(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210899453.7 (22)申请日 2022.07.28 (71)申请人 新华三信息安全技 术有限公司 地址 230001 安徽省合肥市高新区创新大 道2800号创新产业园二期H2栋 541室 (72)发明人 胡海林　 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种服务器的外联防护方法及装置 (57)摘要 本申请提供了一种服务器的外联防护方法 及装置， 设置于网络安全设备中。 该方法为： 接收 内网中的目标服务器对外发送的网络报文； 从网 络报文中解析出报文信息， 所述报文信息包括所 述目标服务器的第一IP地址； 利用第一IP地址匹 配预先学习到的第一防护策略表， 所述第一防护 策略表中包括学习到的所述内网所包括的服务 器的IP地址； 当第一IP地址命中第一防护策略表 时， 获取第一IP地址所指向的第二防护策略表， 所述第二防护策略表包括所述目标服务器所访 问主机的IP地址及对应的安全防护策略； 根据报 文信息中目标主机的第二IP地址， 确定第二防护 策略表中目标主机对应的安全防护策略； 根据确 定出的安全防护策略， 对网络报文进行防护处 理。 权利要求书2页 说明书10页 附图3页 CN 115459944 A 2022.12.09 CN 115459944 A 1.一种服 务器的外联防护方法， 其特 征在于， 应用于网络安全设备中， 所述方法， 包括： 接收内网中的目标服 务器对外发送的网络报文； 从所述网络报文中解析出报文信息， 所述报文信息包括所述目标服务器的第一IP地 址； 利用所述第 一IP地址匹配预先学习到的第一防护策略表， 所述第一防护策略表中包括 学习到的所述内网所包括的服 务器的IP地址； 当所述第一IP地址命中所述第一防护策略表时， 获取所述第一IP地址所指向的第二防 护策略表， 所述第二防护策略表包括所述目标服务器所访问主机的IP地址及对应的安全防 护策略； 根据所述报文信 息中目标主机的第 二IP地址， 确定所述第 二防护策略表中所述目标主 机对应的安全防护策略； 根据确定出的安全防护策略， 对所述网络报文 进行防护处 理。 2.根据权利要求1所述的方法， 其特 征在于， 还 包括： 当所述第 一IP地址未命中所述第 一防护策略表， 若确认需要学习所述目标服务器访问 所述目标主机的安全防护策略， 则将所述目标服务器的第一IP地址加入到所述第一防护策 略表中， 以及将学习到的安全防护策略加入到所述第一 IP地址指向的第二防护策略表中； 当所述第二防护策略表中不包括所述目标主机的安全防护策略时， 若确认需要学习所 述目标服务器访问所述目标主机的安全防护策略， 则将学习到的安全防护策略加入到所述 第一IP地址指向的第二防护策略表中； 根据学习到的安全防护策略处 理所述网络报文。 3.根据权利要求1所述的方法， 其特 征在于， 按照下述方法生成第二防护策略表： 获取服务器学习列表， 所述 服务器学习列表中包括需要学习的服 务器的IP地址； 根据所述服务器学习列表中的IP地址， 收集所述服务器学习列表中每个服务器访问主 机的网络报文中的报文信息； 根据收集到的每 个服务器的报文信息， 确定该服 务器访问的主机的安全防护策略； 根据分别学习到的该服务器访问每个主机的安全防护策略， 生成该服务器对应的所述 第二防护策略表。 4.根据权利要求2所述的方法， 其特征在于， 每个网络安全设备包括主控板和至少一个 业务板； 根据所述服务器学习列表中的IP地址， 收集所述服务器学习列表中每个服务器访问主 机的网络报文中的报文信息， 包括： 所述主控板将所述服务器学习列表下发给每个业务板， 以由每个业务板根据 所述服务 器学习列表中的IP地址， 收集所述服务器学习列表中每个服务器访问主机的网络报文中的 报文信息； 所述主控板 接收每个业务板收集到的报文信息； 根据收集到的每个服务器的报文信息， 确定该服务器访 问的主机的安全 防护策略， 包 括： 所述主控板将收集到的报文信息进行输出展示； 所述主控板 接收用户根据展示的报文信息配置的安全防护策略；权　利　要　求　书 1/2 页 2 CN 115459944 A 2根据学习到的每个主机的安全 防护策略， 生成该服务器对应的所述第二防护策略表， 包括： 所述主控板根据分别学习到的该服务器访问每个主机的安全防护策略， 生成该服务器 对应的所述第二防护策略表。 5.根据权利要求1所述的方法， 其特征在于， 所述第 一防护策略表采用数据链表的形式 存储内网中服务器的IP地址； 所述第二防护策略表采用数据 链表的形式存储所述第一防护 处理表中服务器访问主机的安全防护策略， 其中， 所述第一防护策略表中的每个IP地址指 向所述第二防护策略表中该IP地址对应的服 务器访问的主机的IP地址及安全防护策略。 6.一种服 务器的外联防护装置， 其特 征在于， 设置 于网络安全设备中， 所述装置， 包括： 接收模块， 用于 接收内网中的目标服 务器对外发送的网络报文； 解析模块， 用于从所述网络报文中解析出报文信息， 所述报文信息包括所述目标服务 器的第一 IP地址； 匹配模块， 用于利用所述第一IP地址匹配预先学习到的第一防护策略表， 所述第一防 护策略表中包括学习到的所述内网所包括的服 务器的IP地址； 获取模块， 用于当所述匹配模块的匹配结果为所述第 一IP地址命中所述第 一防护策略 表时， 获取所述第一IP地址所指向的第二防护策略表， 所述第二防护策略表包括所述目标 服务器所访问主机的IP地址及对应的安全防护策略； 确定模块， 用于根据所述报文信息中目标主机的第二IP地址， 确定所述第二防护策略 表中所述目标主机对应的安全防护策略； 防护模块， 用于根据确定出的安全防护策略， 对所述网络报文 进行防护处 理。 7.根据权利要求6所述的装置， 其特 征在于， 还 包括： 第一策略生成模块， 用于当所述匹配模块的匹配结果为所述第一IP地址未命中所述第 一防护策略表， 若确认需要学习 所述目标服务器访问所述 目标主机的安全防护策略， 则将 所述目标服务器的第一IP地址加入到所述第一防护策略表中， 以及将学习到的安全防护策 略加入到所述第一 IP地址指向的第二防护策略表中； 所述第一策略生成模块， 还用于当所述确定模块确定所述第 二防护策略表中不包括所 述目标主机的安全防护策略时， 若确认需要 学习所述目标服务器访问所述目标主机的安全 防护策略， 则将学习到的安全防护策略加入到所述第一 IP地址指向的第二防护策略表中； 所述防护模块， 还用于根据学习到的安全防护策略处 理所述网络报文。 8.根据权利要求6所述的装置， 其特 征在于， 还 包括： 第二策略生成模块， 用于按照下述方法生成第 二防护策略表： 获取服务器学习列表， 所 述服务器学习列表中包括需要 学习的服务器的IP地址； 根据所述服务器学习列表中的IP地 址， 收集所述服务器学习列表中每个服务器访问主机的网络报文中的报文信息； 根据收集 到的每个服务器的报文信息， 确定该服务器访问的主机的安全防护策略； 根据分别学习到 的该服务器访问每 个主机的安全防护策略， 生成该服 务器对应的所述第二防护策略表。 9.根据权利要求6所述的装置， 其特征在于， 所述第 一防护策略表采用数据链表的形式 存储内网中服务器的IP地址； 所述第二防护策略表采用数据 链表的形式存储所述第一防护 处理表中服务器访问主机的安全防护策略， 其中， 所述第一防护策略表中的每个IP地址指 向所述第二防护策略表中该IP地址对应的服 务器访问的主机的IP地址及安全防护策略。权　利　要　求　书 2/2 页 3 CN 115459944 A 3