一種內(nèi)核防火墻的管理方法

一種內(nèi)核防火墻的管理方法【
技術(shù)領(lǐng)域：
】[0001]本發(fā)明涉及一種內(nèi)核防火墻的管理方法。【
背景技術(shù)：
】[0002]Iptables是基于內(nèi)核的防火墻，功能非常強大，通過向防火墻提供有關(guān)對來自某個源、到某個目的地或具有特定協(xié)議類型的信息包要做些什么的指令的規(guī)則，從而來控制信息包的過濾。如果服務(wù)器的內(nèi)核防火墻中的某個規(guī)則沒有被設(shè)置，則客戶端是沒有辦法訪問到系統(tǒng)的服務(wù)器，比如，系統(tǒng)的服務(wù)器上的21號端口未開，客戶端就無法訪問系統(tǒng)的ftp服務(wù)，這就需要管理員登陸到系統(tǒng)服務(wù)器，在內(nèi)核防火墻中設(shè)置該規(guī)則，使客戶端可以具有訪問服務(wù)器的權(quán)限。這種操作增加了管理員的工作負(fù)荷，對于一些合法的客戶端的登錄訪問來說，也是一個麻煩的過程?！?br/>發(fā)明內(nèi)容】[0003]本發(fā)明提供一種內(nèi)核防火墻的管理方法，方便了合法的客戶端得到服務(wù)器連接權(quán)限，減輕了管理員的工作負(fù)荷。[0004]為了達到上述目的，本發(fā)明提供一種內(nèi)核防火墻的管理方法，當(dāng)客戶端向服務(wù)器發(fā)起的業(yè)務(wù)請求被服務(wù)器的內(nèi)核防火墻拒絕時，允許合法的客戶端連接服務(wù)器的私有連接端口，通過該私有連接端口向服務(wù)器發(fā)起防火墻修改請求，請求內(nèi)核防火墻接受客戶端發(fā)出的客戶端請求，服務(wù)器收到合法的客戶端的防火墻修改請求后，解析并執(zhí)行防火墻修改請求，對內(nèi)核防火墻進行修改，使該合法的客戶端發(fā)送的業(yè)務(wù)請求能夠通過服務(wù)器的內(nèi)核防火墻，并得到服務(wù)器的響應(yīng)。[0005]自定義所述的私有連接端口的端口號，以保證該私有連接端口的私有性和安全性。[0006]所述的防火墻修改請求的數(shù)據(jù)格式采用通用的報文數(shù)據(jù)格式或者自定義的報文數(shù)據(jù)格式。[0007]客戶端對防火墻修改請求進行數(shù)據(jù)加密，服務(wù)器對接收到的防火墻修改請求進行數(shù)據(jù)解密。[0008]當(dāng)客戶端連接服務(wù)器的私有連接端口時，服務(wù)器驗證客戶端的合法性，如果客戶端合法，則接受客戶端的連接請求，如果客戶端不合法，則拒絕客戶端的連接請求。[0009]當(dāng)服務(wù)器解析后的防火墻修改請求是可執(zhí)行的，則服務(wù)器執(zhí)行防火墻修改請求，對內(nèi)核防火墻進行修改后，將執(zhí)行結(jié)果發(fā)送給客戶端。[0010]當(dāng)服務(wù)器解析后的防火墻修改請求是不可執(zhí)行的，則服務(wù)器不執(zhí)行防火墻修改請求，將執(zhí)行結(jié)果發(fā)送給客戶端。[0011]本發(fā)明通過為合法的客戶端建立私有連接端口，方便了合法的客戶端得到服務(wù)器連接權(quán)限，減輕了管理員的工作負(fù)荷?！靖綀D說明】[0012]圖1是客戶端的處理流程。[0013]圖2是服務(wù)器的處理流程?！揪唧w實施方式】[0014]以下根據(jù)圖1和圖2，具體說明本發(fā)明的較佳實施例。[0015]本發(fā)明提供一種內(nèi)核防火墻的管理方法，當(dāng)客戶端向服務(wù)器發(fā)起的業(yè)務(wù)請求被服務(wù)器的內(nèi)核防火墻拒絕的時候，客戶端連接服務(wù)器的私有連接端口，通過該私有連接端口向服務(wù)器發(fā)起防火墻修改請求，請求內(nèi)核防火墻接受客戶端發(fā)出的客戶端請求，服務(wù)器收到合法的客戶端的防火墻修改請求后，解析并執(zhí)行防火墻修改請求，對內(nèi)核防火墻進行修改，使該合法的客戶端發(fā)送的業(yè)務(wù)請求能夠通過服務(wù)器的內(nèi)核防火墻，并得到服務(wù)器的響應(yīng)。[0016]所述的私有連接端口的端口號是自定義的，而不是采用公知的端口號，以保證該私有連接端口的私有性和安全性。[0017]所述的防火墻修改請求的數(shù)據(jù)格式可以采用通用的報文數(shù)據(jù)格式或者自定義的報文數(shù)據(jù)格式，客戶端對防火墻修改請求進行數(shù)據(jù)加密，服務(wù)器對接收到的防火墻修改請求進行數(shù)據(jù)解密。[0018]如圖1所示，在采用本發(fā)明提供的內(nèi)核防火墻的管理方法時，客戶端的處理流程如下:步驟S101、向服務(wù)器發(fā)起業(yè)務(wù)請求；本實施例中，所述的業(yè)務(wù)請求可以是:要服務(wù)器接受icmp報文；Icmp報文是IEEE制定的標(biāo)準(zhǔn)報文，通常用來測量網(wǎng)絡(luò)通信質(zhì)量，其大小和內(nèi)容可以自定義，內(nèi)容和使用隨機數(shù)據(jù)即可；步驟S102、等待服務(wù)器的響應(yīng)，如果服務(wù)器的內(nèi)核防火墻拒絕了該業(yè)務(wù)請求，則進行步驟S103，如果服務(wù)器的內(nèi)核防火墻通過了該業(yè)務(wù)請求，則該客戶端可以正常訪問服務(wù)器；步驟S103、向服務(wù)器的私有連接端口發(fā)送連接請求；步驟S104、如果服務(wù)器接受了連接請求，則連接到服務(wù)器的私有連接端口，進行步驟S105，如果服務(wù)器拒絕了連接請求，則結(jié)束；本實施例中，所述的連接請求可以是:socket請求；步驟S105、對防火墻修改請求進行數(shù)據(jù)加密；本實施例中，所述的防火墻修改請求的數(shù)據(jù)格式可以采用:JSON格式的報文；本實施例中，所述的采用JSON格式的防火墻修改請求可以是:{“cmd”:”iptables-AOUTPUT-picmp—icmp-type8-jACCEPT”}，其中，Iptables是設(shè)置iptables的命令，-A是append的意思，就是向iptabIes中增加一條規(guī)則，OUTPUT是輸出的意思，-p是protocoI的意思，Icmp是一種protocol，即一種協(xié)議，Accept是接受的意思，整體意思是:在內(nèi)核防火墻中添加一條規(guī)則，如果接受到icmp報文，將會接受該報文，如果有要發(fā)送icmp報文，也允許發(fā)送；本實施例中，所述的數(shù)據(jù)加密方法可以是:將私有連接端口的端口號進行強制類型轉(zhuǎn)換，轉(zhuǎn)換為8bit的數(shù)據(jù)，即Key=Byte(Port)，設(shè)需要加密的數(shù)據(jù)為D[I]D[2]-Dh]，加密時，將數(shù)據(jù)中的每個字節(jié)都和Key進行異或運算，即S[k]=KeyXORD[k](k=l，2，一n)，最終得到S[I]S[2]…S[η];步驟S106、將加密后的防火墻修改請求發(fā)送給服務(wù)器；步驟S107、等待服務(wù)器的處理結(jié)果，如果服務(wù)器執(zhí)行了防火墻修改請求，則進行步驟S101，如果服務(wù)器未執(zhí)行防火墻修改請求，則結(jié)束。[0019]如圖2所示，在采用本發(fā)明提供的內(nèi)核防火墻的管理方法時，服務(wù)器的處理流程如下:步驟S201、建立私有連接端口，自定義端口號；本實施例中，所述的端口號可以定義為:Ρ;步驟S202、監(jiān)聽私有連接端口的端口號，判斷是否有客戶端發(fā)起連接，如果接收到客戶端的連接請求，則進行步驟S203，如果沒有接收到客戶端的連接請求，則繼續(xù)監(jiān)聽私有連接端口的端口號；步驟S203、驗證客戶端的合法性，如果客戶端合法，則接受客戶端的連接請求，進行步驟S204，如果客戶端不合法，則拒絕客戶端的連接請求；步驟S204、建立私有連接端口與客戶端的連接，接收客戶端的防火墻修改請求；步驟S205、對防火墻修改請求進行數(shù)據(jù)解密；本實施例中，所述的數(shù)據(jù)解密方法可以是:用S[k]和Key進行異或運算即可得到D[k]，即D[k]=keyXORS[k]，即可得到D[1]D[2]…D[n]，即原始數(shù)據(jù);步驟S206、判斷防火墻修改請求是否可執(zhí)行，如果可執(zhí)行，則進行步驟S207，如果數(shù)據(jù)錯誤或者數(shù)據(jù)格式不正確，則不執(zhí)行，將結(jié)果返回給客戶端。[0020]步驟S207、執(zhí)行防火墻修改請求，對內(nèi)核防火墻進行修改，將執(zhí)行結(jié)果返回給客戶端;本實施例中，所述的對內(nèi)核防火墻進行修改是指:在內(nèi)核防火墻中添加一條規(guī)則，如果接受到icmp報文，將會接受該報文，如果有要發(fā)送icmp報文，也允許發(fā)送；本發(fā)明通過為合法的客戶端建立私有連接端口，方便了合法的客戶端得到服務(wù)器連接權(quán)限，減輕了管理員的工作負(fù)荷。[0021]盡管本發(fā)明的內(nèi)容已經(jīng)通過上述優(yōu)選實施例作了詳細(xì)介紹，但應(yīng)當(dāng)認(rèn)識到上述的描述不應(yīng)被認(rèn)為是對本發(fā)明的限制。在本領(lǐng)域技術(shù)人員閱讀了上述內(nèi)容后，對于本發(fā)明的多種修改和替代都將是顯而易見的。因此，本發(fā)明的保護范圍應(yīng)由所附的權(quán)利要求來限定。【主權(quán)項】1.一種內(nèi)核防火墻的管理方法，其特征在于，當(dāng)客戶端向服務(wù)器發(fā)起的業(yè)務(wù)請求被服務(wù)器的內(nèi)核防火墻拒絕時，允許合法的客戶端連接服務(wù)器的私有連接端口，通過該私有連接端口向服務(wù)器發(fā)起防火墻修改請求，請求內(nèi)核防火墻接受客戶端發(fā)出的客戶端請求，月艮務(wù)器收到合法的客戶端的防火墻修改請求后，解析并執(zhí)行防火墻修改請求，對內(nèi)核防火墻進行修改，使該合法的客戶端發(fā)送的業(yè)務(wù)請求能夠通過服務(wù)器的內(nèi)核防火墻，并得到服務(wù)器的響應(yīng)。2.如權(quán)利要求1所述的內(nèi)核防火墻的管理方法，其特征在于，自定義所述的私有連接端口的端口號，以保證該私有連接端口的私有性和安全性。3.如權(quán)利要求1所述的內(nèi)核防火墻的管理方法，其特征在于，所述的防火墻修改請求的數(shù)據(jù)格式采用通用的報文數(shù)據(jù)格式或者自定義的報文數(shù)據(jù)格式。4.如權(quán)利要求3所述的內(nèi)核防火墻的管理方法，其特征在于，客戶端對防火墻修改請求進行數(shù)據(jù)加密，服務(wù)器對接收到的防火墻修改請求進行數(shù)據(jù)解密。5.如權(quán)利要求1所述的內(nèi)核防火墻的管理方法，其特征在于，當(dāng)客戶端連接服務(wù)器的私有連接端口時，服務(wù)器驗證客戶端的合法性，如果客戶端合法，則接受客戶端的連接請求，如果客戶端不合法，則拒絕客戶端的連接請求。6.如權(quán)利要求1所述的內(nèi)核防火墻的管理方法，其特征在于，當(dāng)服務(wù)器解析后的防火墻修改請求是可執(zhí)行的，則服務(wù)器執(zhí)行防火墻修改請求，對內(nèi)核防火墻進行修改后，將執(zhí)行結(jié)果發(fā)送給客戶端。7.如權(quán)利要求6所述的內(nèi)核防火墻的管理方法，其特征在于，當(dāng)服務(wù)器解析后的防火墻修改請求是不可執(zhí)行的，則服務(wù)器不執(zhí)行防火墻修改請求，將執(zhí)行結(jié)果發(fā)送給客戶端?！緦＠恳环N內(nèi)核防火墻的管理方法，當(dāng)客戶端向服務(wù)器發(fā)起的業(yè)務(wù)請求被服務(wù)器的內(nèi)核防火墻拒絕時，允許合法的客戶端連接服務(wù)器的私有連接端口，通過該私有連接端口向服務(wù)器發(fā)起防火墻修改請求，請求內(nèi)核防火墻接受客戶端發(fā)出的客戶端請求，服務(wù)器收到合法的客戶端的防火墻修改請求后，解析并執(zhí)行防火墻修改請求，對內(nèi)核防火墻進行修改，使該合法的客戶端發(fā)送的業(yè)務(wù)請求能夠通過服務(wù)器的內(nèi)核防火墻，并得到服務(wù)器的響應(yīng)。本發(fā)明方便了合法的客戶端得到服務(wù)器連接權(quán)限，減輕了管理員的工作負(fù)荷?！綢PC分類】H04L29/06【公開號】CN104883368【申請?zhí)枴緾N201510281095【發(fā)明人】姜玲玲【申請人】上海斐訊數(shù)據(jù)通信技術(shù)有限公司【公開日】2015年9月2日【申請日】2015年5月28日