访问拦截方法、装置、计算机设备、存储介质和计算机程序产品,方法包括:在终端发起访问请求的情况下,基于访问请求得到终端的传输层数据和第一IP报文;将终端的特征信息加入第一IP报文的预设选项字段以生成第二IP报文,并封装第二IP报文和传输层数据,得到终端的访问请求数据;将访问请求数据中的预设选项字段和预设黑名单进行比较,根据比较结果确定是否拦截终端的访问请求,采用本方法能够达到低成本拦截非法终端的效果。截非法终端的效果。截非法终端的效果。
【技术实现步骤摘要】
访问拦截方法、装置、计算机设备、存储介质和程序产品
[0001]本申请涉及计算机
,特别是涉及一种访问拦截方法、装置、计算机设备、存储介质和程序产品。
技术介绍
[0002]随着下一代防火墙市场快速发展,下一代防火墙的需求场景越来越多。在使用下一代防火墙边界部署时,会遇到较特殊的场景,例如:大型网络中,终端主机的IP地址不断变化的场景下,当终端主机沦陷时,防火墙难以依靠黑名单进行精准封禁,管理员无法实时兼顾处理每一台终端主机的安全问题。传统技术中,防火墙的地址封禁大多依靠IP地址,当终端主机的IP地址变化后,黑名单封禁策略失效。如果如依靠传统的MAC(Media Access Control Address,媒体存取控制位址)地址封禁方式,MAC地址经跨三层网络传递至下一代防火墙时,MAC地址变化导致无法封禁真实源。
[0003]相关技术中,采用snmp((简单网络管理协议)代理实现跨三层MAC地址封禁,这种方法需要引入其他安全类产品,存在网络搭建成本高的问题。
技术实现思路
[0004]基于此,有必要针对上述技术问题,提供一种能够降低拦截非法终端成本的访问拦截方法、装置、计算机设备、计算机可读存储介质和计算机程序产品。
[0005]第一方面,本申请提供了一种访问拦截方法,所述方法包括:
[0006]在终端发起访问请求的情况下,基于所述访问请求得到所述终端的传输层数据和第一IP报文;
[0007]将所述终端的特征信息加入所述第一IP报文的预设选项字段以生成第二IP报文,并封装所述第二IP报文和所述传输层数据,得到所述终端的访问请求数据;
[0008]将所述访问请求数据中的所述预设选项字段和预设黑名单进行比较,根据比较结果确定是否拦截所述终端的访问请求。
[0009]在其中一个实施例中,将所述访问请求数据中的所述预设选项字段和预设黑名单进行比较,根据比较结果确定是否拦截所述终端的访问请求,包括:
[0010]根据预设的选项字段的类型,在多个选项字段中确定目标选项字段;
[0011]提取所述目标选项字段中的所述特征信息;
[0012]比较所述特征信息和所述预设黑名单,若所述预设黑名单中存在与所述特征信息匹配的信息,则拦截所述终端的访问请求。
[0013]在其中一个实施例中,在将所述终端的特征信息加入所述第一IP报文的预设选项字段以生成第二IP报文之前,所述方法还包括:
[0014]获取所述终端的网卡的MAC地址;
[0015]根据所述MAC地址生成散列值,根据所述散列值得到所述特征信息。
[0016]在其中一个实施例中,根据所述MAC地址生成散列值,得到所述特征信息,包括:
[0017]获取所述终端的IP地址,判断所述IP地址是否在预设范围内;
[0018]在判断到所述IP地址在所述预设范围内的情况下,生成所述特征信息。
[0019]在其中一个实施例中,在将所述终端的特征信息加入所述第一IP报文的预设选项字段以生成第二IP报文之前,所述方法还包括:
[0020]获取所述终端的标识,判断资产列表中是否存储有所述终端的标识;
[0021]在判断到所述资产列表未存储所述终端标识的情况下,执行重定位请求,基于所述重定位请求生成与所述终端的地址对应的特征信息,并在所述资产列表中关联存储所述终端标识和所述特征信息。
[0022]在其中一个实施例中,根据所述第二IP报文和所述传输层数据,封装得到访问请求数据,包括:
[0023]根据所述传输层数据和所述第二IP报文,得到网络层数据报;
[0024]基于所述网络层数据报生成网络数据帧,将所述网络数据帧转换为二进制数据,将所述二进制数据作为所述访问请求数据。
[0025]第二方面,本申请还提供了一种访问拦截装置。所述装置包括:
[0026]第一生成模块,用于在终端发起访问请求的情况下,基于所述访问请求得到所述终端的传输层数据和第一IP报文;
[0027]第二生成模块,用于将所述终端的特征信息加入所述第一IP报文的预设选项字段以生成第二IP报文,并封装所述第二IP报文和所述传输层数据,得到所述终端的访问请求数据;
[0028]拦截模块,用于将所述访问请求数据中的所述预设选项字段和预设黑名单进行比较,根据比较结果确定是否拦截所述终端的访问请求。
[0029]第三方面,本申请还提供了一种计算机设备。所述计算机设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现上述第一方面所述的方法的步骤。
[0030]第四方面,本申请还提供了一种计算机可读存储介质。所述计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述第一方面所述的方法的步骤。
[0031]第五方面,本申请还提供了一种计算机程序产品。所述计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现上述第一方面所述的方法的步骤。
[0032]上述访问拦截方法、装置、计算机设备、存储介质和计算机程序产品,方法包括:在终端发起访问请求的情况下,基于访问请求得到终端的传输层数据和第一IP报文;将终端的特征信息加入第一IP报文的预设选项字段以生成第二IP报文,并封装第二IP报文和传输层数据,得到终端的访问请求数据;将访问请求数据中的预设选项字段和预设黑名单进行比较,根据比较结果确定是否拦截终端的访问请求。在访问请求数据中增加终端特征信息实现方法简单、成本低,无需引入额外设备以搭建网络,达到低成本拦截非法终端的效果。
附图说明
[0033]图1为一个实施例中访问拦截方法的流程示意图;
[0034]图2为另一个实施例中访问拦截方法的示意图;
[0035]图3为一个实施例中访问拦截装置的结构框图;
[0036]图4为一个实施例中计算机设备的内部结构图。
具体实施方式
[0037]为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
[0038]相关技术中,NGFW(Next Generation Firewall,下一代防火墙)基于MAC地址拦截能力进行封禁,但在大型网络体系下,防火墙与终端主机的通讯需要跨三层进行,会导致MAC地址发生变化,从而无法拦截到真实源主机
[0039]在一个实施例中,如图1所示,提供了一种访问拦截方法,本实施例以该方法应用于终端进行举例说明,可以理解的是,该方法也可以应用于服务器,还可以应用于包括终端和服务器的系统,并通过终端和服务器的交互实现。本实施例中,该方法包括以下步骤:
[0040]步骤102,在终端发起访问请求的情况下,基于访问请求得到终端的传输层数据和第一IP报文。
[0041]其中,传输层数据包括终端之间端到端的传输数据,可选地,基于终端本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种访问拦截方法,其特征在于,所述方法包括:在终端发起访问请求的情况下,基于所述访问请求得到所述终端的传输层数据和第一IP报文;将所述终端的特征信息加入所述第一IP报文的预设选项字段以生成第二IP报文,并封装所述第二IP报文和所述传输层数据,得到所述终端的访问请求数据;将所述访问请求数据中的所述预设选项字段和预设黑名单进行比较,根据比较结果确定是否拦截所述终端的访问请求。2.根据权利要求1所述的访问拦截方法,其特征在于,将所述访问请求数据中的所述预设选项字段和预设黑名单进行比较,根据比较结果确定是否拦截所述终端的访问请求,包括:根据预设的选项字段的类型,在多个选项字段中确定目标选项字段;提取所述目标选项字段中的所述特征信息;比较所述特征信息和所述预设黑名单,若所述预设黑名单中存在与所述特征信息匹配的信息,则拦截所述终端的访问请求。3.根据权利要求1所述的访问拦截方法,其特征在于,在将所述终端的特征信息加入所述第一IP报文的预设选项字段以生成第二IP报文之前,所述方法还包括:获取所述终端的网卡的MAC地址;根据所述MAC地址生成散列值,根据所述散列值得到所述特征信息。4.根据权利要求3所述的访问拦截方法,其特征在于,根据所述MAC地址生成散列值,得到所述特征信息,包括:获取所述终端的IP地址,判断所述IP地址是否在预设范围内;在判断到所述IP地址在所述预设范围内的情况下,生成所述特征信息。5.根据权利要求1所述的访问拦截方法,其特征在于,在将所述终端的特征信息加入所述第一IP报文的预设选项字段以生成第二IP报文之前,所述方法还包括:获取所述终端...
【专利技术属性】
技术研发人员:管志遥,王三超,
申请(专利权)人:杭州安恒信息技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。