CN1317852C - 防火墙内核安全组件一体化的方法 - Google Patents
防火墙内核安全组件一体化的方法 Download PDFInfo
- Publication number
- CN1317852C CN1317852C CNB2004100651831A CN200410065183A CN1317852C CN 1317852 C CN1317852 C CN 1317852C CN B2004100651831 A CNB2004100651831 A CN B2004100651831A CN 200410065183 A CN200410065183 A CN 200410065183A CN 1317852 C CN1317852 C CN 1317852C
- Authority
- CN
- China
- Prior art keywords
- packet
- inspection
- state table
- carry out
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
一种防火墙内核安全组件一体化的方法,防火墙各组件的开发往往是相对独立的,对用户而言也是割裂的几个部分。本发明首先构架应当一体化,在结构上不严格区分各组件间的差异;其次安全策略的配置和检查应当一体化,对用户而言配置是统一的,对系统而言检查工作时前后相承的,再次应当有一条完整的数据包和当前策略匹配点的传输途径,可以使数据包经过各个检查点并最终通过防火墙。对于一体化系统结构的实现,统一定义在操作系统内核的调用接口点,包过滤、攻击检测和应用代理根据功能目标,分别在最合适的接口点插入检查函数,相互之间可进行有效的协作等。
Description
技术领域
本发明涉及一种防火墙内核安全组件组织的方法,特别是将包过滤、攻击检测、应用代理结合为一体的方法,属于计算机网络安全领域。
背景技术
由于防火墙主要安全组件攻击检测、包过滤、应用代理通常都被分别单独实现,它们使用的安全策略也相对独立。对用户而言,这样的架构缺乏直观性,在逻辑上也比较分散,很难体现实际的相关性,容易产生矛盾和错误的配置;对系统而言,相互协作困难,效率上由于分别进行安全策略检查,存在很多重复的匹配项,特别是应用代理通常实现在应用层,数据传递时需要进行多次内存复制,对系统性能影响很大。因此,将各个安全组件在内核中进行一体化实现,无疑是一种很好地解决手段。
发明内容
本发明的主要目的在于提供一种将防火墙安全组件,如包过滤、攻击检测、应用代理,在操作系统内核中一体化实现的方法,在策略配置上它将更加具备统一性和直观性,在系统工作中,它将有更简便的协作手段和更高的处理效率。
本发明的目的是这样实现的:
对防火墙系统的设计,采用一体化构架的流水线方式处理的系统结构,一体化组织的安全策略,以及一条内核中数据包和当前策略匹配点的传输路径。
对于一体化系统结构的实现,统一定义在操作系统内核的调用接口点,包过滤、攻击检测和应用代理根据功能目标,分别在最合适的接口点插入检查函数,相互之间可进行有效的协作。
对一体化组织的安全策略的实现,使用从保护目标为根结点出发的树形结构组织安全策略,策略树的不同分支之间互斥,保证每次匹配都唯一确定一个子分支或叶结点,叶结点即表明防火墙应当采取的动作;包过滤对安全策略的检查最终结果若是送交代理分支,则代理可以继续从这个检查点向下进行匹配;策略树在内核中由各安全组件共享,当前检查点随数据包在协议栈中传递,使得检查可具有延续性。
防火墙对数据包进行安全检查的一个完整步骤包括:
步骤1:在底半队列中进行混合模式处理,判定当前数据包交网关还是网桥处理模块;
步骤2:在路由前做以下工作
步骤201:基本安全检查;
步骤202:组播广播处理;
步骤203:进行目的NAT;
步骤204:进行攻击检测;
步骤205:上层协议检查-对TCP协议:首先进行攻击检测,然后查全状态表并根据结果丢弃或转发,对syn包在全状态表中未查到的,进行安全策略检查,根据结果丢弃/送代理/添加全状态表并转发;对UDP协议:先查状态表,能查到的进行转发,查不到的进行安全策略检查,并根据结果决定是丢弃还是添加状态表并转发;对ICMP协议:如果是差错包,直接转发,否则查状态表,能查到的进行转发,查不到的进行安全策略检查,并根据结果决定是丢弃还是添加状态表并转发。
步骤3:应用代理支撑:对匹配到的需要应用代理检查的数据包,将当前检查点和数据包同时送交TCP层。
步骤4:应用代理从队列中获取数据包以及相关安全策略检查点,继续进行安全策略检查,并实行代理功能。
步骤5:路由后做以下工作
步骤501:进行攻击检测;
步骤502:进行流量控制;
步骤503:进行源NAT。
在内核中数据包和当前策略匹配点传递的实现,是利用skb传递当前安全策略检查状态,通过协议栈专用通道传送数据包。
附图说明
图1为本发明的内核一体化安全组件的结构图;
图2为本发明的方法流程图:对路由前数据包,根据防火墙开/关状态的流程,以及安全检查,并根据组播/广播策略对组播/广播包进行处理的流程。
图3为本发明的方法流程图:对TCP数据包进行传输层的攻击检测,并根据策略树进行安全检查的流程图
图4为本发明的方法流程图,对UDP数据包查询状态表判断是否存在虚连接,并根据策略树进行安全检查的流程图
图5为本发明的方法流程图,对ICMP数据包查询状态表判断是否存在虚连接,并根据策略树进行安全检查的流程图
图6为本发明内核协议栈一体化结构图
具体实施方式
以下结合附图和具体实施例对本发明做进一步说明:
参见图1,包过滤、攻击检测、应用代理等防火墙核心安全组件共存于操作系统内核中,在Ip_rcv调用点,Arp代理、全状态模块、策略树模块共同实现包过滤的功能,攻击检测和地址转换模块完成其相应功能,透明代理支撑则对skb进行修改,通过对TCP层的应用代理的支持;对直接转发的包进行路由查找后发出,对需要送交代理的包,经协议栈专用通道传送到TCP层,代理分析处理后发出;在Ip_output调用点,透明代理支撑对代理发出的包再次做修改后发出,攻击检测和地址转换模块再次进行操作,此外,流量控制模块实现包过滤对数据包流量的控制功能。
图2、图3、图4、图5说明了防火墙对数据包的主要处理流程。
参见图2,对路由前数据包,首先检查防火墙开/关状态,如果状态为关,直接按操作系统原有流程进行操作,否则开始基本的安全检查,并根据组播/广播策略对组播/广播包进行处理,然后根据收包网卡的区域属性,进行目的NAT,接下来调用攻击检测对网络层攻击进行探测,最后对传输层协议分别进行后续处理,分别如图3、图4、图5所示。
参见图3,对TCP数据包,首先对其进行传输层的攻击检测,然后分析其是不是syn包,如果不是直接查全状态表判断对其进行的操作,如果是,接下来查其源端口,判断是否是某些协议的动态连接,如果可能是则查状态表判断是否当前确实有相应的该协议的通讯,若存在即可放行,如果不是动态连接,则根据策略树进行安全检查,最后根据结果丢弃/转发数据包、或者通过专用通道送代理处理。
参见图4,对UDP数据包,先查状态表判断是否存在虚连接,如果存在则转发,如果不存在,则根据策略树进行安全检查,并根据结果丢弃/转发数据包,转发数据包时,同时添加状态表相应项。
参见图5,对ICMP数据包,如果承载的是差错返回数据,则直接转发,否则查询状态表判断是否存在虚连接,如果存在则直接转发,如果不存在,则根据策略树进行安全检查,并根据结果丢弃/转发数据包,转发数据包时,同时添加状态表相应项。
当数据包经过专用通道到达TCP层应用代理时,应用代理从其中抽取数据进行分析,并从skb中取得包过滤已经分析到的安全检查点,从而接着根据策略树进行应用层安全的检查工作,具体代理过程以及数据包发出流程在此不再赘述。
最后应当说明:上述实施例仅用以说明本发明,而并非限制本发明的技术方案,尽管参照上述的实例对本发明已经进行了详细说明,但是,本领域的普通技术人员应当理解,仍然可以对本发明进行修改或者等同替换,因此,一切不脱离本发明的精神和范围的技术方案及其相关改进,均应涵盖在本发明的权利要求范围当中。
Claims (6)
1.防火墙内核安全组件一体化的方法,其特征在于对防火墙系统的设计采用一体化构架的流水线方式处理的系统结构,一体化组织的安全策略,以及一条内核中数据包和当前策略匹配点的传输路径;即包过滤、攻击检测和应用代理防火墙核心安全组件共存于操作系统内核中,在Ip_rcv调用点,Arp代理、全状态模块、策略树模块共同实现包过滤,由攻击检测和地址转换模块完成其相应功能;透明代理支撑则对skb进行修改,通过对TCP层的应用代理的支持;对直接转发的包进行路由查找后发出,对需要送交代理的包,经协议栈专用通道传送到TCP层,代理分析处理后发出;在Ip_output调用点,透明代理支撑对代理发出的包再次做修改后发出,攻击检测和地址转换模块再次进行操作;
对于一体化系统结构的实现,统一定义在操作系统内核的调用接口点,包过滤、攻击检测和应用代理根据功能目标,分别在所述接口点插入检查函数,相互之间进行有效的协作;
对一体化组织的安全策略的实现,使用从保护目标为根结点出发的树形结构组织安全策略,策略树的不同分支之间互斥,保证每次匹配都唯一确定一个子分支或叶结点,叶结点即表明防火墙应当采取的动作;包过滤对安全策略的检查最终结果若是送交代理分支,则代理可以继续从这个检查点向下进行匹配;策略树在内核中由各安全组件共享,当前检查点随数据包在协议栈中传递,使得检查具有延续性;
防火墙进行数据包检查的方法包含以下步骤:
步骤1:在底半队列中进行混合模式处理,判定当前数据包交网关还是网桥处理模块;
步骤2:在路由前做以下工作
步骤201:基本安全检查;
步骤202:组播广播处理;
步骤203:进行目的NAT;
步骤204:进行攻击检测;
步骤205:上层协议检查-对TCP协议:首先进行攻击检测,然后查全状态表并根据结果丢弃或转发,对syn包在全状态表中未查到的,进行安全策略检查,根据结果丢弃/送代理/添加全状态表并转发;对UDP协议:先查状态表,能查到的进行转发,查不到的进行安全策略检查,并根据结果决定是丢弃还是添加状态表并转发;对ICMP协议:如果是差错包,直接转发,否则查状态表,能查到的进行转发,查不到的进行安全策略检查,并根据结果决定是丢弃还是添加状态表并转发;
步骤3:应用代理支撑:对匹配到的需要应用代理检查的数据包,将当前检查点和数据包同时送交TCP层;
步骤4:应用代理从队列中获取数据包以及相关安全策略检查点,继续进行安全策略检查,并实行代理功能;
步骤5:路由后做以下工作
步骤501:进行攻击检测;
步骤502:进行流量控制;
步骤503:进行源NAT。
2、根据权利要求1所述的防火墙内核安全组件一体化的方法,其特征在于在内核中数据包和当前策略匹配点传递的实现为:利用skb传递当前安全策略检查状态,通过协议栈专用通道传送数据包。
3、根据权利要求1所述的防火墙内核安全组件一体化的方法,其特征在于对路由前数据包,首先检查防火墙开/关状态,如果状态为关,直接按操作系统原有流程进行操作,否则开始基本的安全检查,并根据组播/广播策略对组播/广播包进行处理,然后根据收包网卡的区域属性,进行目的NAT,接下来调用攻击检测对网络层攻击进行探测,最后对传输层协议分别进行后续处理。
4、根据权利要求1所述的防火墙内核安全组件一体化的方法,其特征在于对TCP数据包,首先对其进行传输层的攻击检测,然后分析其是不是syn包,如果不是直接查全状态表判断对其进行的操作;如果是,接下来查其源端口,判断是否是某些协议的动态连接,如果可能是则查状态表判断是否当前确实有相应的该协议的通讯,若存在即可放行,如果不是动态连接,则根据策略树进行安全检查,最后根据结果丢弃/转发数据包、或者通过专用通道送代理处理。
5、根据权利要求1所述的防火墙内核安全组件一体化的方法,其特征在于对UDP数据包,先查状态表判断是否存在虚连接,如果存在则转发,如果不存在,则根据策略树进行安全检查,并根据结果丢弃/转发数据包,转发数据包时,同时添加状态表相应项。
6、根据权利要求1所述的防火墙内核安全组件一体化的方法,其特征在于对ICMP数据包,如果承载的是差错返回数据,则直接转发,否则查询状态表判断是否存在虚连接,如果存在则直接转发,如果不存在,则根据策略树进行安全检查,并根据结果丢弃/转发数据包,转发数据包时,同时添加状态表相应项。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2004100651831A CN1317852C (zh) | 2004-10-29 | 2004-10-29 | 防火墙内核安全组件一体化的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2004100651831A CN1317852C (zh) | 2004-10-29 | 2004-10-29 | 防火墙内核安全组件一体化的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1604539A CN1604539A (zh) | 2005-04-06 |
| CN1317852C true CN1317852C (zh) | 2007-05-23 |
Family
ID=34666467
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2004100651831A Expired - Fee Related CN1317852C (zh) | 2004-10-29 | 2004-10-29 | 防火墙内核安全组件一体化的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1317852C (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101610218B (zh) * | 2009-07-15 | 2011-08-24 | 中兴通讯股份有限公司 | 一种HQoS策略树的管理方法及系统 |
| CN101834783B (zh) * | 2010-03-29 | 2012-01-25 | 北京星网锐捷网络技术有限公司 | 一种报文转发方法、装置及网络设备 |
| CN104994084A (zh) * | 2015-06-23 | 2015-10-21 | 西安交大捷普网络科技有限公司 | Web防火墙的局部代理方法 |
| CN106506720B (zh) * | 2016-11-16 | 2020-02-14 | 西安诺瓦星云科技股份有限公司 | 网络ip地址自动分配方法 |
| CN115277502B (zh) * | 2022-06-17 | 2023-10-10 | 广州根链国际网络研究院有限公司 | 一种针对APP应用的自动化测量IPv6流量的方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1024627A2 (en) * | 1999-01-29 | 2000-08-02 | Lucent Technologies Inc. | A method and apparatus for managing a firewall |
| WO2004062216A1 (ja) * | 2002-12-27 | 2004-07-22 | Fujitsu Limited | ファイアウォールのポリシをチェックする装置 |
-
2004
- 2004-10-29 CN CNB2004100651831A patent/CN1317852C/zh not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1024627A2 (en) * | 1999-01-29 | 2000-08-02 | Lucent Technologies Inc. | A method and apparatus for managing a firewall |
| WO2004062216A1 (ja) * | 2002-12-27 | 2004-07-22 | Fujitsu Limited | ファイアウォールのポリシをチェックする装置 |
Non-Patent Citations (5)
| Title |
|---|
| iptables防火墙的研究与实现 董剑安,王永刚,吴秋峰,计算机工程与应用 2003 * |
| Linux2.4内核防火墙底层结构分析 李晓峰、张玉清、李星,计算机工程与应用 2002 * |
| LINUX新型防火墙技术NETFILTER及应用 袁磊,帅鸣若,电脑开放与应用,第16卷第2期 2003 * |
| LINUX新型防火墙技术NETFILTER及应用 袁磊,帅鸣若,电脑开放与应用,第16卷第2期 2003;Linux2.4内核防火墙底层结构分析 李晓峰、张玉清、李星,计算机工程与应用 2002;iptables防火墙的研究与实现 董剑安,王永刚,吴秋峰,计算机工程与应用 2003;基于LINUX内核防火墙NETFILTER的安全应用的设计方法 五宏健,邵佩英,张籍,小型微型计算机系统,第22卷第12期 2001 * |
| 基于LINUX内核防火墙NETFILTER的安全应用的设计方法 五宏健,邵佩英,张籍,小型微型计算机系统,第22卷第12期 2001 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1604539A (zh) | 2005-04-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US6154839A (en) | Translating packet addresses based upon a user identifier | |
| US6079020A (en) | Method and apparatus for managing a virtual private network | |
| US6854063B1 (en) | Method and apparatus for optimizing firewall processing | |
| EP1515491B1 (en) | Architecture for virtual private networks | |
| CN100459563C (zh) | 认证网关及其数据处理方法 | |
| CN1575462A (zh) | 在第2层装置中实现第3层/第7层防火墙的方法和设备 | |
| CN104767752A (zh) | 一种分布式网络隔离系统及方法 | |
| CN102938736B (zh) | 一种实现IPv4报文穿越IPv6网络的方法和设备 | |
| CN101674306B (zh) | 地址解析协议报文处理方法及交换机 | |
| CN1968226A (zh) | 点对点通信中穿越网络地址转换的方法 | |
| EP3576347A1 (en) | Network device snapshots | |
| CN100454901C (zh) | 一种arp报文处理方法 | |
| CN101645851A (zh) | 一种ip分片报文的重组方法和装置 | |
| WO2023185823A1 (zh) | 工业设备的远程通信方法、装置以及设备 | |
| CN1317852C (zh) | 防火墙内核安全组件一体化的方法 | |
| CN113098851A (zh) | 虚拟防火墙的实现方法、装置、系统、设备和介质 | |
| CN102821020B (zh) | 通过复制中转ip包来透传vpn通信的方法 | |
| CN101227287A (zh) | 一种数据报文处理方法及数据报文处理装置 | |
| CN101599889A (zh) | 一种以太网交换设备中防止mac地址欺骗的方法 | |
| WO2007138068A1 (en) | A type of management method and device for network equipment | |
| CN101141396A (zh) | 报文处理方法和网络设备 | |
| CN100341282C (zh) | 基于通用协议分析引擎的内核级透明代理方法 | |
| CN1426169A (zh) | 提高接入服务器路由转发可靠性的方法 | |
| CN1960330A (zh) | 用于重定向网络通信连接的方法及装置 | |
| Hagsand et al. | Design and implementation of a distributed router |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C56 | Change in the name or address of the patentee |
Owner name: NANJING UNIVERSITY; JIANGSU NANDA SUFUTE SOFTWARE Free format text: FORMER NAME OR ADDRESS: JIANGSU NANDA SUFUTE SOFTWARE CO., LTD.; NANJING UNIVERSITY |
|
| CP03 | Change of name, title or address |
Address after: 210093 No. 22, Hankou Road, Nanjing, Jiangsu Co-patentee after: Jiangsu Njusoft Co., Ltd. Patentee after: Nanjing University Address before: 210008, Beijing West Road, Jiangsu, Nanjing Co-patentee before: Nanjing University Patentee before: Jiangsu Njusoft Co., Ltd. |
|
| C19 | Lapse of patent right due to non-payment of the annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |