本申请涉及安全技术领域,特别是涉及一种安全防护方法、装置、设备及存储介质。
背景技术:
随着计算机技术和网络技术的快速发展,网络给人们的生活和工作带来了很多便利,网络的应用范围越来越广泛。但与此同时,恶意访问者也给网络带来了很多安全风险。在企事业单位中,多会通过部署防火墙应对网络威胁,对业务系统及整体网络进行安全防护。
那么,如何进行有效地安全防护,是目前本领域技术人员亟需解决的技术问题。
技术实现要素:
本申请的目的是提供一种安全防护方法、装置、设备及存储介质,以有效地对业务系统及整体网络进行安全防护,提高安全性。
为解决上述技术问题,本申请提供如下技术方案:
一种安全防护方法,应用于防火墙,所述安全防护方法包括:
获得待检测的目标流量;
如果所述目标流量的访问标识在通过可信身份认证平台预先获得的可信映射关系中,则基于所述可信映射关系,确定与所述访问标识对应的用户标识,通过基于身份配置的安全控制策略对所述目标流量进行安全检测,得到第一检测结果;
根据所述第一检测结果,确定是否放通所述目标流量。
在本申请的一种具体实施方式中,还包括:
如果所述目标流量的访问标识不在所述可信映射关系中,则通过基于五元组配置的安全控制策略对所述目标流量进行安全检测,得到第二检测结果;
相应地,所述根据所述第一检测结果,确定是否放通所述目标流量,包括:
根据所述第一检测结果或者所述第二检测结果,确定是否放通所述目标流量。
在本申请的一种具体实施方式中,所述可信映射关系的获取过程为:
接收所述可信身份认证平台发送的基于用户的用户标识和访问标识建立的可信映射关系。
在本申请的一种具体实施方式中,还包括:
在检测到可疑流量的情况下,发送包括访问标识的通知信息至所述可信身份认证平台,所述通知信息用于指示所述可信身份认证平台推送待确认信息至所述可疑流量的发起方;
根据接收到的所述可信身份认证平台根据所述发起方对所述待确认信息的确认结果反馈的信息,确定是否放通所述可疑流量。
一种安全防护方法,应用于可信身份认证平台,所述安全防护方法包括:
接收用户发送的可信认证请求;
若对所述可信认证请求认证通过,则发送基于用户标识和访问标识所建立的可信映射关系至防火墙,以使所述防火墙基于所述可信映射关系对待检测的目标流量进行安全检测。
在本申请的一种具体实施方式中,还包括:
若接收到所述防火墙发送的包括访问标识的通知信息,则根据所述访问标识对应的用户标识,推送待确认信息至可疑流量的发起方,其中,所述通知信息为所述防火墙在检测到可疑流量时,指示所述可信身份认证平台推送所述待确认信息至所述可疑流量的发起方的信息;
根据所述发起方对所述待确认信息的确认结果,反馈信息至所述防火墙。
在本申请的一种具体实施方式中,所述推送待确认信息至可疑流量的发起方,包括:
将待确认信息封装在安全链接中,推送给可疑流量的发起方。
在本申请的一种具体实施方式中,所述待确认信息一次有效。
一种安全防护装置,应用于防火墙,所述安全防护装置包括:
目标流量获得模块,用于获得待检测的目标流量;
安全检测模块,用于在所述目标流量的访问标识在通过可信身份认证平台预先获得的可信映射关系中的情况下,基于所述可信映射关系,确定与所述访问标识对应的用户标识,通过基于身份配置的安全控制策略对所述目标流量进行安全检测,得到第一检测结果;
目标流量处理模块,用于根据所述第一检测结果,确定是否放通所述目标流量。
一种安全防护装置,应用于可信身份认证平台,所述安全防护装置包括:
可信认证请求接收模块,用于接收用户发送的可信认证请求;
可信映射关系发送模块,用于若对所述可信认证请求认证通过,则发送基于用户标识和访问标识所建立的可信映射关系至防火墙,以使所述防火墙基于所述可信映射关系对待检测的目标流量进行安全检测。
一种安全防护设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现上述任一项所述的安全防护方法的步骤。
一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述任一项所述的安全防护方法的步骤。
应用本申请实施例所提供的技术方案,在获得待检测的目标流量后,确定目标流量的访问标识是否在通过可信身份认证平台预先获得的可信映射关系中。如果目标流量的访问标识在可信映射关系中,则基于可信映射关系,确定与访问标识对应的用户标识,并通过基于身份配置的安全控制策略对目标流量进行安全检测,得到第一检测结果。根据第一检测结果,可以确定是否放通目标流量。通过可信映射关系及基于身份配置的安全控制策略的相结合,可以提高对目标流量安全检测的准确性,有效地对业务系统及整体网络进行安全防护,提高安全性。
另外,可信身份认证平台在接收到用户发送的可信认证请求后,对可信认证请求进行认证,如果认证通过,则发送基于用户标识和访问标识所建立的映射关系至防火墙,以使防火墙基于可信映射关系对待检测的目标流量进行安全检测。可信身份认证平台建立的可信映射关系,对于防火墙对待检测的目标流量的安全检测提供了重要依据,可以提高对目标流量安全检测的准确性,有效地对业务系统及整体网络进行安全防护,提高安全性。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例中一种安全防护方法的实施流程图;
图2为本申请实施例中一种安全防护具体过程示意图;
图3为本申请实施例中另一种安全防护具体过程示意图;
图4为本申请实施例中另一种安全防护方法的实施流程图;
图5为本申请实施例中与图1对应的一种安全防护装置的结构示意图;
图6为本申请实施例中与图4对应的一种安全防护装置的结构示意图;
图7为本申请实施例中一种安全防护设备的结构示意图。
具体实施方式
本申请的核心是提供一种安全防护方法,该方法可以应用于安全防护系统中的防火墙。
安全防护系统中可以包含部署在多个位置的防火墙,如部署在网络出入口的防火墙,该防火墙可以对外连行为、可疑地址访问等产生的流量进行安全检测,再如部署在特定系统,如核心资产与系统之前的防火墙,该防火墙可以对上传代码、数据库操作等产生的流量进行安全检测。本申请实施例所提供的技术方案可以应用于任意一个防火墙。
防火墙内可以部署基于身份配置的安全控制策略。防火墙在获得待检测的目标流量后,确定目标流量的访问标识是否在通过可信身份认证平台预先获得的可信映射关系中。如果目标流量的访问标识在可信映射关系中,则可以基于可信映射关系,确定与访问标识对应的用户标识,然后通过基于身份配置的安全控制策略对目标流量进行安全检测,得到第一检测结果。根据第一检测结果,可以确定是否放通目标流量。通过可信映射关系及基于身份配置的安全控制策略的相结合,可以提高对目标流量安全检测的准确性,有效地对业务系统及整体网络进行安全防护,提高安全性。
为了使本技术领域的人员更好地理解本申请方案,下面结合附图和具体实施方式对本申请作进一步的详细说明。显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
参见图1所示,为本申请实施例中一种安全防护方法的实施流程图,该方法可以包括以下步骤:
s110:获得待检测的目标流量。
防火墙可以对经过防火墙的流量进行安全检测,确定是否放通。
待检测的目标流量可以为经过防火墙的任意一个流量。或者,如果防火墙内部署有黑白名单,则待检测的目标流量还可以为经过防火墙的,与黑白名单均不匹配的任意一个流量。
获得待检测的目标流量后,可以继续执行后续步骤的操作。
s120:如果目标流量的访问标识在通过可信身份认证平台预先获得的可信映射关系中,则基于可信映射关系,确定与访问标识对应的用户标识,通过基于身份配置的安全控制策略对目标流量进行安全检测,得到第一检测结果。
其中,可信映射关系的获取过程为:接收可信身份认证平台发送的基于用户的用户标识和访问标识建立的可信映射关系。
在本申请实施例中,用户在有访问需求时,可以先通过可信身份认证平台(idtrust)对用户进行可信认证。可信身份认证平台在接收到用户的可信认证请求时,可以根据设定规则对用户进行可信认证,如果认证通过,则可以基于用户的用户标识和访问标识建立可信映射关系。用户标识可以唯一标识一个用户,如用户id,访问标识可以是ip(internetprotocol,网际互连协议)等。
在本申请的一种具体实施方式中,可信认证请求可以为用户在要进行特权操作时向可信身份认证平台发出的。
可信身份认证平台可以作为portal(门户网站)服务器对所有经过三层交换机的流量进行认证,还可以接管vpn(virtualprivatenetwork,虚拟专用网络)或者桌面云的认证,或者要求用户在要进行特权操作时主动访问可信身份认证平台的地址进行认证。
特权操作可以是系统管理、更改等操作,如基于rdp(remotedesktopprotocol,远程桌面协议)、ssh(secureshell,安全外壳协议)等协议的操作,或者上传代码、数据库操作等。
可信身份认证平台在对用户认证通过后,可以将可信映射关系发送给每个防火墙。具体的,可以通过认证转发接口通知防火墙相应的可信映射关系。这样防火墙即可获得已经过可信身份认证平台认证通过的用户的用户标识和访问标识的可信映射关系。认证转发接口可以应用认证转发协议,即用于同步网络地址与用户身份关联性的接口协议。
防火墙获得待检测的目标流量后,可以在预先获得的可信映射关系中查找目标流量的访问标识,如果可以查找到,则表明目标流量的访问标识在可信映射关系中,如果未查找到,则表明目标流量的访问标识不在可信映射关系中。
如果目标流量的访问标识在可信映射关系中,则可以基于可信映射关系,确定与访问标识对应的用户标识,并通过基于身份配置的安全控制策略对目标流量进行安全检测,得到第一检测结果。
基于身份配置的安全控制策略可以基于用户标识、角色、部门等进行配置。基于身份配置的安全控制策略可以包括基于身份的acl(accesscontrollists,访问控制列表)策略和允许特权操作的安全策略等。基于身份配置的安全控制策略更易于管理,对于临时开通的策略,因为可以关联到用户身份,所以可以有针对性地对其进行回收,相较于无法关联到用户身份的策略,可以降低管理难度。
通过目标流量的访问标识可以在可信映射关系中得到与目标流量的访问标识对应的用户标识,即具有映射关系的用户标识,从而根据该用户标识,可以与基于身份配置的安全控制策略进行匹配,对目标流量进行安全检测,得到第一检测结果。
s130:根据第一检测结果,确定是否放通目标流量。
在目标流量的访问标识在可信映射关系中的情况下,通过基于身份配置的安全控制策略对目标流量进行安全检测,得到第一检测结果,进一步可以根据第一检测结果,确定是否放通目标流量。
如果确定放通,则执行相应的放通操作,否则,可以拦截目标流量,或者将目标流量的相关信息上报给安全处理平台,以由技术人员进行判断,以减少对业务系统或者整体网络的危害。
应用本申请实施例所提供的方法,在获得待检测的目标流量后,确定目标流量的访问标识是否在通过可信身份认证平台预先获得的可信映射关系中。如果目标流量的访问标识在可信映射关系中,则基于可信映射关系,确定与访问标识对应的用户标识,并通过基于身份配置的安全控制策略对目标流量进行安全检测,得到第一检测结果。根据第一检测结果,可以确定是否放通目标流量。通过可信映射关系及基于身份配置的安全控制策略的相结合,可以提高对目标流量安全检测的准确性,有效地对业务系统及整体网络进行安全防护,提高安全性。
另外,通过基于身份配置的安全控制策略对目标流量进行安全检测,因为可以对应到用户身份,所以可以减少ip冒用的风险,进一步提高安全性。
在本申请的一个实施例中,该方法还可以包括以下步骤:
如果目标流量的访问标识不在可信映射关系中,则通过基于五元组配置的安全控制策略对目标流量进行安全检测,得到第二检测结果;
相应地,根据第一检测结果,确定是否放通目标流量,包括以下步骤:
根据第一检测结果或者第二检测结果,确定是否放通目标流量。
在实际应用中,当可信身份认证平台对用户的可信认证未通过时,将不会发送相应的可信映射关系给防火墙,在这种情况下,防火墙获得的该用户发出的目标流量的访问标识不在可信映射关系中。另外,根据实际配置,在用户有访问需求但不需要先通过可信身份认证平台进行可信认证的情况下,防火墙也不会通过可信身份认证平台得到该用户对应的可信映射关系,在这种情况下,防火墙获得的该用户的目标流量的访问标识也不在可信映射关系中。
如果目标流量的访问标识不在可信映射关系中,则可以通过基于五元组配置的安全控制策略对目标流量进行安全检测,得到第二检测结果。
五元组具体可以包括源ip、源端口、目的ip、目的端口和协议号。
基于五元组配置的安全控制策略可以包括基于五元组的acl策略和不允许特权操作的安全策略等。
可以将目标流量的源ip、源端口、目的ip、目的端口、协议号等与基于五元组配置的安全控制策略进行匹配,对目标流量进行安全检测,得到第二检测结果。
也就是说,在目标流量的访问标识在可信映射关系中的情况下,通过基于身份配置的安全控制策略对目标流量进行安全检测,得到第一检测结果,进一步可以根据第一检测结果,确定是否放通目标流量。
在目标流量的访问标识不在可信映射关系中的情况下,通过基于五元组配置的安全控制策略对目标流量进行安全检测,得到第二检测结果,进一步可以根据第二检测结果,确定是否放通目标流量。
根据第一检测结果或者第二检测结果,确定是否放通目标流量,如果确定放通,则执行放通操作,否则,可以拦截目标流量,或者将目标流量的相关信息上报给安全处理平台,以由技术人员进行判断。减少对业务系统或者整体网络的危害。
本申请实施例的每个防火墙中均部署有基于身份配置的安全控制策略和基于五元组配置的安全控制策略,对于待检测的目标流量,根据目标流量的访问标识是否在可信映射关系中,确定基于哪种安全控制策略对目标流量进行安全检测,具有较好的灵活性,基于不同特征配置的安全控制策略可以对目标流量进行有效地安全检测,可以提高网络安全性。
为便于理解,以图2所示的安全防护具体过程为例对本申请实施例所提供的技术方案进行说明。
该安全防护具体过程主要包括三个步骤:
1)、身份认证。特权用户要进行特权操作,如要访问核心资产与系统时,先向可信身份认证平台发送可信认证请求,进行身份认证。
2)、可信映射关系发送。可信身份认证平台接收到可信认证请求,对用户认证通过后,基于用户标识和访问标识建立可信映射关系,发送给防火墙,这里包括防火墙1和防火墙2,防火墙1是部署在网络出入口的防火墙,可以对外连行为、可疑地址访问等进行检测,防火墙2是部署在核心资产与系统之前的防火墙,如waf(webapplicationfirewall,web应用防火墙),可以对基于rdp、ssh协议的操作、上传代码、数据库操作等进行检测。
3)、放通访问。防火墙确定待检测的流量的访问标识在可信映射关系中,通过基于身份配置的安全控制策略对相应流量进行安全检测,根据检测结果,如果确定放通该流量,则执行放通操作,如放通特权用户对核心资产与系统的访问。
在该安全防护具体过程中,每个防火墙中均部署有基于身份配置的安全控制策略,可信身份认证平台可以对用户访问行为中任意一环节进行统一可信认证,将认证通过的用户的访问标识与用户标识的可信映射关系通过认证转发接口通知防火墙,防火墙会将相应访问标识的流量自动匹配到与其对应的用户标识相关的安全控制策略,进行安全检测。
如果可信身份认证平台对用户认证未通过,则不会建立可信映射关系,防火墙无法获得可信映射关系,可以基于五元组配置的安全控制策略对相应流量进行安全检测,并根据检测结果,确定是否放通相应流量。如外网攻击者的访问流量经过防火墙,防火墙可以通过基于五元组配置的安全控制策略对该访问流量进行安全检测,在确定存在威胁的情况下,可以拦截该访问流量,或者将该访问流量上报给安全处理平台。如果对外网攻击者的访问流量没有识别到威胁,使其控制了肉机,要通过肉机访问核心资产与系统进行特权操作,但是因为肉机在访问核心资产与系统时,需要先通过可信身份认证平台进行可信认证,如果认证不通过,防火墙将不会得到相应的可信映射关系,对于特权操作的行为将会拦截,这样可以阻断外网攻击者的威胁。
在本申请的一个实施例中,该方法还可以包括以下步骤:
步骤一:在检测到可疑流量的情况下,发送包括访问标识的通知信息至可信身份认证平台,通知信息用于指示可信身份认证平台推送待确认信息至可疑流量的发起方;
步骤二:根据接收到的可信身份认证平台根据发起方对待确认信息的确认结果反馈的信息,确定是否放通可疑流量。
为便于描述,将上述步骤结合起来进行说明。
在本申请实施例中,防火墙对经过自身的流量进行安全检测,通过预先部署的安全控制策略无法确定是否放通时,可以将这样的流量确定为可疑流量。在检测到可疑流量的情况下,可以获得可疑流量的访问标识,如源ip,还可以获得可疑流量的其他相关信息,如协议、目标系统信息等。然后将包括访问标识的通知信息发送至可信身份认证平台,通知信息中还可以包括可疑流量的其他相关信息。具体的,可以通过风险与威胁转发协议通知可信身份认证平台。通知信息用于指示可信身份认证平台推送待确认信息至可疑流量的发起方。
可信身份认证平台接收到通知信息,可以得到可疑流量的访问标识和其他相关信息,如源ip、协议、目标系统信息等信息,可以生成待确认信息,如确定是否访问目标系统等信息。根据访问标识对应的用户标识,可以将待确认信息按照设定推送方式将其推送给可疑流量的发起方。
具体的,待确认信息可以通过可信身份认证平台封装在安全链接中推送给可疑流量的发起方,以保证待确认信息的安全性。
推送方式可以包括手机号推送方式、邮箱推送方式、聊天账号推送方式中的至少一种。手机号、邮箱、聊天账号等可以由用户预先指定。用户还可以指定其他可接收信息的平台。
发起方获得待确认信息后,可以对待确认信息进行确认,如果可疑流量确实是本人发出的,则可以给出确定的确认结果,如果可疑流量并非本人发出,则可以给出否定的确认结果。
具体的,确认结果可以为,发起方在确认页面中对待确认信息的选择结果,待确认信息一次有效。即发起方可以通过点击安全链接,到达确认页面,在确认页面中对待确认信息进行确定或否定的选择。待确认信息一次有效,当再次点击相同的安全链接到达确认页面时,确认页面中可以不再展现待确认信息,或者不提供相应的选择按钮,以避免非法用户使用。
可信身份认证平台可以根据发起方对待确认信息的确认结果反馈信息给防火墙,防火墙基于可信身份认证平台反馈的信息,可以确定是否放通可疑流量。如果确定放通,则可以执行放通操作,否则,可以拦截可疑流量,或者将其上报给安全处理平台。
本申请实施例对于灰度风险事件进行二次确认,可以有效避免因为误判而影响正常业务流量的情况的发生,兼顾了安全性与稳定性。
为便于理解,以图3所示的安全防护具体过程为例对本申请实施例所提供的技术方案进行说明。
该安全防护具体过程主要包括四个步骤:
1)、可疑流量通知。防火墙在检测到可疑流量时,通知可信身份认证平台。这里包括防火墙1和防火墙2,防火墙1是部署在网络出入口的防火墙,可以将疑似非法外连、可疑地址访问等流量确定为可疑流量,防火墙2是部署在核心资产与系统之前的防火墙,如waf,可以将疑似注入行为、疑似恶意代码、疑似爆破等流量确定为可疑流量。
2)、待确认信息推送。可信身份认证平台将待确认信息按照设定推送方式推送给可疑流量的发起方,如特权用户。
3)、结果反馈。可信身份认证平台接收到发起方对待确认信息的确认结果后,转发给防火墙,进行结果反馈。
4)、决定是否放通。防火墙根据发起方的确认结果,确定是否放通可疑流量。
在该安全防护具体过程中,防火墙可以通过风险事件接收接口,结合可信身份认证平台通过认证转发接口通知的访问标识与用户标识的可信映射关系,确定可疑流量,将灰度风险事件通知给可信身份认证平台,要求可疑流量的源地址对应的用户进行二次确认,可信身份认证平台完成二次确认后返回给防火墙相应结果,防火墙再根据二次确认结果确定是否放通可疑流量。
这种二次确认的方式相较于相关技术中直接对灰度风险事件进行处置或者将灰度风险事件全部上报给运维人员的方式,可以减少误报率,减少运维人员的工作量,提高对灰度风险事件的处理效率,兼顾安全性和业务平稳性。
参见图4所示,为本申请实施例所提供的另一种安全防护方法的实施流程图,该方法可以应用于可信身份认证平台,该方法可以包括以下步骤:
s410:接收用户发送的可信认证请求;
s420:若对可信认证请求认证通过,则发送基于用户标识和访问标识所建立的可信映射关系至防火墙,以使防火墙基于可信映射关系对待检测的目标流量进行安全检测。
为便于描述,将上述两个步骤结合起来进行说明。
在本申请实施例中,用户在有访问需求时,可以先通过可信身份认证平台对用户进行可信认证。可信身份认证平台在接收到用户的可信认证请求时,可以根据设定规则对用户进行可信认证,如果认证通过,则可以基于用户的用户标识和访问标识建立可信映射关系,并将可信映射关系发送给防火墙。具体的,可以通过认证转发接口通知防火墙相应的可信映射关系。这样防火墙即可获得已经过可信身份认证平台认证通过的用户的用户标识和访问标识的可信映射关系。认证转发接口可以应用认证转发协议,即用于同步网络地址与用户身份关联性的接口协议。
防火墙在获得待检测的目标流量后,可以基于可信映射关系对目标流量进行安全检测。具体的,防火墙可以在预先获得的可信映射关系中查找目标流量的访问标识,如果可以查找到,则表明目标流量的访问标识在可信映射关系中,如果未查找到,则表明目标流量的访问标识不在可信映射关系中。如果目标流量的访问标识在可信映射关系中,则可以基于可信映射关系,确定与访问标识对应的用户标识,并通过基于身份配置的安全控制策略对目标流量进行安全检测。如果目标流量的访问标识不在可信映射关系中,则可以通过基于五元组配置的安全控制策略对目标流量进行安全检测。然后基于检测结果,确定是否放通目标流量。
应用本申请实施例所提供的方法,可信身份认证平台在接收到用户发送的可信认证请求后,对可信认证请求进行认证,如果认证通过,则发送基于用户标识和访问标识所建立的映射关系至防火墙,以使防火墙基于可信映射关系对待检测的目标流量进行安全检测。可信身份认证平台建立的可信映射关系,对于防火墙对待检测的目标流量的安全检测提供了重要依据,可以提高对目标流量安全检测的准确性,有效地对业务系统及整体网络进行安全防护,提高安全性。
在本申请的一个实施例中,该方法还可以包括以下步骤:
步骤一:若接收到防火墙发送的包括访问标识的通知信息,则根据访问标识对应的用户标识,推送待确认信息至可疑流量的发起方,其中,通知信息为防火墙在检测到可疑流量时,指示可信身份认证平台推送待确认信息至可疑流量的发起方的信息;
步骤二:根据发起方对待确认信息的确认结果,反馈信息至防火墙。
为便于描述,将上述两个步骤结合起来进行说明。
在本申请实施例中,防火墙对经过自身的流量进行安全检测,通过预先部署的安全控制策略无法确定是否放通时,可以将这样的流量确定为可疑流量。在检测到可疑流量的情况下,可以获得可疑流量的访问标识,如源ip,还可以获得可疑流量的其他相关信息,如协议、目标系统信息等。然后将包括访问标识的通知信息发送至可信身份认证平台,通知信息中还可以包括可疑流量的其他相关信息。具体的,可以通过风险与威胁转发协议通知可信身份认证平台。通知信息用于指示可信身份认证平台推送待确认信息至可疑流量的发起方。
可信身份认证平台接收到防火墙发送的通知信息,可以得到可疑流量的访问标识和其他相关信息,如源ip、协议、目标系统信息等信息,可以生成待确认信息,如确定是否访问目标系统等信息。根据访问标识对应的用户标识,可以将待确认信息按照设定推送方式将其推送给可疑流量的发起方。具体的,将待确认信息封装在安全链接中,推送给可疑流量的发起方,以保证待确认信息的安全性。
发起方获得待确认信息后,可以对待确认信息进行确认,如果可疑流量确实是本人发出的,则可以给出确定的确认结果,如果可疑流量并非本人发出,则可以给出否定的确认结果。根据发起方对待确认信息的确认结果,可以反馈信息至防火墙,以使防火墙确定是否放通可疑流量。如果确定放通,则可以执行放通操作,否则,可以拦截可疑流量,或者将其上报给安全处理平台。
待确认信息一次有效,以避免非法用户使用。
本申请实施例对于灰度风险事件进行二次确认,可以有效避免因为误判而影响正常业务流量的情况的发生,兼顾了安全性与稳定性。
相应于上面图1所示的方法实施例,本申请实施例还提供了一种安全防护装置,应用于防火墙,下文描述的安全防护装置与上文描述的安全防护方法可相互对应参照。
参见图5所示,该安全防护装置500可以包括以下模块:
目标流量获得模块510,用于获得待检测的目标流量;
安全检测模块520,用于在目标流量的访问标识在通过可信身份认证平台预先获得的可信映射关系中的情况下,基于可信映射关系,确定与访问标识对应的用户标识,通过基于身份配置的安全控制策略对目标流量进行安全检测,得到第一检测结果;
目标流量处理模块530,用于根据第一检测结果,确定是否放通目标流量。
应用本申请实施例所提供的装置,在获得待检测的目标流量后,确定目标流量的访问标识是否在通过可信身份认证平台预先获得的可信映射关系中。如果目标流量的访问标识在可信映射关系中,则基于可信映射关系,确定与访问标识对应的用户标识,并通过基于身份配置的安全控制策略对目标流量进行安全检测,得到第一检测结果。根据第一检测结果,可以确定是否放通目标流量。通过可信映射关系及基于身份配置的安全控制策略的相结合,可以提高对目标流量安全检测的准确性,有效地对业务系统及整体网络进行安全防护,提高安全性。
在本申请的一种具体实施方式中,安全检测模块520,还用于:
在目标流量的访问标识不在可信映射关系中的情况下,通过基于五元组配置的安全控制策略对目标流量进行安全检测,得到第二检测结果;
目标流量处理模块530,用于根据第一检测结果或者第二检测结果,确定是否放通目标流量。
在本申请的一种具体实施方式中,还包括可信映射关系获取模块,用于:
接收可信身份认证平台发送的基于用户的用户标识和访问标识建立的可信映射关系。
在本申请的一种具体实施方式中,还包括可疑流量处理模块,用于:
在检测到可疑流量的情况下,发送包括访问标识的通知信息至可信身份认证平台,通知信息用于指示可信身份认证平台推送待确认信息至可疑流量的发起方;
根据接收到的可信身份认证平台根据发起方对待确认信息的确认结果反馈的信息,确定是否放通可疑流量。
相应于上面图4所示的方法实施例,本申请实施例还提供了一种安全防护装置,应用于可信身份认证平台,下文描述的安全防护装置与上文描述的安全防护方法可相互对应参照。
参见图6所示,该安全防护装置600可以包括以下模块:
可信认证请求接收模块610,用于接收用户发送的可信认证请求;
可信映射关系发送模块620,用于若对可信认证请求认证通过,则发送基于用户标识和访问标识所建立的可信映射关系至防火墙,以使防火墙基于可信映射关系对待检测的目标流量进行安全检测。
应用本申请实施例所提供的装置,可信身份认证平台在接收到用户发送的可信认证请求后,对可信认证请求进行认证,如果认证通过,则发送基于用户标识和访问标识所建立的映射关系至防火墙,以使防火墙基于可信映射关系对待检测的目标流量进行安全检测。可信身份认证平台建立的可信映射关系,对于防火墙对待检测的目标流量的安全检测提供了重要依据,可以提高对目标流量安全检测的准确性,有效地对业务系统及整体网络进行安全防护,提高安全性。
在本申请的一种具体实施方式中,该装置还包括可疑流量信息确认模块,用于:
若接收到防火墙发送的包括访问标识的通知信息,则根据访问标识对应的用户标识,推送待确认信息至可疑流量的发起方,其中,通知信息为防火墙在检测到可疑流量时,指示可信身份认证平台推送待确认信息至可疑流量的发起方的信息;
根据发起方对待确认信息的确认结果,反馈信息至防火墙。
在本申请的一种具体实施方式中,可疑流量信息确认模块,用于:
将待确认信息封装在安全链接中,推送给可疑流量的发起方。
可疑流量信息确认模块,待确认信息一次有效。
相应于上面的方法实施例,本申请实施例还提供了一种安全防护设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行计算机程序时实现上述安全防护方法的步骤。
如图7所示,为安全防护设备的组成结构示意图,安全防护设备可以包括:处理器10、存储器11、通信接口12和通信总线13。处理器10、存储器11、通信接口12均通过通信总线13完成相互间的通信。
在本申请实施例中,处理器10可以为中央处理器(centralprocessingunit,cpu)、特定应用集成电路、数字信号处理器、现场可编程门阵列或者其他可编程逻辑器件等。
处理器10可以调用存储器11中存储的程序,具体的,处理器10可以执行安全防护方法的实施例中的操作。
存储器11中用于存放一个或者一个以上程序,程序可以包括程序代码,程序代码包括计算机操作指令,在本申请实施例中,存储器11中至少存储有用于实现以下功能的程序:
获得待检测的目标流量;
如果目标流量的访问标识在通过可信身份认证平台预先获得的可信映射关系中,则基于可信映射关系,确定与访问标识对应的用户标识,通过基于身份配置的安全控制策略对目标流量进行安全检测,得到第一检测结果;
根据第一检测结果,确定是否放通目标流量;
和/或,
接收用户发送的可信认证请求;
若对可信认证请求认证通过,则发送基于用户标识和访问标识所建立的可信映射关系至防火墙,以使防火墙基于可信映射关系对待检测的目标流量进行安全检测。
在一种可能的实现方式中,存储器11可包括存储程序区和存储数据区,其中,存储程序区可存储操作系统,以及至少一个功能(比如流量监测功能、信息交互功能)所需的应用程序等;存储数据区可存储使用过程中所创建的数据,如流量监测数据、策略匹配数据等。
此外,存储器11可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件或其他易失性固态存储器件。
通信接口12可以为通信模块的接口,用于与其他设备或者系统连接。
当然,需要说明的是,图7所示的结构并不构成对本申请实施例中安全防护设备的限定,在实际应用中安全防护设备可以包括比图7所示的更多或更少的部件,或者组合某些部件。
相应于上面的方法实施例,本申请实施例还提供了一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现上述安全防护方法的步骤。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(ram)、内存、只读存储器(rom)、电可编程rom、电可擦除可编程rom、寄存器、硬盘、可移动磁盘、cd-rom、或技术领域内所公知的任意其它形式的存储介质中。
本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的技术方案及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请权利要求的保护范围内。
1.一种安全防护方法,其特征在于,应用于防火墙,所述安全防护方法包括:
获得待检测的目标流量;
如果所述目标流量的访问标识在通过可信身份认证平台预先获得的可信映射关系中,则基于所述可信映射关系,确定与所述访问标识对应的用户标识,通过基于身份配置的安全控制策略对所述目标流量进行安全检测,得到第一检测结果;
根据所述第一检测结果,确定是否放通所述目标流量。
2.根据权利要求1所述的安全防护方法,其特征在于,还包括:
如果所述目标流量的访问标识不在所述可信映射关系中,则通过基于五元组配置的安全控制策略对所述目标流量进行安全检测,得到第二检测结果;
相应地,所述根据所述第一检测结果,确定是否放通所述目标流量,包括:
根据所述第一检测结果或者所述第二检测结果,确定是否放通所述目标流量。
3.根据权利要求1所述的安全防护方法,其特征在于,所述可信映射关系的获取过程为:
接收所述可信身份认证平台发送的基于用户的用户标识和访问标识建立的可信映射关系。
4.根据权利要求1至3之中任一项所述的安全防护方法,其特征在于,还包括:
在检测到可疑流量的情况下,发送包括访问标识的通知信息至所述可信身份认证平台,所述通知信息用于指示所述可信身份认证平台推送待确认信息至所述可疑流量的发起方;
根据接收到的所述可信身份认证平台根据所述发起方对所述待确认信息的确认结果反馈的信息,确定是否放通所述可疑流量。
5.一种安全防护方法,其特征在于,应用于可信身份认证平台,所述安全防护方法包括:
接收用户发送的可信认证请求;
若对所述可信认证请求认证通过,则发送基于用户标识和访问标识所建立的可信映射关系至防火墙,以使所述防火墙基于所述可信映射关系对待检测的目标流量进行安全检测。
6.根据权利要求5所述的安全防护方法,其特征在于,还包括:
若接收到所述防火墙发送的包括访问标识的通知信息,则根据所述访问标识对应的用户标识,推送待确认信息至可疑流量的发起方,其中,所述通知信息为所述防火墙在检测到可疑流量时,指示所述可信身份认证平台推送所述待确认信息至所述可疑流量的发起方的信息;
根据所述发起方对所述待确认信息的确认结果,反馈信息至所述防火墙。
7.根据权利要求6所述的安全防护方法,其特征在于,所述推送待确认信息至可疑流量的发起方,包括:
将待确认信息封装在安全链接中,推送给可疑流量的发起方。
8.根据权利要求5-7之中任一项所述的安全防护方法,其特征在于,所述待确认信息一次有效。
9.一种安全防护装置,其特征在于,应用于防火墙,所述安全防护装置包括:
目标流量获得模块,用于获得待检测的目标流量;
安全检测模块,用于在所述目标流量的访问标识在通过可信身份认证平台预先获得的可信映射关系中的情况下,基于所述可信映射关系,确定与所述访问标识对应的用户标识,通过基于身份配置的安全控制策略对所述目标流量进行安全检测,得到第一检测结果;
目标流量处理模块,用于根据所述第一检测结果,确定是否放通所述目标流量。
10.一种安全防护装置,其特征在于,应用于可信身份认证平台,所述安全防护装置包括:
可信认证请求接收模块,用于接收用户发送的可信认证请求;
可信映射关系发送模块,用于若对所述可信认证请求认证通过,则发送基于用户标识和访问标识所建立的可信映射关系至防火墙,以使所述防火墙基于所述可信映射关系对待检测的目标流量进行安全检测。
11.一种安全防护设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至8任一项所述的安全防护方法的步骤。
12.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至8任一项所述的安全防护方法的步骤。
技术总结