专利名称:一种linux网络架构下应用连接防火墙的实现方法
技术领域:
本发明涉及通用网络设备安全领域,尤其涉及一种Iinux网络架构下应用连接防火墙的实现方法。
背景技术:
随着网络技术的飞速发展,对网络通讯设备的安全性能要求也越来越高,传统的包过滤和代理防火墙功能,以及目前比较先进的基于TCP/UDP层的状态数据包检查(SPI)防火墙已经不能满足当前Iinux网络架构下的安全需求。目前迫切需要一种基于七层应用连接技术的高安全级别的防火墙。
发明内容
本发明的目的在于提供一种Iinux网络架构下应用连接防火墙的实现方法,通过基于连接跟踪技术,实现一种基于七层应用连接的高安全级别的防火墙。本发明的目的是通过以下技术方案实现的。一种Iinux网络架构下应用连接防火墙的实现方法,包括步骤:
a:系统启动时,正则表达式匹配引擎模块通过调用初始化接口函数对应用层的特征码配置文件进行初始化处理;
b:数据报文到达连接跟踪模块时,系统将连接跟踪模块进行扩展处理;c:数据报文经网络层、传输层连接过滤处理后,由应用层对数据报文进行匹配分析处理连接。优选的,步骤a所述初始化处理包括获取应用层各种特征数据的匹配参数信息。优选的,所述特征码配置文件为应用连接防火墙的配置文件。优选的,步骤b具体包括:连接跟踪模块中保存了网络层连接数据、传输层连接数据和应用层连接数据,由网络层、传输层根据对应层的防御策略对数据报文进行连接过滤处理。优选的,所述连接过滤处理包括对数据报文进行通过、修改、删除或断开连接等处理。优选的,步骤c具体包括:通过正则表达式匹配引擎模块对应用层的字符串进行比较匹配,如匹配上,则设置可识别的应用连接;否则,设置为不可识别应用连接。优选的,通过正则表达式匹配引擎模块对应用层的字符串进行比较匹配,如匹配上,则还包括更新连接跟踪中对应用识别标志信息参数。本发明与现有技术相比,有益效果在于:本发明提供的Iinux网络架构下应用连接防火墙的实现方法,在基于连接跟踪技术基础上,Iinux系统添加一个正则表达式匹配引擎模块,对匹配连接跟踪的报文进行应用层字符串的匹配处理,从而进行应用层信息识别处理,如果匹配上则设置可识别的应用连接和更新应用标示信息,不匹配则设置为不可识别应用连接。从而解决现有的Netfilter架构无法识别七层应用的问题,实现对数据报文进行从IP层到应用层的全方位识别和控制。
图1为本发明应用连接防火墙的实现方法的系统架构图。图2为本发明应用连接防火墙的实现方法流程图。
具体实施例方式在网络通讯设备中使用最多的是Linux操作系统,Linux系统使用Netfilter框架来实现连接跟踪状态防火墙功能,netfiIter主要采用连接跟踪(Connection Tracking)技术,连接跟踪是包过滤的基础,它作为一个独立的模块运行。采用连接跟踪模块在协议栈低层截取数据包,将当前数据包及其状态信息与历史数据包及其状态信息进行比较,从而得到当前数据包的控制信息,根据这些控制信息决定对网络数据包的操作,达到保护网络的目的。具体地,当下层网络接收到初始化连接同步(Synchronize, SYN)包,将被netfilter规则库检查。该数据包将在规则库中依次序进行比较。如果该包应被丢弃,发送一个复位(Reset,RST)包到远端主机,否则连接接收。并将该次连接的信息保存在连接跟踪信息表中,且表明该数据包所应有的状态。连接跟踪信息表位于内核模式下,其后的网络数据包将与此连接跟踪信息表中的内容进行比较,根据信息表中的信息来决定该数据包的操作。因为数据包首先是与连接跟踪信息表进行比较,只有SYN包才与netfilter规则库进行比较,数据包与连接跟踪信息表的比较都是在内核模式下进行的,所以速度很快。为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。请参阅图1所示,本发明应用连接防火墙的实现方法的系统架构图,包括:正则表达式匹配引擎模块、连接跟踪模块。正则表达式匹配引擎模块用于对连接跟踪的报文进行应用层的数据深入比较匹配分析处理;
连接跟踪模块用于连接跟踪的包过滤处理,它作为一个独立的Iinux内核模块运行,是Netfilter的连接跟踪(Connection Tracking)关键技术的核心模块。请参阅图2所示,本发明应用连接防火墙的实现方法,包括:
步骤201 =Iinux系统启动时,正则表达式匹配引擎模块通过调用初始化接口函数对应用层的特征码配置文件进行初始化处理;
具体包括对应用层的特征码配置文件进行初始化处理,目的就是获取应用层各种特征数据的匹配参数信息便于后续进行应用连接数据匹配分析处理。上述特征码配置文件为应用连接防火墙的配置文件。步骤202:数据报文到达连接跟踪模块时,系统将连接跟踪模块进行扩展处理; 具体地,连接跟踪模块中保存了网络层连接数据、传输层连接数据和应用层连接数据,
由网络层、传输层根据对应层的防御策略对数据报文进行连接过滤处理。上述连接过滤处理包括对数据报文进行通过、修改、删除或断开连接等处理。
步骤203:数据报文经网络层、传输层连接过滤处理后,由应用层对数据报文进行匹配分析处理连接。具体通过正则表达式匹配引擎模块对应用层的字符串进行比较匹配,如匹配上,则设置可识别的应用连接和更新连接跟踪中对应用识别标志信息参数,否则,设置为不可识别应用连接,从而实现对数据报文进行从IP层到应用层的全方位识别和控制。本发明应用连接防火墙的实现方法不仅可以用于基于七层应用级防火墙的实现,而且还可以应用于QoS用来保障七层应用业务流。具体实例,比如P2P软件的协商数据,由于可能是在任何一个端口进行,靠端口来识别协议是不可行的,而普通分析包内容由于没有以前应用层的连接信息,并不知道该数据到底是协商数据还是具体的传输数据,因此误判的可能性非常大,“应用连接”则不同,由于一直跟踪了应用层连接信息,能很清楚地识别到底是协议控制信息还是具体文件内容数据,对协议控制信息就信息控制处理,对文件内容数据就直接放过,因此不会有误判的问题。应用连接防火墙技术可以全部在内核中实现,和应用层的代理技术完全不同,可以处理任何协议,实现安全和效率的完美统一。以上本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:R0M、RAM、磁碟或者光盘等各种可以存储程序代码的介质。以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
权利要求
1.一种Iinux网络架构下应用连接防火墙的实现方法,其特征在于,包括步骤: a:系统启动时,正则表达式匹配引擎模块通过调用初始化接口函数对应用层的特征码配置文件进行初始化处理; b:数据报文到达连接跟踪模块时,系统将连接跟踪模块进行扩展处理; c:数据报文经网络层、传输层连接过滤处理后,由应用层对数据报文进行匹配分析处理连接。
2.如权利要求1所述的Iinux网络架构下应用连接防火墙的实现方法,其特征在于,步骤a所述初始化处理包括获取应用层各种特征数据的匹配参数信息。
3.如权利要求2所述的Iinux网络架构下应用连接防火墙的实现方法,其特征在于,所述特征码配置文件为应用连接防火墙的配置文件。
4.如权利要求1所述的Iinux网络架构下应用连接防火墙的实现方法,其特征在于,步骤b具体包括:连接跟踪模块中保存了网络层连接数据、传输层连接数据和应用层连接数据,由网络层、传输层根据对应层的防御策略对数据报文进行连接过滤处理。
5.如权利要求4所述的Iinux网络架构下应用连接防火墙的实现方法,其特征在于,所述连接过滤处理包括对数据报文进行通过、修改、删除或断开连接等处理。
6.如权利要求1所述的Iinux网络架构下应用连接防火墙的实现方法,其特征在于,步骤c具体包括:通过正则表达式匹配引擎模块对应用层的字符串进行比较匹配,如匹配上,则设置可识别的应用连接;否则,设置为不可识别应用连接。
7.如权利要求6所述的Iinux网络架构下应用连接防火墙的实现方法,其特征在于,通过正则表达式匹配引擎模块对应用层的字符串进行比较匹配,如匹配上,则还包括更新连接跟踪中对应用识别标志信息参数。
全文摘要
本发明提供了一种linux网络架构下应用连接防火墙的实现方法,包括步骤a系统启动时,正则表达式匹配引擎模块通过调用初始化接口函数对应用层的特征码配置文件进行初始化处理;b数据报文到达连接跟踪模块时,系统将连接跟踪模块进行扩展处理;c数据报文经网络层、传输层连接过滤处理后,由应用层对数据报文进行匹配分析处理连接。本发明提供的linux网络架构下应用连接防火墙的实现方法,解决了现有的Netfilter架构无法识别七层应用的问题,实现对数据报文进行从IP层到应用层的全方位识别和控制。
文档编号H04L29/06GK103209181SQ20131009310
公开日2013年7月17日 申请日期2013年3月22日 优先权日2013年3月22日
发明者邓艳兵 申请人:深圳市共进电子股份有限公司