[发明专利]网络安全保护方法、安全服务器和转发设备

说明书

技术领域

本发明涉及网络安全技术领域，具体涉及一种网络安全保护方法、安全 服务器和转发设备。

背景技术

随着互联网的普及，网络上提供的服务越来越多，例如新闻资讯、电子 邮件、网络社区等其它服务，然而网络上也存在一些安全风险，包括木马和 病毒在内的一些恶意程序可以通过网页或电子邮件的形式对网络安全构成威 胁，因此终端在使用这些网络服务时，需要保障终端的网络安全。

现有技术中提供的一些保障网络安全的方法，例如在终端和网络之间设 置防火墙。防火墙对网络发送给终端的每个数据包进行检测，检测手段可以 包括深度数据包检测、畸形包过滤、恶意包检测等，防火墙在检测到这些数 据包存在安全威胁数据时，丢弃这些数据包，从而保障终端的网络安全。

发明人在研究现有技术的过程中发现，现有的防火墙技术在检测数据包 时只能检测到数据包静态内容，例如防火墙检测到单个数据包内容安全，但 几个这种安全的数据包内容组合生成有害消息，防火墙则无法检测到威胁， 从而无法对终端提供可靠的安全保障。

发明内容

本发明提供一种可以从终端的角度对数据包进行处理，从而验证数据包 的安全性的网络安全保护方法、安全服务器以及网络设备。

本发明实施例提供的网络安全保护方法，包括：接收服务数据，加载与 服务数据对应的网络服务；判断网络服务是否满足预置的安全规则；在该网 络服务不满足安全规则时，清除该服务数据中存在安全威胁的数据；在清除 存在安全威胁的数据成功后，将清除存在安全威胁的数据后的安全服务数据 发送给转发设备。

本发明实施例还提供一种网络安全保护方法，该方法包括：接收终端发 送的网络访问请求，将网络访问请求的源地址修改为安全服务器的地址；向 网络服务器转发修改后的网络访问请求；接收网络服务器返回的服务数据， 向安全服务器转发服务数据，以便于安全服务器对服务数据进行安全验证并 返回安全验证结果；接收安全服务器发送的安全验证结果；若该安全验证结 果为安全服务数据，则向终端发送安全服务数据。

本发明实施例还提供一种安全服务器，该安全服务器包括：服务数据处 理单元，用于接收服务数据，加载与服务数据对应的网络服务；安全验证单 元，用于判断网络服务是否满足预置的安全规则；威胁清除单元，用于在网 络服务不满足安全规则时，清除服务数据中存在安全威胁的数据；安全数据 发送单元，用于在威胁清除单元清除存在安全威胁的数据成功后，将清除后 的安全服务数据发送给转发设备。

本发明实施例还提供一种转发设备，该转发设备包括：访问请求接收单 元，用于接收终端发送的网络访问请求；访问请求转发单元，用于将网络访 问请求的源地址修改为安全服务器的地址，向网络服务器转发修改后的网络 访问请求；服务数据接收单元，用于接收网络服务器返回的服务数据；服务 数据转发单元，用于向安全服务器转发服务数据，以便于安全服务器对服务 数据进行安全验证并返回安全验证结果；验证结果接收单元，用于接收安全 服务器发送的安全验证结果；第一处理单元，用于在接收到的安全验证结果 为安全服务数据时，向终端发送安全服务数据。

在本发明实施例中，安全服务器通过在本地加载服务数据对应的网络服 务，可以准确判断网络服务是否满足预置的安全规则，并且在不满足预置的 安全规则的情况下清除服务数据中存在安全威胁的数据，从而避免终端接收 到存在安全威胁的数据。与现有技术相比，本发明实施例可以从终端的角度 来判断网络服务中是否携带存在安全威胁的数据，检测的是数据包所对应的 网络服务的安全性，而不是检测单个数据包的安全性，并且由于安全服务器 的资源和技术优势，使得安全服务器可以迅速准确地判断服务数据的安全性， 从而避免终端受到安全威胁，提高安全性。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中 所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本 发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性 的前提下，还可以根据这些附图获得其他的附图。

图1是本发明实施例提供的网络安全保护方法第一实施例的流程图；

图2是本发明实施例判断网络服务是否满足预置的安全规则的方法流程 图；

图3是本发明实施例提供的处理清除安全威胁数据失败的服务数据的方 法流程图；