[发明专利]网络反馈主机安全防护方法

权利要求书

1.一种网络反馈主机安全防护方法，由硬件设备和PC终端软 件组成；其特征在于具体步骤如下：

步骤一：策略配置与下达

在审计控制端装有管理软件，方便管理员对内部网络访问外网 的权限进行配置；管理员可对不同的用户登陆ID配置不同的权限， 方便进行分别管理；控制台配置防护规则文件，其中网址的访问控制 列表是基于白名单的，访问控制列表中含有可信域名或可信IP地 址，将该配置文件下达到网络防护硬件；

步骤二：网络防护硬件初始化；

网络防护硬件在接受到配置文件后，对其中用户配置的可信IP 地址添加到访问控制列表中；对其中的可信域名，通过发送DNS数据 包，进行可信域名的DNS解析，获得可信域名对应的可信IP，并把 IP添加到访问控制列表中；

步骤三：监控网络连接，基于步骤一，二中的形成的配置文件， 实现访问控制

(一)若系统中发现有E-mail的收发，则捕获邮件数据包，根据 相关邮件协议对其进行深度解析；将解析出的发信人邮件的地址，收 信人的邮件地址，是否含有附件以及附件文件的格式的相关信息，由 网络硬件防护设备反馈给用户主机，并向用户主机发送核实信息以及 确认是否收发的命令，系统根据用户的反馈命令，决定是否允许该 E-mail的收发；

(二)若系统中发现DNS数据包，则捕获DNS数据包，对其进行 深度解析；将解析出的域名与配置文件的可信域名匹配；

如果匹配成功，则允许该DNS数据包的通过；

如果匹配不成功，网络安全防护硬件将解析DNS获得的目的地 址域名信息反馈给用户主机，询问用户是否访问；若用户回馈否，则 该目的地址禁止访问，禁止该DNS数据包的通过；若用户回馈是，则 将该目的地址的IP和域名添加到配置文件的临时白名单列表，即该 IP相对步骤二中的可信IP为不完全可信IP，系统将其视为临时的白 名单，允许用户按照审计控制台形成的配置文件中已设定的访问控制 策略对其进行受限访问；

(三)对于流经的其他数据包，判断是否是流经于系统与允许访 问的目的地址之间的数据交流，系统与允许访问的目的地址包含配置 文件中的白名单和临时白名单，如果是，按照步骤四进行处理；如果 不是，则禁止其通过；

步骤四：检测所有流经系统与可信地址之间的数据包，对其进行 深度解析，基于设定规则进行包过滤；

对于流经系统与该目的地址之间的数据包，基于配制文件中设定 的过滤规则进行处理，即根据数据包的源地址、目的地址、协议类型， 源端口号、目的端口号，数据包头中的各种标志位以及数据包的流向 来确定是否允许数据包通过；

另外，解析数据包中的应用层协议，对于应用协议中控制连接的 指令包和由外网发向内网的数据包允许通过，而对于从内网发往外网 的数据包进行控制，默认为拒绝发送状态，但可根据用户的配置策略 有选择的转发；

步骤五：网络行为审计

网络防护硬件实时统计用户的网络行为，形成相关的日志，并将 日志发送到审计控制端，该网络行为包括：使用网络的用户，用户使 用网络的时间，用户访问的网站，邮件发送接收情况，进出网络的连 接以及对数据包应用层进行分析的审计信息；

步骤六：完善策略配置，更新配置文件

审计控制端根据相关日志和审计信息，更改用户的访问权限，添 加或删除访问控制列表中的名单，完善策略配置，更新配置文件，并 把新的配置文件下达到网络防护硬件。