WO2014180235A1

WO2014180235A1 - 数据包过滤规则配置方法、装置及系统

Info

Publication number: WO2014180235A1
Application number: PCT/CN2014/075740
Authority: WO
Inventors: 邓旺波
Original assignee: 中兴通讯股份有限公司
Priority date: 2013-11-27
Filing date: 2014-04-18
Publication date: 2014-11-13
Also published as: CN104683295B; CN104683295A

Abstract

本发明提供了一种数据包过滤规则配置方法、装置及系统，其中，该方法包括：发送携带有预定标识的配置请求至服务端，其中，预定标识包括以下至少之一：数据包过滤规则的请求方的标识、数据包过滤规则的标识；接收服务端根据所述配置请求下发的数据包过滤规则；加载数据包过滤规则至请求方的数据包过滤驱动程序。通过本发明的方法，解决了相关技术中数据包过滤规则的配置导致操作复杂的问题，简化了数据包过滤规则的配置过程，提高了对网络连接控制的灵活性。

Description

数据包过滤规则 IBS方法、装¾¾系统

技术领域本发明涉及通信领域，具体而言，涉及一种数据包过滤规则配置方法、装置及系统。背景技术现代互联网中网络攻击、病毒和钓鱼网站等各种威胁终端安全的手段肆虐接入互联网的终端设备，网络数据包技术作为防火墙的基本技术，对终端的安全联网起到非常重要的作用，通过设置从英特网进入终端的数据包或者从终端进入英特网的数据包的拦截或允许，使不符合规则的数据包不能通过。传统的数据包过滤技术一般在终端的防火墙中进行控制，由终端使用者设置相应的过滤规则，这种方式不便于对于终端过滤规则的集中管理，对网络接入的可控性不强，不适用于终端集中管理的场景。一旦某一台终端规则设置不合理，导致受到网络的攻击以及病毒的感染而危及到网络内的其他终端。也有一些包过滤技术采用了 C/S的架构，由服务器对客户端的包过滤规则进行了相应的参数配置，由客户端在初始阶段与服务器建立连接，然后由服务器将相应的配置参数发给客户端，客户端随即启动包过滤流程。在一定程度上解决了统一管理客户端的功能，但是这种方式容易在需要对终端的网络接入进行差异化控制的应用场景中存在不足，同时如果需要实时的修改过滤规则，则需要断开连接，重新进行连接，参数配置以及启动过滤。在一定程度上增加了操作的复杂性。针对相关技术中数据包过滤规则的配置导致操作复杂的问题，目前尚未提出有效的解决方案。发明内容本发明实施例提供了一种数据包过滤规则配置方法、装置及系统，以至少解决数据包过滤规则的配置导致操作复杂的问题。根据本发明实施例的一个方面，提供了一种数据包过滤规则配置方法，包括：发送携带有预定标识的配置请求至服务端，其中，所述预定标识包括以下至少之一：数据包过滤规则的请求方的标识、所述数据包过滤规则的标识；接收所述服务端根据所述配置请求下发的所述数据包过滤规则；加载所述数据包过滤规则至所述请求方的数据包过滤驱动程序。优选地，在所述服务端中保存有所述数据包过滤规则的请求方的标识与所述数据包过滤规则的对应关系，和 /或，保存有所述数据包过滤规则的标识与所述数据包过滤规则的对应关系。优选地，在加载所述数据包过滤规则至所述请求方的所述数据包过滤驱动程序之后，所述方法还包括：通过所述数据包过滤驱动程序，过滤所述请求方与网络进行通信的数据包；发送所述数据包的拦截日志至所述服务端，其中，所述拦截日志是根据所述数据包过滤规则拦截的数据包的信息生成的。优选地，过滤所述请求方与网络进行通信的所述数据包包括：在所述数据包为传输层数据包的情况下，通过传输驱动程序接口层过滤所述数据包；在所述数据包为网络层和 /或数据链路层的数据包的情况下，通过中间层驱动程序过滤所述数据包。优选地，在所述数据包过滤规则为基于应用程序控制的数据包过滤规则的情况下，过滤所述请求方与网络通信的数据包包括：根据所述数据包过滤规则和所述数据包中携带的应用程序标识，分别过滤所述请求方的一个或多个应用程序与网络进行通信的数据包。优选地，接收所述服务端根据所述配置请求下发的所述数据包过滤规则还包括：接收所述服务端根据所述配置请求下发的更新的所述数据包过滤规则，其中，所述更新的所述数据包过滤规则包括以下至少之一：所述服务端根据所述请求方发送的拦截日志和预定算法确定的数据包过滤规则，和 /或所述服务端根据用户的输入确定的数据包过滤规则。根据本发明实施例的另一方面，提供了一种数据包过滤规则配置装置，包括：第一发送模块，用于发送携带有预定标识的配置请求至服务端，其中，所述预定标识包括以下至少之一：数据包过滤规则的请求方的标识、所述数据包过滤规则的标识；接收模块，用于接收所述服务端根据所述配置请求下发的所述数据包过滤规则；加载模块，用于加载所述数据包过滤规则至所述请求方的数据包过滤驱动程序。优选地，所述装置还包括：过滤模块，用于通过所述数据包过滤驱动程序，过滤所述请求方与网络进行通信的数据包；第二发送模块，用于发送所述数据包的拦截日志至所述服务端，其中，所述拦截日志是根据所述数据包过滤规则拦截的数据包的信息生成的。优选地，所述过滤模块包括：过滤单元，用于根据所述数据包过滤规则和所述数据包中携带的应用程序标识，分别过滤所述请求方的一个或多个应用程序与网络进行通信的数据包。根据本发明实施例的另一个方面，提供了一种数据包过滤规则配置系统，包括：终端和服务端，其中，所述终端，用于发送携带有预定标识的配置请求至所述服务端，其中，所述预定标识包括以下至少之一：所述终端的标识、所述数据包过滤规则的标识；接收所述服务端根据所述配置请求下发的所述数据包过滤规则；加载所述数据包过滤规则至所述终端的数据包过滤驱动程序请求；所述服务端，用于根据所述配置请求确定所述终端所请求的所述数据包过滤规则；发送所述数据包过滤规则至所述终端。通过本发明实施例，采用发送携带有预定标识的配置请求至服务端，其中，所述预定标识包括以下至少之一：数据包过滤规则的请求方的标识、所述数据包过滤规则的标识；接收所述服务端根据所述配置请求下发的所述数据包过滤规则；加载所述数据包过滤规则至所述请求方的数据包过滤驱动程序的方式，解决了数据包过滤规则的配置导致操作复杂的问题，简化了数据包过滤规则的配置过程，提高了对网络连接控制的灵活性。附图说明此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中- 图 1是根据本发明实施例的数据包过滤规则配置方法的流程示意图；图 2是根据本发明实施例的数据包过滤规则配置装置的结构示意图；图 3是根据本发明实施例的数据包过滤规则配置装置的优选结构示意图；图 4根据本发明实施例的数据包过滤规则配置系统的示意图；图 5是根据本发明优选实施的数据包过滤系统的初始化流程图；图 6是根据本发明优选实施例的终端数据包过滤服务器配置的初始化流程图；图 7是根据本发明优选实施例的服务器对终端数据包过滤规则进行动态更新的流程图。具体实施方式需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本发明。在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。本实施例提供了一种数据包过滤规则配置方法，图 1是根据本发明实施例的数据包过滤规则配置方法的流程示意图，如图 1所示，该流程包括如下的步骤：步骤 S102: 发送携带有预定标识的配置请求至服务端，其中，预定标识包括以下至少之一：数据包过滤规则的请求方的标识、数据包过滤规则的标识。步骤 S104: 接收服务端根据配置请求下发的数据包过滤规则。步骤 S106: 加载数据包过滤规则至请求方的数据包过滤驱动程序。通过上述步骤，采用根据通过设置的数据包过滤规则的标识或者数据包过滤规则的请求方的标识请求对应的数据包过滤规则，并将所述数据包加载到请求方的数据包过滤驱动程序，解决了现有相关技术中数据包过滤规则的配置导致操作复杂的问题，简化了数据包过滤规则的配置过程，提高了对网络连接控制的灵活性。优选地，服务端可以根据保存的相应的对应关系，查询数据包过滤规则的标识或者数据包过滤规则的请求方的标识对应的数据包过滤规则。在这种情况下，在服务器端中至少保存有以下两种对应关系之一：数据包过滤规则的请求方的标识与数据包过滤规则的对应关系、数据包过滤规则的标识与数据包过滤规则的对应关系。通过上述方式，可以将不同的数据包过滤规则配置给不同的请求方，请求方也可以根据自身的需求，在服务端上选择相应的数据包过滤规则进行配置。较优地，在服务端中保存的数据包过滤规则是按照一定的场景预设为多个安全等级的过滤规则，请求方可以在配置请求中携带有需求的安全等级的标识，则服务端可以根据该安全等级的标识下发对应的数据包过滤规则给该请求方。优选地，在步骤 S106之后，请求方可以通过数据包过滤驱动程序，过滤请求方与网络进行通信的数据包；可选的，请求方还可以将数据包的拦截日志反馈给服务端，其中，拦截日志是根据数据包过滤规则拦截的数据包的信息生成的。其中，过滤驱动程序对数据包过滤规则的请求方的标识与数据包过滤规则，和 /或，数据包过滤规则的标识与数据包过滤规则进行匹配，如果匹配不成功，过滤驱动程序过滤掉进行通信的数据包，并将拦截的动作保存到拦截日志到服务器。优选地，过滤数据包的方式可以根据实际需求来进行，例如，在数据包为传输层数据包的情况下，可以通过传输驱动程序接口层过滤数据包；在数据包为网络层和 / 或数据链路层的数据包的情况下，可以通过中间层驱动程序过滤数据包。优选地，为了提高安全性和灵活性，实现对于不同应用程序的数据包应用不同的策略进行数据包过滤，在本实施例中还提供了一种基于应用程序控制的数据包过滤机制，即请求方对配置的数据包过滤规则和接收到的待过虑数据包中携带的应用程序标识进行匹配，在过滤规则与应用程序标识匹配时，分别根据匹配的规则对携带有对应应用程序标识的数据包进行处理。优选地，对于携带有未匹配到的应用程序标识的数据包，可以根据默认设置进行处理，例如，默认设置可以是：对未匹配到的数据包进行拦截，也可以是允许未匹配到的数据包的接收和发送。优选地，在步骤 S104中，请求方还可以接收服务端根据配置请求下发的更新的数据包过滤规则，其中，更新的数据包过滤规则可以是服务端按照预定策略更新的，也可以是根据用户的输入进行更新的，例如：服务端根据请求方发送的拦截日志和预定算法确定的数据包过滤规则，或者服务端根据用户的输入确定的数据包过滤规则。例如，根据实际的需要，相关专业管理人员根据实际运行中的需求，对相应的规则做出手动的修改配置，服务器在监控到相应的过滤规则修改之后，并开始对请求方下发更新之后的过滤规则。本实施例还提供了一种数据包过滤规则配置装置，该装置实施例中描述的数据包过滤规则配置装置对应于上述方法实施例，其具体的实施例在方法实施例中已经进行过详细说明，在此不再赘述。图 2是根据本发明实施例的数据包过滤规则配置装置的结构示意图，如图 2所示，该装置包括：第一发送模块 22、接收模块 24和加载模块 26，其中，第一发送模块 22，用于发送携带有预定标识的配置请求至服务端，其中，预定标识包括以下至少之一：数据包过滤规则的请求方的标识、数据包过滤规则的标识；接收模块 24耦合至第一发送模块 22，用于接收服务端根据所述配置请求下发的数据包过滤规则；加载模块 26 耦合至接收模块 24，设置为加载数据包过滤规则至请求方的数据包过滤驱动程序。在上述本实施例装置中，采用了第一发送模块 22发送预定标识至服务器，根据所述预定标识，接收模块 24接收服务器下发的数据包过滤规则，加载模块 26加载数据包过滤规则至请求方的数据包过滤驱动程序的方式，解决了相关技术中数据包过滤规则的配置导致操作复杂的问题，简化了数据包过滤规则的配置过程，提高了对网络连接控制的灵活性。本实施例中所涉及到的模块、单元可以通过软件的方式实现，也可以通过硬件的方式来实现。本实施例中的所描述的模块、单元也可以设置在处理器中，例如，可以描述为：一种处理器包括第一发送模块 22、接收模块 24和加载模块 26。其中，这些模块的名称在某种情况下并不构成对该模块本身的限定，例如，第一发送模块还可以被描述为 "设置为发送携带有预定标识的配置请求至服务端的模块"。优选地，在服务器端中至少保存有以下两种对应关系之一：数据包过滤规则的请求方的标识与数据包过滤规则的对应关系、数据包过滤规则的标识与数据包过滤规则的对应关系。图 3是根据本发明实施例的数据包过滤规则配置装置的优选结构示意图，如图 3 所示，优选地，该装置还包括：过滤模块 32，设置为通过数据包过滤驱动程序，过滤请求方与网络进行通信的数据包；第二发送模块 34，设置为发送数据包的拦截日志至服务端，其中，拦截日志是根据数据包过滤规则拦截的数据包的信息生成的。优选地，过滤模块 32在数据包为传输层数据包的情况下，可以通过传输驱动程序接口层过滤该数据包；在数据包为网络层和 /或数据链路层的数据包的情况下，可以通过中间层驱动程序过滤该数据包。优选地，过滤模块 32还设置为根据数据包过滤规则和数据包中携带的应用程序标识，分别过滤请求方的一个或多个应用程序与网络进行通信的数据包。优选地，接收模块 24还设置为接收服务端根据配置请求下发的更新的数据包过滤规则，其中，更新的数据包过滤规则可以是：服务端根据请求方发送的拦截日志和预定算法确定的数据包过滤规则，和 /或，服务端根据用户的输入确定的数据包过滤规则。本实施例还提供了一种数据包过滤规则配置系统，图 4根据本发明实施例的数据包过滤规则配置系统的结构示意图。如图 4所示，该系统包括：终端 42 (相当于上述的数据包过滤规则配置装置，设置为完成上述请求方的相应功能）和服务端 44 (设置为完成上述服务端的相应功能），其中，终端 42，设置为发送携带有预定标识的配置请求至服务端 44，其中，预定标识包括以下至少之一：终端 42的标识、数据包过滤规则的标识；接收服务端 44根据配置请求下发的数据包过滤规则；加载数据包过滤规则至终端 42的数据包过滤驱动程序请求；服务端 44，设置为根据配置请求确定终端 42所请求的数据包过滤规则，并发送数据包过滤规则至终端 42。下面将结合优选的实施例对其实现过程进行详细描述。针对上述现有终端网络数据包过滤技术存在的不足，本发明优选实施例的目的是针对需要对终端进行集中管理的场景中，提供了一种实现对终端网络数据包过滤进行集中配置，分级管理和动态更新的方法。图 5是根据本发明优选实施例的数据包过滤系统的初始化流程图，在图 5中，终端上电初始化中，从预置的服务器地址配置中搜寻服务器，并与服务器建立连接，此时终端数据包过滤规则可以根据实际需要配置成默认禁止网络接入和允许网络接入，但是在禁止网络接入时，能够默认允许与所配置的各个服务器地址之间的网络通信。该方法的步骤包括：步骤 S502: 终端上电系统初始化。步骤 S504: 终端搜寻服务器。步骤 S506: 终端连接服务器。步骤 S508: 服务器对终端进行鉴权认证。步骤 S510: 终端的网络过滤根据配置进行相应的初始化。在上述步骤执行完之后，服务器根据终端连接时携带的信息，对终端进行鉴权以及级别认知，并从规则池中取出相应级别的规则集下发给终端，在本优选实施例中提供的一种实现方法如下：

1)服务器根据实际需要，按一定方式生成一个过滤规则池，规则池中根据实际的分级要求按不同级别生成不同的规则集，当然也可以包括基础的公共规则集，每个不同的级别以不同的 ID进行标识。

2)终端在与服务器进行初始化连接的流程中，可以携带相应的 ID信息，服务器根据这个 ID映射出对应的级别 ID，服务器根据级别 ID从规则池中取出相应的规则集，并连同公共的基础规则集下发给终端。

3 )终端监控到有规则从服务器传过来，然后将相应的规则转化成对应的数据结构发送给内核的数据包过滤驱动程序，驱动程序就会重新加载这些规则。由终端上的应用服务程序决定是否清除原来配置的规则，还是保留之前的规则。在本优选实施例中还提供了一种终端数据包过滤服务器配置的初始化方法，图 6 是根据本发明优选实施例的终端数据包过滤服务器配置的初始化流程图，如图 6所示，该初始化流程包括：步骤 S602: 终端初始化过滤配置。步骤 S604: 终端向服务器发送终端 ID等信息。步骤 S606: 服务器根据终端 ID判断终端所属的级别 ID。步骤 S608: 服务器根据级别 ID从规则池中选择对应的规则集。步骤 S610: 判断规则集是否非空；其中，在判断结果为是时，则执行步骤 S614, 在判断结果为否时，则执行步骤 S612。步骤 S612:发送对应的错误码到终端；其中，执行完步骤 S612之后执行步骤 S622。步骤 S614: 将规则集发送给终端。步骤 S616: 终端应用服务监控到有规则发送过来。步骤 S618: 终端应用服务将规则转化成相应的数据结构发送给驱动程序步骤 S620: 驱动程序更新对应的规则列表。步骤 S622: 终端数据包过滤，初始化结束。在上述步骤执行完之后，紧接着终端应用程序在需要进行网络通信的时候，需要经过内核的驱动程序进行过滤筛选，内核的驱动程序根据配置的规则对数据包中携带的 IP地址和端口号进行匹配，若匹配成功，则按照对应设置的拦截动作进行过滤，若匹配不成功，那么根据配置选项，可以选择拦截或者允许。因此，可以根据实际的需要，终端可以将对应的拦截记录上传到服务器，供服务器进行分析定位。优选地，可以根据实际的需要，服务器根据拦截记录进行一定算法的分析，对相应的规则做一些自动化的调整和修改，也可以有相关的专业管理人员根据实际运行中的需求，对相应的规则做出手动的修改配置。服务器监控到相应的规则集修改之后，并开始对使用该规则集的终端下发更新规则集的请求流程，以实现规则集的动态更新。例如，内核驱动程序可以从用户程序获取规则集，实时的修改相应的规则匹配列表。驱动程序可以根据实际需求，对位于传输层或者网络层或者数据链路层的数据包进行过滤。优选地，对于传输层的数据包可以使用基于 TDI层过滤，对于网络层和数据链路层的数据包过滤可以使用中间层驱动程序进行过滤。优选地，采用内核驱动程序可以灵活的控制数据包的过滤，可以以应用程序为依据进行数据包的过滤，这样可以更加灵活的控制应用程序的网络连接，在允许使用相应应用程序的前提下，保证终端的安全性，过滤掉未知的可能存在安全隐患的网络数据的通信。图 7是根据本发明优选实施例的服务器对终端数据包过滤规则进行动态更新的流程图，如图 7所示，上述动态更新的过程包括如下步骤：牛少聰 S702: 服务器规则集发生变化。牛少聰 S704: 找到规则集所对应的终端。牛少聰 S706: 发送新的规则集到终端。牛少聰 S708: 终端根据规则集选择是否保留原始规则。牛少聰 S710: 清除驱动之前配置的规则。牛少聰 S712: 加载（附加）相应的规则到驱动。牛少聰 S714: 驱动程序更新配置规则列表。综上所述，根据本发明的上述优选实施例，可以实现对终端的网络接入进行集中式管理，同时能针对不同的网络接入需求差异化的进行分级控制，同时针对网络数据包过滤能够实现动态的规则更新，实时有效，搭配相应的过滤日志分析算法还可以实现规则的自适应调整和修改。工业实用性根据本发明实施例，采用根据通过设置的数据包过滤规则的标识或者数据包过滤规则的请求方的标识请求对应的数据包过滤规则，并将所述数据包加载到请求方的数据包过滤驱动程序，解决了现有相关技术中数据包过滤规则的配置导致操作复杂的问题，简化了数据包过滤规则的配置过程，提高了对网络连接控制的灵活性。显然，本领域的技术人员应该明白，上述的本发明的各模块或各步骤可以用通用的计算装置来实现，它们可以集中在单个的计算装置上，或者分布在多个计算装置所组成的网络上，可选地，它们可以用计算装置可执行的程序代码来实现，从而，可以将它们存储在存储装置中由计算装置来执行，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本发明不限制于任何特定的硬件和软件结合。以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

权利要求书

1. 一种数据包过滤规则配置方法，包括：

发送携带有预定标识的配置请求至服务端，其中，所述预定标识包括以下至少之一：数据包过滤规则的请求方的标识、所述数据包过滤规则的标识；接收所述服务端根据所述配置请求下发的所述数据包过滤规则；加载所述数据包过滤规则至所述请求方的数据包过滤驱动程序。

2. 根据权利要求 1所述的方法，其中，在所述服务端中保存有所述数据包过滤规则的请求方的标识与所述数据包过滤规则的对应关系，和 /或，保存有所述数据包过滤规则的标识与所述数据包过滤规则的对应关系。

3. 根据权利要求 1所述的方法，其中，在加载所述数据包过滤规则至所述请求方的所述数据包过滤驱动程序之后，所述方法还包括：

通过所述数据包过滤驱动程序，过滤所述请求方与网络进行通信的数据包；发送所述数据包的拦截日志至所述服务端，其中，所述拦截日志是根据所述数据包过滤规则拦截的数据包的信息生成的。

4. 根据权利要求 3所述的方法，其中，过滤所述请求方与网络进行通信的所述数据包包括：

在所述数据包为传输层数据包的情况下，通过传输驱动程序接口层过滤所述数据包；

在所述数据包为网络层和 /或数据链路层的数据包的情况下，通过中间层驱动程序过滤所述数据包。

5. 根据权利要求 3所述的方法，其中，在所述数据包过滤规则为基于应用程序控制的数据包过滤规则的情况下，过滤所述请求方与网络通信的数据包包括：根据所述数据包过滤规则和所述数据包中携带的应用程序标识，分别过滤所述请求方的一个或多个应用程序与网络进行通信的数据包。

6. 根据权利要求 1至 5中任一项所述的方法，其中，接收所述服务端根据所述配置请求下发的所述数据包过滤规则还包括：接收所述服务端根据所述配置请求下发的更新的所述数据包过滤规则，其中，所述更新的所述数据包过滤规则包括以下至少之一：所述服务端根据所述请求方发送的拦截日志和预定算法确定的数据包过滤规则，和 /或所述服务端根据用户的输入确定的数据包过滤规则。一种数据包过滤规则配置装置，包括：

第一发送模块，设置为发送携带有预定标识的配置请求至服务端，其中，所述预定标识包括以下至少之一：数据包过滤规则的请求方的标识、所述数据包过滤规则的标识；

接收模块，设置为接收所述服务端根据所述配置请求下发的所述数据包过滤规则；

加载模块，设置为加载所述数据包过滤规则至所述请求方的数据包过滤驱动程序。根据权利要求 7所述的装置，其中，所述装置还包括：过滤模块，设置为通过所述数据包过滤驱动程序，过滤所述请求方与网络进行通信的数据包；

第二发送模块，设置为发送所述数据包的拦截日志至所述服务端，其中，所述拦截日志是根据所述数据包过滤规则拦截的数据包的信息生成的。根据权利要求 8所述的装置，其中，所述过滤模块包括：

过滤单元，设置为根据所述数据包过滤规则和所述数据包中携带的应用程序标识，分别过滤所述请求方的一个或多个应用程序与网络进行通信的数据包。一种数据包过滤规则配置系统，包括：终端和服务端，其中，

所述终端，设置为发送携带有预定标识的配置请求至所述服务端，其中，所述预定标识包括以下至少之一：所述终端的标识、所述数据包过滤规则的标识；接收所述服务端根据所述配置请求下发的所述数据包过滤规则；加载所述数据包过滤规则至所述终端的数据包过滤驱动程序请求；

所述服务端，设置为根据所述配置请求确定所述终端所请求的所述数据包过滤规则；发送所述数据包过滤规则至所述终端。