技術領域

本發明涉及防火墻技術，尤其涉及一種防火墻系統及其實現方法。

背景技術

網絡通信的發展使得人們能夠自由獲得網絡資源，而由此產生的網絡安全問題則會影響網絡通信內容的安全并繼而導致網絡的非法操作。因此，防火墻技術應運而生，而目前防火墻的主流技術是基于內核空間的防火墻，例如，基于Linux操作系統的內核空間的防火墻，其運行在Linux操作系統的內核空間，并接收用戶通過用戶空間傳遞的配置及策略等信息，利用Netfilter內核模塊完成諸如策略匹配、數據包過濾和網絡地址轉換（Network?Address?Translation，簡稱NAT）等防火墻功能。

但是，由于Linux操作系統的內核本身要消耗一部分的系統資源和帶寬，使得運行在內核空間的防火墻的數據處理和策略匹配的性能較低，同時由于策略的下發和用戶的配置都要通過用戶空間傳遞到內核空間，也要消耗系統資源，從而影響系統的性能。

發明內容

本發明的目的在于提供一種防火墻系統及其實現方法，以解決現有技術中防火墻運行在操作系統的內核空間而影響系統性能的問題。

本發明的第一個方面是提供一種防火墻系統的實現方法，所述防火墻系統設置在用戶空間，所述方法包括：

調用用戶空間驅動UIO獲取網絡中傳輸的數據包，所述數據包包括用于標識數據包編碼格式的包頭字段；

根據所述包頭字段調用用戶空間的解碼器對所述數據包進行與所述數據包編碼格式相對應的第一解碼處理，以獲取所述數據包的源IP地址和源MAC地址；

根據所述數據包的源IP地址和源MAC地址查詢預設的訪問綁定列表，所述訪問綁定列表中預先存儲了允許訪問的IP地址和MAC地址的對應關系，若確定所述訪問綁定列表中存在所述數據包的源IP地址、但不存在所述數據包的源IP地址和源MAC地址的對應關系，則丟棄所述數據包。

本發明的另一個方面是提供一種防火墻系統，其設置在用戶空間，所述系統包括：

用戶空間驅動UIO調用模塊，用于調用用戶空間的UIO獲取網絡中傳輸的數據包，所述數據包包括用于標識數據包編碼格式的包頭字段；

解碼器調用模塊，用于根據所述包頭字段調用用戶空間的解碼器對所述數據包進行與所述數據包編碼格式相對應的第一解碼處理，以獲取所述數據包的源IP地址和源MAC地址；

數據包過濾模塊，用于根據所述數據包的源IP地址和源MAC地址查詢預設的訪問綁定列表，所述訪問綁定列表中預先存儲了允許訪問的IP地址和MAC地址的對應關系，若確定所述訪問綁定列表中存在所述數據包的源IP地址、且不存在所述數據包的源IP地址和源MAC地址的對應關系，則丟棄所述數據包。

采用上述本發明技術方案的有益效果是：通過設置于用戶空間的防火墻系統調用用戶空間的UIO以獲取網絡中傳輸的數據包，并調用用戶空間的解碼器對數據包進行解碼處理，且在用戶空間對數據包進行數據包過濾，從而避免了用戶空間與內核空間的傳遞過程，進而提高了系統的性能。

附圖說明

圖1為本發明實施例一提供的一種防火墻系統的實現方法的流程示意圖；

圖2為本發明實施例二提供的一種防火墻系統的結構示意圖；

圖3為本發明防火墻系統部署示意圖。

具體實施方式

圖1為本發明實施例一提供的一種防火墻系統的實現方法的流程示意圖，如圖1所示，所述方法可以包括如下步驟：

步驟101，調用用戶空間驅動（Userspace?Input?Output，簡稱UIO）獲取網絡中傳輸的數據包，所述數據包包括用于標識數據包編碼格式的包頭字段；

步驟102，根據所述包頭字段調用用戶空間的解碼器對所述數據包進行與所述數據包編碼格式相對應的第一解碼處理，以獲取所述數據包的源IP地址和源MAC地址；

步驟103，根據所述數據包的源IP地址和源MAC地址查詢預設的訪問綁定列表，若確定所述訪問綁定列表中存在所述數據包的源IP地址、但不存在所述數據包的源IP地址和源MAC地址的對應關系，則丟棄所述數據包。