CN104683295B - 数据包过滤规则配置方法、装置及系统 - Google Patents
数据包过滤规则配置方法、装置及系统 Download PDFInfo
- Publication number
- CN104683295B CN104683295B CN201310616991.1A CN201310616991A CN104683295B CN 104683295 B CN104683295 B CN 104683295B CN 201310616991 A CN201310616991 A CN 201310616991A CN 104683295 B CN104683295 B CN 104683295B
- Authority
- CN
- China
- Prior art keywords
- data packet
- packet filtering
- filtering rule
- server
- rule
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/0806—Configuration setting for initial configuration or provisioning, e.g. plug-and-play
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/02—Capturing of monitoring data
- H04L43/028—Capturing of monitoring data by filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/0813—Configuration setting characterised by the conditions triggering a change of settings
- H04L41/082—Configuration setting characterised by the conditions triggering a change of settings the condition being updates or upgrades of network functionality
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/60—Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources
- H04L67/63—Routing a service request depending on the request content or context
Abstract
本发明提供了一种数据包过滤规则配置方法、装置及系统,其中,该方法包括:发送携带有预定标识的配置请求至服务端,其中,预定标识包括以下至少之一:数据包过滤规则的请求方的标识、数据包过滤规则的标识;接收服务端根据所述配置请求下发的数据包过滤规则;加载数据包过滤规则至请求方的数据包过滤驱动程序。通过本发明的方法,解决了相关技术中数据包过滤规则的配置导致操作复杂的问题,简化了数据包过滤规则的配置过程,提高了对网络连接控制的灵活性。
Description
技术领域
本发明涉及通信领域,具体而言,涉及一种数据包过滤规则配置方法、装置及系统。
背景技术
现代互联网中网络攻击、病毒和钓鱼网站等各种威胁终端安全的手段肆虐接入互联网的终端设备,网络数据包技术作为防火墙的基本技术,对终端的安全联网起到非常重要的作用,通过设置从英特网进入终端的数据包或者从终端进入英特网的数据包的拦截或允许,使不符合规则的数据包不能通过。
传统的数据包过滤技术一般在终端的防火墙中进行控制,由终端使用者设置相应的过滤规则,这种方式不便于对于终端过滤规则的集中管理,对网络接入的可控性不强,不适用于终端集中管理的场景。一旦某一台终端规则设置不合理,导致受到网络的攻击以及病毒的感染而危及到网络内的其他终端。
也有一些包过滤技术采用了C/S的架构,由服务器对客户端的包过滤规则进行了相应的参数配置,由客户端在初始阶段与服务器建立连接,然后由服务器将相应的配置参数发给客户端,客户端随即启动包过滤流程。在一定程度上解决了统一管理客户端的功能,但是这种方式容易在需要对终端的网络接入进行差异化控制的应用场景中存在不足,同时如果需要实时的修改过滤规则,则需要断开连接,重新进行连接,参数配置以及启动过滤。在一定程度上增加了操作的复杂性。
针对相关技术中数据包过滤规则的配置导致操作复杂的问题,目前尚未提出有效的解决方案。
发明内容
本发明提供了一种数据包过滤规则配置方法、装置及系统,以至少解决数据包过滤规则的配置导致操作复杂的问题。
根据本发明的一个方面,提供了一种数据包过滤规则配置方法,包括:发送携带有预定标识的配置请求至服务端,其中,所述预定标识包括以下至少之一:数据包过滤规则的请求方的标识、所述数据包过滤规则的标识;接收所述服务端根据所述配置请求下发的所述数据包过滤规则;加载所述数据包过滤规则至所述请求方的数据包过滤驱动程序。
优选地,在所述服务端中保存有所述数据包过滤规则的请求方的标识与所述数据包过滤规则的对应关系,和/或,保存有所述数据包过滤规则的标识与所述数据包过滤规则的对应关系。
优选地,在加载所述数据包过滤规则至所述请求方的所述数据包过滤驱动程序之后,所述方法还包括:通过所述数据包过滤驱动程序,过滤所述请求方与网络进行通信的数据包;发送所述数据包的拦截日志至所述服务端,其中,所述拦截日志是根据所述数据包过滤规则拦截的数据包的信息生成的。
优选地,过滤所述请求方与网络进行通信的所述数据包包括:在所述数据包为传输层数据包的情况下,通过传输驱动程序接口层过滤所述数据包;在所述数据包为网络层和/或数据链路层的数据包的情况下,通过中间层驱动程序过滤所述数据包。
优选地,在所述数据包过滤规则为基于应用程序控制的数据包过滤规则的情况下,过滤所述请求方与网络通信的数据包包括:根据所述数据包过滤规则和所述数据包中携带的应用程序标识,分别过滤所述请求方的一个或多个应用程序与网络进行通信的数据包。
优选地,接收所述服务端根据所述配置请求下发的所述数据包过滤规则还包括:接收所述服务端根据所述配置请求下发的更新的所述数据包过滤规则,其中,所述更新的所述数据包过滤规则包括以下至少之一:所述服务端根据所述请求方发送的拦截日志和预定算法确定的数据包过滤规则,和/或所述服务端根据用户的输入确定的数据包过滤规则。
根据本发明的另一方面,提供了一种数据包过滤规则配置装置,包括:第一发送模块,用于发送携带有预定标识的配置请求至服务端,其中,所述预定标识包括以下至少之一:数据包过滤规则的请求方的标识、所述数据包过滤规则的标识;接收模块,用于接收所述服务端根据所述配置请求下发的所述数据包过滤规则;加载模块,用于加载所述数据包过滤规则至所述请求方的数据包过滤驱动程序。
优选地,所述装置还包括:过滤模块,用于通过所述数据包过滤驱动程序,过滤所述请求方与网络进行通信的数据包;第二发送模块,用于发送所述数据包的拦截日志至所述服务端,其中,所述拦截日志是根据所述数据包过滤规则拦截的数据包的信息生成的。
优选地,所述过滤模块包括:过滤单元,用于根据所述数据包过滤规则和所述数据包中携带的应用程序标识,分别过滤所述请求方的一个或多个应用程序与网络进行通信的数据包。
根据本发明的另一个方面,提供了一种数据包过滤规则配置系统,包括:终端和服务端,其中,所述终端,用于发送携带有预定标识的配置请求至所述服务端,其中,所述预定标识包括以下至少之一:所述终端的标识、所述数据包过滤规则的标识;接收所述服务端根据所述配置请求下发的所述数据包过滤规则;加载所述数据包过滤规则至所述终端的数据包过滤驱动程序请求;所述服务端,用于根据所述配置请求确定所述终端所请求的所述数据包过滤规则;发送所述数据包过滤规则至所述终端。
通过本发明,采用发送携带有预定标识的配置请求至服务端,其中,所述预定标识包括以下至少之一:数据包过滤规则的请求方的标识、所述数据包过滤规则的标识;接收所述服务端根据所述配置请求下发的所述数据包过滤规则;加载所述数据包过滤规则至所述请求方的数据包过滤驱动程序的方式,解决了数据包过滤规则的配置导致操作复杂的问题,简化了数据包过滤规则的配置过程,提高了对网络连接控制的灵活性。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据本发明实施例的数据包过滤规则配置方法的流程示意图;
图2是根据本发明实施例的数据包过滤规则配置装置的结构示意图;
图3是根据本发明实施例的数据包过滤规则配置装置的优选结构示意图;
图4根据本发明实施例的数据包过滤规则配置系统的示意图;
图5是根据本发明优选实施的数据包过滤系统的初始化流程图;
图6是根据本发明优选实施例的终端数据包过滤服务器配置的初始化流程图;
图7是根据本发明优选实施例的服务器对终端数据包过滤规则进行动态更新的流程图。
具体实施方式
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本发明。
在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
本实施例提供了一种数据包过滤规则配置方法,图1是根据本发明实施例的数据包过滤规则配置方法的流程示意图,如图1所示,该流程包括如下的步骤:
步骤S102:发送携带有预定标识的配置请求至服务端,其中,预定标识包括以下至少之一:数据包过滤规则的请求方的标识、数据包过滤规则的标识。
步骤S104:接收服务端根据配置请求下发的数据包过滤规则。
步骤S106:加载数据包过滤规则至请求方的数据包过滤驱动程序。
通过上述步骤,采用根据通过设置的数据包过滤规则的标识或者数据包过滤规则的请求方的标识请求对应的数据包过滤规则,并将所述数据包加载到请求方的数据包过滤驱动程序,解决了现有相关技术中数据包过滤规则的配置导致操作复杂的问题,简化了数据包过滤规则的配置过程,提高了对网络连接控制的灵活性。
优选地,服务端可以根据保存的相应的对应关系,查询数据包过滤规则的标识或者数据包过滤规则的请求方的标识对应的数据包过滤规则。在这种情况下,在服务器端中至少保存有以下两种对应关系之一:数据包过滤规则的请求方的标识与数据包过滤规则的对应关系、数据包过滤规则的标识与数据包过滤规则的对应关系。通过上述方式,可以将不同的数据包过滤规则配置给不同的请求方,请求方也可以根据自身的需求,在服务端上选择相应的数据包过滤规则进行配置。较优地,在服务端中保存的数据包过滤规则是按照一定的场景预设为多个安全等级的过滤规则,请求方可以在配置请求中携带有需求的安全等级的标识,则服务端可以根据该安全等级的标识下发对应的数据包过滤规则给该请求方。
优选地,在步骤S106之后,请求方可以通过数据包过滤驱动程序,过滤请求方与网络进行通信的数据包;可选的,请求方还可以将数据包的拦截日志反馈给服务端,其中,拦截日志是根据数据包过滤规则拦截的数据包的信息生成的。其中,过滤驱动程序对数据包过滤规则的请求方的标识与数据包过滤规则,和/或,数据包过滤规则的标识与数据包过滤规则进行匹配,如果匹配不成功,过滤驱动程序过滤掉进行通信的数据包,并将拦截的动作保存到拦截日志到服务器。
优选地,过滤数据包的方式可以根据实际需求来进行,例如,在数据包为传输层数据包的情况下,可以通过传输驱动程序接口层过滤数据包;在数据包为网络层和/或数据链路层的数据包的情况下,可以通过中间层驱动程序过滤数据包。
优选地,为了提高安全性和灵活性,实现对于不同应用程序的数据包应用不同的策略进行数据包过滤,在本实施例中还提供了一种基于应用程序控制的数据包过滤机制,即请求方对配置的数据包过滤规则和接收到的待过虑数据包中携带的应用程序标识进行匹配,在过滤规则与应用程序标识匹配时,分别根据匹配的规则对携带有对应应用程序标识的数据包进行处理。优选地,对于携带有未匹配到的应用程序标识的数据包,可以根据默认设置进行处理,例如,默认设置可以是:对未匹配到的数据包进行拦截,也可以是允许未匹配到的数据包的接收和发送。
优选地,在步骤S104中,请求方还可以接收服务端根据配置请求下发的更新的数据包过滤规则,其中,更新的数据包过滤规则可以是服务端按照预定策略更新的,也可以是根据用户的输入进行更新的,例如:服务端根据请求方发送的拦截日志和预定算法确定的数据包过滤规则,或者服务端根据用户的输入确定的数据包过滤规则。例如,根据实际的需要,相关专业管理人员根据实际运行中的需求,对相应的规则做出手动的修改配置,服务器在监控到相应的过滤规则修改之后,并开始对请求方下发更新之后的过滤规则。
本实施例还提供了一种数据包过滤规则配置装置,该装置实施例中描述的数据包过滤规则配置装置对应于上述方法实施例,其具体的实施例在方法实施例中已经进行过详细说明,在此不再赘述。
图2是根据本发明实施例的数据包过滤规则配置装置的结构示意图,如图2所示,该装置包括:第一发送模块22、接收模块24和加载模块26,其中,第一发送模块22,用于发送携带有预定标识的配置请求至服务端,其中,预定标识包括以下至少之一:数据包过滤规则的请求方的标识、数据包过滤规则的标识;接收模块24耦合至第一发送模块22,用于接收服务端根据所述配置请求下发的数据包过滤规则;加载模块26耦合至接收模块24,用于加载数据包过滤规则至请求方的数据包过滤驱动程序。
在上述本实施例装置中,采用了第一发送模块22发送预定标识至服务器,根据所述预定标识,接收模块24接收服务器下发的数据包过滤规则,加载模块26加载数据包过滤规则至请求方的数据包过滤驱动程序的方式,解决了相关技术中数据包过滤规则的配置导致操作复杂的问题,简化了数据包过滤规则的配置过程,提高了对网络连接控制的灵活性。
本实施例中所涉及到的模块、单元可以通过软件的方式实现,也可以通过硬件的方式来实现。本实施例中的所描述的模块、单元也可以设置在处理器中,例如,可以描述为:一种处理器包括第一发送模块22、接收模块24和加载模块26。其中,这些模块的名称在某种情况下并不构成对该模块本身的限定,例如,接收模块还可以被描述为“用于发送携带有预定标识的配置请求至服务端的模块”。
优选地,在服务器端中至少保存有以下两种对应关系之一:数据包过滤规则的请求方的标识与数据包过滤规则的对应关系、数据包过滤规则的标识与数据包过滤规则的对应关系。
图3是根据本发明实施例的数据包过滤规则配置装置的优选结构示意图,如图3所示,优选地,该装置还包括:过滤模块32,用于通过数据包过滤驱动程序,过滤请求方与网络进行通信的数据包;第二发送模块34,用于发送数据包的拦截日志至服务端,其中,拦截日志是根据数据包过滤规则拦截的数据包的信息生成的。
优选地,过滤模块32在数据包为传输层数据包的情况下,可以通过传输驱动程序接口层过滤该数据包;在数据包为网络层和/或数据链路层的数据包的情况下,可以通过中间层驱动程序过滤该数据包。
优选地,过滤模块32还用于根据数据包过滤规则和数据包中携带的应用程序标识,分别过滤请求方的一个或多个应用程序与网络进行通信的数据包。
优选地,接收模块24还用于接收服务端根据配置请求下发的更新的数据包过滤规则,其中,更新的数据包过滤规则可以是:服务端根据请求方发送的拦截日志和预定算法确定的数据包过滤规则,和/或,服务端根据用户的输入确定的数据包过滤规则。
本实施例还提供了一种数据包过滤规则配置系统,图4根据本发明实施例的数据包过滤规则配置系统的结构示意图。如图4所示,该系统包括:终端42(相当于上述的数据包过滤规则配置装置,用于完成上述请求方的相应功能)和服务端44(用于完成上述服务端的相应功能),其中,终端42,用于发送携带有预定标识的配置请求至服务端44,其中,预定标识包括以下至少之一:终端42的标识、数据包过滤规则的标识;接收服务端44根据配置请求下发的数据包过滤规则;加载数据包过滤规则至终端42的数据包过滤驱动程序请求;服务端44,用于根据配置请求确定终端42所请求的数据包过滤规则,并发送数据包过滤规则至终端42。
下面将结合优选的实施例对其实现过程进行详细描述。
针对上述现有终端网络数据包过滤技术存在的不足,本发明优选实施例的目的是针对需要对终端进行集中管理的场景中,提供了一种实现对终端网络数据包过滤进行集中配置,分级管理和动态更新的方法。
图5是根据本发明优选实施例的数据包过滤系统的初始化流程图,在图5中,终端上电初始化中,从预置的服务器地址配置中搜寻服务器,并与服务器建立连接,此时终端数据包过滤规则可以根据实际需要配置成默认禁止网络接入和允许网络接入,但是在禁止网络接入时,能够默认允许与所配置的各个服务器地址之间的网络通信。该方法的步骤包括:
步骤S502:终端上电系统初始化。
步骤S504:终端搜寻服务器。
步骤S506:终端连接服务器。
步骤S508:服务器对终端进行鉴权认证。
步骤S510:终端的网络过滤根据配置进行相应的初始化。
在上述步骤执行完之后,服务器根据终端连接时携带的信息,对终端进行鉴权以及级别认知,并从规则池中取出相应级别的规则集下发给终端,在本优选实施例中提供的一种实现方法如下:
1)服务器根据实际需要,按一定方式生成一个过滤规则池,规则池中根据实际的分级要求按不同级别生成不同的规则集,当然也可以包括基础的公共规则集,每个不同的级别以不同的ID进行标识。
2)终端在与服务器进行初始化连接的流程中,可以携带相应的ID信息,服务器根据这个ID映射出对应的级别ID,服务器根据级别ID从规则池中取出相应的规则集,并连同公共的基础规则集下发给终端。
3)终端监控到有规则从服务器传过来,然后将相应的规则转化成对应的数据结构发送给内核的数据包过滤驱动程序,驱动程序就会重新加载这些规则。由终端上的应用服务程序决定是否清除原来配置的规则,还是保留之前的规则。
在本优选实施例中还提供了一种终端数据包过滤服务器配置的初始化方法,图6是根据本发明优选实施例的终端数据包过滤服务器配置的初始化流程图,如图6所示,该初始化流程包括:
步骤S602:终端初始化过滤配置。
步骤S604:终端向服务器发送终端ID等信息。
步骤S606:服务器根据终端ID判断终端所属的级别ID。
步骤S608:服务器根据级别ID从规则池中选择对应的规则集。
步骤S610:判断规则集是否非空;其中,在判断结果为是时,则执行步骤S614,在判断结果为否时,则执行步骤S612。
步骤S612:发送对应的错误码到终端;其中,执行完步骤S612之后执行步骤S622。
步骤S614:将规则集发送给终端。
步骤S616:终端应用服务监控到有规则发送过来。
步骤S618:终端应用服务将规则转化成相应的数据结构发送给驱动程序
步骤S620:驱动程序更新对应的规则列表。
步骤S622:终端数据包过滤,初始化结束。
在上述步骤执行完之后,紧接着终端应用程序在需要进行网络通信的时候,需要经过内核的驱动程序进行过滤筛选,内核的驱动程序根据配置的规则对数据包中携带的IP地址和端口号进行匹配,若匹配成功,则按照对应设置的拦截动作进行过滤,若匹配不成功,那么根据配置选项,可以选择拦截或者允许。
因此,可以根据实际的需要,终端可以将对应的拦截记录上传到服务器,供服务器进行分析定位。
优选地,可以根据实际的需要,服务器根据拦截记录进行一定算法的分析,对相应的规则做一些自动化的调整和修改,也可以有相关的专业管理人员根据实际运行中的需求,对相应的规则做出手动的修改配置。服务器监控到相应的规则集修改之后,并开始对使用该规则集的终端下发更新规则集的请求流程,以实现规则集的动态更新。
例如,内核驱动程序可以从用户程序获取规则集,实时的修改相应的规则匹配列表。驱动程序可以根据实际需求,对位于传输层或者网络层或者数据链路层的数据包进行过滤。优选地,对于传输层的数据包可以使用基于TDI层过滤,对于网络层和数据链路层的数据包过滤可以使用中间层驱动程序进行过滤。
优选地,采用内核驱动程序可以灵活的控制数据包的过滤,可以以应用程序为依据进行数据包的过滤,这样可以更加灵活的控制应用程序的网络连接,在允许使用相应应用程序的前提下,保证终端的安全性,过滤掉未知的可能存在安全隐患的网络数据的通信。
图7是根据本发明优选实施例的服务器对终端数据包过滤规则进行动态更新的流程图,如图7所示,上述动态更新的过程包括如下步骤:
步骤S702:服务器规则集发生变化。
步骤S704:找到规则集所对应的终端。
步骤S706:发送新的规则集到终端。
步骤S708:终端根据规则集选择是否保留原始规则。
步骤S710:清除驱动之前配置的规则。
步骤S712:加载(附加)相应的规则到驱动。
步骤S714:驱动程序更新配置规则列表。
综上所述,根据本发明的上述优选实施例,可以实现对终端的网络接入进行集中式管理,同时能针对不同的网络接入需求差异化的进行分级控制,同时针对网络数据包过滤能够实现动态的规则更新,实时有效,搭配相应的过滤日志分析算法还可以实现规则的自适应调整和修改。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (13)
1.一种数据包过滤规则配置方法,其特征在于包括:
发送携带有预定标识的配置请求至服务端,其中,所述预定标识包括所述数据包过滤规则的标识;在所述服务端中保存有所述数据包过滤规则的标识与所述数据包过滤规则的对应关系;
接收所述服务端根据所述配置请求下发的所述数据包过滤规则;
加载所述数据包过滤规则至所述数据包过滤规则的请求方的数据包过滤驱动程序;
所述数据包过滤规则的请求方对所述数据包过滤规则和接收到的待过虑数据包中携带的应用程序标识进行匹配,在所述数据包过滤规则与所述应用程序标识匹配时,分别根据匹配的数据包过滤规则对携带有对应应用程序标识的数据包进行处理。
2.根据权利要求1所述的方法,其特征在于,在所述服务端中还保存有所述数据包过滤规则的请求方的标识与所述数据包过滤规则的对应关系。
3.根据权利要求1所述的方法,其特征在于,在加载所述数据包过滤规则至所述请求方的所述数据包过滤驱动程序之后,所述方法还包括:
通过所述数据包过滤驱动程序,过滤所述请求方与网络进行通信的数据包;
发送所述数据包的拦截日志至所述服务端,其中,所述拦截日志是根据所述数据包过滤规则拦截的数据包的信息生成的。
4.根据权利要求3所述的方法,其特征在于,过滤所述请求方与网络进行通信的所述数据包包括:
在所述数据包为传输层数据包的情况下,通过传输驱动程序接口层过滤所述数据包;
在所述数据包为网络层和/或数据链路层的数据包的情况下,通过中间层驱动程序过滤所述数据包。
5.根据权利要求3所述的方法,其特征在于,在所述数据包过滤规则为基于应用程序控制的数据包过滤规则的情况下,过滤所述请求方与网络通信的数据包包括:
根据所述数据包过滤规则和所述数据包中携带的应用程序标识,分别过滤所述请求方的一个或多个应用程序与网络进行通信的数据包。
6.根据权利要求1所述的方法,其特征在于,所述预定标识还包括所述数据包过滤规则的请求方的标识。
7.根据权利要求1至6中任一项所述的方法,其特征在于,接收所述服务端根据所述配置请求下发的所述数据包过滤规则还包括:
接收所述服务端根据所述配置请求下发的更新的所述数据包过滤规则,其中,所述更新的所述数据包过滤规则包括以下至少之一:所述服务端根据所述请求方发送的拦截日志和预定算法确定的数据包过滤规则,和/或所述服务端根据用户的输入确定的数据包过滤规则。
8.一种数据包过滤规则配置装置,其特征在于包括:
第一发送模块,用于发送携带有预定标识的配置请求至服务端,其中,所述预定标识包括所述数据包过滤规则的标识;在所述服务端中保存有所述数据包过滤规则的标识与所述数据包过滤规则的对应关系;
接收模块,用于接收所述服务端根据所述配置请求下发的所述数据包过滤规则;
加载模块,用于加载所述数据包过滤规则至所述数据包过滤规则的请求方的数据包过滤驱动程序;
其中,所述装置还用于,对所述数据包过滤规则和接收到的待过虑数据包中携带的应用程序标识进行匹配,在所述数据包过滤规则与所述应用程序标识匹配时,分别根据匹配的数据包过滤规则对携带有对应应用程序标识的数据包进行处理。
9.根据权利要求8所述的装置,其特征在于,所述装置还包括:
过滤模块,用于通过所述数据包过滤驱动程序,过滤所述请求方与网络进行通信的数据包;
第二发送模块,用于发送所述数据包的拦截日志至所述服务端,其中,所述拦截日志是根据所述数据包过滤规则拦截的数据包的信息生成的。
10.根据权利要求9所述的装置,其特征在于,所述过滤模块包括:
过滤单元,用于根据所述数据包过滤规则和所述数据包中携带的应用程序标识,分别过滤所述请求方的一个或多个应用程序与网络进行通信的数据包。
11.根据权利要求8所述的装置,其特征在于,所述预定标识还包括所述数据包过滤规则的请求方的标识。
12.一种数据包过滤规则配置系统,其特征在于包括:终端和服务端,其中,
所述终端,用于发送携带有预定标识的配置请求至所述服务端,其中,所述预定标识包括所述数据包过滤规则的标识;接收所述服务端根据所述配置请求下发的所述数据包过滤规则;加载所述数据包过滤规则至所述终端的数据包过滤驱动程序请求;所述终端还用于,对所述数据包过滤规则和接收到的待过虑数据包中携带的应用程序标识进行匹配,在所述数据包过滤规则与所述应用程序标识匹配时,分别根据匹配的数据包过滤规则对携带有对应应用程序标识的数据包进行处理;
所述服务端,用于根据所述配置请求确定所述终端所请求的所述数据包过滤规则;
发送所述数据包过滤规则至所述终端;其中,所述服务端中保存有所述数据包过滤规则的标识与所述数据包过滤规则的对应关系。
13.根据权利要求12所述的数据包过滤规则配置系统,其特征在于,所述预定标识还包括所述数据包过滤规则的请求方的标识。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310616991.1A CN104683295B (zh) | 2013-11-27 | 2013-11-27 | 数据包过滤规则配置方法、装置及系统 |
| PCT/CN2014/075740 WO2014180235A1 (zh) | 2013-11-27 | 2014-04-18 | 数据包过滤规则配置方法、装置及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310616991.1A CN104683295B (zh) | 2013-11-27 | 2013-11-27 | 数据包过滤规则配置方法、装置及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104683295A CN104683295A (zh) | 2015-06-03 |
| CN104683295B true CN104683295B (zh) | 2020-02-14 |
Family
ID=51866702
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310616991.1A Active CN104683295B (zh) | 2013-11-27 | 2013-11-27 | 数据包过滤规则配置方法、装置及系统 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN104683295B (zh) |
| WO (1) | WO2014180235A1 (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105245601A (zh) * | 2015-10-15 | 2016-01-13 | 桂林电子科技大学 | 一种数据过滤方法及数据过滤系统 |
| CN105656943B (zh) * | 2016-03-15 | 2019-07-05 | 上海缔安科技股份有限公司 | 一种应用数据拦截系统及方法 |
| CN106341341B (zh) * | 2016-09-05 | 2020-04-03 | 广州华多网络科技有限公司 | 一种请求数据包过滤方法及其系统 |
| CN107688586B (zh) * | 2016-12-28 | 2020-03-27 | 平安科技(深圳)有限公司 | 客户数据屏蔽处理方法和装置 |
| CN106713355B (zh) * | 2017-01-23 | 2020-02-21 | 绿网天下(福建)网络科技股份有限公司 | 一种基于pc端的网络过滤方法及客户端pc |
| CN107277024A (zh) * | 2017-06-27 | 2017-10-20 | 北京明朝万达科技股份有限公司 | 一种基于tdi接口层的数据防泄漏方法及系统 |
| CN110443059A (zh) * | 2018-05-02 | 2019-11-12 | 中兴通讯股份有限公司 | 数据保护方法及装置 |
| CN110167084B (zh) * | 2018-08-15 | 2021-07-27 | 腾讯科技(深圳)有限公司 | 多通道数据传输方法及装置 |
| CN113242150B (zh) * | 2021-06-03 | 2022-11-22 | 上海天旦网络科技发展有限公司 | K8s中基于Calico网络插件的数据包抓取方法及系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101064878A (zh) * | 2006-04-24 | 2007-10-31 | 华为技术有限公司 | 一种实现内容过滤的移动终端、系统、网络实体及方法 |
| CN101132404A (zh) * | 2007-09-14 | 2008-02-27 | 腾讯科技(深圳)有限公司 | 一种网页内容分级显示系统及方法 |
| CN101364952A (zh) * | 2007-08-08 | 2009-02-11 | 华为技术有限公司 | 事件订阅方法及过滤规则配置方法和相关设备 |
| CN101422000A (zh) * | 2006-04-14 | 2009-04-29 | 高通股份有限公司 | 为通信环境中的各种话务流提供服务质量 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7877599B2 (en) * | 2004-05-28 | 2011-01-25 | Nokia Inc. | System, method and computer program product for updating the states of a firewall |
| CN100454909C (zh) * | 2006-07-04 | 2009-01-21 | 华为技术有限公司 | 一种即时通信中信息过滤和保密的方法和装置 |
| EP2007111A1 (fr) * | 2007-06-22 | 2008-12-24 | France Telecom | Procédé de filtrage de paquets en provenance d'un réseau de communication |
-
2013
- 2013-11-27 CN CN201310616991.1A patent/CN104683295B/zh active Active
-
2014
- 2014-04-18 WO PCT/CN2014/075740 patent/WO2014180235A1/zh active Application Filing
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101422000A (zh) * | 2006-04-14 | 2009-04-29 | 高通股份有限公司 | 为通信环境中的各种话务流提供服务质量 |
| CN101064878A (zh) * | 2006-04-24 | 2007-10-31 | 华为技术有限公司 | 一种实现内容过滤的移动终端、系统、网络实体及方法 |
| CN101364952A (zh) * | 2007-08-08 | 2009-02-11 | 华为技术有限公司 | 事件订阅方法及过滤规则配置方法和相关设备 |
| CN101132404A (zh) * | 2007-09-14 | 2008-02-27 | 腾讯科技(深圳)有限公司 | 一种网页内容分级显示系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2014180235A1 (zh) | 2014-11-13 |
| CN104683295A (zh) | 2015-06-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104683295B (zh) | 数据包过滤规则配置方法、装置及系统 | |
| US20220222593A1 (en) | Portable network interfaces for authentication and license enforcement | |
| EP3557822B1 (en) | Fully qualified domain name-based traffic control for virtual private network access control | |
| US11075948B2 (en) | Method and system for virtual machine aware policy management | |
| US8572288B2 (en) | Single logical network interface for advanced load balancing and fail-over functionality | |
| US20170214719A1 (en) | Auto-configuration and management of storage resources | |
| US9413778B1 (en) | Security policy creation in a computing environment | |
| CN113014427B (zh) | 网络管理方法和设备,及存储介质 | |
| US20150242621A1 (en) | Application permission settings | |
| US11457487B2 (en) | Methods and systems for connecting to a wireless network | |
| EP3300315B1 (en) | Control method, control device, and processor in software defined network | |
| GB2454309A (en) | Computer system with a virtual local area network (VLAN) switch to permit operation in accordance with different security classifications | |
| CN111385180B (zh) | 通信隧道构建方法、装置、设备及介质 | |
| CN112261172A (zh) | 服务寻址访问方法、装置、系统、设备及介质 | |
| CN111404951B (zh) | 一种云网络的租户创建方法、计算机设备及存储介质 | |
| CN113839931B (zh) | 登录方法、计算机装置和存储介质 | |
| CN106411852B (zh) | 一种分布式终端准入控制方法和装置 | |
| CN116886286A (zh) | 大数据认证服务自适应方法、装置和设备 | |
| US20190208553A1 (en) | System and method of managing pnf connectivity in a network slice instance | |
| US10785115B2 (en) | Allocating enforcement of a segmentation policy between host and network devices | |
| CN108040124B (zh) | 基于DNS-Over-HTTP协议的控制移动端应用的方法及装置 | |
| CN113014565B (zh) | 实现防端口扫描的零信任架构及服务端口访问方法和设备 | |
| CN107018140B (zh) | 一种权限控制方法和系统 | |
| CN114650281B (zh) | 基于复杂网络的文件下载方法、装置、设备及存储介质 | |
| US20040230830A1 (en) | Receiver, connection controller, transmitter, method, and program |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |