具体实施方式
下面结合附图进一步阐述本发明提供的网络防火墙的技术方案。
参考图1,本发明提供的防火墙1位于内网2和外网3之间的网络节点上,用来保护内网2或者节点。通常,内网2可以是局域网或者企业网,外网3可以是广域网或Internet,节点可以包括路由器、网关或PC机(个人计算机)。所述防火墙1根据业务的安全需求自动生成相关动态规则和根据业务的状态自适应地优化防火墙规则的配置,并且根据所述规则来分析处理通过该防火墙的信息包,决定是否允许具有某种特征的信息包通过。
参考图1,所述防火墙1包括内网接口105、外网接口106、规则表存储器103、规则模板存储器101、自动规则处理器102和信息包处理器104。其中,内网接口105用于接收/发送内网2的信息;外网接口106用于接收/发送外网3的信息;规则表存储器103用于存储规则表,该规则表中包括静态规则、动态规则和控制规则;规则模板存储器101用于存储业务相关的规则集;自动规则处理器102与所述规则表存储器103和规则模板存储器101耦合;信息包处理器104与所述内网接口105、外网接口106、规则表存储器103和自动规则处理器102耦合,用于分析内网接口105或外网接口106所接收到的信息包内容;查阅规则表存储器103中的规则,并根据该规则对信息包进行处理;将处理结果发送至内网接口105或外网接口106或自动规则处理器102;所述自动规则处理器102用于分析信息包处理器104发送过来的处理结果;根据所述处理结果将从规则模板存储器101中查找到的业务相关的规则集生成与所述处理结果相应的动态规则;并且向所述规则表存储器103中添加该动态规则。
参考图1,防火墙1还包括手工规则处理器107,与所述规则表存储器103耦合,用于设置规则表存储器103中的控制规则和/或静态规则。与该所述手工规则处理器107耦合的还有设置接口108,向所述手工规则处理器107发送设置数据。
下面详细说明信息包处理器104和自动规则处理器102处理信息包的过程,这个过程也是本发明提供的信息包过滤方法的处理过程。
参考图2,图示了所述防火墙1的信息包处理器104对一信息包的处理。同 时参考图1,包括以下处理步骤:
在步骤30中,信息包处理器104接收到一个信息包;
在步骤31中,信息包处理器104从规则表存储器103中取出一条规则;
在步骤32中,信息包处理器104判定信息包的内容是否与所述规则匹配,若为是,转到步骤33,否则,转到步骤38;
在步骤33中,信息包处理器104判定所述规则是否为控制规则,若为是,转到步骤34,否则,转到步骤35;
在步骤34中,信息包处理器104将以所述信息包为内容的处理结果发送至自动规则处理器102;
在步骤35中,信息包处理器104判定所述规则是否为动态规则,若为是,转步骤36,否则,转步骤37;
在步骤36中,信息包处理器104设置所述规则的闲置时间计数阈值,并同时开始计数;
在步骤37中,信息包处理器104执行所述规则的策略,决定让该信息包通过或丢弃;然后转到步骤40;
在步骤38中,信息包处理器104判定是否还有没查阅过的规则,若为是,转步骤31;否则,转到步骤39;
在步骤39中,信息包处理器104发送信息包到内网接口105或外网接口106;
在步骤40中,结束流程。
参考图3和图1、图2,在上述步骤34中,信息包处理器104把处理结果发送给自动规则处理器102后,该自动规则处理器102对接收到的信息包处理器104的处理结果进行处理,包括以下步骤:
在步骤341中,自动规则处理器102接收到所述信息包处理器104的处理结果;
在步骤342中,自动规则处理器102根据所述处理结果在规则模板存储器101中查找与所述处理结果相关的业务相关的规则集;
在步骤343中,自动规则处理器102根据所述处理结果将从规则模板存储 器101中查找到的业务相关的规则集生成与所述处理结果相应的动态规则;
在步骤344中,自动规则处理器102将生成的动态规则添加到规则表存储器103中;
在步骤345中,自动规则处理器102调整所述动态规则的优先级,保证新增的动态规则优先执行;然后,转到步骤346,即连接点1,该连接点1指示进入图2中的步骤38。
所述自动规则处理器102还可以将闲置的动态规则从规则表存储器中撤销。参考图4,撤销处理可以通过如下步骤:
在步骤401中,自动规则处理器102等待动态规则的闲置时间计数达到计数阈值,然后进入
步骤402,在这个步骤中,自动规则处理器102判断动态规则的闲置时间计数是否达到计数阈值,如果不是,则转步骤401;如果是,则进入
步骤403,自动规则处理器102从规则表存储器103中撤销所述动态规则。
其中,所述的规则可以包括如下参数:标识、匹配参数、策略、优先级、类型、闲置时间、控制规则的标识。所述的匹配参数包括IP(Internet Protocol网际协议)源地址、IP目标端口地址、TCP/UDP(TCP:Transmission ControlProtocol传输控制协议,UDP:User Datagram Protocol用户数据协议)目标端口地址和ICMP(Internet Control Protocol英特网控制消息协议)消息等;所述的类型包括静态、动态和控制等;所述的闲置时间是指动态规则匹配成功后,最大限度让其在规则表中存储的时间,当计数器达到这个时间计数阈值,自动规则处理器就将其从规则表中撤销;所述的策略是指该规则匹配成功后,用来控制防火墙的行为;所述优先级是规则表中所有规则执行的先后顺序,新增动态规则优先级最高,保证其优先执行。
本发明提供的防火墙的业务规则包括有动态规则,是可以自动地根据实际业务需求动态添加或删除规则,提高防火墙的自动化的程度,克服了现有防火墙手工配置维护缺乏自动化;并可以根据业务的变化实时地自动地调整防火墙的动态规则,克服了现有防火墙不能根据业务状态的变化进行实时的适应性调 整的缺陷;从而使得网络安全防务能力得到很大提高,达到优化网络的作用,并且减少了配置丰富多样的防火墙规则所花费的代价。
下面以一个IP分组包为例,进一步阐述本发明提供的防火墙。该IP分组的源地址为172.19.76.8,目的端地址为172.18.0.16,其中源地址的网络号为172.19.0.0,目的端地址的网络号为172.18.0.0。
本发明的防火墙内设置有(a)控制规则设有对源地址的网络号为172.19.0.0的分组包的控制策略,(b)规则模板存储器里包含有匹配参数为源地址的网络号为172.19.0.0和目的端地址的网络号为172.18.0.0的所有规则集,其中对IP分组的源地址为172.19.76.8,目的端地址为172.18.0.16的分组包让通过,(c)动态规则闲置时间计数阈值为125毫秒。
本发明的防火墙的规则配置不限于上述规则和设置,可以根据实际业务需求灵活地自动地配置;并且本发明的防火墙的规则模板存储器里有大量的功能多样的业务相关的规则集,规则表存储器里也设置有许多控制规则,并不限于本实施例所述。
本发明的防火墙的处理步骤如下:
(1)信息包处理器接收到一个IP分组包,提取出该IP分组包的特征信息,包括:IP源地址、IP目标地址、协议字段和服务类型字段。
提取出该IP分组包的源地址为172.19.76.8,目的端地址为172.18.0.16,其中源地址的网络号为172.19.0.0,目的端地址的网络号为172.18.0.0。
(2)信息包处理器从规则表存储器中取出一条规则;
取出一条参数为源地址的网络号为172.19.0.0的规则。
(3)信息包处理器判定信息包的内容是否与所述规则匹配,若为是,转到步骤(4),否则,转到步骤(14);
所述IP分组包的源地址的网络号为172.19.0.0与所述取出的规则的参数一致,匹配成功,转步骤(4)。
(4)信息包处理器判定所述规则是否为控制规则,若为是,转到步骤(5),否则,转到步骤(9);
匹配参数为172.19.0.0的规则为控制规则,转步骤(5)。
(5)信息包处理器将以该信息包为内容的处理结果发送至自动规则处理器;
将所述IP分组包的源地址172.19.76.8和目的端地址172.18.0.16以及源地址的网络号172.19.0.0,目的端地址的网络号172.18.0.0发送给自动规则处理器。
(6)自动规则处理器根据处理结果在规则模板存储器中查找与所述处理结果相关的动态规则;
自动规则处理器根据IP分组包的源地址172.19.76.8和目的端地址172.18.0.16以及源地址的网络号172.19.0.0,目的端地址的网络号172.18.0.0在规则模板存储器中查找出匹配参数为源地址的网络号为172.19.0.0和目的端地址的网络号为172.18.0.0的动态规则。
(7)自动规则处理器将上述动态规则添加到规则表存储器中;
(8)自动规则处理器调整所述动态规则的优先级,转到步骤(2);
步骤(2)取出优先级最高的规则即所述的动态规则,在步骤(4)中该规则不是控制规则,直接转步骤(9)
(9)信息包处理器判定所述规则是否为动态规则,若为是,转下一步(10),否则,转到步骤(11);
所述规则的匹配参数为源地址的网络号为172.19.0.0和目的端地址的网络号为172.18.0.0,因此转步骤(10)
(10)设置所述规则的闲置时间计数阈值,并同时开始计数,同时转下一步(11);
设置所述动态规则的闲置时间计数阈值为125毫秒,并同时开始计数。
(11)信息包处理器执行所述规则的策略,决定让该信息包通过或丢弃;
所述动态规则的策略对IP分组的源地址为172.19.76.8,目的端地址为172.18.0.16的分组包让通过。
(12)判定闲置时间计数是否达到计数阈值,若为是,执行下一步(13), 否则,继续闲置时间计数;
闲置时间计数达到125毫秒,执行下一步(13)
(13)自动规则处理器从规则表存储器中撤销所述规则,然后转步骤(16)结束;
(14)判定是否还有没查阅过的规则,若为是,转步骤(2)取规则,否则,转到步骤(15);
(15)信息包处理器发送信息包到内网接口或外网接口;
(16)结束该信息包的处理流程。
本领域的普通技术人员应该明白上述实施例中防火墙的规则配置不限于所述的IP地址,可以是TCP/UDP目标端口地址、MAC(Media Access Control媒介接入控制)地址和ICMP消息等,可以根据实际业务需求灵活地自动地配置;并且本发明的防火墙的规则模板存储器里有大量的功能多样的业务相关的规则集集,规则表存储器里也设置有许多控制规则,并不限于本实施例所述。
本发明提供的防火墙及信息包过滤方法是可以根据实际业务需求动态添加或撤销规则,提高了防火墙的自动化的程度,克服了现有防火墙配置维护缺乏自动化,不能根据业务状态的变化进行实时的适应性调整的缺陷;从而使得网络安全防务能力得到很大提高,达到优化网络的作用,并且减少了配置丰富多样的防火墙规则所花费的代价。
以上所揭露的仅为本发明的优选实施例而已,当然不能以此来限定本发明之权利范围,因此依本发明申请专利范围所作的等同变化,仍属本发明所涵盖的范围。