[发明专利]面向网闸的安全防护方法、装置及网络系统

说明书

本发明涉及了一种面向网闸的安全防护方法、装置及网络系统，该安全防护方法包括：截取网络终端发送给网闸的网络数据包；对所述网络数据包进行安全检查，并判断是否通过安全检查；若是，则将安全检查后的网络数据包发送至网闸；若否，则中止所述网络数据包的传送。实施本发明的技术方案，增强网闸的访问控制安全，且不占用网闸的计算、存储资源，也不会改变原网络架构和部署方式，可以直接集成在已有网络中，无需更换网闸，节约成本。

技术领域

本发明涉及信息安全领域，尤其涉及一种面向网闸的安全防护方法、装置及网络系统。

背景技术

网闸旨在解决安全隔离下的信息可控交换等问题，以实现两个断开网络间的信息摆渡，构建信息可控交换“安全岛”，所以在政府、军队、电力等领域有着广泛的应用。目前，网闸可以满足内部网络用户与外部的文件交换、收发邮件、单向浏览、数据库交换等的要求。在当前的使用环境中，网闸往往作为网络安全设备，以网络安全服务的提供者身份参与网络通信活动。但事实上，网闸自身即是安全服务提供者，也是网络中一个固定终端节点，与其他网络终端一样也可能成为恶意攻击者的目标。甚至由于其特殊地位和作用，攻击者会投入更多精力研究网闸的攻击方法。这对该问题，现有方案多是在网闸中集成安全防护功能，但更换网闸会带来高额的成本支出，而且这种方式无法解决现有网闸的安全防护问题。所以，如何在已使用网闸的网络中增强对网闸的安全防护，仍是本领域技术人员亟待解决的问题。

发明内容

本发明要解决的技术问题在于，针对现有技术存在的网闸易遭到恶意攻击的缺陷，提供一种面向网闸的安全防护方法、装置及网络系统。

本发明解决其技术问题所采用的技术方案是：构造一种面向网闸的安全防护方法，包括：

截取网络终端发送给网闸的网络数据包；

对所述网络数据包进行安全检查，并判断是否通过安全检查；

若是，则将安全检查后的网络数据包发送至网闸；

若否，则中止所述网络数据包的传送。

优选地，还包括：

在安全检查未通过时，将安全检查结果上报给网管。

优选地，对所述网络数据包进行安全检查，包括：

对发送所述网络数据包的网络终端进行身份验证；和/或，

对所述网络数据包的协议进行检查。

优选地，对发送所述网络数据包的网络终端进行身份验证，包括：

获取所述网络数据包的源IP地址，并判断所述源IP地址是否在预设的IP地址授权列表中；和/或，

对发送所述网络数据包的网络终端的签名信息进行验证。

优选地，对所述网络数据包的协议进行检查包括：

获取所述网络数据包的协议类型，并判断所述协议类型是否在预设的合法协议列表中；

若在预设的合法协议列表中，则对所述协议的格式及内容进行合规检查。

优选地，还包括：

判断所述网络数据包中是否存在特定应用层协议的数据；

若不存在，则将所述网络数据包发送至网闸

若存在，则提取所述网络数据包中的应用层数据，并根据预设的信息隐藏规则，在所述应用层数据中嵌入随机生成的干扰数据，且将添加了所述干扰数据后的网络数据包发送至网闸。

本发明还构造一种面向网闸的安全防护装置，设置在网络终端与网闸之间，包括：

网络接口模块，用于截取网络终端发送给网闸的网络数据包；