专利名称:基于域名的网络防护方法及系统的制作方法
技术领域:
本发明涉及计算机网络技术领域,尤其涉及一种基于域名的网络防护方法及系统。
背景技术:
随着社会信息化的不断发展进步,用户对网络信息的安全性也异常重视。传统安全产品无法满足基于域名的网络防护要求。传统安全产品策略都是以IP (InternetProtocol,互联网协议)或者网络端口为对象制定的,当一个主机承载多个域名时,采用传统的安全防护方法便无法精确地使用域名对攻击行为进行定位,更无法针对性地采取相应的防护措施;且按照IP的策略进行防护也会影响到整个主机上的所有域名。另外,传统的安全产品也无法满足⑶N (Content Delivery Network,内容分发网络)这种分布式部署环境下的网络信息防护要求,因为传统的安全产品大都是采用单点防护的方法,这需要对每个节点都进行一一配置,配置工作量大且配置过程十分繁琐;而每个节点相互之间的防护也是独立的,不利于信息的统一汇总及整合。
发明内容
本发明的主要目的是提供一种基于域名的网络防护方法及系统,旨在达到根据域名实时防护网络安全的目的。本发明公开了一种基于域名的网络防护方法,包括以下步骤步骤S01、核心安全网关下发安全策略至边缘安全网关;
步骤S02、所述边缘安全网关获取访问数据,匹配所述安全策略,防护指定域名用户的信息安全,记录安全防护信息并上报至所述核心安全网关。优选地,所述步骤S02之后还包括步骤步骤S03、所述核心安全网关接收并保存所述安全防护信息,对所述安全防护信息进行分类并展示。优选地,所述步骤SOl包括所述核心安全网关根据自身安全策略的更新,实时更新所述边缘安全网关的安全策略。优选地,所述步骤S03中核心安全网关基于域名对所述安全防护信息进行分类并展示包括基于域名,将同一域名下的所述安全防护信息分为同一类;按照所述域名,展示分类后的所述安全防护信息。优选地,所述步骤SOl中所述边缘安全网关获取的访问数据是,用户访问距离自身地理位置最近的内容节点服务器的节点资源所产生的数据。本发明还公开一种基于域名的网络防护系统,包括核心安全网关和边缘安全网关;
所述核心安全网关用于,下发安全策略至边缘安全网关;所述边缘安全网关用于,获取访问数据,匹配所述安全策略,防护指定域名用户的信息安全,记录安全防护信息并上报至所述核心安全网关。优选地,所述核心安全网关还用于,接收并保存所述安全防护信息,对所述安全防护信息进行分类并展示。优选地,所述核心安全网关还用于,根据自身安全策略的更新,实时更新所述边缘安全网关的安全策略。优选地,所述核心安全网关还用于,基于域名,将同一域名下的所述安全防护信息分为同一类;按照所述域名,展示分类后的所述安全防护信息。优选地,所述边缘安全网关获取的访问数据是,用户访问距离自身地理位置最近的内容节点服务器的节点资源所产生的数据。本发明通过核心安全网关下发安全策略至边缘安全网关;所述边缘安全网关获取访问数据,匹配所述安全策略,防护指定域名用户的信息安全,记录安全防护信息并上报至所述核心安全网关的方法,具有精确至域名实施防护网络安全的有益效果。
图1是本发明基于域名的分布式网络应用防护系统部署结构示意图;图2是本发明基于域名的网络防护方法一实施例流程示意图;图3是本发明基于域名的网络防护方法又一实施例流程示意图;图4是本发明基于 域名的网络防护方法中,边缘安全网关记录的安全防护日志一实施例结构示意图;图5是本发明基于域名的网络防护系统一实施例结构示意图。本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施例方式以下结合说明书附图及具体实施例进一步说明本发明的技术方案。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。本发明基于域名的网络防护方法及系统结合CDN分布式的特点,采用一个核心安全网关,多个边缘安全网关的结构,根据统一安全策略,基于域名对网络信息进行防护,并将防护记录信息统一上传至核心安全网关,由核心安全网关进行集中展示。请参照图1,图1是本发明基于域名的分布式网络应用防护系统部署结构示意图;图1所示的源站是指发布内容的原始站点,新增、删除和更改网站的文件均在源站上进行;缓存服务器抓取的对象也全部来自于源站。图1所示的内容节点即缓存服务器,内容节点直接提供用户访问的站点资源。图1所示的网络部署采用CDN部署模式;所述CDN是一种新型网络构建方式,通过在现有的Internet (互联网)中增加一层新的网络架构,将网站的内容发布到最接近用户的网络“边缘”,使用户可以就近取得所需的内容,解决Internet网络拥挤的状况,提高用户访问网站的响应速度;从广义的角度,CDN代表了一种基于质量与秩序的网络服务模式。基于以上描述,请参照图2,图2是本发明基于域名的网络防护方法一实施例流程示意图;如图2所示,本发明基于域名的网络防护方法包括以下步骤步骤S01、核心安全网关下发安全策略至边缘安全网关;在一优选的实施例中,可以将域名作为对象制定安全策略,根据该安全策略配置核心安全网关;配置完成后,核心安全网关向各个边缘安全网关下发安全策略,实现各安全网关安全策略的统一;同时,只要核心安全网关上的安全策略有更新,则该核心安全网关便会根据自身安全策略的更新实时更新各边缘安全网关上的安全策略;这样,就实现了通过控制核心安全网关的安全策略,便能自动实时地更新安全策略到各个边缘安全网关的效果,而不用通过管理员去人为地设置网络中的每一个安全网关,实现了各节点服务器前安全策略的一致性。步骤S02、所述边缘安全网关获取访问数据,匹配所述安全策略,防护指定域名用户的信息安全,记录安全防护信息并上报至所述核心安全网关。在用户通过浏览器请求网络服务器资源时,域名服务器根据用户访问的地理位置信息,返回距离用户自身地理位置最近的内容节点服务器的IP给用户,便于用户能够就近访问内容节点资源,节省访问时间。在用户访问内容节点资源时,边缘安全网关获取用户的访问数据,匹配安全策略,基于该用户的域名,追踪该用户域名的安全威胁,对该安全威胁进行识别;根据该安全威胁对业务和数据安全的危害程度以及管理员的相应配置,对该安全威胁进行拦截或发出告警。同时,边缘安全网关记录安全防护信息即通常所说的安全防护日志,分析当前保护的内容节点及保护的域名的安全状态,并把当前内容节点的安全状态信息汇总上报至核心安全网关,供核心安全网关对上述安全防护日志进行相应处理。本实施例通过核心安全网关下发安全策略至边缘安全网关;所述边缘安全网关获取访问数据,匹配所述安全策略,防护指定域名用户的信息安全,记录安全防护信息并上报至所述核心安全网关的方法,具有精确至域名实施防护网络安全的有益效果。参照图3,图3是本发明基于域名的网络防护方法又一实施例流程示意图;本实施例与图2所述实施例的区别是 ,仅增加了步骤S03 ;本实施例仅对步骤S03作具体描述,本发明基于域名的网络防护方法所涉及的其他步骤请参照上述实施例的具体描述,在此不再赘述。如图3所示,本发明基于域名的网络防护方法在步骤S02、所述边缘安全网关获取访问数据,匹配所述安全策略,防护指定域名用户的信息安全,记录安全防护信息并上报至所述核心安全网关之后还包括步骤步骤S03、所述核心安全网关接收并保存所述安全防护信息,对所述安全防护信息进行分类并展示。核心安全网关接收边缘安全网关汇报的安全防护信息;不管哪一个边缘节点上的边缘安全网关收集到的该用户域名的安全防护日志,都能够实时地反馈至核心安全网关,写入核心安全网关的数据库,即核心安全网关能够看到所有基于域名的安全防护日志。核心安全网关将边缘安全网关上报的所有安全防护日志按照域名进行分类,即将同一域名的安全防护日志分为一类,并展示分类后的安全防护日志。具体地,具有权限的人员比如网络管理员、供应商等可以看到核心安全网关上所有的安全防护日志,从而根据上述安全防护信息进行灵活收费等;用户能够查阅各自域名的安全防护日志,即某特定域名的用户只能查询到自己域名的安全防护日志,不能查看其它域名的安全防护日志;参照图4,图4是本发明基于域名的网络防护方法中,边缘安全网关记录的安全防护日志一实施例结构示意图;如图4所示,边缘安全网关记录的安全防护日志包括网络攻击类型、各攻击类型对应的攻击次数及各攻击类型所在同一节点服务器的攻击类型中所占的百分比。这样,在查看该安全防护日志时,各种信息一目了然。本实施例通过核心安全网关接收并保存所述安全防护信息,对所述安全防护信息进行分类并展示的方法,具有集中收集并按照域名展示安全防护日志的有益效果。参照图5,图5是本发明基于域名的网络防护系统一实施例结构示意图。如图5所示,本发明基于域名的网络防护系统包括核心安全网关01和边缘安全网关02。核心安全网关01用于,下发安全策略至边缘安全网关。在一优选的实施例中,可以将域名作为对象制定安全策略,根据该安全策略配置核心安全网关01 ;配置完成后,核心安全网关01向各个边缘安全网关02下发安全策略,实现各安全网关安全策略的统一;同时,只要核心安全网关01上的安全策略有更新,则该核心安全网关01便会根据自身安全策略的更新实时更新各边缘安全网关02上的安全策略;这样,就实现了通过控制核心安全网关01的安全策略,便能自动实时地更新安全策略到各个边缘安全网关02的效果,而不用通过管理员去人为地设置网络中的每一个安全网关,实现了各节点服务器前安全策略的一致性。边缘安全网关02用于,获取访问数据,匹配所述安全策略,防护指定域名用户的信息安全,记录安全防护信息并上报至所述核心安全网关。在用户通过浏览器请求网络服务器资源时,域名服务器根据用户访问的地理位置信息,返回距离用户自身地理位置最近的内容节点服务器的IP给用户,便于用户能够就近访问内容节点资源,节省访问时间。在用户访问内容节点资源时,边缘安全网关02获取用户的访问数据,匹配安全策略,基于该用户的域名,追踪该用户域名的安全威胁,对该安全威胁进行识别;根据该安全威胁对业务和数据安全的危害程度以及管理员的相应配置,对该安全威胁进行拦截或发出告警。同时,边缘安全网关02记录安全防护信息即通常所说的安全防护日志,分析当前保护的内容节点及保护的域名的安全状态,并把当前内容节点的安全状态信息汇总上报至核心安全网关01,供核心安全网关01对上述安全防护日志进行相应处理。本实施例通过核心安全网关下发安全策略至边缘安全网关;所述边缘安全网关获取访问数据,匹配所述安全策略,防护指定域名用户的信息安全,记录安全防护信息并上报至所述核心安全网关,具有精确至域名实施防护网络安全的有益效果。请再次参照图5,图5中所述核心安全网关01还用于,接收并保存所述安全防护信息,对所述安全防护信息进行分类并展示。核心安全网关01接收边缘安全网关02汇报的安全防护信息;不管哪一个边缘节点上的边缘安全网关02收集到的该用户域名的安全防护日志,都能够实时地反馈至核心安全网关01,写入核心安全网关01的数据库,即核心安全网关01能够看到所有基于域名的安全防护日志。核心安全网关01将边缘安全网关02上报的所有安全防护日志按照域名进行分类,即将同一域名的 安全防护日志分为一类,并展示分类后的安全防护日志。具体地,具有权限的人员比如网络管理员、供应商等可以看到核心安全网关01上所有的安全防护日志,从而采取相应的操作或对应的措施。用户也能够查阅各自域名的安全防护日志,即某特定域名的用户只能查询到自己域名的安全防护日志,不能查看其它域名的安全防护日志;参照图4,图4是本发明基于域名的网络防护方法中,边缘安全网关记录的安全防护日志一实施例结构示意图;如图4所示,边缘安全网关02记录的安全防护日志包括网络攻击类型、各攻击类型对应的攻击次数及各攻击类型所在同一节点服务器的攻击类型中所占的百分比。这样,在查看该安全防护日志时,各种信息一目了然。本实施例通过核心安全网关接收并保存所述安全防护信息,对所述安全防护信息进行分类并展示,具有集中收集并按照域名展示安全防护日志的有益效果。在实际部署时,本发明基于域名的网络防护系统中,核心网关可以与某台边缘网关为同一个物理实体。以上所述仅为本发明的优选实施例,并非因此限制其专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,直接或间接运用在其他相关的技术领域,均同理包括在本发明 的专利保护范围内。
权利要求
1.一种基于域名的网络防护方法,其特征在于,包括以下步骤 步骤SO1、核心安全网关下发安全策略至边缘安全网关; 步骤S02、所述边缘安全网关获取访问数据,匹配所述安全策略,防护指定域名用户的信息安全,记录安全防护信息并上报至所述核心安全网关。
2.如权利要求1所述的方法,其特征在于,所述步骤S02之后还包括步骤 步骤S03、所述核心安全网关接收并保存所述安全防护信息,对所述安全防护信息进行分类并展示。
3.如权利要求1或2所述的方法,其特征在于,所述步骤SOl包括 所述核心安全网关根据自身安全策略的更新,实时更新所述边缘安全网关的安全策略。
4.如权利要求1或2所述的方法,其特征在于,所述步骤S03中核心安全网关基于域名对所述安全防护信息进行分类并展示包括 基于域名,将同一域名下的所述安全防护信息分为同一类; 按照所述域名,展示分类后的所述安全防护信息。
5.如权利要求1或2所述的方法,其特征在于,所述步骤SOl中所述边缘安全网关获取的访问数据是,用户访问距离自身地理位置最近的内容节点服务器的节点资源所产生的数据。
6.一种基于域名的网络防护系统,其特征在于,包括核心安全网关和边缘安全网关; 所述核心安全网关用于,下发安全策略至边缘安全网关; 所述边缘安全网关用于,获取访问数据,匹配所述安全策略,防护指定域名用户的信息安全,记录安全防护信息并上报至所述核心安全网关。
7.如权利要求6所述的系统,其特征在于,所述核心安全网关还用于,接收并保存所述安全防护信息,对所述安全防护信息进行分类并展示。
8.如权利要求6或7所述的系统,其特征在于,所述核心安全网关还用于,根据自身安全策略的更新,实时更新所述边缘安全网关的安全策略。
9.如权利要求6或7所述的系统,其特征在于,所述核心安全网关还用于,基于域名,将同一域名下的所述安全防护信息分为同一类;按照所述域名,展示分类后的所述安全防护信息。
10.如权利要求6所述的系统,其特征在于,所述边缘安全网关获取的访问数据是,用户访问距离自身地理位置最近的内容节点服务器的节点资源所产生的数据。
全文摘要
本发明公开一种基于域名的网络防护方法及系统,该方法包括以下步骤核心安全网关下发安全策略至边缘安全网关;所述边缘安全网关获取访问数据,匹配所述安全策略,防护指定域名用户的信息安全,记录安全防护信息并上报至所述核心安全网关。本发明通过核心安全网关下发安全策略至边缘安全网关;所述边缘安全网关获取访问数据,匹配所述安全策略,防护指定域名用户的信息安全,记录安全防护信息并上报至所述核心安全网关的方法,具有精确至域名实施防护网络安全的有益效果。
文档编号H04L12/66GK103067355SQ201210528179
公开日2013年4月24日 申请日期2012年12月10日 优先权日2012年12月10日
发明者朱峥嵘, 陶超 申请人:深信服网络科技(深圳)有限公司