技術(shù)領(lǐng)域

本發(fā)明涉及防火墻領(lǐng)域，具體而言，涉及一種用于網(wǎng)絡(luò)安全防護(hù)的數(shù)據(jù)處理方法和裝置。

背景技術(shù)

內(nèi)網(wǎng)用戶在上網(wǎng)時(shí)，訪問哪些服務(wù)器、哪些應(yīng)用是安全的，始終是網(wǎng)絡(luò)安全的核心問題之一。在面臨虛擬化、移動(dòng)互聯(lián)技術(shù)為代表的新的應(yīng)用場(chǎng)景下，以“狀態(tài)檢測(cè)包過濾”為基礎(chǔ)的傳統(tǒng)防火墻技術(shù)，在安全防護(hù)能力上越來越力不從心。下一代防火墻（Next Generation Firewall，簡(jiǎn)稱NGFW），被作為傳統(tǒng)防火墻技術(shù)的升級(jí)版本被提出。在NGFW的概念中，應(yīng)用識(shí)別被作為核心概念予以強(qiáng)調(diào)，但是在解決“哪些應(yīng)用是安全的”這個(gè)核心問題時(shí)，并沒有找到公認(rèn)的方法。

與本發(fā)明相關(guān)的現(xiàn)有技術(shù)一是基于應(yīng)用識(shí)別的應(yīng)用控制。

基于應(yīng)用識(shí)別的應(yīng)用控制預(yù)先定義“哪些應(yīng)用是安全的，哪些應(yīng)用是不安全的”，通過應(yīng)用識(shí)別技術(shù)，對(duì)不安全的應(yīng)用進(jìn)行控制。

基于應(yīng)用識(shí)別的應(yīng)用控制具有以下缺點(diǎn)：

（1）不準(zhǔn)確。當(dāng)前基于內(nèi)容的應(yīng)用識(shí)別技術(shù)并不準(zhǔn)確，故而借助其識(shí)別結(jié)果的應(yīng)用控制，很容易造成誤報(bào)或漏報(bào)的問題。

（2）控制粒度太粗。雖然確實(shí)存在本身不安全的應(yīng)用，但是更多的情況是，應(yīng)用本身是安全的，只是在某些服務(wù)器上或某一個(gè)時(shí)間段內(nèi)是不安全的。基于應(yīng)用識(shí)別的應(yīng)用控制，不能在這兩個(gè)粒度上給出定義。

與本發(fā)明相關(guān)的現(xiàn)有技術(shù)二是IP信譽(yù)技術(shù)。

IP信譽(yù)技術(shù)通過一個(gè)“IP信譽(yù)數(shù)據(jù)庫”，對(duì)網(wǎng)絡(luò)上的IP地址進(jìn)行標(biāo)識(shí)，指示哪些IP是安全的，哪些IP是不安全的。

IP信譽(yù)技術(shù)具有以下缺點(diǎn)：

（1）性能低。因?yàn)槊恳粭l會(huì)話都需要根據(jù)IP地址在IP信譽(yù)數(shù)據(jù)庫內(nèi)進(jìn)行查詢，因此在存在多條會(huì)話時(shí)，都需要在IP信譽(yù)數(shù)據(jù)庫內(nèi)進(jìn)行查詢，導(dǎo)致查詢性能低。

（2）健壯性差。假設(shè)某應(yīng)用P使用三臺(tái)服務(wù)器，對(duì)外使用三個(gè)不同的IP地址A，B，C，并行完成服務(wù)。假設(shè)攻擊者攻擊并控制了A服務(wù)器，但恰好A服務(wù)器會(huì)被DNS服務(wù)器作為某地區(qū)S的首選服務(wù)器被提供給S地區(qū)內(nèi)的用戶。如果A被IP信譽(yù)數(shù)據(jù)庫標(biāo)識(shí)為“危險(xiǎn)，不允許訪問”，那么基于IP信譽(yù)數(shù)據(jù)庫的防護(hù)系統(tǒng)實(shí)際上會(huì)禁止S地區(qū)內(nèi)的用戶使用P服務(wù)（因?yàn)镾地區(qū)內(nèi)的用戶在訪問P服務(wù)時(shí)，都會(huì)選擇DNS系統(tǒng)提供的首選IP地址A）。

針對(duì)現(xiàn)有技術(shù)中網(wǎng)絡(luò)防護(hù)系統(tǒng)的防護(hù)性能低的問題，目前尚未提出有效的解決方案。

發(fā)明內(nèi)容

本發(fā)明的主要目的在于提供一種用于網(wǎng)絡(luò)安全防護(hù)的數(shù)據(jù)處理方法和裝置，以解決現(xiàn)有技術(shù)中內(nèi)網(wǎng)防護(hù)系統(tǒng)的防護(hù)性能低的問題。

為了實(shí)現(xiàn)上述目的，根據(jù)本發(fā)明的一個(gè)方面，提供了一種用于網(wǎng)絡(luò)安全防護(hù)的數(shù)據(jù)處理方法。根據(jù)本發(fā)明的用于網(wǎng)絡(luò)安全防護(hù)的數(shù)據(jù)處理方法包括：接收終端訪問應(yīng)用服務(wù)器的請(qǐng)求；按照請(qǐng)求解析應(yīng)用服務(wù)器的IP地址；判斷解析得到的IP地址是否是不安全的IP地址；如果判斷出解析得到的IP地址是不安全的IP地址，則將不安全的IP地址從應(yīng)答報(bào)文中刪除；以及將刪除不安全的IP地址后的應(yīng)答報(bào)文發(fā)送至終端。

進(jìn)一步地，在將刪除不安全的IP地址后的應(yīng)答報(bào)文發(fā)送至終端之前，數(shù)據(jù)處理方法還包括：將刪除不安全的IP地址后的應(yīng)答報(bào)文中的安全I(xiàn)P地址按照IP信譽(yù)排序；按照排序后的IP信譽(yù)的順序?qū)踩獻(xiàn)P地址保存在應(yīng)答報(bào)文中；以及在防火墻本地保存安全I(xiàn)P地址。

進(jìn)一步地，按照訪問服務(wù)器的請(qǐng)求解析應(yīng)用服務(wù)器的IP地址包括：在防火墻本地查找應(yīng)用服務(wù)器的IP地址；判斷在防火墻本地是否查找到應(yīng)用服務(wù)器的IP地址；以及如果在防火墻本地查找不到應(yīng)用服務(wù)器的IP地址，則將請(qǐng)求發(fā)送給DNS服務(wù)器，并接收DNS服務(wù)器解析得到的應(yīng)用服務(wù)器的IP地址。

進(jìn)一步地，按照訪問服務(wù)器的請(qǐng)求解析應(yīng)用服務(wù)器的IP地址包括：在防火墻本地查找應(yīng)用服務(wù)器的IP地址；判斷在防火墻本地是否查找到應(yīng)用服務(wù)器的IP地址；以及如果在防火墻本地查找到應(yīng)用服務(wù)器的IP地址，則不將請(qǐng)求發(fā)送給DNS服務(wù)器，直接調(diào)用查找到的應(yīng)用服務(wù)器的IP地址作為DNS服務(wù)器的應(yīng)答。

進(jìn)一步地，在將不安全的IP地址從應(yīng)答報(bào)文中刪除之后，數(shù)據(jù)處理方法還包括：判斷應(yīng)答報(bào)文中的安全I(xiàn)P地址的個(gè)數(shù)是否為0；如果判斷出應(yīng)答報(bào)文中的安全I(xiàn)P地址的個(gè)數(shù)為0，則向終端發(fā)出禁止訪問的應(yīng)答報(bào)文。