[发明专利]网络安全防护方法、网元设备、系统及计算机存储介质

说明书

本发明公开了一种网络安全防护方法、网元设备、系统及计算机存储介质，其中，在MEC设备的出口侧设置子隔离区(DMZ)，至少一个子DMZ、EPC后端的总DMZ、及与总DMZ连接的DMZ管理平台构成分布式的网络安全架构；所述方法包括：对数据流进行监控；当监测到所述数据流会导致网络安全风险的监控信息时，向总DMZ上报所述监控信息；主动切断所述数据流，结束用户通信。

技术领域

本发明涉及防护技术，尤其涉及一种网络安全防护方法、网元设备、系统及计算机存储介质。

背景技术

现有的网络中，以LTE网络架构为例，为了确保网络安全，如图1所示的一个网络架构中，每个省级网络的出口处存在一个隔离区(DMZ，Demilitarized Zone)。DMZ网络的特性是保护内网不受到外部网络的攻击，其中在内网出口处，DMZ存在网络地址转换(NAT，NetworkAddressTranslation)转化，将内网的地址转换为隔离区的一个地址，同时在防火墙处再次通过NAT转换为外部的网络，从而对内网进行了保护。该DMZ功能是：监听网络信息，并主动终止非法的信息传递。

目前MEC设备部署在S1口上，当用户发起数据请求，若是本地业务请求，则请求数据直接本地路由转发，若非本地业务，则将数据直接上传到EPC，正常进入外部网络。其中在EPC后端的DMZ域是隔离区，是外网和内网的一个缓冲区，保证了内网的安全性，但是，网络加入了MEC后，该处提供了一个本地路由转发的功能，该处没有任何保护措施，内网容易暴露于外网，存在较大的安全隐患。

采用现有技术存在的问题是：对于MEC设备而言，当前并没有针对MEC设备入网所提供的安全性保护措施，MEC设备的出口侧无法主动切断存在安全隐患的通信，同时，网络加入了MEC设备后，该设备提供了一个外网访问内网的端口，容易受到来自外网的攻击，存在较大安全风险。

发明内容

有鉴于此，本发明实施例希望提供一种网络安全防护方法、网元设备、系统及计算机存储介质，至少解决了现有技术存在的问题。

本发明实施例的技术方案是这样实现的：

本发明实施例的一种网络安全防护方法，在MEC设备的出口侧设置子隔离区DMZ，至少一个子DMZ、EPC后端的总DMZ、及与总DMZ连接的DMZ管理平台构成分布式的网络安全架构；所述方法包括：

对数据流进行监控；

当监测到所述数据流会导致网络安全风险的监控信息时，向总DMZ上报所述监控信息；

主动切断所述数据流，结束用户通信。

上述方案中，所述对数据流进行监控，包括：

对内网的MEC数据流、和/或内网与外网通信的外网数据流进行监控，得到网络端口信息；

将所述网络端口信息确定为待监控信息。

上述方案中，所述对数据流进行监控，包括：

对内网的MEC数据流、和/或内网与外网通信的外网数据流进行监控，对数据流中表征用户信息的数据包进行解析，提取出符合特征的关键字；

所述关键字用于记录用户的访问信息参数；

将所述访问信息参数确定为待监控信息。

上述方案中，当监测到所述数据流会导致网络安全风险的监控信息时，向总DMZ上报所述监控信息，包括：

当监测到所述待监控信息为导致网络安全风险的监控信息时，将所述监控信息实时上报给所述总DMZ；或者，

当监测到所述待监控信息为导致网络安全风险的监控信息时，将所述监控信息周期性上报给所述总DMZ；或者，