[发明专利]面向网闸的安全防护方法、装置及网络系统

权利要求书

1.一种面向网闸的安全防护方法，其特征在于，包括：

截取网络终端发送给网闸的网络数据包；

对所述网络数据包进行安全检查，并判断是否通过安全检查；

若是，则将安全检查后的网络数据包发送至网闸；

若否，则中止所述网络数据包的传送；

对所述网络数据包进行安全检查：

判断所述网络数据包中是否存在特定应用层协议的数据；

若不存在，则将所述网络数据包发送至网闸

若存在，则提取所述网络数据包中的应用层数据，并根据预设的信息隐藏规则，在所述应用层数据中嵌入随机生成的干扰数据，且将添加了所述干扰数据后的网络数据包发送至网闸。

2.根据权利要求1所述的面向网闸的安全防护方法，其特征在于，还包括：

在安全检查未通过时，将安全检查结果上报给网管。

3.根据权利要求1或2所述的面向网闸的安全防护方法，其特征在于，对所述网络数据包进行安全检查，包括：

对发送所述网络数据包的网络终端进行身份验证。

4.根据权利要求3所述的面向网闸的安全防护方法，其特征在于，对发送所述网络数据包的网络终端进行身份验证，包括：

获取所述网络数据包的源IP地址，并判断所述源IP地址是否在预设的IP地址授权列表中；和/或，

对发送所述网络数据包的网络终端的签名信息进行验证。

5.根据权利要求3所述的面向网闸的安全防护方法，其特征在于，对所述网络数据包的协议进行检查包括：

获取所述网络数据包的协议类型，并判断所述协议类型是否在预设的合法协议列表中；

若在预设的合法协议列表中，则对所述协议的格式及内容进行合规检查。

6.一种面向网闸的安全防护装置，设置在网络终端与网闸之间，其特征在于，包括：

网络接口模块，用于截取网络终端发送给网闸的网络数据包；

安全防护模块，用于对所述网络数据包进行安全检查；

网闸接口模块，用于在安全检查通过时，将安全检查后的网络数据包发送至网闸；在安全检查未通过时，中止所述网络数据包的传送；

协议解析单元，用于对所述网络数据包的协议进行检查；

所述安全防护模块还包括隐信道干扰单元，而且，

所述协议解析单元，还判断所述网络数据包中是否存在特定应用层协议的数据，并在存在时，提取所述网络数据包中的应用层数据，并将其发送至所述隐信道干扰模块；

所述隐信道干扰单元，用于根据预设的信息隐藏规则，在所述应用层数据中嵌入随机生成的干扰数据，且将添加了所述干扰数据后的网络数据包发送至网闸。

7.根据权利要求6所述的面向网闸的安全防护装置，其特征在于，还包括：

上报模块，用于在安全检查未通过时，将安全检查结果上报给网管。

8.根据权利要求6或7所述的面向网闸的安全防护装置，其特征在于，所述安全防护模块包括：

身份验证单元，用于对发送所述网络数据包的网络终端进行身份验证。

9.根据权利要求8所述的面向网闸的安全防护装置，其特征在于，所述身份验证单元包括：

IP验证子单元，用于获取所述网络数据包的源IP地址，并判断所述源IP地址是否在预设的IP地址授权列表中；和/或，

签名验证子单元，用于对发送所述网络数据包的网络终端的签名信息进行验证。

10.根据权利要求8所述的面向网闸的安全防护装置，其特征在于，所述协议解析单元包括：

类型判断子单元，用于获取所述网络数据包的协议类型，并判断所述协议类型是否在预设的合法协议列表中；

合规检查子单元，用于在预设的合法协议列表中时，对所述协议的格式及内容进行合规检查。