一種用于分布式防火墻系統(tǒng)的數(shù)據(jù)包過(guò)濾方法
【專利摘要】本發(fā)明公開(kāi)一種用于分布式防火墻系統(tǒng)的數(shù)據(jù)包過(guò)濾方法,包括:策略中心預(yù)設(shè)5元組過(guò)濾規(guī)則和內(nèi)容過(guò)濾規(guī)則;判斷所述數(shù)據(jù)包的5元組與所述5元組過(guò)濾規(guī)則是否匹配,若是,則丟棄該數(shù)據(jù)包,若否,則將該數(shù)據(jù)包發(fā)送對(duì)應(yīng)的主機(jī)防火墻;主機(jī)防火墻接收數(shù)據(jù)包并判斷到達(dá)網(wǎng)絡(luò)防火墻的數(shù)據(jù)包是否是IPSec數(shù)據(jù)包,若是,則采用具有IPSec數(shù)據(jù)包加密處理能力的鉤子來(lái)提取和解密IPSec數(shù)據(jù)包;根據(jù)所述內(nèi)容過(guò)濾規(guī)則對(duì)接收到的數(shù)據(jù)包進(jìn)行過(guò)濾,若所述數(shù)據(jù)包的內(nèi)容與內(nèi)容過(guò)濾規(guī)則匹配,則丟棄該數(shù)據(jù)包,若所述數(shù)據(jù)包的內(nèi)容與內(nèi)容過(guò)濾規(guī)則不匹配,則接收該數(shù)據(jù)包。本發(fā)明能過(guò)濾IPSec數(shù)據(jù)包,提高IPv6網(wǎng)絡(luò)的網(wǎng)絡(luò)安全。
【專利說(shuō)明】一種用于分布式防火墻系統(tǒng)的數(shù)據(jù)包過(guò)濾方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域,特別是一種用于分布式防火墻系統(tǒng)的數(shù)據(jù)包過(guò)濾方法。
【背景技術(shù)】
[0002]隨著互聯(lián)網(wǎng)的發(fā)展,IPv6將作為下一代互聯(lián)網(wǎng)協(xié)議而逐步的取代IPv4。IPv6帶來(lái)了許多新的特性、可能性和改進(jìn),特別是考慮到簡(jiǎn)單、路由速度、服務(wù)和安全性的質(zhì)量。IPv6協(xié)議的存在對(duì)典型的網(wǎng)絡(luò)保護(hù)機(jī)制提出了新的要求。例如,IPv6的安全事故與IPv4的安全事故是不同的,因?yàn)榘踩艨梢元?dú)立于IP層,而在傳輸層或應(yīng)用層的薄弱點(diǎn)進(jìn)行。
[0003]防火墻是最重要的網(wǎng)絡(luò)安全機(jī)制之一。他們作為網(wǎng)絡(luò)流量過(guò)濾器用于過(guò)濾進(jìn)入或離開(kāi)本地網(wǎng)絡(luò)的所有流量。對(duì)于IPv4網(wǎng)絡(luò)有很多防火墻軟件應(yīng)用于不同的平臺(tái)。但I(xiàn)Pv4的防火墻不能被直接部署在IPv6網(wǎng)絡(luò),因?yàn)樵跀?shù)據(jù)包過(guò)濾的可能性上,IPv4和IPv6之間存在著一些差異。防火墻是IPv6部署的一個(gè)障礙,因?yàn)樗穸?IPv6的好處,如直接端對(duì)端通信和IPSec (簡(jiǎn)稱IP安全性)。
[0004]IPSec強(qiáng)制性的使IPv6全面支持安全服務(wù),并且同樣地,將被頻繁地使用在IPv6網(wǎng)絡(luò)。IPSec提供了一種方法用于保護(hù)IP數(shù)據(jù)包,通過(guò)定義一種方法來(lái)指定要保護(hù)的流量,流量是怎么樣被保護(hù)的,以及流量是向誰(shuí)發(fā)送的?;贗PSec加密通信,最初是設(shè)計(jì)用來(lái)防止中間通訊的偽造和竊聽(tīng)。然而,對(duì)于企業(yè)網(wǎng)絡(luò)的管理員來(lái)說(shuō),它可能是不受歡迎的,因?yàn)楫?dāng)數(shù)據(jù)離開(kāi)用戶終端時(shí)會(huì)被加密,導(dǎo)致它們不能觀察用戶的行為。
[0005]IPSec定義了兩種報(bào)文格式,認(rèn)證頭(AH)和封裝安全負(fù)載(ESP)。認(rèn)證頭(AH)對(duì)整個(gè)IP數(shù)據(jù)包提供無(wú)連接的完整性和數(shù)據(jù)源認(rèn)證說(shuō)明。封裝安全負(fù)載(ESP)提供機(jī)密性,數(shù)據(jù)源認(rèn)證,無(wú)連接的完整性描述。在傳輸模式的操作下,原始IP頭被保留,新的ESP或AH頭插在IP報(bào)頭和TCP等上層傳輸協(xié)議的報(bào)頭之間。因此,使用傳輸模式意味著在IP報(bào)文的實(shí)際源和目的地之間使用IPSec。在隧道模式的操作下,整個(gè)IP分組被保護(hù)且封裝在另一個(gè)IP數(shù)據(jù)報(bào)中,并且IPsec報(bào)頭插在IP報(bào)頭的外部和內(nèi)部之間。在隧道模式下的通信端點(diǎn)被指定為在IP報(bào)頭內(nèi),加密端點(diǎn)指那些出現(xiàn)在IP報(bào)頭外的。由于隧道模式提供的這種靈活性,它是最為廣泛地應(yīng)用于建立虛擬專用網(wǎng)絡(luò)?;谌缟纤龅谋尘?,AH數(shù)據(jù)包可以被防火墻過(guò)濾,因?yàn)閿?shù)據(jù)包是不加密的,而ESP的數(shù)據(jù)包不能被過(guò)濾,因?yàn)镋SP提供機(jī)密性,致使攻擊者可以繞過(guò)數(shù)據(jù)包過(guò)濾系統(tǒng)的訪問(wèn)控制,對(duì)網(wǎng)絡(luò)用戶進(jìn)行非法的訪問(wèn)與攻擊,造成用戶的損失。
【發(fā)明內(nèi)容】
[0006]本發(fā)明所要解決的技術(shù)問(wèn)題是:提供一種用于分布式防火墻系統(tǒng)的數(shù)據(jù)包過(guò)濾方法,解決現(xiàn)有的數(shù)據(jù)包過(guò)濾方法不具備處理加密的IPSec數(shù)據(jù)包功能而致使攻擊者可以繞過(guò)數(shù)據(jù)包過(guò)濾系統(tǒng)的訪問(wèn)控制對(duì)網(wǎng)絡(luò)用戶進(jìn)行非法的訪問(wèn)與攻擊。
[0007]為了解決上述技術(shù)問(wèn)題,本發(fā)明采用的技術(shù)方案為:一種用于分布式防火墻系統(tǒng)的數(shù)據(jù)包過(guò)濾方法,包括步驟:
[0008]S1、策略中心預(yù)設(shè)5元組過(guò)濾規(guī)則和內(nèi)容過(guò)濾規(guī)則,所述5元組過(guò)濾規(guī)則應(yīng)用于網(wǎng)絡(luò)防火墻,所述內(nèi)容過(guò)濾規(guī)則應(yīng)用于主機(jī)防火墻;
[0009]S2、提取到達(dá)網(wǎng)絡(luò)防火墻的數(shù)據(jù)包,判斷所述數(shù)據(jù)包的5元組與所述5元組過(guò)濾規(guī)則是否匹配,若是,則丟棄該數(shù)據(jù)包,若否,則將該數(shù)據(jù)包發(fā)送對(duì)應(yīng)的主機(jī)防火墻;
[0010]S3、主機(jī)防火墻接收數(shù)據(jù)包,判斷所述數(shù)據(jù)包是否為加密的IPSec數(shù)據(jù)包,若是,則采用具有IPSec數(shù)據(jù)包加密處理能力的鉤子來(lái)提取和解密IPSec數(shù)據(jù)包并在解密后轉(zhuǎn)至步驟S4,若否,則轉(zhuǎn)至步驟S4;
[0011]S4、主機(jī)防火墻根據(jù)所述內(nèi)容過(guò)濾規(guī)則對(duì)接收到的數(shù)據(jù)包進(jìn)行過(guò)濾,若所述數(shù)據(jù)包的內(nèi)容與內(nèi)容過(guò)濾規(guī)則匹配,則丟棄該數(shù)據(jù)包,若所述數(shù)據(jù)包的內(nèi)容與內(nèi)容過(guò)濾規(guī)則不匹配,則接收該數(shù)據(jù)包。
[0012]本發(fā)明的有益效果在于:區(qū)別于現(xiàn)有的網(wǎng)絡(luò)防火墻無(wú)法過(guò)濾IPSec數(shù)據(jù)包,存在嚴(yán)重的網(wǎng)絡(luò)安全問(wèn)題,本發(fā)明通過(guò)設(shè)置5元組過(guò)濾規(guī)則和內(nèi)容過(guò)濾規(guī)則對(duì)數(shù)據(jù)包進(jìn)行過(guò)濾,并在主機(jī)防火墻采用具有IPSec數(shù)據(jù)包加密處理能力的鉤子來(lái)提取和解密IPSec數(shù)據(jù)包,將數(shù)據(jù)包轉(zhuǎn)換成IPv6結(jié)構(gòu)的數(shù)據(jù)包,使加密的IPSec數(shù)據(jù)包也能被過(guò)濾,從而能有效防止攻擊者繞過(guò)數(shù)據(jù)包過(guò)濾系統(tǒng)的訪問(wèn)控制對(duì)網(wǎng)絡(luò)用戶進(jìn)行非法訪問(wèn)與攻擊,進(jìn)一步加強(qiáng)了IPv6網(wǎng)絡(luò)安全的防護(hù)。
【專利附圖】
【附圖說(shuō)明】
[0013]圖1為本發(fā)明一實(shí)施方式用于分布式防火墻系統(tǒng)的數(shù)據(jù)包過(guò)濾方法的流程圖;
[0014]圖2為本發(fā)明一實(shí)施方式中網(wǎng)絡(luò)防火墻5元組過(guò)濾規(guī)則過(guò)濾流程圖;
[0015]圖3為本發(fā)明一實(shí)施方式中主機(jī)防火墻內(nèi)容過(guò)濾規(guī)則的過(guò)濾流程圖;
[0016]圖4為本發(fā)明一實(shí)施方式用于分布式防火墻系統(tǒng)的數(shù)據(jù)包過(guò)濾方法的完整流程圖;
[0017]圖5為本發(fā)明一實(shí)施方式中分布式防火墻系統(tǒng)體系結(jié)構(gòu)圖。
【具體實(shí)施方式】
[0018]為詳細(xì)說(shuō)明本發(fā)明的技術(shù)內(nèi)容、所實(shí)現(xiàn)目的及效果,以下結(jié)合實(shí)施方式并配合附圖予以說(shuō)明。
[0019]本發(fā)明最關(guān)鍵的構(gòu)思在于:采用具有IPSec數(shù)據(jù)包加密處理能力的鉤子來(lái)提取和解密IPSec數(shù)據(jù),并通過(guò)5元組過(guò)濾規(guī)則和內(nèi)容過(guò)濾規(guī)則在網(wǎng)絡(luò)防火墻和主機(jī)防火墻對(duì)數(shù)據(jù)包進(jìn)行過(guò)濾,提高網(wǎng)絡(luò)安全。
[0020]請(qǐng)參照?qǐng)D1,一種用于分布式防火墻系統(tǒng)的數(shù)據(jù)包過(guò)濾方法,包括步驟:
[0021]S1、策略中心預(yù)設(shè)5元組過(guò)濾規(guī)則和內(nèi)容過(guò)濾規(guī)則,所述5元組過(guò)濾規(guī)則應(yīng)用于網(wǎng)絡(luò)防火墻,所述內(nèi)容過(guò)濾規(guī)則應(yīng)用于主機(jī)防火墻;
[0022]S2、提取到達(dá)網(wǎng)絡(luò)防火墻的數(shù)據(jù)包,判斷所述數(shù)據(jù)包的5元組與所述5元組過(guò)濾規(guī)則是否匹配,若是,則丟棄該數(shù)據(jù)包,若否,則將該數(shù)據(jù)包發(fā)送對(duì)應(yīng)的主機(jī)防火墻;
[0023]S3、主機(jī)防火墻接收數(shù)據(jù)包,判斷所述數(shù)據(jù)包是否為加密的IPSec數(shù)據(jù)包,若是,則采用具有IPSec數(shù)據(jù)包加密處理能力的鉤子來(lái)提取和解密IPSec數(shù)據(jù)包并在解密后轉(zhuǎn)至步驟S4,若否,則轉(zhuǎn)至步驟S4;
[0024]S4、主機(jī)防火墻根據(jù)所述內(nèi)容過(guò)濾規(guī)則對(duì)接收到的數(shù)據(jù)包進(jìn)行過(guò)濾,若所述數(shù)據(jù)包的內(nèi)容與內(nèi)容過(guò)濾規(guī)則匹配,則丟棄該數(shù)據(jù)包,若所述數(shù)據(jù)包的內(nèi)容與內(nèi)容過(guò)濾規(guī)則不匹配,則接收該數(shù)據(jù)包。
[0025]其中,5元組過(guò)濾規(guī)則是網(wǎng)絡(luò)防火墻分析數(shù)據(jù)包頭部的五元組:源地址、目的地址、源端口、目的端口、協(xié)議類型,通過(guò)訪問(wèn)控制表進(jìn)行判斷,對(duì)數(shù)據(jù)包實(shí)施有選擇的通過(guò),如果滿足數(shù)據(jù)包過(guò)濾丟棄的規(guī)則,則丟棄該數(shù)據(jù)包,否則該數(shù)據(jù)包轉(zhuǎn)發(fā)給主機(jī)防火墻進(jìn)行內(nèi)容過(guò)濾。
[0026]從上述描述可知,本發(fā)明的有益效果在于:本發(fā)明通過(guò)設(shè)置5元組過(guò)濾規(guī)則和內(nèi)容過(guò)濾規(guī)則對(duì)數(shù)據(jù)包進(jìn)行過(guò)濾,并在主機(jī)防火墻采用具有IPSec數(shù)據(jù)包加密處理能力的鉤子來(lái)提取和解密IPSec數(shù)據(jù)包,將數(shù)據(jù)包轉(zhuǎn)換成IPv6結(jié)構(gòu)的數(shù)據(jù)包,使加密的IPSec數(shù)據(jù)包也能被過(guò)濾,從而能有效防止攻擊者繞過(guò)數(shù)據(jù)包過(guò)濾系統(tǒng)的訪問(wèn)控制對(duì)網(wǎng)絡(luò)用戶進(jìn)行非法訪問(wèn)與攻擊,進(jìn)一步加強(qiáng)了 IPv6網(wǎng)絡(luò)安全的防護(hù),本發(fā)明特別適用于IPv6網(wǎng)絡(luò)。
[0027]進(jìn)一步的,在所述步驟S2中,所述IPSec數(shù)據(jù)包被解釋成IPv6結(jié)構(gòu)數(shù)據(jù)包,并且對(duì)數(shù)據(jù)包進(jìn)行分類。
[0028]由上述描述可知,將IPSec數(shù)據(jù)包轉(zhuǎn)換成IPv6結(jié)構(gòu)的數(shù)據(jù)包,使IPSec能夠更好的適用于IPv6網(wǎng)絡(luò),從而進(jìn)行網(wǎng)絡(luò)的流量控制保護(hù),提高IPv6網(wǎng)絡(luò)的安全性。
[0029]進(jìn)一步的,在所述步驟S4中,主機(jī)防火墻還檢測(cè)所述數(shù)據(jù)包中是否包含敏感字段,當(dāng)檢測(cè)到敏感字段時(shí),通知策略中心更新一個(gè)新的規(guī)則并將該新規(guī)則發(fā)送給所有的網(wǎng)絡(luò)防火墻;
[0030]當(dāng)網(wǎng)絡(luò)防火墻檢測(cè)到包含有敏感字段的數(shù)據(jù)包時(shí),則將該數(shù)據(jù)包丟棄掉。
[0031]由上述描述可知,通過(guò)本技術(shù)方案可以第一時(shí)間發(fā)明網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包中是否包含敏感字段,并能及時(shí)更新過(guò)濾規(guī)則以及過(guò)濾掉包含有敏感字段的數(shù)據(jù)包。
[0032]進(jìn)一步的,所述“具有IPSec數(shù)據(jù)包加密處理能力的鉤子”為一組Linux內(nèi)核中具有IPSec數(shù)據(jù)包加密處理能力的鉤子。
[0033]請(qǐng)參照?qǐng)D2、圖3、圖4和圖5,本發(fā)明的實(shí)施例一為:一種用于分布式防火墻系統(tǒng)的數(shù)據(jù)包過(guò)濾方法,如圖5所示,該實(shí)施方式采用分布式防火墻系統(tǒng)結(jié)構(gòu),其中策略中心與策略數(shù)據(jù)庫(kù)通信連接,策略中心與網(wǎng)絡(luò)防火墻通過(guò)互聯(lián)網(wǎng)連接,網(wǎng)絡(luò)防火墻與主機(jī)防火墻通過(guò)互聯(lián)網(wǎng)連接。
[0034]在策略中心定義兩種類型的數(shù)據(jù)包過(guò)濾規(guī)則:5元組過(guò)濾規(guī)則和內(nèi)容過(guò)濾規(guī)則,分別分布于網(wǎng)絡(luò)防火墻和主機(jī)防火墻。
[0035]如圖2所示,所述5元組過(guò)濾規(guī)則為網(wǎng)絡(luò)防火墻分析數(shù)據(jù)包頭部的五元組:源地址、目的地址、源端口、目的端口、協(xié)議類型,通過(guò)訪問(wèn)控制表進(jìn)行判斷,對(duì)數(shù)據(jù)包實(shí)施有選擇的通過(guò),如果滿足數(shù)據(jù)包過(guò)濾丟棄的規(guī)則,則丟棄該數(shù)據(jù)包,否則該數(shù)據(jù)包轉(zhuǎn)發(fā)給主機(jī)防火墻進(jìn)行內(nèi)容過(guò)濾。
[0036]所謂訪問(wèn)控制列表指的是:防火墻為了過(guò)濾數(shù)據(jù)包,需要配置一系列的規(guī)則,以決定什么樣的數(shù)據(jù)包能夠通過(guò),這些規(guī)則就是通過(guò)訪問(wèn)控制列表ACL定義的。訪問(wèn)控制列表是由permit/deny語(yǔ)句組成的一系列有順序的規(guī)則,這些規(guī)則根據(jù)數(shù)據(jù)包的源地址、目的地址、端口號(hào)、協(xié)議類型等來(lái)描述。ACL通過(guò)這些規(guī)則對(duì)數(shù)據(jù)包進(jìn)行分類,這些規(guī)則應(yīng)用到防火墻的路由器接口上,路由器根據(jù)這些規(guī)則判斷哪些數(shù)據(jù)包可以接收,哪些數(shù)據(jù)包需要拒絕。
[0037]如圖3和圖4所示,主機(jī)防火墻處理轉(zhuǎn)發(fā)過(guò)來(lái)的數(shù)據(jù)包,(特別地,對(duì)于IPSec數(shù)據(jù)包,將利用具有IPSec數(shù)據(jù)包加密處理能力的鉤子提取解密的IPSec數(shù)據(jù)包,數(shù)據(jù)包被解釋為IPv6數(shù)據(jù)包結(jié)構(gòu),并且進(jìn)行分類。)將存儲(chǔ)的配置信息如需匹配的特征碼、關(guān)鍵字信息,與數(shù)據(jù)包中的特征碼、關(guān)鍵字等信息進(jìn)行匹配,通過(guò)檢測(cè)數(shù)據(jù)包內(nèi)容中出現(xiàn)的非法特征碼、關(guān)鍵字等信息來(lái)分析,判斷,對(duì)沒(méi)有出現(xiàn)非法關(guān)鍵字的數(shù)據(jù)包直接接受,對(duì)出現(xiàn)非法關(guān)鍵字的數(shù)據(jù)包直接丟棄,并通知策略中心更新規(guī)則庫(kù),發(fā)布到網(wǎng)絡(luò)防火墻。當(dāng)包含一些敏感字段的數(shù)據(jù)包出現(xiàn)在網(wǎng)絡(luò)中,網(wǎng)絡(luò)防火墻將會(huì)丟棄掉,因此其他的主機(jī)將不會(huì)接收到該數(shù)據(jù)包。
[0038]由本實(shí)施方式可得,本用于分布式防火墻系統(tǒng)的數(shù)據(jù)包過(guò)濾方法可以適用于IPv6網(wǎng)絡(luò),其可以處理加密的IPSec數(shù)據(jù)包,進(jìn)一步加強(qiáng)了 IPv6網(wǎng)絡(luò)安全的防護(hù)。
[0039]綜上所述,本發(fā)明提供的用于分布式防火墻系統(tǒng)的數(shù)據(jù)包過(guò)濾方法不僅能夠處理加密后的IPSec數(shù)據(jù)包,提高了 IPv6網(wǎng)絡(luò)安全的防護(hù),并且本發(fā)明能夠根據(jù)檢測(cè)到的敏感字段及時(shí)更新檢測(cè)規(guī)則,進(jìn)一步提高了網(wǎng)絡(luò)安全。
[0040]以上所述僅為本發(fā)明的實(shí)施例,并非因此限制本發(fā)明的專利范圍,凡是利用本發(fā)明說(shuō)明書(shū)及附圖內(nèi)容所作的等同變換,或直接或間接運(yùn)用在相關(guān)的【技術(shù)領(lǐng)域】,均同理包括在本發(fā)明的專利保護(hù)范圍內(nèi)。
【權(quán)利要求】
1.一種用于分布式防火墻系統(tǒng)的數(shù)據(jù)包過(guò)濾方法,其特征在于,包括步驟: 51、策略中心預(yù)設(shè)5元組過(guò)濾規(guī)則和內(nèi)容過(guò)濾規(guī)則,所述5元組過(guò)濾規(guī)則應(yīng)用于網(wǎng)絡(luò)防火墻,所述內(nèi)容過(guò)濾規(guī)則應(yīng)用于主機(jī)防火墻; 52、提取到達(dá)網(wǎng)絡(luò)防火墻的數(shù)據(jù)包,判斷所述數(shù)據(jù)包的5元組與所述5元組過(guò)濾規(guī)則是否匹配,若是,則丟棄該數(shù)據(jù)包,若否,則將該數(shù)據(jù)包發(fā)送對(duì)應(yīng)的主機(jī)防火墻; 53、主機(jī)防火墻接收數(shù)據(jù)包,判斷所述數(shù)據(jù)包是否為加密的IPSec數(shù)據(jù)包,若是,則采用具有IPSec數(shù)據(jù)包加密處理能力的鉤子來(lái)提取和解密IPSec數(shù)據(jù)包并在解密后轉(zhuǎn)至步驟S4,若否,則轉(zhuǎn)至步驟S4; 54、主機(jī)防火墻根據(jù)所述內(nèi)容過(guò)濾規(guī)則對(duì)接收到的數(shù)據(jù)包進(jìn)行過(guò)濾,若所述數(shù)據(jù)包的內(nèi)容與內(nèi)容過(guò)濾規(guī)則匹配,則丟棄該數(shù)據(jù)包,若所述數(shù)據(jù)包的內(nèi)容與內(nèi)容過(guò)濾規(guī)則不匹配,則接收該數(shù)據(jù)包。
2.根據(jù)權(quán)利要求1所述的用于分布式防火墻系統(tǒng)的數(shù)據(jù)包過(guò)濾方法,其特征在于,在所述步驟S3中,所述IPSec數(shù)據(jù)包被解釋成IPv6結(jié)構(gòu)數(shù)據(jù)包,并且對(duì)數(shù)據(jù)包進(jìn)行分類。
3.根據(jù)權(quán)利要求2所述的用于分布式防火墻系統(tǒng)的數(shù)據(jù)包過(guò)濾方法,其特征在于,在所述步驟S4中,主機(jī)防火墻還檢測(cè)所述數(shù)據(jù)包中是否包含敏感字段,當(dāng)檢測(cè)到敏感字段時(shí),通知策略中心更新一個(gè)新的規(guī)則并將該新規(guī)則發(fā)送給所有的網(wǎng)絡(luò)防火墻; 當(dāng)網(wǎng)絡(luò)防火墻檢測(cè)到包含有敏感字段的數(shù)據(jù)包時(shí),則將該數(shù)據(jù)包丟棄掉。
4.根據(jù)權(quán)利要求1所述的用于分布式防火墻系統(tǒng)的數(shù)據(jù)包過(guò)濾方法,其特征在于,所述“具有IPSec數(shù)據(jù)包加密處理能力的鉤子”為一組Linux內(nèi)核中具有IPSec數(shù)據(jù)包加密處理能力的鉤子。
【文檔編號(hào)】H04L29/06GK104333549SQ201410589071
【公開(kāi)日】2015年2月4日 申請(qǐng)日期:2014年10月28日 優(yōu)先權(quán)日:2014年10月28日
【發(fā)明者】葉阿勇, 陳秋玲, 許力 申請(qǐng)人:福建師范大學(xué)