技術領域

本發明涉及網絡安全技術領域，特別是涉及一種安全防護方法及裝置。

背景技術

傳統技術中，網絡運營商通常建有放置多臺服務器的機房，機房中的服務器通常通過網關與外網連接。在對機房中的服務器進行安全防護時，通常通過在網關或網關內的服務節點上安裝防火墻對請求的數據包進行校驗，根據校驗結果對數據包進行攔截，從而防止非法入侵。

然而，傳統技術中的安全防護方法對請求的數據包進行安全校驗時，均為通過同一的校驗規則對其進行校驗，使得出現漏判和誤判的情況較多，從而使得攔截數據包的準確度不高。

發明內容

基于此，有必要提供一種能提高準確度的安全防護方法。

一種安全防護方法，包括：

獲取數據包，提取所述數據包對應的節點地址；

獲取所述節點地址對應的服務類型；

根據所述服務類型獲取安全規則；

根據所述安全規則過濾所述數據包。

在其中一個實施例中，所述方法還包括：

獲取連接信息，所述連接信息包括節點地址；

根據所述連接信息發送探測數據包；

根據返回的探測響應生成服務類型與節點地址的對應關系。

在其中一個實施例中，所述獲取所述節點地址對應的服務類型的步驟為：

根據所述服務類型與節點地址的對應關系獲取由所述數據包提取到的節點地址對應的服務類型。

在其中一個實施例中，所述提取所述數據包對應的節點地址的步驟之后還包括：

獲取自定義安全規則配置；

根據所述自定義安全規則配置獲取與所述提取到的節點地址對應的安全規則；

繼續執行所述根據所述安全規則過濾所述數據包的步驟。

在其中一個實施例中，所述根據所述安全規則過濾所述數據包的步驟之前還包括：

根據所述服務類型解析所述數據包，獲取安全特征信息；

所述根據所述安全規則過濾所述數據包的步驟為：

判斷所述安全特征信息是否與所述安全規則匹配，若否，則過濾所述數據包。

此外，還有必要提供一種能提高準確度的安全防護裝置。

一種安全防護裝置，包括：

數據包獲取模塊，用于獲取數據包，提取所述數據包對應的節點地址；

服務類型獲取模塊，用于獲取所述節點地址對應的服務類型；

安全規則獲取模塊，用于根據所述服務類型獲取安全規則；

數據包過濾模塊，用于根據所述安全規則過濾所述數據包。

在其中一個實施例中，所述裝置還包括地址與類型映射模塊，用于獲取連接信息，所述連接信息包括節點地址，根據所述連接信息發送探測數據包，根據返回的探測響應生成服務類型與節點地址的對應關系。

在其中一個實施例中，所述服務類型獲取模塊還用于根據所述服務類型與節點地址的對應關系獲取由所述數據包提取到的節點地址對應的服務類型。

在其中一個實施例中，所述裝置還包括自定義安全規則獲取模塊，用于獲取自定義安全規則配置，根據所述自定義安全規則配置獲取與所述提取到的節點地址對應的安全規則。

在其中一個實施例中，所述裝置還包括數據包解析模塊，用于根據所述服務類型解析所述數據包，獲取安全特征信息；

所述數據包過濾模塊還用于判斷所述安全特征信息是否與所述安全規則匹配，若否，則過濾所述數據包。

上述安全防護方法和裝置，根據數據包的節點地址獲取其對應的服務類型，并根據服務類型獲取相應的安全規則，并根據安全規則對數據包進行過濾。和傳統技術相比，對數據包的過濾考慮了該數據包所屬應用的服務類型，使得用于獲取到的用于對數據包過濾的安全規則更加適應該數據包，從而使得過濾的準確度更高。

同時，由于在獲知數據包的服務類型后，僅需通過與該服務類型對應的安全規則對其進行過濾即可，而不用采用多種安全規則對數據包進行混合過濾，使得匹配過程得到簡化，從而提高了執行效率。

附圖說明

圖1為一個實施例中安全防護方法的流程圖；

圖2為一個實施例中安全防護裝置的結構示意圖；

圖3為另一個實施例中安全防護裝置的結構示意圖。

具體實施方式

在一個實施例中，如圖1所示，一種安全防護方法，包括如下步驟：

步驟S102，獲取數據包，提取數據包對應的節點地址。