[发明专利]一种DMZ区网络防护的装置及方法

说明书

技术领域

本发明涉及网络准入和入侵领域，尤其涉及一种DMZ区网络防护的装置及方法。

背景技术

随着互联网的快速发展，互联网已经成为人们生活、工作中必不可少的一部分。人们访问网络的方式由电脑终端渐渐转变成手持终端为主。在大型企业中，DMZ区中各个服务器通过Web服务器与互联网服务器建立的TCP协议访问互联网；各个外部终端和内部终端通过互联网访问企业DMZ区中服务器数据。在这种访问互联网的方式下，内网之外的其他终端或者服务器可以通过攻击获取到Web服务器的权限，然后以该Web服务器为桥梁，入侵DMZ区中任何其他服务器或设备，或者通过弱密码、暴力破解或ARP欺骗等式入侵内网的终端、服务器。现在技术解决内网入侵的方式是在内网中部署防火墙或者杀毒软件，防止内网之外的终端、服务器入侵处于内网的终端、服务器。然而，上述解决内网入侵的方式存在如下缺陷：

1.防火墙无法对弱密码、暴力破解或ARP欺骗进行有效的检测和防护；

2．部署的杀毒软件无法解决基于端口和应用漏洞的入侵问题，且已有的“免杀”技术能够有效的绕过杀毒软件的查杀，达到入侵内网终端、服务器的目的。

因此，现有技术有待于改进。

发明内容

本发明为了解决现有技术的不足，提供一种DMZ区网络防护的装置及方法，旨在实现准确、有效的对DMZ区的入侵进行检测，提高DMZ区入侵防范的准确率，进而有效避免DMZ区入侵。

为解决上述技术问题，本发明实施例提供的一种DMZ区网络防护的装置及方法，采用如下技术方案：

一种DMZ区网络防护的装置，其特征在于，包括：

准入模块，用于设置内网设备对DMZ区设备的访问权限；

记录模块，用于实时或者定时记录内网设备及外网设备访问DMZ区设备的访问特征；

生成模块，用于每隔一个预设时间，提取一次所述预设时间内记录的访问特征，并根据提取的访问特征，生成对应的合法DMZ区访问参数；

响应模块，用于在有内网设备或外网设备访问DMZ区设备的访问请求不满足生成的合法DMZ区访问参数时，确定所述访问请求为非法请求并拒绝响应该DMZ区访问请求。

具体地，还包括存储模块，用于获取该DMZ区访问请求的相关信息并保存。

具体地，所述生成模块还用于获取所有保存的，确定为非法请求的相关信息，生成非法请求报表。

具体地，还包括处理模块，用于当接收到用户发出的合法DMZ区访问参数的设置指令时，保存所述参数设置指令对应的合法DMZ区访问参数。

具体地，所述处理模块还用于当接收到用户发出的合法DMZ区访问参数的修改指令时，根据接收到的修改指令对对应的合法DMZ区访问参数进行修改。

一种DMZ区网络防护的方法，其特征在于，包括如下步骤：

实时或者定时记录内网设备对DMZ区的访问特征，及外网设备访问DMZ区的访问特征；每隔一个预设时间，提取一次所述预设时间内记录的访问特征，并根据提取的访问特征，生成对应的合法DMZ区访问参数；在有内网设备，或外网设备访问DMZ区设备的访问请求不满足生成的合法DMZ区访问参数时，确定所述访问请求为非法请求并拒绝响应该DMZ区访问请求。

具体地，所述在有内网设备，或外网设备访问DMZ区设备的访问请求不满足生成的合法DMZ区访问参数时，确定所述访问请求为非法请求并拒绝响应该DMZ区访问请求的步骤还包括获取该DMZ区访问请求的相关信息并保存。

具体地，该方法还包括：获取所有保存的，确定为非法请求的相关信息，生成网络非法请求报表。

具体地，该方法还包括：当接收到用户发出的合法DMZ区访问参数的设置指令时，保存所述参数设置指令对应的合法DMZ区访问参数。

具体地，该方法还包括：当接收到用户发出的合法DMZ区访问参数的修改指令时，根据接收到的修改指令对对应的合法DMZ区访问参数进行修改。