一种报文过滤系统及方法【专利摘要】本发明涉及路由器防火墙领域,尤其涉及一种报文过滤系统及方法。本发明通过对一数据是否进行了网络层的封装进行判断,如果进行了网络层的封装则对网络层的封装进行解除封装以获得封装的第一过滤信息,之后对第一过滤信息进行过滤,从而实现对数据的网络层的封装的第一过滤信息进行过滤,完善了路由器防火墙的过滤功能,提高了数据通过路由设备传输的安全系数。【专利说明】一种报文过滤系统及方法
技术领域:
[0001]本发明涉及路由器防火墙领域,尤其涉及一种报文过滤系统及方法。【
背景技术:
】[0002]网络转发设备上的防火墙能够对报文的传输进行过滤,通常企业级的网络转发设备工作于无线桥接模式下,工作于桥接模式下的网络转发设备能够解析0SI(0penSystemInterconnect1n,开放式系统互联)参考模型中的物理层和报文链路层的过滤信息,而对于位于第三层的网络层的过滤信息并不能进行解析,因此防火墙在桥接模式下的过滤机制不尽完善。【
发明内容】[0003]针对现有技术存在的问题,现提供了一种报文过滤系统及方法。[0004]具体的技术方案如下:[0005]—种报文过滤系统,应用于无线桥接模式下的网络转发设备转发报文的过程中,所述网络转发设备包括:[0006]存储模块I,存储有过滤规则;[0007]判断模块2,与所述存储模块I连接,用以判断所述报文是否为DNS(DomainNameSystem,域名系统)特征的报文;[0008]解析模块3,与所述判断模块2连接,用以于所述报文为DNS报文时,读取所述DNS报文的域名,并且所述解析模块3用以对所述DNS报文进行域名解析以获取所述DNS报文的IP地址;[0009]过滤模块4,分别与所述存储模块1、所述判断模块2、所述解析模块3连接,用以获取并利用所述过滤规则对所述域名和所述IP(InternetProtocol,网络协议)地址进行过滤。[0010]优选的,所述网络转发设备设有多个无线接口,每个所述无线接口均对应一所述过滤规则,所述网络转发设备还包括[0011]标志模块,与所述过滤模块4连接,用以利用一桥接转发表对各个所述无线接口进行标识,以使不同的所述无线接口的所述报文通过所述网络转发设备时分别附加有对应的标识;以及所述过滤模块4用以根据所述标识获取并利用所述DNS报文对应无线接口的过滤规则对所述域名和所述IP地址进行过滤。[0012]优选的,所述桥接转发表为broute链表,以及所述标志模块用以利用ebtables的规则于所述broute链表中对各个所述无线接口进行标识。[0013]优选的,所述网络转发设备还包括:[0014]第一过滤模块,与所述判断模块连接,用以利用所述过滤规则对所述报文的源MAC地址和目的MAC地址进行过滤。[0015]优选的,所述网络转发设备还包括:[0016]第二过滤模块,与所述判断模块连接,用以利用所述过滤规则对所述报文的传输路径进行过滤。[0017]一种报文过滤方法,包括:[0018]步骤SI,提供一预存储有过滤规则的网络转发设备,所述网络转发设备转发一报文时,判断所述报文是否为DNS特征的报文;[0019]步骤S2,读取所述DNS报文的域名,并且对所述DNS报文进行域名解析以获取所述DNS报文的IP地址;[0020]步骤S3,于所述报文为DNS报文时,获取并利用所述过滤规则对所述域名和所述IP地址进行过滤。[0021]优选的,所述网络转发设备设有多个无线接口,每个所述无线接口均对应一所述过滤规则,所述步骤S3具体包括:[0022]步骤S31,利用一桥接转发表对各个所述无线接口进行标识,使不同的所述无线接口的所述报文通过所述网络转发设备时附加有一对应的标识;[0023]步骤S32,于所述报文为DNS报文时,通过所述标识获取所述DNS报文对应的无线接口,获取并利用所述DNS报文对应无线接口的过滤规则对所述域名和所述IP地址进行过滤。[0024]优选的,所述桥接转发表为broute链表,以及所述标志模块用以利用ebtables的规则于所述broute链表中对各个所述无线接口进行标识。[0025]优选的,所述步骤SI之后还包括:[0026]步骤Sll,利用所述过滤规则对所述报文的源MAC地址和目的MAC地址进行过滤。[0027]优选的,所述步骤SI之后还包括:[0028]步骤S12,利用所述过滤规则对所述报文的传输路径进行过滤。[0029]上述技术方案的有益效果是:[0030]上述技术方案通过对一报文是否为DNS报文进行判断,如果为DNS报文,则对该DNS报文进行域名解析,以对DNS报文访问的域名和IP地址进行过滤,完善了网络转发设备防火墙的过滤功能,提高了报文通过网络转发设备传输的安全系数。【附图说明】[0031]图1为本发明一种报文过滤系统的实施例的结构示意图;[0032]图2为本发明一种报文过滤方法的实施例的流程图。【具体实施方式】[0033]需要说明的是,在不冲突的情况下,下述技术方案,技术特征之间可以相互组合。[0034]下面结合附图对本发明的【具体实施方式】作进一步的说明:[0035]本实施例提供了一种报文过滤系统,应用于无线桥接模式下的网络转发设备转发报文的过程中,如图1所示,网络转发设备包括:[0036]存储模块I,存储有过滤规则;[0037]判断模块2,与存储模块I连接,用以判断报文是否为DNS特征的报文;[0038]解析模块3,与判断模块2连接,用以于报文为DNS报文时,读取DNS报文的域名,并且解析模块3用以对DNS报文进行域名解析以获取DNS报文的IP地址;[0039]过滤模块4,分别与存储模块1、判断模块2、解析模块3连接,用以获取并利用过滤规则对域名和IP地址进行过滤。[0040]本实施例中,若是传输的报文为DNS特征的报文简称为DNS报文,则需要读取DNS报文的域名并且进行域名解析,以获取需要访问的域名以及报文接收端的终端设备的IP地址,过滤模块4可以通过预存储的过滤规则对域名和报文接收端的终端设备的IP地址进行过滤,通过上述技术方案可以对DNS报文进行过滤,完善了防火墙的过滤功能。[0041]本发明一个较佳的实施例中,网络转发设备设有多个无线接口,每个无线接口均对应一过滤规则,网络转发设备还包括:标志模块,与过滤模块4连接,用以利用一桥接转发表对各个无线接口进行标识,以使不同的无线接口的报文通过网络转发设备时分别附加有对应的标识;以及过滤模块4用以根据标识获取并利用DNS报文对应无线接口的过滤规则对域名和IP地址进行过滤。[0042]本实施例中,网络转发设备可以包括一标志模块,例如,该标志模块在网络转发设备的每一个无线接口上进行标识,网络转发设备的第一个无线接口标识为markl,网络转发设备的第二个无线接口标识为mark2等,在报文经过第一个无线接口后,网络转发设备中的一个捕捉模块可以将报文拦截,捕捉模块的功能为捕捉转发的报文,读取报文既可获知该报文时从那一个无线接口发送的。本实施例中的无线接口可用其广播的服务集标识(ServiceSetIdentifier,SSID)进行区分。[0043]进一步的,以Linux系统下的网络转发设备为例,本实施例的链表中的每个节点采用sk_bufTer结构进行存储,捕捉模块通过读取sk_bufTer->mark获知是哪一个无线接口转发的报文。[0044]本发明一个较佳的实施例中,桥接转发表为broute链表,以及标志模块用以利用ebtables的规则于broute链表中对各个无线接口进行标识。[0045]上述的每个过滤规则可以包括四个部分,其中,四个部分分别为发送报文的终端设备的MAC地址、接收报文的终端设备的IP地址,接收报文的终端设备的无线接口信息和访问的域名。[0046]本发明一个较佳的实施例中,网络转发设备还包括:[0047]第一过滤模块,与判断模块连接,用以利用过滤规则对报文的源MAC地址和目的MAC地址进行过滤。[0048]本发明一个较佳的实施例中,网络转发设备还包括:[0049]第二过滤模块,与判断模块连接,用以利用过滤规则对报文的传输路径进行过滤,此处路径指统一资源定位符URL。[0050]上述实施例中,例如,对源MAC地址发送报文的终端设备的MAC地址和目的MAC地址接收报文的终端设备的MAC地址以及对报文的传输路径进行过滤的方法可以是通过现有的方式,本实施例在此不进行赘述。[0051]本实施例提供了一种报文过滤方法,如图2所示,包括:[0052]步骤SI,提供一预存储有过滤规则的网络转发设备,网络转发设备转发一报文时,判断报文是否为DNS特征的报文;[0053]步骤S2,读取DNS报文的域名,并且对DNS报文进行域名解析以获取DNS报文的IP地址;[0054]步骤S3,于报文为DNS报文时,获取并利用过滤规则对域名和IP地址进行过滤。[0055]本发明一个较佳的实施例中,网络转发设备设有多个无线接口,每个无线接口均对应一过滤规则,步骤S3具体包括:[0056]步骤S31,利用一桥接转发表对各个无线接口进行标识,使不同的无线接口的报文通过网络转发设备时附加有一对应的标识;[0057]步骤S32,于报文为DNS报文时,通过标识获取DNS报文对应的无线接口,获取并利用DNS报文对应无线接口的过滤规则对域名和IP地址进行过滤。[0058]本发明一个较佳的实施例中,以基于Linux系统的网络转发设备为例,桥接转发表为broute链表,以及标志模块用以利用ebtables的规则于broute链表中对各个无线接口进行标识。[0059]本发明一个较佳的实施例中,步骤SI之后还包括:[0060]步骤Sll,利用过滤规则对报文的源MAC地址和目的MAC地址进行过滤。[0061]本发明一个较佳的实施例中,步骤SI之后还包括:[0062]步骤S12,利用过滤规则对报文的传输路径进行过滤。[0063]结合上述实施例,先提供一种实际应用场景对上述技术方案进行进一步的说明,例如,上述技术方案可以应用于一路由器转发发送报文的终端设备简称为第一设备向接收报文的终端设备简称为第二设备发送的报文,路由器即为上述的网络转发设备,该路由器工作于无线桥接模式下,在路由器的内核中存储有过滤列表,过滤列表即为过滤规则,过滤列表包括需要过滤的第一设备的MAC地址、第二设备的IP地址,第二设备的无线接口信息和访问的域名,并且上述四个部分分别列出,需要说明的是,路由器的每个无线接口(以服务集标识区分)均对应一个过滤列表,并且每个无线接口都有其对应的标识。[0064]当第一设备发送报文至路由器时,判断哪一个无线接口是报文进入的无线接口。获取第一无线接口对应的过滤列表,判断报文是否为DNS特征的报文,若是为DNS特征的报文说明该报文进行了UDP封装,此时对该报文进行域名解析,得到该报文的请求访问的域名,同时在域名解析时还同时解析到了第二设备的IP地址。[0065]通过无线桥接模式下的过滤方式对第一设备的MAC地址进行过滤,第二设备的无线接口信息进行过滤,所谓过滤可以为判断第二设备的IP地址、域名、第一设备的MAC地址、第二设备的无线接口信息是否在过滤列表中,如果有任何一个过滤信息IP地址、域名、第一设备的MAC地址、第二设备的无线接口信息在,则丢弃该报文,如果均不在过滤列表中,则允许报文通过该路由器,转发至第二设备。[0066]综上,上述技术方案通过对一报文是否为DNS报文进行判断,如果为DNS报文,则对该DNS报文进行域名解析,以对DNS报文访问的域名和IP地址进行过滤,完善了网络转发设备防火墙的过滤功能,提高了报文通过网络转发设备传输的安全系数。[0067]通过说明和附图,给出了【具体实施方式】的特定结构的典型实施例,基于本发明精神,还可作其他的转换。尽管上述发明提出了现有的较佳实施例,然而,这些内容并不作为局限。[0068]对于本领域的技术人员而言,阅读上述说明后,各种变化和修正无疑将显而易见。因此,所附的权利要求书应看作是涵盖本发明的真实意图和范围的全部变化和修正。在权利要求书范围内任何和所有等价的范围与内容,都应认为仍属本发明的意图和范围内。【主权项】1.一种报文过滤系统,其特征在于,应用于无线桥接模式下的网络转发设备转发报文的过程中,所述网络转发设备包括:存储模块(I),存储有过滤规则;判断模块(2),与所述存储模块(I)连接,用以判断所述报文是否为DNS报文;解析模块⑶,与所述判断模块⑵连接,用以于所述报文为DNS报文时,读取所述DNS报文的域名,并且所述解析模块(3)用以对所述DNS报文进行域名解析以获取所述DNS报文的IP地址;过滤模块(4),分别与所述存储模块(I)、所述判断模块(2)、所述解析模块(3)连接,用以获取并利用所述过滤规则对所述域名和所述IP地址进行过滤。2.根据权利要求1所述的报文过滤系统,其特征在于,所述网络转发设备设有多个无线接口,每个所述无线接口均对应一所述过滤规则,所述网络转发设备还包括标志模块,与所述过滤模块(4)连接,用以利用一桥接转发表对各个所述无线接口进行标识,以使不同的所述无线接口的所述报文通过所述网络转发设备时分别附加有对应的标识;以及所述过滤模块(4)用以根据所述标识获取并利用所述DNS报文对应无线接口的过滤规则对所述域名和所述IP地址进行过滤。3.根据权利要求2所述的报文过滤系统,其特征在于,所述桥接转发表为broute链表,以及所述标志模块用以利用ebtables的规则于所述broute链表中对各个所述无线接口进行标识。4.根据权利要求1所述的报文过滤系统,其特征在于,所述网络转发设备还包括:第一过滤模块,与所述判断模块连接,用以利用所述过滤规则对所述报文的源MAC地址和目的MAC地址进行过滤。5.根据权利要求1所述的报文过滤系统,其特征在于,所述网络转发设备还包括:第二过滤模块,与所述判断模块连接,用以利用所述过滤规则对所述报文的传输路径进行过滤。6.一种报文过滤方法,其特征在于,包括:步骤SI,提供一预存储有过滤规则的网络转发设备,所述网络转发设备转发一报文时,判断所述报文是否为DNS特征的报文;步骤S2,读取所述DNS报文的域名,并且对所述DNS报文进行域名解析以获取所述DNS报文的IP地址;步骤S3,于所述报文为DNS报文时,获取并利用所述过滤规则对所述域名和所述IP地址进行过滤。7.根据权利要求6所述的报文过滤方法,其特征在于,所述网络转发设备设有多个无线接口,每个所述无线接口均对应一所述过滤规则,所述步骤S3具体包括:步骤S31,利用一桥接转发表对各个所述无线接口进行标识,使不同的所述无线接口的所述报文通过所述网络转发设备时附加有一对应的标识;步骤S32,于所述报文为DNS报文时,通过所述标识获取所述DNS报文对应的无线接口,获取并利用所述DNS报文对应无线接口的过滤规则对所述域名和所述IP地址进行过滤。8.根据权利要求7所述的报文过滤方法,其特征在于,所述桥接转发表为broute链表,以及所述标志模块用以利用ebtables的规则于所述broute链表中对各个所述无线接口进行标识。9.根据权利要求6所述的报文过滤方法,其特征在于,所述步骤SI之后还包括:步骤Sll,利用所述过滤规则对所述报文的源MAC地址和目的MAC地址进行过滤。10.根据权利要求6所述的报文过滤方法,其特征在于,所述步骤SI之后还包括:步骤S12,利用所述过滤规则对所述报文的传输路径进行过滤。【文档编号】H04L29/12GK105959284SQ201610283880【公开日】2016年9月21日【申请日】2016年4月29日【发明人】吴振华【申请人】上海斐讯数据通信技术有限公司