WO2013097475A1 - 防火墙的数据检测方法及装置 - Google Patents

Abstract

本发明实施例提供一种防火墙的数据检测方法及装置，该防火墙的数据检测方法包括：接收应用数据，获取接收到的应用数据中的应用信息，根据所述应用信息和应用识别表判断所述应用数据对应的应用协议类型，根据所述应用协议类型查询威胁检测配置项，以判断所述应用数据是否需要进行威胁检测，若所述应用数据不需要进行威胁检测，则将所述应用数据转发。本发明实施例提供的防火墙的数据检测方法及装置，避免了将所有的应用数据都发送给检测处理器进行检测而造成的防火墙性能下降的问题，提高了防火墙对应用数据的检测效果。

Description

防火墙的数据检测方法及装置

本申请要求于 2011 年 12 月 31 日提交中国专利局、 申请号为 201110459872.0、 发明名称为 "防火墙的数据检测方法及装置" 的中国专利 申请的优先权， 以及要求于 2012年 2 月 27 日提交中国专利局， 申请号为 201210045928.2 , 发明名称为 "防火墙的数据检测方法及装置" 的中国专利 申请的优先权， 上述两个专利申请的全部内容通过引用结合在本申请中。 技术领域

本发明实施例涉及网络安全技术， 尤其涉及一种防火墙的数据检测方法 及装置。 背景技术

随着计算机以及网络技术的快速发展与广泛应用， 现代信息技术对人类 的文明进步起到了巨大的推动作用。 但是， 信息网络因其自身的开放性导致 安全方面出现诸多漏洞。 黑客攻击、 蠕虫病毒、 恶意代码的大量涌现， 信息 网络所面临的风险逐日倍增。 为了实现防御，通常在网络中部署防火墙设备。 为了适应数据传输速率的不断提高， 现有技术的防火墙设备中通常包括快速 转发器和检测处理器， 快速转发器将接收到的应用数据发送给检测处理器进 行威胁检测，快速转发器再将通过检测处理器检测的应用数据进行快速转发， 以实现对应用数据的检测。

上述技术方案在实际应用中至少存在以下问题： 由于快速转发器需要将 接收到的所有应用数据发送给检测处理设备进行检测， 当接收到的应用数据 量很大时， 由于检测处理设备的处理能力有限， 对大量的应用数据进行检测 时， 检测效果不佳。 发明内容 本发明实施例提供一种防火墙的数据检测方法及装置， 以提高防火墙对 应用数据的检测效果。

本发明实施例提供一种防火墙的数据检测方法， 包括：

接收应用数据；

获取接收到的应用数据中的应用信息， 根据所述应用信息和应用识别表 判断所述应用数据对应的应用协议类型， 所述应用识别表包括应用信息与应 用协议类型的对应关系， 所述应用信息包括所述应用数据对应的目的互联网 协议 IP地址、 目的端口和传输协议类型；

根据所述应用协议类型查询威胁检测配置项， 以判断所述应用数据是否 需要进行威胁检测， 其中， 所述威胁检测配置项包括需要进行威胁检测的应 用协议类型和 /或不需要进行检测的应用协议类型；

若所述应用数据不需要进行威胁检测， 则将所述应用数据转发。

本发明实施例提供一种防火墙的数据检测装置， 包括快速转发器； 所述快速转发器包括：

接收模块， 用于接收应用数据；

应用识别模块，用于获取所述接收模块接收到的应用数据中的应用信息， 根据所述应用信息和应用识别表判断所述应用数据对应的应用协议类型， 所 述应用识别表包括应用信息与应用协议类型的对应关系， 所述应用信息包括 所述应用数据对应的目的互联网协议 IP地址、 目的端口和传输协议类型； 判断模块， 用于根据所述应用识别模块判断出的所述应用协议类型查询 威胁检测配置项， 以判断所述应用数据是否需要进行威胁检测， 其中， 所述 威胁检测配置项包括需要进行威胁检测的应用协议类型和 /或不需要进行检 测的应用协议类型；

转发模块， 用于若所述判断模块判断出所述应用数据不需要进行威胁检 测时， 转发所述应用数据。

由上述技术方案可知， 通过接收应用数据， 获取接收到的应用数据中的 应用信息， 根据所述应用信息和应用识别表判断所述应用数据对应的应用协 议类型， 根据所述应用协议类型查询威胁检测配置项， 以判断所述应用数据 是否需要进行威胁检测， 若所述应用数据不需要进行威胁检测， 则将所述应 所有的应用数据都发送给检测处理器进行检测而造成的防火墙性能下降的问 题， 提高了防火墙对应用数据的检测效果。 附图说明 为了更清楚地说明本发明实施例或现有技术中的技术方案， 下面将对实 施例或现有技术描述中所需要使用的附图作一简单地介绍， 显而易见地， 下 面描述中的附图是本发明的一些实施例， 对于本领域普通技术人员来讲， 在 不付出创造性劳动性的前提下， 还可以根据这些附图获得其他的附图。

图 1为本发明实施例提供的一种防火墙的数据检测方法流程图； 图 2为本发明实施例提供的另一种防火墙的数据检测方法流程图； 图 3为本发明实施例提供的一种防火墙的数据检测装置结构示意图； 图 4为本发明实施例提供的另一种防火墙的数据检测装置结构示意图。 具体实施方式 为使本发明实施例的目的、 技术方案和优点更加清楚， 下面将结合本发 明实施例中的附图， 对本发明实施例中的技术方案进行清楚、 完整地描述， 显然， 所描述的实施例是本发明一部分实施例， 而不是全部的实施例。 基于 本发明中的实施例， 本领域普通技术人员在没有作出创造性劳动前提下所获 得的所有其他实施例， 都属于本发明保护的范围。

图 1 为本发明实施例提供的一种防火墙的数据检测方法流程图。 如图 1 数据的检测， 该防火墙可以设置在网关中。 本实施例提供的防火墙的数据检 测方法具体可以通过防火墙的数据检测装置来执行， 该防火墙的数据检测装 置可以设置在防火墙中， 可以通过软件和 /或硬件的方式来实现。

具体地， 防火墙中可以设置有快速转发器和检测处理器。 快速转发器为 可以实现应用数据转发的高速设备， 可以通过现场可编程门阵列 （Field Programmable Gate Array , 简称 FPGA )来实现， 也可以通过特殊应用集成电 路（ Application Specific Integrated Circuit, 简称 ASIC )来实现。 快速转发器 的实现方式可以根据实际的应用数据转发需求来具体设置， 可以实现对应用 数据的快速转发即可， 不以本实施例为限。

本实施例中提供的防火墙的数据检测方法， 以快速转发器的操作为例， 进行具体说明如下：

方法流程包括：

步骤 101、 接收应用数据；

本步骤中， 终端通常通过网关接入互联网， 与网络中的服务器等网络设 备进行数据交互。 快速转发器接收到的应用数据具体可以为网络中网络设备 之间数据交互过程中产生的应用数据。

步骤 102、 获取接收到的应用数据中的应用信息， 根据所述应用信息和 应用识别表判断所述应用数据对应的应用协议类型；

其中， 快速转发器对接收到的应用数据进行解析， 获取应用数据对应的 互联网目的协议 IP地址、 目的端口和传输协议类型， 根据目的 IP地址、 目 的端口和传输协议类型生成应用信息， 所述应用识别表包括应用信息与应用 协议类型的对应关系， 所述应用信息包括所述应用数据对应的目的互联网协 议 IP地址、 目的端口和传输协议类型；

其中， 应用数据对应的应用信息具体用以指示该应用数据的目的主机地 址和应用类型等信息。 可以根据该应用信息对应的应用协议类型来判断应用 数据所对应的应用协议， 应用协议类型即服务类型可以包括多种， 如超文本 传输协议（Hyper Text Transfer Protocol, 简称 HTTP )服务、 简单邮件传输 协议（ Simple Mail Transfer Protocol, 简称 SMTP )服务、 即时通讯服务和企 业私有服务等。 应用数据对应的应用信息中具体可以包括目的互联网协议 IP 地址、 目的端口和传输协议类型， 上述三种信息组成三元组信息。 应用信息 中还可以包括其他可以用以对应用数据分类的信息， 不以本实施例为限。 所 述应用识别表包括应用信息与应用协议类型的对应关系， 例如： 目的 IP地址 为 202.22.1.33 , 目的端口为 80,传输协议类型为传输控制协议（ Transmission Control Protocol, 简称 TCP ) 的三元组应用信息对应于 HTTP服务。

步骤 103、 根据所述应用协议类型查询威胁检测配置项， 以判断所述应 用数据是否需要进行威胁检测；

其中， 所述威胁检测配置项包括需要进行威胁检测的应用协议类型和 /或 不需要进行检测的应用协议类型，威胁检测配置项具体可以从检测处理器中获 取， 也可以根据检测处理器对应用数据进行威胁检测的检测结果生成， 也可以 动态更新， 不同应用类型的应用数据容易携带威胁的程度不同， 则可以根据应 用协议类型对应用数据是否需要进行威胁检测进行设置。 例如， 可以预先设置 网段， 目的主机地址在该网段内的应用数据都需要进行威胁检测。 则可以根据 应用数据的目的主机地址对该应用数据是否需要进行威胁检测进行判断。也可 以根据应用数据的应用类型对应用数据是否需要进行威胁检测进行判断。

检测处理器在对应用数据的检测过程中， 若对于具有相同应用信息即同 一应用类型的应用数据的检测结果通常为不存在威胁， 则可以认为该应用类 型对应的应用数据不易携带威胁， 可以不需要进行威胁检测。 若对于同一应 用类型的应用数据的检测结果通常为存在威胁， 则可以认为该应用类型对应 的应用数据容易携带威胁， 需要进行威胁检测。 根据应用类型对威胁检测配 置项进行查询， 可以确定该应用数据是否需要进行检测。 例如， HTTP服务 中产生的应用数据中易携带威胁， 需要进行威胁检测， 企业私有服务中产生 的应用数据中不易携带威胁， 不需要进行威胁检测。

具体地， 威胁检测配置项中还可以存储有应用信息和应用类型的对应关 系， 可以通过查询该威胁检测配置项确定应用信息所述的应用类型。

通过威胁检测配置项的设置， 可以对不同应用类型的应用数据是否需要 进行威胁检测情况进行管理， 快速转发器对该威胁检测配置项进行查询即可 获知该应用数据是否需要进行威胁检测， 实现简单， 且执行效率高。

步骤 104、 若所述应用数据不需要进行威胁检测， 则将所述应用数据转 发。

快速转发器若识别到应用数据不需要进行威胁检测时， 将应用数据直接 转发。

本实施例提供的防火墙的数据检测方法， 通过接收应用数据， 获取接收到 的应用数据中的应用信息，根据所述应用信息和应用识别表判断所述应用数据 对应的应用协议类型，根据所述应用协议类型查询威胁检测配置项， 以判断所 述应用数据是否需要进行威胁检测， 若所述应用数据不需要进行威胁检测， 则 将所述应用数据转发。避免了将所有的应用数据都发送给检测处理器进行检测 而造成的防火墙性能下降的问题， 提高了防火墙对应用数据的检测效果。

图 2为本发明实施例提供的另一种防火墙的数据检测方法流程图。 如图

2所示， 以快速转发器为例， 具体可以包括如下步骤：

步骤 201、 接收应用数据；

步骤 202、 获取接收到的应用数据中的应用信息， 根据所述应用信息和 应用识别表判断出所述应用数据对应的应用协议类型；

步骤 203、 根据所述应用信息和应用识别表判断不出所述应用数据对应 的应用协议类型时， 将所述应用数据发送给所述检测处理器； 该步骤中， 检测处理器需要对应用数据进行协议类型识别， 并判断应用 数据是否需要进行威胁检测，当应用数据需要进行威胁检测时，执行步骤 206; 当应用数据不需要进行威胁检测时， 执行步骤 205;

同时， 该步骤中， 检测处理器还需要针对新识别出的应用协议类型和 /或 威胁检测的结果生成更新信息， 并将更新信息发送给快速转发器， 以更新快 速转发器本地的应用识别表和 /或威胁检测配置项。

针对步骤 203 , 快速转发器需要执行：

步骤 203-a、接收来自所述检测处理器的更新信息， 并对所述应用识别表 和所述威胁检测配置项进行更新；

其中， 所述更新信息由所述检测处理器对所述应用数据进行应用协议识 别和 /或威胁检测的结果生成， 所述更新信息包括所述应用数据对应的应用协 议类型和所述应用数据是否需要进行威胁检测的信息。

步骤 204、 根据所述应用协议类型查询威胁检测配置项， 以判断所述应 用数据是否需要进行威胁检测， 当不需要进行威胁检测时， 执行步骤 205; 当需要进行威胁检测时， 执行步骤 206;

步骤 205、 转发所述应用数据， 流程结束；

步骤 206、 将所述应用数据发送给检测处理器， 检测所述应用数据是否 存在威胁， 当检测到所述应用数据不存在威胁时， 执行步骤 207; 当检测到 所述应用数据存在威胁时， 执行步骤 208;

本步骤中，检测处理器对接收到的应用数据进行检测包括下述至少一种： 检测处理器对接收到的应用数据进行入侵防御系统（ Intrusion Prevention System , 简称 IPS )检测；

检测处理器对接收到的应用数据进行反病毒（Anti Virus, 简称 AV )检 测；

检测处理器对接收到的应用数据进行应用分布式拒绝服务攻击

( Distributed Denial of Service , 简称 DDoS )检测。 步骤 207、 接收并转发来自所述检测处理器的所述应用数据； 步骤 208、 接收来自检测处理器的阻断指令， 并对所述应用数据进行阻断。 图 3为本发明实施例提供的一种防火墙的数据检测装置结构示意图。 如 图 3所示， 本实施例提供的防火墙的数据检测装置具体可以实现本发明任意 本实施例提供的防火墙的数据检测装置具体包括快速转发器 300。 快速 转发器 300包括：

接收模块 310 , 用于接收应用数据；

应用识别模块 320, 用于获取所述接收模块 310接收到的应用数据中的应 用信息，根据所述应用信息和应用识别表判断所述应用数据对应的应用协议类 型， 所述应用识别表包括应用信息与应用协议类型的对应关系， 所述应用信息 包括所述应用数据对应的目的互联网协议 IP地址、 目的端口和传输协议类型； 判断模块 330 , 用于根据所述应用识别模块 320判断出的所述应用协议 类型查询威胁检测配置项， 以判断所述应用数据是否需要进行威胁检测， 其 中， 所述威胁检测配置项包括需要进行威胁检测的应用协议类型和 /或不需要 进行检测的应用协议类型；

转发模块 340 , 用于若所述判断模块 330判断出所述应用数据不需要进 行威胁检测时， 转发所述应用数据。

本实施例提供的防火墙的数据检测装置， 通过接收模块接收应用数据， 应用识别模块获取接收到的应用数据中的应用信息， 根据所述应用信息和应 用识别表判断所述应用数据对应的应用协议类型， 判断模块根据所述应用协 议类型查询威胁检测配置项， 以判断所述应用数据是否需要进行威胁检测， 若所述应用数据不需要进行威胁检测， 转发模块将所述应用数据直接转发。 据都发送给检测处理器进行检测而造成的防火墙性能下降的问题， 提高了防 火墙对应用数据的检测效果。 图 4为本发明实施例提供的另一种防火墙的数据检测装置结构示意图。 如图 4所示， 在本实施例中，

所述快速转发器 400 , 除了包括接收模块 410、 应用识别模块 420、 判断 模块 430、 转发模块 440之外还包括：

发送模块 450 , 用于若所述判断模块 430判断出所述应用数据需要进行 威胁检测时， 则将所述应用数据发送给检测处理器；

所述转发模块 440, 还用于若所述检测处理器检测出所述应用数据不存 在威胁时， 接收并转发来自所述检测处理器的所述应用数据；

所述快速转发器， 还包括：

阻断模块 460 , 用于若所述检测处理器检测出所述应用数据存在威胁时， 接收来自检测处理器的阻断指令， 并对所述应用数据进行阻断。

所述发送模块 450, 还用于所述应用识别模块判断不出所述应用数据对 应的应用协议类型时， 将所述应用数据发送给所述检测处理器。

所述快速转发器 400 , 还包括：

更新模块 470 , 用于接收来自所述检测处理器的更新信息， 并对所述应 用识别表和所述威胁检测配置项进行更新， 所述更新信息由所述检测处理器 对所述应用数据进行应用协议识别和 /或威胁检测的结果生成， 所述更新信息 包括所述应用数据对应的应用协议类型和所述应用数据是否需要进行威胁检 测的信息。

本发明实施例提供的防火墙的数据检测方法及装置，快速转发器可以实现 对接收到的应用数据是够进行威胁检测的判断，对于不需要进行威胁检测的应 用数据直接转发，避免了将所有的应用数据都发送给检测处理器进行检测而造 成的防火墙性能下降的问题， 提高了防火墙对应用数据的检测效果， 也大大提 高了防火墙的设备性能。 而且通过应用识别表的设置， 可以更加方便地实现对 应用数据的识别过程， 再通过实际的检测结果对应用识别表进行更新，使得该 应用识别表可以适应网络应用的不断发展， 提升识别应用协议类型的数量。 本领域普通技术人员可以理解： 实现上述方法实施例的全部或部分步骤可 以通过程序指令相关的硬件来完成，前述的程序可以存储于一计算机可读取存 储介质中， 该程序在执行时， 执行包括上述方法实施例的步骤； 而前述的存储 介质包括： ROM、 RAM, 磁碟或者光盘等各种可以存储程序代码的介质。

最后应说明的是： 以上实施例仅用以说明本发明的技术方案， 而非对其 限制； 尽管参照前述实施例对本发明进行了详细的说明， 本领域的普通技术 人员应当理解： 其依然可以对前述各实施例所记载的技术方案进行修改， 或 者对其中部分技术特征进行等同替换； 而这些修改或者替换， 并不使相应技 术方案的本质脱离本发明各实施例技术方案的范围。

Claims

权 利 要 求

1、 一种防火墙的数据检测方法， 其特征在于， 包括：

接收应用数据；

获取接收到的应用数据中的应用信息， 根据所述应用信息和应用识别表 判断所述应用数据对应的应用协议类型， 所述应用识别表包括应用信息与应 用协议类型的对应关系， 所述应用信息包括所述应用数据对应的目的互联网 协议 IP地址、 目的端口和传输协议类型；

根据所述应用协议类型查询威胁检测配置项， 以判断所述应用数据是否 需要进行威胁检测， 其中， 所述威胁检测配置项包括需要进行威胁检测的应 用协议类型和 /或不需要进行检测的应用协议类型；

若所述应用数据不需要进行威胁检测， 则将所述应用数据转发。

2、 根据权利要求 1所述的防火墙的数据检测方法， 其特征在于， 所述方 法， 还包括：

若根据所述应用协议类型查询威胁检测配置项， 判断出所述应用数据需 要进行威胁检测时， 则将所述应用数据发送给检测处理器；

若所述检测处理器检测出所述应用数据不存在威胁时， 接收并转发来自 所述检测处理器的所述应用数据；

3、 根据权利要求 2所述的防火墙的数据检测方法， 其特征在于， 若所述 检测处理器检测出所述应用数据存在威胁时，

接收来自检测处理器的阻断指令， 并对所述应用数据进行阻断。

4、根据权利要求 1至 3中任意一项所述的防火墙的数据检测方法， 其特 征在于， 所述方法， 还包括：

根据所述应用信息和应用识别表判断不出所述应用数据对应的应用协议 类型时， 将所述应用数据发送给所述检测处理器。

5、 根据权利要求 4所述的防火墙的数据检测方法， 其特征在于， 所述方 法， 还包括：

接收来自所述检测处理器的更新信息， 并对所述应用识别表和所述威胁 检测配置项进行更新， 所述更新信息由所述检测处理器对所述应用数据进行 应用协议识别和 /或威胁检测的结果生成， 所述更新信息包括所述应用数据对 应的应用协议类型和所述应用数据是否需要进行威胁检测的信息。

6、 一种防火墙的数据检测装置， 其特征在于： 包括快速转发器； 所述快速转发器包括：

接收模块， 用于接收应用数据；

应用识别模块，用于获取所述接收模块接收到的应用数据中的应用信息， 根据所述应用信息和应用识别表判断所述应用数据对应的应用协议类型， 所 述应用识别表包括应用信息与应用协议类型的对应关系， 所述应用信息包括 所述应用数据对应的目的互联网协议 IP地址、 目的端口和传输协议类型； 判断模块， 用于根据所述应用识别模块判断出的所述应用协议类型查询 威胁检测配置项， 以判断所述应用数据是否需要进行威胁检测， 其中， 所述 威胁检测配置项包括需要进行威胁检测的应用协议类型和 /或不需要进行检 测的应用协议类型；

转发模块， 用于若所述判断模块判断出所述应用数据不需要进行威胁检 测时， 转发所述应用数据。

7、 根据权利要求 6所述的防火墙的数据检测装置， 其特征在于， 所述快 速转发器， 还包括： 发送模块， 用于若所述判断模块判断出所述应用数据需 要进行威胁检测时， 则将所述应用数据发送给检测处理器；

所述转发模块， 还用于若所述检测处理器检测出所述应用数据不存在威 胁时， 接收并转发来自所述检测处理器的所述应用数据；

8、 根据权利要求 7所述的防火墙的数据检测装置， 其特征在于， 所述快 速转发器， 还包括： 阻断模块， 用于若所述检测处理器检测出所述应用数据存在威胁时， 接 收来自检测处理器的阻断指令， 并对所述应用数据进行阻断。

9、根据权利要求 6至 8任意一项所述的防火墙的数据检测装置， 其特征 在于， 所述发送模块， 还用于所述应用识别模块判断不出所述应用数据对应 的应用协议类型时， 将所述应用数据发送给所述检测处理器。

10、 根据权利要求 7所述的防火墙的数据检测装置， 其特征在于， 所述 快速转发器， 还包括：

更新模块， 用于接收来自所述检测处理器的更新信息， 并对所述应用识 别表和所述威胁检测配置项进行更新， 所述更新信息由所述检测处理器对所 述应用数据进行应用协议识别和 /或威胁检测的结果生成， 所述更新信息包括 所述应用数据对应的应用协议类型和所述应用数据是否需要进行威胁检测的 信息。