[发明专利]网络安全防护方法以及防护设备

权利要求书

1.一种网络安全防护方法，其特征在于，所述方法包括：

防护设备获取客户端设备与服务器之间首个传输控制协议TCP会话中的第一数据报文，首个TCP会话为客户端设备与服务器之间建立的第一个会话，所述防护设备部署于所述客户端设备与所述服务器之间；

所述防护设备根据所述第一数据报文的应用层数据，识别所述第一数据报文的应用层协议类型；

所述防护设备确定所述应用层协议类型对应的检测模式为代理模式；

所述防护设备采用所述代理模式对所述首个TCP会话中的后续报文进行安全检测。

2.根据权利要求1所述的方法，其特征在于，所述防护设备获取客户端设备与服务器之间首个传输控制协议TCP会话中的第一数据报文之前，所述方法还包括：

所述防护设备获取所述客户端设备与所述服务器之间传输的第一握手报文，所述第一握手报文用于创建所述首个TCP会话，所述第一握手报文包括第一选项以及第二选项，所述第一选项为所述防护设备支持的选项，所述第二选项为所述防护设备不支持的选项；

所述防护设备从所述第一握手报文删除所述第二选项，从而得到第二握手报文；

所述防护设备向所述第一握手报文的目的设备发送所述第二握手报文。

3.根据权利要求2所述的方法，其特征在于，所述首个TCP会话中的后续报文包括第二数据报文，所述防护设备采用所述代理模式对所述首个TCP会话中的后续报文进行安全检测，包括：

所述防护设备接收并缓存所述第二数据报文；

所述防护设备根据所述第一选项生成针对所述第二数据报文的确认报文；

所述防护设备向所述第二数据报文的源设备发送针对所述第二数据报文的确认报文，所述第二数据报文的源设备为所述客户端设备或者所述服务器。

4.根据权利要求2所述的方法，其特征在于，所述首个TCP会话中的后续报文包括第三数据报文，所述防护设备采用所述代理模式对所述首个TCP会话中的后续报文进行安全检测，包括：

所述防护设备发送并缓存所述第三数据报文；

如果所述第三数据报文满足重传条件，所述防护设备根据所述第一选项向所述第三数据报文的目的设备重新发送所述第三数据报文，所述第三数据报文的目的设备为所述客户端设备或者所述服务器。

5.根据权利要求4所述的方法，其特征在于，所述重传条件包括：所述防护设备未接收到针对数据报文的确认报文；或者，

所述第一选项为选择性确认SACK选项，所述重传条件包括：所述防护设备根据来自于数据报文的目的设备的SACK选项中的信息，确定数据报文发生丢包。

6.根据权利要求2至5中任一项所述的方法，其特征在于，所述第一握手报文为来自于所述客户端设备的同步序列编号SYN报文，所述第一握手报文的目的设备为所述服务器；或者，

所述第一握手报文为来自于所述服务器的同步序列编号确认SYN ACK报文，所述第一握手报文的目的设备为所述客户端设备。

7.根据权利要求1所述的方法，其特征在于，所述安全检测为防病毒AV检测，所述防护设备采用所述代理模式对所述首个TCP会话中的后续报文进行安全检测，包括：

所述防护设备采用所述代理模式对所述首个TCP会话中的第四数据报文进行AV检测，所述第四数据报文为所述首个TCP会话中在所述第一数据报文之后传输的报文；

所述方法还包括：

如果所述防护设备对所述首个TCP会话中的第四数据报文进行AV检测的结果为不包含病毒，所述防护设备切换为流模式，并采用所述流模式针对所述首个TCP会话中所述第四数据报文之后传输的后续报文继续进行安全检测。