一種防火墻網(wǎng)絡(luò)安全控制方法，包括，將應(yīng)用服務(wù)器系統(tǒng)中的應(yīng)用服務(wù)器防火墻設(shè)置為只保留代理服務(wù)器的防火墻例外規(guī)則的全屏蔽狀態(tài)，封鎖其余所有網(wǎng)絡(luò)通訊連接端口；當(dāng)客戶端上線，向代理服務(wù)器發(fā)送請(qǐng)求，代理服務(wù)器驗(yàn)證客戶端是否合法；當(dāng)驗(yàn)證為合法則根據(jù)設(shè)定的訪問(wèn)規(guī)則，通知應(yīng)用服務(wù)器系統(tǒng)的相關(guān)應(yīng)用服務(wù)器添加客戶端的例外規(guī)則，客戶端允許訪問(wèn)已添加其防火墻例外規(guī)則的應(yīng)用服務(wù)器；當(dāng)客戶端下線，代理服務(wù)器通知相關(guān)應(yīng)用服務(wù)器刪除客戶端的全部防火墻例外規(guī)則。以及一種防火墻網(wǎng)絡(luò)安全控制系統(tǒng)，本發(fā)明通過(guò)聯(lián)合管理區(qū)域網(wǎng)絡(luò)中的各個(gè)獨(dú)立的防火墻，使其達(dá)到動(dòng)態(tài)聯(lián)合的網(wǎng)絡(luò)通訊安全防御目的。

技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全管理技術(shù)，尤其是涉及一種防火墻網(wǎng)絡(luò)安全控制方法及其系統(tǒng)。

背景技術(shù)

隨著網(wǎng)絡(luò)技術(shù)的日益進(jìn)步，網(wǎng)絡(luò)安全在人們的生活和工作當(dāng)中已經(jīng)成了關(guān)系企業(yè)和個(gè)人信息安全和生產(chǎn)安全的關(guān)鍵堡壘，一旦出現(xiàn)襲擊和破壞，不能夠有效防御或及時(shí)修復(fù)，很可能會(huì)導(dǎo)致巨大的甚至是致命的損失。

無(wú)論是外部網(wǎng)絡(luò)還是局域網(wǎng)絡(luò)安全，對(duì)于企業(yè)和用戶來(lái)說(shuō)，同樣需要極其謹(jǐn)慎防范有可能存在的惡意攻擊。如今順應(yīng)網(wǎng)絡(luò)技術(shù)應(yīng)用的需求，網(wǎng)絡(luò)安全技術(shù)也得到了同步的發(fā)展，市場(chǎng)上已經(jīng)存在有許多領(lǐng)域中較為成熟的防范策略和防御工具，例如使用各種不同的網(wǎng)絡(luò)安全產(chǎn)品進(jìn)行防火墻的設(shè)置和防護(hù)。而大部分應(yīng)用服務(wù)器都服務(wù)于大型網(wǎng)絡(luò)中，如WEB服務(wù)器，Mail服務(wù)器等都直接服務(wù)于公網(wǎng)，其安全防護(hù)手段主要也是依賴防火墻進(jìn)行防御的。但幾乎所有的防火墻都是固定規(guī)則的，由于攻擊方一般都是在找到防御漏洞后在進(jìn)行襲擊，因此防御端口一般也是在出現(xiàn)漏洞的時(shí)候，再行添加新的規(guī)則進(jìn)行防御，非常的被動(dòng)。而且，漏洞的修復(fù)也需要時(shí)間處理，因此一旦遭受攻擊，漏洞不能及時(shí)修復(fù)，那么將會(huì)難免造成損失。

發(fā)明內(nèi)容

本發(fā)明解決的技術(shù)問(wèn)題是提供一種防火墻網(wǎng)絡(luò)安全控制方法，其能夠?qū)崿F(xiàn)主動(dòng)防御外部網(wǎng)絡(luò)的入侵和攻擊，有效保護(hù)服務(wù)器的網(wǎng)絡(luò)安全。

本發(fā)明的技術(shù)解決方案是：

一種防火墻網(wǎng)絡(luò)安全控制方法，其中，包括：

步驟一，將應(yīng)用服務(wù)器系統(tǒng)中的應(yīng)用服務(wù)器防火墻設(shè)置為只保留代理服務(wù)器的防火墻例外規(guī)則的全屏蔽狀態(tài)，封鎖其余所有網(wǎng)絡(luò)通訊連接端口；

步驟二，當(dāng)客戶端上線，向代理服務(wù)器發(fā)送請(qǐng)求，代理服務(wù)器驗(yàn)證客戶端是否合法；

步驟三，當(dāng)驗(yàn)證為非法，則保持所述應(yīng)用服務(wù)器防火墻對(duì)該客戶端為全屏蔽；

步驟四，當(dāng)驗(yàn)證為合法，則根據(jù)設(shè)定的訪問(wèn)規(guī)則，通知應(yīng)用服務(wù)器系統(tǒng)的相關(guān)應(yīng)用服務(wù)器添加所述客戶端的例外規(guī)則，所述客戶端允許訪問(wèn)已添加其防火墻例外規(guī)則的應(yīng)用服務(wù)器；

步驟五，當(dāng)所述客戶端下線，所述代理服務(wù)器通知相關(guān)應(yīng)用服務(wù)器刪除所述客戶端的全部防火墻例外規(guī)則。

如上所述的防火墻網(wǎng)絡(luò)安全控制方法，其中，步驟二中，所述代理服務(wù)器驗(yàn)證所述客戶端是否合法包括：

獲取所述客戶端的識(shí)別信息，包括客戶端編號(hào)、MAC地址、IP地址、操作系統(tǒng)信息、硬件序列號(hào)和密鑰的其中一種或組合，與所述代理服務(wù)器中的記錄進(jìn)行比對(duì)。

如上所述的防火墻網(wǎng)絡(luò)安全控制方法，其中，包括例外配置步驟：在代理服務(wù)器中配置所述客戶端允許訪問(wèn)的所述應(yīng)用服務(wù)器系統(tǒng)相關(guān)應(yīng)用服務(wù)器的例外列表。

如上所述的防火墻網(wǎng)絡(luò)安全控制方法，其中，包括組配置步驟：在所述代理服務(wù)器中配置組，所述組中包括多個(gè)客戶端；配置該組中的客戶端允許訪問(wèn)的應(yīng)用服務(wù)器；

所述步驟四中，驗(yàn)證為合法客戶端后，驗(yàn)證該客戶端是否屬于所述組，若是，則通知所述組中的客戶端允許訪問(wèn)的應(yīng)用服務(wù)器添加該客戶端的防火墻例外規(guī)則，允許該客戶端訪問(wèn)該組所配置的允許訪問(wèn)的應(yīng)用服務(wù)器。