[发明专利]ONVIF应用系统中的安全防护方法及防火墙设备

说明书

本发明公开了一种ONVIF应用系统中的安全防护方法及防火墙设备，应用于基于ONVIF应用系统的防火墙设备，所述安全防护方法基于ONVIF发现流程发现网络中的NVT设备具备动态规则配置能力，向发现的NVT设备发送获取访问规则消息，接收NVT设备的响应消息，从响应消息中获取NVT设备具有的访问规则，配置获取的访问规则，并根据配置的访问规则进行安全防护。所述防火墙设备包括发现模块、规则获取模块和规则应用模块。本发明的方法和防火墙设备，降低了防火墙设备对硬件的要求，实现访问规则的动态更新，应用针对性强，硬件开销小。

技术领域

本发明属于防火墙技术领域，尤其涉及一种ONVIF应用系统中的安全防护方法及防火墙设备。

背景技术

视频监控是安全防范系统的重要组成部分，视频监控以其直观、准确、及时和信息内容丰富而广泛应用于许多场合。近年来，随着计算机、网络以及图像处理、传输技术的飞速发展，视频监控的普及化趋势越来越明显，越来越多的监控业务被连接到了互联网上。与此同时，由于越来越多的设备暴露在互联网上，用户面临安全的风险也日益增大，用户对设备本身的安全以及防火墙的安全要求日益增强。

现有技术中一般采用的智能防火墙，都是通过捕获接收到的数据包或用户执行的应用程序的进程，并根据防火墙设置的规则来进行拦截，需要对所有业务进行应用层状态解析。由于需要解析所有应用层数据，对运算量要求高，从而提高了防火墙设备硬件的要求。且目前网络应用更新日新月异，防火墙需要不断的更新才能满足安全防护的需求。最终防火墙的规则不断膨胀，系统硬件要求也越来越高，企业或个人对于防火墙设备的投入水涨船高，只能大企业才能承受较高的费用。

发明内容

本发明的目的是提供一种ONVIF应用系统中的安全防护方法及防火墙设备，由NVT设备检测到攻击后通知防火墙(NVC)动态更新访问规则，或防火墙遇到可疑的访问，向NVT设备发起查询以判断是否合法，从而避免现有技术中由防火墙对所有业务进行应用层状态解析，降低了防火墙设备对硬件的要求。

为了实现上述目的，本发明技术方案如下：

一种ONVIF应用系统中的安全防护方法，应用于基于ONVIF应用系统的防火墙设备，所述安全防护方法包括：

基于ONVIF发现流程发现网络中的NVT设备具备动态规则配置能力；

向发现的NVT设备发送获取访问规则消息，接收NVT设备的响应消息，从响应消息中获取NVT设备具有的访问规则；

配置获取的访问规则，并根据配置的访问规则进行安全防护。

进一步地，所述安全防护方法还包括：

接收NVT设备检测到攻击时发出的事件告警，向该NVT设备发送获取访问规则消息，接收该NVT设备的响应消息，从响应消息中获取该NVT设备针对攻击所生成的访问规则，配置获取的访问规则，并根据配置的访问规则进行安全防护。

进一步地，所述安全防护方法还包括：

在检测到具有设定的可疑特征的访问时，携带该访问的访问报文向该访问对应的NVT设备发起确认请求，以便对应的NVT解析确认请求中的访问报文，根据自身业务判断是否是异常攻击，如果是则返回访问规则；

接收对应的NVT设备返回的访问规则进行配置，并根据配置的访问规则进行安全防护。

进一步地，所述安全防护方法还包括：

在检测到具有设定的可疑特征的访问时，携带该访问的访问报文向该访问对应的NVT设备发起确认请求，以便NVT返回该访问的合法特征；

根据NVT返回的该访问的合法特征，判断该访问是否合法，丢弃非法的访问报文并屏蔽访问源。