專利名稱:一種linux網(wǎng)絡(luò)架構(gòu)下應(yīng)用連接防火墻的實(shí)現(xiàn)方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通用網(wǎng)絡(luò)設(shè)備安全領(lǐng)域,尤其涉及一種Iinux網(wǎng)絡(luò)架構(gòu)下應(yīng)用連接防火墻的實(shí)現(xiàn)方法。
背景技術(shù):
隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展����,對網(wǎng)絡(luò)通訊設(shè)備的安全性能要求也越來越高����,傳統(tǒng)的包過濾和代理防火墻功能�����,以及目前比較先進(jìn)的基于TCP/UDP層的狀態(tài)數(shù)據(jù)包檢查(SPI)防火墻已經(jīng)不能滿足當(dāng)前Iinux網(wǎng)絡(luò)架構(gòu)下的安全需求����。目前迫切需要一種基于七層應(yīng)用連接技術(shù)的高安全級(jí)別的防火墻�。
發(fā)明內(nèi)容
本發(fā)明的目的在于提供一種Iinux網(wǎng)絡(luò)架構(gòu)下應(yīng)用連接防火墻的實(shí)現(xiàn)方法,通過基于連接跟蹤技術(shù)���,實(shí)現(xiàn)一種基于七層應(yīng)用連接的高安全級(jí)別的防火墻。本發(fā)明的目的是通過以下技術(shù)方案實(shí)現(xiàn)的����。一種Iinux網(wǎng)絡(luò)架構(gòu)下應(yīng)用連接防火墻的實(shí)現(xiàn)方法�,包括步驟:
a:系統(tǒng)啟動(dòng)時(shí)���,正則表達(dá)式匹配引擎模塊通過調(diào)用初始化接口函數(shù)對應(yīng)用層的特征碼配置文件進(jìn)行初始化處理��;
b:數(shù)據(jù)報(bào)文到達(dá)連接跟蹤模塊時(shí)����,系統(tǒng)將連接跟蹤模塊進(jìn)行擴(kuò)展處理;c:數(shù)據(jù)報(bào)文經(jīng)網(wǎng)絡(luò)層、傳輸層連接過濾處理后��,由應(yīng)用層對數(shù)據(jù)報(bào)文進(jìn)行匹配分析處理連接。優(yōu)選的,步驟a所述初始化處理包括獲取應(yīng)用層各種特征數(shù)據(jù)的匹配參數(shù)信息����。優(yōu)選的,所述特征碼配置文件為應(yīng)用連接防火墻的配置文件。優(yōu)選的�,步驟b具體包括:連接跟蹤模塊中保存了網(wǎng)絡(luò)層連接數(shù)據(jù)���、傳輸層連接數(shù)據(jù)和應(yīng)用層連接數(shù)據(jù)����,由網(wǎng)絡(luò)層��、傳輸層根據(jù)對應(yīng)層的防御策略對數(shù)據(jù)報(bào)文進(jìn)行連接過濾處理����。優(yōu)選的�,所述連接過濾處理包括對數(shù)據(jù)報(bào)文進(jìn)行通過�����、修改、刪除或斷開連接等處理�。優(yōu)選的,步驟c具體包括:通過正則表達(dá)式匹配引擎模塊對應(yīng)用層的字符串進(jìn)行比較匹配�����,如匹配上�,則設(shè)置可識(shí)別的應(yīng)用連接���;否則��,設(shè)置為不可識(shí)別應(yīng)用連接。優(yōu)選的����,通過正則表達(dá)式匹配引擎模塊對應(yīng)用層的字符串進(jìn)行比較匹配���,如匹配上��,則還包括更新連接跟蹤中對應(yīng)用識(shí)別標(biāo)志信息參數(shù)。本發(fā)明與現(xiàn)有技術(shù)相比�,有益效果在于:本發(fā)明提供的Iinux網(wǎng)絡(luò)架構(gòu)下應(yīng)用連接防火墻的實(shí)現(xiàn)方法,在基于連接跟蹤技術(shù)基礎(chǔ)上�����,Iinux系統(tǒng)添加一個(gè)正則表達(dá)式匹配引擎模塊����,對匹配連接跟蹤的報(bào)文進(jìn)行應(yīng)用層字符串的匹配處理,從而進(jìn)行應(yīng)用層信息識(shí)別處理���,如果匹配上則設(shè)置可識(shí)別的應(yīng)用連接和更新應(yīng)用標(biāo)示信息�����,不匹配則設(shè)置為不可識(shí)別應(yīng)用連接。從而解決現(xiàn)有的Netfilter架構(gòu)無法識(shí)別七層應(yīng)用的問題,實(shí)現(xiàn)對數(shù)據(jù)報(bào)文進(jìn)行從IP層到應(yīng)用層的全方位識(shí)別和控制���。
圖1為本發(fā)明應(yīng)用連接防火墻的實(shí)現(xiàn)方法的系統(tǒng)架構(gòu)圖���。圖2為本發(fā)明應(yīng)用連接防火墻的實(shí)現(xiàn)方法流程圖���。
具體實(shí)施例方式在網(wǎng)絡(luò)通訊設(shè)備中使用最多的是Linux操作系統(tǒng)�����,Linux系統(tǒng)使用Netfilter框架來實(shí)現(xiàn)連接跟蹤狀態(tài)防火墻功能,netfiIter主要采用連接跟蹤(Connection Tracking)技術(shù)�,連接跟蹤是包過濾的基礎(chǔ)�,它作為一個(gè)獨(dú)立的模塊運(yùn)行�。采用連接跟蹤模塊在協(xié)議棧低層截取數(shù)據(jù)包�,將當(dāng)前數(shù)據(jù)包及其狀態(tài)信息與歷史數(shù)據(jù)包及其狀態(tài)信息進(jìn)行比較,從而得到當(dāng)前數(shù)據(jù)包的控制信息�,根據(jù)這些控制信息決定對網(wǎng)絡(luò)數(shù)據(jù)包的操作�����,達(dá)到保護(hù)網(wǎng)絡(luò)的目的�。具體地,當(dāng)下層網(wǎng)絡(luò)接收到初始化連接同步(Synchronize, SYN)包�����,將被netfilter規(guī)則庫檢查�。該數(shù)據(jù)包將在規(guī)則庫中依次序進(jìn)行比較�����。如果該包應(yīng)被丟棄,發(fā)送一個(gè)復(fù)位(Reset���,RST)包到遠(yuǎn)端主機(jī),否則連接接收�。并將該次連接的信息保存在連接跟蹤信息表中���,且表明該數(shù)據(jù)包所應(yīng)有的狀態(tài)。連接跟蹤信息表位于內(nèi)核模式下����,其后的網(wǎng)絡(luò)數(shù)據(jù)包將與此連接跟蹤信息表中的內(nèi)容進(jìn)行比較����,根據(jù)信息表中的信息來決定該數(shù)據(jù)包的操作����。因?yàn)閿?shù)據(jù)包首先是與連接跟蹤信息表進(jìn)行比較,只有SYN包才與netfilter規(guī)則庫進(jìn)行比較�����,數(shù)據(jù)包與連接跟蹤信息表的比較都是在內(nèi)核模式下進(jìn)行的����,所以速度很快�。為了使本發(fā)明的目的、技術(shù)方案及優(yōu)點(diǎn)更加清楚明白�����,以下結(jié)合附圖及實(shí)施例���,對本發(fā)明進(jìn)行進(jìn)一步詳細(xì)說明。應(yīng)當(dāng)理解�,此處所描述的具體實(shí)施例僅僅用以解釋本發(fā)明,并不用于限定本發(fā)明。請參閱圖1所示���,本發(fā)明應(yīng)用連接防火墻的實(shí)現(xiàn)方法的系統(tǒng)架構(gòu)圖,包括:正則表達(dá)式匹配引擎模塊�����、連接跟蹤模塊��。正則表達(dá)式匹配引擎模塊用于對連接跟蹤的報(bào)文進(jìn)行應(yīng)用層的數(shù)據(jù)深入比較匹配分析處理����;
連接跟蹤模塊用于連接跟蹤的包過濾處理�,它作為一個(gè)獨(dú)立的Iinux內(nèi)核模塊運(yùn)行����,是Netfilter的連接跟蹤(Connection Tracking)關(guān)鍵技術(shù)的核心模塊�。請參閱圖2所示,本發(fā)明應(yīng)用連接防火墻的實(shí)現(xiàn)方法,包括:
步驟201 =Iinux系統(tǒng)啟動(dòng)時(shí),正則表達(dá)式匹配引擎模塊通過調(diào)用初始化接口函數(shù)對應(yīng)用層的特征碼配置文件進(jìn)行初始化處理;
具體包括對應(yīng)用層的特征碼配置文件進(jìn)行初始化處理�����,目的就是獲取應(yīng)用層各種特征數(shù)據(jù)的匹配參數(shù)信息便于后續(xù)進(jìn)行應(yīng)用連接數(shù)據(jù)匹配分析處理����。上述特征碼配置文件為應(yīng)用連接防火墻的配置文件�����。步驟202:數(shù)據(jù)報(bào)文到達(dá)連接跟蹤模塊時(shí)���,系統(tǒng)將連接跟蹤模塊進(jìn)行擴(kuò)展處理���; 具體地,連接跟蹤模塊中保存了網(wǎng)絡(luò)層連接數(shù)據(jù)���、傳輸層連接數(shù)據(jù)和應(yīng)用層連接數(shù)據(jù)���,
由網(wǎng)絡(luò)層�����、傳輸層根據(jù)對應(yīng)層的防御策略對數(shù)據(jù)報(bào)文進(jìn)行連接過濾處理���。上述連接過濾處理包括對數(shù)據(jù)報(bào)文進(jìn)行通過�、修改、刪除或斷開連接等處理�。
步驟203:數(shù)據(jù)報(bào)文經(jīng)網(wǎng)絡(luò)層���、傳輸層連接過濾處理后����,由應(yīng)用層對數(shù)據(jù)報(bào)文進(jìn)行匹配分析處理連接���。具體通過正則表達(dá)式匹配引擎模塊對應(yīng)用層的字符串進(jìn)行比較匹配���,如匹配上,則設(shè)置可識(shí)別的應(yīng)用連接和更新連接跟蹤中對應(yīng)用識(shí)別標(biāo)志信息參數(shù),否則,設(shè)置為不可識(shí)別應(yīng)用連接����,從而實(shí)現(xiàn)對數(shù)據(jù)報(bào)文進(jìn)行從IP層到應(yīng)用層的全方位識(shí)別和控制。本發(fā)明應(yīng)用連接防火墻的實(shí)現(xiàn)方法不僅可以用于基于七層應(yīng)用級(jí)防火墻的實(shí)現(xiàn)���,而且還可以應(yīng)用于QoS用來保障七層應(yīng)用業(yè)務(wù)流��。具體實(shí)例�����,比如P2P軟件的協(xié)商數(shù)據(jù),由于可能是在任何一個(gè)端口進(jìn)行���,靠端口來識(shí)別協(xié)議是不可行的��,而普通分析包內(nèi)容由于沒有以前應(yīng)用層的連接信息�����,并不知道該數(shù)據(jù)到底是協(xié)商數(shù)據(jù)還是具體的傳輸數(shù)據(jù),因此誤判的可能性非常大��,“應(yīng)用連接”則不同,由于一直跟蹤了應(yīng)用層連接信息,能很清楚地識(shí)別到底是協(xié)議控制信息還是具體文件內(nèi)容數(shù)據(jù),對協(xié)議控制信息就信息控制處理����,對文件內(nèi)容數(shù)據(jù)就直接放過����,因此不會(huì)有誤判的問題。應(yīng)用連接防火墻技術(shù)可以全部在內(nèi)核中實(shí)現(xiàn)�,和應(yīng)用層的代理技術(shù)完全不同,可以處理任何協(xié)議��,實(shí)現(xiàn)安全和效率的完美統(tǒng)一�����。以上本領(lǐng)域普通技術(shù)人員可以理解:實(shí)現(xiàn)上述方法實(shí)施例的全部或部分步驟可以通過程序指令相關(guān)的硬件來完成���,前述的程序可以存儲(chǔ)于一計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì)中,該程序在執(zhí)行時(shí),執(zhí)行包括上述方法實(shí)施例的步驟;而前述的存儲(chǔ)介質(zhì)包括:R0M��、RAM�、磁碟或者光盤等各種可以存儲(chǔ)程序代碼的介質(zhì)。以上所述僅為本發(fā)明的較佳實(shí)施例而已,并不用以限制本發(fā)明����,凡在本發(fā)明的精神和原則之內(nèi)所作的任何修改���、等同替換和改進(jìn)等���,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)����。
權(quán)利要求
1.一種Iinux網(wǎng)絡(luò)架構(gòu)下應(yīng)用連接防火墻的實(shí)現(xiàn)方法��,其特征在于�,包括步驟: a:系統(tǒng)啟動(dòng)時(shí)�,正則表達(dá)式匹配引擎模塊通過調(diào)用初始化接口函數(shù)對應(yīng)用層的特征碼配置文件進(jìn)行初始化處理���; b:數(shù)據(jù)報(bào)文到達(dá)連接跟蹤模塊時(shí)�����,系統(tǒng)將連接跟蹤模塊進(jìn)行擴(kuò)展處理��; c:數(shù)據(jù)報(bào)文經(jīng)網(wǎng)絡(luò)層�����、傳輸層連接過濾處理后����,由應(yīng)用層對數(shù)據(jù)報(bào)文進(jìn)行匹配分析處理連接�����。
2.如權(quán)利要求1所述的Iinux網(wǎng)絡(luò)架構(gòu)下應(yīng)用連接防火墻的實(shí)現(xiàn)方法,其特征在于�����,步驟a所述初始化處理包括獲取應(yīng)用層各種特征數(shù)據(jù)的匹配參數(shù)信息。
3.如權(quán)利要求2所述的Iinux網(wǎng)絡(luò)架構(gòu)下應(yīng)用連接防火墻的實(shí)現(xiàn)方法�,其特征在于��,所述特征碼配置文件為應(yīng)用連接防火墻的配置文件���。
4.如權(quán)利要求1所述的Iinux網(wǎng)絡(luò)架構(gòu)下應(yīng)用連接防火墻的實(shí)現(xiàn)方法,其特征在于,步驟b具體包括:連接跟蹤模塊中保存了網(wǎng)絡(luò)層連接數(shù)據(jù)�����、傳輸層連接數(shù)據(jù)和應(yīng)用層連接數(shù)據(jù),由網(wǎng)絡(luò)層����、傳輸層根據(jù)對應(yīng)層的防御策略對數(shù)據(jù)報(bào)文進(jìn)行連接過濾處理���。
5.如權(quán)利要求4所述的Iinux網(wǎng)絡(luò)架構(gòu)下應(yīng)用連接防火墻的實(shí)現(xiàn)方法����,其特征在于,所述連接過濾處理包括對數(shù)據(jù)報(bào)文進(jìn)行通過�����、修改、刪除或斷開連接等處理�。
6.如權(quán)利要求1所述的Iinux網(wǎng)絡(luò)架構(gòu)下應(yīng)用連接防火墻的實(shí)現(xiàn)方法,其特征在于,步驟c具體包括:通過正則表達(dá)式匹配引擎模塊對應(yīng)用層的字符串進(jìn)行比較匹配���,如匹配上,則設(shè)置可識(shí)別的應(yīng)用連接�����;否則��,設(shè)置為不可識(shí)別應(yīng)用連接�。
7.如權(quán)利要求6所述的Iinux網(wǎng)絡(luò)架構(gòu)下應(yīng)用連接防火墻的實(shí)現(xiàn)方法,其特征在于����,通過正則表達(dá)式匹配引擎模塊對應(yīng)用層的字符串進(jìn)行比較匹配,如匹配上,則還包括更新連接跟蹤中對應(yīng)用識(shí)別標(biāo)志信息參數(shù)���。
全文摘要
本發(fā)明提供了一種linux網(wǎng)絡(luò)架構(gòu)下應(yīng)用連接防火墻的實(shí)現(xiàn)方法�����,包括步驟a系統(tǒng)啟動(dòng)時(shí)�,正則表達(dá)式匹配引擎模塊通過調(diào)用初始化接口函數(shù)對應(yīng)用層的特征碼配置文件進(jìn)行初始化處理��;b數(shù)據(jù)報(bào)文到達(dá)連接跟蹤模塊時(shí)�����,系統(tǒng)將連接跟蹤模塊進(jìn)行擴(kuò)展處理;c數(shù)據(jù)報(bào)文經(jīng)網(wǎng)絡(luò)層��、傳輸層連接過濾處理后����,由應(yīng)用層對數(shù)據(jù)報(bào)文進(jìn)行匹配分析處理連接。本發(fā)明提供的linux網(wǎng)絡(luò)架構(gòu)下應(yīng)用連接防火墻的實(shí)現(xiàn)方法����,解決了現(xiàn)有的Netfilter架構(gòu)無法識(shí)別七層應(yīng)用的問題��,實(shí)現(xiàn)對數(shù)據(jù)報(bào)文進(jìn)行從IP層到應(yīng)用層的全方位識(shí)別和控制�。
文檔編號(hào)H04L29/06GK103209181SQ20131009310
公開日2013年7月17日 申請日期2013年3月22日 優(yōu)先權(quán)日2013年3月22日
發(fā)明者鄧艷兵 申請人:深圳市共進(jìn)電子股份有限公司