技術領域

本發明屬于家庭網關網絡設備安全領域，更具體地說，特別涉及一種家庭網關用防火墻的實現方法。

背景技術

隨著網絡技術的飛速發展，對家庭網關產品的安全性能要求也越來越高，傳統的包過濾和代理防火墻功能已經不能滿足當前家庭網關產品的安全需求，目前先進的狀態數據包檢查(SPI)防火墻提供最高級別的安全性。

在家庭網關中使用最多的是Linux操作系統，Linux系統使用Netfilter框架來實現SPI防火墻功能，netfilter主要采用連接跟蹤(Connection?Tracking)關鍵技術，連接跟蹤是包過濾的基礎，它作為一個獨立的模塊運行。采用連接跟蹤技術在協議棧低層截取數據包，將當前數據包及其狀態信息與歷史數據包及其狀態信息進行比較，從而得到當前數據包的控制信息，根據這些信息決定對網絡數據包的操作，達到保護網絡的目的。當下層網絡接收到初始化連接同步(Synchronize，SYN)包，將被netfilter規則庫檢查。該數據包將在規則鏈中依次序進行比較。如果該包應被丟棄，發送一個復位(Reset，RST)包到遠端主機，否則連接接收。這次連接的信息將被保存在連接跟蹤信息表中，并表明該數據包所應有的狀態。這個連接跟蹤信息表位于內核模式下，其后的網絡包就將與此連接跟蹤信息表中的內容進行比較，根據信息表中的信息來決定該數據包的操作。因為數據包首先是與連接跟蹤信息表進行比較，只有SYN包才與規則庫進行比較，數據包與連接跟蹤信息表的比較都是在內核模式下進行的，所以速度很快。

連接跟蹤技術是在協議棧低層截取數據包，將當前數據包及其狀態信息與歷史數據包及其狀態信息進行比較，從而得到當前數據包的控制信息，根據這些信息決定對網絡數據包的操作，達到保護網絡目的，可以說連接跟蹤是全狀態數據包檢測的基礎。

發明內容

本發明要解決的技術問題為提供一種家庭網關用防火墻的實現方法，該家庭網關用防火墻的實現方法能夠為家庭用戶提供一種高級別防火墻。

為解決上述技術問題，本發明提供了一種家庭網關用防火墻的實現方法，基于SPI全狀態數據包檢測方式對外網訪問進行檢測，并創建跟蹤狀態連接表。

其中，所述SPI全狀態數據包檢測方式對外網連接信息以及協議類型進行檢測并判斷是否過濾。

其中，所述SPI全狀態數據包檢測方式首先接受外網服務連接請求，并將所述外網服務連接請求發送至用戶，并由用戶選擇是否接受連接；所述SPI全狀態數據包檢測方式接受用戶選擇后對外網服務進行連接。

其中，所述SPI全狀態數據包檢測方式直接屏蔽外網用戶的連接請求。

其中，所述SPI全狀態數據包檢測方式為Linux網絡架構下基于Netfilter的網絡安全技術。

其中，所述SPI全狀態數據包檢測方式的內核模塊包括nf-conntrack模塊。

本發明提供的家庭網關用防火墻的實現方法，是一種SPI全狀態數據包檢測方式對外網訪問進行檢測的防外網訪問的方法。SPI(Stateful?Packet?Inspection)全狀態數據包檢測型防火墻，是指通過對每個連接信息(包括套接字對(socket?pairs)：源地址、目的地址、源端口和目的端口；協議類型、TCP協議連接狀態和超時時間等)進行檢測從而判斷是否過濾數據包的防火墻。它除了能夠完成簡單包過濾防火墻的包過濾工作外，還在自己的內存中維護一個跟蹤連接狀態的表，比簡單包過濾防火墻具有更大的安全性。目前最為先進的狀態數據包檢查(SPI)防火墻提供最高級別的安全性。它在默認情況下拒絕所有來自外網的請求，并且對通過防火墻的發自內網請求的連接動態地維護所有通信的狀態(連接)，只有是對內網請求回復的連接并符合已建立的狀態數據庫的包才能通過防火墻進入內網。這種方案不僅可使網絡用戶訪問Internet資源，同時又能防止Internet上的黑客訪問內部網絡資源。

“狀態檢查”一詞是指防火墻記憶連接狀態和在其內存中為每個數據流建立上下文的能力。憑借這些信息，該防火墻能夠比不支持SPI的防火墻作出更有根據的策略決策。只有具有基于硬件的采用目前最為先進的狀態數據包檢查(SPI)技術的防火墻才是真正意義上的防火墻(True?Firewall)。

附圖說明

為了更清楚地說明本發明實施例或現有技術中的技術方案，下面將對實施例或現有技術描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發明的實施例，對于本領域普通技術人員來講，在不付出創造性勞動的前提下，還可以根據提供的附圖獲得其他的附圖。