專利名稱:基于策略樹的報(bào)文分組過(guò)濾及管理方法
技術(shù)領(lǐng)域:
本發(fā)明提供一種采用樹形結(jié)構(gòu)組織管理用戶策略,并以策略樹的生成和查找為核心,組織對(duì)報(bào)文進(jìn)行分組與過(guò)濾的方法。
背景技術(shù):
報(bào)文過(guò)濾是防火墻的實(shí)現(xiàn)方式,報(bào)文過(guò)濾是在IP層實(shí)現(xiàn)的,因此,它可以只用路由器完成。報(bào)文過(guò)濾根據(jù)報(bào)文的源IP地址、目的IP地址、源端口、目的端口及報(bào)文傳遞方向等報(bào)頭信息來(lái)判斷是否允許報(bào)文通過(guò)。
報(bào)文過(guò)濾器的應(yīng)用非常廣泛,因?yàn)镃PU用來(lái)處理報(bào)文過(guò)濾的時(shí)間可以忽略不計(jì)。而且這種防護(hù)措施對(duì)用戶透明,合法用戶在進(jìn)出網(wǎng)絡(luò)時(shí),根本感覺不到它的存在,使用起來(lái)很方便。報(bào)文過(guò)濾另一個(gè)也是很關(guān)鍵的弱點(diǎn)是不能在用戶級(jí)別上進(jìn)行過(guò)濾,即不能識(shí)別不同的用戶和防止IP地址的盜用。如果攻擊者把自己主機(jī)的IP地址設(shè)成一個(gè)合法主機(jī)的IP地址,就可以很輕易地通過(guò)報(bào)文過(guò)濾器。
傳統(tǒng)防火墻的用戶安全策略以規(guī)則表的形式進(jìn)行管理,對(duì)規(guī)則表進(jìn)行諸如添加、刪除條目等管理動(dòng)作來(lái)完成安全策略的產(chǎn)生與修改。在防火墻過(guò)濾數(shù)據(jù)包時(shí),防火墻把數(shù)據(jù)包中的各項(xiàng)參數(shù)與規(guī)則表中的各規(guī)則進(jìn)行比對(duì)而產(chǎn)生下一步的處理動(dòng)作,這種方法隨著規(guī)則表中規(guī)則條數(shù)的大幅增加,首先用戶對(duì)策略的管理會(huì)越來(lái)越困難,容易產(chǎn)生由策略誤刪除等的誤操作,而帶來(lái)的安全隱患,同時(shí)規(guī)則表查找性能會(huì)有顯著下降,造成網(wǎng)絡(luò)性能瓶頸。因此必須發(fā)展可以迅速分析報(bào)文的智能型報(bào)文過(guò)濾器。
發(fā)明內(nèi)容
本發(fā)明的目的是提供一種以樹型結(jié)構(gòu)組織并查找策略,減少規(guī)則數(shù)量對(duì)查找性能的影響,高速完成防火墻對(duì)報(bào)文分組與過(guò)濾的方法。相對(duì)應(yīng)提供給用戶易于理解的樹狀策略配置方式,使用戶對(duì)整個(gè)網(wǎng)絡(luò)的安全策略配置情況有一個(gè)直觀的了解,盡量避免由誤操作帶來(lái)的安全隱患。
本發(fā)明目的是這樣實(shí)現(xiàn)的基于策略樹的報(bào)文分組過(guò)濾及管理方法,配置一個(gè)基于策略樹的用戶安全策略,它包括如下基本步驟步驟1配置訪問(wèn)外網(wǎng)安全策略。
步驟2配置訪問(wèn)內(nèi)網(wǎng)的安全策略。
配置訪問(wèn)外網(wǎng)安全策略,上面步驟1可具體為步驟11增加所要訪問(wèn)外網(wǎng)的服務(wù)節(jié)點(diǎn),包括源端口目的端口及服務(wù)的應(yīng)用類型。
步驟12添加源地址允許列表。
步驟13添加目的地址允許列表。
步驟14添加時(shí)間策略信息。
步驟15添加策略動(dòng)作,或應(yīng)用協(xié)議策略信息。
配置訪問(wèn)內(nèi)網(wǎng)的安全策略,上面策略2可具體為
步驟2-11增加在內(nèi)網(wǎng)的主機(jī)節(jié)點(diǎn)。主機(jī)節(jié)點(diǎn)可為ip地址或ip地址段。
步驟2-12增加所要訪問(wèn)內(nèi)網(wǎng)的服務(wù)節(jié)點(diǎn),包括源端口目的端口及服務(wù)的應(yīng)用類型。
步驟2-13添加目的地址允許列表。
步驟2-14添加時(shí)間策略信息。
步驟2-15添加策略動(dòng)作,或應(yīng)用協(xié)議策略信息。
一種防火墻上基于策略樹的報(bào)文分組過(guò)濾方法,它包括如下步驟步驟1對(duì)用戶配置策略做策略樹預(yù)編譯。
步驟2由預(yù)編譯文件生成策略樹內(nèi)存映像。
步驟3數(shù)據(jù)包預(yù)處理。
步驟4數(shù)據(jù)包注入策略樹分析引擎。
步驟5得到數(shù)據(jù)包下一步安全動(dòng)作。
當(dāng)對(duì)用戶配置策略做策略樹預(yù)編譯,上面步驟1可以具體為步驟1-11編譯并產(chǎn)生訪問(wèn)外部的協(xié)議列表以及下面的服務(wù)。
步驟1-12編譯并產(chǎn)生訪問(wèn)外部的服務(wù)以下的策略。
步驟1-13根據(jù)流量控制信息鏈表構(gòu)造編譯內(nèi)部地址列表步驟1-14編譯并產(chǎn)生內(nèi)部保護(hù)地址段下的限制策略。
步驟1-15編譯并產(chǎn)生保護(hù)內(nèi)部協(xié)議列表以及下面的服務(wù)和策略。
步驟1-16編譯并產(chǎn)生保護(hù)地址段以及地址段下相應(yīng)的服務(wù)和策略。
步驟1-17根據(jù)流量控制信息鏈表構(gòu)造編譯內(nèi)部地址列表。
步驟1-18編譯應(yīng)用協(xié)議策略。
步驟1-19編譯并產(chǎn)生策略樹預(yù)編譯文件。
由預(yù)編譯文件形成策略樹內(nèi)存映像,上述步驟2可具體為步驟21循環(huán)讀編譯文件。
步驟22讀文件判斷文件下一步策略段的屬性是訪問(wèn)內(nèi)部區(qū)的策略還是訪問(wèn)外部區(qū)的策略。
如果文件元素標(biāo)示為訪問(wèn)外部的策略,具體動(dòng)作為步驟23生成外部區(qū)策略根節(jié)點(diǎn)。
步驟24如果在預(yù)編譯策略文件中,策略元素為ip協(xié)議列表,則生成Ip協(xié)議號(hào)子節(jié)點(diǎn),掛接在前一步產(chǎn)生的父節(jié)點(diǎn)下。
步驟25如果在預(yù)編譯策略文件中,策略元素為服務(wù)列表,則生成服務(wù)列表子節(jié)點(diǎn),掛接在前一步產(chǎn)生的父節(jié)點(diǎn)下。
步驟26如果在預(yù)編譯策略文件中,策略元素為源Ip地址列表,則生成源Ip地址子節(jié)點(diǎn),掛接在前一步產(chǎn)生的父節(jié)點(diǎn)下。
步驟27如果在預(yù)編譯策略文件中,策略元素為目的Ip地址列表,則生成目的Ip地址子節(jié)點(diǎn),掛接在前一步產(chǎn)生的父節(jié)點(diǎn)下。
步驟28如果在預(yù)編譯策略文件中,策略元素為策略動(dòng)作元素,則生成策略子節(jié)點(diǎn),掛接在前一步產(chǎn)生的父節(jié)點(diǎn)下。
步驟29如果在預(yù)編譯策略文件中,策略元素為應(yīng)用協(xié)議策略列表,則生成應(yīng)用協(xié)議策略子節(jié)點(diǎn),掛接在前一步產(chǎn)生的父節(jié)點(diǎn)下。
如果文件元素標(biāo)示為訪問(wèn)內(nèi)部的策略,具體動(dòng)作為
步驟23’生成內(nèi)部區(qū)策略根節(jié)點(diǎn)。
步驟24’如果在預(yù)編譯策略文件中,策略元素為內(nèi)部地址列表,則生成內(nèi)部地址子節(jié)點(diǎn),掛接在前面產(chǎn)生的父節(jié)點(diǎn)下。
步驟25’如果在預(yù)編譯策略文件中,策略元素為源Ip地址列表,則生成源Ip地址子節(jié)點(diǎn),掛接在前面產(chǎn)生的父節(jié)點(diǎn)下。
步驟26’如果在預(yù)編譯策略文件中,策略元素為Ip協(xié)議號(hào)地址列表,則生成Ip協(xié)議號(hào)子節(jié)點(diǎn),掛接在前面產(chǎn)生的父節(jié)點(diǎn)下。
步驟27’如果在預(yù)編譯策略文件中,策略元素為服務(wù)列表,則生成服務(wù)列表子節(jié)點(diǎn),掛接在前面產(chǎn)生的父節(jié)點(diǎn)下。
步驟28’如果在預(yù)編譯策略文件中,策略元素為策略動(dòng)作元素,則生成策略子節(jié)點(diǎn),掛接在前一步產(chǎn)生的父節(jié)點(diǎn)下。
步驟29如果在預(yù)編譯策略文件中,策略元素為應(yīng)用協(xié)議策略列表,則生成應(yīng)用協(xié)議策略子節(jié)點(diǎn),掛接在前一步產(chǎn)生的父節(jié)點(diǎn)下。
數(shù)據(jù)包注入策略樹分析引擎,上述步驟4可具體為步驟41取數(shù)據(jù)包ip層及傳輸層頭信息。
步驟42根據(jù)數(shù)據(jù)包的來(lái)源網(wǎng)卡區(qū)域?qū)傩詷?biāo)示信息決定搜索節(jié)點(diǎn)為訪問(wèn)外部策略根節(jié)點(diǎn)還是訪問(wèn)內(nèi)部策略根節(jié)點(diǎn)。如果此網(wǎng)卡未分配任何區(qū)域?qū)傩詷?biāo)示則直接返回拒絕動(dòng)作,丟棄此數(shù)據(jù)包。
如果是訪問(wèn)節(jié)點(diǎn)為內(nèi)部策略根節(jié)點(diǎn),具體動(dòng)作為步驟43對(duì)于從外網(wǎng)卡接收到的數(shù)據(jù)包。從內(nèi)部策略根節(jié)點(diǎn)開始搜索,首先查找根節(jié)點(diǎn)下的內(nèi)部地址子節(jié)點(diǎn),如果沒(méi)有尋找到和數(shù)據(jù)包中目的地址相匹配的內(nèi)部地址子節(jié)點(diǎn),或者下一節(jié)點(diǎn)為空,則丟棄此數(shù)據(jù)包。
步驟44如果下一節(jié)點(diǎn)為源Ip地址子節(jié)點(diǎn),則用ip頭中源ip地址比對(duì)源Ip列表子節(jié)點(diǎn),如果沒(méi)有尋找到和數(shù)據(jù)包中源ip地址相匹配的源ip地址子節(jié)點(diǎn),或者下一節(jié)點(diǎn)為空,則丟棄此數(shù)據(jù)包。
步驟45如果下一節(jié)點(diǎn)為Ip協(xié)議號(hào)子節(jié)點(diǎn),用ip頭中的協(xié)議號(hào)比對(duì)IP協(xié)議子節(jié)點(diǎn),如果沒(méi)有尋找到和數(shù)據(jù)包中ip協(xié)議號(hào)相匹配的ip協(xié)議子節(jié)點(diǎn),或者下一節(jié)點(diǎn)為空,則丟棄此數(shù)據(jù)包。
步驟46根據(jù)傳輸層協(xié)議頭中協(xié)議信息查找服務(wù)列表子節(jié),其中協(xié)議信息在tcp及udp數(shù)據(jù)包中為目的端口號(hào)。如果沒(méi)有尋找到和數(shù)據(jù)包中協(xié)議信息相匹配的服務(wù)列表子節(jié)點(diǎn),或者下一節(jié)點(diǎn)為空,則丟棄此數(shù)據(jù)包。
步驟47如果下節(jié)點(diǎn)為動(dòng)作子節(jié)點(diǎn),比對(duì)時(shí)間策略,如果不在容許時(shí)間范圍內(nèi)返回拒絕動(dòng)作。否則返回策略子節(jié)點(diǎn)默認(rèn)動(dòng)作。
步驟48如果下一節(jié)點(diǎn)為應(yīng)用協(xié)議策略,則構(gòu)造相應(yīng)的應(yīng)用協(xié)議策略交由應(yīng)用協(xié)議分析引擎作進(jìn)一步處理。
步驟49統(tǒng)計(jì)數(shù)據(jù)包動(dòng)作信息,為判斷拒絕服務(wù)攻擊攻擊提供參考依據(jù)。通過(guò)網(wǎng)卡區(qū)域?qū)傩约癷p地址信息分析地址欺騙攻擊。
如果是訪問(wèn)節(jié)點(diǎn)為外部策略根節(jié)點(diǎn),具體動(dòng)作為步驟43’查找Ip協(xié)議號(hào)子節(jié)點(diǎn),用ip頭中的協(xié)議號(hào)比對(duì)IP協(xié)議子節(jié)點(diǎn),如果沒(méi)有尋找到和數(shù)據(jù)包中ip協(xié)議號(hào)相匹配的ip協(xié)議子節(jié)點(diǎn),或者下一節(jié)點(diǎn)為空,則丟棄此數(shù)據(jù)包。
步驟44’根據(jù)傳輸層協(xié)議頭中協(xié)議信息查找服務(wù)列表子節(jié),其中協(xié)議信息在tcp及udp數(shù)據(jù)包中為目的端口號(hào)。如果沒(méi)有尋找到和數(shù)據(jù)包中協(xié)議信息相匹配的服務(wù)列表子節(jié)點(diǎn),或者下一節(jié)點(diǎn)為空,則丟棄此數(shù)據(jù)包。
步驟45’如果下一節(jié)點(diǎn)為源Ip地址子節(jié)點(diǎn),則用ip頭中源ip地址比對(duì)源Ip列表子節(jié)點(diǎn),如果沒(méi)有尋找到和數(shù)據(jù)包中源ip地址相匹配的源ip地址子節(jié)點(diǎn),或者下一節(jié)點(diǎn)為空,則丟棄此數(shù)據(jù)包。
步驟46’如果下一節(jié)點(diǎn)為目的Ip地址子節(jié)點(diǎn),則用ip頭中目的ip地址比對(duì)目的Ip列表子節(jié)點(diǎn),如果沒(méi)有尋找到和數(shù)據(jù)包中源目的p地址相匹配的目的ip地址子節(jié)點(diǎn),或者下一節(jié)點(diǎn)為空,則丟棄此數(shù)據(jù)包。
步驟47’如果下節(jié)點(diǎn)為動(dòng)作子節(jié)點(diǎn),比對(duì)時(shí)間策略,如果不在容許時(shí)間范圍內(nèi)返回拒絕動(dòng)作。否則返回策略子節(jié)點(diǎn)默認(rèn)動(dòng)作。
步驟48’如果下一節(jié)點(diǎn)為應(yīng)用協(xié)議策略,則構(gòu)造相應(yīng)的應(yīng)用協(xié)議策略交由應(yīng)用協(xié)議分析引擎作進(jìn)一步處理。
步驟49’統(tǒng)計(jì)數(shù)據(jù)包動(dòng)作信息,為判斷拒絕服務(wù)攻擊提供參考依據(jù)。通過(guò)網(wǎng)卡區(qū)域?qū)傩约癷p地址信息分析地址欺騙攻擊。
綜上所述,本發(fā)明提供一種采用樹形結(jié)構(gòu)組織管理用戶策略,并以策略樹的生成和查找為核心,組織對(duì)報(bào)文進(jìn)行分組與過(guò)濾的方法。提高了數(shù)據(jù)包分組和過(guò)濾的處理效率。并提供了接近網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的安全策略配置方法,清晰直觀的反應(yīng)了網(wǎng)絡(luò)整體的安全需求狀況,為更有效的實(shí)施網(wǎng)絡(luò)的安全管理提供幫助。
以下結(jié)合附圖和具體實(shí)施實(shí)例對(duì)本發(fā)明做進(jìn)一步的詳細(xì)說(shuō)明。
圖1為策略樹查找工作流程2為簡(jiǎn)單策略樹構(gòu)造示意圖
具體實(shí)施例方式本發(fā)明在防火墻設(shè)備中應(yīng)用為策略分析引擎模塊,該模塊完成對(duì)數(shù)據(jù)包的策略查找,返回?cái)?shù)據(jù)包下一步安全動(dòng)作及在后續(xù)動(dòng)作中該數(shù)據(jù)包所應(yīng)具備的屬性信息。
從緩沖區(qū)取到數(shù)據(jù)包,經(jīng)過(guò)基本安全處理后,判斷數(shù)據(jù)包是否是一個(gè)會(huì)話連接的第一個(gè)數(shù)據(jù)包,如果是不是第一個(gè)數(shù)據(jù)包,說(shuō)明此會(huì)話已經(jīng)做過(guò)策略查找工作,相應(yīng)信息應(yīng)已記錄在狀態(tài)表項(xiàng)中,則交由狀態(tài)表處理模塊對(duì)數(shù)據(jù)包進(jìn)行處理。否則進(jìn)入策略分析引擎模塊。處理步驟如圖1所示。
具體處理步驟為步驟41取數(shù)據(jù)包ip層及傳輸層頭信息。
步驟42根據(jù)數(shù)據(jù)包的來(lái)源網(wǎng)卡區(qū)域?qū)傩詷?biāo)示信息決定搜索節(jié)點(diǎn)為訪問(wèn)外部策略根節(jié)點(diǎn)還是訪問(wèn)內(nèi)部策略根節(jié)點(diǎn)。如果此網(wǎng)卡未分配任何區(qū)域?qū)傩詷?biāo)示則直接返回拒絕動(dòng)作,丟棄此數(shù)據(jù)包。
如果是訪問(wèn)節(jié)點(diǎn)為內(nèi)部策略根節(jié)點(diǎn),具體動(dòng)作為步驟43對(duì)于從外網(wǎng)卡接收到的數(shù)據(jù)包。從內(nèi)部策略根節(jié)點(diǎn)開始搜索,首先查找根節(jié)點(diǎn)下的內(nèi)部地址子節(jié)點(diǎn),如果沒(méi)有尋找到和數(shù)據(jù)包中目的地址相匹配的內(nèi)部地址子節(jié)點(diǎn),或者下一節(jié)點(diǎn)為空,則丟棄此數(shù)據(jù)包。
步驟44如果下一節(jié)點(diǎn)為源Ip地址子節(jié)點(diǎn),則用ip頭中源ip地址比對(duì)源Ip列表子節(jié)點(diǎn),如果沒(méi)有尋找到和數(shù)據(jù)包中源ip地址相匹配的源ip地址子節(jié)點(diǎn),或者下一節(jié)點(diǎn)為空,則丟棄此數(shù)據(jù)包。
步驟45如果下一節(jié)點(diǎn)為Ip協(xié)議號(hào)子節(jié)點(diǎn),用ip頭中的協(xié)議號(hào)比對(duì)IP協(xié)議子節(jié)點(diǎn),如果沒(méi)有尋找到和數(shù)據(jù)包中ip協(xié)議號(hào)相匹配的ip協(xié)議子節(jié)點(diǎn),或者下一節(jié)點(diǎn)為空,則丟棄此數(shù)據(jù)包。
步驟46根據(jù)傳輸層協(xié)議頭中協(xié)議信息查找服務(wù)列表子節(jié),其中協(xié)議信息在tcp及udp數(shù)據(jù)包中為目的端口號(hào)。如果沒(méi)有尋找到和數(shù)據(jù)包中協(xié)議信息相匹配的服務(wù)列表子節(jié)點(diǎn),或者下一節(jié)點(diǎn)為空,則丟棄此數(shù)據(jù)包。
步驟47如果下節(jié)點(diǎn)為動(dòng)作子節(jié)點(diǎn),比對(duì)時(shí)間策略,如果不在容許時(shí)間范圍內(nèi)返回拒絕動(dòng)作。否則返回策略子節(jié)點(diǎn)默認(rèn)動(dòng)作。
步驟48如果下一節(jié)點(diǎn)為應(yīng)用協(xié)議策略,則構(gòu)造相應(yīng)的應(yīng)用協(xié)議策略交由應(yīng)用協(xié)議分析引擎作進(jìn)一步處理。
步驟49統(tǒng)計(jì)數(shù)據(jù)包動(dòng)作信息,為拒絕服務(wù)攻擊攻擊提供參考。通過(guò)網(wǎng)卡區(qū)域?qū)傩约癷p地址信息分析地址欺騙攻擊。
如果是訪問(wèn)節(jié)點(diǎn)為外部策略根節(jié)點(diǎn),具體動(dòng)作為步驟43’查找Ip協(xié)議號(hào)子節(jié)點(diǎn),用ip頭中的協(xié)議號(hào)比對(duì)IP協(xié)議子節(jié)點(diǎn),如果沒(méi)有尋找到和數(shù)據(jù)包中ip協(xié)議號(hào)相匹配的ip協(xié)議子節(jié)點(diǎn),或者下一節(jié)點(diǎn)為空,則丟棄此數(shù)據(jù)包。
步驟44’根據(jù)傳輸層協(xié)議頭中協(xié)議信息查找服務(wù)列表子節(jié),其中協(xié)議信息在tcp及udp數(shù)據(jù)包中為目的端口號(hào)。如果沒(méi)有尋找到和數(shù)據(jù)包中協(xié)議信息相匹配的服務(wù)列表子節(jié)點(diǎn),或者下一節(jié)點(diǎn)為空,則丟棄此數(shù)據(jù)包。
步驟45’如果下一節(jié)點(diǎn)為源Ip地址子節(jié)點(diǎn),則用ip頭中源ip地址比對(duì)源Ip列表子節(jié)點(diǎn),如果沒(méi)有尋找到和數(shù)據(jù)包中源ip地址相匹配的源ip地址子節(jié)點(diǎn),或者下一節(jié)點(diǎn)為空,則丟棄此數(shù)據(jù)包。
步驟46’如果下一節(jié)點(diǎn)為目的Ip地址子節(jié)點(diǎn),則用ip頭中目的ip地址比對(duì)目的Ip列表子節(jié)點(diǎn),如果沒(méi)有尋找到和數(shù)據(jù)包中源目的ip地址相匹配的目的ip地址子節(jié)點(diǎn),或者下一節(jié)點(diǎn)為空,則丟棄此數(shù)據(jù)包。
步驟47’如果下節(jié)點(diǎn)為動(dòng)作子節(jié)點(diǎn),比對(duì)時(shí)間策略,如果不在容許時(shí)間范圍內(nèi)返回拒絕動(dòng)作。否則返回策略子節(jié)點(diǎn)默認(rèn)動(dòng)作。
步驟48’如果下一節(jié)點(diǎn)為應(yīng)用協(xié)議策略,則構(gòu)造相應(yīng)的應(yīng)用協(xié)議策略交由應(yīng)用協(xié)議分析引擎作進(jìn)一步處理。
步驟49’統(tǒng)計(jì)數(shù)據(jù)包動(dòng)作信息,為拒絕服務(wù)攻擊提供參考依據(jù)。通過(guò)網(wǎng)卡區(qū)域?qū)傩约癷p地址信息分析地址欺騙攻擊。
如果策略返回拒絕動(dòng)作,防火墻丟棄此數(shù)據(jù)包。如果返回接受,防火墻把返回的數(shù)據(jù)包的各項(xiàng)信息注入狀態(tài)表處理模塊,對(duì)會(huì)話連接進(jìn)行跟蹤。
本發(fā)明解決了大型網(wǎng)絡(luò)環(huán)境下,在防火墻上配置眾多安全策略,而造成的防火墻性能瓶頸。在另一個(gè)方面,直觀表現(xiàn)用戶網(wǎng)絡(luò)的安全部署狀況,方便了用戶對(duì)安全策略的管理,從某種角度上來(lái)說(shuō),提高了防火墻的安全性。
權(quán)利要求
1.一種基于策略樹的報(bào)文分組過(guò)濾及管理方法,其特征在于它至少包括步驟1對(duì)用戶配置策略做策略樹預(yù)編譯;步驟2由預(yù)編譯文件生成策略樹內(nèi)存映像;步驟3數(shù)據(jù)包預(yù)處理;步驟4數(shù)據(jù)包注入策略樹分析引擎;步驟5得到數(shù)據(jù)包下一步安全動(dòng)作。
2.根據(jù)權(quán)利要求1所述的一種基于策略樹的報(bào)文分組過(guò)濾及管理方法;包括配置樹形用戶策略,其特征在于步驟1配置訪問(wèn)外網(wǎng)安全策略;步驟2配置訪問(wèn)內(nèi)網(wǎng)的安全策略;配置訪問(wèn)外網(wǎng)安全策略,上面步驟1可具體為步驟11增加所要訪問(wèn)外網(wǎng)的服務(wù)節(jié)點(diǎn),包括源端口目的端口及服務(wù)應(yīng)用類型;步驟12添加源地址允許列表;步驟13添加目的地址允許列表;步驟14添加時(shí)間策略信息;步驟15添加策略動(dòng)作,或應(yīng)用協(xié)議策略信息;配置訪問(wèn)內(nèi)網(wǎng)的安全策略,上面策略2可具體為步驟11增加在內(nèi)網(wǎng)的主機(jī)節(jié)點(diǎn)。主機(jī)節(jié)點(diǎn)可為ip地址或ip地址段;步驟12增加所要訪問(wèn)內(nèi)網(wǎng)的服務(wù)節(jié)點(diǎn),包括源端口目的端口及服務(wù)應(yīng)用類型;步驟13添加目的地址允許列表;步驟14添加時(shí)間策略信息;步驟15添加策略動(dòng)作,或應(yīng)用協(xié)議策略信息。
3.根據(jù)權(quán)利要求1所述的一種基于策略樹的報(bào)文分組過(guò)濾及管理方法;其特征在于步驟11編譯并產(chǎn)生訪問(wèn)外部的協(xié)議列表以及下面的服務(wù);步驟12編譯并產(chǎn)生訪問(wèn)外部的服務(wù)以下的策略;步驟13根據(jù)流量控制信息鏈表構(gòu)造編譯內(nèi)部地址列表;步驟14編譯并產(chǎn)生內(nèi)部保護(hù)地址段下的限制策略;步驟15編譯并產(chǎn)生保護(hù)內(nèi)部協(xié)議列表以及下面的服務(wù)和策略;步驟16編譯并產(chǎn)生保護(hù)地址段以及地址段下相應(yīng)的服務(wù)和策略;步驟17根據(jù)流量控制信息鏈表構(gòu)造編譯內(nèi)部地址列表;步驟18編譯應(yīng)用協(xié)議策略;步驟19編譯并產(chǎn)生策略樹預(yù)編譯文件。
4.根據(jù)權(quán)利要求1所述的一種基于策略樹的報(bào)文分組過(guò)濾及管理方法;其特征在于步驟21循環(huán)讀編譯文件;步驟22讀文件判斷文件下一步策略段的屬性是訪問(wèn)內(nèi)部區(qū)的策略還是訪問(wèn)外部區(qū)的策略;如果文件元素標(biāo)示為訪問(wèn)外部的策略,具體動(dòng)作為步驟23生成外部區(qū)策略根節(jié)點(diǎn);步驟24如果在預(yù)編譯策略文件中,策略元素為ip協(xié)議列表,則生成Ip協(xié)議號(hào)子節(jié)點(diǎn),掛接在前一步產(chǎn)生的父節(jié)點(diǎn)下;步驟25如果在預(yù)編譯策略文件中,策略元素為服務(wù)列表,則生成服務(wù)列表子節(jié)點(diǎn),掛接在前一步產(chǎn)生的父節(jié)點(diǎn)下;步驟26如果在預(yù)編譯策略文件中,策略元素為源Ip地址列表,則生成源Ip地址子節(jié)點(diǎn),掛接在前一步產(chǎn)生的父節(jié)點(diǎn)下;步驟27如果在預(yù)編譯策略文件中,策略元素為目的Ip地址列表,則生成目的Ip地址子節(jié)點(diǎn),掛接在前一步產(chǎn)生的父節(jié)點(diǎn)下;步驟28如果在預(yù)編譯策略文件中,策略元素為策略動(dòng)作元素,則生成策略子節(jié)點(diǎn),掛接在前一步產(chǎn)生的父節(jié)點(diǎn)下;步驟29如果在預(yù)編譯策略文件中,策略元素為應(yīng)用協(xié)議策略列表,則生成應(yīng)用協(xié)議策略子節(jié)點(diǎn),掛接在前一步產(chǎn)生的父節(jié)點(diǎn)下;如果文件元素標(biāo)示為訪問(wèn)內(nèi)部的策略,具體動(dòng)作為步驟23’生成內(nèi)部區(qū)策略根節(jié)點(diǎn);步驟24’如果在預(yù)編譯策略文件中,策略元素為內(nèi)部地址列表,則生成內(nèi)部地址子節(jié)點(diǎn),掛接在前面產(chǎn)生的父節(jié)點(diǎn)下;步驟25’如果在預(yù)編譯策略文件中,策略元素為源Ip地址列表,則生成源Ip地址子節(jié)點(diǎn),掛接在前面產(chǎn)生的父節(jié)點(diǎn)下;步驟26’如果在預(yù)編譯策略文件中,策略元素為Ip協(xié)議號(hào)地址列表,則生成Ip協(xié)議號(hào)子節(jié)點(diǎn),掛接在前面產(chǎn)生的父節(jié)點(diǎn)下;步驟27’如果在預(yù)編譯策略文件中,策略元素為服務(wù)列表,則生成服務(wù)列表子節(jié)點(diǎn),掛接在前面產(chǎn)生的父節(jié)點(diǎn)下;步驟28’如果在預(yù)編譯策略文件中,策略元素為策略動(dòng)作元素,則生成策略子節(jié)點(diǎn),掛接在前一步產(chǎn)生的父節(jié)點(diǎn)下;步驟29如果在預(yù)編譯策略文件中,策略元素為應(yīng)用協(xié)議策略列表,則生成應(yīng)用協(xié)議策略子節(jié)點(diǎn),掛接在前一步產(chǎn)生的父節(jié)點(diǎn)下。
5.根據(jù)權(quán)利要求1所述的一種基于策略樹的報(bào)文分組過(guò)濾及管理方法;其特征在于步驟41取數(shù)據(jù)包ip層及傳輸層頭信息;步驟42根據(jù)數(shù)據(jù)包的來(lái)源網(wǎng)卡區(qū)域?qū)傩詷?biāo)示信息決定搜索節(jié)點(diǎn)為訪問(wèn)外部策略根節(jié)點(diǎn)還是訪問(wèn)內(nèi)部策略根節(jié)點(diǎn)。如果此網(wǎng)卡未分配任何區(qū)域?qū)傩詷?biāo)示則直接返回拒絕動(dòng)作,丟棄此數(shù)據(jù)包;如果是訪問(wèn)節(jié)點(diǎn)為內(nèi)部策略根節(jié)點(diǎn),具體動(dòng)作為步驟43對(duì)于從外網(wǎng)卡接收到的數(shù)據(jù)包。從內(nèi)部策略根節(jié)點(diǎn)開始搜索,首先查找根節(jié)點(diǎn)下的內(nèi)部地址子節(jié)點(diǎn),如果沒(méi)有尋找到和數(shù)據(jù)包中目的地址相匹配的內(nèi)部地址子節(jié)點(diǎn),或者下一節(jié)點(diǎn)為空,則丟棄此數(shù)據(jù)包;步驟44如果下一節(jié)點(diǎn)為源Ip地址子節(jié)點(diǎn),則用ip頭中源ip地址比對(duì)源Ip列表子節(jié)點(diǎn),如果沒(méi)有尋找到和數(shù)據(jù)包中源ip地址相匹配的源ip地址子節(jié)點(diǎn),或者下一節(jié)點(diǎn)為空,則丟棄此數(shù)據(jù)包;步驟45如果下一節(jié)點(diǎn)為Ip協(xié)議號(hào)子節(jié)點(diǎn),用ip頭中的協(xié)議號(hào)比對(duì)IP協(xié)議子節(jié)點(diǎn),如果沒(méi)有尋找到和數(shù)據(jù)包中ip協(xié)議號(hào)相匹配的ip協(xié)議子節(jié)點(diǎn),或者下一節(jié)點(diǎn)為空,則丟棄此數(shù)據(jù)包;步驟46根據(jù)傳輸層協(xié)議頭中協(xié)議信息查找服務(wù)列表子節(jié),其中協(xié)議信息在tcp及udp數(shù)據(jù)包中為目的端口號(hào)。如果沒(méi)有尋找到和數(shù)據(jù)包中協(xié)議信息相匹配的服務(wù)列表子節(jié)點(diǎn),或者下一節(jié)點(diǎn)為空,則丟棄此數(shù)據(jù)包;步驟47如果下節(jié)點(diǎn)為動(dòng)作子節(jié)點(diǎn),比對(duì)時(shí)間策略,如果不在容許時(shí)間范圍內(nèi)返回拒絕動(dòng)作。否則返回策略子節(jié)點(diǎn)默認(rèn)動(dòng)作;步驟48如果下一節(jié)點(diǎn)為應(yīng)用協(xié)議策略,則構(gòu)造相應(yīng)的應(yīng)用協(xié)議策略交由應(yīng)用協(xié)議分析引擎作進(jìn)一步處理;步驟49統(tǒng)計(jì)數(shù)據(jù)包動(dòng)作信息,為拒絕服務(wù)攻擊攻擊提供參考。通過(guò)網(wǎng)卡區(qū)域?qū)傩约癷p地址信息分析地址欺騙攻擊;如果是訪問(wèn)節(jié)點(diǎn)為外部策略根節(jié)點(diǎn),具體動(dòng)作為步驟43’查找Ip協(xié)議號(hào)子節(jié)點(diǎn),用ip頭中的協(xié)議號(hào)比對(duì)IP協(xié)議子節(jié)點(diǎn),如果沒(méi)有尋找到和數(shù)據(jù)包中ip協(xié)議號(hào)相匹配的ip協(xié)議子節(jié)點(diǎn),或者下一節(jié)點(diǎn)為空,則丟棄此數(shù)據(jù)包;步驟44’根據(jù)傳輸層協(xié)議頭中協(xié)議信息查找服務(wù)列表子節(jié),其中協(xié)議信息在tcp及udp數(shù)據(jù)包中為目的端口號(hào)。如果沒(méi)有尋找到和數(shù)據(jù)包中協(xié)議信息相匹配的服務(wù)列表子節(jié)點(diǎn),或者下一節(jié)點(diǎn)為空,則丟棄此數(shù)據(jù)包;步驟45’如果下一節(jié)點(diǎn)為源Ip地址子節(jié)點(diǎn),則用ip頭中源ip地址比對(duì)源Ip列表子節(jié)點(diǎn),如果沒(méi)有尋找到和數(shù)據(jù)包中源ip地址相匹配的源ip地址子節(jié)點(diǎn),或者下一節(jié)點(diǎn)為空,則丟棄此數(shù)據(jù)包;步驟46’如果下一節(jié)點(diǎn)為目的Ip地址子節(jié)點(diǎn),則用ip頭中目的ip地址比對(duì)目的Ip列表子節(jié)點(diǎn),如果沒(méi)有尋找到和數(shù)據(jù)包中源目的p地址相匹配的目的ip地址子節(jié)點(diǎn),或者下一節(jié)點(diǎn)為空,則丟棄此數(shù)據(jù)包;步驟47’如果下節(jié)點(diǎn)為動(dòng)作子節(jié)點(diǎn),比對(duì)時(shí)間策略,如果不在容許時(shí)間范圍內(nèi)返回拒絕動(dòng)作。否則返回策略子節(jié)點(diǎn)默認(rèn)動(dòng)作;步驟48’如果下一節(jié)點(diǎn)為應(yīng)用協(xié)議策略,則構(gòu)造相應(yīng)的應(yīng)用協(xié)議策略交由應(yīng)用協(xié)議分析引擎作進(jìn)一步處理;步驟49’統(tǒng)計(jì)數(shù)據(jù)包動(dòng)作信息,為拒絕服務(wù)攻擊攻擊提供參考。通過(guò)網(wǎng)卡區(qū)域?qū)傩约癷p地址信息分析地址欺騙攻擊。
6.根據(jù)權(quán)利要求5所述的一種基于策略樹的報(bào)文分組過(guò)濾及管理方法;其特征在于其所至少可以統(tǒng)計(jì)拒絕服務(wù)攻擊、地址欺騙攻擊的相關(guān)信息。
全文摘要
一種基于策略樹的報(bào)文分組過(guò)濾及管理方法,包括首先對(duì)用戶配置策略做策略樹預(yù)編譯;由預(yù)編譯文件生成策略樹內(nèi)存映像;數(shù)據(jù)包預(yù)處理,得到網(wǎng)卡分區(qū)屬性等信息;然后數(shù)據(jù)包注入策略樹分析引擎,得到數(shù)據(jù)包下一步動(dòng)作以及連接的相關(guān)屬性。減少規(guī)則數(shù)量對(duì)查找性能的影響,高速完成防火墻對(duì)報(bào)文分組與過(guò)濾的方法。相對(duì)應(yīng)提供給用戶易于理解的樹狀策略配置方式,使用戶對(duì)整個(gè)網(wǎng)絡(luò)的安全策略配置情況有一個(gè)直觀的了解,盡量避免由誤操作帶來(lái)的安全隱患。
文檔編號(hào)H04L12/56GK1604564SQ20041006518
公開日2005年4月6日 申請(qǐng)日期2004年10月29日 優(yōu)先權(quán)日2004年10月29日
發(fā)明者蔡圣聞, 齊競(jìng)艷, 李論, 秦立鵬 申請(qǐng)人:江蘇南大蘇富特軟件股份有限公司, 南京大學(xué)