[发明专利]一种安全网关及其控制敏感链接的方法

说明书

技术领域

本发明涉及网络安全领域，尤其涉及一种安全网关及其控制敏感链接的方法。

背景技术

随着目前安全网关不断的发展，用户要求不断提高，应用的环境也越来越复杂，这就必然导致了相关网络安全设备不仅要在硬件设计上进行改善，更重要的是需要一个设计更为合理，更加健壮、稳定的软件体系框架。在这样趋势下，要求用户交互接口更加完善、易懂、语言化。

安全网关这个主要应用在网络层面的安全设备，成千上万的连接都会经过访问控制规则的过滤，对非法的连接起到限制作用。在这成千上万的连接中，必然HTTP链接会占相当大的比重，而其中一些用户关心的部分URL，我们称之为敏感URL，例如，一些非法反动网站等等。

假设当前需要在连接层面对HTTP进行访问控制的话，那么以当前网络安全通常所处的环境，每秒通常会并发几十万、甚至上百万的连接条目，那么在这些连接中，HTTP的连接无一例外的会占有绝大部分。然而，如果当前网络安全设备接入到互联网出口或者中心区域，那么上边的应用场景显然是成立的。那么这个时候就必须面对以下几个问题：(1)如何快速高效的从这些链接中过滤出用户需要控制的连接；(2)过滤出来的链接如何提供接口给网络安全系统。然而，现有技术对于上述问题确没有给出很好的解决方案。

发明内容

为了解决现有技术中存在的问题，本发明提供一种安全网关及其控制敏感链接的方法，能够有效地过滤出用户需要控制的连接，提升网络安全设备的防御性能，使网络安全设备的访问控制功能更加强大，更加安全可信。

具体的，本发明提供的安全网关控制敏感链接的方法，包括：

读取预先指定的敏感URL并建立状态转换表；

解析DNS数据流获取二元组消息，所述二元组消息包括URL和IP信息；

查找所述状态转换表，检测所述二元组消息中URL是否为敏感链接，若是，则将所述二元组消息存入预先配置的敏感URL池内；

接收HTTP报文，查找所述敏感URL池，若所述HTTP报文的目的IP地址与敏感URL池内的表项匹配，则根据预先配置的策略对所述HTTP报文进行处理。

其中，所述状态转换表内记录有所有敏感URL中各字符间的状态跳转关系。

进一步的，本发明所述方法中，建立状态转换表具体为：

步骤30、计算读取的敏感URL的个数，并逐一检测各敏感URL；

步骤31、判断当前检测的敏感URL中字符状态是否已经在状态转换表中存在，若不存在，执行步骤32；否则，执行步骤33；

步骤32、在状态转换表中存储该字符状态，执行步骤33；

步骤33、判断当前检测的敏感URL的字符是否为最后的字符，若是，执行34；否则，处理当前检测的敏感URL的下一字符，返回步骤31；

步骤34、存储结束状态，检测下一个敏感URL，返回步骤31。

进一步的，在建立状态转换表后还包括：遍历所述状态转换表内记录的各状态，并在检测到某状态跳转错误时，调用失败函数进行状态修改。

本发明所述方法中，预先配置的策略包括：放行、禁止、写日志或者查毒。

本发明所述方法还包括：

定期检测所述敏感URL池内的各表项，若检测到某一个或多个表项在设定的时间内未被使用过，则将对应的表项删除。

本发明还提供一种安全网关，包括：有限状态自动机、DNS发现模块和访问控制模块；

所述有限状态自动机，用于基于读取的敏感URL建立状态转换表；并在接收到DNS发现模块输入的包括URL和IP信息的二元组消息时，查找所述状态转换表，检测所述二元组消息中URL是否为敏感链接，若是，则将所述二元组消息存入预先配置的敏感URL池内；

所述DNS发现模块，用于解析获取的DNS数据流得到二元组消息，并将该二元组消息输出至所述有限状态自动机；

所述访问控制模块，用于基于接收到的HTTP报文查找所述敏感URL池，若该报文的目的IP地址与敏感URL池内的表项匹配，则根据预先配置的策略对所述HTTP报文进行处理。

其中，所述状态转换表记录有所有敏感URL中各字符间的状态跳转关系。

所述预先配置的策略包括：放行、禁止、写日志或者查毒。

进一步的，本发明所述安全网关还包括：

敏感URL池维护模块，用于定期检测所述敏感URL池内的各表项，若检测到某一个或多个表项在设定的时间内未被使用过，则将对应的表项删除。

与现有技术相比，本发明有益效果如下：