1.本公开涉及信息安全领域,尤其涉及一种安全防御的方法和网络安全设备。
背景技术:2.随着网络信息化的发展,基于web服务的应用越来越多,其安全性也越来越受到人们重视。一旦web服务器遭到攻击,不仅无法提供正常服务,而且内部信息也会泄露。
3.web服务器也称为www(world wide web)服务器,主要功能是提供网上信息浏览服务。www是internet的多媒体信息查询工具,是发展最快和目前用的最广泛的服务。当web浏览器(客户端)连到web服务器上并请求文件时,web服务器将处理该请求并将文件发送到该浏览器上,附带的信息会告诉浏览器如何查看该文件(即文件类型)。web服务器不仅能够存储信息,还可以让用户通过web浏览器提供的信息的基础上运行脚本和程序。
4.由于web服务器为各种各样的客户端提供服务,用户也是各种各样的,使得这些应用系统直接的暴漏在了一个不安全的网络环境中,web服务器无时无刻不受到安全威胁,这些威胁主要包括拒绝服务、分布式拒绝服务、sql注入攻击以及跨站脚本攻击。由于政府类网站、金融类网站、教育类网站在百度、 google、搜狗等互联网搜索引擎中都普遍有较高的网站排名权重,黑客可通过在这些网站的网页中插入非法链接或网站挂马手段骗取客户的个人相关信息,从而换取较高的经济利益价值。
技术实现要素:5.为了提高网络安全,本公开实施例提供了一种安全防御的方法和网络安全设备。
6.本公开实施例提供了一种安全防御的方法,该方法包括:
7.构建安全防御模型,所述安全防御模型包括两个或两个以上安全防御功能;
8.利用所述安全防御模型对网络设备进行安全防御。
9.其中,所述构建安全防御模型,包括:
10.确定构建安全防御模型的防御层级,每个防御层级至少包括一种安全防御功能。
11.所述方法还包括:
12.构建安全防御功能库,所述安全防御功能库中至少包括:抗ddos攻击、网络访问控制、入侵防御检测、http攻击防范、网页防篡改。
13.所述确定构建安全防御模型的防御层级,每个防御层级至少包括一种安全防御功能,包括:
14.根据确定的构建安全防御模型的防御层级个数,从所述防御功能库中获取对应数量的目标安全防御功能,并按照防御层级顺序使能目标安全防御功能。
15.通过上述方法,可以有效提高网络安全。
16.本公开实施例还提供了一种网络安全设备,所述网络安全设备包括:
17.构建模块,用于构建安全防御模型,所述安全防御模型包括两个或两个以上安全防御功能;
18.处理模块,用于利用所述安全防御模型对网络设备进行安全防御。
19.所述构建模块,具体用于确定构建安全防御模型的防御层级,每个防御层级至少包括一种安全防御功能。
20.所述构建模块,还用于构建安全防御功能库,所述安全防御功能库中至少包括:抗ddos攻击、网络访问控制、入侵防御检测、http攻击防范、网页防篡改。
21.根据确定的构建安全防御模型的防御层级个数,从所述防御功能库中获取对应数量的目标安全防御功能,并按照防御层级顺序使能目标安全防御功能。
22.本公开实施例还提供了一种网络安全设备,该网络安全设备包括:处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序,所述程序被所述处理器执行时实现上述任一方法步骤。
23.本公开实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述任一方法步骤。
附图说明
24.此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本说明书的实施例,并与说明书一起用于解释本说明书的原理。
25.图1为本公开实施例提供的一种安全防御的方法的流程示意图。
具体实施方式
26.这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本说明书相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本说明书的一些方面相一致的装置和方法的例子。
27.在本说明书使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本说明书。在本说明书和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
28.应当理解,尽管在本说明书可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本说明书范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在
……
时”或“当
……
时”或“响应于确定”。
29.在传统的web服务器安全防护方案中,会将web服务器部署在dmz区中,网络边界部署防火墙、漏洞扫描和入侵防御产品,通过在防火墙上配置区域间访问控制的方式来对网络报文进行过滤,配合入侵防御设备对流量进行病毒防御和攻击脚本防御,依靠漏洞扫描去发现网站的漏洞并及时修补。
30.在上述技术中存在无法阻挡应用层攻击以及缺乏整体性的全局观的问题,例如,对于web服务器来讲,http层的漏洞利用和攻击成为黑客的主流手段。传统的防火墙和入侵防御都无法深入到数据包进行针对性的安全检查和过滤。各个安全措施独立工作,没有形
成合力,所采用的安全解决方案也无法最大程度的发挥作用。
31.为解决上述技术问题,本公开实施例提供了一种安全防御的方法,设计了一种基于多层防御的web服务器安全防护方案,通过该方案,用户可以结合当时的安全态势评分、安全资源使用情况、安全防护要求进行安全策略选择和适配,通过多种专业安全措施在web服务器与互联网用户/恶意用户之间建立多层安全防线,从而提高web服务器的防御能力。
32.基于上述所述,本公开实施例提供了一种安全防御的方法,如图1所示,该方法包括:
33.s101构建安全防御模型,所述安全防御模型包括两个或两个以上安全防御功能;
34.s102利用所述安全防御模型对网络设备进行安全防御。
35.在本实施例中,安全防御模型可以包括多个防御层级,例如可以包括两级至五级的防御层级。
36.在实现步骤s101中,管理者可先确定安全防御模型的防御层级,其中,每个防御层级至少包括一种安全防御功能。
37.其中,本实施例中的安全防御功能可以为目前或未来涉及的安全防御功能,例如,抗ddos攻击、网络访问控制、入侵防御检测、http攻击防范、网页防篡改。
38.抗ddos攻击,该安全防御功能主要用于防御黑客向web服务器发起的ddos攻击(拒绝服务攻击),可将ddos流量进行有效卸载,对synflood、udpflood、udpdnsqueryflood、(m)streamflood、icmpflood、httpgetflood以及连接耗尽这些常见的攻击行为能够有效识别,并通过集成的机制实时对这些攻击流量进行阻断,从而有效保护web服务器。
39.网络访问控制,该安全防御功能主要用于互联网与企业内网之间的网络边界访问控制。web服务器本质上属于企业内网应用,但由于业务对外发布的需求,需要将web服务器暴露于互联网中。通过在该层部署防火墙产品将web服务器对外进行发布,同时做好网络访问控制措施,实现保障web服务器对外公开的同时不影响企业内部网络的安全保障要求。该层能够防止黑客利用不安全的服务对内部网络的攻击,对恶意端口和恶意ip进行访问控制,并且能够实现数据流的监控、过滤、记录和报告功能,较好地隔断内部网络与外部网络的连接。
40.入侵防御检测,该安全防御功能主要用于过滤系统层面的恶意代码过滤。该层集成入侵防御与检测、病毒防护、带宽管理和url过滤等功能,通过深入到7层的分析与检测,实时阻断网络流量中隐藏的病毒、蠕虫、木马、间谍软件、网等攻击和恶意行为,实现对网络应用、网络基础设施和网络性能的全面保护,能够针对异常报文攻击提供有效防护。
41.http攻击防范,该安全防御功能主要用于用户提交给web服务器以及web服务器向用户返回的双方向数据进行检查和过滤。对于用户提交web服务器的数据,该层可以实时发现用户提交数据中的恶意脚本和问题代码/命令。对于web服务器返回给用户的数据可以进行必要的内容过滤,如恶意脚本和代码,httperrorresponse(4xx,5xx等),关键敏感字等,充分保证了用户侧的安全,同时避免了服务器端重要信息的泄露。解决sql注入、跨站脚本、csrf、异常访问、cc攻击等web安全问题。
42.网页防篡改,该安全防御功能主要用于阻止对网页内容的恶意篡改。该层将核心程序直接部署在web服务器上,针对网站文件目录设置访问权限(一般情况下禁止所有进程
修改),实现预先把站点或站点目录文件保护起来,除了指定的合法进程和端口服务之外,禁止其它任何进程和端口访问对保护的目录及文件的所有更改操作,在非法进程开始侵入系统之前就切断其连接,禁止其下一步行为,避免因网页被篡改而造成经济和形象损失。
43.在本实施例中,还可构建安全防御功能库,该安全防御功能库用于存储上述各安全防御功能,该安全防御功能库可以由数据库进行搭建,存储于服务器中。
44.在本实施例中,根据确定的防御层级从安全防御功能库中调取对应数量的安全防御功能(目标安全防御功能)。
45.在一种实施例中,用户可以结合当时的安全态势评分、安全资源使用情况、安全防护要求进行安全策略选择和适配,并且可以按照防御层级顺序使能安全防御功能。
46.通过上述各实施例可以看出,通过构建包含多安全防御功能的安全防御模型,可使用户结合当时的安全态势评分、安全资源使用情况、安全防护要求进行安全策略选择和适配,能够全面覆盖l2-l7的安全威胁,可以在安全事件发生时有效进行拦截和过滤,增加黑客攻击的难度,减小web服务器被攻击的可能性。
47.基于上述各方法实施例,本公开实施例还提供了一种网络安全设备,所述网络安全设备包括:
48.构建模块,用于构建安全防御模型,所述安全防御模型包括两个或两个以上安全防御功能;
49.处理模块,用于利用所述安全防御模型对网络设备进行安全防御。
50.所述构建模块,具体用于确定构建安全防御模型的防御层级,每个防御层级至少包括一种安全防御功能。
51.所述构建模块,还用于构建安全防御功能库,所述安全防御功能库中至少包括:抗ddos攻击、网络访问控制、入侵防御检测、http攻击防范、网页防篡改。
52.根据确定的构建安全防御模型的防御层级个数,从所述防御功能库中获取对应数量的目标安全防御功能,并按照防御层级顺序使能目标安全防御功能。
53.本公开实施例还提供了一种网络安全设备,该网络安全设备包括:处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序,所述程序被所述处理器执行时实现上述任一实施例中的方法步骤。
54.本公开实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述任一实施例中的方法步骤。
55.上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
56.本领域技术人员在考虑说明书及实践这里申请的发明后,将容易想到本说明书的其它实施方案。本说明书旨在涵盖本说明书的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本说明书的一般性原理并包括本说明书未申请的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本说明书的真正范围和精神由下面的权利要求指出。
57.应当理解的是,本说明书并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本说明书的范围仅由所附的权利要求来限制。
58.以上所述仅为本说明书的较佳实施例而已,并不用以限制本说明书,凡在本说明书的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本说明书保护的范围之内。
技术特征:1.一种安全防御的方法,其特征在于,所述方法包括:构建安全防御模型,所述安全防御模型包括两个或两个以上安全防御功能;利用所述安全防御模型对网络设备进行安全防御。2.根据权利要求1所述的方法,其特征在于,所述构建安全防御模型,包括:确定构建安全防御模型的防御层级,每个防御层级至少包括一种安全防御功能。3.根据权利要求2所述的方法,其特征在于,所述方法还包括:构建安全防御功能库,所述安全防御功能库中至少包括:抗ddos攻击、网络访问控制、入侵防御检测、http攻击防范、网页防篡改。4.根据权利要求3所述的方法,其特征在于,所述确定构建安全防御模型的防御层级,每个防御层级至少包括一种安全防御功能,包括:根据确定的构建安全防御模型的防御层级个数,从所述防御功能库中获取对应数量的目标安全防御功能,并按照防御层级顺序使能目标安全防御功能。5.一种网络安全设备,其特征在于,所述网络安全设备包括:构建模块,用于构建安全防御模型,所述安全防御模型包括两个或两个以上安全防御功能;处理模块,用于利用所述安全防御模型对网络设备进行安全防御。6.根据权利要求5所述的网络安全设备,其特征在于,所述构建模块,具体用于确定构建安全防御模型的防御层级,每个防御层级至少包括一种安全防御功能。7.根据权利要求5所述的网络安全设备,其特征在于,所述构建模块,还用于构建安全防御功能库,所述安全防御功能库中至少包括:抗ddos攻击、网络访问控制、入侵防御检测、http攻击防范、网页防篡改。8.根据权利要求7所述的网络安全设备,其特征在于,根据确定的构建安全防御模型的防御层级个数,从所述防御功能库中获取对应数量的目标安全防御功能,并按照防御层级顺序使能目标安全防御功能。9.一种网络安全设备,其特征在于,该网络安全设备包括:处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序,所述程序被所述处理器执行时实现如权利要求1至4任一项所述的方法的步骤。10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至4任一项所述的方法的步骤。
技术总结本说明书提供一种安全防御的方法和网络安全设备,该方法包括:构建安全防御模型,所述安全防御模型包括两个或两个以上安全防御功能,利用所述安全防御模型对网络设备进行安全防御。通过该方法可以有效提高网络安全。通过该方法可以有效提高网络安全。通过该方法可以有效提高网络安全。
技术研发人员:顾成杰
受保护的技术使用者:新华三信息安全技术有限公司
技术研发日:2022.03.23
技术公布日:2022/7/5
