CN104883368A - 一种内核防火墙的管理方法 - Google Patents

一种内核防火墙的管理方法 Download PDF

Info

Publication number
CN104883368A
CN104883368A CN201510281095.3A CN201510281095A CN104883368A CN 104883368 A CN104883368 A CN 104883368A CN 201510281095 A CN201510281095 A CN 201510281095A CN 104883368 A CN104883368 A CN 104883368A
Authority
CN
China
Prior art keywords
compartment wall
fire compartment
server
client
request
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201510281095.3A
Other languages
English (en)
Other versions
CN104883368B (zh
Inventor
姜玲玲
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huzhou YingLie Intellectual Property Operation Co.,Ltd.
Original Assignee
Shanghai Feixun Data Communication Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Feixun Data Communication Technology Co Ltd filed Critical Shanghai Feixun Data Communication Technology Co Ltd
Priority to CN201510281095.3A priority Critical patent/CN104883368B/zh
Publication of CN104883368A publication Critical patent/CN104883368A/zh
Application granted granted Critical
Publication of CN104883368B publication Critical patent/CN104883368B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

一种内核防火墙的管理方法,当客户端向服务器发起的业务请求被服务器的内核防火墙拒绝时,允许合法的客户端连接服务器的私有连接端口,通过该私有连接端口向服务器发起防火墙修改请求,请求内核防火墙接受客户端发出的客户端请求,服务器收到合法的客户端的防火墙修改请求后,解析并执行防火墙修改请求,对内核防火墙进行修改,使该合法的客户端发送的业务请求能够通过服务器的内核防火墙,并得到服务器的响应。本发明方便了合法的客户端得到服务器连接权限,减轻了管理员的工作负荷。

Description

一种内核防火墙的管理方法
技术领域
本发明涉及一种内核防火墙的管理方法。
背景技术
Iptables是基于内核的防火墙,功能非常强大,通过向防火墙提供有关对来自某个源、到某个目的地或具有特定协议类型的信息包要做些什么的指令的规则,从而来控制信息包的过滤。如果服务器的内核防火墙中的某个规则没有被设置,则客户端是没有办法访问到系统的服务器,比如,系统的服务器上的21号端口未开,客户端就无法访问系统的ftp服务,这就需要管理员登陆到系统服务器,在内核防火墙中设置该规则,使客户端可以具有访问服务器的权限。这种操作增加了管理员的工作负荷,对于一些合法的客户端的登录访问来说,也是一个麻烦的过程。
发明内容
本发明提供一种内核防火墙的管理方法,方便了合法的客户端得到服务器连接权限,减轻了管理员的工作负荷。
为了达到上述目的,本发明提供一种内核防火墙的管理方法,当客户端向服务器发起的业务请求被服务器的内核防火墙拒绝时,允许合法的客户端连接服务器的私有连接端口,通过该私有连接端口向服务器发起防火墙修改请求,请求内核防火墙接受客户端发出的客户端请求,服务器收到合法的客户端的防火墙修改请求后,解析并执行防火墙修改请求,对内核防火墙进行修改,使该合法的客户端发送的业务请求能够通过服务器的内核防火墙,并得到服务器的响应。
自定义所述的私有连接端口的端口号,以保证该私有连接端口的私有性和安全性。
所述的防火墙修改请求的数据格式采用通用的报文数据格式或者自定义的报文数据格式。
客户端对防火墙修改请求进行数据加密,服务器对接收到的防火墙修改请求进行数据解密。
当客户端连接服务器的私有连接端口时,服务器验证客户端的合法性,如果客户端合法,则接受客户端的连接请求,如果客户端不合法,则拒绝客户端的连接请求。
当服务器解析后的防火墙修改请求是可执行的,则服务器执行防火墙修改请求,对内核防火墙进行修改后,将执行结果发送给客户端。
当服务器解析后的防火墙修改请求是不可执行的,则服务器不执行防火墙修改请求,将执行结果发送给客户端。
本发明通过为合法的客户端建立私有连接端口,方便了合法的客户端得到服务器连接权限,减轻了管理员的工作负荷。
附图说明
图1是客户端的处理流程。
图2是服务器的处理流程。
具体实施方式
以下根据图1和图2,具体说明本发明的较佳实施例。
本发明提供一种内核防火墙的管理方法,当客户端向服务器发起的业务请求被服务器的内核防火墙拒绝的时候,客户端连接服务器的私有连接端口,通过该私有连接端口向服务器发起防火墙修改请求,请求内核防火墙接受客户端发出的客户端请求,服务器收到合法的客户端的防火墙修改请求后,解析并执行防火墙修改请求,对内核防火墙进行修改,使该合法的客户端发送的业务请求能够通过服务器的内核防火墙,并得到服务器的响应。
所述的私有连接端口的端口号是自定义的,而不是采用公知的端口号,以保证该私有连接端口的私有性和安全性。
所述的防火墙修改请求的数据格式可以采用通用的报文数据格式或者自定义的报文数据格式,客户端对防火墙修改请求进行数据加密,服务器对接收到的防火墙修改请求进行数据解密。
如图1所示,在采用本发明提供的内核防火墙的管理方法时,客户端的处理流程如下:
步骤S101、向服务器发起业务请求;
本实施例中,所述的业务请求可以是:要服务器接受icmp报文;
Icmp报文是IEEE制定的标准报文,通常用来测量网络通信质量,其大小和内容可以自定义,内容和使用随机数据即可;
步骤S102、等待服务器的响应,如果服务器的内核防火墙拒绝了该业务请求,则进行步骤S103,如果服务器的内核防火墙通过了该业务请求,则该客户端可以正常访问服务器;
步骤S103、向服务器的私有连接端口发送连接请求;
步骤S104、如果服务器接受了连接请求,则连接到服务器的私有连接端口,进行步骤S105,如果服务器拒绝了连接请求,则结束;
本实施例中,所述的连接请求可以是:socket请求;
步骤S105、对防火墙修改请求进行数据加密;
本实施例中,所述的防火墙修改请求的数据格式可以采用:JSON格式的报文;
本实施例中,所述的采用JSON格式的防火墙修改请求可以是:{“cmd”:” iptables -A OUTPUT -p icmp --icmp-type 8 -j ACCEPT”},其中,Iptables是设置iptables的命令,-A是append的意思,就是向iptables中增加一条规则,OUTPUT是输出的意思,-p是protocol的意思,Icmp是一种protocol,即一种协议,Accept是接受的意思,整体意思是:在内核防火墙中添加一条规则,如果接受到icmp报文,将会接受该报文,如果有要发送icmp报文,也允许发送;
本实施例中,所述的数据加密方法可以是:将私有连接端口的端口号进行强制类型转换,转换为8bit的数据,即Key=Byte(Port),设需要加密的数据为D[1]D[2]…D[n],加密时,将数据中的每个字节都和Key进行异或运算,即S[k]=Key XOR D[k] (k=1,2,…n),最终得到S[1]S[2]…S[n];
步骤S106、将加密后的防火墙修改请求发送给服务器;
步骤S107、等待服务器的处理结果,如果服务器执行了防火墙修改请求,则进行步骤S101,如果服务器未执行防火墙修改请求,则结束。
如图2所示,在采用本发明提供的内核防火墙的管理方法时,服务器的处理流程如下:
步骤S201、建立私有连接端口,自定义端口号;
本实施例中,所述的端口号可以定义为:P;
步骤S202、监听私有连接端口的端口号,判断是否有客户端发起连接,如果接收到客户端的连接请求,则进行步骤S203,如果没有接收到客户端的连接请求,则继续监听私有连接端口的端口号;
步骤S203、验证客户端的合法性,如果客户端合法,则接受客户端的连接请求,进行步骤S204,如果客户端不合法,则拒绝客户端的连接请求;
步骤S204、建立私有连接端口与客户端的连接,接收客户端的防火墙修改请求;
步骤S205、对防火墙修改请求进行数据解密;
本实施例中,所述的数据解密方法可以是:用S[k]和Key进行异或运算即可得到D[k],即D[k]=key XOR S[k],即可得到D[1]D[2]…D[n],即原始数据;
步骤S206、判断防火墙修改请求是否可执行,如果可执行,则进行步骤S207,如果数据错误或者数据格式不正确,则不执行,将结果返回给客户端。
步骤S207、执行防火墙修改请求,对内核防火墙进行修改,将执行结果返回给客户端;
本实施例中,所述的对内核防火墙进行修改是指:在内核防火墙中添加一条规则,如果接受到icmp报文,将会接受该报文,如果有要发送icmp报文,也允许发送;
本发明通过为合法的客户端建立私有连接端口,方便了合法的客户端得到服务器连接权限,减轻了管理员的工作负荷。
尽管本发明的内容已经通过上述优选实施例作了详细介绍,但应当认识到上述的描述不应被认为是对本发明的限制。在本领域技术人员阅读了上述内容后,对于本发明的多种修改和替代都将是显而易见的。因此,本发明的保护范围应由所附的权利要求来限定。

Claims (7)

1.一种内核防火墙的管理方法,其特征在于,当客户端向服务器发起的业务请求被服务器的内核防火墙拒绝时,允许合法的客户端连接服务器的私有连接端口,通过该私有连接端口向服务器发起防火墙修改请求,请求内核防火墙接受客户端发出的客户端请求,服务器收到合法的客户端的防火墙修改请求后,解析并执行防火墙修改请求,对内核防火墙进行修改,使该合法的客户端发送的业务请求能够通过服务器的内核防火墙,并得到服务器的响应。
2.如权利要求1所述的内核防火墙的管理方法,其特征在于,自定义所述的私有连接端口的端口号,以保证该私有连接端口的私有性和安全性。
3.如权利要求1所述的内核防火墙的管理方法,其特征在于,所述的防火墙修改请求的数据格式采用通用的报文数据格式或者自定义的报文数据格式。
4.如权利要求3所述的内核防火墙的管理方法,其特征在于,客户端对防火墙修改请求进行数据加密,服务器对接收到的防火墙修改请求进行数据解密。
5.如权利要求1所述的内核防火墙的管理方法,其特征在于,当客户端连接服务器的私有连接端口时,服务器验证客户端的合法性,如果客户端合法,则接受客户端的连接请求,如果客户端不合法,则拒绝客户端的连接请求。
6.如权利要求1所述的内核防火墙的管理方法,其特征在于,当服务器解析后的防火墙修改请求是可执行的,则服务器执行防火墙修改请求,对内核防火墙进行修改后,将执行结果发送给客户端。
7.如权利要求6所述的内核防火墙的管理方法,其特征在于,当服务器解析后的防火墙修改请求是不可执行的,则服务器不执行防火墙修改请求,将执行结果发送给客户端。
CN201510281095.3A 2015-05-28 2015-05-28 一种内核防火墙的管理方法 Active CN104883368B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510281095.3A CN104883368B (zh) 2015-05-28 2015-05-28 一种内核防火墙的管理方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510281095.3A CN104883368B (zh) 2015-05-28 2015-05-28 一种内核防火墙的管理方法

Publications (2)

Publication Number Publication Date
CN104883368A true CN104883368A (zh) 2015-09-02
CN104883368B CN104883368B (zh) 2020-06-05

Family

ID=53950702

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510281095.3A Active CN104883368B (zh) 2015-05-28 2015-05-28 一种内核防火墙的管理方法

Country Status (1)

Country Link
CN (1) CN104883368B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111934929A (zh) * 2020-08-05 2020-11-13 杭州锐格思科技有限公司 一种路由器设置方法及路由器

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1666477A (zh) * 2002-07-04 2005-09-07 网络研发私人有限公司 监测和控制通信网络中数据传输的方法、系统和装置
CN101340444A (zh) * 2008-08-26 2009-01-07 华为技术有限公司 防火墙和服务器策略同步方法、系统和设备
CN101778108A (zh) * 2010-01-22 2010-07-14 蓝盾信息安全技术股份有限公司 一种服务器主页防篡改的方法及装置
CN103973700A (zh) * 2014-05-21 2014-08-06 成都达信通通讯设备有限公司 移动终端预设联网地址防火墙隔离应用系统
US20150082414A1 (en) * 2007-06-12 2015-03-19 Paul J. Dawes Controlling data routing among networks

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1666477A (zh) * 2002-07-04 2005-09-07 网络研发私人有限公司 监测和控制通信网络中数据传输的方法、系统和装置
US20150082414A1 (en) * 2007-06-12 2015-03-19 Paul J. Dawes Controlling data routing among networks
CN101340444A (zh) * 2008-08-26 2009-01-07 华为技术有限公司 防火墙和服务器策略同步方法、系统和设备
CN101778108A (zh) * 2010-01-22 2010-07-14 蓝盾信息安全技术股份有限公司 一种服务器主页防篡改的方法及装置
CN103973700A (zh) * 2014-05-21 2014-08-06 成都达信通通讯设备有限公司 移动终端预设联网地址防火墙隔离应用系统

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111934929A (zh) * 2020-08-05 2020-11-13 杭州锐格思科技有限公司 一种路由器设置方法及路由器
CN111934929B (zh) * 2020-08-05 2023-03-24 杭州锐格思科技有限公司 一种路由器设置方法及路由器

Also Published As

Publication number Publication date
CN104883368B (zh) 2020-06-05

Similar Documents

Publication Publication Date Title
CN102347870B (zh) 一种流量安全检测方法、设备和系统
US8583912B2 (en) Communication system of client terminals and relay server and communication method
EP3157195B1 (en) Communication protocol testing method, and tested device and testing platform thereof
JP5640226B2 (ja) 第1ドメインのクライアントと第2ドメインのサーバとの間でセキュアな通信チャネルを確立するための装置、方法およびプログラム
US20100228962A1 (en) Offloading cryptographic protection processing
US20230421394A1 (en) Secure authentication of remote equipment
EP2159988B1 (en) Authentication and authorisation of a remote client
WO2022266845A1 (zh) 一种安全通信方法和装置
JP2021522757A (ja) コアネットワ−クへの非3gpp装置アクセス
CN115001686A (zh) 一种全域量子安全设备及系统
CN110519259B (zh) 云平台对象间通讯加密配置方法、装置及可读存储介质
KR101448866B1 (ko) 웹 보안 프로토콜에 따른 암호화 데이터를 복호화하는 보안 장치 및 그것의 동작 방법
CN108989342B (zh) 一种数据传输的方法及装置
CN110892695A (zh) 在建立连接期间检查受密码保护的通信连接的连接参数的方法、设备和计算机程序产品
CN107040508B (zh) 用于适配终端设备的授权信息的设备和方法
CN111357305B (zh) 可移动平台的通信方法、设备、系统及存储介质
CN106537962B (zh) 无线网络配置、接入和访问方法、装置及设备
CN104883368A (zh) 一种内核防火墙的管理方法
CN103269301A (zh) 桌面型IPSecVPN密码机及组网方法
CN114301967B (zh) 窄带物联网控制方法、装置及设备
CN100463427C (zh) 实现IPsec标准中不同安全终点的安全联盟嵌套方法
CN111049798B (zh) 一种信息处理方法、装置和计算机可读存储介质
CN112019418B (zh) 基于野蛮模式的IPSec隧道建立方法及其装置
CN116830525A (zh) 数据传输方法、装置、系统、电子设备及可读介质
CN108990052B (zh) Wpa2协议脆弱性的检测方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right

Effective date of registration: 20201113

Address after: Room 10242, No. 260, Jiangshu Road, Xixing street, Binjiang District, Hangzhou City, Zhejiang Province

Patentee after: Hangzhou Jiji Intellectual Property Operation Co., Ltd

Address before: 201620 Shanghai city Songjiang District Sixian Road No. 3666

Patentee before: Phicomm (Shanghai) Co.,Ltd.

TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20211201

Address after: 313000 room 1019, Xintiandi commercial office, Yishan street, Wuxing District, Huzhou, Zhejiang, China

Patentee after: Huzhou YingLie Intellectual Property Operation Co.,Ltd.

Address before: Room 10242, No. 260, Jiangshu Road, Xixing street, Binjiang District, Hangzhou City, Zhejiang Province

Patentee before: Hangzhou Jiji Intellectual Property Operation Co., Ltd

TR01 Transfer of patent right