(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111435996.5 (22)申请日 2021.11.29 (71)申请人 北京天融信网络安全技 术有限公司 地址 100085 北京市海淀区上地 东路1号院 3号楼四层 申请人 北京天融信科技有限公司 　 北京天融信软件 有限公司 (72)发明人 郝卓楠　谌颐　 (74)专利代理 机构 北京金信知识产权代理有限 公司 11225 代理人 喻嵘 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种终端安全防护方法及装置 (57)摘要 本发明提供一种终端安全防护方法及 装置， 应用于防火墙中， 所述方法包括： 获得第一终端 访问外网的流量报文； 基于所述流量报文确定所 述第一终端的IP地址； 基于所述IP地址与EDR管 理中心上报的资产列表判断所述第一终端是否 未安装EDR客户端； 基于判断结果确定处理策略， 所述处理策略包括第一策略及第二策略， 所述第 一策略包括禁止所述第一终端访问外网， 所述第 二策略包括为所述第一终端添加适配所述第一 终端的目标安全防护策略。 本发 明提供一种终端 安全防护方法， 用于结合EDR和防火墙而有效提 高终端的安全防护， 实现网络边界到终端的纵深 防御。 权利要求书2页 说明书10页 附图3页 CN 114143077 A 2022.03.04 CN 114143077 A 1.一种终端安全防护方法， 应用于防火墙中， 所述方法包括： 获得第一终端访问外网的流 量报文； 基于所述 流量报文确定所述第一终端的IP地址； 基于所述IP地址与EDR管理中心上报的资产列表判断所述第一终端是否未安装EDR客 户端； 基于判断结果确定处理策略， 所述处理策略包括第一策略及第二策略， 所述第一策略 包括禁止所述第一终端访问外网， 所述第二策略包括为所述第一 终端添加适配所述第一 终 端的目标安全防护策略。 2.根据权利要求1所述的方法， 其特 征在于， 还 包括： 所述EDR管理中心收集所有安装了所述EDR客户端的第二终端的资产信息， 并基于收集 的所述资产信息建立所述资产列表， 所述资产信息包括所述第二终端的IP地址； 所述EDR管理中心将所述资产列表上报至所述防火墙。 3.根据权利要求1所述的方法， 其特征在于， 所述基于所述IP地址与EDR管理中心上报 的资产列表判断所述第一终端是否未安装EDR客户端， 包括： 基于所述IP地址在所述资产列表中进行匹配查找， 若能够在所述资产列表中查找到对 应的IP地址， 则确 定所述第一终端安装了所述EDR客户端， 若未能查找到对应的IP地址， 则 确定所述第一终端未安装所述EDR客户端。 4.根据权利要求1所述的方法， 其特 征在于， 所述基于判断结果确定处 理策略， 包括： 若确定所述第一终端未安装所述EDR客户端， 则以第一策略处理所述流量报文及第一 终端； 若确定所述第一终端安装有所述EDR客户端， 则以第二策略处理所述流量报文及第一 终端。 5.根据权利要求4所述的方法， 其特征在于， 所述以第 一策略处理所述流量报文及第 一 终端， 包括： 确定所述 流量报文采用的数据传输协议； 丢弃所述流量报文， 以禁止所述第一终端访问外网； 在所述数据传输协议为目标协议的情况下， 基于所述目标协议将返回页面重定向至所 述EDR客户端的安装页面， 以引导所述第一终端安装所述EDR客户端。 6.根据权利要求4所述的方法， 其特征在于， 所述资产列表包含终端设备类型信息， 所 述以第二策略处 理所述流量报文及第一终端， 包括： 放行所述流量报文； 基于所述资产列表确定所述第一终端的设备类型； 基于所述第一终端的设备类型确定适配的目标安全 防护策略， 其中， 相同设备类型对 应的安全防护策略相同； 自动生成并启动所述目标安全防护策略。 7.根据权利要求6所述的方法， 其特征在于， 所述基于所述第 一终端的设备类型确定适 配的目标安全防护策略， 包括： 当所述设备类型为服务器时， 所述目标安全策略包括将所述第 一终端作为目标地址对 象；权　利　要　求　书 1/2 页 2 CN 114143077 A 2当所述设备类型为非服务器时， 所述目标安全策略包括将所述第 一终端作为源地址对 象。 8.根据权利要求6或7所述的方法， 其特征在于， 所述目标安全防护策略包括IPS、 WAF、 AV中的一种或多种。 9.根据权利要求6所述的方法， 其特 征在于， 所述启动所述目标安全防护策略， 包括： 确定管辖范围内与所述第一终端的设备类型相同的第三终端； 对所述第一终端、 第三终端均自动生成并启动所述目标安全防护策略。 10.一种终端安全防护装置， 应用于防火墙中， 所述装置包括： 获得模块， 用于获得第一终端访问外网的流 量报文； 第一确定模块， 用于根据所述 流量报文确定所述第一终端的IP地址； 判断模块， 用于根据所述IP地址与EDR管理中心上报的资产列表判断所述第一终端是 否未安装EDR客户端； 第二确定模块， 用于根据判断结果确定处理策略， 所述处理策略包括第一策略及第二 策略， 所述第一策略包括禁止所述第一终端访问外网， 所述第二策略包括为所述第一终端 添加适配所述第一终端的目标安全防护策略。权　利　要　求　书 2/2 页 3 CN 114143077 A 3