[发明专利]一种实现应用层流量监控的防火墙控制方法

说明书

技术领域

本发明涉及数据安全技术领域，特别涉及一种实现应用层流量监控的防火墙控制方法。

背景技术

现有技术均是基于IP(Internet Protocol,网络之间互连的协议)层面对单体用户进行网络的流量控制。由于当前的网络设备是基于IP层的IP五元组对用户和用户行为进行识别，而很少对应用程序进行流量控制。这是因为当前的网络设备无法实现对应用层的业务进行识别。随着下一代网络设备的发展，对业务的分类精度越来越高，基于IP层对用户的识别和用户行为的识别已经远远不能满足要求。以防火墙为例，如果识别出用户和用户行为是安全的，但无法避免此用户的设备被植入木马，以及对其应用层行为进行病毒植入。此时，该用户设备即可以视为一个僵尸设备，该僵尸设备被黑客操控。如果对用户进行用户认证通过和行为通过的情况下，木马在取得通行证的情况下进行病毒散播，则会给大量设备造成安全隐患。

针对上述问题，现有技术主要采用以下两种方式解决：

现有技术一：当前网络对网络用户进行用户身份认证，在用户身份认证通过后，即认为用户是合法用户。对用户的合法身份进行安全行为的准入制度，也就是认为用户是合法的，则其行为也是合法的，对用户的访问操作进行全部放行操作。

现有技术二：对网络用户的行为进行认定，认定其行为合法后，连接通过，则后续其行为的应用也认为是合法的，并认为其合法性在不间断的一段时间内有效。

但是，上述现有技术采用的解决方案存在如下缺陷：当用户通过认证后，即使用户本身的行为是安全的，也不能避免用户的设备被感染成僵尸设备。当用户的设备受到感染时，则会改变其用户的应用特征。对于网络设备而言，用户的认证通过且用户的行为也通过，但用户的应用仍然无法通过时，通常都需要在目的设备上安装杀毒软件来防止此类问题的发生。但如果杀毒软件没有及时更新或者新病毒没有被杀毒软件强杀，则会造成无法防护的问题。

发明内容

本发明的目的是提供一种实现应用层流量监控的防火墙控制方法，该方法通过对用户和应用类别进行认证识别，然后在应用类别的基础上进行安全植入，当发现访问出现异常时，禁止该用户的IP的访问活动，从而避免僵尸设备或者黑客的网络入侵。

本发明的实施例提出一种实现应用层流量监控的防火墙控制方法，包括如下步骤：防火墙在检测到有数据通过时，对所述数据对应的用户进行用户认证，并在认证通过后对所述用户的安全等级权重进行增加操作；

所述防火墙在检测到所述用户进行业务链接时，对所述业务链接进行认证，并在所述业务链接通过后对所述用户的安全等级权重再次进行增加操作；

所述防火墙在检测到所述用户进行应用类别的业务访问时，检测所述业务访问是否正常，如果是，则对所述用户的安全等级权重进一步进行增加操作，否则禁止所述用户的IP的访问动作。

根据本发明的一个方面，所述对用户的安全等级权重进行增加操作，包括：所述防火墙对所述用户的安全等级权重进行加1操作。

根据本发明的另一个方面，所述检测所述业务访问是否正常，包括如下步骤：所述防火墙对所述用户的应用类别的业务进行病毒库扫描，如果扫描未发现病毒，则判断所述业务访问正常，否则判断所述业务访问异常。

根据本发明的又一方面，所述禁止所述用户的IP的访问动作，包括如下步骤：所述防火墙在判断所述业务访问异常时，将所述用户加入黑名单，并对所述黑名单中的用户在第一预设时间内进行阻拦以禁止所述用户的IP的访问动作。

根据本发明的再一方面，所述第一预设时间为24小时。

根据本发明的一个方面，在超过所述第一预设时间后，所述防火墙允许所述黑名单中的用户的IP进行访问。

根据本发明的另一个方面，所述防火墙在检测到所述用户再次访问且所述用户的安全等级权重大于1时，则对所述用户的应用链接每隔预设数量进行一次病毒库扫描，并且在扫描未发现病毒时，对所述用户的安全等级权重进行增加操作。

根据本发明的又一方面，在对所述用户的安全等级权重进行增加操作后，调整所述预设数量。

根据本发明的再一方面，所述预设数量为10个。

根据本发明的一个方面，所述防火墙在检测所述用户在第二预设时间内未执行访问动作时，每隔所述第一预设时间对所述用户的安全等级权重进行减少操作，直至所述用户的安全等级权重为0。

本发明的实现应用层流量监控的防火墙控制方法，先后对用户、业务链接和应用类别进行认证识别，并在认证通过后，对用户的安全等级权重进行动态调整，并且在检测到访问出现异常时，禁止该用户的IP的一切访问动作。