[发明专利]一种使用黑名单控制网络访问的系统和方法

说明书

技术领域

本发明涉及网络安全技术，具体的说是一种使用黑名单控制网络访问的系统和方法。

背景技术

随着信息技术的飞速发展，计算机网络得到了广泛应用。但是，随着网络之间信息传输量的急剧增长，一些机构和部门在得益于网络加快业务运作的同时，其网上数据数据也遭到不同程序的攻击和破坏。攻击者不仅可以窃听网络上的信息，窃取用户的口令、数据库的信息，还可以恶意篡改数据库内容，伪造用户身份，否认自己的签名。更有甚者，攻击者可能删除数据库内容，摧毁网络节点，释放计算机病毒等等，给用户的网络数据的安全性，以及用户自身利益造成严重威胁。

目前，很多网络系统都存在着某一种或某些漏洞，这些漏洞有可能是系统自身引起的，如windowsnt、unix等都有数量不等的漏洞，也有可能是网管疏忽造成的。黑客利用这些漏洞就能完成密码探测、系统入侵等攻击，严重影响到系统的正常运行以及系统数据的安全性。对于系统自身引起的漏洞，通常采用安装软件补丁来补救。但是，对于网管疏忽造成的漏洞，目前还没有很好的解决措施，因此在网管方面急需开发有效控制网络访问的方法，来避免漏洞的产生，提高网络数据的安全性。

发明内容

本发明针对目前技术发展的需求和不足之处，提供一种使用黑名单控制网络访问的方法。

本发明所述一种使用黑名单控制网络访问的系统和方法，解决上述技术问题采用的技术方案如下：所述使用黑名单控制网络访问的方法，包括：

步骤1）设置网络访问的黑名单，形成黑名单列表；

步骤2）检测操作系统网络访问连接，判断网络访问连接为出站还是入站；

若网络访问连接为出站，则进入步骤3）；若网络访问连接为入站，则进入步骤4）。

步骤3），判断目的IP地址、目的端口、网络协议与黑名单列表中出站规则是否匹配；

步骤4）判断源IP地址、源端口、目的端口、网络协议与黑名单列表中入站规则是否匹配；

进一步，所设置网络访问的黑名单包括：

网络连接类型，包括入站和出站；

协议类型，包括TCP、UDP，单选或多选；

源IP地址：发送网络数据包的IP地址或地址段；选项包括：任何IP地址、指定IP地址、指定IP地址子网、指定IP地址范围；

源端口：发送网络数据包的TCP、UDP端口，选项包括：任何端口和指定端口；

目的IP地址：接收网络数据包的IP地址或地址段，选项包括：任何IP地址、指定IP地址、指定IP地址子网、指定IP地址范围；

目的端口：接收网络数据包的TCP、UDP端口，选项包括：任何端口和指定端口。

进一步，所述使用黑名单控制网络访问的方法，还包括将页面中设置的黑名单记录到数据库的步骤。

进一步，若网络访问连接为出站，将目的IP地址、目的端口、网络协议与黑名单列表中出站规则进行匹配，若匹配成功，则不允许连接；若任一字段匹配失败，则允许连接；

若网络访问连接为入站，将源IP地址、源端口、目的端口、网络协议与黑名单列表中入站规则进行匹配，若匹配成功，则不允许连接；若任一字段匹配失败，则允许连接。

进一步，所述使用黑名单控制网络访问的方法，还包括将网络连接结果记录日志的步骤；

记录的日志内容包括：时间、协议类型（TCP、UDP、TCP/UDP）、连接类型（入站、出站）、源IP地址、目的IP地址、源端口、目的端口及操作结果（成功、失败）。

本发明还提出了一种使用黑名单控制网络访问的系统，包括：

设置模块，用于设置网络访问的黑名单，形成黑名单列表；

判断模块，用于检测操作系统网络访问连接，判断网络访问连接为出站还是入站；若网络访问连接为出站，则判断模块连接第一匹配模块；若网络访问连接为入站，则判断模块连接第二匹配模块；

第一匹配模块，用于判断目的IP地址、目的端口、网络协议与黑名单列表中出站规则是否匹配；

第二匹配模块，用于判断源IP地址、源端口、目的端口、网络协议与黑名单列表中入站规则是否匹配；

进一步，通过第一匹配模块，将目的IP地址、目的端口、网络协议与黑名单列表中出站规则进行匹配，若匹配成功，则不允许连接；若任一字段匹配失败，则允许连接；

通过第二匹配模块，将源IP地址、源端口、目的端口、网络协议与黑名单列表中入站规则进行匹配，若匹配成功，则不允许连接；若任一字段匹配失败，则允许连接。