本发明提供一种使用白名单控制网络访问的方法,属于信息安全技术领域,本发明将允许的网络访问设置为白名单,阻止名单外的IP、端口、网络协议的连接,并记录尝试进行非法网络访问的日志。可有效阻止非法的网络连接,保护局域网络安全。
1.一种使用白名单控制网络访问的方法,其特征在于,将允许的网络访问设置为白名单,阻止名单外的IP、端口、网络协议的连接,并记录尝试进行非法网络访问的日志。
2.根据权利要求1所述的方法,其特征在于,具体操作步骤为:
2)当操作系统发起网络访问时,将目的IP地址、目的端口、网络协议与白名单列表中出站规则进行匹配,如果匹配成功,则允许连接,如果任一字段匹配失败,则拒绝连接,并记录日志;
3)当操作系统收到网络访问时,将源IP地址、源端口、目的端口、网络协议与白名单列表中入站规则进行匹配,如果匹配成功,则允许连接,如果任一字段匹配失败,则拒绝连接,并记录日志;
4)记录的日志内容包括:时间、协议类型【TCP、UDP、TCP/UDP】、连接类型【入站、出站】、源IP地址、目的IP地址、源端口、目的端口及操作结果【成功、失败】。
3.根据权利要求2所述的方法,其特征在于,设置网络访问的白名单包括:
使用白名单形式以控制入站、出站的网络连接,可以控制源IP、源端口、目的IP、目的端口;可以设置单个IP、IP段、IP子网,允许设置单个端口、端口范围。
4.根据权利要求3所述的方法,其特征在于,可添加数个白名单,组成白名单列表,当操作系统尝试进行白名单列表外的网络访问时给予阻止,并记录日志。
5.根据权利要求4所述的方法,其特征在于,协议类型包括:TCP、UDP;
源IP地址:发送网络数据包的IP地址或地址段,选项包括:任何IP地址、指定IP地址、指定IP地址子网以及指定IP地址范围;
源端口:发送网络数据包的TCP/UDP端口,选项包括:任何端口和指定端口;
目的IP地址:接收网络数据包的IP地址或地址段,选项包括:任何IP地址、指定IP地址、指定IP地址子网以及指定IP地址范围;
目的端口:接收网络数据包的TCP/UDP端口,选项包括:任何端口和指定端口。
一种使用白名单控制网络访问的方法
技术领域
[0001] 本发明涉及信息安全技术,尤其涉及一种使用白名单控制网络访问的方法。
背景技术
[0002] 在信息化飞速发展的今天,计算机网络得到了广泛应用,但随着网络之间信息传输量的急剧增长,一些机构和部门在得益于网络加快业务运作的同时,其上网的数据也遭到了不同程度的攻击和破坏。攻击者不仅可以窃听网络上的信息,窃取用户的口令、数据库的信息;还可以篡改数据库内容,伪造用户身份,否认自己的签名。更有甚者,他们删除数据库内容,摧毁网络节点,释放计算机病毒等等。这些都使数据的安全性和自身的利益受到了严重的威胁。许多网络系统都存在着这样那样的漏洞,这些漏洞有可能是系统本身所有的,如windows nt、unix等都有数量不等的漏洞;也有可能是由于网管的疏忽而造成的。黑客利用这些漏洞就能完成密码探测、系统入侵等攻击。对于系统本身的漏洞,可以安装软件补丁。
发明内容
[0003] 基于以上问题,本发明提出了一种使用白名单控制网络访问的方法。通过设置允许进行网络访问的白名单,从而限制名单外的网络访问。
[0004] 使用白名单形式控制计算机仅能进行名单内的IP、端口的网络连接,最大程度保证安全性。
[0005] 本发明的技术方案是:
[0006] 一种使用白名单控制网络访问的方法,
[0007] 将允许的网络访问设置为白名单,阻止名单外的IP、端口、网络协议的连接,并记录尝试进行非法网络访问的日志。
[0008] 具体操作步骤为:
[0009] 1)将页面中设置的白名单记录到数据库;
[0010] 2)当操作系统发起网络访问时,将目的IP地址、目的端口、网络协议与白名单列表中出站规则进行匹配,如果匹配成功,则允许连接,如果任一字段匹配失败,则拒绝连接,并记录日志;
[0011] 3)当操作系统收到网络访问时,将源IP地址、源端口、目的端口、网络协议与白名单列表中入站规则进行匹配,如果匹配成功,则允许连接,如果任一字段匹配失败,则拒绝连接,并记录日志;
[0012] 4)记录的日志内容包括:时间、协议类型【TCP、UDP、TCP/UDP】、连接类型【入站、出站】、源IP地址、目的IP地址、源端口、目的端口及操作结果【成功、失败】。
[0013] 设置网络访问的白名单包括:
[0014] 连接类型:网络连接类型,包括:入站和出站;
[0015] 协议类型:协议类型,包括:TCP、UDP,可单选也可多选;使用白名单形式以控制入站、出站的网络连接,可以控制源IP、源端口、目的IP、目的端口;可以设置单个IP、IP段、IP子网,允许设置单个端口、端口范围;
[0016] 源IP地址:发送网络数据包的IP地址或地址段,选项包括:任何IP地址、指定IP地址、指定IP地址子网以及指定IP地址范围;
[0017] 源端口:发送网络数据包的TCP/UDP端口,选项包括:任何端口和指定端口;
[0018] 目的IP地址:接收网络数据包的IP地址或地址段,选项包括:任何IP地址、指定IP地址、指定IP地址子网以及指定IP地址范围;
[0019] 目的端口:接收网络数据包的TCP/UDP端口,选项包括:任何端口和指定端口;
[0020] 可添加多个白名单,组成白名单列表,当操作系统尝试进行白名单列表外的网络访问时给予阻止,并记录日志。
[0021] 本发明的有益效果是
[0022] 本发明可将允许的网络访问设置为白名单,阻止名单外的IP、端口、网络协议等的连接,并记录尝试进行非法网络访问的日志。可有效阻止非法的网络连接,保护局域网络安全。
附图说明
[0023] 图1是本发明的工作流程示意图。
具体实施方式
[0024] 下面对本发明的内容进行更加详细的阐述:
[0025] 本发明提出了一种白名单方式控制网络访问的方法,此方法通过设置允许进行网络访问的白名单,从而限制名单外的网络访问。
[0026] 设置网络访问的白名单包括:
[0027] 连接类型:网络连接类型,包括:入站和出站;
[0028] 协议类型:协议类型,包括:TCP、UDP,可单选也可多选;
[0029] 源IP地址:发送网络数据包的IP地址或地址段,选项包括:任何IP地址、指定IP地址、指定IP地址子网以及指定IP地址范围;
[0030] 源端口:发送网络数据包的TCP/UDP端口,选项包括:任何端口和指定端口;
[0031] 目的IP地址:接收网络数据包的IP地址或地址段,选项包括:任何IP地址、指定IP地址、指定IP地址子网以及指定IP地址范围;
[0032] 目的端口:接收网络数据包的TCP/UDP端口,选项包括:任何端口和指定端口;
[0033] 可添加多个白名单,组成白名单列表,当操作系统尝试进行白名单列表外的网络访问时给予阻止,并记录日志。
[0034] 具体实施过程如下:
[0035] 1)将页面中设置的白名单记录到数据库
[0036] 2)当操作系统发起网络访问时,将目的IP地址、目的端口、网络协议与白名单列表中出站规则进行匹配,如果匹配成功,则允许连接,如果任一字段匹配失败,则拒绝连接,并记录日志
[0037] 3)当操作系统收到网络访问时,将源IP地址、源端口、目的端口、网络协议与白名单列表中入站规则进行匹配,如果匹配成功,则允许连接,如果任一字段匹配失败,则拒绝连接,并记录日志
[0038] 4)记录的日志内容包括:时间、协议类型【TCP、UDP、TCP/UDP】、连接类型【入站、出站】、源IP地址、目的IP地址、源端口、目的端口及操作结果【成功、失败】。
