CN112584357B - 一种动态调整车载防火墙策略的方法 - Google Patents

一种动态调整车载防火墙策略的方法 Download PDF

Info

Publication number
CN112584357B
CN112584357B CN202011390241.3A CN202011390241A CN112584357B CN 112584357 B CN112584357 B CN 112584357B CN 202011390241 A CN202011390241 A CN 202011390241A CN 112584357 B CN112584357 B CN 112584357B
Authority
CN
China
Prior art keywords
data packet
policy
vehicle
firewall policy
firewall
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202011390241.3A
Other languages
English (en)
Other versions
CN112584357A (zh
Inventor
罗志亮
陈志鑫
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huizhou Desay SV Intelligent Transport Technology Research Institute Co Ltd
Original Assignee
Huizhou Desay SV Intelligent Transport Technology Research Institute Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huizhou Desay SV Intelligent Transport Technology Research Institute Co Ltd filed Critical Huizhou Desay SV Intelligent Transport Technology Research Institute Co Ltd
Priority to CN202011390241.3A priority Critical patent/CN112584357B/zh
Publication of CN112584357A publication Critical patent/CN112584357A/zh
Application granted granted Critical
Publication of CN112584357B publication Critical patent/CN112584357B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • H04W4/48Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for in-vehicle communication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供一种动态调整车载防火墙策略的方法,用于监控数据链路层传给网络层的网络数据包,具体通过提取流经车载系统的数据链路层的数据包信息,根据网络数据包的源ip地址和通讯协议判断是否需要为该数据包动态调整包过滤防火墙策略,对于新增加的防火墙策略在一段时间内,如果没有再出现该网络数据包,将该包过滤防火墙策略删除,从而不但实现了动态调整车载防火墙策略,又保证随机端口进行通讯安全,在完成通讯后及时清理,有效实现系统的柔性和简洁,降低冗余度。

Description

一种动态调整车载防火墙策略的方法
技术领域
本发明涉及网络安全技术领域,尤其涉及一种动态调整车载防火墙策略的方法。
背景技术
在传统的车载系统包过滤防火墙策略开发的过程中,在需求分析阶段,就需要明确知道在车载系统通讯过程中网络数据包的ip地址、网络端口和通讯协议等信息,这样才可以设计和编写出包过滤防火墙策略。但是当车载系统使用随机端口进行通讯时,为了不影响车载系统正常的网络功能,包过滤防火墙被迫放行所有端口上的网络数据包,这种做法会使包过滤防火墙失去意义。因为如果放行了所有端口上的网络数据包,则包过滤防火墙没有起到拦截非法数据包的作用,车载系统增加被网络攻击的风险。
发明内容
本发明提出了一种动态调整车载防火墙策略的方法,通过编程语言实现一种动态调整车载防火墙策略的工具,该工具作用在车载系统网络协议栈的数据链路层和网络层之间,用于监控数据链路层传给网络层的网络数据包,该工具可以根据网络数据包的信息,动态调整车载防火墙策略。
具体的,本发明所述的一种动态调整车载防火墙策略的方法,包括:定义动态调整车载防火墙策略管理模型和动态调整车载防火墙策略模型,所述动态调整车载防火墙策略管理模型响应于数据链路层接收到数据包时启动;所述动态调整车载防火墙策略模型根据所述动态调整车载防火墙策略管理模型输出结果,进行包过滤防火墙的生成或删除。
所述动态调整车载防火墙策略管理模型,还包括:
复制组合数据包模块,用于复制流经所述数据链路层并完成组合的数据包;
数据处理模块,用于提取所述复制组合数据包模块中的数据包信息;
判断模块,用于根据所述数据包信息识别需要调整的数据包;
动态调整策略单元,包括策略增加模块和策略删除模块。
其中,所述数据包信息至少包括ip地址、网口、通讯协议。
进一步的,所述判断模块还包括:收集每一应用的需求,将任一所使用的端口是不固定的应用的ip地址、端口、网口作为所述判断模块的判断依据;根据网络数据包的源ip地址,通讯协议和网口,判断是否需要为该数据包动态调整包过滤防火墙策略,如果不需要,则结束本流程;如果需要,则进入策略增加模块。
所述策略增加模块,还包括:使用netfilter/iptables的语法,根据所述不固定的应用的数据包的源端口信息、目的端口信息,源IP地址和目的IP地址和通讯网口参数,生成netfilter/iptables策略。
所述netfilter/iptables的语法为:iptables/ip6tables -A 链名 -i eth0 -p协议 -s 源ip地址 --sport -d 目的ip地址 --dport 目标端口。
所述策略删除模块还包括,在预设时间段内,根据所述策略增加模块所生成的新防火墙策略,如果该新防火墙策略数据包中的信息没有再出现,则删除这条策略。
优选的,所述新防火墙策略数据包中的信息至少包括:源ip地址、目的ip地址、源端口、目的端口、通讯协议和网口中的任一条。
其中,分别经所述策略增加模块或所述策略删除模块,所增加或删除的包过滤防火墙策略用于拦截流经网络层和传输层的数据包。
所述数据链路层接收到数据包,并在完成数据包复制后,将所述数据包向上传递给网络层,最终经传输层流至应用层。
综上所述,本发明提供一种动态调整车载防火墙策略的方法,用于监控数据链路层传给网络层的网络数据包,具体通过提取流经车载系统的数据链路层的数据包信息,根据网络数据包的源ip地址和通讯协议判断是否需要为该数据包动态调整包过滤防火墙策略,对于新增加的防火墙策略在一段时间内,如果没有再出现该网络数据包,将该滤防火墙策略删除,从而不但实现了动态调整车载防火墙策略,又保证随机端口进行通讯安全,在完成通讯后及时清理,有效实现系统的柔性和简洁,降低冗余度。
附图说明
图1为一实施例中的动态调整车载防火墙策略的方法示意图。
图2为图1所示的方法的流程图。
具体实施方式
下面将结合具体实施例及附图对本发明的一种动态调整车载防火墙策略的方法作进一步详细描述。
如图1所示为本发明的一种动态调整车载防火墙策略的方法的示意图,其中,一种动态调整车载防火墙策略的方法,包括:定义动态调整车载防火墙策略管理模型和动态调整车载防火墙策略模型,所述动态调整车载防火墙策略管理模型响应于数据链路层接收到数据包时启动;所述动态调整车载防火墙策略模型根据所述动态调整车载防火墙策略管理模型输出结果,进行包过滤防火墙的生成或删除。
所述动态调整车载防火墙策略管理模型,还包括:
复制组合数据包模块,用于复制流经所述数据链路层并完成组合的数据包;
数据处理模块,用于提取所述复制组合数据包模块中的数据包信息;
判断模块,用于根据所述数据包信息识别需要调整的数据包;
动态调整策略单元,包括策略增加模块和策略删除模块。
其中,所述数据包信息至少包括ip地址、网口、通讯协议。
进一步的,所述判断模块还包括:根据网络数据包的源ip地址,通讯协议和网口,判断是否需要为该数据包动态调整包过滤防火墙策略,如果不需要,则结束本流程;如果需要,则进入策略增加模块。
所述判断模块还包括:收集每一应用的需求,将任一所使用的端口是不固定的应用的ip地址、端口、网口作为所述判断模块的判断依据。
所述策略增加模块,还包括:使用netfilter/iptables的语法,根据所述不固定的应用的数据包的源端口信息、目的端口信息,源IP地址和目的IP地址和通讯网口参数,生成netfilter/iptables策略。
所述netfilter/iptables的语法为:iptables/ip6tables -A 链名 -i eth0 -p协议 -s 源ip地址 --sport -d 目的ip地址 --dport 目标端口;例如,iptables -AWHITE_LIST -p tcp -i eth0 -s 192.168.4.100 --sport 40000 -d 192.168.4.107 --dport 6000 -j ACCEPT,其中,WHITE_LIST 是一条用于存储防火墙策略的防火墙链,AWHITE_LIST 表示本行的策略追加到WHITE_LIST这条链后面;-p tcp:-p的后面接协议,此处优选为tcp协议,表示本条策略匹配的数据包的协议是tcp协议;-i eth0:-i的后面接网口,此处优选为eth0这个网口,用于表示本条策略匹配的数据包的网口是eth0;-s192.168.4.100:-s的后面接源ip地址,用于表示本条策略匹配的数据包的源ip地址是192.168.4.100;--sport 40000:--sport的后面接源端口,用于表示本条策略匹配的数据包的源端口是40000,最终生成一条完整的防火墙策略。
所述策略删除模块还包括,在预设时间段内,根据所述策略增加模块所生成的新防火墙策略,如果该新防火墙策略数据包中的信息没有再出现,则删除这条策略。
优选的,所述新防火墙策略数据包中的信息至少包括:源ip地址、目的ip地址、源端口、目的端口、通讯协议和网口中的任一条。
其中,分别经所述策略增加模块或所述策略删除模块,所增加或删除的包过滤防火墙策略用于拦截流经网络层和传输层的数据包。
所述数据链路层接收到数据包,并在完成数据包复制后,将所述数据包向上传递给网络层,最终经传输层流至应用层。
作为另一优选,在车载系统使用随机端口进行网络通讯时,根据本次通讯使用的端口,动态生成包过滤防火墙策略,使网络通讯得以正常进行,而不需要像传统的做法那样放行所有端口上的网络数据包。如图2所示,为本发明所述的动态调整车载防火墙策略的方法流程图,具体包括以下步骤:
步骤1:当数据链路层接收到数据包时启动;
步骤2:在所述数据包进行组合后,继续流至网络层,同时,对所述组合后的数据包进行复制;
步骤3:提取数据包中的信息,根据该网络数据包的源ip地址,通讯协议和网口,判断是否需要为该数据包动态调整包过滤防火墙策略,如果不需要,则结束本流程;如果需要,则进入策略增加模块。
步骤4:判断所述策略增加模块所新生成的防火墙策略,在在预设时间段内,是否没再出现,若是,则通过策略删除模块将其删除;并结束流程。否则,继续使用该防火墙策略,并进行下一预设时间段的判断。
作为优选的,本发明所述的动态调整车载防火墙策略的方法为采用netfilter/iptables的语法进行编程设计,并生成对应的工具程序,用于可嵌入式安装于车载系统中。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。

Claims (7)

1.一种动态调整车载防火墙策略的方法,其特征在于,包括:
定义动态调整车载防火墙策略管理模型和动态调整车载防火墙策略模型,所述动态调整车载防火墙策略管理模型响应于数据链路层接收到数据包时启动;所述动态调整车载防火墙策略模型根据所述动态调整车载防火墙策略管理模型输出结果,进行包过滤防火墙的生成或删除;
所述动态调整车载防火墙策略管理模型,还包括:
复制组合数据包模块,用于复制流经所述数据链路层并完成组合的数据包;
数据处理模块,用于提取所述复制组合数据包模块中的数据包信息;所述数据包信息至少包括ip地址、网口、通讯协议;
判断模块,用于根据所述数据包信息识别需要调整的数据包;
动态调整策略单元,包括策略增加模块和策略删除模块;所述策略增加模块使用netfilter/iptables的语法生成netfilter/iptables策略;所述策略删除模块用于在预设时间段内,如果所述策略增加模块所生成的新防火墙策略数据包中的信息没有再出现,则删除这条策略。
2.根据权利要求1所述的动态调整车载防火墙策略的方法,其特征在于,所述判断模块还包括:收集每一应用的需求,将任一所使用的端口是不固定的应用的ip地址、端口、网口作为所述判断模块的判断依据;根据网络数据包的源ip地址,通讯协议和网口,判断是否需要为该数据包动态调整包过滤防火墙策略,如果不需要,则结束本流程;如果需要,则进入策略增加模块。
3.根据权利要求2所述的动态调整车载防火墙策略的方法,其特征在于,所述策略增加模块,还包括:根据所述不固定的应用的数据包的源端口信息、目的端口信息,源IP地址和目的IP地址和通讯网口参数,生成netfilter/iptables策略。
4.根据权利要求 1所述的动态调整车载防火墙策略的方法,其特征在于,所述netfilter/iptables的语法为:iptables/ip6tables - A 链名 - i eth0 -p 协议 - s源ip 地址 – sport - d 目的ip地址 - -dport 目标端口。
5.根据权利要求1所述的动态调整车载防火墙策略的方法,其特征在于,所述新防火墙策略数据包中的信息至少包括:源ip地址、目的ip地址、源端口、目的端口、通讯协议和网口中的任一条。
6.根据权利要求2-5任一项所述的动态调整车载防火墙策略的方法,其特征在于,还包括:分别经所述策略增加模块或所述策略删除模块,所增加或删除的包过滤防火墙策略用于拦截流经网络层和传输层的数据包。
7.根据权利要求1所述的动态调整车载防火墙策略的方法,其特征在于,所述数据链路层接收到数据包,并在完成数据包复制后,将所述数据包向上传递给网络层,最终经传输层流至应用层。
CN202011390241.3A 2020-12-02 2020-12-02 一种动态调整车载防火墙策略的方法 Active CN112584357B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011390241.3A CN112584357B (zh) 2020-12-02 2020-12-02 一种动态调整车载防火墙策略的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011390241.3A CN112584357B (zh) 2020-12-02 2020-12-02 一种动态调整车载防火墙策略的方法

Publications (2)

Publication Number Publication Date
CN112584357A CN112584357A (zh) 2021-03-30
CN112584357B true CN112584357B (zh) 2023-04-28

Family

ID=75126770

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011390241.3A Active CN112584357B (zh) 2020-12-02 2020-12-02 一种动态调整车载防火墙策略的方法

Country Status (1)

Country Link
CN (1) CN112584357B (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1384639A (zh) * 2002-06-11 2002-12-11 华中科技大学 分布式网络动态安全保护系统
CN101719899A (zh) * 2008-10-09 2010-06-02 丛林网络公司 用于网络安全装置的具有端口限制的动态访问控制策略
CN101964804A (zh) * 2010-10-22 2011-02-02 北京工业大学 一种IPv6协议下的攻击防御系统及其实现方法
CN103139184A (zh) * 2011-12-02 2013-06-05 中国电信股份有限公司 智能网络防火墙设备及网络攻击防护方法

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10462104B2 (en) * 2016-02-29 2019-10-29 Level 3 Communications, Llc Systems and methods for dynamic firewall policy configuration
US11212260B2 (en) * 2018-03-24 2021-12-28 Keysight Technologies, Inc. Dynamic firewall configuration and control for accessing services hosted in virtual networks

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1384639A (zh) * 2002-06-11 2002-12-11 华中科技大学 分布式网络动态安全保护系统
CN101719899A (zh) * 2008-10-09 2010-06-02 丛林网络公司 用于网络安全装置的具有端口限制的动态访问控制策略
CN101964804A (zh) * 2010-10-22 2011-02-02 北京工业大学 一种IPv6协议下的攻击防御系统及其实现方法
CN103139184A (zh) * 2011-12-02 2013-06-05 中国电信股份有限公司 智能网络防火墙设备及网络攻击防护方法

Also Published As

Publication number Publication date
CN112584357A (zh) 2021-03-30

Similar Documents

Publication Publication Date Title
US11362987B2 (en) Fully qualified domain name-based traffic control for virtual private network access control
JP3954385B2 (ja) 迅速なパケット・フィルタリング及びパケット・プロセシングのためのシステム、デバイス及び方法
Kent et al. RFC 4301: Security architecture for the Internet protocol
US6321336B1 (en) System and method for redirecting network traffic to provide secure communication
KR101026635B1 (ko) 방화벽 프레임 워크, 통신 방법 및 컴퓨터 판독가능 매체
US8065719B2 (en) Method and apparatus for reducing firewall rules
US7406534B2 (en) Firewall configuration validation
US7970931B2 (en) Policy-based routing in a multi-homed computer
US9225684B2 (en) Controlling network access
US8554913B2 (en) Testing policies in a network
US8336093B2 (en) Abnormal IPSec packet control system using IPSec configuration and session data, and method thereof
ATE519323T1 (de) Sicherung von ldap (lightweight directory access protocol) verkehr
US8285874B2 (en) Routing systems and methods for implementing routing policy with reduced configuration and new configuration capabilities
US8082333B2 (en) DHCP proxy for static host
US10200408B2 (en) Computer network security
Bandara et al. Using argumentation logic for firewall policy specification and analysis
US8914339B2 (en) Device for managing data filters
US20050240993A1 (en) Methodology, system and computer readable medium for streams-based packet filtering
US7047564B2 (en) Reverse firewall packet transmission control system
CN112584357B (zh) 一种动态调整车载防火墙策略的方法
WO2021121086A1 (zh) 一种流量调度方法、电子设备及存储介质
US7188164B1 (en) Secure network access control
US20030145227A1 (en) System and method of automatically handling internet key exchange traffic in a virtual private network
JP2005108215A (ja) 印刷装置のためのsnmpパケットフィルタ処理
CN109167774B (zh) 一种数据报文及在防火墙上的数据流安全互访方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant