CN105959284A - 一种报文过滤系统及方法 - Google Patents

一种报文过滤系统及方法 Download PDF

Info

Publication number
CN105959284A
CN105959284A CN201610283880.7A CN201610283880A CN105959284A CN 105959284 A CN105959284 A CN 105959284A CN 201610283880 A CN201610283880 A CN 201610283880A CN 105959284 A CN105959284 A CN 105959284A
Authority
CN
China
Prior art keywords
message
filtering
module
dns
wave point
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201610283880.7A
Other languages
English (en)
Inventor
吴振华
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai Feixun Data Communication Technology Co Ltd
Original Assignee
Shanghai Feixun Data Communication Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Feixun Data Communication Technology Co Ltd filed Critical Shanghai Feixun Data Communication Technology Co Ltd
Priority to CN201610283880.7A priority Critical patent/CN105959284A/zh
Publication of CN105959284A publication Critical patent/CN105959284A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明涉及路由器防火墙领域,尤其涉及一种报文过滤系统及方法。本发明通过对一数据是否进行了网络层的封装进行判断,如果进行了网络层的封装则对网络层的封装进行解除封装以获得封装的第一过滤信息,之后对第一过滤信息进行过滤,从而实现对数据的网络层的封装的第一过滤信息进行过滤,完善了路由器防火墙的过滤功能,提高了数据通过路由设备传输的安全系数。

Description

一种报文过滤系统及方法
技术领域
本发明涉及路由器防火墙领域,尤其涉及一种报文过滤系统及方法。
背景技术
网络转发设备上的防火墙能够对报文的传输进行过滤,通常企业级的网络转发设备工作于无线桥接模式下,工作于桥接模式下的网络转发设备能够解析OSI(Open System Interconnection,开放式系统互联)参考模型中的物理层和报文链路层的过滤信息,而对于位于第三层的网络层的过滤信息并不能进行解析,因此防火墙在桥接模式下的过滤机制不尽完善。
发明内容
针对现有技术存在的问题,现提供了一种报文过滤系统及方法。
具体的技术方案如下:
一种报文过滤系统,应用于无线桥接模式下的网络转发设备转发报文的过程中,所述网络转发设备包括:
存储模块1,存储有过滤规则;
判断模块2,与所述存储模块1连接,用以判断所述报文是否为DNS(Domain Name System,域名系统)特征的报文;
解析模块3,与所述判断模块2连接,用以于所述报文为DNS报文时,读取所述DNS报文的域名,并且所述解析模块3用以对所述DNS报文进行域名解析以获取所述DNS报文的IP地址;
过滤模块4,分别与所述存储模块1、所述判断模块2、所述解析模块3连接,用以获取并利用所述过滤规则对所述域名和所述IP(Internet Protocol,网络协议)地址进行过滤。
优选的,所述网络转发设备设有多个无线接口,每个所述无线接口均对应一所述过滤规则,所述网络转发设备还包括
标志模块,与所述过滤模块4连接,用以利用一桥接转发表对各个所述无线接口进行标识,以使不同的所述无线接口的所述报文通过所述网络转发设备时分别附加有对应的标识;以及所述过滤模块4用以根据所述标识获取并利用所述DNS报文对应无线接口的过滤规则对所述域名和所述IP地址进行过滤。
优选的,所述桥接转发表为broute链表,以及所述标志模块用 以利用ebtables的规则于所述broute链表中对各个所述无线接口进 行标识。
优选的,所述网络转发设备还包括:
第一过滤模块,与所述判断模块连接,用以利用所述过滤规则对所述报文的源MAC地址和目的MAC地址进行过滤。
优选的,所述网络转发设备还包括:
第二过滤模块,与所述判断模块连接,用以利用所述过滤规则对所述报文的传输路径进行过滤。
一种报文过滤方法,包括:
步骤S1,提供一预存储有过滤规则的网络转发设备,所述网络转发设备转发一报文时,判断所述报文是否为DNS特征的报文;
步骤S2,读取所述DNS报文的域名,并且对所述DNS报文进行域名解析以获取所述DNS报文的IP地址;
步骤S3,于所述报文为DNS报文时,获取并利用所述过滤规则对所述域名和所述IP地址进行过滤。
优选的,所述网络转发设备设有多个无线接口,每个所述无线接口均对应一所述过滤规则,所述步骤S3具体包括:
步骤S31,利用一桥接转发表对各个所述无线接口进行标识,使不同的所述无线接口的所述报文通过所述网络转发设备时附加有一对应的标识;
步骤S32,于所述报文为DNS报文时,通过所述标识获取所述DNS报文对应的无线接口,获取并利用所述DNS报文对应无线接口的过滤规则对所述域名和所述IP地址进行过滤。
优选的,所述桥接转发表为broute链表,以及所述标志模块用 以利用ebtables的规则于所述broute链表中对各个所述无线接口进 行标识。
优选的,所述步骤S1之后还包括:
步骤S11,利用所述过滤规则对所述报文的源MAC地址和目的MAC地址进行过滤。
优选的,所述步骤S1之后还包括:
步骤S12,利用所述过滤规则对所述报文的传输路径进行过滤。
上述技术方案的有益效果是:
上述技术方案通过对一报文是否为DNS报文进行判断,如果为DNS报文,则对该DNS报文进行域名解析,以对DNS报文访问的域名和IP地址进行过滤,完善了网络转发设备防火墙的过滤功能,提高了报文通过网络转发设备传输的安全系数。
附图说明
图1为本发明一种报文过滤系统的实施例的结构示意图;
图2为本发明一种报文过滤方法的实施例的流程图。
具体实施方式
需要说明的是,在不冲突的情况下,下述技术方案,技术特征之间可以相互组合。
下面结合附图对本发明的具体实施方式作进一步的说明:
本实施例提供了一种报文过滤系统,应用于无线桥接模式下的网络转发设备转发报文的过程中,如图1所示,网络转发设备包括:
存储模块1,存储有过滤规则;
判断模块2,与存储模块1连接,用以判断报文是否为DNS特征的报文;
解析模块3,与判断模块2连接,用以于报文为DNS报文时,读取DNS报文的域名,并且解析模块3用以对DNS报文进行域名解析以获取DNS报文的IP地址;
过滤模块4,分别与存储模块1、判断模块2、解析模块3连接,用以获取并利用过滤规则对域名和IP地址进行过滤。
本实施例中,若是传输的报文为DNS特征的报文简称为DNS报文,则需要读取DNS报文的域名并且进行域名解析,以获取需要访问的域名以及报文接收端的终端设备的IP地址,过滤模块4可以通过预存储的过滤规则对域名和报文接收端的终端设备的IP地址进行过滤,通过上述技术方案可以对DNS报文进行过滤,完善了防火墙的过滤功能。
本发明一个较佳的实施例中,网络转发设备设有多个无线接口,每个无线接口均对应一过滤规则,网络转发设备还包括:标志模块,与过滤模块4连接,用以利用一桥接转发表对各个无线接口进行标识,以使不同的无线接口的报文通过网络转发设备时分别附加有对应的标识;以及过滤模块4用以根据标识获取并利用DNS报文对应无线接口的过滤规则对域名和IP地址进行过滤。
本实施例中,网络转发设备可以包括一标志模块,例如,该标志模块在网络转发设备的每一个无线接口上进行标识,网络转发设备的第一个无线接口标识为mark1,网络转发设备的第二个无线接口标识为mark2等,在报文经过第一个无线接口后,网络转发设备中的一个捕捉模块可以将报文拦截,捕捉模块的功能为捕捉转发的报文,读取报文既可获知该报文时从那一个无线接口发送的。本实施例中的无线接口可用其广播的服务集标识(Service Set Identifier,SSID)进行区分。
进一步的,以Linux系统下的网络转发设备为例,本实施例的链表中的每个节点采用sk_buffer结构进行存储,捕捉模块通过读取sk_buffer->mark获知是哪一个无线接口转发的报文。
本发明一个较佳的实施例中,桥接转发表为broute链表,以及标 志模块用以利用ebtables的规则于broute链表中对各个无线接口进 行标识。
上述的每个过滤规则可以包括四个部分,其中,四个部分分别为发送报文的终端设备的MAC地址、接收报文的终端设备的IP地址,接收报文的终端设备的无线接口信息和访问的域名。
本发明一个较佳的实施例中,网络转发设备还包括:
第一过滤模块,与判断模块连接,用以利用过滤规则对报文的源MAC地址和目的MAC地址进行过滤。
本发明一个较佳的实施例中,网络转发设备还包括:
第二过滤模块,与判断模块连接,用以利用过滤规则对报文的传输路径进行过滤,此处路径指统一资源定位符URL。
上述实施例中,例如,对源MAC地址发送报文的终端设备的MAC地址和目的MAC地址接收报文的终端设备的MAC地址以及对报文的传输路径进行过滤的方法可以是通过现有的方式,本实施例在此不进行赘述。
本实施例提供了一种报文过滤方法,如图2所示,包括:
步骤S1,提供一预存储有过滤规则的网络转发设备,网络转发设备转发一报文时,判断报文是否为DNS特征的报文;
步骤S2,读取DNS报文的域名,并且对DNS报文进行域名解析以获取DNS报文的IP地址;
步骤S3,于报文为DNS报文时,获取并利用过滤规则对域名和IP地址进行过滤。
本发明一个较佳的实施例中,网络转发设备设有多个无线接口,每个无线接口均对应一过滤规则,步骤S3具体包括:
步骤S31,利用一桥接转发表对各个无线接口进行标识,使不同的无线接口的报文通过网络转发设备时附加有一对应的标识;
步骤S32,于报文为DNS报文时,通过标识获取DNS报文对应的无线接口,获取并利用DNS报文对应无线接口的过滤规则对域名和IP地址进行过滤。
本发明一个较佳的实施例中,以基于Linux系统的网络转发设备 为例,桥接转发表为broute链表,以及标志模块用以利用ebtables 的规则于broute链表中对各个无线接口进行标识。
本发明一个较佳的实施例中,步骤S1之后还包括:
步骤S11,利用过滤规则对报文的源MAC地址和目的MAC地址进行过滤。
本发明一个较佳的实施例中,步骤S1之后还包括:
步骤S12,利用过滤规则对报文的传输路径进行过滤。
结合上述实施例,先提供一种实际应用场景对上述技术方案进行进一步的说明,例如,上述技术方案可以应用于一路由器转发发送报文的终端设备简称为第一设备向接收报文的终端设备简称为第二设备发送的报文,路由器即为上述的网络转发设备,该路由器工作于无线桥接模式下,在路由器的内核中存储有过滤列表,过滤列表即为过滤规则,过滤列表包括需要过滤的第一设备的MAC地址、第二设备的IP地址,第二设备的无线接口信息和访问的域名,并且上述四个部分分别列出,需要说明的是,路由器的每个无线接口(以服务集标识区分)均对应一个过滤列表,并且每个无线接口都有其对应的标识。
当第一设备发送报文至路由器时,判断哪一个无线接口是报文进入的无线接口。获取第一无线接口对应的过滤列表,判断报文是否为DNS特征的报文,若是为DNS特征的报文说明该报文进行了UDP封装,此时对该报文进行域名解析,得到该报文的请求访问的域名,同时在域名解析时还同时解析到了第二设备的IP地址。
通过无线桥接模式下的过滤方式对第一设备的MAC地址进行过滤,第二设备的无线接口信息进行过滤,所谓过滤可以为判断第二设备的IP地址、域名、第一设备的MAC地址、第二设备的无线接口信息是否在过滤列表中,如果有任何一个过滤信息IP地址、域名、第一设备的MAC地址、第二设备的无线接口信息在,则丢弃该报文,如果均不在过滤列表中,则允许报文通过该路由器,转发至第二设备。
综上,上述技术方案通过对一报文是否为DNS报文进行判断,如果为DNS报文,则对该DNS报文进行域名解析,以对DNS报文访问的域名和IP地址进行过滤,完善了网络转发设备防火墙的过滤功能,提高了报文通过网络转发设备传输的安全系数。
通过说明和附图,给出了具体实施方式的特定结构的典型实施例,基于本发明精神,还可作其他的转换。尽管上述发明提出了现有的较佳实施例,然而,这些内容并不作为局限。
对于本领域的技术人员而言,阅读上述说明后,各种变化和修正无疑将显而易见。因此,所附的权利要求书应看作是涵盖本发明的真实意图和范围的全部变化和修正。在权利要求书范围内任何和所有等价的范围与内容,都应认为仍属本发明的意图和范围内。

Claims (10)

1.一种报文过滤系统,其特征在于,应用于无线桥接模式下的网络转发设备转发报文的过程中,所述网络转发设备包括:
存储模块(1),存储有过滤规则;
判断模块(2),与所述存储模块(1)连接,用以判断所述报文是否为DNS报文;
解析模块(3),与所述判断模块(2)连接,用以于所述报文为DNS报文时,读取所述DNS报文的域名,并且所述解析模块(3)用以对所述DNS报文进行域名解析以获取所述DNS报文的IP地址;
过滤模块(4),分别与所述存储模块(1)、所述判断模块(2)、所述解析模块(3)连接,用以获取并利用所述过滤规则对所述域名和所述IP地址进行过滤。
2.根据权利要求1所述的报文过滤系统,其特征在于,所述网络转发设备设有多个无线接口,每个所述无线接口均对应一所述过滤规则,所述网络转发设备还包括
标志模块,与所述过滤模块(4)连接,用以利用一桥接转发表对各个所述无线接口进行标识,以使不同的所述无线接口的所述报文通过所述网络转发设备时分别附加有对应的标识;以及所述过滤模块(4)用以根据所述标识获取并利用所述DNS报文对应无线接口的过滤规则对所述域名和所述IP地址进行过滤。
3.根据权利要求2所述的报文过滤系统,其特征在于,所述桥接转发表为broute链表,以及所述标志模块用以利用ebtables的规则于所述broute链表中对各个所述无线接口进行标识。
4.根据权利要求1所述的报文过滤系统,其特征在于,所述网络转发设备还包括:
第一过滤模块,与所述判断模块连接,用以利用所述过滤规则对所述报文的源MAC地址和目的MAC地址进行过滤。
5.根据权利要求1所述的报文过滤系统,其特征在于,所述网络转发设备还包括:
第二过滤模块,与所述判断模块连接,用以利用所述过滤规则对所述报文的传输路径进行过滤。
6.一种报文过滤方法,其特征在于,包括:
步骤S1,提供一预存储有过滤规则的网络转发设备,所述网络转发设备转发一报文时,判断所述报文是否为DNS特征的报文;
步骤S2,读取所述DNS报文的域名,并且对所述DNS报文进行域名解析以获取所述DNS报文的IP地址;
步骤S3,于所述报文为DNS报文时,获取并利用所述过滤规则对所述域名和所述IP地址进行过滤。
7.根据权利要求6所述的报文过滤方法,其特征在于,所述网络转发设备设有多个无线接口,每个所述无线接口均对应一所述过滤规则,所述步骤S3具体包括:
步骤S31,利用一桥接转发表对各个所述无线接口进行标识,使不同的所述无线接口的所述报文通过所述网络转发设备时附加有一对应的标识;
步骤S32,于所述报文为DNS报文时,通过所述标识获取所述DNS报文对应的无线接口,获取并利用所述DNS报文对应无线接口的过滤规则对所述域名和所述IP地址进行过滤。
8.根据权利要求7所述的报文过滤方法,其特征在于,所述桥接转发表为broute链表,以及所述标志模块用以利用ebtables的规则于所述broute链表中对各个所述无线接口进行标识。
9.根据权利要求6所述的报文过滤方法,其特征在于,所述步骤S1之后还包括:
步骤S11,利用所述过滤规则对所述报文的源MAC地址和目的MAC地址进行过滤。
10.根据权利要求6所述的报文过滤方法,其特征在于,所述步骤S1之后还包括:
步骤S12,利用所述过滤规则对所述报文的传输路径进行过滤。
CN201610283880.7A 2016-04-29 2016-04-29 一种报文过滤系统及方法 Pending CN105959284A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610283880.7A CN105959284A (zh) 2016-04-29 2016-04-29 一种报文过滤系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610283880.7A CN105959284A (zh) 2016-04-29 2016-04-29 一种报文过滤系统及方法

Publications (1)

Publication Number Publication Date
CN105959284A true CN105959284A (zh) 2016-09-21

Family

ID=56913495

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610283880.7A Pending CN105959284A (zh) 2016-04-29 2016-04-29 一种报文过滤系统及方法

Country Status (1)

Country Link
CN (1) CN105959284A (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109167758A (zh) * 2018-08-07 2019-01-08 新华三技术有限公司 一种报文处理方法及装置
CN111988293A (zh) * 2020-08-10 2020-11-24 广州通达汽车电气股份有限公司 一种车载路由器域名过滤方法、装置、设备及存储介质
CN112702311A (zh) * 2020-11-30 2021-04-23 锐捷网络股份有限公司 一种基于端口的报文过滤方法和装置

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102710504A (zh) * 2012-05-16 2012-10-03 华为技术有限公司 应用识别方法和装置
CN103152222A (zh) * 2013-01-05 2013-06-12 中国科学院信息工程研究所 一种基于主机群特征检测速变攻击域名的方法
CN103327025A (zh) * 2013-06-28 2013-09-25 北京奇虎科技有限公司 网络访问控制方法及装置
CN103957195A (zh) * 2014-04-04 2014-07-30 上海聚流软件科技有限公司 Dns系统以及dns攻击的防御方法和防御装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102710504A (zh) * 2012-05-16 2012-10-03 华为技术有限公司 应用识别方法和装置
CN103152222A (zh) * 2013-01-05 2013-06-12 中国科学院信息工程研究所 一种基于主机群特征检测速变攻击域名的方法
CN103327025A (zh) * 2013-06-28 2013-09-25 北京奇虎科技有限公司 网络访问控制方法及装置
CN103957195A (zh) * 2014-04-04 2014-07-30 上海聚流软件科技有限公司 Dns系统以及dns攻击的防御方法和防御装置

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109167758A (zh) * 2018-08-07 2019-01-08 新华三技术有限公司 一种报文处理方法及装置
CN111988293A (zh) * 2020-08-10 2020-11-24 广州通达汽车电气股份有限公司 一种车载路由器域名过滤方法、装置、设备及存储介质
CN112702311A (zh) * 2020-11-30 2021-04-23 锐捷网络股份有限公司 一种基于端口的报文过滤方法和装置
CN112702311B (zh) * 2020-11-30 2022-10-14 锐捷网络股份有限公司 一种基于端口的报文过滤方法和装置

Similar Documents

Publication Publication Date Title
US9143483B2 (en) Method for anonymous communication, method for registration, method and system for transmitting and receiving information
KR101346407B1 (ko) 통신 방법, 통신 과정 중의 데이터 메시지 전달 방법 및 통신 노드
US9173244B2 (en) Methods for establishing and using public path, M2M communication method, and systems thereof
JP2011515945A (ja) ローカル・ネットワーク間でデータ・パケットを通信するための方法および装置
CN110769412A (zh) 会话绑定方法、网络发现功能、应用功能及网络单元
CN101902482B (zh) 基于IPv6自动配置实现终端安全准入控制的方法和系统
KR101354869B1 (ko) 네트워크 간 로밍을 구현하는 방법, 시스템, 조회와, 네트워크 부착 방법 및 시스템
US8724630B2 (en) Method and system for implementing network intercommunication
KR20120069744A (ko) 데이터 전송 방법, 시스템 및 장치
CN110493366A (zh) 一种接入点加入网络管理的方法及装置
CN105959284A (zh) 一种报文过滤系统及方法
CN104270325A (zh) CPE设备基于Linux实现公网接入用户数限制的系统及方法
CN103095608B (zh) 一种dns数据包的代理转发方法
EP2477372A1 (en) Method, device and terminal for obtaining terminal identifier
CN114697999A (zh) 一种冗余路径创建方法、装置及系统
CN107872309A (zh) 一种网络传输介质和速率的自适应方法、装置及设备
WO2013023465A1 (zh) 身份位置分离与传统网络互联互通方法、ilr和asr
CN109921918B (zh) 一种服务质量QoS控制方法及装置
CN103051541B (zh) 一种标识网内的报文转发方法、asr及isr
CN106656718B (zh) VxLAN网关以及基于VxLAN网关实现的主机接入互联网的方法
CN104683238A (zh) 一种lisp网络中的数据报文的传输方法和设备
US11153877B2 (en) Method for bonding a plurality of radio connections in a wireless network
CN103117927B (zh) 一种获取策略服务器的地址的方法
WO2012089027A1 (zh) 用户终端在多种接入方式时和外部网络的互通方法和设备
US20230403180A1 (en) Communication apparatus, communication setting method, and non-transitory storage medium

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20160921

RJ01 Rejection of invention patent application after publication