专利名称:一种用于防火墙的防病毒方法及装置的制作方法
技术领域:
本发明是一种用于防火墙的防病毒方法及装置,属于网络防火墙的安全技术领域。涉及安全规则及防病毒机制。
背景技术:
防病毒在安全领域有着非常重要的地位,其重点在于及时准确地发现病毒并做出相应得处理,目前网络安全产品的防病毒功能主要是针对SMTP,POP3,FTP,HTTP等报文进行病毒扫描,对比文件中的内容和病毒库中存储的特征码,并对含有病毒的文件进行相关处理,如果传输的文件是某种压缩格式的文件,则病毒扫描模块需要将压缩文件解压,扫描其中的所有文件。因此如果数据流量较大,防病毒模块则会占用较多的处理器时间和内存,将不可避免的对整个系统的其它功能产生一定的影响。降低系统的使用效能。因此目前大多数防病毒产品都是一个独立的系统,拥有独立的硬件或者软件设备,这样的缺陷是大幅度增加了用户的成本。不利于管理和维护。然而对于防火墙等网络安全产品,数据流量很可能远远超过普通PC的网络接口的数据流量,同时承载一个或者几个局域网的数据传输,其中可能包括众多人员的邮件传输或者万维网信息的传输。
防火墙的主要功能是对网络上的数据报文进行部分限制,只允许用户定义的报文通过。不具备病毒的查杀能力,而防毒墙则提供防病毒的功能,但是没有报文的区分能力,用户如果同时需要这两项功能,将必须购买两套设备,成本高昂。
如果将防病毒功能集成到防火墙上,同时又要使用防火墙的其它功能,将会较大的增加网络产品的性能负担,影响其它功能的使用。
发明内容
本发明正是针对上述现有技术中存的问题而设计提供了一种用于防火墙的防病毒方法及装置,其思路是利用防火墙自身的安全策略,将防病毒功能附加其上,其目的是提供了一种用于防火墙的防病毒方法,该方法能够利用防火墙本身的特点,使防病毒功能与防火墙上的其它功能设置进行绑定,使防火墙的工作和防病毒的工作同时进行,大幅度地节省了系统的资源,同时降低了系统购建及运行的成本。本发明的另一个目的就是提供了一种适用于上述防火墙的防病毒方法的装置,该装置在同时使用防火墙的功能和防病毒功能时,系统得性能仍可以达到用户的要求。
本发明的目的是通过以下措施来实现的该种用于防火墙的防病毒方法,其特征在于该方法的步骤为(1)在防火墙上建立用户定义的对数据包进行检查的安全规则,安全规则中包含对数据包中符合TCP/IP协议的IP报文内的五元组属性的要求,还包含需要进行防病毒处理的应用层协议类型的种类,以及该协议类型种类需要的防病毒处理的要求;(2)检查进入防火墙的数据包中符合TCP/IP协议的IP报文,读取其中的五元组—源地址、远端口、目的地址、目的端口、协议类型—的属性,并将其和用户定义的安全规则进行比较,如果符合用户定义的安全规则,则允许该报文通过本次检查,否则,丢弃该报文;(3)对于通过的报文,再次检查报文内部的数据,确定应用层的协议类型,此时处理方式也分为以下两种[3-1]如果协议类型是FTP、HTTP、POP、SMTP四种时,则将报文发送到防病毒模块进行防病毒处理;如果防病毒模块认为该报文是安全的,则将报文送出防火墙。这里是指通过网络发送到报文的信息中记录的报文需要到达的目的地址。反之,则依据用户的防病毒功能的设置对报文进行处理。
如果协议类型不是上述四种之一或缺失的,将报文送出防火墙。
适用于上述用于防火墙的防病毒方法的装置,其特征在于;该装置包括协议栈模块流入防火墙的所有符合TCP/IP协议的IP报文都将经过该模块,这里的数据指的是IP报文,读取进入防火墙的IP报文内的5元组信息,并将其和用户定义的安全规则进行比较;数据通道模块当协议栈模块允许IP报文通过后,IP报文将到达数据通道模块,当IP报文需要进行防病毒处理时,本模块会继续检查前文所述的五元组信息,并将源地址符合用户设置的报文发送给防病毒模块,如果用户没有指定这种报文需要病毒检查时,模块会将报文发送给其它模块,或者直接发送给用户;防病毒模块该模块对发送过来的IP报文进行病毒检查和处理;上述三个模块依次连接。
上述3个模块中,性能开销最大的就是防病毒模块,通常情况下,防病毒模块将对进入系统的所有数据进行扫描,因此无论数据是否安全,系统都将检查一遍,造成了资源浪费,而当结合防火墙的安全策略时,协议栈只将用户认为不安全的数据发送给防病毒模块,使其它能够保证安全的数据绕过病毒检查。于是很大程度上降低了防病毒模块需要处理的信息量,即保证了数据的安全,有解决了性能稳定和有效利用的问题。
本发明的技术所提供的该种结合安全策略的防病毒方案,能够在不牺牲安全性的基础上大幅度节省系统资源,做到同时使用防火墙的功能和防病毒功能时,系统得性能仍可以达到用户的要求。
图1为本发明技术方案的使用环境的数据构成示意2为本发明技术方案中软件流程3为本发明技术方案的装置的结构框图具体实施方式
在实际的网络环境中,不安全的数据来源可以认为是来自internet的数据,或者某个能够确定含有不安全因素的服务器,对于一个公司或者部门的网络安全产品,数据流可能来自很多网络,包括internet,同一公司的其它部门,外地分公司的VPN网络,其中有些网络的数据是不需要防病毒扫描的,例如来自其它部门的数据或者来自服务器的数据,正确的区分这些网络报文,只扫描需要防范和警惕的数据。
参见附图1所示,一个部门拥有一台防火墙4,部门内有若干个工作站5,一台服务器6,防火墙4的一个网络接口41连接Internet,接口42连接同一个公司的其余部门,接口43连接远端分公司的VPN网络,接口44连接本地工作站5,本地工作站5可以通过VPN网络访问远端设备,访问Internet,和其它部门交换数据,也可以访问本地的服务器。
根据上述原理,本发明可以只针对来自某些特定IP地址的数据进行扫描,也可以提供数据流的单项扫描,将节省很大的性能开销,加快数据通过防火墙等安全网络产品的时间。
防火墙4是由包含4个自适应百兆以太网卡,分别提供附图1中的41,42,43,44网络接口的计算机设备、其中运行了支持网络转发与防火墙安全规则处理的操作系统。并在操作系统中安装实现本发明技术方案所需要的计算机程序文件,该计算机程序的流程如附图2所示。
上述系统在工作中,采用本发明技术方案所述的用于防火墙的防病毒方法,其步骤如下(1)在防火墙上定义多条安全规则,安全规则中包含对数据包中符合TCP/IP协议的IP报文内的五元组属性的要求,还包含需要进行防病毒处理的应用层协议类型的种类,以及该协议类型种类需要的防病毒处理的要求;其中的三条安全规则如下[1-1]设置允许源地址为202.108.33.32,协议类型是SMTP的IP报文能够通过防火墙,并要求防火墙对报文进行防病毒处理。设定为当防病毒模块发现报文含有病毒时丢弃报文。其中的“202.108.33.32”为Internet上一个网站的服务器的IP地址。该条安全规则的作用是允许地址为202.108.33.32的服务器向公司内部的用户发送邮件。但需要进行防病毒处理。
设置允许目的地址为192.168.10.100,协议类型是FTP的IP报文能够通过防火墙,并要求防火墙对报文进行防病毒处理。设定为当防病毒模块发现报文含有病毒时丢弃报文。其中的192.168.10.100为服务器6的地址。该条安全规则的作用是允许用户从服务器上下载或上传文件,但需要进行防病毒处理。
设置允许源地址为192.168.20.0,协议类型是SMTP的IP报文能够通过防火墙,不要求防火墙对报文进行防病毒处理。其中的“192.168.20.0”远程VPN网络的地址。这条安全规则的作用是远程VPN网络内部的主机都可以向部门内部发送邮件,不进行病毒检查。
(2)此时防火墙将开始检查所有进入防火墙的IP报文,读取其中的五元组—源地址、远端口、目的地址、目的端口、协议类型—的属性,并将其和用户定义的安全规则进行比较,如果符合用户定义的安全规则,则允许该报文通过,否则,丢弃该报文;可出现的具体操作如下[2-1]如果报文的源地址是202.108.33.32,则将报文发送给防病毒模块。
如果报文的目的地址是192.168.10.100,则将报文发送给防病毒模块。
如果报文的源地址属于192.168.20.0网段,则将报文直接从防火墙发出。
报文不符合上述任何一个条件,则丢弃。
(3)对于通过的报文,检查报文内部的数据,确定应用层协议是否是SMTP或者FTP,此时的处理方式也分为以下两种[3-1]如果发现协议类型是SMTP或者FTP协议,则将报文发送到防病毒模块进行防病毒处理;[3-2]如果协议类型不是SMTP和FTP或者缺失,则将此报文送出防火墙。
这样可以看到,因为Internet上的报文不认为是安全的,所以要进行防病毒处理;所以由202.108.33.32发送到内部网络的邮件都要进行防病毒处理。同样,为了保护服务器6的安全,则传送到服务器6的文件同样需要防病毒处理。而远端VPN网络的信息可以认为是安全的,因此不对其进行防病毒处理,所以所有从VPN网络中的主机向部门内部网络发送的邮件都不进行防病毒处理。于是达到了只处理不安全信息的目的,节省了性能开销。
以下检查查询用户的关于防病毒功能使用范围属性的设置,确定用户是否指定该协议类型需要进行防病毒处理,如果需要,则防病毒模块将该报文内容写入一个临时文件,继续接受与之属于同一个TCP连接的报文,重复此步骤,当属于这个TCP连接的所有报文到达后,结束临时文件的写动作。防病毒模块读取病毒库的病毒特征码,和刚才写入的临时文件的内容进行比较,临时文件中出现了某一个病毒特征码,则认为该临时文件存在病毒,删除临时文件。否则,将临时文件恢复为进入防火墙时的IP报文,送出防火墙。
适用于上述用于防火墙的防病毒方法的装置,其特征在于;该装置包括协议栈模块1流入防火墙的所有符合TCP/IP协议的IP报文都将经过该模块,这里的数据指的是IP报文,读取进入防火墙的IP报文内的5元组信息,并将其和用户定义的安全规则进行比较,并根据用户的设置决定是否丢弃该报文。
数据通道模块2当协议栈模块1允许IP报文通过后,IP报文将到达数据通道模块2,当IP报文需要进行防病毒处理时,本模块会继续检查前文所述的五元组信息,并将源地址符合用户设置的报文发送给防病毒模块,如果用户没有指定这种报文需要病毒检查时,模块会将报文发送给其它模块,或者直接发送给用户,这样就做到了只发送用户认为需要进行病毒检查的报文,从而大大节省了不必要的性能开销。
防病毒模块3该模块对发送过来的IP报文进行病毒检查和处理,当报文发送至防病毒模块后,模块会对报文内的数据文件进行病毒检查,因为一个报文包含的数据有限,所以一个完整的数据文件通常需要很多个报文传送,模块首先要将这些报文中的信息重新组合成原始的数据文件,然后将病毒信息数据库内的病毒特征码和数据文件进行比较,如果在报文中发现了已知的病毒特征码,则认为该数据文件存在病毒,并将与之相关的报文丢弃,这样,含有病毒的数据就不能到达用户那里了。
参见附图3所示,上述三个模块依次连接。
首先,所有进入防火墙的数据报文进入协议栈模块1,用户没有定义的报文将不能通过,而允许通过的报文中,尚不能认为都是安全的,例如来自内部服务器的和内部网络的数据,或者是来自远端VPN通道的数据,可以认为是安全的,而来自Internet的数据则不行,那么这部分数据将经过数据通道模块2发往防病毒模块3进行检查,之后在发送到内部网络。
本发明技术方案与现有技术相比的优点是根据数据报文的五元组决定是否进行病毒扫描,而不是只针对某种协议对数据进行病毒扫描,这样,可以减少扫描的数据量,加快系统得反应时间,减少系统资源的占用,同时不会降低产品的安全性。使防火墙等安全产品开启防病毒功能后的性能降低量减少到最小。
权利要求
1.一种用于防火墙的防病毒方法,其特征在于该方法的步骤为(1)在防火墙上建立用户定义的对数据包进行检查的安全规则,安全规则中包含对数据包中符合TCP/IP协议的IP报文内的五元组属性的要求,还包含需要进行防病毒处理的应用层协议类型的种类,以及该协议类型种类需要的防病毒处理的要求;(2)检查进入防火墙的数据包中符合TCP/IP协议的IP报文,读取其中的五元组—源地址、远端口、目的地址、目的端口、协议类型—的属性,并将其和用户定义的安全规则进行比较,如果符合用户定义的安全规则,则允许该报文通过,否则,丢弃该报文;(3)对于通过的报文,再次检查报文内部的数据,确定应用层的协议类型,此时处理方式也分为以下两种[3-1]如果协议类型是FTP、HTTP、POP、SMTP四种时,则将报文发送到防病毒模块进行防病毒处理;[3-2]如果协议类型不是上述四种之一或缺失的,将报文送出防火墙。
2.一种适用于上述用于防火墙的防病毒方法的装置,其特征在于;该装置包括协议栈模块(1)流入防火墙的所有符合TCP/IP协议的IP报文都将经过该模块,这里的数据指的是IP报文,读取进入防火墙的IP报文内的5元组信息,并将其和用户定义的安全规则进行比较;数据通道模块(2)当协议栈模块(1)允许IP报文通过后,IP报文将到达数据通道模块(2),当IP报文需要进行防病毒处理时,本模块会继续检查前文所述的五元组信息,并将源地址符合用户设置的报文发送给防病毒模块,如果用户没有指定这种报文需要病毒检查时,模块会将报文发送给其它模块,或者直接发送给用户;防病毒模块(3)该模块对发送过来的IP报文进行病毒检查和处理;上述三个模块依次连接。
全文摘要
本发明是一种用于防火墙的防病毒方法及装置,其思路是利用防火墙自身的安全策略,将防病毒功能附加其上,该方法能够利用防火墙本身的特点,使防病毒功能与防火墙上的其它功能设置进行绑定,使防火墙的工作和防病毒的工作同时进行,大幅度地节省了系统的资源,同时降低了系统购建及运行的成本。该装置在同时使用防火墙的功能和防病毒功能时,系统的性能仍可以达到用户的要求。本发明技术方案与现有技术相比的优点是根据数据报文的五元组决定是否进行病毒扫描,而不是只针对某种协议对数据进行病毒扫描,这样,可以减少扫描的数据量,加快系统得反应时间,同时不会降低产品的安全性。使防火墙等安全产品开启防病毒功能后的性能降低量减少到最小。
文档编号H04L9/00GK101052046SQ200710103159
公开日2007年10月10日 申请日期2007年5月22日 优先权日2007年5月22日
发明者孙然, 王刚, 胡兆博, 任磊磊, 肖为剑, 宋斌 申请人:网御神州科技(北京)有限公司