技術(shù)領(lǐng)域

本發(fā)明涉及通用網(wǎng)絡(luò)設(shè)備安全領(lǐng)域，尤其涉及一種linux網(wǎng)絡(luò)架構(gòu)下應(yīng)用連接防火墻的實現(xiàn)方法。

背景技術(shù)

隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，對網(wǎng)絡(luò)通訊設(shè)備的安全性能要求也越來越高，傳統(tǒng)的包過濾和代理防火墻功能，以及目前比較先進的基于TCP/UDP層的狀態(tài)數(shù)據(jù)包檢查(SPI)?防火墻已經(jīng)不能滿足當前l(fā)inux網(wǎng)絡(luò)架構(gòu)下的安全需求。目前迫切需要一種基于七層應(yīng)用連接技術(shù)的高安全級別的防火墻。

發(fā)明內(nèi)容

本發(fā)明的目的在于提供一種linux網(wǎng)絡(luò)架構(gòu)下應(yīng)用連接防火墻的實現(xiàn)方法，通過基于連接跟蹤技術(shù)，實現(xiàn)一種基于七層應(yīng)用連接的高安全級別的防火墻。

本發(fā)明的目的是通過以下技術(shù)方案實現(xiàn)的。

一種linux網(wǎng)絡(luò)架構(gòu)下應(yīng)用連接防火墻的實現(xiàn)方法，包括步驟：

a：系統(tǒng)啟動時，正則表達式匹配引擎模塊通過調(diào)用初始化接口函數(shù)對應(yīng)用層的特征碼配置文件進行初始化處理；

b：數(shù)據(jù)報文到達連接跟蹤模塊時，系統(tǒng)將連接跟蹤模塊進行擴展處理；

c：數(shù)據(jù)報文經(jīng)網(wǎng)絡(luò)層、傳輸層連接過濾處理后，由應(yīng)用層對數(shù)據(jù)報文進行匹配分析處理連接。

優(yōu)選的，步驟a所述初始化處理包括獲取應(yīng)用層各種特征數(shù)據(jù)的匹配參數(shù)信息。

優(yōu)選的，所述特征碼配置文件為應(yīng)用連接防火墻的配置文件。

優(yōu)選的，步驟b具體包括：連接跟蹤模塊中保存了網(wǎng)絡(luò)層連接數(shù)據(jù)、傳輸層連接數(shù)據(jù)和應(yīng)用層連接數(shù)據(jù)，由網(wǎng)絡(luò)層、傳輸層根據(jù)對應(yīng)層的防御策略對數(shù)據(jù)報文進行連接過濾處理。

優(yōu)選的，所述連接過濾處理包括對數(shù)據(jù)報文進行通過、修改、刪除或斷開連接等處理。

優(yōu)選的，步驟c具體包括：通過正則表達式匹配引擎模塊對應(yīng)用層的字符串進行比較匹配，如匹配上，則設(shè)置可識別的應(yīng)用連接;否則，設(shè)置為不可識別應(yīng)用連接。

優(yōu)選的，通過正則表達式匹配引擎模塊對應(yīng)用層的字符串進行比較匹配，如匹配上，則還包括更新連接跟蹤中對應(yīng)用識別標志信息參數(shù)。

本發(fā)明與現(xiàn)有技術(shù)相比，有益效果在于：本發(fā)明提供的linux網(wǎng)絡(luò)架構(gòu)下應(yīng)用連接防火墻的實現(xiàn)方法，在基于連接跟蹤技術(shù)基礎(chǔ)上，linux系統(tǒng)添加一個正則表達式匹配引擎模塊，對匹配連接跟蹤的報文進行應(yīng)用層字符串的匹配處理，從而進行應(yīng)用層信息識別處理，如果匹配上則設(shè)置可識別的應(yīng)用連接和更新應(yīng)用標示信息，不匹配則設(shè)置為不可識別應(yīng)用連接。從而解決現(xiàn)有的Netfilter架構(gòu)無法識別七層應(yīng)用的問題，實現(xiàn)對數(shù)據(jù)報文進行從IP層到應(yīng)用層的全方位識別和控制。

附圖說明

圖1為本發(fā)明應(yīng)用連接防火墻的實現(xiàn)方法的系統(tǒng)架構(gòu)圖。

圖2為本發(fā)明應(yīng)用連接防火墻的實現(xiàn)方法流程圖。

具體實施方式

在網(wǎng)絡(luò)通訊設(shè)備中使用最多的是Linux操作系統(tǒng)，Linux系統(tǒng)使用Netfilter框架來實現(xiàn)連接跟蹤狀態(tài)防火墻功能，netfilter主要采用連接跟蹤(Connection?Tracking)技術(shù)，連接跟蹤是包過濾的基礎(chǔ)，它作為一個獨立的模塊運行。采用連接跟蹤模塊在協(xié)議棧低層截取數(shù)據(jù)包，將當前數(shù)據(jù)包及其狀態(tài)信息與歷史數(shù)據(jù)包及其狀態(tài)信息進行比較，從而得到當前數(shù)據(jù)包的控制信息，根據(jù)這些控制信息決定對網(wǎng)絡(luò)數(shù)據(jù)包的操作，達到保護網(wǎng)絡(luò)的目的。

具體地，當下層網(wǎng)絡(luò)接收到初始化連接同步(Synchronize，SYN)包，將被netfilter規(guī)則庫檢查。該數(shù)據(jù)包將在規(guī)則庫中依次序進行比較。如果該包應(yīng)被丟棄，發(fā)送一個復位(Reset，RST)包到遠端主機，否則連接接收。并將該次連接的信息保存在連接跟蹤信息表中，且表明該數(shù)據(jù)包所應(yīng)有的狀態(tài)。連接跟蹤信息表位于內(nèi)核模式下，其后的網(wǎng)絡(luò)數(shù)據(jù)包將與此連接跟蹤信息表中的內(nèi)容進行比較，根據(jù)信息表中的信息來決定該數(shù)據(jù)包的操作。因為數(shù)據(jù)包首先是與連接跟蹤信息表進行比較，只有SYN包才與netfilter規(guī)則庫進行比較，數(shù)據(jù)包與連接跟蹤信息表的比較都是在內(nèi)核模式下進行的，所以速度很快。

為了使本發(fā)明的目的、技術(shù)方案及優(yōu)點更加清楚明白，以下結(jié)合附圖及實施例，對本發(fā)明進行進一步詳細說明。應(yīng)當理解，此處所描述的具體實施例僅僅用以解釋本發(fā)明，并不用于限定本發(fā)明。

請參閱圖1所示，本發(fā)明應(yīng)用連接防火墻的實現(xiàn)方法的系統(tǒng)架構(gòu)圖，包括：正則表達式匹配引擎模塊、連接跟蹤模塊。

正則表達式匹配引擎模塊用于對連接跟蹤的報文進行應(yīng)用層的數(shù)據(jù)深入比較匹配分析處理；