式中，NAT网关对应的公网地址池中的公网IP地址是根据客户端的IP地址确定的。
[0012]第二方面，本申请提供一种黑名单例外的设置装置，应用于安全设备，该安全设备部署在NAT网关和局域网之间，局域网中包括服务器和客户端，设置装置包括：记录模块，用于响应于检测到服务器向NAT网关发送的地址访问响应，记录服务器的第一初始序列号和客户端的第二初始序列号，其中，地址访问响应是服务器响应于地址访问请求向客户端发送的，地址访问响应中携带有第一初始序列号、第二初始序列号、公网IP地址和服务器的IP地址，地址访问请求是域名访问请求经NAT网关进行地址转换得到的，域名访问请求用于请求建立客户端和服务器之间的通信连接，公网IP地址为NAT网关对应的公网地址池中的公网IP地址；查询模块，用于响应于检测到NAT网关向客户端发送的域名访问响应，查询是否已记录服务器的第三初始序列号和客户端的第四初始序列号，其中，域名访问响应是地址访问响应经NAT网关进行地址转换得到的，域名访问响应中携带第三初始序列号、第四初始序列号、公网IP地址和客户端的IP地址；设置模块，用于在已记录第三初始序列号和第四初始序列号时，将公网IP地址设置为黑名单例外。
[0013]一种可能的实现方式中，设置模块还可以用于：在未记录第三初始序列号，和/或，未记录第四初始序列号时，将公网IP地址不设置为黑名单例外。
[0014]一种可能的实现方式中，域名访问请求和地址访问响应的报文结构是基于TCP的。
[0015]一种可能的实现方式中，NAT网关对应的公网地址池中的公网IP地址是根据客户端的IP地址确定的。
[0016]第三方面，本申请提供一种网络安全检测系统，包括：NAT网关以及安全设备；
[0017]其中，NAT网关，用于连接局域网和公网，该NAT网关具有源网络地址转换功能和目的网络地址转换功能；安全设备，用于执行本申请第一方面提供的黑名单例外的设置方法。
[0018]一种可能的实现方式中，安全设备包括安全检测设备和安全响应设备；
[0019]其中，安全检测设备，用于检测网络攻击行为，并将网络攻击行为对应的IP地址添加至黑名单，并向安全响应设备发送黑名单；安全响应设备，用于基于黑名单执行访问阻断操作。
[0020]第四方面，本申请提供一种通信系统，包括：本申请第三方面提供的网络安全检测系统；客户端和服务器。
[0021]第五方面，本申请提供一种安全设备，包括：至少一个处理器；以及与至少一个处理器连接的存储器；其中，存储器本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种黑名单例外的设置方法，其特征在于，应用于安全设备，所述安全设备部署在网络地址转换NAT网关和局域网之间，所述局域网中包括服务器和客户端，所述设置方法包括：响应于检测到所述服务器向所述NAT网关发送的地址访问响应，记录所述服务器的第一初始序列号和客户端的第二初始序列号，其中，所述地址访问响应是所述服务器响应于地址访问请求向所述客户端发送的，所述地址访问响应中携带有第一初始序列号、第二初始序列号、公网IP地址和所述服务器的IP地址，所述地址访问请求是域名访问请求经NAT网关进行地址转换得到的，所述域名访问请求用于请求建立所述客户端和所述服务器之间的通信连接，所述公网IP地址为所述NAT网关对应的公网地址池中的公网IP地址；响应于检测到所述NAT网关向所述客户端发送的域名访问响应，查询是否已记录所述服务器的第三初始序列号和所述客户端的第四初始序列号，其中，所述域名访问响应是所述地址访问响应经所述NAT网关进行地址转换得到的，所述域名访问响应中携带所述第三初始序列号、所述第四初始序列号、所述公网IP地址和所述客户端的IP地址；若已记录所述第三初始序列号和所述第四初始序列号，则将所述公网IP地址设置为黑名单例外。2.根据权利要求1所述的设置方法，其特征在于，还包括：若未记录所述第三初始序列号，和/或，未记录所述第四初始序列号，则将所述公网IP地址不设置为黑名单例外。3.根据权利要求1或2所述的设置方法，其特征在于，所述域名访问请求和所述地址访问响应的报文结构是基于传输控制协议TCP的。4.根据权利要求1或2所述的设置方法，其特征在于，所述NAT网关对应的公网地址池中的公网IP地址是根据所述客户端的IP地址确定的。5.一种网络安全检测系统，其特征在于，包括：网络地址转换NAT网关以及安全设备；所述NAT网关，用于连接局域网和公网，所述NAT网关具有源网络地址转换功能和目的网络地址转换功能；所述安全设备，用于执行如权利要求1至4中任一项所述的黑名单例外的设置方法。6.根据权利要求5所述的网络安全检测系统，其特征在于，所述安全设备包括安全检测设备和安全响应设备；所述安全...

【专利技术属性】
技术研发人员：周飞，谈超洪，文静，唐辉辉，石广善，满彦星，
申请(专利权)人：广西壮族自治区信息中心，
类型：发明
国别省市：