專利名稱:一種網(wǎng)絡安全傳輸?shù)姆椒?、裝置及系統(tǒng)的制作方法
技術領域:
本發(fā)明涉及通信領域的網(wǎng)絡技術,具體指一種網(wǎng)絡安全傳輸?shù)姆椒?����、裝 置及系統(tǒng)�。
背景技術:
隨著計算機技術、網(wǎng)絡技術的發(fā)展�����,各種網(wǎng)絡業(yè)務的普及推廣���,接入Internet (因特網(wǎng))的用戶越來越多�����,網(wǎng)關作為企業(yè)網(wǎng)絡與外網(wǎng)�,家庭網(wǎng)絡與外網(wǎng)的主 要連接通道是整個局域網(wǎng)絡的核心。局域網(wǎng)內(nèi)各種終端設備通過網(wǎng)關實現(xiàn)局域 網(wǎng)內(nèi)資源共享�����,通過網(wǎng)關接入Internet,實現(xiàn)與外部網(wǎng)絡進行信息交互��?����?梢?��, 網(wǎng)關防護成功與否�����,直接影響著整個網(wǎng)絡的安全�。傳統(tǒng)的網(wǎng)關�����, 一般只具有簡單防網(wǎng)絡攻擊能力���,起到簡單的防火墻的功能��, 可以過濾外網(wǎng)主動發(fā)送的帶病毒的報文信息���,但是,對局域網(wǎng)內(nèi)終端設備感染 了病毒后�,發(fā)送的請求訪問外網(wǎng)的報文則不做過濾,導致局域網(wǎng)內(nèi)終端設備的 安全隱患侵入網(wǎng)絡并阻塞網(wǎng)絡��。同時�,還會感染使用同一臺網(wǎng)關設備分接上網(wǎng) 的其它終端i殳備。針對上述問題����,現(xiàn)有技術提出的方案,如圖l所示����,企業(yè)過濾網(wǎng)關部署在防 火墻和中心交換機之間。防火墻防止局域網(wǎng)內(nèi)終端設備受到Internet的網(wǎng)絡攻擊��, 但網(wǎng)絡病毒往往能利用企業(yè)內(nèi)網(wǎng)終端設備的安全漏洞通過防火墻侵入內(nèi)部,這 是因為防火墻只具備拒絕非法訪問的能力���,而一些互聯(lián)網(wǎng)網(wǎng)頁頁面中的惡意代 碼能穿透防火墻�����,對局域網(wǎng)內(nèi)終端設備進行攻擊�,對局域網(wǎng)內(nèi)已經(jīng)感染病毒的 終端設備訪問外網(wǎng)時無法控制和處理�,例如內(nèi)網(wǎng)終端訪問一個帶有病毒的外網(wǎng) 網(wǎng)頁,網(wǎng)關是沒有辦法保護的���。 上述現(xiàn)有技術具有如下缺點 1、 現(xiàn)有技術大多將防火墻和網(wǎng)關分離,分別完成各自的功能����,實時性差�����, 且對數(shù)據(jù)進行分析是應用層的技術,這對網(wǎng)關本身的性能有很高的要求���,成本 高��,價格昂貴��。2�����、 企業(yè)網(wǎng)關和家庭網(wǎng)關基本上都有防火墻的功能�����。也就是說,兩者都將內(nèi) 網(wǎng)認為是安全的,默認都將外網(wǎng)的主動發(fā)送的報文給過濾掉����,來保證內(nèi)網(wǎng)的安 全,但是對局域網(wǎng)內(nèi)終端設備主動發(fā)出的請求報文則不做過濾�����。發(fā)明內(nèi)容有鑒于此��,本發(fā)明實施例的主要目的在于提供一種網(wǎng)絡安全傳輸?shù)姆椒?及裝置,解決了現(xiàn)有技術中網(wǎng)絡病毒利用終端設備的安全隱患侵入網(wǎng)絡并阻 塞網(wǎng)絡的問題���。為實現(xiàn)上述目的��,本發(fā)明實施例提供如下的技術方案一種網(wǎng)絡安全傳輸?shù)姆椒?,包括網(wǎng)絡設備監(jiān)測終端設備的安全狀態(tài)����, 并判斷所述終端是否存在安全隱患����;當所述終端設備存在安全隱患時���,依據(jù) 安全控制策略控制限制所述終端設備發(fā)送或接受信息����;或,接收到所述終端 的網(wǎng)絡連接請求后����,丟棄或不處理所述網(wǎng)絡連接請求,發(fā)送控制命令給所述 終端設備��,命令所述終端設備對所述安全隱患的進行處理��,消除所述終端設 備的安全隱患后�����,恢復所述終端設備的網(wǎng)絡傳輸��。一種防病毒網(wǎng)關裝置�����,包括監(jiān)測模塊和控制模塊。監(jiān)測模塊用于監(jiān)測 終端設備的安全狀態(tài),判斷所述終端是否存在安全隱患��;控制模塊用于實現(xiàn) 對終端設備的控制,若所述終端設備存在安全隱患�����,依據(jù)安全控制策略控制 所述終端設備的網(wǎng)絡傳輸����。一種網(wǎng)絡安全傳輸系統(tǒng)����,其特征在于,包括至少一個防病毒網(wǎng)關和一 個或一個以上終端設備���,終端設備與防病毒網(wǎng)關相連�����;所述終端設備��,用于接收所述防病毒網(wǎng)關發(fā)送的控制信息���,并完成相應 處理;
所述防病毒網(wǎng)關,用于監(jiān)測終端設備的安全狀態(tài),判斷所述終端是否存 在安全隱患;當所述監(jiān)測模塊判斷所述終端設備存在安全隱患時����,依據(jù)安全 控制策略控制所述終端設備的網(wǎng)絡傳輸。在本發(fā)明實施例中����,通過防病毒網(wǎng)關監(jiān)測終端設備的安全狀態(tài)�����,依據(jù)安 全控制策略控制終端設備的方法和裝置��,及時發(fā)現(xiàn)終端設備的安全隱患��,實 時性強,且通過終端設備自身消除終端設備的安全隱患���,不占用防病毒網(wǎng)關 的資源��,解決了網(wǎng)絡病毒利用網(wǎng)內(nèi)終端設備的安全隱患侵入網(wǎng)絡并阻塞網(wǎng)絡 的問題�����,同時避免了局域網(wǎng)內(nèi)終端設備相互感染和影響,實現(xiàn)了網(wǎng)絡的安全 傳輸��。一種網(wǎng)絡安全傳輸系統(tǒng)�,其特征在于�����,包括至少一個防病毒網(wǎng)關和一 個或一個以上終端設備�����,終端設備與防病毒網(wǎng)關相連�����;所述終端設備����,用于接收所述防病毒網(wǎng)關發(fā)送的控制信息�,并完成相應 處理���;所述防病毒網(wǎng)關�,用于監(jiān)測終端設備的安全狀態(tài),判斷所述終端是否存 在安全隱患�;當所述監(jiān)測模塊判斷所述終端設備存在安全隱患時,依據(jù)安全 控制策略控制所述終端設備的網(wǎng)絡傳輸����。
圖1為現(xiàn)有技術中企業(yè)網(wǎng)關的系統(tǒng)組網(wǎng)示意圖。圖2為本發(fā)明實施方式中網(wǎng)絡安全傳輸系統(tǒng)的組網(wǎng)示意圖�����。圖3為本發(fā)明實施方式中防病毒網(wǎng)關的組成結(jié)構(gòu)圖�����。圖4為本發(fā)明實施方式中防病毒網(wǎng)關的具體組成結(jié)構(gòu)示意圖�����。圖5為本發(fā)明另一實施方式中防病毒網(wǎng)關的具體組成結(jié)構(gòu)示意圖��。圖6為本發(fā)明一實施方式中網(wǎng)絡安全傳輸?shù)姆椒鞒虉D�����。圖7為本發(fā)明另一實施方式中網(wǎng)絡安全傳輸?shù)姆椒鞒虉D。
具體實施方式
本發(fā)明實施例通過網(wǎng)絡監(jiān)測終端設備的安全狀態(tài)���,并判斷所述終端是否存在安全隱患��;當所述終端設備存在安全隱患時��,依據(jù)安全控制策略控制限 制所述終端設備發(fā)送或接受信息�;或����,接收到所述終端的網(wǎng)絡連接請求后, 丟棄或不處理所述網(wǎng)絡連接請求�,同時發(fā)送控制命令給所述終端設備,命令 所述終端設備對所述安全隱患的進行處理�����,消除所述終端設備的安全隱患后�����, 恢復終端設備的網(wǎng)絡傳輸�。為使本發(fā)明的目的、技術方案和優(yōu)點更加清楚�,下面將結(jié)合附圖對本發(fā) 明作進一 步地詳細描述。請參閱圖2�����,為本發(fā)明實施方式中網(wǎng)絡安全傳輸系統(tǒng)結(jié)構(gòu)圖��,下面將本 發(fā)明的一種網(wǎng)絡安全傳輸系統(tǒng)結(jié)構(gòu)圖作具體介紹�,所述的系統(tǒng)包括至少一 個防病毒網(wǎng)關200和一個或一個以上終端設備100,終端設備100與防病毒 網(wǎng)關200相連;所述終端設備100,用于接收所述防病毒網(wǎng)關發(fā)送的控制信息�����,并完成 相應處理�;所述防病毒網(wǎng)關200,用于監(jiān)測終端設備的安全狀態(tài)��,判斷所述終端是 否存在安全隱患�����;當所述監(jiān)測模塊判斷所述終端設備存在安全隱患時�����,依據(jù) 安全控制策略控制所述終端設備的網(wǎng)絡傳輸,所述安全控制策略是本地設置 或由其他網(wǎng)絡設備提供��,所述其它網(wǎng)絡設備可以是策略服務器���,也可以是 ACS(自動配置服務器)�����。當所述終端設備存在安全隱患時�,所述防病毒網(wǎng)關 200可以是自身提供策略控制�����,也可以是通過策略服務器或者自動配置服務 器提供的策略控制���,下發(fā)給防病毒網(wǎng)關���,防病毒網(wǎng)關限制所述終端設備發(fā)送 或接收信息;還可以用于當所述終端設備存在安全隱患時�,接收來自所述終 端設備的網(wǎng)絡連接請求后,丟棄或過濾所述終端設備發(fā)送的網(wǎng)絡連接請求報 文��,通過所述監(jiān)測模塊監(jiān)測到所述終端設備消除安全隱患后��,通過恢復對終 端設備的上網(wǎng)權(quán)限及內(nèi)部互相訪問權(quán)限�,恢復所述終端設備的網(wǎng)絡傳輸。頁請參閱圖3,為本發(fā)明實施方式中網(wǎng)絡安全傳輸系統(tǒng)的組網(wǎng)示意圖��。防病毒網(wǎng)關200�����,與所述終端連接�,由監(jiān)測模塊、控制模塊和恢復模塊組成��。 所述防病毒網(wǎng)關200可以應用于企業(yè)的局域網(wǎng)�����,也可以應用于小區(qū)內(nèi)局域網(wǎng)等����。所述監(jiān)測模塊用于監(jiān)測終端設備的安全狀態(tài),判斷終端設備是否存在安全 隱患��。所述監(jiān)測模塊通過定時��、周期或循環(huán)方式發(fā)送監(jiān)測信息給終端設備,掃 描所述終端設備的殺毒程序端口 ��;然后通過判斷所述殺毒程序端口是否關閉�, 若所述殺毒程序端口關閉,則確定終端設備存在安全隱患�。所述終端設備存在安全隱患可以是由于終端設備執(zhí)行各種"網(wǎng)絡可執(zhí)行 程序"例如一些互聯(lián)網(wǎng)網(wǎng)頁面中的惡意代碼,電子郵件病毒等而存在安全隱 患�����,這些代碼一般不包含有害功能�,通常是安全的,但是一旦執(zhí)行時�,這些 代碼可能會阻塞網(wǎng)絡,導致局域網(wǎng)內(nèi)其它終端設備通過相互訪問而互相感染 病毒和整個網(wǎng)絡感染病毒�;所述終端設備存在安全隱患也可以是由于終端設 備的應用操作系統(tǒng)版本信息或者終端設備本身的操作系統(tǒng)版本信息的原因, 導致終端設備存在安全隱患���;也可以是由于終端設備補丁程序未安裝或者病 毒庫未升級等導致終端設備存在安全隱患��。這里的所述終端設備可以是企業(yè)網(wǎng)的終端設備����,也可以是小區(qū)內(nèi)局域網(wǎng) 的終端設備����,例如用戶計算機��、會議終端��、語音視頻終端、IPTV或四種任意 組合���。所述控制模塊用于實現(xiàn)對終端設備的控制�。所述控制模塊根據(jù)監(jiān)測模塊 提供的監(jiān)測信息��,若終端設備存在安全隱患����,則記錄下所述終端設備的IP地 址,并釋放或者封閉所述終端設備上網(wǎng)的IP地址�����,也可以封閉所述終端設備 的端口或者是終端設備的其它地址����,例如MAC地址等,可以是通過自身提 供策略控制�����,也可以是通過策略服務器或者自動配置服務器提供的策略控制, 下發(fā)給防病毒網(wǎng)關����,防病毒網(wǎng)關限制所述終端設備發(fā)送或接收信息,并記錄 所述終端的IP地址�����,以提示該終端設備存在安全隱患已經(jīng)被隔離�����,需要消除 安全隱患后才能正常上網(wǎng)���,同時發(fā)送控制命令給終端設備���,該終端設備接收
控制命令,啟動殺毒程序��,進行自身查殺病毒�����,或者進行自身殺毒程序的升 級、更新等����,消除安全隱患。當終端設備的安全隱患消除后����,控制模塊解除 對終端設備的控制����,并記錄下相關安全日志,通過記錄所述終端設備的IP地 址����;或者根據(jù)監(jiān)測模塊提供的監(jiān)測信息,當接收到傳輸模塊提供的終端設備 網(wǎng)絡連接請求后�����,由于終端設備自身的殺毒程序端口關閉�����,終端設備已經(jīng)感 染病毒�����,但其自身并不知道已經(jīng)感染病毒的情況下,控制模塊通過丟棄或過 濾終端設備發(fā)送的網(wǎng)絡連接請求報文���,加載控制信息后返回給終端設備�,控 制終端設備訪問到隔離區(qū)入口頁面��,終端設備根據(jù)隔離區(qū)入口頁面的提示信 息�����,重新啟動殺毒程序��,進行自身查殺病毒��,或者進行自身殺毒程序的升級�、 更新等,消除終端設備的安全隱患����。當終端設備的安全隱患消除后,控制模 塊解除對終端設備的控制�����,并記錄下相關安全日志。所述恢復模塊���,用于當所述終端設備消除安全隱患后�,記錄所述終端設 備的IP地址�����,通過恢復對終端設備的上網(wǎng)權(quán)限及內(nèi)部互相訪問權(quán)限�,恢復所 述終端設備的網(wǎng)絡傳輸。請參閱圖4�����,為本發(fā)明實施方式中防病毒網(wǎng)關的具體組成結(jié)構(gòu)示意圖����。防病毒網(wǎng)關200,與所述終端連接�����,由監(jiān)測模塊���、控制模塊和恢復模塊組成�����。 所述防病毒網(wǎng)關200可以應用于企業(yè)的局域網(wǎng)�,也可以應用于小區(qū)內(nèi)局域網(wǎng)等。所迷監(jiān)測模塊包括查詢模塊和判斷模塊�����,所述查詢模塊通過定時�、周期或 循環(huán)方式發(fā)送監(jiān)測信息給終端設備,掃描所述終端設備的殺毒程序端口�����;所述 判斷模塊用于通過判斷所述殺毒程序端口是否關閉����,若所述殺毒程序端口關閉, 則確定終端設備存在安全隱患��。所述終端設備存在安全隱患可以是由于終端設備執(zhí)行各種"網(wǎng)絡可執(zhí)行 程序����,,例如一些互聯(lián)網(wǎng)網(wǎng)頁面中的惡意代碼,電子郵件病毒等而存在安全隱 患��,這些代碼一般不包含有害功能�,通常是安全的,但是一旦執(zhí)行時���,這些 代碼可能會阻塞網(wǎng)絡��,導致局域網(wǎng)內(nèi)其它終端設備通過相互訪問而互相感染 病毒和整個網(wǎng)絡感染病毒���;所述終端設備存在安全隱患也可以是由于終端設
備的應用操作系統(tǒng)版本信息或者終端設備本身的操作系統(tǒng)版本信息的原因,導致終端設備存在安全隱患���;也可以是由于終端設備補丁程序未安裝或者病毒庫未升級等導致終端設備存在安全隱患���。這里的所述終端設備可以是企業(yè)網(wǎng)的終端設備,也可以是小區(qū)內(nèi)局域網(wǎng)的終端設備���,例如用戶計算機、會議終端����、語音視頻終端、IPTV或四種任意 組合�。所述控制模塊用于實現(xiàn)對終端設備的控制���。所述控制模塊包括第一處理 模塊,用于根據(jù)監(jiān)測模塊提供的監(jiān)測信息��,若終端設備存在安全隱患�,則記 錄下所述終端設備的IP地址,并釋;^文或者封閉所述終端設備上網(wǎng)的IP地址����, 也可以封閉所述終端設備的端口或者是終端設備的其它地址,例如MAC地 址等��,可以是通過自身提供策略控制��,也可以是通過策略服務器或者自動配 置服務器提供的策略控制����,下發(fā)給防病毒網(wǎng)關,防病毒網(wǎng)關限制所述終端設 備發(fā)送或接收信息�����,并記錄所述終端的IP地址��,以提示該終端設備存在安全 隱患已經(jīng)被隔離,需要消除安全隱患后才能正常上網(wǎng)���。同時發(fā)送控制命令給 終端設備��,該終端設備接收控制命令���,啟動殺毒程序,進行自身查殺病毒�, 或者進行自身殺毒程序的升級、更新等��,消除安全隱患��。當終端設備的安全 隱患消除后��,控制模塊解除對終端設備的控制���,并記錄下相關安全日志�,通 過記錄所述終端設備的IP地址�����。所述恢復模塊用于當所述終端設備消除安全隱患后��,記錄所述終端設備 的IP地址����,通過恢復對終端設備的上網(wǎng)權(quán)限及內(nèi)部互相訪問權(quán)限,恢復所述 終端設備的網(wǎng)絡傳輸���。請參閱圖5�,為本發(fā)明另 一實施方式中防病毒網(wǎng)關的具體組成結(jié)構(gòu)圖���。防病毒網(wǎng)關200��,���,與所述終端連接,由監(jiān)測模塊��、控制模塊和恢復模塊組 成��。所述防病毒網(wǎng)關200��,可以應用于企業(yè)的局域網(wǎng)���,也可以應用于小區(qū)內(nèi)局域網(wǎng) 等����。所述監(jiān)測模塊包括查詢模塊和判斷模塊,所述查詢模塊通過定時�、周期或 循環(huán)方式發(fā)送監(jiān)測信息給終端設備,掃描所述終端設備的殺毒程序端口����;所述 判斷模塊用于通過判斷所述殺毒程序端口是否關閉,若所述殺毒程序端口關閉�, 則確定終端設備存在安全隱患。所述終端設備存在安全隱患可以是由于終端設備執(zhí)行各種"網(wǎng)絡可執(zhí)行 程序"例如一些互聯(lián)網(wǎng)網(wǎng)頁面中的惡意代碼���,電子郵件病毒等而存在安全隱 患�,這些代碼一般不包含有害功能���,通常是安全的��,但是一旦執(zhí)行時�,這些 代碼可能會阻塞網(wǎng)絡����,導致局域網(wǎng)內(nèi)其它終端設備通過相互訪問而互相感染病毒和整個網(wǎng)絡感染病毒;所述終端設備存在安全隱患也可以是由于終端設 備的應用操作系統(tǒng)版本信息或者終端設備本身的操作系統(tǒng)版本信息的原因�, 導致終端設備存在安全隱患�;也可以是由于終端設備補丁程序未安裝或者病 毒庫未升級等導致終端設備存在安全隱患���。這里的所述終端設備可以是企業(yè)網(wǎng)的終端設備,也可以是小區(qū)內(nèi)局域網(wǎng) 的終端設備�����,例如用戶計算機��、會議終端���、語音視頻終端�、IPTV或四種任意 組合����。所述控制模塊包括第二處理模塊,可以根據(jù)監(jiān)測模塊提供的監(jiān)測信息���, 當接收到傳輸模塊提供的終端設備網(wǎng)絡連接請求后���,由于終端設備自身的殺 毒程序端口關閉,終端設備已經(jīng)感染病毒����,但其自身并不知道已經(jīng)感染病毒 的情況下�����,控制模塊通過丟棄或過濾終端設備發(fā)送的網(wǎng)絡連接請求報文��,加 載控制信息后返回給終端設備�,控制終端設備訪問到隔離區(qū)入口頁面��,終端 設備根據(jù)隔離區(qū)入口頁面的提示信息����,重新啟動殺毒程序,進行自身查殺病 毒����,或者進行自身殺毒程序的升級、更新等�,消除終端設備的安全隱患。當 終端設備的安全隱患消除后����,控制模塊解除對終端設備的控制,并記錄下相 關安全日志���。這里所述防病毒網(wǎng)關解除對終端設備的控制可以是終端設備通過設置與 防病毒網(wǎng)關進行消息交互的代理端口主動發(fā)送消除安全隱患消息給防病毒網(wǎng) 關后����,防病毒網(wǎng)關解除對終端設備的控制;或者��,終端設備通過所安裝的殺 毒程序主動發(fā)送消除安全隱患消息給防病毒網(wǎng)關��,防病毒網(wǎng)關解除對終端設 備的控制��;也可以是防病毒網(wǎng)關通過監(jiān)測模塊監(jiān)測終端設備已經(jīng)消除安全隱 患��。這里的所述隔離區(qū)入口頁面至少包括執(zhí)行殺毒程序�、對病毒庫進行更新 或升級�����、補丁程序下載�����、操作系統(tǒng)版本升級等任何一種提示信息���。所述恢復模塊用于當所述終端設備消除安全隱患后�,記錄所述終端設備 的IP地址,通過恢復對終端設備的上網(wǎng)權(quán)限及內(nèi)部互相訪問權(quán)限���,恢復所述 終端設備的網(wǎng)絡傳輸�����。本發(fā)明實施例通過防病毒網(wǎng)關裝置的監(jiān)測模塊和控制模塊����,完成對終端 設備的監(jiān)測和控制���,及時對局域網(wǎng)內(nèi)存在安全隱患的終端設備進行控制和處 理�����,避免了局域網(wǎng)內(nèi)終端設備相互感染和影響����,實現(xiàn)網(wǎng)絡安全的傳輸�。請參閱圖6,為本發(fā)明一實施方式中網(wǎng)絡安全傳輸?shù)姆椒鞒虉D����,下面 將本發(fā)明的一種網(wǎng)絡安全傳輸?shù)姆椒鞒套骶唧w介紹�����,所述的方法包括如下 步驟在步驟S602中�,網(wǎng)絡設備通過定時����、周期或循環(huán)方式發(fā)送監(jiān)測信息給 終端設備,掃描所述終端設備的殺毒程序端口����。這里的所述網(wǎng)絡設備與所述終端設備相互獨立�����,并與終端設備連接�����,可 以是防病毒網(wǎng)關��。這里的所述終端設備可以是企業(yè)網(wǎng)的終端設備���,也可以是小區(qū)內(nèi)局域網(wǎng) 的終端設備�,例如用戶計算機、會議終端����、語音一見頻終端、IPTV或四種任意 組合�����。在步驟S604中�����,防病毒網(wǎng)關通過掃描所述終端設備的殺毒程序端口 �, 查詢所述殺毒程序端口是否關閉,若終端設備的殺毒程序已經(jīng)關閉�����,則該終 端設備存在安全隱患����,并反饋監(jiān)測結(jié)果。這里所述的安全隱患可以是由于終端設備執(zhí)行各種"網(wǎng)絡可執(zhí)行程序" 例如一些互聯(lián)網(wǎng)網(wǎng)頁面中的惡意代碼����,電子郵件病毒等而存在安全隱患�����,這 些代碼一般不包含有害功能�,通常是安全的��,但是一旦執(zhí)行時����,這些代碼可 能會阻塞網(wǎng)絡,導致局域網(wǎng)內(nèi)其它終端設備通過相互訪問而互相感染病毒�����,甚至可能導致整個網(wǎng)絡感染病毒�;所述終端設備存在安全隱患也可以是由于終端設備的應用操作系統(tǒng)版本信息或者終端設備本身的操作系統(tǒng)版本信息的原因�����,導致終端設備存在安全隱患�;也可以是由于終端設備補丁程序未安裝 或者病毒庫未升級等導致終端設備存在安全隱患。在步驟S606中����,根據(jù)監(jiān)測信息監(jiān)測到終端設備存在安全隱患����,則防病 毒網(wǎng)關記錄下所述終端設備的IP地址�,并釋^:或者封閉所述終端設備上網(wǎng)的 IP地址,也可以封閉所述終端設備的端口或者是終端設備的其它地址�,例如 MAC地址等,可以是通過自身提供策略控制�,也可以是通過策略服務器或者 自動配置服務器提供的策略控制,下發(fā)給防病毒網(wǎng)關�����,防病毒網(wǎng)關限制所述 終端設備發(fā)送或接收信息�,以提示該終端設備存在安全隱患已經(jīng)被隔離,需 要消除安全隱患后才能正常上網(wǎng)���。在步驟S608中����,防病毒網(wǎng)關發(fā)送控制命令給終端設備�,該終端設備接 收控制命令后,啟動殺毒程序��,進行自身查殺病毒,或者進行自身殺毒程序 的升級�����、更新等�,消除安全隱患。在步驟S610中����,當終端設備的安全隱患消除后,防病毒網(wǎng)關解除對終 端設備的控制����,并記錄下相關安全日志。這里所述防病毒網(wǎng)關解除對終端設備的控制可以是終端設備通過設置與 防病毒網(wǎng)關進行消息交互的代理端口主動發(fā)送消除安全隱患消息給防病毒網(wǎng) 關后�,防病毒網(wǎng)關解除對終端設備的控制;或者��,終端設備通過所安裝的殺 毒程序主動發(fā)送消除安全隱患消息給防病毒網(wǎng)關��,防病毒網(wǎng)關解除對終端設 備的控制��;也可以是防病毒網(wǎng)關通過監(jiān)測模塊監(jiān)測終端設備已經(jīng)消除安全隱 患�,在步驟S612中�,防病毒網(wǎng)關通過記錄所述終端設備的IP地址���,恢復所述 終端設備的網(wǎng)絡傳輸。
本發(fā)明發(fā)明一實施方式中網(wǎng)絡安全傳輸?shù)姆椒梢詰糜谄髽I(yè)的局域 網(wǎng)��,也可以應用于小區(qū)內(nèi)局域網(wǎng)�����。通過本發(fā)明所述的方法可以及時發(fā)現(xiàn)局域網(wǎng)內(nèi)終端設備的安全隱患��,限制終端設備訪問Internet網(wǎng)絡��,同時根據(jù)策略 控制��,消除終端設備的安全隱患�����,且不占用防病毒網(wǎng)關的資源�����,實時性強�。請參閱圖7,為本發(fā)明另一實施方式中網(wǎng)絡安全傳輸?shù)姆椒鞒虉D�,下 面將本發(fā)明另 一種網(wǎng)絡安全傳輸?shù)姆椒鞒套骶唧w介紹��,所述的方法包括如 下步驟在步驟S702中����,防病毒網(wǎng)關通過定時��、周期或循環(huán)方式發(fā)送監(jiān)測信息 給終端設備�,掃描所述終端設備的殺毒程序端口 。這里的所述終端設備可以是企業(yè)網(wǎng)的終端設備��,也可以是小區(qū)內(nèi)局域網(wǎng) 的終端設備����,例如用戶計算機、會議終端����、語音一見頻終端、IPTV或四種任意 組合�。在步驟S704中,防病毒網(wǎng)關通過掃描所述終端設備的殺毒程序端口 ����, 查詢所述殺毒程序端口是否關閉����,若終端設備的殺毒程序已經(jīng)關閉����,則該終 端設備存在安全隱患���,并反饋監(jiān)測結(jié)果��。這里所述的安全隱患可以是由于終端設備執(zhí)行各種"網(wǎng)絡可執(zhí)行程序" 例如一些互聯(lián)網(wǎng)網(wǎng)頁面中的惡意代碼�����,電子郵件病毒等而存在安全隱患�����,這 些代碼一般不包含有害功能�����,通常是安全的�����,但是一旦執(zhí)行時���,這些代碼可 能會阻塞網(wǎng)絡���,導致局域網(wǎng)內(nèi)其它終端設備通過相互訪問而互相感染病毒和 整個網(wǎng)絡感染病毒;所述終端設備存在安全隱患也可以是由于終端設備的應 用操作系統(tǒng)版本信息或者終端設備本身的操作系統(tǒng)版本信息的原因�,導致終 端設備存在安全隱患;也可以是由于終端設備補丁程序未安裝或者病毒庫未 升級等導致終端設備存在安全隱患�����。在步驟S706中�����,終端設備發(fā)送網(wǎng)絡連接請求給防病毒網(wǎng)關��。在步驟S708中���,防病毒網(wǎng)關接收來自于終端設備發(fā)送的網(wǎng)絡連接請求 后����,根據(jù)監(jiān)測結(jié)果����,若終端設備存在安全隱患�,則防病毒網(wǎng)關丟棄或者過濾
網(wǎng)絡連接請求報文����,限制終端設備訪問外網(wǎng)����。
在步驟S710中,防病毒網(wǎng)關將終端設備發(fā)送的網(wǎng)絡連接請求報文丟棄 或者過濾����,加載控制信息,發(fā)送給所述終端設備����,控制終端設備訪問隔離區(qū) 入口頁面。
這里的所述隔離區(qū)入口頁面至少包括執(zhí)行殺毒程序�����、對病毒庫進行更新 或升級�、補丁程序下載、操作系統(tǒng)版本升級等任何一種提示信息����。在步驟S712中�,終端設備根據(jù)隔離區(qū)入口頁面的提示信息��,重新啟動 殺毒程序�����,進行自身查殺病毒���,或者進行自身殺毒程序的升級��、更新等�,消 除終端設備的安全隱患��。
在步驟S714中���,當終端設備的安全隱患消除后��,防病毒網(wǎng)關解除對終端 設備的控制���,并記錄下相關安全日志。這里所述防病毒網(wǎng)關解除對終端設備的控制可以是終端設備通過設置與 防病毒網(wǎng)關進行消息交互的代理端口主動發(fā)送消除安全隱患消息給防病毒網(wǎng) 關后���,防病毒網(wǎng)關解除對終端設備的控制���;或者����,終端設備通過所安裝的殺 毒程序主動發(fā)送消除安全隱患消息給防病毒網(wǎng)關�,防病毒網(wǎng)關解除對終端設 備的控制���;也可以是防病毒網(wǎng)關通過監(jiān)測模塊監(jiān)測終端設備已經(jīng)消除安全隱 患�����。
在步驟S716中��,防病毒網(wǎng)關接收所述終端設備的連接請求�����,恢復所述終 端設備的網(wǎng)絡傳輸��。綜上所述�,本發(fā)明實施例提供了一種網(wǎng)絡安全傳輸?shù)姆椒把b置����,以克 服現(xiàn)有技術中網(wǎng)絡病毒利用局域網(wǎng)內(nèi)終端設備的安全漏洞侵入內(nèi)部網(wǎng)絡并阻 塞網(wǎng)絡��,通過防病毒網(wǎng)關實時監(jiān)測用戶終端的安全狀態(tài)��,及時對局域網(wǎng)內(nèi)存 在安全隱患的終端設備進行控制和處理����,避免了局域網(wǎng)內(nèi)終端用戶間的相互 感染和傳播��,解決了背景技術中存在的問題�,實現(xiàn)了終端設備通過防病毒網(wǎng) 關訪問外網(wǎng)的安全性、實用性及實時性等����。本發(fā)明實施例實現(xiàn)了1、防病毒網(wǎng)關可以及時發(fā)現(xiàn)局域網(wǎng)內(nèi)終端設備的安全隱患���,同時限制
終端設備訪問Internet網(wǎng)絡����;2����、 防病毒網(wǎng)關可以根據(jù)策略控制�,消除終端設備的安全隱患����,且不占 用防病毒網(wǎng)關的資源,實時性強��;3����、 防病毒網(wǎng)關可以防止網(wǎng)絡病毒利用局域網(wǎng)內(nèi)終端設備的安全隱患侵 入網(wǎng)絡并阻塞網(wǎng)絡,同時避免了局域網(wǎng)內(nèi)終端設備之間病毒的傳播�����,實現(xiàn)了 網(wǎng)絡安全的傳輸�。
以上所述��,僅為本發(fā)明較佳的具體實施方式
�,但本發(fā)明的保護范圍并補 局限于此,任何熟悉本技術領域的技術人員在本發(fā)明揭露的技術范圍內(nèi)�����,可 輕易想到的變化或替換�,都應該涵蓋在本發(fā)明的保護范圍之內(nèi)���。因此,本發(fā) 明的保護范圍應該以權(quán)利要求的保護范圍為準���。
權(quán)利要求
1����、一種網(wǎng)絡安全傳輸?shù)姆椒?����,其特征在于�,包括網(wǎng)絡設備監(jiān)測終端設備的安全狀態(tài),判斷所述終端設備是否存在安全隱患��;若所述終端設備存在安全隱患����,依據(jù)安全控制策略控制所述終端設備的網(wǎng)絡傳輸。
2��、 根據(jù)權(quán)利要求1所述的網(wǎng)絡安全傳輸?shù)姆椒?�,其特征在于����,所述監(jiān) 測終端設備的安全狀態(tài)���,判斷所述終端設備是否存在安全隱患的步驟包括通過定時或周期性地查詢所述終端設備的殺毒程序端口 ,監(jiān)測終端設備 的安全狀態(tài)�;若所述殺毒程序端口關閉,則確定所述終端設備存在安全隱患���。
3�、 根據(jù)權(quán)利要求1所述的網(wǎng)絡安全傳輸?shù)姆椒?,其特征在于,所述?全控制策略是本地設置或由其他網(wǎng)絡設備提供�����。
4����、 根據(jù)權(quán)利要求l所述的網(wǎng)絡安全傳輸?shù)姆椒?�,其特征在于��,依?jù)安全 控制策略控制所述終端設備的網(wǎng)絡傳輸?shù)牟襟E包括限制所述終端設備發(fā)送或接收信息�����; 或,接收來自所述終端設備的網(wǎng)絡連接請求后��,丟棄或過濾所述終端設備發(fā) 送的網(wǎng)絡連接請求報文��。
5�、 根據(jù)權(quán)利要求1所述的網(wǎng)絡安全傳輸?shù)姆椒ǎ涮卣髟谟?,所述?方法還包括網(wǎng)絡設備發(fā)送控制命令給所述終端設備,命令所述終端設備對所述安全 隱患的進行處理�。
6、 根據(jù)權(quán)利要求5所述的網(wǎng)絡安全傳輸?shù)姆椒?�,其特征在于����,所述?方法還包括 當所述終端設備消除安全隱患后,恢復所述終端設備的網(wǎng)絡傳輸�。
7、 一種防病毒網(wǎng)關����,其特征在于,包括監(jiān)測模塊和控制模塊; 所述監(jiān)測模塊���,用于監(jiān)測終端設備的安全狀態(tài)��,判斷所述終端是否存在安全隱患���;所述控制模塊,用于當所述監(jiān)測模塊判斷所述終端設備存在安全隱患時�, 依據(jù)安全控制策略控制所述終端設備的網(wǎng)絡傳輸。
8����、 根據(jù)權(quán)利要求7所述的防病毒網(wǎng)關,其特征在于��,所述監(jiān)測模塊包 括查詢模塊和判斷模塊�;所述查詢模塊,用于定時�、周期性地查詢所述終端設備的殺毒程序端口; 所述判斷模塊�����,用于判斷所述殺毒程序端口是否關閉�,若所述殺毒程序 端口關閉����,這確定所述終端設備存在安全隱患���。
9、 根據(jù)權(quán)利要求7所述的防病毒網(wǎng)關�����,其特征在于���,所述安全控制策略 是本地設置或由其他網(wǎng)絡設備提供�����。
10��、 根據(jù)權(quán)利要求7所述的防病毒網(wǎng)關���,其特征在于,所述控制模塊包 括第一處理模塊���,用于當監(jiān)測模塊判斷所述終端設備存在安全隱患時��,限制 所述終端設備發(fā)送或接收信息�。
11、 根據(jù)權(quán)利要求7所述的防病毒網(wǎng)關��,其特征在于���,所述控制模塊包 括第二處理模塊���,用于當監(jiān)測模塊判斷所述終端設備存在安全隱患時,接收 來自所述終端設備的網(wǎng)絡連接請求后����,丟棄或過濾所述終端設備發(fā)送的網(wǎng)絡 連接請求報文。
12��、 根據(jù)權(quán)利要求7所述的防病毒網(wǎng)關��,其特征在于��,所述裝置進一步 包括恢復模塊��,用于當所述監(jiān)測模塊監(jiān)測到所述終端設備消除安全隱患后�, 通過恢復對終端設備的上網(wǎng)權(quán)限及內(nèi)部互相訪問權(quán)限,恢復所述終端設備的 網(wǎng)絡傳輸��。
13���、 一種網(wǎng)絡安全傳輸系統(tǒng)��,其特征在于�����,包括至少一個防病毒網(wǎng)關 和一個或一個以上終端設備�����,終端設備與防病毒網(wǎng)關相連���; 所述終端設備,用于接收所述防病毒網(wǎng)關發(fā)送的控制信息����,并完成相應處理;所述防病毒網(wǎng)關�����,用于監(jiān)測終端設備的安全狀態(tài)����,判斷所述終端是否存在安全隱患�����;當所述監(jiān)測模塊判斷所述終端設備存在安全隱患時�,依據(jù)安全 控制策略控制所述終端設備的網(wǎng)絡傳輸��。
14�、 根據(jù)權(quán)利要求13所述的網(wǎng)絡安全傳輸系統(tǒng),其特征在于����,所述安全 控制策略是本地設置或由其他網(wǎng)絡設備提供。
15����、 根據(jù)權(quán)利要求13所述的網(wǎng)絡安全傳輸系統(tǒng),其特征在于��,所述防病 毒網(wǎng)關進一步包括恢復模塊�,用于當所述監(jiān)測模塊監(jiān)測到所述終端設備消除 安全隱患后,恢復所述終端設備的網(wǎng)絡傳輸���。
全文摘要
本發(fā)明提供了一種網(wǎng)絡安全傳輸?shù)姆椒?����、裝置及系統(tǒng)����。本發(fā)明所述方法包括防病毒網(wǎng)關用于監(jiān)測終端設備的安全狀態(tài)��,判斷所述終端是否存在安全隱患����;當所述終端設備存在安全隱患時,依據(jù)安全控制策略控制所述終端設備的網(wǎng)絡傳輸�����,并發(fā)送控制命令給終端設備����,命令終端設備進行查殺病毒,消除終端設備的安全隱患����。本發(fā)明所述防病毒網(wǎng)關裝置包括監(jiān)測模塊、傳輸模塊和控制模塊����。利用本發(fā)明���,解決了網(wǎng)絡病毒利用終端設備的安全隱患侵入網(wǎng)絡并阻塞網(wǎng)絡的問題,同時避免了終端設備之間病毒的相互傳播���,實現(xiàn)了網(wǎng)絡的安全傳輸��。
文檔編號H04L29/06GK101399786SQ20071012367
公開日2009年4月1日 申請日期2007年9月29日 優(yōu)先權(quán)日2007年9月29日
發(fā)明者猛 刁, 亮 李 申請人:華為技術有限公司