技術領域

本發明涉及網絡安全領域，尤其涉及一種安全網關及其控制敏感鏈接的方法。

背景技術

隨著目前安全網關不斷的發展，用戶要求不斷提高，應用的環境也越來越復雜，這就必然導致了相關網絡安全設備不僅要在硬件設計上進行改善，更重要的是需要一個設計更為合理，更加健壯、穩定的軟件體系框架。在這樣趨勢下，要求用戶交互接口更加完善、易懂、語言化。

安全網關這個主要應用在網絡層面的安全設備，成千上萬的連接都會經過訪問控制規則的過濾，對非法的連接起到限制作用。在這成千上萬的連接中，必然HTTP鏈接會占相當大的比重，而其中一些用戶關心的部分URL，我們稱之為敏感URL，例如，一些非法反動網站等等。

假設當前需要在連接層面對HTTP進行訪問控制的話，那么以當前網絡安全通常所處的環境，每秒通常會并發幾十萬、甚至上百萬的連接條目，那么在這些連接中，HTTP的連接無一例外的會占有絕大部分。然而，如果當前網絡安全設備接入到互聯網出口或者中心區域，那么上邊的應用場景顯然是成立的。那么這個時候就必須面對以下幾個問題：(1)如何快速高效的從這些鏈接中過濾出用戶需要控制的連接；(2)過濾出來的鏈接如何提供接口給網絡安全系統。然而，現有技術對于上述問題確沒有給出很好的解決方案。

發明內容

為了解決現有技術中存在的問題，本發明提供一種安全網關及其控制敏感鏈接的方法，能夠有效地過濾出用戶需要控制的連接，提升網絡安全設備的防御性能，使網絡安全設備的訪問控制功能更加強大，更加安全可信。

具體的，本發明提供的安全網關控制敏感鏈接的方法，包括：

讀取預先指定的敏感URL并建立狀態轉換表；

解析DNS數據流獲取二元組消息，所述二元組消息包括URL和IP信息；

查找所述狀態轉換表，檢測所述二元組消息中URL是否為敏感鏈接，若是，則將所述二元組消息存入預先配置的敏感URL池內；

接收HTTP報文，查找所述敏感URL池，若所述HTTP報文的目的IP地址與敏感URL池內的表項匹配，則根據預先配置的策略對所述HTTP報文進行處理。

其中，所述狀態轉換表內記錄有所有敏感URL中各字符間的狀態跳轉關系。

進一步的，本發明所述方法中，建立狀態轉換表具體為：

步驟30、計算讀取的敏感URL的個數，并逐一檢測各敏感URL；

步驟31、判斷當前檢測的敏感URL中字符狀態是否已經在狀態轉換表中存在，若不存在，執行步驟32；否則，執行步驟33；

步驟32、在狀態轉換表中存儲該字符狀態，執行步驟33；

步驟33、判斷當前檢測的敏感URL的字符是否為最后的字符，若是，執行34；否則，處理當前檢測的敏感URL的下一字符，返回步驟31；

步驟34、存儲結束狀態，檢測下一個敏感URL，返回步驟31。

進一步的，在建立狀態轉換表后還包括：遍歷所述狀態轉換表內記錄的各狀態，并在檢測到某狀態跳轉錯誤時，調用失敗函數進行狀態修改。

本發明所述方法中，預先配置的策略包括：放行、禁止、寫日志或者查毒。

本發明所述方法還包括：

定期檢測所述敏感URL池內的各表項，若檢測到某一個或多個表項在設定的時間內未被使用過，則將對應的表項刪除。

本發明還提供一種安全網關，包括：有限狀態自動機、DNS發現模塊和訪問控制模塊；

所述有限狀態自動機，用于基于讀取的敏感URL建立狀態轉換表；并在接收到DNS發現模塊輸入的包括URL和IP信息的二元組消息時，查找所述狀態轉換表，檢測所述二元組消息中URL是否為敏感鏈接，若是，則將所述二元組消息存入預先配置的敏感URL池內；

所述DNS發現模塊，用于解析獲取的DNS數據流得到二元組消息，并將該二元組消息輸出至所述有限狀態自動機；

所述訪問控制模塊，用于基于接收到的HTTP報文查找所述敏感URL池，若該報文的目的IP地址與敏感URL池內的表項匹配，則根據預先配置的策略對所述HTTP報文進行處理。

其中，所述狀態轉換表記錄有所有敏感URL中各字符間的狀態跳轉關系。

所述預先配置的策略包括：放行、禁止、寫日志或者查毒。

進一步的，本發明所述安全網關還包括：

敏感URL池維護模塊，用于定期檢測所述敏感URL池內的各表項，若檢測到某一個或多個表項在設定的時間內未被使用過，則將對應的表項刪除。

與現有技術相比，本發明有益效果如下：