本發明公開了一種用戶態防火墻的出入接口過濾方法，所述用戶態防火墻采用Netfilter防火墻機制，其包括以下步驟：S1、用戶態防火墻通過進入內核Netfilter轉發鏈收包點獲取報文的出入接口信息；S2、將報文的出入接口信息與報文一同接收到用戶空間進行處理；S3、在snort規則中添加獲取到的報文出入接口信息；S4、解析添加報文出入接口信息后的snort規則，得到出入接口過濾配置；S5、將出入接口過濾配置添加到過濾匹配過程中構成匹配過濾方法，通過匹配過濾方法實施過濾匹配操作。

技術領域

本發明涉及計算機領域，尤其涉及一種用戶態防火墻的出入接口過濾方法。

背景技術

一般防火墻都是嵌入在Linux內核協議棧的處理過程中，運行在內核地址空間，這就要求開發者深入理解和掌握內核，以及內核協議棧的代碼，對于普通開發者來說，此要求顯然過于苛刻。因此，急需一種可以將報文接收到用戶態空間進行深度解析、可以在用戶態空間對報文進行匹配過濾的方法來滿足人們的使用需求。

發明內容

本發明目的是針對上述問題，提供一種基于用戶態防火墻的出入接口過濾方法。

為了實現上述目的，本發明的技術方案是：

一種用戶態防火墻的出入接口過濾方法，所述用戶態防火墻采用Netfilter防火墻機制，其包括以下步驟：

S1、用戶態防火墻通過進入內核Netfilter轉發鏈收包點獲取報文的出入接口信息；

S2、將報文的出入接口信息與報文一同接收到用戶空間進行處理；

S3、在snort規則中添加獲取到的報文出入接口信息；

S4、解析添加報文出入接口信息后的snort規則，得到出入接口過濾配置；

S5、將出入接口過濾配置添加到過濾匹配過程中構成匹配過濾方法，通過匹配過濾方法實施過濾匹配操作。

進一步的，所述步驟S1中的用戶態防火墻包括透明模式和路由模式；透明模式進入Netfilter轉發鏈收包點前會經過網橋處理，路由模式進入Netfilter轉發鏈收包點前會經過路由處理。

進一步的，所述步驟S3中的Snort規則包括規則頭部分和規則選項部分；規則頭部分包括規則的動作、協議、目標ip地址以及源和目標端口信息；規則選項部分包括報警消息內容以及所檢查的數據包。

進一步的，所述步驟S5中的匹配過濾方法包括以下步驟：

S51、進入Snort規則匹配處理；

S52、檢測Snort入接口配置是否為any端口，當Snort入接口為any端口時，進行步驟S53操作；當Snort入接口不是any端口時，檢測其是否與報文入接口相一致，當Snort入接口與報文入接口相一致時，進行步驟S53操作，當Snort入接口與報文入接口不一致時，返回步驟S51；

S53、檢測Snort出接口配置是否為any端口，當Snort出接口為any端口時，進行步驟S54操作；當Snort出接口不是any端口時，檢測其是否與報文出接口相一致，當Snort出接口與報文出接口相一致時，進行步驟S54操作，當Snort出接口與報文出接口不一致時，返回步驟S51；

S54、進行Snort規則后續信息的匹配，完成匹配過濾操作。

與現有技術相比，本發明具有的優點和積極效果是：