专利名称:一种安全网关及一种网络数据的交互方法
技术领域:
本发明涉及互联网领域,更具体的说,是涉及ー种安全网关及一种网络数据的交互方法。
背景技术:
随着网络技术的发展和社会大众对工作方便性要求的提高,许多企事业单位间需要通过网络进行ー些数据共享,交互查询等工作。而有些企事业单位的内网信息因其重要性或机密性需要得到一定的安全保护,以防外网对其进行恶意攻击,给社会带来损失或危害。为在保证内网安全性的前提下对外网提供必要的数据共享、交互查询等服务,用户需要部署信息通信网边界接入平台,所述信息通信边界接入平台首先通过安全隔离网闸等安全隔离设备将内网的特定数据摆渡到外部数据库,再将这些资源有机联网、整合共享,最后通过服务器对外提供数据交互。而在外网对内网访问前,外网访问请求需通过系统设置的安全网关。现有的安全网关,是通过判断源地址IP、目的地址IP、端口号等来对网络数据进行拦截和监测,以阻止恶意攻击,保障内网数据信息的安全性。但是,现有的安全网关只是在网络层和传输层对网络数据进行判断控制,不能对网络数据本身进行严格的检查和过滤,不能有效的防范黑客的攻击,当黑客将源IP包改变成合法IP即进行IP地址欺骗后,就能够轻松的通过安全网关,进入内网,网络系统安全性低。因此,如何提供ー种安全网关及一种网络数据的交互方法,使得安全网关对网络数据本身能够进行安全分析和控制,提高网络系统的安全性,是本领域技术人员急需解决的问题。
发明内容
有鉴于此,本发明提供了ー种安全网关及一种网络数据的交互方法,以克服现有技术中由于不能够对网络数据本身进行安全分析而导致的内网系统安全性低的问题。为实现上述目的,本发明提供如下技术方案:ー种安全网关,包括:数据连接模块、数据处理模块及数据库模块;所述数据连接模块用于判断客户端发起的访问请求是否符合预设的检测策略,并根据判断结果将所述访问请求提交给数据处理模块或截断所述访问请求;所述数据处理模块用于判断所述访问请求的数据内容是否符合预设的类型策略,并根据判断结果建立所述访问请求与服务器的连接或截断所述访问请求;数据库模块,用于存储所述预设的检测策略及预设的类型策略,并记录数据连接模块和数据处理模块的操作信息。其中,所述数据连接模块具体包括:连接接收模块,用于接收客户端发起的访问请求;
策略检测模块,用于根据所述访问请求检测所述客户端的IP及访问时间是否符合预设的检测策略;数据传输模块,用于在所述策略检测模块的检测结果为是的情况下:将所述访问请求提交给所述数据处理模块;截断请求模块,用于在所述策略检测模块的检测结果为否的情况下:截断所述访问请求。其中,所述数据传输模块,具体用于将多个所述访问请求多线程的提交给数据处理模块。优选的,所述数据连接模块还包括:监听模块,用于监听对绑定服务套接字的连接,以使策略检测模块检测所述客户端的IP及访问时间。其中,所述数据处理模块具体包括:处理接收模块,用于接收数据连接模块提交的所述访问请求;类型判断模块,用于对所述访问请求的数据内容进行格式匹配及敏感数据匹配,判断所述访问请求的数据内容是否符合预设的类型策略;建立连接模块,用于在所述类型判断模块的判断结果为是的情况下:建立所述访问请求与服务器的连接;截断请求模块,用于在所述类型判断模块的判断结果为否的情况下:截断所述访问请求。其中,所述数据库模块具体包括:配置文件模块,用于存储所述预设的检测策略及预设的类型策略;记录模块,用于记录所述数据连接模块和数据处理模块的操作信息。优选的,还包括:统计模块,用于统计发送至所述安全网关的访问请求的类型、分布区域及异常访问的相关信息。一种网络数据的交互方法,包括:数据连接模块判断客户端发起的访问请求是否符合预设的检测策略,并根据判断结果将所述访问请求提交给数据处理模块或截断所述访问请求;数据处理模块判断所述访问请求是否符合预设的类型策略,并根据判断结果建立所述访问请求与服务器的连接或截断所述访问请求;数据库模块存储所述预设的检测策略及预设的类型策略,并记录数据连接模块和数据处理模块的操作信息。其中,所述数据连接模块判断客户端发起的访问请求是否符合预设的检测策略,并根据判断结果将所述访问请求提交给数据处理模块或截断所述访问请求具体包括:连接接收模块接收客户端发起的访问请求;监听模块监听对绑定服务套接字的连接;策略检测模块根据所述监听模块的监听结果检测所述客户端的IP及访问时间是否符合预设的检测策略;在所述策略检测模块的检测结果为是的情况下:将所述访问请求提交给所述数据处理模块;在所述策略检测模块的检测结果为否的情况下:截断所述访问请求。其中,所述数据处理模块判断所述访问请求是否符合预设的类型策略,并根据判断结果建立所述访问请求与服务器的连接或截断所述访问请求,具体为:处理接收模块接收数据连接模块提交的所述访问请求;类型判断模块对所述访问请求的数据内容进行格式匹配及敏感数据匹配,判断所述访问请求的数据内容是否符合预设的类型策略;在所述类型判断模块的判断结果为是的情况下:建立所述访问请求与服务器的连接;在所述类型判断模块的判断结果为否的情况下:截断所述访问请求。经由上述的技术方案可知,与现有技术相比,本发明公开了ー种安全网关及ー种网络数据的交互方法,该安全网关能够对远端的访问请求进行检测,判断其是否符合预设的检测策略,检测内容包括IP检测及时段检测,通过IP检测及时段检测的访问请求才会被允许建立连接,所述安全网关还能够进一歩对所述访问请求的数据内容类型进行分析,判断其是否符合预设的类型策略,只有符合检测策略及类型策略的访问请求,所述安全网关才会保障其与服务器的正常连接,而过程中如果所述访问请求被判断出不符合系统预设的检测策略和/或类型策略,即会立即被断掉连接。通过所述的安全网关及网络数据交互方法,能够对访问请求进行基于数据本身的检测分析,提高了网络系统的安全性。
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。图1为本发明实施例公开的安全网关的第一结构示意图;图2为本发明实施例公开的数据连接模块的结构示意图;图3为本发明实施例公开的数据处理模块的结构示意图;图4为本发明实施例公开的数据库模块的结构示意图;图5为本发明实施例公开的安全网关的第二结构示意图;图6为本发明实施例公开的网络数据交互方法的第一流程图;图7为本发明实施例公开的判断访问请求是否符合预设的检测策略的流程示意图;图8为本发明实施例公开的判断访问请求是否符合预设的类型策略的流程示意图;图9为本发明实施例公开的网络数据交互方法的第二流程图。
具体实施例方式下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。实施例一图1为本发明实施例公开的安全网关的第一结构示意图,參照图1所示,所述安全网关10可以包括:数据连接模块101,用于判断客户端发起的访问请求是否符合预设的检测策略,并根据判断结果将所述访问请求提交给数据处理模块或截断所述访问请求;其中,当客户端发来访问请求时,所述数据连接模块101能够将所述访问请求的相关信息与系统配置文件里预设的检测策略进行比较,判断所述访问请求是否符合所述预设的检测策略,然后根据上述判断的判断结果进行不同的操作,根据所述数据连接模块101的具体功能,參考图2所示,所述数据连接模块101具体又可以包括:连接接收模块1011,用于接收客户端发起的访问请求; 此模块负责接收不同客户端发送来的访问请求,所述访问请求可以是读取请求,也可以是写入请求;策略检测模块1012,用于根据所述访问请求检测所述客户端的IP及访问时间是否符合预设的检测策略;所述检测包括对所述访问请求进行IP检测及时段检測,当所述连接接收模块1011接收到客户端发起的访问请求时,根据接收到的所述访问请求对其远端的IP地址及该访问请求的访问时间进行检测,判断出所述访问请求的相关信息是否符合系统配置文件里预设的检测策略,所述预设的检测策略存在于配置文件的存储器中,在所述策略检测模块需要时可以随时获取,所述预设的检测策略是由用户依靠经验或实际情况需要提前设置于存储器中的,以便于拒绝ー些很可能是恶意攻击、数据窃取等异常的访问请求,所述预设的检测策略记录有符合要求的访问请求的IP地址及访问时间,如:预设的检测策略规定了具有访问权利的IP地址范围,并规定访问请求的处理时间在早上8点至晚上9点之间,那么如果一个访问请求的源地址包括在所述预设的检测策略规定的具有访问权利的IP地址范围内,且其访问时间在早上8点至晚上九点之间,那么此访问请求即符合所述预设的检测策略,如果ー个访问请求的源地址包括在所述预设的检测策略规定的具有访问权利的IP地址范围内,但是访问时间为凌晨一点,那么该访问请求就不符合所述预设的检测策略;数据传输模块1013,用于在所述策略检测模块的检测结果为是的情况下:将所述访问请求提交给所述数据处理模块;当所述访问请求通过策略检测模块1012的检测吋,即符合系统配置文件中关于访问请求IP地址及访问时间的预设的检测策略时,所述数据传输模块1013将符合所述预设的检测策略的访问请求提交给数据处理模块102 (详见后述);截断请求模块1014,用于在所述策略检测模块的检测结果为否的情况下:截断所述访问请求;当所述访问请求没有通过策略检测模块1012的检测吋,即不符合系统配置文件中关于访问请求IP地址及访问时间的预设的检测策略时,所述截断请求模块将1014所述访问请求的连接截断;通过所述数据连接模块101检测的访问请求,将被提交给数据处理模块102 ;数据处理模块102,用于判断所述访问请求的数据内容是否符合预设的类型策略,并根据判断结果建立所述访问请求与服务器的连接或截断所述访问请求;当所述数据处理模块102接收到所述数据连接模块提交的所述访问请求时,所述数据处理模块102能够将所述访问请求应用层的相关信息,即数据信息与系统配置文件的存储器里预设的类型策略进行比较,判断所述访问请求的数据信息是否符合所述预设的类型策略,所述预设的类型策略是由用户依靠经验或实际情况需要提前设置于存储器中的,以便于拒绝ー些很可能是恶意攻击、数据窃取等异常的访问请求,然后根据上述判断的判断结果进行不同的操作,如:所述预设的类型策略规定访问请求的报文长度必须大于设定的阈值N,那么当访问请求的报文长度小于用户设定的N值时,就不符合预设的类型策略,根据所述数据处理模块102的具体功能,參考图3所示,所述数据处理模块102具体又可以包括:处理接收模块1021,用于接收数据连接模块提交的所述访问请求;此时接收到的访问请求为通过所述数据连接模块101检测的访问请求;类型判断模块1022,用于对所述访问请求的数据内容进行格式匹配及敏感数据匹配,判断所述访问请求的数据内容是否符合预设的类型策略;所述判断依据对所述访问请求进行数据格式匹配及敏感数据匹配的匹配结果,所述数据格式及敏感数据可以由用户根据实际应用情况来自主设定,且用户可以随时重新设定数据格式及敏感数据,所述敏感数据可以为一段时期内或长时期内涉及到私密信息或一些合法机构明确规定不可以使用或流传的ー些字、词或句子,当所述访问请求的数据中包含所述预设的类型策略里规定的敏感数据时,所述访问请求即不符合所述预设的类型策略,如,所述预设的类型策略规定访问请求中不可携帯“非典”这个词,那么当访问请求为“查询有过非典病史的人”时,该访问请求就不符合预设的类型策略,当所述处理连接模块1021接收到所述数据连接模块101提交的访问请求时,根据接收到的所述访问请求对其进行数据格式匹配及敏感数据的匹配,判断出所述访问请求的数据信息是否符合系统配置文件里预设的类型策略;建立连接模块1023,用于在所述类型判断模块的判断结果为是的情况下:建立所述访问请求与服务器的连接;当所述访问请求通过类型判断模块1022的判断吋,即符合系统配置文件中关于访问请求数据格式及敏感数据的预设的类型策略时,所述建立连接模块1023为符合所述预设的类型策略的访问请求建立与应用服务器的连接;截断请求模块1024,用于在所述类型判断模块的判断结果为否的情况下:截断所述访问请求;当所述访问请求没有通过类型判断模块1022的检测吋,即不符合系统配置文件中关于访问请求数据格式及敏感数据的预设的检测策略时,所述截断请求模块1024将所述访问请求的连接截断;数据库模块103,用于存储所述预设的检测策略及预设的类型策略,并记录数据连接模块和数据处理模块的操作信息;上述预设的检测策略及预设的类型策略保存在配置文件的存储器中,所述配置文件中还包括能够保证各个模块正常运行的配置管理信息,所述预设的检测策略、预设的类型策略及所述配置管理信息均存储在所述数据库模块103中,所述数据库模块103还能够记录下所述数据连接模块101及所述数据处理模块102相关的操作信息,根据所述数据库模块103的具体功能,參照图4,所述数据库模块103具体可以包括:配置文件模块1031,用于存储所述预设的检测策略及预设的类型策略;记录模块1032,用于记录所述数据连接模块和数据处理模块的操作信息。本实施例中,所述安全网关能够对客户端发起的访问请求首先进行IP地址检测及时段检测,在通过所述IP地址检测及时段检测的情况下,再对所述访问请求的数据进行格式匹配及敏感数据匹配,在所述访问请求的数据格式符合系统预设的数据格式,且没有携帯系统预设的敏感数据时,才会允许与网络服务器建立连接,实现数据共享、交互查询等内容。通过本发明实施例公开的安全网关,不仅能够在网络层和传输层上对访问请求进行IP地址及访问时段的分析,且能够对访问请求的数据本身进行安全分析,大大提高了网络的安全性。实施例ニ图5为本发明实施例公开的安全网关的第二结构示意图,參照图5所示,所述安全网关50可以包括:数据连接模块101,用于判断客户端发起的访问请求是否符合预设的检测策略,并根据判断结果将所述访问请求提交给数据处理模块或截断所述访问请求;所述数据连接模块101具体又可以包括:连接接收模块1011,用于接收客户端发起的访问请求;监听模块1015,用于监听对绑定服务套接字的连接;通过监听对绑定服务套字的连接,判断出接收的所述访问请求的IP地址及访问时间;策略检测模块1012,用于根据监听结果检测所述客户端的IP及访问时间是否符合预设的检测策略;数据传输模块1013,用于在所述策略检测模块的检测结果为是的情况下:将所述访问请求提交给所述数据处理模块;所述数据传输模块1013,能够将多个所述访问请求多线程的提交给数据处理模块102 (详见后述);截断请求模块1014,用于在所述策略检测模块的检测结果为否的情况下:截断所述访问请求;通过所述数据连接模块101检测的访问请求,将被提交给数据处理模块102 ;数据处理模块102,用于判断所述访问请求的数据内容是否符合预设的类型策略,并根据判断结果建立所述访问请求与服务器的连接或截断所述访问请求;所述数据处理模块102具体可以包括:处理接收模块1021,用于接收数据连接模块提交的所述访问请求;类型判断模块1022,用于对所述访问请求的数据内容进行格式匹配及敏感数据匹配,判断所述访问请求的数据内容是否符合预设的类型策略;建立连接模块1023,用于在所述类型判断模块的判断结果为是的情况下:建立所述访问请求与服务器的连接;截断请求模块1024,用于在所述类型判断模块的判断结果为否的情况下:截断所述访问请求;数据库模块103,用于存储所述预设的检测策略及预设的类型策略,并记录数据连接模块和数据处理模块的操作信息;所述数据库模块103具体可以包括:配置文件模块1031,用于存储所述预设的检测策略及预设的类型策略;记录模块1032,用于记录所述数据连接模块和数据处理模块的操作信息;统计模块104,用于统计发送至所述安全网关的访问请求的类型、分布区域及异常访问的相关信息;通过统计发送至所述安全网关的访问请求的相关信息,便于用户分析异常访问的特点,并根据分析得到的特点配置相关的预设策略,使得所述安全网关能够更准确、快速的分析出异常的访问及数据信息。本实施例中,所述安全网关能够对客户端发起的访问请求首先进行IP地址检测及时段检测,在通过所述IP地址检测及时段检测的情况下,再对所述访问请求的数据进行格式匹配及敏感数据匹配,在所述访问请求的数据格式符合系统预设的数据格式,且没有携帯系统预设的敏感数据时,才会允许与网络服务器建立连接,实现数据共享、交互查询等内容,且能够统计所有访问请求的类型、分布区域及异常访问等先关信息,便于用户分析异常访问的特点并做出相应的处理对策。通过本发明实施例公开的安全网关,不仅能够在网络层和传输层上对访问请求进行IP地址及访问时段的分析,且能够对访问请求的数据本身进行安全分析,大大提高了网络的安全性。实施例三图6为本发明实施例公开的网络数据交互方法的第一流程图,參照图6所示,所述网络数据交互方法的步骤可以包括:步骤601:数据连接模块判断客户端发起的访问请求是否符合预设的检测策略,并根据判断结果将所述访问请求提交给数据处理模块或截断所述访问请求;其中,所述数据连接模块能够将所述访问请求的相关信息与系统配置文件里预设的检测策略进行比较,判断所述访问请求是否符合所述预设的检测策略,然后根据上述判断的判断结果进行不同的操作;參考图7,在实际应用中,所述步骤601具体可以包括以下步骤:步骤701:连接接收模块接收客户端发起的访问请求;步骤702:策略检测模块根据所述访问请求检测所述客户端的IP及访问时间是否符合预设的检测策略,如果是,进入步骤703,如果否,进入步骤704 ;步骤703:将所述访问请求提交给所述数据处理模块;步骤704:截断所述访问请求;在步骤601之后,进入步骤602 ;步骤602:数据处理模块判断所述访问请求是否符合预设的类型策略,并根据判断结果建立所述访问请求与服务器的连接或截断所述访问请求;当所述数据处理模块接收到所述数据连接模块提交的所述访问请求时,所述数据处理模块能够将所述访问请求应用层的相关信息,即数据信息与系统配置文件里预设的类型策略进行比较,判断所述访问请求的数据信息是否符合所述预设的类型策略,然后根据上述判断的判断结果进行不同的操作;參考图8所示,在实际应用中,所述步骤602具体可以包括以下步骤:步骤801:处理接收模块接收数据连接模块提交的所述访问请求;步骤802:类型判断模块对所述访问请求的数据内容进行格式匹配及敏感数据匹配,判断所述访问请求的数据内容是否符合预设的类型策略,如果是,进入步骤803,如果否,进入步骤804 ;步骤803:建立所述访问请求与服务器的连接;步骤804:截断所述访问请求;步骤603:数据库模块存储所述预设的检测策略及预设的类型策略,并记录数据连接模块和数据处理模块的操作信息。本实施例中,所述网络数据的交互方法能够对客户端发起的访问请求首先进行IP地址检测及时段检测,在通过所述IP地址检测及时段检测的情况下,再对所述访问请求的数据进行与预设的类型策略的比较检测,在所述访问请求的数据符合所述预设的类型策略时,才会允许与网络服务器建立连接,实现数据共享、交互查询等内容。通过本发明实施例公开的网络数据交互方法,不仅能够在网络层和传输层上对访问请求进行IP地址及访问时段的分析,且能够对访问请求的数据本身进行安全分析,大大提高了网络的安全性。实施例四图9为本发明实施例公开的网络数据交互方法的第二流程图,參照图9所示,所述网络数据交互方法的步骤可以包括:步骤901:连接接收模块接收客户端发起的访问请求;步骤902:监听模块监听对绑定服务套接字的连接;步骤903:策略检测模块根据所述监听模块的监听结果检测所述客户端的IP及访问时间是否符合预设的检测策略,如果是,进入步骤904,如果否,进入步骤905 ;步骤904:将所述访问请求提交给所述数据处理模块;步骤905:截断所述访问请求;步骤906:处理接收模块接收数据连接模块提交的所述访问请求;步骤907:类型判断模块对所述访问请求的数据内容进行格式匹配及敏感数据匹配,判断所述访问请求的数据内容是否符合预设的类型策略,如果是,进入步骤908,如果否,进入步骤909 ;步骤908:建立所述访问请求与服务器的连接;步骤909:截断所述访问请求;步骤910:数据库模块存储所述预设的检测策略及预设的类型策略,并记录数据连接模块和数据处理模块的操作信息;步骤911:统计模块:统计发送至所述安全网关的访问请求的类型、分布区域及异常访问的相关信息。本实施例中,所述网络数据的交互方法能够对客户端发起的访问请求进行连接监听,根据监听结果首先进行IP地址检测及时段检测,在通过所述IP地址检测及时段检测的情况下,再对所述访问请求的数据进行与预设的类型策略的比较检测,在所述访问请求的数据符合所述预设的类型策略时,才会允许与网络服务器建立连接,实现数据共享、交互查询等内容,且能够统计所有访问请求的类型、分布区域及异常访问等先关信息,便于用户分析异常访问的特点并做出相应的处理对策。通过本发明实施例公开的网络数据交互方法,不仅能够在网络层和传输层上对访问请求进行IP地址及访问时段的分析,且能够对访问请求的数据本身进行安全分析,大大提高了网络的安全性。还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将ー个实体或者操作与另ー个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设
备所固有的要素。在没有更多限制的情况下,由语句“包括ー个......”限定的要素,并不
排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
权利要求
1.ー种安全网关,其特征在于,包括:数据连接模块、数据处理模块及数据库模块; 所述数据连接模块用于判断客户端发起的访问请求是否符合预设的检测策略,并根据判断结果将所述访问请求提交给数据处理模块或截断所述访问请求; 所述数据处理模块用于判断所述访问请求的数据内容是否符合预设的类型策略,井根据判断结果建立所述访问请求与服务器的连接或截断所述访问请求; 数据库模块,用于存储所述预设的检测策略及预设的类型策略,并记录数据连接模块和数据处理模块的操作信息。
2.根据权利要求1所述的安全网关,其特征在于,所述数据连接模块具体包括: 连接接收模块,用于接收客户端发起的访问请求; 策略检测模块,用于根据所述访问请求检测所述客户端的IP及访问时间是否符合预设的检测策略; 数据传输模块,用于在所述策略检测模块的检测结果为是的情况下:将所述访问请求提交给所述数据处理模块;截断请求模块,用于在所述策略检测模块的检测结果为否的情况下:截断所述访问请求。
3.根据权利要求2所述的安全网关,其特征在于,所述数据传输模块,具体用于将多个所述访问请求多线程的提交给数据处理模块。
4.根据权利要求2所述的安全网关,其特征在于,所述数据连接模块还包括: 监听模块,用于监听对绑定服务套接字的连接,以使策略检测模块检测所述客户端的IP及访问时间。
5.根据权利要求1所述的安全网关,其特征在于,所述数据处理模块具体包括: 处理接收模块,用于接收数据连接模块提交的所述访问请求; 类型判断模块,用于对所述访问请求的数据内容进行格式匹配及敏感数据匹配,判断所述访问请求的数据内容是否符合预设的类型策略; 建立连接模块,用于在所述类型判断模块的判断结果为是的情况下:建立所述访问请求与服务器的连接;截断请求模块,用于在所述类型判断模块的判断结果为否的情况下:截断所述访问请求。
6.根据权利要求1所述的安全网关,其特征在于,所述数据库模块具体包括: 配置文件模块,用于存储所述预设的检测策略及预设的类型策略; 记录模块,用于记录所述数据连接模块和数据处理模块的操作信息。
7.根据权利要求1-6任一项所述的安全网关,还包括:统计模块,用于统计发送至所述安全网关的访问请求的类型、分布区域及异常访问的相关信息。
8.—种网络数据的交互方法,其特征在于,包括: 数据连接模块判断客户端发起的访问请求是否符合预设的检测策略,并根据判断结果将所述访问请求提交给数据处理模块或截断所述访问请求; 数据处理模块判断所述访问请求是否符合预设的类型策略,并根据判断结果建立所述访问请求与服务器的连接或截断所述访问请求;数据库模块存储所述预设的检测策略及预设的类型策略,并记录数据连接模块和数据处理模块的操作信息。
9.根据权利要求8所述的方法,其特征在于,所述数据连接模块判断客户端发起的访问请求是否符合预设的检测策略,并根据判断结果将所述访问请求提交给数据处理模块或截断所述访问请求具体包括: 连接接收模块接收客户端发起的访问请求; 监听模块监听对绑定服务套接字的连接; 策略检测模块根据所述监听模块的监听结果检测所述客户端的IP及访问时间是否符合预设的检测策略; 在所述策略检测模块的检测结果为是的情况下:将所述访问请求提交给所述数据处理模块; 在所述策略检测模块的检测结果为否的情况下:截断所述访问请求。
10.根据权利要求8所述的方法,其特征在于,所述数据处理模块判断所述访问请求是否符合预设的类型策略,并根据判断结果建立所述访问请求与服务器的连接或截断所述访问请求,具体为: 处理接收模块接收数据连接模块提交的所述访问请求; 类型判断模块对所述访问请求的数据内容进行格式匹配及敏感数据匹配,判断所述访问请求的数据内容是否符合预设的类型策略; 在所述类型判断模块的判断结果为是的情况下:建立所述访问请求与服务器的连接; 在所述类型判断模块的判断结果为否的情况下:截断所述访问请求。
全文摘要
本发明公开了一种安全网关及一种网络数据的交互方法,该安全网关能够对远端的访问请求进行检测,判断其是否符合预设的检测策略,检测内容包括IP检测及时段检测,通过IP检测及时段检测的访问请求才会被允许建立连接,所述安全网关还能够进一步对所述访问请求的数据内容类型进行分析,判断其是否符合预设的类型策略,只有符合检测策略及类型策略的访问请求,所述安全网关才会保障其与服务器的正常连接,而过程中如果所述访问请求被判断出不符合系统预设的检测策略和/或类型策略,即会立即被断掉连接。通过所述的安全网关及网络数据交互方法,能够对访问请求进行基于数据本身的检测分析,提高了网络系统的安全性。
文档编号H04L29/06GK103139056SQ20111039396
公开日2013年6月5日 申请日期2011年12月1日 优先权日2011年12月1日
发明者李志鹏, 王洪波 申请人:北京天行网安信息技术有限责任公司