[发明专利]支持强制访问控制的全双工防火墙防护方法

说明书

本发明实施例公开一种支持强制访问控制的全双工防火墙防护方法。该方法包括：S1、全双工防火墙是以分布式节点网络形态存在的入侵检测系统；S2、全双工防火墙基于差异化角色权限的业务操作流，塑造“请求操作链、服务响应树”形态存在的内生安全机理规则；S3、全双工防火墙在边界环境和计算环境的层次上，支持全尺度解析下的请求操作检测，完成完整性保护；S4、面向等级化定义的信息资产和系统服务，开展一致性响应检测，完成机密性保护；S5、通过SDN支持对正常/异常网络流量的调度管控，以及对可疑流量实施诱导引流至蜜网陷阱，并形成工作流痕迹下的业务审计取证。

技术领域

本发明涉及本发明属于网络安全领域，特别是涉及一种支持强制访问控制的全双工防火墙防护方法。

背景技术

在交通、政务、能源、金融、通信等重要行业和领域，关键信息基础设施融入其中、控制其内，直接关系到国家命脉，一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生和公共利益。针对关键信息基础设施中复杂网络拓扑、开放融合环境、多元接入终端、海量业务应用和未知漏洞后门等带来的严峻挑战，提出和构建扭转“封堵查杀”被动局面、坚持“可管可控”纵深防御的安全体系，建立风险可控“天网恢恢、疏而不漏”式主动安全的方法和技术，是提升网络、平台、运行环境、软件和数据防御能力的迫切要求。

尤其是在面临以下问题时，安全产品“老三样”中的防火墙更是首当其冲。

1、业务应用纷繁复杂：

受保护网络系统中规模庞大的用户实体、日益繁多的业务类型、渐进复杂的协议流程、愈加隐蔽的攻击方式和不可避免的漏洞隐患，使得过滤判断规则在设置难度与种类数目等方面均呈现出几何级的增长趋势，由此带来的代价开销是传统防火墙无法承受的。

2、防御模式被动受限：

网络行为流量检测，依赖于协议内容解析和公开缺陷特征等先验信息，难以有效应对潜藏威胁行为带来的严峻挑战。网络区域边界防护，局限于应对外网攻击，无法以网络节点为保护对象，最大限度地消除存于内部网络环境中的安全隐患。

3、割裂耦合离散安全：

粗放化方式集成VPN、PKI 、IPSec、防病毒、入侵防御等多种附加功能的防火墙，处于割裂业务耦合关系下的离散安全形态，面对动态性且复合性强的网络攻击，无法根据具体的网络应用环境实施自适应且集约化的联动防御。

发明内容

有鉴于此，本发明解决的技术问题是，提供一种支持强制访问控制的全双工防火墙防护方法，用以解决现有技术中防火墙防御能力薄弱的技术问题。

本发明提出的一种支持强制访问控制的全双工防火墙防护方法，主要包括如下步骤：

S1、全双工防火墙是以分布式节点网络形态存在的入侵检测系统。

S2、全双工防火墙基于差异化角色权限的业务操作流，塑造“请求操作链、服务响应树”形态存在的内生安全机理规则。

S3、全双工防火墙在边界环境和计算环境的层次上，支持全尺度解析下的请求操作检测，完成完整性保护。

S4、面向等级化定义的信息资产和系统服务，开展一致性响应检测，完成机密性保护

S5、通过SDN支持对正常/异常网络流量的调度管控，以及对可疑流量实施诱导引流至蜜网陷阱，并形成工作流痕迹下的业务审计取证。

优选地，步骤S1包含如下子步骤：

1-1、部署在边界域环境中的全双工防火墙既负责业务应用的完整性保护，又负责信息数据的机密性保护。

1-2、部署在边界域环境中的全双工防火墙通过SDN技术对计算环境实施强制访问控制，达到四级等保要求。