CN103023914B - 一种防火墙系统及其实现方法 - Google Patents
一种防火墙系统及其实现方法 Download PDFInfo
- Publication number
- CN103023914B CN103023914B CN201210575044.8A CN201210575044A CN103023914B CN 103023914 B CN103023914 B CN 103023914B CN 201210575044 A CN201210575044 A CN 201210575044A CN 103023914 B CN103023914 B CN 103023914B
- Authority
- CN
- China
- Prior art keywords
- packet
- list
- address
- source
- list item
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供一种防火墙系统及其实现方法,包括:调用用户空间驱动UIO获取网络中传输的数据包,所述数据包包括用于标识数据包编码格式的包头字段;根据包头字段调用用户空间的解码器对所述数据包进行与所述数据包编码格式相对应的解码处理,以获取数据包的源IP地址和源MAC地址;根据数据包的源IP地址和源MAC地址查询预设的访问绑定列表,若确定访问绑定列表中存在数据包的源IP地址、但不存在数据包的源IP地址和源MAC地址的对应关系,则丢弃数据包。本发明通过将防火墙系统设置在用户空间,并调用用户空间的相关模块协作实现防火墙功能,从而避免了用户空间与内核空间的传递过程,进而提高了系统的性能。
Description
技术领域
本发明涉及防火墙技术,尤其涉及一种防火墙系统及其实现方法。
背景技术
网络通信的发展使得人们能够自由获得网络资源,而由此产生的网络安全问题则会影响网络通信内容的安全并继而导致网络的非法操作。因此,防火墙技术应运而生,而目前防火墙的主流技术是基于内核空间的防火墙,例如,基于Linux操作系统的内核空间的防火墙,其运行在Linux操作系统的内核空间,并接收用户通过用户空间传递的配置及策略等信息,利用Netfilter内核模块完成诸如策略匹配、数据包过滤和网络地址转换(Network Address Translation,简称NAT)等防火墙功能。
但是,由于Linux操作系统的内核本身要消耗一部分的系统资源和带宽,使得运行在内核空间的防火墙的数据处理和策略匹配的性能较低,同时由于策略的下发和用户的配置都要通过用户空间传递到内核空间,也要消耗系统资源,从而影响系统的性能。
发明内容
本发明的目的在于提供一种防火墙系统及其实现方法,以解决现有技术中防火墙运行在操作系统的内核空间而影响系统性能的问题。
本发明的第一个方面是提供一种防火墙系统的实现方法,所述防火墙系统设置在用户空间,所述方法包括:
调用用户空间驱动UIO获取网络中传输的数据包,所述数据包包括用于标识数据包编码格式的包头字段;
根据所述包头字段调用用户空间的解码器对所述数据包进行与所述数据包编码格式相对应的第一解码处理,以获取所述数据包的源IP地址和源MAC地址;
根据所述数据包的源IP地址和源MAC地址查询预设的访问绑定列表,所述访问绑定列表中预先存储了允许访问的IP地址和MAC地址的对应关系,若确定所述访问绑定列表中存在所述数据包的源IP地址、但不存在所述数据包的源IP地址和源MAC地址的对应关系,则丢弃所述数据包。
本发明的另一个方面是提供一种防火墙系统,其设置在用户空间,所述系统包括:
用户空间驱动UIO调用模块,用于调用用户空间的UIO获取网络中传输的数据包,所述数据包包括用于标识数据包编码格式的包头字段;
解码器调用模块,用于根据所述包头字段调用用户空间的解码器对所述数据包进行与所述数据包编码格式相对应的第一解码处理,以获取所述数据包的源IP地址和源MAC地址;
数据包过滤模块,用于根据所述数据包的源IP地址和源MAC地址查询预设的访问绑定列表,所述访问绑定列表中预先存储了允许访问的IP地址和MAC地址的对应关系,若确定所述访问绑定列表中存在所述数据包的源IP地址、且不存在所述数据包的源IP地址和源MAC地址的对应关系,则丢弃所述数据包。
采用上述本发明技术方案的有益效果是:通过设置于用户空间的防火墙系统调用用户空间的UIO以获取网络中传输的数据包,并调用用户空间的解码器对数据包进行解码处理,且在用户空间对数据包进行数据包过滤,从而避免了用户空间与内核空间的传递过程,进而提高了系统的性能。
附图说明
图1为本发明实施例一提供的一种防火墙系统的实现方法的流程示意图;
图2为本发明实施例二提供的一种防火墙系统的结构示意图;
图3为本发明防火墙系统部署示意图。
具体实施方式
图1为本发明实施例一提供的一种防火墙系统的实现方法的流程示意图,如图1所示,所述方法可以包括如下步骤:
步骤101,调用用户空间驱动(Userspace Input Output,简称UIO)获取网络中传输的数据包,所述数据包包括用于标识数据包编码格式的包头字段;
步骤102,根据所述包头字段调用用户空间的解码器对所述数据包进行与所述数据包编码格式相对应的第一解码处理,以获取所述数据包的源IP地址和源MAC地址;
步骤103,根据所述数据包的源IP地址和源MAC地址查询预设的访问绑定列表,若确定所述访问绑定列表中存在所述数据包的源IP地址、但不存在所述数据包的源IP地址和源MAC地址的对应关系,则丢弃所述数据包。
需要说明的是,在本发明实施例中,其执行主体为本发明实施例提供的防火墙系统,其设置在用户空间,并通过调用用户空间的UIO捕获网络中传输的数据包,通常,数据包携带用于标识数据包编码格式的包头字段。例如,包头字段可以是地址解析协议(Address Resolution Protocol,简称ARP)、Internet控制报文协议(Internet Control Message Protocol,简称ICMP)等协议字段,以通过该协议字段来标识数据包的编码格式。从而可以根据包头字段调用用户空间的解码器对数据包进行与数据包编码格式相对应的第一解码处理,例如,若获取的数据包的包头字段是ARP协议字段,则调用用户空间的解码器对数据包进行ARP的解码处理;若获取的数据包的包头字段是ICMP协议字段,则调用用户空间的解码器对数据包进行ICMP的解码处理,从而获取数据包的源IP地址和源MAC地址。
在本实施例中,防火墙系统中可以存储有预先设置的访问绑定列表,该访问绑定列表中预先存储了允许访问的IP地址和MAC地址的对应关系,即该表中的每一条表项分别对应一个IP地址和一个MAC地址,防火墙系统则可以根据上述获取的数据包的源IP地址和源MAC地址查询预设的访问绑定列表,若确定访问绑定列表中存在数据包的源IP地址、但不存在数据包的源IP地址和源MAC地址的对应关系的表项,则说明该数据包为非法数据包,因此,防火墙系统对该数据包作丢弃处理。
本实施例提供的防火墙系统的实现方法,通过设置于用户空间的防火墙系统调用用户空间的UIO以获取网络中传输的数据包,并调用用户空间的解码器对数据包进行解码处理,且在用户空间对数据包进行数据包过滤,从而避免了用户空间与内核空间的传递过程,进而提高了系统的性能。
进一步的,在上述实施例中,若防火墙系统确定访问绑定列表中不存在包括数据包的源IP地址或确定所述访问绑定列表中存在包括所述数据包的源IP地址、且存在所述数据包的源IP地址和源MAC地址的对应关系的表项,则防火墙系统进一步对该数据包进行检测,防火墙系统可以根据预先设置的访问控制列表(Access Control List,简称ACL)对数据包进行ACL策略匹配,若数据包匹配到ACL中的一条表项,且与该条表项对应的处理方式为阻止,则说明该数据包为非法数据包,因此,防火墙系统对该数据包作丢弃处理。
若数据包匹配到ACL中的一条表项,且与该条表项对应的处理方式为非阻止,则防火墙系统根据与该条表项对应的处理方式对数据包进行处理,并调用用户空间的环形缓冲区存储处理后的数据包。具体的,在本实施例中,对数据包进行非阻止的处理可以包括在数据包中添加告警信息或日志信息等。
在本实施例中,防火墙系统调用用户空间的解码器对数据包进行与数据包编码格式相对应的第一解码处理后,还可以获取数据包的传输控制协议(Transmission Control Protocol,简称TCP)或者用户数据报协议(UserDatagram Protocol,简称UDP)字段以及数据包的目的IP地址和目的端口,并结合解码出来数据包的源IP地址和源端口进行会话信息的建立,将数据与具体的会话对应起来,即建立以数据包的目的IP地址、目的端口、源IP地址和源端口四元组为键值的会话信息,根据四元组建立的会话信息为网络地址转化NAT、ACL以及应用层解码提供查询索引。
具体的,在ACL策略的匹配过程中,根据四元组进行不同策略匹配的访问控制,如源安全区、目的安全区、源地址对象、目的地址对象、服务或者应用等,对于经过防火墙系统的每一个数据包,都要经过ACL策略进行过滤,并且这些ACL策略有一定的优先级,是根据用户的配置信息,越早配置的优先级越高,在策略匹配过程中则优先匹配优先级高的策略。如果解码后的数据包匹配到其中一条策略即ACL中的一条表项,且与该条表项对应的处理方式为阻止,或者未匹配到ACL中的任何一条表项,则可以直接将该数据包丢弃,并记录日志。如果解码后的数据包匹配到ACL中的一条表项,且与该条表项对应的处理方式为非阻止,则按照与其对应的非阻止的处理方式进行处理,例如,安全区可以实现不同区域的访问控制,其主要是基于源IP地址、源MAC地址或者目的IP地址、目的MAC地址设置访问控制策略,为了实现不同源安全区、目的安全区的访问控制,对于安全区的ACL策略通常通过系统预先定义针对某一区的可访问或不可访问的IP地址或MAC地址,当数据包内携带的目的IP地址与目的安全区定义的可访问的IP地址匹配时,此时,则允许数据包传输。
进一步的,在防火墙系统调用用户空间的环形缓冲区存储处理后的数据包之后,防火墙系统还可以调用用户空间的环形缓冲区获取处理后的数据包,并根据包头字段调用用户空间的解码器对处理后的数据包进行第二解码处理,以获取数据包的数据内容,可以包括数据包内的正文、超文本传送协议(Hypertext transfer protocol,简称HTTP)的统一资源定位符(Uniform/Universal Resource Locator,简称URL)字段、文件传送协议(File TransferProtocol,简称FTP)等内容,从而根据防火墙系统内预设的第一安全策略列表并由防火墙系统的安全引擎模块对数据内容进行基本安全检测,若确定数据内容匹配到第一安全策略列表中的一条表项,且与该条表项对应的处理方式为阻止,则说明该数据包为非法数据包,因此,丢弃该数据包。若防火墙系统确定数据内容未匹配到第一安全策略列表中的任一表项,则调用用户空间的环形缓冲区存储该处理后的数据包。在本实施例中,所述基本安全检测可以包括入侵防护系统(Instrusion Prevent System,简称IPS)攻击检测、病毒检测、URL检测和/或WEB检测。如当进行URL检测时,则根据HTTP协议的URL字段对数据包进行过滤;而进行IPS检测时则根据数据包内的正文内容进行检测等。
需要说明的是,上述对处理后的数据包进行第二解码处理是指对应用层数据进行深度解析,将应用层行为、应用层结果的状态和应用层协议的字段解析出来,比如常用的HTTP/POP3/SMTP等协议,报文处理引擎会根据协议字段以及应用层解码器的注册表对数据分进行相应的解码处理,并将解码的结果记录在会话上,供安全引擎对这些解码后的应用层数据进行安全检测。
进一步的,在防火墙系统调用用户空间的环形缓冲区存储处理后的数据包之后,防火墙系统还可以调用用户空间的环形缓冲区获取处理后的数据内容,并根据防火墙系统内预设的第二安全策略列表,由防火墙系统的数通引擎模块对数据内容进行高级安全检测,若确定数据内容匹配到第二安全策略列表中的一条表项,则说明该数据包为非法数据包,因此,丢弃该数据包。在本实施例中,所述高级安全检测包括分布式拒绝服务(Distributed Denial ofservice,简称DDOS)攻击检测。例如,对于DDOS检测来说,第二安全策略列表中可以存储预先设定的访问时间和访问次数阈值,若传输数据包的源IP地址对目的IP地址的访问超过了预先设定的阀值,则可以认为是拒绝服务攻击,将数据包丢弃。
在本实施例中,安全引擎模块和数通引擎模块通过共享用户空间的环形缓冲区而完成对数据包的处理,使得整个数据包的处理过程都是在用户空间的同一个内存区域完成,从而减少了数据包的内存拷贝,提高了数据包的处理和转发速度,同时防火墙系统是运行在用户空间的,相对于基于内核的防火墙系统,减少了编译和调试内核所存在的困难。
进一步的,若第二安全策略列表中不存在与数据内容匹配的表项,则转发该处理后的数据包。
优选地,防火墙系统可以根据UIO当前获取数据包的工作模式确定处理后的数据包的转发网口。具体为:当防火墙系统调用用户空间的UIO获取网络中传输的数据包时,可以根据获取数据包的网口确定该网口的工作模式。在本实施例中,所述网口通常包括三种工作模式:路由模式、透明模式或监听模式。其中,路由模式是指该网口通过第三层对外连接,其接口具有IP地址,通过对数据包进行路由,并设置数据包的网络出口;透明模式是指该网口通过第二层对外连接,其接口无IP地址,则根据接口的虚拟局域网标识(Virtual Local Area Network IDentity,简称VLAN ID)和接口的access和trunck属性确定数据包的网络出口;监听模式是指该网口能够接收网络中的所有数据包,实现对数据包的安全监测,相当于交换机的镜像端口。因此,UIO获取网络中传输的数据包时,可以一并记录该数据包的接收网口,然后根据接收网口的工作模式,确定转发网口,从而使得防火墙系统可以通过确定的转发网口转发处理后的数据包。
在本发明实施例中,由于防火墙运行在用户空间,没有了系统内核的系统资源,从而使得数据转发可以达到或接近线速。另外,基于内核的防火墙系统,由于其依赖于设备所使用的内核版本,要想迁移至其它设备比较困难,或者根本无法迁移至其它设备,因此,本发明实施例提供的防火墙系统的实现方法还具有一定的普遍适用性。
图2为本发明实施例二提供的一种防火墙系统的结构示意图,如图2所示,所述防火墙系统可以包括:
用户空间驱动UIO调用模块201,用于调用用户空间的UIO获取网络中传输的数据包,所述数据包包括用于标识数据包编码格式的包头字段;
解码器调用模块202,用于根据包头字段调用用户空间的解码器对数据包进行与数据包编码格式相对应的第一解码处理,以获取数据包的源IP地址和源MAC地址;
数据包过滤模块203,用于根据数据包的源IP地址和源MAC地址查询预设的访问绑定列表,所述访问绑定列表中预先存储了允许访问的IP地址和MAC地址的对应关系,若确定访问绑定列表中存在所述数据包的源IP地址、且不存在所述数据包的源IP地址和源MAC地址的对应关系,则丢弃数据包。
需要说明的是,本实施例的防火墙系统设置在用户空间,可以用于执行图1所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
进一步,所述防火墙系统还可以包括:
策略匹配模块204,用于若确定访问绑定列表中不存在包括所述数据包的源IP地址,或,确定访问绑定列表中存在包括所述数据包的源IP地址、且存在所述数据包的源IP地址和源MAC地址的对应关系,则根据预先设置的访问控制列表ACL对所述数据包进行ACL策略匹配;或用于,
若ACL中不存在与所述数据包匹配的表项,或,所述数据包匹配到ACL中的一条表项且与该条表项对应的处理方式为阻止,则丢弃所述数据包。
数据包处理模块205,用于若数据包匹配到ACL中的一条表项,且与该条表项对应的处理方式为非阻止,则根据与该条表项对应的处理方式对所述数据包进行处理;
环形缓冲区调用模块206,用于调用用户空间的环形缓冲区存储处理后的数据包。
具体的,所述环形缓冲区调用模块206还可以用于,调用用户空间的环形缓冲区获取处理后的数据包。
所述解码器调用模块202还可以用于根据数据包的包头字段调用用户空间的解码器对处理后的数据包进行第二解码处理,获取处理后的数据包的数据内容。
进一步的,所述防火墙系统还可以包括:
安全引擎模块207,用于根据预设的第一安全策略列表对数据内容进行基本安全检测,若确定数据内容匹配到第一安全策略列表中的一条表项,且与该条表项对应的处理方式为阻止,则丢弃处理后的数据包,其中,基本安全检测包括入侵防护系统IPS攻击检测、病毒检测、统一资源定位符URL检测和/或WEB检测。
数通引擎模块208,用于若第一安全策略列表中不存在与所述数据内容匹配的表项,则根据预设的第二安全策略列表对数据内容进行高级安全检测,若确定所述数据内容匹配到第二安全策略列表中的一条表项,则丢弃处理后的数据包,其中,高级安全检测包括分布式拒绝服务DDOS攻击检测。
转发模块209,用于若第二安全策略列表中不存在与所述数据内容匹配的表项,则转发处理后的数据包。
网口指定模块210,用于根据UIO当前获取数据包的工作模式确定处理后的数据包的转发网口。
具体的,转发模块209具体可以用于,根据确定的转发网口转发所述处理后的数据包。
图3为本发明防火墙系统部署示意图,如图3所示,本发明实施例提供的防火墙系统200可以部署在用户空间,并通过用户空间驱动UIO调用模块201调用用户空间驱动UIO301捕获网络中传输的数据包,然后通过解码器调用模块202调用用户空间的解码器302对数据包进行与数据包编码格式相对应的第一解码处理;解码器302将解码后的数据传输至数通引擎系统400,其中,上述图2所示实施例中的数据包过滤模块203、策略匹配模块204、数据包处理模块205以及数通引擎模块208可以部署在图3所示的数通引擎系统400中,数通引擎系统400中的数据包过滤模块203对解码后的数据包进行数据包过滤、策略匹配模块204对解码后的数据包进行策略匹配、数据包处理模块205对解码后的数据包进行处理,然后通过环形缓冲区调用模块206调用用户空间的环形缓冲区303存储处理后的数据包;安全引擎模块207则通过环形缓冲区调用模块206调用用户空间的环形缓冲区303获取数据包,并通过解码器调用模块202调用用户空间的解码器302对数据包进行与数据包编码格式相对应的第二解码处理,然后对解码后的数据内容根据预设的第一安全策略列表进行基本安全检测,并在数据内容未匹配到第一安全策略列表中的任一表项时,通过环形缓冲区调用模块206调用用户空间的环形缓冲区303存储进行第二解码后的数据内容;数通引擎系统400则通过环形缓冲区调用模块206调用用户空间的环形缓冲区303获取进行第一解码处理和第二解码处理处理后的数据内容,然后由数通引擎模块208根据预设的第二安全策略列表对数据内容进行高级安全检测,并在确定数据内容未匹配到第二安全策略列表中的任一表项时,通过转发模块209转发所述数据包。在本实施例中,关于防火墙系统200中各模块的具体工作原理在上述实施例一及实施例二中已详细描述,此处不再赘述,而只对本实施例提供的防火墙系统部署在用户空间与用户空间中各模块的工作原理及关系进行说明。
本领域普通技术人员可以理解:实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可读取存储介质中。该程序在执行时,执行包括上述各方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
Claims (15)
1.一种防火墙系统的实现方法,其特征在于,所述防火墙系统设置在用户空间,所述方法包括:
调用用户空间驱动UIO获取网络中传输的数据包,所述数据包包括用于标识数据包编码格式的包头字段;
根据所述包头字段调用用户空间的解码器对所述数据包进行与所述数据包编码格式相对应的第一解码处理,以获取所述数据包的源IP地址和源MAC地址;
根据所述数据包的源IP地址和源MAC地址查询预设的访问绑定列表,所述访问绑定列表中预先存储了允许访问的IP地址和MAC地址的对应关系,若确定所述访问绑定列表中存在所述数据包的源IP地址、但不存在所述数据包的源IP地址和源MAC地址的对应关系,则丢弃所述数据包。
2.根据权利要求1所述的方法,其特征在于,还包括:
若确定所述访问绑定列表中不存在包括所述数据包的源IP地址,或,确定所述访问绑定列表中存在包括所述数据包的源IP地址、且存在所述数据包的源IP地址和源MAC地址的对应关系,则根据预先设置的访问控制列表ACL对所述数据包进行ACL策略匹配;
若所述ACL中不存在与所述数据包匹配的表项,或,所述数据包匹配到所述ACL中的一条表项且与该条表项对应的处理方式为阻止,则丢弃所述数据包。
3.根据权利要求2所述的方法,其特征在于,还包括:
若所述数据包匹配到ACL中的一条表项,且与该条表项对应的处理方式为非阻止,则根据与该条表项对应的处理方式对所述数据包进行处理;
调用用户空间的环形缓冲区存储处理后的数据包。
4.根据权利要求3所述的方法,其特征在于,在所述调用用户空间的环形缓冲区存储处理后的数据包之后,还包括:
调用用户空间的环形缓冲区获取所述处理后的数据包;
根据所述包头字段调用用户空间的解码器对所述处理后的数据包进行第二解码处理,获取所述处理后的数据包的数据内容;
根据预设的第一安全策略列表对所述数据内容进行基本安全检测,若确定所述数据内容匹配到第一安全策略列表中的一条表项,且与该条表项对应的处理方式为阻止,则丢弃所述处理后的数据包;所述基本安全检测包括入侵防护系统IPS攻击检测、病毒检测、统一资源定位符URL检测和/或WEB检测。
5.根据权利要求4所述的方法,其特征在于,还包括:
若第一安全策略列表中不存在与所述数据内容匹配的表项,则调用用户空间的环形缓冲区存储所述数据内容;或,
若确定所述数据内容匹配到第一安全策略列表中的一条表项、且与该条表项对应的处理方式为非阻止,则根据该条表项对应的处理方式对所述处理后的数据包进行处理。
6.根据权利要求5所述的方法,其特征在于,在所述调用用户空间的环形缓冲区存储所述数据内容之后,还包括:
调用用户空间的环形缓冲区获取所述数据内容;
根据预设的第二安全策略列表对所述数据内容进行高级安全检测,若确定所述数据内容匹配到第二安全策略列表中的一条表项,则丢弃所述处理后的数据包;所述高级安全检测包括分布式拒绝服务DDOS攻击检测。
7.根据权利要求6所述的方法,其特征在于,还包括:
若第二安全策略列表中不存在与所述数据内容匹配的表项,则转发所述处理后的数据包。
8.根据权利要求7所述的方法,其特征在于,还包括:
根据所述UIO当前获取数据包的工作模式确定所述处理后的数据包的转发网口;
所述转发所述处理后的数据包具体包括:
通过确定的转发网口转发所述处理后的数据包。
9.一种防火墙系统,其特征在于,设置在用户空间,包括:
用户空间驱动UIO调用模块,用于调用用户空间的UIO获取网络中传输的数据包,所述数据包包括用于标识数据包编码格式的包头字段;
解码器调用模块,用于根据所述包头字段调用用户空间的解码器对所述数据包进行与所述数据包编码格式相对应的第一解码处理,以获取所述数据包的源IP地址和源MAC地址;
数据包过滤模块,用于根据所述数据包的源IP地址和源MAC地址查询预设的访问绑定列表,所述访问绑定列表中预先存储了允许访问的IP地址和MAC地址的对应关系,若确定所述访问绑定列表中存在所述数据包的源IP地址、且不存在所述数据包的源IP地址和源MAC地址的对应关系,则丢弃所述数据包。
10.根据权利要求9所述的防火墙系统,其特征在于,还包括:
策略匹配模块,用于若确定所述访问绑定列表中不存在包括所述数据包的源IP地址,或,确定所述访问绑定列表中存在包括所述数据包的源IP地址、且存在所述数据包的源IP地址和源MAC地址的对应关系,则根据预先设置的访问控制列表ACL对所述数据包进行ACL策略匹配;或用于,
若所述ACL中不存在与所述数据包匹配的表项,或,所述数据包匹配到所述ACL中的一条表项且与该条表项对应的处理方式为阻止,则丢弃所述数据包。
11.根据权利要求10所述的防火墙系统,其特征在于,还包括:
数据包处理模块,用于若所述数据包匹配到ACL中的一条表项,且与该条表项对应的处理方式为非阻止,则根据与该条表项对应的处理方式对所述数据包进行处理;
环形缓冲区调用模块,用于调用用户空间的环形缓冲区存储处理后的数据包。
12.根据权利要求11所述的防火墙系统,其特征在于,
所述环形缓冲区调用模块还用于,调用用户空间的环形缓冲区获取所述处理后的数据包;
所述解码器调用模块还用于,根据所述包头字段调用用户空间的解码器对所述处理后的数据包进行第二解码处理,获取所述处理后的数据包的数据内容;
所述系统还包括:
安全引擎模块,用于根据预设的第一安全策略列表对所述数据内容进行基本安全检测,若确定所述数据内容匹配到第一安全策略列表中的一条表项,且与该条表项对应的处理方式为阻止,则丢弃所述处理后的数据包,所述基本安全检测包括入侵防护系统IPS攻击检测、病毒检测、统一资源定位符URL检测和/或WEB检测。
13.根据权利要求12所述的防火墙系统,其特征在于,还包括:
数通引擎模块,用于若第一安全策略列表中不存在与所述数据内容匹配的表项,则根据预设的第二安全策略列表对所述数据内容进行高级安全检测,若确定所述数据内容匹配到第二安全策略列表中的一条表项,则丢弃所述处理后的数据包;所述高级安全检测包括分布式拒绝服务DDOS攻击检测。
14.根据权利要求13所述的防火墙系统,其特征在于,还包括:
转发模块,用于若第二安全策略列表中不存在与所述数据内容匹配的表项,则转发所述处理后的数据包。
15.根据权利要求14所述的防火墙系统,其特征在于,还包括:
网口指定模块,用于根据所述UIO当前获取数据包的工作模式确定所述处理后的数据包的转发网口;
所述转发模块具体用于,根据确定的转发网口转发所述处理后的数据包。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210575044.8A CN103023914B (zh) | 2012-12-26 | 2012-12-26 | 一种防火墙系统及其实现方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210575044.8A CN103023914B (zh) | 2012-12-26 | 2012-12-26 | 一种防火墙系统及其实现方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103023914A CN103023914A (zh) | 2013-04-03 |
| CN103023914B true CN103023914B (zh) | 2015-07-01 |
Family
ID=47972045
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210575044.8A Active CN103023914B (zh) | 2012-12-26 | 2012-12-26 | 一种防火墙系统及其实现方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103023914B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107241300B (zh) * | 2016-03-29 | 2020-11-03 | 北京京东尚科信息技术有限公司 | 用户请求的拦截方法和装置 |
| CN107959585B (zh) * | 2017-11-08 | 2021-09-03 | 新华三信息安全技术有限公司 | 一种防火墙配置方法、装置及电子设备 |
| CN107872456A (zh) * | 2017-11-09 | 2018-04-03 | 深圳市利谱信息技术有限公司 | 网络入侵防御方法、装置、系统及计算机可读存储介质 |
| CN109889529B (zh) * | 2019-03-01 | 2021-06-08 | 国电南瑞科技股份有限公司 | 一种基于iptable的通信控制器的防火墙实现方法 |
| CN111030971B (zh) * | 2019-03-21 | 2023-07-11 | 安天科技集团股份有限公司 | 一种分布式访问控制方法、装置及存储设备 |
| CN110138797B (zh) * | 2019-05-27 | 2021-12-14 | 北京知道创宇信息技术股份有限公司 | 一种报文处理方法及装置 |
| CN110912928B (zh) * | 2019-12-11 | 2022-01-28 | 百度在线网络技术(北京)有限公司 | 一种防火墙实现方法、装置以及电子设备 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101068229A (zh) * | 2007-06-08 | 2007-11-07 | 北京工业大学 | 一种基于网络过滤器的内容过滤网关实现方法 |
| CN101610264A (zh) * | 2009-07-24 | 2009-12-23 | 深圳市永达电子股份有限公司 | 一种防火墙系统、安全服务平台及防火墙系统的管理方法 |
| CN102378166A (zh) * | 2011-09-09 | 2012-03-14 | 周伯生 | 基于无线防火墙的网络安全方法 |
-
2012
- 2012-12-26 CN CN201210575044.8A patent/CN103023914B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101068229A (zh) * | 2007-06-08 | 2007-11-07 | 北京工业大学 | 一种基于网络过滤器的内容过滤网关实现方法 |
| CN101610264A (zh) * | 2009-07-24 | 2009-12-23 | 深圳市永达电子股份有限公司 | 一种防火墙系统、安全服务平台及防火墙系统的管理方法 |
| CN102378166A (zh) * | 2011-09-09 | 2012-03-14 | 周伯生 | 基于无线防火墙的网络安全方法 |
Non-Patent Citations (1)
| Title |
|---|
| 基于iptables的透明网关模式在网闸中的设计与实现;辛海涛;《电脑知识与技术》;20110331;第7卷(第8期);第1764-1766页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103023914A (zh) | 2013-04-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103023914B (zh) | 一种防火墙系统及其实现方法 | |
| US10021033B2 (en) | Context driven policy based packet capture | |
| US8832820B2 (en) | Isolation and security hardening among workloads in a multi-tenant networked environment | |
| CN109479013B (zh) | 计算机网络中的业务的日志记录 | |
| WO2017066359A1 (en) | Determining direction of network sessions | |
| CN108881328B (zh) | 数据包过滤方法、装置、网关设备及存储介质 | |
| CN101707617A (zh) | 报文过滤方法、装置及网络设备 | |
| JP7388613B2 (ja) | パケット処理方法及び装置、デバイス、並びに、コンピュータ可読ストレージ媒体 | |
| RU2653241C1 (ru) | Обнаружение угрозы нулевого дня с использованием сопоставления ведущего приложения/программы с пользовательским агентом | |
| WO2016150296A1 (zh) | 发送、接收流规范规则的方法和装置 | |
| KR101076683B1 (ko) | 호스트 기반의 망분리 장치 및 방법 | |
| CN102891855B (zh) | 网络数据流安全处理方法及设备 | |
| WO2014173365A1 (zh) | Ftp的应用层报文过滤方法及装置、计算机存储介质 | |
| CN112165460A (zh) | 流量检测方法、装置、计算机设备和存储介质 | |
| US9819690B2 (en) | Malicious virtual machine alert generator | |
| CN116582365B (zh) | 网络流量的安全控制方法、装置及计算机设备 | |
| Ahmad et al. | Containment of fast scanning computer network worms | |
| Gao et al. | Detecting DOS/DDOS attacks under IPv6 | |
| KR101216581B1 (ko) | 듀얼 os를 이용한 보안 시스템 및 그 방법 | |
| WO2012088972A1 (zh) | 一种网络安全处理方法及无线通信装置 | |
| Li et al. | Prospect for the future internet: A study based on TCP/IP vulnerabilities | |
| US20140122651A1 (en) | Network Access Control Based on Risk Factor | |
| JP6623702B2 (ja) | ネットワーク監視装置及びネットワーク監視装置におけるウイルス検知方法。 | |
| CN104348785B (zh) | IPv6网中防止主机PMTU攻击的方法、装置与系统 | |
| KR20110040152A (ko) | 공격자 패킷 역추적 방법 및 이를 위한 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 100089 3rd floor, Yitai building, 4 Beiwa Road, Haidian District, Beijing Patentee after: NSFOCUS Technologies Group Co.,Ltd. Patentee after: NSFOCUS TECHNOLOGIES Inc. Address before: 100089 3rd floor, Yitai building, 4 Beiwa Road, Haidian District, Beijing Patentee before: NSFOCUS INFORMATION TECHNOLOGY Co.,Ltd. Patentee before: NSFOCUS TECHNOLOGIES Inc. |