[发明专利]网络安全防护方法以及防护设备

说明书

本申请提供了一种网络安全防护方法以及防护设备，属于通信技术领域。在客户端与服务器之间交互首个会话的报文时，防护设备通过根据首个会话的报文中的应用层数据，识别应用层协议类型，根据应用层协议类型确定检测模式为代理模式，则采用代理模式对首个TCP会话的后续报文进行安全检测，从而突破首个TCP会话的报文只能采用流模式检测的技术瓶颈，保证首个TCP会话的报文也能通过代理模式检测，避免首个TCP会话的报文局限于流模式造成攻击漏检。

技术领域

本申请涉及通信技术领域，特别涉及一种网络安全防护方法以及防护设备。

背景技术

现代网络安全防护方案的基本原理是在客户端与受保护的服务器之间部署防护设备(如防火墙)，由防护设备对客户端与服务器之间交互的报文进行检测。

代理模式是防护设备的重要检测模式。代理模式的原理是防护设备代替服务器发送确认报文给客户端，并且防护设备代替客户端发送确认报文给服务器。在代理模式下，防护设备需要使用传输控制协议/互联网协议(transmission control protocol/internetprotocol，TCP/IP)协议栈负责报文的可靠发送。代理模式有助于检测出复杂的网络攻击，更能满足安全防护的需求，然而代理模式防护设备需要对大量数据报文进行缓存重组、以及支持完整的协议栈，因此需要消耗大量资源。

相关技术中，在客户端和服务器数量较大时，由于处理性能的限制，防护设备难以对每个客户端和服务器之间所有会话中交互的报文都采用代理模式进行检测。通常的做法是防护设备在客户端和服务器之间建立首个会话的过程中进行识别，并记录首个会话的IP地址、目的端口号、以及协议类型等信息，以确定是否需要以代理模式对同一客户端与同一服务器上的同一端口之间建立的后续会话进行检测。这种方案，防护设备实际上未对客户端和服务器之间建立首个会话中的报文进行安全检测，在这种方案中，如果客户端与服务器之间交互的首个会话中的报文存在攻击行为，则防护设备就会出现漏检问题。

发明内容

本申请实施例提供了一种网络安全防护方法以及防护设备，有助于避免首个会话中的报文存在攻击行为时出现漏检。所述技术方案如下。

第一方面，提供了一种网络安全防护方法，在该方法中，防护设备获取客户端设备与服务器之间首个TCP会话中的第一数据报文，所述首个TCP会话为客户端设备与服务器之间建立的第一个会话，所述防护设备部署于所述客户端设备与所述服务器之间；所述防护设备根据所述第一数据报文的应用层数据，识别所述第一数据报文的应用层协议类型；所述防护设备确定所述应用层协议类型对应的检测模式为代理模式；所述防护设备采用所述代理模式对所述首个TCP会话中的后续报文进行安全检测。

第一方面提供了能够快速切换至代理模式的方案。在客户端与服务器之间交互首个会话的报文时，防护设备通过根据首个会话的报文中的应用层数据，识别应用层协议类型，根据应用层协议类型确定检测模式为代理模式，则采用代理模式对首个TCP会话的后续报文进行安全检测，从而突破首个TCP会话的报文只能采用流模式检测的技术瓶颈，保证首个TCP会话的报文也能通过代理模式检测，避免首个TCP会话的报文局限于流模式造成攻击漏检。

可选地，所述防护设备获取客户端设备与服务器之间首个TCP会话中的第一数据报文之前，所述方法还包括：所述防护设备获取所述客户端设备与所述服务器之间传输的第一握手报文，所述第一握手报文用于创建所述首个TCP会话，所述第一握手报文包括第一选项以及第二选项，所述第一选项为所述防护设备支持的选项，所述第二选项为所述防护设备不支持的选项；所述防护设备从所述第一握手报文删除所述第二选项，从而得到第二握手报文；所述防护设备向所述第一握手报文的目的设备发送所述第二握手报文。

通过上述可选方式，避免因客户端设备和服务器设备使用防护设备不支持的选项进行通信而造成的防护设备针对首条流切换到代理模式后，由于难以解析客户端或者服务器使用的选项造成报文传输失败，提高模式切换流程的可靠性和成功率。