一种应用数据包过滤处理防火墙技术的制作方法

本发明涉及一种网络安全技术，特别是涉及一种数据通信防火墙技术。

背景技术：

防火墙技术是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上通过对网络源地址和目的地址间的网络通信内容按照一定的控制策略进行过滤处理构造的保护屏障，现有防火墙技术，包括包过滤防火墙技术的原理是通过对通信报文数据包的ip头和tcp头或udp头的检查来实现包过滤功能的，主要的过滤参数包括：ip源地址、ip目标地址、协议（tcp包、udp包和icmp包）、tcp或udp包的源端口、tcp或udp包的目标端口、icmp消息类型、tcp包头中的ack位、数据包到达的端口、数据包出去的端口。

现有防火墙技术下，防火墙需要对所有数据报文进行基于源地址和目的地址的通信报文过滤或者通信数据代理处理，防火墙作为网络边界入口过滤设备，所有网络通信数据全部都要经过防火墙进行过滤处理，再加上防火墙还要对数据流进行包过滤处理，由于以上原因，防火墙已经成为数据通信的一个瓶颈，网络的通信质量受限制于防火墙的同时连接数和数据吞吐量这些硬件技术性能，网络的通信质量往往会会受到非常明显的影响，不但如此就安全防护效果来说，现有基于报文源地址和目的地址的过滤模式的防火墙技术并不具备对数据内容防护作用，也就是不具备拦截携带有恶意代码的数据的功能，如此一来并不能完全达到数据通信安全防护的效果，如果有攻击者通过被允许的源地址发送隐藏有恶意攻击代码的不安全的数据报文，防火墙将漏过对该数据报文的过滤，当然防火墙还有基于通信服务端口过滤策略和代理策略，但通过服务端口伪装技术或者利用恶意代码数据嵌入技术仍然可以将危险数据传输到目的端的设备上，并通过一系列技术手段完成网络攻击程序的生成和激活实现网络攻击行为。

基于现有防火墙技术的原理，防火墙在遇到源地址和目的地址发生变化的情况需要更新防火墙的安全策略才能继续达到有效的数据过滤的效果，如果需要接入的请求的数据源的地址是不确定、随机变更的，例如：当前在移动交互通信需求日益加剧，数据交互双方的通信的源地址和目的地址将会频繁变更，应用服务端口也会经常发生变化，在这种情况下，现有防火墙技术进行基于地址源过滤的防护策略来完成接入数据过滤的防护效果将大打折扣，即便是目的地址确定但仅对接入数据通信目的地址进行选择过滤的防护又会存在极大的安全防护风险，网络代理模式的防火墙虽然防护效果有所加强，但屏蔽内网又给一些特定的终端间直接交互应用带来了诸多不便，因代理防火墙的技术原理决定了，在数据交互对象基础网络参数例如：通信双方网络地址等频繁变更、数据传输和即时数据处理质量要求较高的情况之下网络通信质量的保障同样面临很大的技术困难。

现有网络通信技术下，网络安全防护作用的防火墙还有一个重大的缺陷就是它只是作为网络间数据安全的防护手段，如果是网络内部存在不安全数据源，防火墙就无法对这些数据源进行过滤隔离，也自然无法实现有效的数据安全防护功能。

安装于应用终端上的软件防火墙，虽然能实现对包括内部网络的通信数据的过滤防火，但是软件防火墙会占用终端设备的大量应用资源，加上防火墙软件和杀毒软件的技术原理造成了在遇到软件自身无法识别的新型程序缺陷漏洞时，就失去了有效完成数据拦截防护的能力，甚至软件本身的缺陷和漏洞反而更容易被利用进行网络攻击，所以软件防火墙即便是不停的进行漏洞升级一样会存在安全风险，只不过是否被发现和利用而已。

基于以上现实的技术原因，在现在的数据安全防护技术下，在安全需求、便利性需求以及通信建设成本之间出现了一种不可调和的矛盾，许多安全性要求相对较高的数据传输需求，虽然有便利的开放性公共数据网络的存在，但因为数据安全环境无法满足安全需求的原因，却无法借助现成的公共数据网络进行数据通讯，只能选择建设昂贵的私有封闭通信网络来满足通信需要，造成极大的资源浪费，和通信的不便，不但如此专用私有网络虽然从物理层上和公用数据通信网络进行了隔离，但这种具有封闭实体的专用网络在特定情况下反而更容易被针对性的进行破坏性攻击，造成实际使用中的隐藏安全风险系数更高。

现有防火墙技术下，一些对安全性能要求特别高的应用，尤其是涉及到生产安全、生命安全或涉及到一些敏感性数据安全领域的数据通信，现有的这些网络安全防护技术并不能从根本上提供数据安全的技术保障功能，此外现有技术下的防火墙在应对越来越灵活多变的通信环境时显得越来越力不从心，一些特殊的应用仍然无法基于开放高效的通信网络进行便捷有效的数据交互通信。

技术实现要素：

为解决现有防火墙技术下，防火墙防护策略无法适应灵活多变的网络通信环境、无法满足通信双方基于随机开放的通信网络进行灵活但又具有高数据安全性要求的通讯需求、无法解决网络数据过滤处理全部集中网络边界设备上造成整个通信网络的通信性能下降、无法有效防范来自受信网络区域的恶意网络攻击、无法有效应对恶意代码数据嵌入方式网络攻击以及防火墙自身漏洞容易被利用的技术问题，为了弥补现有网络通信技术的不足，本发明提供了一种基于应用数据包过滤处理的防火墙技术，该技术提供了一种在交互通信双方在网络通信方式灵活变化或交互通信对象不确定，不能利用固定的地址源或网络服务端口限定过滤对象，但同时又对数据通信安全性、数据交互的实时性要求较高的情况下的数据通信的安全防护解决方案。

本发明所采用的技术方案是：应用系统平台通过数据交互端口将需要进行网络通信的数据内容推送给应用数据包过滤处理防火墙的数据存取控制模块，该数据存取控制模块的功能是实现对应用数据按一定的算法进行分解，数据存取控制模块完成数据分解后，将数据按特定算法分别按不同字段写入数据缓存存储器，数据缓存存储器新写入数据条目将激发后续数据处理模块，该数据处理模块的作用是完成数据信息读取并按特定算法添加对应应用的特定索引表头，然后进行数据封包处理，在完成对数据缓存存储器的数据读取处理，并添加应用特定索引表头后，将完成处理的数据包发送给网络通信模块，网络通信模块根据数据通信请求将数据包进行成帧封装处理并发送至通信网络；数据通信模块在接收到其它数据交互通信对象发送来的数据报文后将数据报文发送给报文过滤模块，报文过滤模块对接收的通信报文进行分类过滤处理，发现包含有对应应用的特定索引表头的数据报文就解封并发送给数据处理模块，其它无关报文做丢弃处理，数据处理模块在接收到带有特定索引表头的数据包后，解压数据包按特定算法读取数据包中所需字段的数据内容，然后把读取到的不同字段内容分别存储到数据缓存存储器中，数据存取模块发现新写入数据内容则对数据缓存存储器进行读取操作，读取完成后按照特定算法对读取的数据进行有效性验证，通过验证后按照特定算法进行数据重组并将重组完成的数据通过数据交互端口传送给应用系统平台。

与现有的防火墙技术相比，本技术方案的优点和益处如下：

因本技术方案中防火墙设备只接收带有特定应用索引表头的数据包，普通的网络渗透控制技术无法实现恶意应用代码植入，无法实现网络渗透控制入口的建立，又因在该技术方案中对接入的数据包内容以特定算法按需提取数据包中特定字段所包含的对应字段内容，并对数据内容按一定的算法进行暂存处理，对数据包中其它数据内容一概丢弃处理，这就彻底阻止了利用数据包伪装技术和利用数据嵌入技术实现恶意程序代码植入传输的可能性，从交互通信的数据源的纯净度上进行过滤管控，该技术方案有数据交互对象灵活，不依赖于传输网络安全性能的特点，可实现灵活可靠的数据交互接入，该技术方案下对数据包的过滤更有针对性数据处理效率更高，另外如果需要应对大目标群交互通信，还可以将数据包的分解重组处理工作放在应用系统平台上进行处理，防火墙端仅完成数据包封装传输和数据包过滤处理工作，这样就可以解决现有防火墙技术下，网络通信性能受限于防火墙的同时连接数和数据吞吐量的影响，同时如果在应用系统平台上再对数据进行进一步的加密算法处理，则可以实现在任意开放性交互网络下实现高安全性的数据交互通信，这为既对通信灵活性要求较高同时又对数据安全性有极高要求的特种数据通信提供了一种可靠接的通信技术解决方案。

附图说明

图1是本发明技术方案基本原理图。

图2是本发明应用数据网络通信处理原理示意图。

图3是本发明网络通信数据接收处理原理示意图。

具体实施方式

下面结合附图和实例对本发明的技术方案原理做进一步说明,图1是本发明技术方案基本原理图，其中应用系统平台通过数据交互接口将需要进行数据通信的数据内容发送给数据存取控制模块，该数据存取控制模块的功能是实现对应用数据按一定的算法进行分解或重组，完成数据分解后将数据以特定算法按不同字段写入数据缓存存储器，数据缓存存储器新写入数据条目激发数据处理模块，该数据处理模块的作用是完成数据信息读取并按算法对数据添加特殊的索引表头，进行数据封包处理，或者在接收到传入的数据包时进行解包按算法读取所需的特定字段，并将读取到的数据字段写入数据缓存存储器，在完成对数据缓存存储器的数据读取处理，并添加应用特定的索引表头后，数据处理模块将完成处理的数据包发送给网络通信模块，网络通信模块在接收到数据传输请求时按通信请求内容将数据包进行成帧封装，并将通信报文发送到通信网络完成网络通信。

数据通信模块在接收到发送来的通信报文后将通信报文发送给报文过滤模块，报文过滤模块对接收的通信报文进行分类过滤处理，发现有对应应用的特定索引表头的数据报文就解封并发送给数据处理模块，其它无关报文做丢弃处理，数据处理模块在接收到带有特殊索引表头的数据包后解压数据包按特定算法读取所需的字段内容，然后把非连续性读取到的数据按字段写入到数据缓存存储器，数据缓存存储器新写入的数据将触发数据存取控制模块对新数据条目的读取操作，数据存取控制模块在读取完成后按照特定算法对读取的数据进行有效性验证，通过验证后按照特定算法进行数据重组并将重组完成的数据通过数据交互端口传送给应用系统平台，完成数据接收过程。

图2是本发明应用数据网络通信处理原理示意图，其中应用系统平台将应用数据通过数据交互端口发送给应用本发明技术的应用数据包过滤处理防火墙，防火墙在在接收到应用数据后对应用数据按一定算法进行数据分解处理，并将处理后数据按字段分别写入数据缓存存储器，数据处理模块在完成数据缓存存储器新数据条目读取后对数据添加应用特定的索引表头进行数据打包，数据包经数据通信模块按照数据通信请求内容完成数据封装，并将封装完成的通信报文发送至通信网络完成数据通信操作。

图3是本发明应用数据网络通信处理原理示意图，其中应用本发明技术的应用数据包过滤处理防火墙在接收到网络通信报文后由包过滤模块对通信报文按照是否包含对应的应用的特定索引表头进行分类，不包含对应索引表头的数据直接丢弃，包含有对应索引表头的数据由数据处理模块对数据包内容进行解压并读取数据包内特定的数据字段，如数据读取异常则丢弃数据包结束数据读取，如果数据读取正常则将相应字段按一定算法写入数据缓存存储器，数据存取控制模块对新写入数据缓存存储器的数据按字段进行读取并验证数据有效性，验证不通过则删除该条目数据，如果验证通过则按特定的算法对数据进行重组处理并将重组完成的数据通过数据交互端口发送给应用系统平台，完成数据交互通信操作。

上述的数据交互端口是指应用系统平台和采用该技术方案的防火墙设备间进行应用系统数据交换的接口设备，可以是网络接口或是其它方式的硬件接口。

上述技术原理说明，仅包括对该技术方案的基础原理的解释说明，并不具备对该技术方案功能及性能等方面的限定意义。

本发明所述技术方案既可以以硬件防火墙方式实现亦可以以软件防火墙方式实现，本发明所述内容并不限定该技术方案具体实施载体形式。