通讯数据的处理方法和装置的制造方法

文档序号:8945739阅读:498来源:国知局
通讯数据的处理方法和装置的制造方法
【技术领域】
[0001]本发明涉及互联网领域,具体而言,涉及一种通讯数据的处理方法和装置。
【背景技术】
[0002]使用下一代防火墙(即NGFW)技术,可以有效的实现识别用户、控制用户、监控用户等功能。在实现控制用户这个功能时,对用户的控制仅限于允许访问哪些应用和业务、不允许访问哪些应用和业务,而没有考虑到用户对允许访问的业务是否存在越权或伪冒他人账号访问该业务的情形。如在某公司的防火墙中限定了只有财务部门的员工可以访问公司的财务数据,假设财务数据在一个FTP服务器上,为了确保财务数据的安全,财务部门的每个员工对不同类型的财务数据的访问权限又有所不同。当员工访问财务数据时只能通过自己的电脑访问有权限的财务数据,防火墙可以通过Content_ID(即内容标识)获知用户正在访问什么数据,如收纳员在使用自己的FTP账号和密码在自己的电脑上访问财务部门的财务数据时,防火墙可以通过Content_ID来确定收纳员访问该财务数据的行为是否合法,但是如果收纳员在自己的电脑上使用了薪酬专员的FTP账号和密码来访问只有薪酬专员才能访问的财务数据时,防火墙也会认为这个访问是一个合法的行为,防火墙无法防止这种访问行为造成的信息泄露。
[0003]针对现有技术中防火墙安全性低的技术问题,目前尚未提出有效的解决方案。

【发明内容】

[0004]本发明实施例提供了一种通讯数据的处理方法和装置,以至少解决现有技术中防火墙安全性低的技术问题。
[0005]根据本发明实施例的一个方面,提供了一种通讯数据的处理方法,该处理方法包括:接收用户终端发送的通讯数据包;判断用户终端是否有权限访问外网;在判断出用户终端有权限访问外网的情况下,从通讯数据包中读取用户终端请求访问的目标服务器的账号信息;在账号信息与用户终端的预设账号信息相匹配的情况下,将通讯数据包发送至目标服务器。
[0006]进一步地,从通讯数据包中读取用户终端请求访问的目标服务器的账号信息包括:从通讯数据包中读取应用标识,其中,应用标识为用户终端请求访问的目标应用的标识;根据应用标识判断目标应用是否验证用户终端的合法性;在判断出需要验证用户终端的合法性的情况下,从通讯数据包中读取用户终端请求访问的目标服务器的账号信息。
[0007]进一步地,在根据应用标识判断目标应用是否验证用户终端的合法性之后,该处理方法还包括:在判断出不需要验证用户终端的合法性的情况下或从通讯数据包中读取账号信息失败时,将通讯数据包发送至目标服务器。
[0008]进一步地,判断用户终端是否有权限访问外网包括:从通讯数据包中读取用户终端的IP地址;从数据库中读取与IP地址对应的用户终端的标识;若用户终端的标识在预设终端标识集合内,则确定用户终端有权限访问外网;若用户终端的标识不在预设终端标识集合内,则确定用户终端没有权限访问外网。
[0009]进一步地,在从数据库中读取与IP地址对应的用户终端的标识之前,该处理方法还包括:在用户终端第一次访问外网时,从用户终端的通讯数据包中读取用户终端的IP地址;按照预定格式生成用户终端的标识,并建立用户终端的标识与IP地址的映射关系;将映射关系存入数据库。
[0010]进一步地,在从通讯数据包中读取用户终端请求访问的目标服务器的账号信息之后,该处理方法还包括:在账号信息与预设账号信息不匹配的情况下,确定用户终端发起的访问为非法访问,并将非法访问的信息写入日志。
[0011]根据本发明实施例的另一方面,还提供了一种通讯数据的处理装置,该处理装置包括:接收模块,用于接收用户终端发送的通讯数据包;第一判断模块,用于判断用户终端是否有权限访问外网;第一读取模块,用于在判断出用户终端有权限访问外网的情况下,从通讯数据包中读取用户终端请求访问的目标服务器的账号信息;第一发送模块,用于在账号信息与用户终端的预设账号信息相匹配的情况下,将通讯数据包发送至目标服务器。
[0012]进一步地,第一读取模块包括:第二读取模块,用于从通讯数据包中读取应用标识,其中,应用标识为用户终端请求访问的目标应用的标识;第二判断模块,用于根据应用标识判断目标应用是否验证用户终端的合法性;第三读取模块,用于在判断出需要验证用户终端的合法性的情况下,从通讯数据包中读取用户终端请求访问的目标服务器的账号信息。
[0013]进一步地,该处理装置还包括:第二发送模块,用于在根据应用标识判断目标应用是否验证用户终端的合法性之后,在判断出不需要验证用户终端的合法性的情况下或从通讯数据包中读取账号信息失败时,将通讯数据包发送至目标服务器。
[0014]进一步地,第一判断模块包括:第四读取模块,用于从通讯数据包中读取用户终端的IP地址;第五读取模块,用于从数据库中读取与IP地址对应的用户终端的标识;第一确定模块,用于若用户终端的标识在预设终端标识集合内,则确定用户终端有权限访问外网;第二确定模块,用于若用户终端的标识不在预设终端标识集合内,则确定用户终端没有权限访问外网。
[0015]进一步地,该处理装置还包括:第六读取模块,用于在从数据库中读取与IP地址对应的用户终端的标识之前,在用户终端第一次访问外网时,从用户终端的通讯数据包中读取用户终端的IP地址;生成模块,用于按照预定格式生成用户终端的标识,并建立用户终端的标识与IP地址的映射关系;保存模块,用于将映射关系存入数据库。
[0016]进一步地,该处理装置还包括:第三确定模块,用于在从通讯数据包中读取用户终端请求访问的目标服务器的账号信息之后,在账号信息与预设账号信息不匹配的情况下,确定用户终端发起的访问为非法访问,并将非法访问的信息写入日志。
[0017]采用本发明,在用户访问外网时,根据接收到的用户终端发送的通讯数据包判断该用户终端是否有权限访问外网,在判断出该用户终端有权限访问外网的情况下,从通讯数据包中读取用户终端请求访问的目标服务器的账号信息,若账号信息与用户终端所对应的预设账号信息相匹配,则确定这是一个安全合法的访问,并将通讯数据包发送至目标服务器,从而解决了现有技术中防火墙安全性低的技术问题,实现了提高防火墙的安全性的效果。
【附图说明】
[0018]此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
[0019]图1是根据本发明实施例的通讯数据的处理方法的流程图;
[0020]图2是根据本发明实施例的一种可选的防火墙系统示意图;
[0021]图3是根据本发明实施例的一种可选的处理通讯数据的流程图;以及
[0022]图4是根据本发明实施例的通讯数据的处理装置的示意图。
【具体实施方式】
[0023]为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
[0024]需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
[0025]首先,在对本发明实施例进行描述的过程中出现的部分名词或术语适用于如下解释:
[0026]下一代防火墙:英文全称是Next Generat1n Firewall,简称为NGFW,具有标准的防火墙功能,如网络地址转换、状态检测,还具有VPN和大企业需要的功能,如IPS、AV、行为管理等功能。Palo Alto在推出NGFW的概念的同时,也创新性的提出了三个网络安全检测和控制的维度的元素,并将这三个元素引入NGFW,这三个元素分别为App_ID(即应用标识)、User_ID (即用户标识)、Content_ID (即内容标识)。其中,App_ID用于识别应用,User_ID用于识别用户,而Content_ID用于识别内容。基于这三个维度,可以准确当前数据流量来自哪个用户,是什么应用,以及可以针对不用的应用做深层的内容安全检查、内容过滤、防敏感信息泄露等处理。
[0027]文本传输协议:英文全称File Transfer Protocol,简称FTP,用于Internet上的控制文件的双向传输。同时,它也是一个应用程序,基于不同的操作系统有不同的FTP应用程序,而所有这些应用程序都遵守同一种协议以传输文件。
当前第1页1 2 3 4 
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1