技術領域

本發明屬于通信技術領域，具體設計內核態數據數據包采集與過濾，會話還原，用戶態與內核態的通信，透明模式的實現等。可以根據會話完整內容進行過濾，阻止非法的數據包通過。

背景技術

互聯網滿足了人們幾千年來苦苦追求的“快”和“沒有限制”的突破時空的至高境界，實現人們的自由之夢，他契合了人的原始本性，達到的“自由”程度超越了以前人們的想象。互聯網的開放、讓人們前所未有地享受到不受約束獲得各種信息發布言論的自由，但同時也帶來了許多信息安全問題。

有數據顯示，近幾年青少年花在看電視的時間已經少于上網的時間，網絡正成為青少年認識的世界、獲得知識、休閑娛樂的一種工具。網絡中的信息內容五花八門，大多未經過嚴格的把關和篩選，雖然能滿足部分教育、信息及休閑上的需要，但亦存在大量讓家長、社會頭痛的，易對青少年產生負面影響的淫穢色情、暴力恐怖、反政府以及種族歧視等網站。

第二類安全問題是病毒感染和垃圾郵件的威脅。隱藏在網絡中的有害代碼通過病毒、蠕蟲、木馬程序等對計算機進行攻擊，這些病毒不斷在增長，而且發展速度相當之快，破壞性愈來愈大。智能化、人性化、隱蔽化、多樣化也在逐漸成為新世紀電腦病毒的發展趨勢。大量的垃圾郵件也嚴重影響了用戶對互聯網的正常使用，大量垃圾郵件降低了網絡運行效率占用網絡帶寬，造成郵件服務器擁塞，進而降低整個網絡的運行效率，給同在一臺服務器上的其他用戶帶來影響。

另外一類信息安全問題就是對機密信息的威脅。現在利用網絡竊取或泄露公司機密的案例屢見不鮮。這種行為給企業帶來了巨大的危害。企業的最新成果，核心競爭力可能在一瞬間不復存在，從而造成巨大的經濟損失。有的企業為了避免這種現象，甚至禁止員工上互聯網，這無疑給工作帶來了很大的不便。

內容過濾是網絡安全的新課題，它的任務是從動態信息源中過濾掉在一段時期內比較固定的非需求信息。通過在網絡中加入內容分析過濾功能，對內能夠幫助受保護網絡消除通過網絡對機密信息造成的泄漏，對外可以過濾掉網絡中的不健康內容及垃圾信息。既可阻止不良信息對人們的侵害，適應社會對意識形態方面的要求，同時，通過規范用戶的上網行為，提高工作效率，合理利用網絡資源，減少病毒對網絡的侵害，這就是內容過濾技術的根本內涵。

目前，在網絡邊界的過濾包括基于網絡層的包過濾技術和基于應用層的代理技術。

基于網絡層的包過濾技術，據分組包頭源地址，目的地址和端口號、協議類型等標志確定是否允許數據包通過。只有滿足過濾邏輯的數據包才被轉發到相應的目的地出口端，其余數據包則被從數據流中丟棄。但是這種方式無法理解應用層信息，而大多數內容過濾都是針對應用層進行的，所以很難進行內容過濾。此外該方式進行內容過濾時，是進行單包過濾，由于缺少上下文關聯信息，影響準確度。

基于應用層的代理技術，也叫應用網關，它作用在應用層，其特點是完全″阻隔″了網絡通信流，通過對每種應用服務編制專門的代理程序，實現監視和控制應用層通信流的作用。應用層代理能夠理解各種應用協議，能方便的進行內容過濾，但是對用戶不透明，必須為每種應用分別編寫不同的代理程序。而且速度較慢，對網絡性能較大。

發明內容

本發明的目的在于提出一種基于網絡過濾器的內容過濾網關實現方法，可以提高數據采集的效率，對非法的數據包進行實時的阻斷，以透明的方式工作，高效的在網絡層過濾應用層信息。

一種基于網絡過濾器的內容過濾網關實現方法，用一個內容過濾網關透明的串聯在網絡邊界，以無IP方式，在網絡層來過濾所有出入局域網的數據，所訴內容過濾網關運行Linux?kernel?2.4操作系統，安裝雙網卡，每塊網卡都設置為混雜模式，使用brctl配置兩塊網卡為網橋來實現透明串聯在網絡邊界上。

本發明的特征在于依次含有以下步驟：

步驟1，初始化：

在所述內容過濾網關中設有：

數據包捕獲模塊，數據包處理模塊，以及數據包轉發模塊，這些模塊工作在Linux系統的內核態，還設有內容分析模塊，工作在用戶態；在所述這些模塊中：

數據包捕獲模塊，注冊了設定的過濾函數，對于那些需要轉發的數據包，送往數據包轉發模塊轉發，對于需要進行內容過濾的數據包，則送往數據包處理模塊；