本发明专利技术公开了一种数据流的转发方法及装置,在上述方法中,根据接收到的数据流的一个或多个标识信息的第一健康度获取数据流的第二健康度,其中,第一健康度和第二健康度均与发送数据流的用户和/或用户设备的访问权限相关联;采用防火墙策略属性集合确定是否对数据流进行转发,其中,防火墙策略属性集合包括:第二健康度。根据本发明专利技术提供的技术方案,提高了防火墙对网络攻击或者异常行为的识别能力,降低管理成本。
【技术实现步骤摘要】
数据流的转发方法及装置
本专利技术涉及通信领域,具体而言,涉及一种数据流的转发方法及装置。
技术介绍
目前,相关技术中的防火墙策略或者访问控制列表(AccessControlList,简称为ACL)可以根据数据流中的下层属性来判断是否允许数据流通过。通常情况下,防火墙策略所依据的下层属性可以包括但不限于以下至少之一:源地址、源端口、目的地址、目的端口、协议号、应用类型。而入接口和出接口往往也会成为防火墙策略所依据属性的一部分。随着科学技术日新月异的发展,国内外厂商已经将更多的考虑因素融入到防火墙策略当中。例如:一些厂商引入了安全域的概念,即利用入接口安全域或者出接口安全域来判断是否允许数据流通过;而一些厂商在现有的防火墙策略的基础上,逐步引入了基于用户的访问控制或者基于角色的访问控制(RoleBaseAccessControl,简称为RBAC)的概念;还有一些厂商在现有的防火墙策略的基础上,引入了认证组的概念,首先将检测到的数据流与防火墙策略所依据的下层属性(包括:源地址、源端口、目的地址、目的端口以及协议号)相匹配,其次通过匹配认证确定该数据流所归属的分组,然后采用第一匹配原则判断是否允许该数据流通过。下面结合两个具体的应用实例对相关技术中所采用的防火墙策略做进一步的描述。实例一表1是根据相关技术的基于用户访问控制的防火墙策略实例一。如表1所示,假设在A公司的安全网关上具备防火墙和安全套接层(SecureSocketsLayer,简称为SSL)虚拟专用网(VirtualPrivateNetwork,简称为VPN)的双重功能。当用户从公网上通过SSLVPN接入时,公司内部系统会为该用户发送的流量赋予一个SSL角色,而对于那些远程接入的工程师(Engineers),公司内部系统将为此类用户赋予另一个Engineer角色。此外,公司内网存在两种个人计算机(PC):一种是专门供工程师使用的,其地址组为EngIPs;而另一种是除工程师以外的其他人使用的,其地址组为Other-IPs。另外,公司还有三个服务器:电邮服务器(EmailServer)、内部服务器(IntranetServer),研发用服务器(EngServer)。表1组源地址源端口目的地址目的端口协议动作SSLAnyAnyIntranet_ServerAnyAny不允许EngineerAnyAnyEng_ServerAnyAny允许AnyEng_IPsAnyAnyAnyAny允许AnyAnyAnyEmail_ServerAnyAny允许根据上述表1可以看出,远程接入用户不许访问IntranetServer,工程师无论是采取远程接入的方式还是内部访问的方式都可以访问EngServer,工程师在内网的PC可以访问内网中全部服务器,其他人无论是采取远程接入的方式还是内部访问的方式都可以访问EmailServer去查阅Email。由此可见,在该应用实例中,分别对通过SSL接入的用户以及Engineering群组的用户进行了特殊地控制。然而,该应用实例存在的缺陷在于:同一个用户如果由于特定原因而影响其安全状态时,用户所访问的系统可能需要给予该用户多种不同的访问权限。而特定原因往往又是多方面的,例如:用户当前使用的设备的安全状态、用户使用了非正常应用、用户的异常举动。在考虑到安全访问因素和用户私有信息的前提下,虽然可以不断创建新的角色,例如:假设有N个用户或者用户组,M个安全因素状态,由此需要产生M×N个角色,但是不断创建的新角色给公司内部系统的管理带来了极大地不便,同时也增加了管理的成本。而从另外一个角度考虑,网络管理员如果希望对发起访问的用户进行可视化管理,实时掌握每个用户的安全策略均会受到哪些因素的影响,为此需要有个直观的呈现。而在用户发起访问时,由于用户的角色在不断的转化,对于可视化管理的渴求也将淹没在用户角色的不断演变中。实例二网络准入控制(NetworkAccessControl,简称为NAC)技术是一种在接入时的安全准入技术。该项技术常应用于交换机上。在用户通过PC接入网络时,交换机将会检测PC上的病毒防护软件的升级版本、当前可用补丁、浏览器设置限定以及有效的个人防火墙。该PC只有在通过交换机的一系列检测后,才被允许接入网络。而如果PC没有达到上述各项要求,则交换机不允许其接入网络。在特定情况下,PC还会被划分到一个虚拟局域网(VirtualLocalAreaNetwork,简称为VLAN)进行在线修复。然而,该应用实例存在的缺陷在于:NAC的安全检测以PC设备自身的安全状态为依据。在网络安全设备中,网络攻击或者异常行为的识别是通过网络中的数据流量实现的,而无法根据用户自身的综合风险评估来实现防火墙策略的调整。
技术实现思路
本专利技术提供了一种数据流的转发方法及装置,以至少解决相关技术中的防火墙策略缺乏对数据流的健康度进行评估的问题。根据本专利技术的一个方面,提供了一种数据流的转发方法。根据本专利技术的数据流的转发方法包括:根据接收到的数据流的一个或多个标识信息的第一健康度获取数据流的第二健康度,其中,第一健康度和第二健康度均与发送数据流的用户和/或用户设备的访问权限相关联;采用防火墙策略属性集合确定是否对数据流进行转发,其中,防火墙策略属性集合包括:第二健康度。优选地,根据一个或多个标识信息的第一健康度获取数据流的第二健康度包括:从当前的健康度评估数据库中查找一个或多个标识信息以及与每个标识信息对应的健康级别;选取最差健康级别确定第二健康度,其中,健康级别与访问权限呈线性相关。优选地,在从健康度评估数据库中查找一个或多个标识信息以及与每个标识信息对应的健康级别之前,还包括:分别对一个或多个标识信息中的每个标识信息进行健康评分;根据健康评分结果所归属的区间获取与该区间对应的健康级别;将每个标识信息以及与该标识信息对应的健康级别保存在健康度评估数据库中。优选地,采用防火墙策略属性集合确定是否对数据流进行转发包括:根据第二健康度从防火墙策略表中查找与数据流对应的一条或多条防火墙策略记录;采用防火墙策略属性集合中除第二健康度之外的其他属性对一条或多条防火墙策略记录逐条进行匹配;如果匹配成功,则按照与数据流匹配的防火墙策略记录对数据流进行转发;如果匹配失败,则阻断数据流。优选地,防火墙策略属性集合还包括以下至少之一:数据流的因特网协议IP五元组信息;发送数据流的源端口或源安全域;接收数据流的目的端口或目的安全域;发送数据流的用户信息或用户组信息或用户角色信息。优选地,标识信息包括以下至少之一:数据流的源IP地址和/或目的IP地址;数据流的源IP地址和/或目的IP地址所归属的分组;与数据流对应的应用程序;发送数据流的用户信息或用户组信息或用户角色信息;发送数据流的源端口或源安全域;接收数据流的目的端口或目的安全域。根据本专利技术的另一方面,提供了一种数据流的转发装置。根据本专利技术的数据流的转发装置包括:获取模块,用于根据接收到的数据流的一个或多个标识信息的第一健康度获取数据流的第二健康度,其中,第一健康度和第二健康度均与发送数据流的用户和/或用户设备的访问权限相关联;确定模块,用于采用防火墙策略属性集合确定是否对数据流进行转发,其中,防火墙策略属性集合包括:第二健康本文档来自技高网...
【技术保护点】
一种数据流的转发方法,其特征在于,包括:根据接收到的数据流的一个或多个标识信息的第一健康度获取所述数据流的第二健康度,其中,所述第一健康度和所述第二健康度均与发送所述数据流的用户和/或用户设备的访问权限相关联;采用防火墙策略属性集合确定是否对所述数据流进行转发,其中,所述防火墙策略属性集合包括:所述第二健康度。
【技术特征摘要】
1.一种数据流的转发方法,其特征在于,包括:根据接收到的数据流的一个或多个标识信息的第一健康度获取所述数据流的第二健康度,其中,所述第一健康度和所述第二健康度均与发送所述数据流的用户的访问权限和/或用户设备的访问权限相关联;采用防火墙策略属性集合确定是否对所述数据流进行转发,其中,所述防火墙策略属性集合包括:所述第二健康度;其中,根据所述一个或多个标识信息的所述第一健康度获取所述数据流的所述第二健康度包括:从当前的健康度评估数据库中查找所述一个或多个标识信息以及与每个标识信息对应的健康级别;选取最差健康级别确定所述第二健康度,其中,所述健康级别与所述访问权限呈线性相关。2.根据权利要求1所述的方法,其特征在于,在从所述健康度评估数据库中查找所述一个或多个标识信息以及所述与每个标识信息对应的健康级别之前,还包括:分别对所述一个或多个标识信息中的每个标识信息进行健康评分;根据健康评分结果所归属的区间获取与该区间对应的健康级别;将所述每个标识信息以及与该标识信息对应的健康级别保存在所述健康度评估数据库中。3.根据权利要求1所述的方法,其特征在于,采用所述防火墙策略属性集合确定是否对所述数据流进行转发包括:根据所述第二健康度从防火墙策略表中查找与所述数据流对应的一条或多条防火墙策略记录;采用所述防火墙策略属性集合中除所述第二健康度之外的其他属性对所述一条或多条防火墙策略记录逐条进行匹配;如果匹配成功,则按照与所述数据流匹配的防火墙策略记录对所述数据流进行转发;如果匹配失败,则阻断所述数据流。4.根据权利要求1至3中任一项所述的方法,其特征在于,所述防火墙策略属性集合还包括以下至少之一:所述数据流的因特网协议IP五元组信息;发送所述数据流的源端口或源安全域;接收所述数据流的目的端口或目的安全域;发送所述数据流的用户信息或用户组信息或用户角色信息。5.根据权利要求1至3中任一项所述的...
【专利技术属性】
技术研发人员:刘向明,王钟,张凌龄,贾彬,
申请(专利权)人:苏州山石网络有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。