[发明专利]Linux网络访问控制方法及装置

说明书

技术领域

本发明涉及信息安全技术领域，特别是涉及一种Linux网络访问控制方法及装置。

背景技术

随着互联网应用的普及与发展，互联网中存在的各种不安全因素也越来越多，尤其在设置了内部网络的大型网络中，如何控制对外部网络的访问，保证内部网络的安全，是信息安全技术领域的重要课题。目前，Linux下常用的进行网络访问控制的方法包括iptables和netfilter。如果Linux系统连接到互联网的服务器或代理服务器，iptables有利于在Linux系统上更好的控制IP信息包过滤和防火墙配置。iptables组件是一种工具，也称为用户空间，它使插入、修改和除去信息包过滤表中的规则变得容易；netfilter组件也称为内核空间，是内核的一部分，由一些信息包过滤表组成，这些表包含内核用来控制信息包过滤处理的规则集。现有的针对Linux系统下的网络访问控制的方法，基本上基于对iptables的二次开发和包装，基于网络五元组(协议号，源IP，源端口，目的IP和目的端口)，并且针对所有使用Linux系统的程序统一控制网络访问，无法针对应用程序对Linux系统网络访问进行控制。

发明内容

基于此，有必要针对无法针对应用程序对Linux系统网络访问进行控制的问题，提供一种Linux网络访问控制方法，所述方法包括：

接收应用程序的运行命令，并获取应用程序的标识；

加载预设的劫持函数库和动态库；

运行所述应用程序并识别所述应用程序中的网络访问函数；

根据所述操作函数和所述应用程序的标识查找所述劫持函数库，所述劫持函数库包括所述网络访问函数、所述应用程序的标识和劫持函数之间的对应关系，若查找到与所述网络访问函数和所述应用程序的标识对应的劫持函数，则运行所述劫持函数，并根据所述劫持函数的运行结果判断是否调用所述动态库中的网络访问函数。

在其中一个实施例中，所述劫持函数库的绝对路径保存在后台入口文件中。

在其中一个实施例中，所述根据所述劫持函数的运行结果判断是否禁止执行所述网络访问函数，包括：

获取所述网络访问函数中的网络信息；

根据所述网络信息，调用外部服务程序，并根据所述外部服务程序的运行结果判断是否禁止执行所述网络访问函数。

在其中一个实施例中，所述调用外部服务程序，包括：

查找预设的控制网络库；

所述根据所述网络信息，调用外部服务程序，并根据所述外部服务程序的运行结果判断是否禁止执行所述网络访问函数，包括：

根据所述网络信息，查找预设的控制网络库，若预设的控制网络库的查找结果为禁止执行所述网络访问函数，则不执行所述网络访问函数；

若预设的控制网络库的查找结果为不禁止执行所述网络访问函数，则调用所述动态库中的网络访问函数。

在其中一个实施例中，所述方法还包括：

若预设的控制网络库的查找结果为不禁止执行所述网络访问函数且监控所述网络访问函数，则调用所述动态库中的网络访问函数，并对所述网络访问函数进行监控。

本发明所提供的Linux网络访问控制方法，能够在Linux系统中针对不同的应用程序劫持所述应用程序的网络访问函数，并根据所述劫持函数的运行结果判断是否对网络访问进行控制，提高网络访问控制的灵活性。

在其中一个实施例中，本发明所提供的Linux网络访问控制方法，能够通过外部服务程序对需要进行控制的应用程序进行定义及维护，提供了灵活方便的针对Linux系统网络访问的控制。

本发明还提供一种Linux网络访问控制装置，包括：

应用程序接收模块，用于接收应用程序的运行命令，并获取应用程序的标识；

函数加载模块，用于加载预设的劫持函数库和动态库；

函数识别模块，用于运行所述应用程序并识别所述应用程序中的网络访问函数；

访问控制模块，用于根据所述操作函数和所述应用程序的标识查找所述劫持函数库，所述劫持函数库包括所述网络访问函数、所述应用程序的标识和劫持函数之间的对应关系，若查找到与所述网络访问函数和所述应用程序的标识对应的劫持函数，则运行所述劫持函数，并根据所述劫持函数的运行结果判断是否调用所述动态库中的网络访问函数。

在其中一个实施例中，函数加载模块，用于加载预设的劫持函数库，且所述劫持函数库的绝对路径保存在后台入口文件中。

在其中一个实施例中，所述访问控制模块，包括：