本發明提供了一種數據包過濾規則配置方法、裝置及系統，其中，該方法包括：發送攜帶有預定標識的配置請求至服務端，其中，預定標識包括以下至少之一：數據包過濾規則的請求方的標識、數據包過濾規則的標識；接收服務端根據所述配置請求下發的數據包過濾規則；加載數據包過濾規則至請求方的數據包過濾驅動程序。通過本發明的方法，解決了相關技術中數據包過濾規則的配置導致操作復雜的問題，簡化了數據包過濾規則的配置過程，提高了對網絡連接控制的靈活性。

技術領域

本發明涉及通信領域，具體而言，涉及一種數據包過濾規則配置方法、裝置及系統。

背景技術

現代互聯網中網絡攻擊、病毒和釣魚網站等各種威脅終端安全的手段肆虐接入互聯網的終端設備，網絡數據包技術作為防火墻的基本技術，對終端的安全聯網起到非常重要的作用，通過設置從英特網進入終端的數據包或者從終端進入英特網的數據包的攔截或允許，使不符合規則的數據包不能通過。

傳統的數據包過濾技術一般在終端的防火墻中進行控制，由終端使用者設置相應的過濾規則，這種方式不便于對于終端過濾規則的集中管理，對網絡接入的可控性不強，不適用于終端集中管理的場景。一旦某一臺終端規則設置不合理，導致受到網絡的攻擊以及病毒的感染而危及到網絡內的其他終端。

也有一些包過濾技術采用了C/S的架構，由服務器對客戶端的包過濾規則進行了相應的參數配置，由客戶端在初始階段與服務器建立連接，然后由服務器將相應的配置參數發給客戶端，客戶端隨即啟動包過濾流程。在一定程度上解決了統一管理客戶端的功能，但是這種方式容易在需要對終端的網絡接入進行差異化控制的應用場景中存在不足，同時如果需要實時的修改過濾規則，則需要斷開連接，重新進行連接，參數配置以及啟動過濾。在一定程度上增加了操作的復雜性。

針對相關技術中數據包過濾規則的配置導致操作復雜的問題，目前尚未提出有效的解決方案。

發明內容

本發明提供了一種數據包過濾規則配置方法、裝置及系統，以至少解決數據包過濾規則的配置導致操作復雜的問題。

根據本發明的一個方面，提供了一種數據包過濾規則配置方法，包括：發送攜帶有預定標識的配置請求至服務端，其中，所述預定標識包括以下至少之一：數據包過濾規則的請求方的標識、所述數據包過濾規則的標識；接收所述服務端根據所述配置請求下發的所述數據包過濾規則；加載所述數據包過濾規則至所述請求方的數據包過濾驅動程序。

優選地，在所述服務端中保存有所述數據包過濾規則的請求方的標識與所述數據包過濾規則的對應關系，和/或，保存有所述數據包過濾規則的標識與所述數據包過濾規則的對應關系。

優選地，在加載所述數據包過濾規則至所述請求方的所述數據包過濾驅動程序之后，所述方法還包括：通過所述數據包過濾驅動程序，過濾所述請求方與網絡進行通信的數據包；發送所述數據包的攔截日志至所述服務端，其中，所述攔截日志是根據所述數據包過濾規則攔截的數據包的信息生成的。

優選地，過濾所述請求方與網絡進行通信的所述數據包包括：在所述數據包為傳輸層數據包的情況下，通過傳輸驅動程序接口層過濾所述數據包；在所述數據包為網絡層和/或數據鏈路層的數據包的情況下，通過中間層驅動程序過濾所述數據包。

優選地，在所述數據包過濾規則為基于應用程序控制的數據包過濾規則的情況下，過濾所述請求方與網絡通信的數據包包括：根據所述數據包過濾規則和所述數據包中攜帶的應用程序標識，分別過濾所述請求方的一個或多個應用程序與網絡進行通信的數據包。

優選地，接收所述服務端根據所述配置請求下發的所述數據包過濾規則還包括：接收所述服務端根據所述配置請求下發的更新的所述數據包過濾規則，其中，所述更新的所述數據包過濾規則包括以下至少之一：所述服務端根據所述請求方發送的攔截日志和預定算法確定的數據包過濾規則，和/或所述服務端根據用戶的輸入確定的數據包過濾規則。