专利名称:信息包过滤方法及网络防火墙的制作方法
技术领域:
本发明设涉及网络安全领域,特别涉及一种网络防火墙及自动配置网络防火墙的方法。
背景技术:
随着网络技术的广泛应用,日常生产、生活中的各种事务越来越多地依赖网络,但病毒入侵、黑客攻击也时常发生,因此网络安全问题日显重要。
在互联网上防火墙是一种非常有效的网络安全模型,通过它可以隔离风险区域(即Internet或有一定风险的网站)与安全区域(局域网或PC)的连接。同时可以监控进出网络的通信,让安全的信息进入。防火墙通常作为网络安全防护带的第一道防线,根据所配置的规则来分析处理通过该防火墙的信息包,决定是否允许具有某种特征的信息包通过。
现有的一种防火墙的基本结构由静态规则表和报文处理模块组成。静态规则表里存储用来决定防火墙行为的规则,由用户通过设置接口来手工配置,配置主要通过增加、删除或修改报文完成。报文处理模块把通过防火墙的每个报文的特征字段跟规则表中的规则的匹配参数进行逐条比较。如果所比较的特征字段与某条规则的匹配参数完全相同,则表明该规则匹配成功。然后报文处理模块根据该规则所指定的策略决定允许该报文通过防火墙,还是丢弃该报文。
这种防火墙的业务规则配置是由用户根据业务的安全需求手工配置一系列常用规则。一旦业务安全需求有变化,又需要用户手工去更改规则配置。因此,现有的防火墙规则的配置和维护缺乏自动化;防火墙规则都是静态配置的,不能根据业务状态的变化进行实时的适应性调整。
由于上述静态防火墙规则的不够灵活,目前还有一种被称为端口触发的功能用来实现防火墙的部分动态配置。该功能通常应用于NAT(网络地址转换)中,在进行NAT地址转换时对防火墙也起作用。端口触发在防火墙上的应用主要分为两部分,一部分是用于控制的触发端口,另一部分是防火墙对外动态打开的开放端口,前者属于触发控制条件,后者为防火墙端口的动态配置。当通过防火墙模块的报文满足控制条件后,端口触发功能生效,防火墙对外打开相应的开放端口,当控制条件失效后,防火墙便关闭对外开放的这些端口,以达到是否允许某些特定端口的报文进入防火墙的动态配置。
该技术虽然可以实现防火墙的部分动态配置,但只局限于端口的触发及开放,其原理与实现均嵌入到NAT功能中,没有自已成型的框架,不能满足用户自由设置防火墙各式各样的规则并能根据业务情况自动调整规则的应用与否的要求。
发明内容
本发明的发明目的是提供了一种网络防火墙及自动配置网络防火墙的方法,该防火墙可根据业务的安全需求自动生成相关动态规则和根据业务的状态自适应地动态地优化防火墙规则的配置。
本发明一方面提供了以下技术方案来达到本发明的目的一种网络防火墙,包括内网接口、外网接口、规则表存储器、规则模板存储器、自动规则处理器和信息包处理器。其中,内网接口用于接收/发送内部网络信息;外网接口用于接收/发送外部网络信息;规则表存储器用于存储规则表,该规则表中可以包括动态规则和控制规则;规则模板存储器用于存储业务相关的规则集;自动规则处理器与所述规则表存储器和规则模板存储器耦合;信息包处理器,与所述内网接口、外网接口、规则表存储器和自动规则处理器耦合,用于将从所述内网接口或外网接口接收到的信息包的内容与规则表存储器中的规则进行匹配处理;其中所述自动规则处理器用于分析信息包处理器发送过来的处理结果,根据所述处理结果从规则模板存储器中获取业务相关的规则集,生成符合业务安全需求的动态规则,并且向所述规则表存储器中添加该动态规则。
本发明提供的这种防火墙通过设置规则模板存储器、自动规则处理器并且在规则表存储器中配置了控制规则。当信息包的内容触发控制规则后,会从规则模板存储器中动态的向规则表存储器中添加动态规则。使得本发明提供的防火墙是可以根据实际业务需求自动地动态添加或删除业务规则,提高了防火墙的自动化的程度,克服了现有防火墙配置维护缺乏自动化,不能根据业务状态的变化进行实时的适应性调整的缺陷;从而使得网络安全防务能力得到很大提高,达到优化网络的作用,并且减少了配置丰富多样的防火墙规则所花费的代价。
本发明另一方面提供了一种实现信息包过滤的方法,包括以下步骤A.信息包处理器将接收到的信息包的内容与规则表存储器中的规则进行匹配处理;B.信息包处理器将处理结果发送到内网接口或外网接口或自动规则处理器;C.当处理结果发送到自动规则处理器时,自动规则处理器对处理结果进行分析;D.若信息包内容与规则匹配成功,自动规则处理器根据所述处理结果将从规则模板存储器中获取的业务相关的规则集,生成符合业务安全需求的动态规则,并向所述规则表存储器中添加该动态规则。
本发明提供的这种实现信息包过滤的方法,通过动态调整业务规则,提高了信息包过滤的灵活性,根据业务状态的变化进行实时的适应性调整。从而使得网络安全防务能力得到很大提高。
图1为本发明提供的网络防火墙的结构框图;图2为本发明提供的网络防火墙的信息包处理器对一信息包的处理流程;图3为本发明提供的网络防火墙的自动规则处理器添加动态规则的流程;图4为本发明提供的网络防火墙的自动规则处理器撤销动态规则的流程。
具体实施例方式
下面结合附图进一步阐述本发明提供的网络防火墙的技术方案。
参考图1,本发明提供的防火墙1位于内网2和外网3之间的网络节点上,用来保护内网2或者节点。通常,内网2可以是局域网或者企业网,外网3可以是广域网或Internet,节点可以包括路由器、网关或PC机(个人计算机)。所述防火墙1根据业务的安全需求自动生成相关动态规则和根据业务的状态自适应地优化防火墙规则的配置,并且根据所述规则来分析处理通过该防火墙的信息包,决定是否允许具有某种特征的信息包通过。
参考图1,所述防火墙1包括内网接口105、外网接口106、规则表存储器103、规则模板存储器101、自动规则处理器102和信息包处理器104。其中,内网接口105用于接收/发送内网2的信息;外网接口106用于接收/发送外网3的信息;规则表存储器103用于存储规则表,该规则表中包括静态规则、动态规则和控制规则;规则模板存储器101用于存储业务相关的规则集;自动规则处理器102与所述规则表存储器103和规则模板存储器101耦合;信息包处理器104与所述内网接口105、外网接口106、规则表存储器103和自动规则处理器102耦合,用于分析内网接口105或外网接口106所接收到的信息包内容;查阅规则表存储器103中的规则,并根据该规则对信息包进行处理;将处理结果发送至内网接口105或外网接口106或自动规则处理器102;所述自动规则处理器102用于分析信息包处理器104发送过来的处理结果;根据所述处理结果将从规则模板存储器101中查找到的业务相关的规则集生成与所述处理结果相应的动态规则;并且向所述规则表存储器103中添加该动态规则。
参考图1,防火墙1还包括手工规则处理器107,与所述规则表存储器103耦合,用于设置规则表存储器103中的控制规则和/或静态规则。与该所述手工规则处理器107耦合的还有设置接口108,向所述手工规则处理器107发送设置数据。
下面详细说明信息包处理器104和自动规则处理器102处理信息包的过程,这个过程也是本发明提供的信息包过滤方法的处理过程。
参考图2,图示了所述防火墙1的信息包处理器104对一信息包的处理。同时参考图1,包括以下处理步骤在步骤30中,信息包处理器104接收到一个信息包;在步骤31中,信息包处理器104从规则表存储器103中取出一条规则;在步骤32中,信息包处理器104判定信息包的内容是否与所述规则匹配,若为是,转到步骤33,否则,转到步骤38;在步骤33中,信息包处理器104判定所述规则是否为控制规则,若为是,转到步骤34,否则,转到步骤35;在步骤34中,信息包处理器104将以所述信息包为内容的处理结果发送至自动规则处理器102;在步骤35中,信息包处理器104判定所述规则是否为动态规则,若为是,转步骤36,否则,转步骤37;在步骤36中,信息包处理器104设置所述规则的闲置时间计数阈值,并同时开始计数;在步骤37中,信息包处理器104执行所述规则的策略,决定让该信息包通过或丢弃;然后转到步骤40;在步骤38中,信息包处理器104判定是否还有没查阅过的规则,若为是,转步骤31;否则,转到步骤39;在步骤39中,信息包处理器104发送信息包到内网接口105或外网接口106;在步骤40中,结束流程。
参考图3和图1、图2,在上述步骤34中,信息包处理器104把处理结果发送给自动规则处理器102后,该自动规则处理器102对接收到的信息包处理器104的处理结果进行处理,包括以下步骤在步骤341中,自动规则处理器102接收到所述信息包处理器104的处理结果;在步骤342中,自动规则处理器102根据所述处理结果在规则模板存储器101中查找与所述处理结果相关的业务相关的规则集;在步骤343中,自动规则处理器102根据所述处理结果将从规则模板存储器101中查找到的业务相关的规则集生成与所述处理结果相应的动态规则;在步骤344中,自动规则处理器102将生成的动态规则添加到规则表存储器103中;在步骤345中,自动规则处理器102调整所述动态规则的优先级,保证新增的动态规则优先执行;然后,转到步骤346,即连接点1,该连接点1指示进入图2中的步骤38。
所述自动规则处理器102还可以将闲置的动态规则从规则表存储器中撤销。参考图4,撤销处理可以通过如下步骤在步骤401中,自动规则处理器102等待动态规则的闲置时间计数达到计数阈值,然后进入步骤402,在这个步骤中,自动规则处理器102判断动态规则的闲置时间计数是否达到计数阈值,如果不是,则转步骤401;如果是,则进入步骤403,自动规则处理器102从规则表存储器103中撤销所述动态规则。
其中,所述的规则可以包括如下参数标识、匹配参数、策略、优先级、类型、闲置时间、控制规则的标识。所述的匹配参数包括IP(Internet Protocol网际协议)源地址、IP目标端口地址、TCP/UDP(TCPTransmission ControlProtocol传输控制协议,UDPUser Datagram Protocol用户数据协议)目标端口地址和ICMP(Internet Control Protocol英特网控制消息协议)消息等;所述的类型包括静态、动态和控制等;所述的闲置时间是指动态规则匹配成功后,最大限度让其在规则表中存储的时间,当计数器达到这个时间计数阈值,自动规则处理器就将其从规则表中撤销;所述的策略是指该规则匹配成功后,用来控制防火墙的行为;所述优先级是规则表中所有规则执行的先后顺序,新增动态规则优先级最高,保证其优先执行。
本发明提供的防火墙的业务规则包括有动态规则,是可以自动地根据实际业务需求动态添加或删除规则,提高防火墙的自动化的程度,克服了现有防火墙手工配置维护缺乏自动化;并可以根据业务的变化实时地自动地调整防火墙的动态规则,克服了现有防火墙不能根据业务状态的变化进行实时的适应性调整的缺陷;从而使得网络安全防务能力得到很大提高,达到优化网络的作用,并且减少了配置丰富多样的防火墙规则所花费的代价。
下面以一个IP分组包为例,进一步阐述本发明提供的防火墙。该IP分组的源地址为172.19.76.8,目的端地址为172.18.0.16,其中源地址的网络号为172.19.0.0,目的端地址的网络号为172.18.0.0。
本发明的防火墙内设置有(a)控制规则设有对源地址的网络号为172.19.0.0的分组包的控制策略,(b)规则模板存储器里包含有匹配参数为源地址的网络号为172.19.0.0和目的端地址的网络号为172.18.0.0的所有规则集,其中对IP分组的源地址为172.19.76.8,目的端地址为172.18.0.16的分组包让通过,(c)动态规则闲置时间计数阈值为125毫秒。
本发明的防火墙的规则配置不限于上述规则和设置,可以根据实际业务需求灵活地自动地配置;并且本发明的防火墙的规则模板存储器里有大量的功能多样的业务相关的规则集,规则表存储器里也设置有许多控制规则,并不限于本实施例所述。
本发明的防火墙的处理步骤如下(1)信息包处理器接收到一个IP分组包,提取出该IP分组包的特征信息,包括IP源地址、IP目标地址、协议字段和服务类型字段。
提取出该IP分组包的源地址为172.19.76.8,目的端地址为172.18.0.16,其中源地址的网络号为172.19.0.0,目的端地址的网络号为172.18.0.0。
(2)信息包处理器从规则表存储器中取出一条规则;取出一条参数为源地址的网络号为172.19.0.0的规则。
(3)信息包处理器判定信息包的内容是否与所述规则匹配,若为是,转到步骤(4),否则,转到步骤(14);所述IP分组包的源地址的网络号为172.19.0.0与所述取出的规则的参数一致,匹配成功,转步骤(4)。
(4)信息包处理器判定所述规则是否为控制规则,若为是,转到步骤(5),否则,转到步骤(9);
匹配参数为172.19.0.0的规则为控制规则,转步骤(5)。
(5)信息包处理器将以该信息包为内容的处理结果发送至自动规则处理器;将所述IP分组包的源地址172.19.76.8和目的端地址172.18.0.16以及源地址的网络号172.19.0.0,目的端地址的网络号172.18.0.0发送给自动规则处理器。
(6)自动规则处理器根据处理结果在规则模板存储器中查找与所述处理结果相关的动态规则;自动规则处理器根据IP分组包的源地址172.19.76.8和目的端地址172.18.0.16以及源地址的网络号172.19.0.0,目的端地址的网络号172.18.0.0在规则模板存储器中查找出匹配参数为源地址的网络号为172.19.0.0和目的端地址的网络号为172.18.0.0的动态规则。
(7)自动规则处理器将上述动态规则添加到规则表存储器中;(8)自动规则处理器调整所述动态规则的优先级,转到步骤(2);步骤(2)取出优先级最高的规则即所述的动态规则,在步骤(4)中该规则不是控制规则,直接转步骤(9)(9)信息包处理器判定所述规则是否为动态规则,若为是,转下一步(10),否则,转到步骤(11);所述规则的匹配参数为源地址的网络号为172.19.0.0和目的端地址的网络号为172.18.0.0,因此转步骤(10)(10)设置所述规则的闲置时间计数阈值,并同时开始计数,同时转下一步(11);设置所述动态规则的闲置时间计数阈值为125毫秒,并同时开始计数。
(11)信息包处理器执行所述规则的策略,决定让该信息包通过或丢弃;所述动态规则的策略对IP分组的源地址为172.19.76.8,目的端地址为172.18.0.16的分组包让通过。
(12)判定闲置时间计数是否达到计数阈值,若为是,执行下一步(13),否则,继续闲置时间计数;闲置时间计数达到125毫秒,执行下一步(13)(13)自动规则处理器从规则表存储器中撤销所述规则,然后转步骤(16)结束;(14)判定是否还有没查阅过的规则,若为是,转步骤(2)取规则,否则,转到步骤(15);(15)信息包处理器发送信息包到内网接口或外网接口;(16)结束该信息包的处理流程。
本领域的普通技术人员应该明白上述实施例中防火墙的规则配置不限于所述的IP地址,可以是TCP/UDP目标端口地址、MAC(Media Access Control媒介接入控制)地址和ICMP消息等,可以根据实际业务需求灵活地自动地配置;并且本发明的防火墙的规则模板存储器里有大量的功能多样的业务相关的规则集集,规则表存储器里也设置有许多控制规则,并不限于本实施例所述。
本发明提供的防火墙及信息包过滤方法是可以根据实际业务需求动态添加或撤销规则,提高了防火墙的自动化的程度,克服了现有防火墙配置维护缺乏自动化,不能根据业务状态的变化进行实时的适应性调整的缺陷;从而使得网络安全防务能力得到很大提高,达到优化网络的作用,并且减少了配置丰富多样的防火墙规则所花费的代价。
以上所揭露的仅为本发明的优选实施例而已,当然不能以此来限定本发明之权利范围,因此依本发明申请专利范围所作的等同变化,仍属本发明所涵盖的范围。
权利要求
1.一种网络防火墙,包括内网接口,用于接收/发送内部网络信息;外网接口,用于接收/发送外部网络信息;规则表存储器,用于存储规则表,并对规则表进行分类存储管理;规则模板存储器,用于存储业务相关的规则集;自动规则处理器,与所述规则表存储器和规则模板存储器耦合;信息包处理器,与所述规则表存储器和自动规则处理器耦合,用于将从所述内网接口或外网接口接收到的信息包的内容与规则表存储器中的规则进行匹配处理;其中所述自动规则处理器用于分析信息包处理器发送过来的处理结果,根据所述处理结果从规则模板存储器中获取业务相关的规则集,生成符合业务安全需求的动态规则,并且向所述规则表存储器中添加该动态规则。
2.根据权利要求1所述的防火墙,其特征在于还包括与所述规则表存储器耦合的手工规则处理器,用于设置规则表存储器中的控制规则和/或静态规则。
3.根据权利要求2所述的防火墙,其特征在于还包括与所述手工规则处理器耦合的设置接口,用于为手工规则处理器提供设置数据。
4.根据权利要求1所述的防火墙,其特征在于所述自动规则处理器还用于调整所述动态规则的优先级。
5.一种实现信息包过滤的方法,包括以下步骤A.信息包处理器将接收到的信息包的内容与规则表存储器中的规则进行匹配处理;B.信息包处理器将处理结果发送到内网接口或外网接口或自动规则处理器;C.当处理结果发送到自动规则处理器时,自动规则处理器对处理结果进行分析;D.若信息包内容与规则匹配成功,自动规则处理器根据所述处理结果将从规则模板存储器中获取的业务相关的规则集,生成符合业务安全需求的动态规则,并向所述规则表存储器中添加该动态规则。
6.根据权利要求5所述的信息包过滤的方法,其特征在于所述步骤B中对信息包进行处理的步骤包括B1.判定信息包的内容是否与所述规则匹配,当信息包与所述规则不匹配时,则发送处理结果到内网接口或外网接口,否则,转下一步处理;B2.判定所述规则是否为控制规则,当所述规则不是控制规则,则执行规则策略;否则,将处理结果发送至自动规则处理器。
7.根据权利要求6所述的信息包过滤的方法,其特征在于所述步骤B2中执行规则策略之前还包括判断所述规则是否为动态规则,当所述规则为动态规则时,设置所述动态规则的闲置时间参数的步骤。
8.根据权利要求7所述的信息包过滤的方法,其特征在于该方法还包括动态规则的撤消步骤,步骤如下H.等待动态规则的闲置时间计数器达到阀值;I.判断闲置时间计数器是否到达阀值,如果是,转下一步处理,否则,转步骤H;J.撤消该动态规则。
9.根据权利要求5所述的信息包过滤的方法,其特征在于,该方法还包括在步骤A之前设置规则表存储器中的控制规则和/或静态规则的步骤。
10.根据权利要求5所述的信息包过滤的方法,其特征在于,在所述步骤C之前还包括调整规则表存储器中的动态规则优先级的步骤。
全文摘要
本发明公开了一种网络防火墙,包括内网接口、外网接口、规则表存储器、规则模板存储器、自动规则处理器和信息包处理器。信息包处理器用于分析内网接口或外网接口所接收到的信息包的内容,查阅规则表存储器中的规则,并根据该规则对信息包进行处理,将处理结果发送至内网接口或外网接口或自动规则处理器处理。自动规则处理器用于分析信息包处理器发送过来的处理结果;根据处理结果将从规则模板存储器中查找到的业务相关的规则集生成与处理结果相应的动态规则;并且向规则表存储器中添加该动态规则。该防火墙可以根据业务的安全需求自动生成相关动态规则。同时本发明还公开了一种信息包过滤方法。
文档编号H04L29/06GK101060521SQ20061003502
公开日2007年10月24日 申请日期2006年4月18日 优先权日2006年4月18日
发明者陈璧超, 才彦峰 申请人:华为技术有限公司