本發(fā)明公開(kāi)了一種網(wǎng)關(guān)以及基于網(wǎng)關(guān)的文件訪問(wèn)控制方法，能夠解決任意文件穿越網(wǎng)關(guān)邊界時(shí)，存在巨大的安全隱患的問(wèn)題。所述方法包括網(wǎng)關(guān)接收待轉(zhuǎn)發(fā)的包含傳輸文件的報(bào)文；深度解析所述包含傳輸文件的報(bào)文，獲取訪問(wèn)控制元素，獲取的訪問(wèn)控制元素包括所述傳輸文件的第一文件類(lèi)型和第二文件類(lèi)型；將獲取的訪問(wèn)控制元素與預(yù)設(shè)訪問(wèn)控制策略進(jìn)行匹配，根據(jù)匹配結(jié)果，執(zhí)行控制策略中對(duì)應(yīng)的動(dòng)作。能夠有效控制內(nèi)網(wǎng)的文件泄露和木馬、敏感信息的傳輸，為內(nèi)網(wǎng)增加一層安全壁壘。

技術(shù)領(lǐng)域

本發(fā)明涉及安全防護(hù)領(lǐng)域，尤指一種網(wǎng)關(guān)以及基于網(wǎng)關(guān)的文件訪問(wèn)控制方法。

背景技術(shù)

目前的應(yīng)用防火墻主要用來(lái)做常規(guī)的基于會(huì)話(huà)的訪問(wèn)控制和探測(cè)不同的攻擊行為，但都缺少對(duì)文件傳輸安全性的控制。在現(xiàn)實(shí)的攻防對(duì)抗越來(lái)越激烈的態(tài)勢(shì)下，整體防御、深度防御的安全理念逐漸深入人心。

網(wǎng)關(guān)作為安全防護(hù)的安全邊界，允許任意文件穿越網(wǎng)關(guān)邊界，存在著巨大的安全隱患，主要有兩點(diǎn)：一是文件泄露，內(nèi)網(wǎng)機(jī)密文件毫無(wú)覺(jué)察的傳出外網(wǎng)；二是內(nèi)網(wǎng)系統(tǒng)漏洞被黑客利用，向內(nèi)網(wǎng)傳輸和植入木馬等文件。

發(fā)明內(nèi)容

為了解決上述技術(shù)問(wèn)題，本發(fā)明提供了一種網(wǎng)關(guān)以及基于網(wǎng)關(guān)的文件訪問(wèn)控制方法，能夠解決任意文件穿越網(wǎng)關(guān)邊界，存在的巨大的安全隱患的問(wèn)題。

為了達(dá)到本發(fā)明目的，本發(fā)明提供了一種基于網(wǎng)關(guān)的文件訪問(wèn)控制方法，包括：

網(wǎng)關(guān)接收待轉(zhuǎn)發(fā)的包含傳輸文件的報(bào)文；

深度解析所述包含傳輸文件的報(bào)文，獲取訪問(wèn)控制元素，獲取的訪問(wèn)控制元素包括所述傳輸文件的第一文件類(lèi)型和第二文件類(lèi)型；

將獲取的訪問(wèn)控制元素與預(yù)設(shè)訪問(wèn)控制策略進(jìn)行匹配，根據(jù)匹配結(jié)果，執(zhí)行控制策略中對(duì)應(yīng)的動(dòng)作。

進(jìn)一步地，所述深度解析所述包含傳輸文件的報(bào)文，獲取訪問(wèn)控制元素，包括：

解析所述報(bào)文的傳輸協(xié)議，獲得文件名，從文件名中獲取所述傳輸文件的第一文件類(lèi)型；以及

使用文件類(lèi)型識(shí)別器解析報(bào)文，根據(jù)傳輸文件內(nèi)容獲取所述傳輸文件的第二文件類(lèi)型。

進(jìn)一步地，所述獲取的訪問(wèn)控制元素還包括以下元素中的一種或多種：源IP、目的IP、主文件名；

當(dāng)所述訪問(wèn)控制元素包括源IP和/或目的IP時(shí)，所述深度解析所述包含傳輸文件的報(bào)文，獲取訪問(wèn)控制元素，包括：解析所述報(bào)文的IP信息，獲取所述報(bào)文的源IP和/或目的IP；

當(dāng)所述訪問(wèn)控制元素包括主文件名時(shí)，所述深度解析所述包含傳輸文件的報(bào)文，獲取訪問(wèn)控制元素，包括：解析所述報(bào)文的傳輸協(xié)議，獲得文件名，從所述文件名中獲取所述傳輸文件的主文件名。

進(jìn)一步地，所述方法還包括：

根據(jù)所述報(bào)文的傳輸方向確定對(duì)應(yīng)的預(yù)設(shè)訪問(wèn)控制策略。

進(jìn)一步地，所述將獲取的訪問(wèn)控制元素與預(yù)設(shè)訪問(wèn)控制策略進(jìn)行匹配，包括：

判斷所述第一文件類(lèi)型、第二文件類(lèi)型與訪問(wèn)控制策略中的第三文件類(lèi)型三者匹配時(shí)，得到匹配的匹配結(jié)果；判斷所述第一文件類(lèi)型、第二文件類(lèi)型和第三文件類(lèi)型中，只要任意兩者不匹配，得到不匹配的匹配結(jié)果。

為了達(dá)到本發(fā)明目的，本發(fā)明還提供了一種網(wǎng)關(guān)，包括接收模塊、解析模塊和匹配模塊，其中：

所述接收模塊，用于接收待轉(zhuǎn)發(fā)的包含傳輸文件的報(bào)文；

所述解析模塊，用于深度解析所述接收模塊接收的所述包含傳輸文件的報(bào)文，獲取訪問(wèn)控制元素，獲取的訪問(wèn)控制元素包括第一文件類(lèi)型和第二文件類(lèi)型；

所述匹配模塊，用于將獲取的訪問(wèn)控制元素與預(yù)設(shè)訪問(wèn)控制策略進(jìn)行匹配，根據(jù)匹配結(jié)果，執(zhí)行控制策略中對(duì)應(yīng)的動(dòng)作。