(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 20221081839 2.7 (22)申请日 2022.07.13 (71)申请人 杭州云缔盟科技有限公司 地址 310000 浙江省杭州市西湖区西溪谷 商务中心10号楼1 1层1102室 (72)发明人 陈浩　李宗宇　 (74)专利代理 机构 杭州汇和信专利代理有限公 司 33475 专利代理师 董超 (51)Int.Cl. H04L 9/40(2022.01) G06F 9/50(2006.01) (54)发明名称 针对Windows进程的网络访问阻断方法、 装 置及应用 (57)摘要 本申请提出了一种针对Windows进程的网络 访问阻断方法、 装置及应用， 所述方法包括： 监测 客户端运行的应用软件产生的网络报文， 获取网 络报文中的客户端发出的用于请求建立与服务 器之间TCP连接的SYN报文； 判断该SYN报文 的目 的地址和端口是否命中网络访问策略， 得到判断 结果； 根据判断结果判断SYN报文中是否包含禁 止访问目的地址或者端口， 若是， 则向客户端以 及服务端分别发送RST报文； TCP连接的客户端和 服务端基于接收到的RST报文， 关闭准备建立的 TCP连接。 本方案能够在主机软件上实现对应用 访问网络的细粒度控制， 使 得在主机软件层面能 对各种应用进行阻断或放行。 权利要求书1页 说明书7页 附图4页 CN 114915497 A 2022.08.16 CN 114915497 A 1.一种针对W indows进程的网络访问阻断方法， 其特 征在于， 所述方法包括： 监测客户端运行的应用软件产生的网络报文， 获取网络报文中的客户端发出的用于请 求建立与服 务器之间TCP连接的SYN报文； 判断该SYN报文的目的地址和端口是否命中网络访问策略， 得到判断结果； 根据判断结果判断SYN报文中是否包含禁止访问目的地址或者端口， 若是， 则向客户端 以及服务端分别发送RST报文； TCP连接的客户端和服 务端基于 接收到的RST报文， 关闭准备建立的TCP连接 。 2.根据权利要求1所述的针对Windows进程的网络访问阻断方法， 其特征在于， 网络访 问策略中预设禁止客户端访问的禁止目的地址和 禁止访问端口， 将每个SYN报文的目的地 址和端口与网络访问策略中的禁止目的地址和禁止访问端口进行匹配， 并根据是否匹配生 成判断结果。 3.根据权利要求1所述的针对Windows进程的网络访问阻断方法， 其特征在于， 在SYN报 文通过TCP协议栈被发送到服 务器端口前， 获取SYN报文。 4.根据权利要求1所述的针对Windows进程的网络访问阻断方法， 其特征在于， 获取判 断结果后将SYN报文送回TCP协议栈， 以完成后续建链流 程。 5.根据权利要求1所述的针对Windows进程的网络访问阻断方法， 其特征在于， RST报文 被用于客户端或服 务端重置建立TCP连接 。 6.根据权利要求5所述的针对Windows进程的网络访问阻断方法， 其特征在于， RST上设 有与TCP连接相对应的唯一标识， 根据唯一标识确定待关闭的TCP连接 。 7.根据权利要求1所述的针对Windows进程的网络访问阻断方法， 其特征在于， 所述RST 报文由策略执行代理模块向客户端以及服务端分别发送， 其中， 策略执行代理模块设置于 客户端的主机系统。 8.根据权利要求7所述的针对Windows进程的网络访问阻断方法， 其特征在于， 策略执 行代理模块独立于应用软件， 用于根据策略中心中的网络访问策略实现对应用软件产生的 建立与异常服 务器之间TCP连接的阻断。 9.一种针对W indows进程的网络访问阻断装置， 其特 征在于， 包括： 获取模块， 用于监测客户端运行的应用软件产生的网络报文， 获取网络报文中的客户 端发出的用于请求建立与服 务器之间TCP连接的SYN报文; 判断模块， 用于判断该SYN报文的目的地址和端口是否命中网络访问策略， 得到判断结 果； 阻断模块， 用于根据判断结果判断SYN报文中是否包含禁止访问目的地址或者端口， 若 是， 则向客户端以及服 务端分别发送RST报文； 处理模块， 用于TCP连接的客户端和服务端基于接收到的RST报文， 关闭准备建立的TCP 连接。 10.一种可读存储介质， 其特征在于， 所述可读存储介质中存储有计算机程序， 所述计 算机程序包括用于控制过程以执行过程的程序代码， 所述过程包括根据权利要求1至8任一 项所述的针对W indows进程的网络访问阻断方法。权　利　要　求　书 1/1 页 2 CN 114915497 A 2针对Windows进程的网 络访问阻断方 法、 装置及应用 技术领域 [0001]本申请涉及通信技术领域， 特别是涉及针对Windows进程的网络访问阻断方法、 装 置及应用。 背景技术 [0002]随着网络安全特别是零信任概念的发展， 逐渐出现了根据用户/时间/地点/应用 等多因素生成网络访问控制的策略的需求， 比如某些场景限制应用访问某些地址。 面对复 杂的网络控制策略， 传统的通过硬件防火墙等网闸设备实现网络访问阻断是不太容易满足 的： 因为这种复杂控制策略是很细粒度的， 而且最好在用户主机系统上执行， 即直接在计算 机主机软件层面对各种的应用进行阻断或者放行。 一般来说， 会有一个策略中心和策略执 行代理， 由策略中心下发策略给策略执行代理， 再由策略执行代理在用户主机上执行， 如此 完成策略的下发和实施。 [0003]目前网络控制策略实现主要有两种类型。 一种是通过在主机系统驱动或者协议栈 对收发报文进 行规则匹配， 如果匹配到禁止规则就进 行报文丢弃， 这种机制实现的有Linux 中的iptables或者windows中的防火墙软件； 另外一种是对主机系统中运行的软件进程进 行动态库注入， 然后对网络接口函数进行替换， 在替换函数内实现对访问的域名或者IP地 址进行规则判断， 从而达 到禁止访问某些域名或者 IP的目的。 [0004]针对目前已有的网络控制策略， 主 要存在以下几点 缺陷： 1、 在主机驱动或者协议层实现报文规则匹配并丢弃， 该方法虽然可以直接对进程 的网络访问进行阻断， 但缺陷是无法处理复杂网络阻断规则。 比如采用该方法仅能控制所 有应用允许访问的公网或者私网， 但无法针对指定软件进行访问网络的控制。 [0005]2、 通过动态库注入这种方式是入侵式的， 缺陷在于需要考虑软件兼容性的问题， 若兼容性差则容易导致软件容易崩溃异常。 此外在每次的应用软件升级后， 都要进行兼容 性适配。 [0006]综上， 针对目前的网络访问控制方法存在的细粒度低、 需侵入应用进程的问题， 目 前尚未得到有效解决方案 。 发明内容 [0007]本申请实施例提供了针对Windows进程的网络访问阻断方法、 装置及 应用， 能够在 主机软件上实现对应用访问网络的细粒度控制， 使得在主机软件层面能对 各种应用进 行阻 断或放行。 [0008]第一方面， 本申请实施例提供了一种针对Windows进程的网络访问阻断方法， 所述 方法包括： 监测客户端运行 的应用软件产生的网络报文， 获取网络报文中的客户端发出 的 用于请求建立与服务器之间TCP连接的SYN报文； 判断该SYN报文的目的地址和端口是否命 中网络访问策略， 得到判断结果； 根据判断结果判断S YN报文中是否包含禁止访问目的地址 或者端口， 若 是， 则向客户端以及服务端分别发送RST报文； TCP连接的客户端和服务端基于说　明　书 1/7 页 3 CN 114915497 A 3