CN102790773A - 一种家庭网关用防火墙的实现方法 - Google Patents
一种家庭网关用防火墙的实现方法 Download PDFInfo
- Publication number
- CN102790773A CN102790773A CN2012102647835A CN201210264783A CN102790773A CN 102790773 A CN102790773 A CN 102790773A CN 2012102647835 A CN2012102647835 A CN 2012102647835A CN 201210264783 A CN201210264783 A CN 201210264783A CN 102790773 A CN102790773 A CN 102790773A
- Authority
- CN
- China
- Prior art keywords
- compartment wall
- fire compartment
- spi
- home gateway
- detection mode
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
发明公开了一种家庭网关用防火墙的实现方法,是一种SPI全状态数据包检测方式对外网访问进行检测的防外网访问的方法。SPI(Stateful Packet Inspection)全状态数据包检测型防火墙,是指通过对每个连接信息(包括套接字对(socket pairs):源地址、目的地址、源端口和目的端口;协议类型、TCP协议连接状态和超时时间等)进行检测从而判断是否过滤数据包的防火墙。它除了能够完成简单包过滤防火墙的包过滤工作外,还在自己的内存中维护一个跟踪连接状态的表,比简单包过滤防火墙具有更大的安全性。
Description
技术领域
本发明属于家庭网关网络设备安全领域,更具体地说,特别涉及一种家庭网关用防火墙的实现方法。
背景技术
随着网络技术的飞速发展,对家庭网关产品的安全性能要求也越来越高,传统的包过滤和代理防火墙功能已经不能满足当前家庭网关产品的安全需求,目前先进的状态数据包检查(SPI)防火墙提供最高级别的安全性。
在家庭网关中使用最多的是Linux操作系统,Linux系统使用Netfilter框架来实现SPI防火墙功能,netfilter主要采用连接跟踪(Connection Tracking)关键技术,连接跟踪是包过滤的基础,它作为一个独立的模块运行。采用连接跟踪技术在协议栈低层截取数据包,将当前数据包及其状态信息与历史数据包及其状态信息进行比较,从而得到当前数据包的控制信息,根据这些信息决定对网络数据包的操作,达到保护网络的目的。当下层网络接收到初始化连接同步(Synchronize,SYN)包,将被netfilter规则库检查。该数据包将在规则链中依次序进行比较。如果该包应被丢弃,发送一个复位(Reset,RST)包到远端主机,否则连接接收。这次连接的信息将被保存在连接跟踪信息表中,并表明该数据包所应有的状态。这个连接跟踪信息表位于内核模式下,其后的网络包就将与此连接跟踪信息表中的内容进行比较,根据信息表中的信息来决定该数据包的操作。因为数据包首先是与连接跟踪信息表进行比较,只有SYN包才与规则库进行比较,数据包与连接跟踪信息表的比较都是在内核模式下进行的,所以速度很快。
连接跟踪技术是在协议栈低层截取数据包,将当前数据包及其状态信息与历史数据包及其状态信息进行比较,从而得到当前数据包的控制信息,根据这些信息决定对网络数据包的操作,达到保护网络目的,可以说连接跟踪是全状态数据包检测的基础。
发明内容
本发明要解决的技术问题为提供一种家庭网关用防火墙的实现方法,该家庭网关用防火墙的实现方法能够为家庭用户提供一种高级别防火墙。
为解决上述技术问题,本发明提供了一种家庭网关用防火墙的实现方法,基于SPI全状态数据包检测方式对外网访问进行检测,并创建跟踪状态连接表。
其中,所述SPI全状态数据包检测方式对外网连接信息以及协议类型进行检测并判断是否过滤。
其中,所述SPI全状态数据包检测方式首先接受外网服务连接请求,并将所述外网服务连接请求发送至用户,并由用户选择是否接受连接;所述SPI全状态数据包检测方式接受用户选择后对外网服务进行连接。
其中,所述SPI全状态数据包检测方式直接屏蔽外网用户的连接请求。
其中,所述SPI全状态数据包检测方式为Linux网络架构下基于Netfilter的网络安全技术。
其中,所述SPI全状态数据包检测方式的内核模块包括nf-conntrack模块。
本发明提供的家庭网关用防火墙的实现方法,是一种SPI全状态数据包检测方式对外网访问进行检测的防外网访问的方法。SPI(Stateful Packet Inspection)全状态数据包检测型防火墙,是指通过对每个连接信息(包括套接字对(socket pairs):源地址、目的地址、源端口和目的端口;协议类型、TCP协议连接状态和超时时间等)进行检测从而判断是否过滤数据包的防火墙。它除了能够完成简单包过滤防火墙的包过滤工作外,还在自己的内存中维护一个跟踪连接状态的表,比简单包过滤防火墙具有更大的安全性。目前最为先进的状态数据包检查(SPI)防火墙提供最高级别的安全性。它在默认情况下拒绝所有来自外网的请求,并且对通过防火墙的发自内网请求的连接动态地维护所有通信的状态(连接),只有是对内网请求回复的连接并符合已建立的状态数据库的包才能通过防火墙进入内网。这种方案不仅可使网络用户访问Internet资源,同时又能防止Internet上的黑客访问内部网络资源。
“状态检查”一词是指防火墙记忆连接状态和在其内存中为每个数据流建立上下文的能力。凭借这些信息,该防火墙能够比不支持SPI的防火墙作出更有根据的策略决策。只有具有基于硬件的采用目前最为先进的状态数据包检查(SPI)技术的防火墙才是真正意义上的防火墙(True Firewall)。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本发明的一种家庭网关用防火墙的实现方法的流程图;
图2为本发明的一种家庭网关用防火墙的执行过程的流程图。
具体实施方式
本发明的核心为提供一种家庭网关用防火墙的实现方法,该家庭网关用防火墙的实现方法能够为家庭用户提供一种高级别防火墙
为了使本领域的技术人员更好地理解本发明的技术方案,下面结合附图和具体实施例对本发明作进一步的详细说明。
请参考图1,图1为本发明的一种家庭网关用防火墙的实现方法的流程图。
办发明提供的家庭网关用防火墙的实现方法,是一种SPI全状态数据包检测方式对外网访问进行检测的防外网访问的方法。SPI(Stateful Packet Inspection)全状态数据包检测型防火墙,是指通过对每个连接信息(包括套接字对(socket pairs):源地址、目的地址、源端口和目的端口;协议类型、TCP协议连接状态和超时时间等)进行检测从而判断是否过滤数据包的防火墙。它除了能够完成简单包过滤防火墙的包过滤工作外,还在自己的内存中维护一个跟踪连接状态的表,比简单包过滤防火墙具有更大的安全性。目前最为先进的状态数据包检查(SPI)防火墙提供最高级别的安全性。它在默认情况下拒绝所有来自外网的请求,并且对通过防火墙的发自内网请求的连接动态地维护所有通信的状态(连接),只有是对内网请求回复的连接并符合已建立的状态数据库的包才能通过防火墙进入内网。这种方案不仅可使网络用户访问Internet资源,同时又能防止Internet上的黑客访问内部网络资源。
“状态检查”一词是指防火墙记忆连接状态和在其内存中为每个数据流建立上下文的能力。凭借这些信息,该防火墙能够比不支持SPI的防火墙作出更有根据的策略决策。只有具有基于硬件的采用目前最为先进的状态数据包检查(SPI)技术的防火墙才是真正意义上的防火墙(True Firewall)。
具体地,SPI全状态数据包检测方式对外网连接信息以及协议类型进行检测并判断是否过滤。SPI全状态数据包检测方式首先接受外网服务连接请求,并将外网服务连接请求发送至用户,并由用户选择是否接受连接;SPI全状态数据包检测方式接受用户选择后对外网服务进行连接。
本发明中,SPI全状态数据包检测方式直接屏蔽外网用户的连接请求。
本发明中,SPI全状态数据包检测方式为Linux网络架构下基于Netfilter的网络安全技术。其中,SPI全状态数据包检测方式的内核模块包括nf-conntrack模块。
本发明的目的是满足家庭网关用户对网关高安全性的要求,我们在默认情况下拒绝所有外网的请求,并且对通过家庭网关的发自内网请求的连接动态地维护所有通信的状态(连接),只有是对内网请求回复的连接并符合已建立的状态数据库的包才允许通过家庭网关进入内网。这种方案不仅可使家庭网关用户访问Internet资源,同时又能防止Internet上的黑客访问内部网络资源。
本发明为了实现其发明目的所采用的技术方案是:一种基于Linux的Netfiler网络架构下的SPI防火墙方法,包括以下步骤:
步骤1:实现Netfilter的连接跟踪状态技术的连接状态(state)匹配功能;支持连接的New,ESTABLISHED,RELATED状态匹配规则。
步骤2:针对内网流出数据进行对应连接跟踪信息的添加处理,针对外网流入数据进行连接跟踪查询匹配处理;
步骤3:针对无法建立连接状态信息而导致可能被丢弃的特定外网业务(IMGP/MLD/RIP/DHCPv6/TR069等)数据。建立指定外网业务数据允许通过规则表。
请参考图2,图2为本发明的一种家庭网关用防火墙的执行过程的流程图。
具体实施例一
1、当家庭网关用户访问外面服务时,数据包经过SPI防火墙,SPI防火墙在连接跟踪信息表添加对应用户请求的连接跟踪信息,连接请求到达外网服务器,外网服务器的应答报文到达SPI防火墙,SPI防火墙查询该报文信息是否匹配连接跟踪状态表,匹配则允许通过SPI防火墙到达家庭网关用户。这样实现家庭网关用户可以正常的访问外网服务。
具体实施例二
2、当外面用户主动向家庭网关请求访问时,SPI防火判断该报文是否匹配连接跟踪状态信息表项,不匹配情况下,则继续查询是否是SPI防火墙指定业务数据报文,不是指定业务数据则进行丢包处理,则外面用户不能访问家庭网关,这样外网用户不能访问家庭网关。
具体实施例三
3、当家庭网关用户进行IGMP点播服务。组播服务器的组播流报文到达SPI防火墙时,该报文不能匹配到连接跟踪表状态信息,则进行指定业务数据规则匹配处理,匹配指定业务规则通过SPI防火墙则到达家庭网关用户,这样实现家庭网关用户可以正常点播IGMP服务。
以上本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
对本发明所提供的一种家庭网关用防火墙的实现方法进行了详细介绍。本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以对本发明进行若干改进和修饰,这些改进和修饰也落入本发明权利要求的保护范围内。
Claims (6)
1.一种家庭网关用防火墙的实现方法,其特征在于,基于SPI全状态数据包检测方式对外网访问进行检测,并创建跟踪状态连接表。
2.根据权利要求1所述的家庭网关用防火墙的实现方法,其特征在于,所述SPI全状态数据包检测方式对外网连接信息以及协议类型进行检测并判断是否过滤。
3.根据权利要求2所述的家庭网关用防火墙的实现方法,其特征在于,所述SPI全状态数据包检测方式首先接受外网服务连接请求,并将所述外网服务连接请求发送至用户,并由用户选择是否接受连接;所述SPI全状态数据包检测方式接受用户选择后对外网服务进行连接。
4.根据权利要求2所述的家庭网关用防火墙的实现方法,其特征在于,所述SPI全状态数据包检测方式直接屏蔽外网用户的连接请求。
5.根据权利要求1至4任一项所述的家庭网关用防火墙的实现方法,所述SPI全状态数据包检测方式为Linux网络架构下基于Netfilter的网络安全技术。
6.根据权利要求5所述的家庭网关用防火墙的实现方法,其特征在于,所述SPI全状态数据包检测方式的内核模块包括nf_conntrack模块。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2012102647835A CN102790773A (zh) | 2012-07-30 | 2012-07-30 | 一种家庭网关用防火墙的实现方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2012102647835A CN102790773A (zh) | 2012-07-30 | 2012-07-30 | 一种家庭网关用防火墙的实现方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102790773A true CN102790773A (zh) | 2012-11-21 |
Family
ID=47156073
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2012102647835A Pending CN102790773A (zh) | 2012-07-30 | 2012-07-30 | 一种家庭网关用防火墙的实现方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102790773A (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103124226A (zh) * | 2012-12-03 | 2013-05-29 | 深圳市共进电子股份有限公司 | 一种家庭宽带上网监控系统及方法 |
| CN108540467A (zh) * | 2018-04-02 | 2018-09-14 | 广东能龙教育股份有限公司 | 一种基于防火墙系统的安全隔离方法 |
| CN108881328A (zh) * | 2018-09-29 | 2018-11-23 | 北京东土军悦科技有限公司 | 数据包过滤方法、装置、网关设备及存储介质 |
| CN109474560A (zh) * | 2017-09-07 | 2019-03-15 | 中国电信股份有限公司 | 网络访问的控制方法、装置和计算机可读存储介质 |
| CN110852611A (zh) * | 2019-11-08 | 2020-02-28 | 国网上海市电力公司 | 一种基建工程现场施工人员实时管控系统 |
| CN111614689A (zh) * | 2020-05-27 | 2020-09-01 | 北京天融信网络安全技术有限公司 | 一种用于状态防火墙的报文转发方法和装置 |
| CN114095524A (zh) * | 2020-07-31 | 2022-02-25 | 华为技术有限公司 | 传输报文的方法和电子设备 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1359727A2 (en) * | 2002-04-08 | 2003-11-05 | Wiznet Corp. | Internet protocol system using hardware protocol and relating parallel data processing method |
| CN101175013A (zh) * | 2006-11-03 | 2008-05-07 | 飞塔信息科技(北京)有限公司 | 一种拒绝服务攻击防护方法、网络系统和代理服务器 |
| CN102368769A (zh) * | 2011-10-17 | 2012-03-07 | 深圳市共进电子股份有限公司 | 一种Linux网络架构下的网络应用服务质量保障方法 |
-
2012
- 2012-07-30 CN CN2012102647835A patent/CN102790773A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1359727A2 (en) * | 2002-04-08 | 2003-11-05 | Wiznet Corp. | Internet protocol system using hardware protocol and relating parallel data processing method |
| CN101175013A (zh) * | 2006-11-03 | 2008-05-07 | 飞塔信息科技(北京)有限公司 | 一种拒绝服务攻击防护方法、网络系统和代理服务器 |
| CN102368769A (zh) * | 2011-10-17 | 2012-03-07 | 深圳市共进电子股份有限公司 | 一种Linux网络架构下的网络应用服务质量保障方法 |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103124226A (zh) * | 2012-12-03 | 2013-05-29 | 深圳市共进电子股份有限公司 | 一种家庭宽带上网监控系统及方法 |
| CN109474560A (zh) * | 2017-09-07 | 2019-03-15 | 中国电信股份有限公司 | 网络访问的控制方法、装置和计算机可读存储介质 |
| CN108540467A (zh) * | 2018-04-02 | 2018-09-14 | 广东能龙教育股份有限公司 | 一种基于防火墙系统的安全隔离方法 |
| CN108881328A (zh) * | 2018-09-29 | 2018-11-23 | 北京东土军悦科技有限公司 | 数据包过滤方法、装置、网关设备及存储介质 |
| CN108881328B (zh) * | 2018-09-29 | 2021-02-23 | 北京东土军悦科技有限公司 | 数据包过滤方法、装置、网关设备及存储介质 |
| CN110852611A (zh) * | 2019-11-08 | 2020-02-28 | 国网上海市电力公司 | 一种基建工程现场施工人员实时管控系统 |
| CN111614689A (zh) * | 2020-05-27 | 2020-09-01 | 北京天融信网络安全技术有限公司 | 一种用于状态防火墙的报文转发方法和装置 |
| CN111614689B (zh) * | 2020-05-27 | 2021-02-19 | 北京天融信网络安全技术有限公司 | 一种用于状态防火墙的报文转发方法和装置 |
| CN114095524A (zh) * | 2020-07-31 | 2022-02-25 | 华为技术有限公司 | 传输报文的方法和电子设备 |
| CN114095524B (zh) * | 2020-07-31 | 2023-02-10 | 华为技术有限公司 | 传输报文的方法和设备,中枢设备,可读存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102790773A (zh) | 一种家庭网关用防火墙的实现方法 | |
| TWI248737B (en) | Methods, apparatus and program products for wireless access points | |
| TWI453624B (zh) | 資訊安全防護主機 | |
| CN100361452C (zh) | 响应拒绝服务攻击的方法和设备 | |
| CN101888329B (zh) | 地址解析协议报文的处理方法、装置及接入设备 | |
| CN109587156A (zh) | 异常网络访问连接识别与阻断方法、系统、介质和设备 | |
| CN109981403A (zh) | 虚拟机网络数据流量监控方法及装置 | |
| CA2496939A1 (en) | Network security method and apparatus | |
| CN102904729A (zh) | 根据协议、端口分流支持多应用的智能加速网卡 | |
| CN105187435A (zh) | 一种防火墙规则过滤优化方法 | |
| WO2013097476A1 (zh) | 一种检测规则优化配置方法及设备 | |
| CN103220255A (zh) | 一种实现单播反向路径转发urpf检查的方法及装置 | |
| CN102307137B (zh) | 管理报文发送和接收方法、装置、堆叠交换机和堆叠系统 | |
| CN103812965A (zh) | 基于路由器的域名分类处理方法和装置 | |
| CN104270317B (zh) | 一种路由器运行应用程序的控制方法、系统及路由器 | |
| CN101340275A (zh) | 数据卡及其数据处理和传输方法 | |
| CN105306411A (zh) | 数据包处理方法和装置 | |
| CN101061683B (zh) | 信息家电和移动终端 | |
| CN105978606B (zh) | 蓝牙设备远程通信方法、蓝牙设备及客户端 | |
| CN104601578A (zh) | 一种攻击报文识别方法、装置及核心设备 | |
| CN101707535B (zh) | 检测仿冒网络设备的方法和装置 | |
| CN105636151A (zh) | 一种网络连接方法及电子设备 | |
| CN103209181A (zh) | 一种linux网络架构下应用连接防火墙的实现方法 | |
| CN201821376U (zh) | 一种全局的网络访问控制装置和网络设备 | |
| CN101656722B (zh) | 动态主机配置协议窥探绑定信息的生成方法与装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20121121 |