本申請涉及一種網絡流量攔截方法、系統、裝置、計算機設備和存儲介質。通過獲取需要對網絡設備進行訪問的流量中的采用TCP/IP協議傳輸的數據包，還可以獲取該數據包中的源IP地址，再可以利用共享內存通信機制訪問預設的共享內存，從共享內存中獲取針對網絡設備的已認證IP地址，再可以根據源IP地址和上述針對網絡設備的已認證IP地址，確定是否攔截上述流量。相較于傳統的通過網橋部署方式和旁掛部署方式，本方案通過將流量中采用TCP/IP協議傳輸的數據包中的源IP地址與共享內存中存儲的針對網絡設備的認證用戶的已認證IP地址進行對比，可以確定是否攔截上述流量，實現更直接地攔截不符合條件的流量，提高了攔截網絡流量的效率。

技術領域

本申請涉及網絡安全技術領域，特別是涉及一種網絡流量攔截方法、系統、裝置、計算機設備和存儲介質。

背景技術

隨著互聯網通信技術的發展，計算機設備之間的網絡通信越來越頻繁，網絡安全對于用戶也越來越重要，維護網絡安全包括抵御網絡外部的安全威脅和網絡內部的安全威脅。其中，抵御網絡外部安全威脅通常通過在網關級別和網絡邊界等方面進行防御，網絡安全設備大致集中于機房或網絡入口處，在這些設備的嚴密監控下，來自網絡外部的安全威脅大大減小，相反，如何抵御來自網絡內部的計算機客戶端的安全威脅是更為重要的問題，而要抵御網絡內部的安全威脅需要對網絡流量進行監控。

傳統的對網絡流量進行監控攔截的方法通常是通過網橋部署或旁掛部署方式對網絡流量進行攔截，其中，網橋部署方式直接將設備放在網絡出口作為網關使用；而旁掛部署的方式下的設備僅對網絡流量進行統計、掃描或記錄，然而這兩種方式下的網絡流量攔截效率都比較低。

因此，傳統的網絡流量攔截方法存在攔截效率不高的缺陷。

發明內容

基于此，有必要針對上述技術問題，提供一種能夠提高監控效率的網絡流量攔截方法、系統、裝置、計算機設備和存儲介質。

一種網絡流量攔截方法，應用于攔截器，所述攔截器與交換機連接，所述方法包括：

獲取需要對網絡設備進行訪問的流量中的采用TCP/IP協議傳輸的數據包；

獲取所述數據包中的源IP地址；

利用共享內存通信機制訪問預設的共享內存，從所述共享內存中獲取針對所述網絡設備的已認證IP地址；所述共享內存中存儲有針對所述網絡設備的多個認證用戶的已認證IP地址；

根據所述源IP地址和所述針對所述網絡設備的已認證IP地址，確定是否攔截所述流量。

在一個實施例中，所述獲取需要對網絡設備進行訪問的流量中的采用TCP/IP協議傳輸的數據包，包括：

通過所述攔截器的數據平臺開發套件接口，從所述交換機中接收需要對網絡設備進行訪問的流量中的TCP流量；所述交換機通過預設網絡通信協議從應用層轉發得到需要對網絡設備進行訪問的流量；

從所述需要對網絡設備進行訪問的流量中的TCP流量中獲取所述采用TCP/IP協議傳輸的數據包。

在一個實施例中，根據所述源IP地址和所述針對所述網絡設備的已認證IP地址，確定是否攔截所述流量，包括：

判斷所述源IP地址與所述針對所述網絡設備的已認證IP地址是否一致，得到判斷結果；

當所述判斷結果為一致時，確定不攔截所述流量；

當所述判斷結果為不一致時，確定攔截所述流量。

在一個實施例中，確定不攔截所述流量之后，包括：

釋放所述數據包，以使所述流量對所述對網絡設備進行訪問。

在一個實施例中，所述確定攔截所述流量之后，包括：