本發(fā)明涉及信息處理
技術(shù)領(lǐng)域:
:�,特別是涉及一種數(shù)據(jù)包過(guò)濾規(guī)則的處理方法及裝置。
背景技術(shù):
::伴隨著終端及通信技術(shù)的快速發(fā)展�,人們對(duì)通信過(guò)程中數(shù)據(jù)的安全性越來(lái)越重視,通常的做法為在終端中安裝防火墻���,通過(guò)該防火墻(Firewall)對(duì)通信過(guò)程中的數(shù)據(jù)安全進(jìn)行防護(hù)�����。目前��,以安卓系統(tǒng)的終端為例�����,防火墻允許用戶配置過(guò)濾數(shù)據(jù)包的規(guī)則��,具體實(shí)現(xiàn)過(guò)程如下:防火墻通過(guò)預(yù)設(shè)接口接收用戶發(fā)送的設(shè)置請(qǐng)求���,該設(shè)置請(qǐng)求中包含包過(guò)濾規(guī)則,防火墻調(diào)用操作系統(tǒng)內(nèi)核Kernel��,由操作系統(tǒng)內(nèi)核Kernel實(shí)現(xiàn)包過(guò)濾規(guī)則的創(chuàng)建,待操作系統(tǒng)內(nèi)核Kernel創(chuàng)建完包過(guò)濾規(guī)則后���,將創(chuàng)建結(jié)果通知防火墻����,以便防火墻根據(jù)包過(guò)濾規(guī)則維護(hù)數(shù)據(jù)通信過(guò)程中的數(shù)據(jù)安全��。發(fā)明人在實(shí)現(xiàn)上述發(fā)明過(guò)程中����,發(fā)現(xiàn)現(xiàn)有技術(shù)中在調(diào)用操作系統(tǒng)內(nèi)核Kernel時(shí),只有系統(tǒng)管理員才擁有調(diào)用及使用權(quán)限�����;若用戶不是系統(tǒng)管理員�����,則需要通過(guò)root方式成為系統(tǒng)中唯一的超級(jí)用戶����,以獲得調(diào)用操作系統(tǒng)內(nèi)核Kernel的權(quán)限,實(shí)現(xiàn)過(guò)程復(fù)雜繁瑣。技術(shù)實(shí)現(xiàn)要素:有鑒于此���,本發(fā)明提供的一種數(shù)據(jù)包過(guò)濾規(guī)則的處理方法及裝置����,主要目的在于解決在用戶不是系統(tǒng)管理員的前提下����,實(shí)現(xiàn)調(diào)用操作系統(tǒng)內(nèi)核Kernel�����,以創(chuàng)建過(guò)濾規(guī)則時(shí)��,需要通過(guò)root方式成為系統(tǒng)中唯一的超級(jí)用戶�,實(shí)現(xiàn)過(guò)程復(fù)雜繁瑣。依據(jù)本發(fā)明一個(gè)方面��,本發(fā)明提供了一種數(shù)據(jù)包過(guò)濾規(guī)則的處理方法�,包括:獲取客戶端發(fā)送的數(shù)據(jù)包過(guò)濾設(shè)置請(qǐng)求,所述數(shù)據(jù)包過(guò)濾設(shè)置請(qǐng)求中包含過(guò)濾目標(biāo)及過(guò)濾類別�����;根據(jù)所述過(guò)濾目標(biāo)及過(guò)濾類別確定與所述過(guò)濾目標(biāo)對(duì)應(yīng)的網(wǎng)絡(luò)協(xié)議類型����,并將所述過(guò)濾目標(biāo)與所述網(wǎng)絡(luò)協(xié)議類型的對(duì)應(yīng)關(guān)系記錄于預(yù)設(shè)規(guī)則表中����;基于預(yù)置模組��,并根據(jù)所述預(yù)設(shè)規(guī)則表創(chuàng)建數(shù)據(jù)包過(guò)濾規(guī)則����。可選的���,基于預(yù)置模組�,并根據(jù)所述預(yù)設(shè)規(guī)則表創(chuàng)建數(shù)據(jù)包過(guò)濾規(guī)則包括:向所述預(yù)置模組發(fā)送建立通信連接請(qǐng)求��,并向所述預(yù)置模組發(fā)送創(chuàng)建數(shù)據(jù)包過(guò)濾規(guī)則的請(qǐng)求��,以便所述預(yù)置模組根據(jù)所述預(yù)設(shè)規(guī)則表創(chuàng)建所述數(shù)據(jù)包過(guò)濾規(guī)則�;接收所述預(yù)置模組返回的創(chuàng)建所述數(shù)據(jù)包過(guò)濾規(guī)則的狀態(tài)碼,所述狀態(tài)碼用于反映所述預(yù)置模組創(chuàng)建數(shù)據(jù)包過(guò)濾規(guī)則的當(dāng)前狀態(tài)�����。可選的���,將所述過(guò)濾目標(biāo)與所述網(wǎng)絡(luò)協(xié)議類型的對(duì)應(yīng)關(guān)系記錄于預(yù)設(shè)規(guī)則表中包括:獲取所述過(guò)濾目標(biāo)對(duì)應(yīng)的網(wǎng)絡(luò)協(xié)議類型����;其中����,所述網(wǎng)絡(luò)協(xié)議類型包括:TCP類型、TCP范圍類型���、UDP類型、HTTP類型��;根據(jù)所述過(guò)濾類別將所述過(guò)濾目標(biāo)與網(wǎng)絡(luò)協(xié)議類型的對(duì)應(yīng)關(guān)系存儲(chǔ)于預(yù)設(shè)黑名單規(guī)則表/預(yù)設(shè)白名單規(guī)則表中�;所述預(yù)設(shè)規(guī)則表包括預(yù)設(shè)黑名單規(guī)則表以及預(yù)設(shè)白名單規(guī)則表?����?蛇x的�,在將所述過(guò)濾目標(biāo)與所述網(wǎng)絡(luò)協(xié)議類型的對(duì)應(yīng)關(guān)系記錄于預(yù)設(shè)規(guī)則表中之后,所述方法還包括:設(shè)置網(wǎng)絡(luò)協(xié)議類型的優(yōu)先級(jí)���;根據(jù)優(yōu)先級(jí)對(duì)所述預(yù)設(shè)黑名單規(guī)則表/預(yù)設(shè)白名單規(guī)則表中過(guò)濾目標(biāo)與網(wǎng)絡(luò)協(xié)議類型的對(duì)應(yīng)關(guān)系進(jìn)行重新排序�����??蛇x的,在基于預(yù)置模組�����,并根據(jù)所述預(yù)設(shè)規(guī)則表創(chuàng)建數(shù)據(jù)包過(guò)濾規(guī)則之后����,所述方法還包括:將所述預(yù)置模組返回的狀態(tài)碼通過(guò)異步廣播方式發(fā)送至所述客戶端?�?蛇x的�,在獲取客戶端發(fā)送的數(shù)據(jù)包過(guò)濾設(shè)置請(qǐng)求之前,所述方法還包括:基于軟件開發(fā)工具包SDK驗(yàn)證客戶端訪問(wèn)權(quán)限的合法性�����,以及驗(yàn)證數(shù)據(jù)包過(guò)濾設(shè)置請(qǐng)求中過(guò)濾目標(biāo)格式的合法性�;所述獲取客戶端發(fā)送的數(shù)據(jù)包過(guò)濾設(shè)置請(qǐng)求包括:若所述客戶端訪問(wèn)權(quán)限及數(shù)據(jù)包過(guò)濾設(shè)置請(qǐng)求中過(guò)濾目標(biāo)格式均合法,則獲取所述客戶端發(fā)送的數(shù)據(jù)包過(guò)濾設(shè)置請(qǐng)求�����。可選的����,所述預(yù)置模組為IP信息包過(guò)濾系統(tǒng)IPtables。依據(jù)本發(fā)明另一個(gè)方面�����,本發(fā)明提供了一種數(shù)據(jù)包過(guò)濾規(guī)則的處理裝置�,包括:獲取單元,用于獲取客戶端發(fā)送的數(shù)據(jù)包過(guò)濾設(shè)置請(qǐng)求�����,所述數(shù)據(jù)包過(guò)濾設(shè)置請(qǐng)求中包含過(guò)濾目標(biāo)及過(guò)濾類別����;確定單元����,用于根據(jù)所述獲取單元獲取的所述過(guò)濾目標(biāo)及過(guò)濾類別確定與所述過(guò)濾目標(biāo)對(duì)應(yīng)的網(wǎng)絡(luò)協(xié)議類型;記錄單元��,用于將所述確定單元確定的所述過(guò)濾目標(biāo)與所述網(wǎng)絡(luò)協(xié)議類型的對(duì)應(yīng)關(guān)系記錄于預(yù)設(shè)規(guī)則表中;創(chuàng)建單元��,用于基于預(yù)置模組�,并根據(jù)所述記錄單元記錄的所述預(yù)設(shè)規(guī)則表創(chuàng)建數(shù)據(jù)包過(guò)濾規(guī)則?�?蛇x的����,所述創(chuàng)建單元包括:第一發(fā)送模塊,用于向所述預(yù)置模組發(fā)送建立通信連接請(qǐng)求��;第二發(fā)送模塊�����,用于在所述第一發(fā)送模塊向所述預(yù)置模組發(fā)送建立通信連接請(qǐng)求之后�����,向所述預(yù)置模組發(fā)送創(chuàng)建數(shù)據(jù)包過(guò)濾規(guī)則的請(qǐng)求��,以便所述預(yù)置模組根據(jù)所述預(yù)設(shè)規(guī)則表創(chuàng)建所述數(shù)據(jù)包過(guò)濾規(guī)則�;接收模塊,用于接收所述預(yù)置模組返回的創(chuàng)建所述數(shù)據(jù)包過(guò)濾規(guī)則的狀態(tài)碼�,所述狀態(tài)碼用于反映所述預(yù)置模組創(chuàng)建數(shù)據(jù)包過(guò)濾規(guī)則的當(dāng)前狀態(tài)�����?���?蛇x的����,所述記錄單元包括:獲取模塊,用于獲取所述過(guò)濾目標(biāo)對(duì)應(yīng)的網(wǎng)絡(luò)協(xié)議類型����;其中,所述網(wǎng)絡(luò)協(xié)議類型包括:TCP類型�����、TCP范圍類型��、UDP類型����、HTTP類型���;存儲(chǔ)模塊�����,用于根據(jù)所述過(guò)濾類別將所述過(guò)濾目標(biāo)與網(wǎng)絡(luò)協(xié)議類型的對(duì)應(yīng)關(guān)系存儲(chǔ)于預(yù)設(shè)黑名單規(guī)則表/預(yù)設(shè)白名單規(guī)則表中���;所述預(yù)設(shè)規(guī)則表包括預(yù)設(shè)黑名單規(guī)則表以及預(yù)設(shè)白名單規(guī)則表���。可選的����,所述裝置還包括:設(shè)置單元,在所述記錄單元將所述過(guò)濾目標(biāo)與所述網(wǎng)絡(luò)協(xié)議類型的對(duì)應(yīng)關(guān)系記錄于預(yù)設(shè)規(guī)則表中之后�����,設(shè)置網(wǎng)絡(luò)協(xié)議類型的優(yōu)先級(jí)���;排序單元���,用于根據(jù)所述設(shè)置單元設(shè)置的優(yōu)先級(jí)對(duì)所述預(yù)設(shè)黑名單規(guī)則表/預(yù)設(shè)白名單規(guī)則表中過(guò)濾目標(biāo)與網(wǎng)絡(luò)協(xié)議類型的對(duì)應(yīng)關(guān)系進(jìn)行重新排序?����?蛇x的,所述裝置還包括:發(fā)送單元�,用于在所述創(chuàng)建單元基于預(yù)置模組,并根據(jù)所述預(yù)設(shè)規(guī)則表創(chuàng)建數(shù)據(jù)包過(guò)濾規(guī)則之后����,將所述預(yù)置模組返回的狀態(tài)碼通過(guò)異步廣播方式發(fā)送至所述客戶端?�?蛇x的���,所述裝置還包括:驗(yàn)證單元�����,用于在所述獲取單元獲取客戶端發(fā)送的數(shù)據(jù)包過(guò)濾設(shè)置請(qǐng)求之前��,基于軟件開發(fā)工具包SDK驗(yàn)證客戶端訪問(wèn)權(quán)限的合法性��,以及驗(yàn)證數(shù)據(jù)包過(guò)濾設(shè)置請(qǐng)求中過(guò)濾目標(biāo)格式的合法性�����;所述獲取單元���,還用于當(dāng)所述驗(yàn)證單元驗(yàn)證所述客戶端訪問(wèn)權(quán)限及數(shù)據(jù)包過(guò)濾設(shè)置請(qǐng)求中過(guò)濾目標(biāo)格式均合法時(shí),獲取所述客戶端發(fā)送的數(shù)據(jù)包過(guò)濾設(shè)置請(qǐng)求����。可選的�,所述預(yù)置模組為IP信息包過(guò)濾系統(tǒng)IPtables。借由上述技術(shù)方案�����,本發(fā)明提供的數(shù)據(jù)包過(guò)濾規(guī)則的處理方法及裝置���,F(xiàn)rameWorks組件獲取客戶端發(fā)送的數(shù)據(jù)包過(guò)濾設(shè)置請(qǐng)求�����,該數(shù)據(jù)包過(guò)濾設(shè)置請(qǐng)求中包含過(guò)濾目標(biāo)及過(guò)濾類別�,根據(jù)過(guò)濾目標(biāo)及過(guò)濾類別確定與過(guò)濾目標(biāo)對(duì)應(yīng)的網(wǎng)絡(luò)協(xié)議類型���,并將過(guò)濾目標(biāo)及網(wǎng)絡(luò)協(xié)議類型的對(duì)應(yīng)關(guān)系記錄于預(yù)設(shè)規(guī)則表中�,基于預(yù)置模組,并根據(jù)預(yù)設(shè)規(guī)則表創(chuàng)建數(shù)據(jù)包過(guò)濾規(guī)則���,與現(xiàn)有技術(shù)相比��,本發(fā)明通過(guò)FrameWorks組件實(shí)現(xiàn)對(duì)數(shù)據(jù)包過(guò)濾規(guī)則的創(chuàng)建�,無(wú)需要求用戶為系統(tǒng)管理員身份��,或者�,將操作系統(tǒng)進(jìn)行root升級(jí)等操作,操作過(guò)程簡(jiǎn)單���。上述說(shuō)明僅是本發(fā)明技術(shù)方案的概述���,為了能夠更清楚了解本發(fā)明的技術(shù)手段,而可依照說(shuō)明書的內(nèi)容予以實(shí)施����,并且為了讓本發(fā)明的上述和其它目的、特征和優(yōu)點(diǎn)能夠更明顯易懂����,以下特舉本發(fā)明的具體實(shí)施方式。附圖說(shuō)明通過(guò)閱讀下文優(yōu)選實(shí)施方式的詳細(xì)描述�,各種其他的優(yōu)點(diǎn)和益處對(duì)于本領(lǐng)域普通技術(shù)人員將變得清楚明了。附圖僅用于示出優(yōu)選實(shí)施方式的目的,而并不認(rèn)為是對(duì)本發(fā)明的限制���。而且在整個(gè)附圖中�,用相同的參考符號(hào)表示相同的部件�。在附圖中:圖1示出了本發(fā)明實(shí)施例提供的一種數(shù)據(jù)包過(guò)濾規(guī)則的處理方法的流程圖���;圖2示出了本發(fā)明實(shí)施例提供的一種數(shù)據(jù)包過(guò)濾規(guī)則的處理裝置的組成框圖���;圖3示出了本發(fā)明實(shí)施例提供的另一種數(shù)據(jù)包過(guò)濾規(guī)則的處理裝置的組成框圖。具體實(shí)施方式下面將參照附圖更詳細(xì)地描述本公開的示例性實(shí)施例�����。雖然附圖中顯示了本公開的示例性實(shí)施例�����,然而應(yīng)當(dāng)理解����,可以以各種形式實(shí)現(xiàn)本公開而不應(yīng)被這里闡述的實(shí)施例所限制。相反����,提供這些實(shí)施例是為了能夠更透徹地理解本公開����,并且能夠?qū)⒈竟_的范圍完整的傳達(dá)給本領(lǐng)域的技術(shù)人員����。本發(fā)明實(shí)施例提供一種數(shù)據(jù)包過(guò)濾規(guī)則的處理方法,所述方法應(yīng)用于FrameWorks組件中���,如圖1所示�����,所述方法包括:101�����、FrameWorks組件獲取客戶端發(fā)送的數(shù)據(jù)包過(guò)濾設(shè)置請(qǐng)求�����,所述數(shù)據(jù)包過(guò)濾設(shè)置請(qǐng)求中包含過(guò)濾目標(biāo)及過(guò)濾類別���。本發(fā)明實(shí)施例所述的FrameWorks組件為終端中的組件��,所述終端可以包含但不局限于以下內(nèi)容例如:手機(jī)����、平板電腦等等��,需要說(shuō)明的是�,所述終端的系統(tǒng)可以包含但不局限于以下內(nèi)容,例如:Linux內(nèi)核的操作系統(tǒng)�����,或者���,安卓Android操作系統(tǒng);其中�,所述Linux內(nèi)核的操作系統(tǒng)可以包括烏班圖Ubuntu、AndroidOperatingOystem(AndroidOS)����;本發(fā)明實(shí)施例對(duì)具體的終端系統(tǒng)不作限定。本發(fā)明實(shí)質(zhì)在于對(duì)創(chuàng)建防火墻在執(zhí)行數(shù)據(jù)包過(guò)濾時(shí)依賴的數(shù)據(jù)包過(guò)濾規(guī)則��,只有數(shù)據(jù)包過(guò)濾規(guī)則創(chuàng)建成功了����,防火墻才能進(jìn)行安全防護(hù)��,即防火墻具有可配置功能���。而在實(shí)際應(yīng)用中,數(shù)據(jù)包過(guò)濾規(guī)則通常以列表形式存儲(chǔ)�����,并且其集成于Linux內(nèi)核中���,本發(fā)明實(shí)施例中���,通過(guò)FrameWorks組件完成數(shù)據(jù)包過(guò)濾規(guī)則的創(chuàng)建。在執(zhí)行生成數(shù)據(jù)包過(guò)濾規(guī)則時(shí)����,首先,F(xiàn)rameWorks組件接收客戶端發(fā)送的數(shù)據(jù)包過(guò)濾設(shè)置請(qǐng)求���,其根據(jù)用戶的實(shí)際需求進(jìn)行設(shè)置���,在客戶端制定的數(shù)據(jù)包過(guò)濾設(shè)置請(qǐng)求中必須包含過(guò)濾目標(biāo)及過(guò)濾類別����,所述過(guò)濾目標(biāo)可以包含但不局限于以下內(nèi)容:目標(biāo)互聯(lián)網(wǎng)協(xié)議地址(InternetProtocolAddress����,IP)地址、目標(biāo)IP范圍�����、全稱域名(FullyQualifiedDomainName�,F(xiàn)QDN)及目標(biāo)統(tǒng)一資源定位符(UniformResourceLocator,URL)等等����,所述過(guò)濾類別是指將數(shù)據(jù)包直接過(guò)濾����,以及直接放行兩種類型。在實(shí)際操作過(guò)程中����,用戶基于客戶端直接輸入過(guò)濾目標(biāo),即一個(gè)網(wǎng)址���、或者一個(gè)IP地址����、IP地址范圍,確定上述內(nèi)容是直接過(guò)濾和直接放行的類別�,并觸發(fā)客戶端中的設(shè)置功能按鍵即可實(shí)現(xiàn)防火墻的配置。從用戶層面講���,用戶只需設(shè)置過(guò)濾目標(biāo)與過(guò)濾類別��,對(duì)用戶來(lái)說(shuō)其只需定制對(duì)數(shù)據(jù)包的過(guò)濾或者放行規(guī)則�����,而用戶無(wú)需了解FrameWorks組件如何將客戶端發(fā)送的數(shù)據(jù)包過(guò)濾設(shè)置請(qǐng)求應(yīng)用到操作系統(tǒng)底層�����,也無(wú)需了解操作系統(tǒng)底層中IP信息包過(guò)濾系統(tǒng)IPtables設(shè)置規(guī)則�,實(shí)現(xiàn)操作系統(tǒng)內(nèi)核對(duì)用戶的透明性���。102�����、FrameWorks組件根據(jù)所述過(guò)濾目標(biāo)及過(guò)濾類別確定與所述過(guò)濾目標(biāo)對(duì)應(yīng)的網(wǎng)絡(luò)協(xié)議類型�,并將所述過(guò)濾目標(biāo)與所述網(wǎng)絡(luò)協(xié)議類型的對(duì)應(yīng)關(guān)系記錄于預(yù)設(shè)規(guī)則表中。FrameWorks組件對(duì)接收到的數(shù)據(jù)包過(guò)濾設(shè)置請(qǐng)求進(jìn)行解析�,獲取其包含的過(guò)濾目標(biāo)及過(guò)濾類別。在實(shí)際應(yīng)用中���,過(guò)濾目標(biāo)可以直接從數(shù)據(jù)包過(guò)濾請(qǐng)求中獲得��,過(guò)濾類別會(huì)通過(guò)預(yù)定標(biāo)識(shí)進(jìn)行確定�,一般情況下�,使用drop字段標(biāo)識(shí)的過(guò)濾類別用于標(biāo)識(shí)直接將數(shù)據(jù)包進(jìn)行過(guò)濾;使用accept字段標(biāo)識(shí)的過(guò)濾類別用于將標(biāo)識(shí)直接將數(shù)據(jù)包進(jìn)行放行�����。本發(fā)明實(shí)施例中�,通過(guò)對(duì)數(shù)據(jù)包過(guò)濾規(guī)則的設(shè)定��,實(shí)現(xiàn)對(duì)特定網(wǎng)址�、特定應(yīng)用程序數(shù)據(jù)包的過(guò)濾,在具體實(shí)現(xiàn)過(guò)程中���,對(duì)特定過(guò)濾目標(biāo)執(zhí)行的過(guò)濾表現(xiàn)在:設(shè)置防火墻的數(shù)據(jù)包過(guò)濾規(guī)則��,確定出過(guò)濾目標(biāo)對(duì)應(yīng)的網(wǎng)絡(luò)協(xié)議類型�,所述網(wǎng)絡(luò)協(xié)議類型包含但不局限于以下內(nèi)容,例如:TCP類型�����、TCP范圍類型���、UDP類型���、HTTP類型,具體有關(guān)過(guò)濾目標(biāo)與網(wǎng)絡(luò)協(xié)議類型對(duì)應(yīng)關(guān)系會(huì)在后續(xù)實(shí)施例進(jìn)行說(shuō)明��,本發(fā)明實(shí)施例對(duì)網(wǎng)絡(luò)協(xié)議類型不作限定����。在確定出過(guò)濾目標(biāo)對(duì)應(yīng)的網(wǎng)絡(luò)協(xié)議類型后,將過(guò)濾目標(biāo)與網(wǎng)絡(luò)協(xié)議類型的對(duì)應(yīng)關(guān)系記錄于預(yù)設(shè)規(guī)則表中��,以便根據(jù)該預(yù)設(shè)規(guī)則表創(chuàng)建數(shù)據(jù)包過(guò)濾規(guī)則�;本發(fā)明實(shí)施例中,在將過(guò)濾目標(biāo)與網(wǎng)絡(luò)協(xié)議類型記錄于預(yù)設(shè)規(guī)則表之后�����,將該預(yù)設(shè)規(guī)則表存儲(chǔ)于本地存儲(chǔ)空間中,以便后續(xù)能夠便捷快速地調(diào)用該預(yù)設(shè)規(guī)則表��。需要說(shuō)明的是�����,預(yù)設(shè)規(guī)則表中記錄的過(guò)濾目標(biāo)與網(wǎng)絡(luò)協(xié)議類型的對(duì)應(yīng)關(guān)系是用戶基于客戶端發(fā)送的一些簡(jiǎn)易用戶規(guī)則���,如一個(gè)網(wǎng)址����、或者一個(gè)IP地址���、IP地址范圍�,在生成數(shù)據(jù)包過(guò)濾規(guī)則時(shí)生成的是一些防火墻底層過(guò)濾規(guī)則��,用戶在沒(méi)有相關(guān)參數(shù)說(shuō)明的情況下可能無(wú)法判別���,但是,終端防火墻能夠基于數(shù)據(jù)包過(guò)濾規(guī)則進(jìn)行數(shù)據(jù)的安全維護(hù)�。103、FrameWorks組件基于預(yù)置模組,并根據(jù)所述預(yù)設(shè)規(guī)則表創(chuàng)建數(shù)據(jù)包過(guò)濾規(guī)則����。所述FrameWorks組件運(yùn)行于終端的中間層,而防火墻對(duì)應(yīng)的數(shù)據(jù)包過(guò)濾規(guī)則集成于終端的底層��,即終端的操作系統(tǒng)內(nèi)核中���。因此����,F(xiàn)rameWorks組件調(diào)用預(yù)置模組實(shí)現(xiàn)數(shù)據(jù)包過(guò)濾規(guī)則的創(chuàng)建�����,所述預(yù)置模組包括但不局限于IP信息包過(guò)濾系統(tǒng)IPtables��。IPtables是與Linux內(nèi)核集成的IP信息包過(guò)濾系統(tǒng)�����,其根據(jù)步驟102中預(yù)設(shè)規(guī)則表中記錄的內(nèi)容創(chuàng)建數(shù)據(jù)包過(guò)濾規(guī)則����,該處創(chuàng)建的數(shù)據(jù)包過(guò)濾規(guī)則能夠直接被終端底層進(jìn)行識(shí)別、讀取、使用�。本發(fā)明實(shí)施例提供的數(shù)據(jù)包過(guò)濾規(guī)則的處理方法,F(xiàn)rameWorks組件獲取客戶端發(fā)送的數(shù)據(jù)包過(guò)濾設(shè)置請(qǐng)求�,該數(shù)據(jù)包過(guò)濾設(shè)置請(qǐng)求中包含過(guò)濾目標(biāo)及過(guò)濾類別,根據(jù)過(guò)濾目標(biāo)及過(guò)濾類別確定與過(guò)濾目標(biāo)對(duì)應(yīng)的網(wǎng)絡(luò)協(xié)議類型���,并將過(guò)濾目標(biāo)及網(wǎng)絡(luò)協(xié)議類型的對(duì)應(yīng)關(guān)系記錄于預(yù)設(shè)規(guī)則表中���,基于預(yù)置模組,并根據(jù)預(yù)設(shè)規(guī)則表創(chuàng)建數(shù)據(jù)包過(guò)濾規(guī)則�,與現(xiàn)有技術(shù)相比,本發(fā)明實(shí)施例通過(guò)FrameWorks組件實(shí)現(xiàn)對(duì)數(shù)據(jù)包過(guò)濾規(guī)則的創(chuàng)建�����,無(wú)需要求用戶為系統(tǒng)管理員身份��,或者�,將操作系統(tǒng)進(jìn)行root升級(jí)等操作,操作過(guò)程簡(jiǎn)單�����。作為對(duì)上述實(shí)施例的細(xì)化���,在步驟103執(zhí)行基于預(yù)置模組���,并根據(jù)所述預(yù)設(shè)規(guī)則表創(chuàng)建數(shù)據(jù)包過(guò)濾規(guī)則時(shí),可以采用但不局限于以下方式實(shí)現(xiàn)�����,例如:FrameWorks組件向所述預(yù)置模組發(fā)送建立通信連接請(qǐng)求���,具體實(shí)現(xiàn)過(guò)程中FrameWorks組件首先與native接口建立socket通信���,所述socket通信為網(wǎng)絡(luò)上的FrameWorks組件與native接口通過(guò)一個(gè)雙向的通信連接實(shí)現(xiàn)數(shù)據(jù)的交換;基于該socket通信FrameWorks組件向native接口發(fā)送創(chuàng)建數(shù)據(jù)包過(guò)濾規(guī)則的請(qǐng)求���,native接口接收到創(chuàng)建數(shù)據(jù)包過(guò)濾規(guī)則的請(qǐng)求后�����,調(diào)用IPtables�,由IPtables讀取FrameWorks組件本地存儲(chǔ)的預(yù)設(shè)規(guī)則表�,并根據(jù)該預(yù)設(shè)規(guī)則表創(chuàng)建數(shù)據(jù)包過(guò)濾規(guī)則。待IPtables創(chuàng)建完成數(shù)據(jù)包過(guò)濾規(guī)則之后����,基于socket通信向FrameWorks組件返回一個(gè)數(shù)據(jù)包過(guò)濾規(guī)則的狀態(tài)碼�����,該狀態(tài)碼用于反映預(yù)置模組創(chuàng)建數(shù)據(jù)包過(guò)濾規(guī)則的當(dāng)前狀態(tài)�����,即數(shù)據(jù)包過(guò)濾規(guī)則創(chuàng)建成功���,還是數(shù)據(jù)包過(guò)濾規(guī)則創(chuàng)建失敗�;FrameWorks組件接收IPtables返回的創(chuàng)建所述數(shù)據(jù)包過(guò)濾規(guī)則的狀態(tài)碼,并將IPtables返回的狀態(tài)碼通過(guò)異步廣播方式發(fā)送至所述客戶端�����,以便客戶端用戶知曉防火墻在防護(hù)客戶端數(shù)據(jù)安全時(shí)的防護(hù)內(nèi)容�。由上述實(shí)施例可知,在設(shè)置防火墻的數(shù)據(jù)包過(guò)濾規(guī)則時(shí)�����,可設(shè)置兩種類型的過(guò)濾方式�,第一種是將數(shù)據(jù)包直接過(guò)濾��,第二種是將數(shù)據(jù)包直接放行��。順應(yīng)于數(shù)據(jù)包過(guò)濾的需求�����,本發(fā)明實(shí)施例中提供兩種類型的預(yù)設(shè)規(guī)則表����,對(duì)應(yīng)于第一種類型的數(shù)據(jù)包過(guò)濾規(guī)則,可將其存儲(chǔ)于預(yù)設(shè)黑名單規(guī)則表中�,對(duì)應(yīng)于第二種類型的數(shù)據(jù)包過(guò)濾規(guī)則,可將其存儲(chǔ)于預(yù)設(shè)白名單規(guī)則表中��。將所述過(guò)濾目標(biāo)與所述網(wǎng)絡(luò)協(xié)議類型的對(duì)應(yīng)關(guān)系記錄于預(yù)設(shè)規(guī)則表中時(shí)�,首先,獲取過(guò)濾目標(biāo)對(duì)應(yīng)的網(wǎng)絡(luò)協(xié)議類型���,所述網(wǎng)絡(luò)協(xié)議類型包括:TCP類型�、TCP范圍類型�����、UDP類型、HTTP類型�����;根據(jù)所述過(guò)濾類別將所述過(guò)濾目標(biāo)與網(wǎng)絡(luò)協(xié)議類型的對(duì)應(yīng)關(guān)系存儲(chǔ)于預(yù)設(shè)黑名單規(guī)則表/預(yù)設(shè)白名單規(guī)則表中所述預(yù)設(shè)規(guī)則表包括預(yù)設(shè)黑名單規(guī)則表以及預(yù)設(shè)白名單規(guī)則表���。為了便于說(shuō)明��,以下將以示例的形式說(shuō)明預(yù)設(shè)黑名單/白名單規(guī)則表中過(guò)濾目標(biāo)與網(wǎng)絡(luò)協(xié)議類型的對(duì)應(yīng)關(guān)系���。如表1所示,表1示出了本發(fā)明實(shí)施例提供的過(guò)濾目標(biāo)與網(wǎng)絡(luò)協(xié)議類型的映射關(guān)系說(shuō)明�,由表1可看出,過(guò)濾目標(biāo)不同其對(duì)應(yīng)的網(wǎng)絡(luò)協(xié)議類型也不同��。在具體實(shí)現(xiàn)過(guò)程中��,預(yù)設(shè)黑名單規(guī)則表與預(yù)設(shè)白名單規(guī)則表中包含的過(guò)濾目標(biāo)與網(wǎng)絡(luò)協(xié)議類型的種類是相同的���,不同的是�,IPtables根據(jù)預(yù)設(shè)白名單規(guī)則表創(chuàng)建對(duì)應(yīng)的數(shù)據(jù)包的屏蔽規(guī)則����,IPtables根據(jù)預(yù)設(shè)黑名單規(guī)則表創(chuàng)建對(duì)應(yīng)的是數(shù)據(jù)包的放行規(guī)則����。表1需要說(shuō)明的是��,F(xiàn)rameWorks組件基于預(yù)置模組IPtables創(chuàng)建數(shù)據(jù)包過(guò)濾規(guī)則�,創(chuàng)建的數(shù)據(jù)包過(guò)濾規(guī)則需要被底層的執(zhí)行程序(防火墻)識(shí)別、執(zhí)行���,以下以示例的形式說(shuō)明IPtables創(chuàng)建數(shù)據(jù)包過(guò)濾規(guī)則。示例性的���,假設(shè)����,客戶端向FrameWorks組件的數(shù)據(jù)包過(guò)濾設(shè)置請(qǐng)求中所包含的過(guò)濾目標(biāo)是一個(gè)IP地址:10.1.X.X��,過(guò)濾類別為屏蔽該IP地址�����,F(xiàn)rameWorks組件首先根據(jù)過(guò)濾類別確定將該請(qǐng)求為屏蔽規(guī)則����,根據(jù)IP地址可確定對(duì)應(yīng)的網(wǎng)絡(luò)協(xié)議類型為TCP網(wǎng)絡(luò)協(xié)議類型�����,并將其記錄于預(yù)設(shè)黑名單規(guī)則表中��,以便IPtables讀取該規(guī)則���,生成底層能夠識(shí)別的規(guī)則:iptables-pTCP-d10.1.X.X-jDROP,其中��,-p表示網(wǎng)絡(luò)協(xié)議類型�����,-d表示過(guò)濾的IP地址�,-DROP表示屏蔽規(guī)則。在IPtables生成數(shù)據(jù)包過(guò)濾規(guī)則后將其記錄于預(yù)設(shè)黑名單規(guī)則中�����,如表2所示���,表2示出了本發(fā)明實(shí)施例提供的一種預(yù)設(shè)黑名單規(guī)則表���,需要說(shuō)明的是�����,預(yù)設(shè)黑名單規(guī)則表中可記錄多條過(guò)濾規(guī)則�、多種網(wǎng)絡(luò)協(xié)議類型����,本發(fā)明實(shí)施例對(duì)上述參數(shù)不作限定,例如:可以使用p表示網(wǎng)絡(luò)協(xié)議類型�,也可以使用W表示網(wǎng)絡(luò)協(xié)議類型等等,具體不作限定��。表2在具體應(yīng)用中��,當(dāng)防火墻基于上述預(yù)設(shè)黑名單規(guī)則表執(zhí)行數(shù)據(jù)安全防護(hù)過(guò)程中����,當(dāng)接收到的數(shù)據(jù)包符合預(yù)設(shè)黑名單規(guī)則表中的任意一條規(guī)則時(shí)��,均會(huì)將數(shù)據(jù)包進(jìn)行過(guò)濾�。在防火墻對(duì)客戶端發(fā)送的數(shù)據(jù)包進(jìn)行檢測(cè)時(shí),將數(shù)據(jù)包的各個(gè)網(wǎng)絡(luò)數(shù)據(jù)���,與預(yù)設(shè)黑名單規(guī)則表中的第一條記錄開始匹配�����,若與預(yù)設(shè)黑名單規(guī)則表中的任一條記錄匹配成功����,則將客戶端發(fā)送的數(shù)據(jù)包進(jìn)行攔截。以上以IPtables創(chuàng)建數(shù)據(jù)包過(guò)濾規(guī)則�,該規(guī)則為預(yù)設(shè)黑名單規(guī)則表中一條規(guī)則,以下�����,將說(shuō)明IPtables創(chuàng)建的數(shù)據(jù)包過(guò)濾規(guī)則為預(yù)設(shè)白名單規(guī)則�。示例性的,假設(shè)�����,客戶端向FrameWorks組件的數(shù)據(jù)包過(guò)濾設(shè)置請(qǐng)求中所包含的過(guò)濾目標(biāo)是一個(gè)網(wǎng)址:X.X.X.com��,過(guò)濾類別為放行目標(biāo)網(wǎng)址����,F(xiàn)rameWorks組件首先根據(jù)過(guò)濾類別確定將該請(qǐng)求為放行規(guī)則����,根據(jù)網(wǎng)址可確定對(duì)應(yīng)的網(wǎng)絡(luò)協(xié)議類型為HTTP網(wǎng)絡(luò)協(xié)議類型����,并將其記錄于預(yù)設(shè)白名單規(guī)則表中,以便IPtables讀取該規(guī)則�,生成底層能夠識(shí)別的規(guī)則:iptables-phttp-sX.X.X.com-jACCEPT,其中�����,-p表示網(wǎng)絡(luò)協(xié)議類型�����,-s表示過(guò)濾的網(wǎng)址�����,-ACCEPT表示放行規(guī)則�。在IPtables生成數(shù)據(jù)包過(guò)濾規(guī)則后將其記錄于預(yù)設(shè)白名單規(guī)則中��,如表3所示����,表3示出了本發(fā)明實(shí)施例提供的一種預(yù)設(shè)白名單規(guī)則表�,需要說(shuō)明的是�����,預(yù)設(shè)白名單規(guī)則表中可記錄多條過(guò)濾規(guī)則�����、多種網(wǎng)絡(luò)協(xié)議類型����,本發(fā)明實(shí)施例對(duì)上述參數(shù)不作限定。表3在具體應(yīng)用中�����,當(dāng)防火墻基于上述預(yù)設(shè)白名單規(guī)則表執(zhí)行數(shù)據(jù)安全防護(hù)過(guò)程中�����,當(dāng)接收到的數(shù)據(jù)包符合預(yù)設(shè)白名單規(guī)則表中的任意一條規(guī)則時(shí)��,均會(huì)將數(shù)據(jù)包進(jìn)行放行�����。在防火墻對(duì)客戶端發(fā)送的數(shù)據(jù)包進(jìn)行檢測(cè)時(shí),將數(shù)據(jù)包的各個(gè)網(wǎng)絡(luò)數(shù)據(jù)�����,與預(yù)設(shè)白名單規(guī)則表中的第一條記錄開始匹配�����,若與預(yù)設(shè)白名單規(guī)則表中的任一條記錄匹配成功���,則將客戶端發(fā)送的數(shù)據(jù)包進(jìn)行放行����。若與預(yù)設(shè)白名單規(guī)則表中的任意一條記錄(除表3中的最后一條記錄)均未匹配成功�,則執(zhí)行預(yù)設(shè)白名單規(guī)則表中的最后一條記錄,將數(shù)據(jù)包進(jìn)行過(guò)濾��,即只有當(dāng)數(shù)據(jù)包符合預(yù)設(shè)白名單規(guī)則表中的任一條規(guī)則時(shí)�����,才能將數(shù)據(jù)包放行����,凡是不符合預(yù)設(shè)白名單過(guò)濾規(guī)則的數(shù)據(jù)包����,全部過(guò)濾����。需要說(shuō)明的是�,在防火墻基于上述預(yù)設(shè)黑名單規(guī)則表及預(yù)設(shè)白名單規(guī)則表進(jìn)行安全防護(hù)時(shí),防火墻同時(shí)以兩個(gè)規(guī)則表中的記錄進(jìn)行數(shù)據(jù)安全防護(hù)��,若一條記錄同時(shí)存在于預(yù)設(shè)黑名單規(guī)則表及預(yù)設(shè)白名單規(guī)則表中�����,則該條記錄需要被同時(shí)檢測(cè)兩次�����,但是�����,預(yù)設(shè)黑名單規(guī)則表及預(yù)設(shè)白名單規(guī)則表兩者之間存在優(yōu)先級(jí)順序����,預(yù)設(shè)黑名單規(guī)則表的優(yōu)先級(jí)高于預(yù)設(shè)白名單規(guī)則表���,即若預(yù)設(shè)黑名單規(guī)則表及預(yù)設(shè)白名單規(guī)則表中存在相同的過(guò)濾規(guī)則,則直接將與該過(guò)濾規(guī)則對(duì)應(yīng)的數(shù)據(jù)包進(jìn)行過(guò)濾����。基于防火墻在對(duì)數(shù)據(jù)安全進(jìn)行防護(hù)時(shí)���,從第一條記錄開始逐行遍歷預(yù)設(shè)黑名單規(guī)則表及預(yù)設(shè)白名單規(guī)則表的策略���,若待檢測(cè)數(shù)據(jù)包對(duì)應(yīng)的規(guī)則存在于預(yù)設(shè)黑名單規(guī)則表及預(yù)設(shè)白名單規(guī)則表的最后一行,則需要一次遍歷預(yù)設(shè)黑名單規(guī)則表及預(yù)設(shè)白名單規(guī)則表的前面所有行�,造成終端電量及流量的消耗。為解決費(fèi)電費(fèi)流量的問(wèn)題��,本發(fā)明實(shí)施例在生成預(yù)設(shè)黑名單規(guī)則表及預(yù)設(shè)白名單規(guī)則表之后�����,對(duì)規(guī)則進(jìn)行優(yōu)化�����,以達(dá)到省電省流量的目的,包括:FrameWorks組件設(shè)置網(wǎng)絡(luò)協(xié)議類型的優(yōu)先級(jí)��;根據(jù)優(yōu)先級(jí)對(duì)所述預(yù)設(shè)黑名單規(guī)則表/預(yù)設(shè)白名單規(guī)則表中過(guò)濾目標(biāo)與網(wǎng)絡(luò)協(xié)議類型的對(duì)應(yīng)關(guān)系進(jìn)行重新排序����。本發(fā)明實(shí)施例中�����,包含四種類型的網(wǎng)絡(luò)協(xié)議類型��,分別為:TCP網(wǎng)絡(luò)協(xié)議類型���、TCP范圍網(wǎng)絡(luò)協(xié)議類型�����、UDP網(wǎng)絡(luò)協(xié)議類型���、HTTP網(wǎng)絡(luò)協(xié)議類型,其中��,UDP網(wǎng)絡(luò)協(xié)議類型的優(yōu)先級(jí)最高�,TCP范圍網(wǎng)絡(luò)協(xié)議類型的優(yōu)先級(jí)次之��,TCP網(wǎng)絡(luò)協(xié)議類型的優(yōu)先級(jí)第三��,HTTP網(wǎng)絡(luò)協(xié)議類型的優(yōu)先級(jí)最低���,由于HTTP網(wǎng)絡(luò)協(xié)議類型一般針對(duì)的是過(guò)濾目標(biāo)為URL的協(xié)議類型,而URL中通常會(huì)包含協(xié)議頭��、網(wǎng)址參數(shù)信息等����,在對(duì)HTTP網(wǎng)絡(luò)協(xié)議類型的數(shù)據(jù)包進(jìn)行過(guò)濾時(shí),涉及string匹配����,算法相較匹配TCP網(wǎng)絡(luò)協(xié)議類型的數(shù)據(jù)包運(yùn)算量更大,因此�����,HTTP網(wǎng)絡(luò)協(xié)議類型的優(yōu)先級(jí)最低��。防火墻基于經(jīng)過(guò)優(yōu)化規(guī)則后的預(yù)設(shè)黑名單規(guī)則表/預(yù)設(shè)白名單規(guī)則表進(jìn)行數(shù)據(jù)安全防護(hù)��,可稱為防火墻“省電模式”防護(hù),達(dá)到既省電又省流量的目的�����。防火墻運(yùn)行于終端的中間層���,而客戶端運(yùn)行于FrameWorks組件的前段,因此����,在客戶端與FrameWorks組件進(jìn)行交互時(shí),需要借助第三方軟件開發(fā)工具包(SoftwareDevelopmentKit�,SDK)提供的接口,實(shí)現(xiàn)雙方數(shù)據(jù)的交互���。在實(shí)際應(yīng)用中���,客戶端向包過(guò)濾SDK發(fā)送數(shù)據(jù)包過(guò)濾設(shè)置請(qǐng)求,包過(guò)濾SDK將數(shù)據(jù)包過(guò)濾設(shè)置請(qǐng)求轉(zhuǎn)發(fā)至FrameWorks組件��,在包過(guò)濾SDK接收到客戶端發(fā)送的數(shù)據(jù)包過(guò)濾設(shè)置請(qǐng)求之后���,首先�,驗(yàn)證客戶端是否有FrameWorks組件的訪問(wèn)權(quán)限,若確定客戶端有訪問(wèn)FrameWorks組件的權(quán)限�����,則繼續(xù)對(duì)數(shù)據(jù)包過(guò)濾設(shè)置請(qǐng)求中過(guò)濾目標(biāo)格式進(jìn)行驗(yàn)證�;若確定客戶端沒(méi)有訪問(wèn)FrameWorks組件的權(quán)限,則直接將數(shù)據(jù)包過(guò)濾設(shè)置請(qǐng)求進(jìn)行過(guò)濾��。在包過(guò)濾SDK中會(huì)存儲(chǔ)有允許訪問(wèn)FrameWorks組件的列表����,該列表中記錄有客戶端對(duì)應(yīng)的設(shè)備標(biāo)識(shí),包過(guò)濾SDK通過(guò)客戶端的設(shè)備標(biāo)識(shí)對(duì)訪問(wèn)FrameWorks組件的權(quán)限進(jìn)行鑒權(quán)��。在包過(guò)濾SDK驗(yàn)證客戶端有FrameWorks組件的訪問(wèn)權(quán)限后�,繼續(xù)驗(yàn)證數(shù)據(jù)包過(guò)濾設(shè)置請(qǐng)求中過(guò)濾目標(biāo)格式是否正確,例如����,驗(yàn)證過(guò)濾目標(biāo)的書寫格式是否正確IP地址范圍是否正確等等;當(dāng)包過(guò)濾SDK驗(yàn)證數(shù)據(jù)包過(guò)濾設(shè)置請(qǐng)求中過(guò)濾目標(biāo)格式合法后���,將客戶端發(fā)送的數(shù)據(jù)包過(guò)濾設(shè)置請(qǐng)求轉(zhuǎn)發(fā)至FrameWorks組件���,以便FrameWorks組件在獲取數(shù)據(jù)包過(guò)濾設(shè)置請(qǐng)求后����,創(chuàng)建對(duì)應(yīng)的數(shù)據(jù)包過(guò)濾規(guī)則�,實(shí)現(xiàn)對(duì)終端網(wǎng)絡(luò)數(shù)據(jù)的安全防護(hù)。進(jìn)一步的��,作為對(duì)上述圖1所示方法的實(shí)現(xiàn)�����,本發(fā)明另一實(shí)施例還提供了一種數(shù)據(jù)包過(guò)濾規(guī)則的處理裝置����。該裝置實(shí)施例與前述方法實(shí)施例對(duì)應(yīng)��,為便于閱讀����,本裝置實(shí)施例不再對(duì)前述方法實(shí)施例中的細(xì)節(jié)內(nèi)容進(jìn)行逐一贅述,但應(yīng)當(dāng)明確�,本實(shí)施例中的裝置能夠?qū)?yīng)實(shí)現(xiàn)前述方法實(shí)施例中的全部?jī)?nèi)容。本發(fā)明實(shí)施例提供一種數(shù)據(jù)包過(guò)濾規(guī)則的處理裝置���,如圖2所示�����,所述裝置包括:獲取單元21�����,用于獲取客戶端發(fā)送的數(shù)據(jù)包過(guò)濾設(shè)置請(qǐng)求�,所述數(shù)據(jù)包過(guò)濾設(shè)置請(qǐng)求中包含過(guò)濾目標(biāo)及過(guò)濾類別;確定單元22���,用于根據(jù)所述獲取單元21獲取的所述過(guò)濾目標(biāo)及過(guò)濾類別確定與所述過(guò)濾目標(biāo)對(duì)應(yīng)的網(wǎng)絡(luò)協(xié)議類型��;記錄單元23�,用于將所述確定單元22確定的所述過(guò)濾目標(biāo)與所述網(wǎng)絡(luò)協(xié)議類型的對(duì)應(yīng)關(guān)系記錄于預(yù)設(shè)規(guī)則表中����;創(chuàng)建單元24,用于基于預(yù)置模組����,并根據(jù)所述記錄單元23記錄的所述預(yù)設(shè)規(guī)則表創(chuàng)建數(shù)據(jù)包過(guò)濾規(guī)則。進(jìn)一步的�,如圖3所示,所述創(chuàng)建單元24包括:第一發(fā)送模塊241���,用于向所述預(yù)置模組發(fā)送建立通信連接請(qǐng)求�;第二發(fā)送模塊242,用于在所述第一發(fā)送模塊241向所述預(yù)置模組發(fā)送建立通信連接請(qǐng)求之后��,向所述預(yù)置模組發(fā)送創(chuàng)建數(shù)據(jù)包過(guò)濾規(guī)則的請(qǐng)求���,以便所述預(yù)置模組根據(jù)所述預(yù)設(shè)規(guī)則表創(chuàng)建所述數(shù)據(jù)包過(guò)濾規(guī)則�����;接收模塊243�����,用于接收所述預(yù)置模組返回的創(chuàng)建所述數(shù)據(jù)包過(guò)濾規(guī)則的狀態(tài)碼�,所述狀態(tài)碼用于反映所述預(yù)置模組創(chuàng)建數(shù)據(jù)包過(guò)濾規(guī)則的當(dāng)前狀態(tài)���。進(jìn)一步的,如圖3所示�,所述記錄單元23包括:獲取模塊231,用于獲取所述過(guò)濾目標(biāo)對(duì)應(yīng)的網(wǎng)絡(luò)協(xié)議類型����;其中��,所述網(wǎng)絡(luò)協(xié)議類型包括:TCP類型��、TCP范圍類型��、UDP類型���、HTTP類型;存儲(chǔ)模塊232�����,用于根據(jù)所述過(guò)濾類別將所述過(guò)濾目標(biāo)與網(wǎng)絡(luò)協(xié)議類型的對(duì)應(yīng)關(guān)系存儲(chǔ)于預(yù)設(shè)黑名單規(guī)則表/預(yù)設(shè)白名單規(guī)則表中��;所述預(yù)設(shè)規(guī)則表包括預(yù)設(shè)黑名單規(guī)則表以及預(yù)設(shè)白名單規(guī)則表��。進(jìn)一步的����,如圖3所示,所述裝置還包括:設(shè)置單元25���,在所述記錄單元23將所述過(guò)濾目標(biāo)與所述網(wǎng)絡(luò)協(xié)議類型的對(duì)應(yīng)關(guān)系記錄于預(yù)設(shè)規(guī)則表中之后��,設(shè)置網(wǎng)絡(luò)協(xié)議類型的優(yōu)先級(jí)�;排序單元26,用于根據(jù)所述設(shè)置單元25設(shè)置的優(yōu)先級(jí)對(duì)所述預(yù)設(shè)黑名單規(guī)則表/預(yù)設(shè)白名單規(guī)則表中過(guò)濾目標(biāo)與網(wǎng)絡(luò)協(xié)議類型的對(duì)應(yīng)關(guān)系進(jìn)行重新排序�����。進(jìn)一步的����,如圖3所示,所述裝置還包括:發(fā)送單元27��,用于在所述創(chuàng)建單元24基于預(yù)置模組���,并根據(jù)所述預(yù)設(shè)規(guī)則表創(chuàng)建數(shù)據(jù)包過(guò)濾規(guī)則之后��,將所述預(yù)置模組返回的狀態(tài)碼通過(guò)異步廣播方式發(fā)送至所述客戶端��。進(jìn)一步的�����,如圖3所示,所述裝置還包括:驗(yàn)證單元28���,用于在所述獲取單元21獲取客戶端發(fā)送的數(shù)據(jù)包過(guò)濾設(shè)置請(qǐng)求之前�,基于軟件開發(fā)工具包SDK驗(yàn)證客戶端訪問(wèn)權(quán)限的合法性,以及驗(yàn)證數(shù)據(jù)包過(guò)濾設(shè)置請(qǐng)求中過(guò)濾目標(biāo)格式的合法性�����;所述獲取單21元�����,還用于當(dāng)所述驗(yàn)證單元28驗(yàn)證所述客戶端訪問(wèn)權(quán)限及數(shù)據(jù)包過(guò)濾設(shè)置請(qǐng)求中過(guò)濾目標(biāo)格式均合法時(shí)����,獲取所述客戶端發(fā)送的數(shù)據(jù)包過(guò)濾設(shè)置請(qǐng)求。進(jìn)一步的���,所述預(yù)置模組為IP信息包過(guò)濾系統(tǒng)IPtables�����。本發(fā)明實(shí)施例提供的數(shù)據(jù)包過(guò)濾規(guī)則的處理裝置����,F(xiàn)rameWorks組件獲取客戶端發(fā)送的數(shù)據(jù)包過(guò)濾設(shè)置請(qǐng)求����,該數(shù)據(jù)包過(guò)濾設(shè)置請(qǐng)求中包含過(guò)濾目標(biāo)及過(guò)濾類別�����,根據(jù)過(guò)濾目標(biāo)及過(guò)濾類別確定與過(guò)濾目標(biāo)對(duì)應(yīng)的網(wǎng)絡(luò)協(xié)議類型�����,并將過(guò)濾目標(biāo)及網(wǎng)絡(luò)協(xié)議類型的對(duì)應(yīng)關(guān)系記錄于預(yù)設(shè)規(guī)則表中��,基于預(yù)置模組�,并根據(jù)預(yù)設(shè)規(guī)則表創(chuàng)建數(shù)據(jù)包過(guò)濾規(guī)則�,與現(xiàn)有技術(shù)相比,本發(fā)明實(shí)施例通過(guò)FrameWorks組件實(shí)現(xiàn)對(duì)數(shù)據(jù)包過(guò)濾規(guī)則的創(chuàng)建���,無(wú)需要求用戶為系統(tǒng)管理員身份�����,或者����,將操作系統(tǒng)進(jìn)行root升級(jí)等操作�����,操作過(guò)程簡(jiǎn)單����。在上述實(shí)施例中,對(duì)各個(gè)實(shí)施例的描述都各有側(cè)重���,某個(gè)實(shí)施例中沒(méi)有詳述的部分����,可以參見(jiàn)其他實(shí)施例的相關(guān)描述����。可以理解的是���,上述方法及裝置中的相關(guān)特征可以相互參考����。另外�����,上述實(shí)施例中的“第一”、“第二”等是用于區(qū)分各實(shí)施例��,而并不代表各實(shí)施例的優(yōu)劣�。所屬領(lǐng)域的技術(shù)人員可以清楚地了解到,為描述的方便和簡(jiǎn)潔�����,上述描述的系統(tǒng)�����,裝置和單元的具體工作過(guò)程�����,可以參考前述方法實(shí)施例中的對(duì)應(yīng)過(guò)程���,在此不再贅述�。在此提供的算法和顯示不與任何特定計(jì)算機(jī)�����、虛擬系統(tǒng)或者其它設(shè)備固有相關(guān)��。各種通用系統(tǒng)也可以與基于在此的示教一起使用。根據(jù)上面的描述�,構(gòu)造這類系統(tǒng)所要求的結(jié)構(gòu)是顯而易見(jiàn)的。此外�����,本發(fā)明也不針對(duì)任何特定編程語(yǔ)言����。應(yīng)當(dāng)明白���,可以利用各種編程語(yǔ)言實(shí)現(xiàn)在此描述的本發(fā)明的內(nèi)容��,并且上面對(duì)特定語(yǔ)言所做的描述是為了披露本發(fā)明的最佳實(shí)施方式�。在此處所提供的說(shuō)明書中��,說(shuō)明了大量具體細(xì)節(jié)����。然而,能夠理解����,本發(fā)明的實(shí)施例可以在沒(méi)有這些具體細(xì)節(jié)的情況下實(shí)踐�。在一些實(shí)例中����,并未詳細(xì)示出公知的方法、結(jié)構(gòu)和技術(shù)����,以便不模糊對(duì)本說(shuō)明書的理解。類似地����,應(yīng)當(dāng)理解,為了精簡(jiǎn)本公開并幫助理解各個(gè)發(fā)明方面中的一個(gè)或多個(gè)�,在上面對(duì)本發(fā)明的示例性實(shí)施例的描述中,本發(fā)明的各個(gè)特征有時(shí)被一起分組到單個(gè)實(shí)施例�����、圖����、或者對(duì)其的描述中。然而�����,并不應(yīng)將該公開的方法解釋成反映如下意圖:即所要求保護(hù)的本發(fā)明要求比在每個(gè)權(quán)利要求中所明確記載的特征更多的特征。更確切地說(shuō)�����,如下面的權(quán)利要求書所反映的那樣����,發(fā)明方面在于少于前面公開的單個(gè)實(shí)施例的所有特征����。因此,遵循具體實(shí)施方式的權(quán)利要求書由此明確地并入該具體實(shí)施方式���,其中每個(gè)權(quán)利要求本身都作為本發(fā)明的單獨(dú)實(shí)施例����。本領(lǐng)域那些技術(shù)人員可以理解�,可以對(duì)實(shí)施例中的設(shè)備中的模塊進(jìn)行自適應(yīng)性地改變并且把它們?cè)O(shè)置在與該實(shí)施例不同的一個(gè)或多個(gè)設(shè)備中?�?梢园褜?shí)施例中的模塊或單元或組件組合成一個(gè)模塊或單元或組件����,以及此外可以把它們分成多個(gè)子模塊或子單元或子組件���。除了這樣的特征和/或過(guò)程或者單元中的至少一些是相互排斥之外,可以采用任何組合對(duì)本說(shuō)明書(包括伴隨的權(quán)利要求��、摘要和附圖)中公開的所有特征以及如此公開的任何方法或者設(shè)備的所有過(guò)程或單元進(jìn)行組合���。除非另外明確陳述���,本說(shuō)明書(包括伴隨的權(quán)利要求、摘要和附圖)中公開的每個(gè)特征可以由提供相同����、等同或相似目的的替代特征來(lái)代替。此外�����,本領(lǐng)域的技術(shù)人員能夠理解���,盡管在此所述的一些實(shí)施例包括其它實(shí)施例中所包括的某些特征而不是其它特征���,但是不同實(shí)施例的特征的組合意味著處于本發(fā)明的范圍之內(nèi)并且形成不同的實(shí)施例。例如�����,在下面的權(quán)利要求書中,所要求保護(hù)的實(shí)施例的任意之一都可以以任意的組合方式來(lái)使用���。本發(fā)明的各個(gè)部件實(shí)施例可以以硬件實(shí)現(xiàn)����,或者以在一個(gè)或者多個(gè)處理器上運(yùn)行的軟件模塊實(shí)現(xiàn)�,或者以它們的組合實(shí)現(xiàn)。本領(lǐng)域的技術(shù)人員應(yīng)當(dāng)理解�����,可以在實(shí)踐中使用微處理器或者數(shù)字信號(hào)處理器(DSP)來(lái)實(shí)現(xiàn)根據(jù)本發(fā)明實(shí)施例的發(fā)明名稱(如確定網(wǎng)站內(nèi)鏈接等級(jí)的裝置)中的一些或者全部部件的一些或者全部功能��。本發(fā)明還可以實(shí)現(xiàn)為用于執(zhí)行這里所描述的方法的一部分或者全部的設(shè)備或者裝置程序(例如��,計(jì)算機(jī)程序和計(jì)算機(jī)程序產(chǎn)品)�����。這樣的實(shí)現(xiàn)本發(fā)明的程序可以存儲(chǔ)在計(jì)算機(jī)可讀介質(zhì)上����,或者可以具有一個(gè)或者多個(gè)信號(hào)的形式。這樣的信號(hào)可以從因特網(wǎng)網(wǎng)站上下載得到���,或者在載體信號(hào)上提供��,或者以任何其他形式提供����。應(yīng)該注意的是上述實(shí)施例對(duì)本發(fā)明進(jìn)行說(shuō)明而不是對(duì)本發(fā)明進(jìn)行限制���,并且本領(lǐng)域技術(shù)人員在不脫離所附權(quán)利要求的范圍的情況下可設(shè)計(jì)出替換實(shí)施例����。在權(quán)利要求中�����,不應(yīng)將位于括號(hào)之間的任何參考符號(hào)構(gòu)造成對(duì)權(quán)利要求的限制���。單詞“包含”不排除存在未列在權(quán)利要求中的元件或步驟�����。位于元件之前的單詞“一”或“一個(gè)”不排除存在多個(gè)這樣的元件����。本發(fā)明可以借助于包括有若干不同元件的硬件以及借助于適當(dāng)編程的計(jì)算機(jī)來(lái)實(shí)現(xiàn)。在列舉了若干裝置的單元權(quán)利要求中�,這些裝置中的若干個(gè)可以是通過(guò)同一個(gè)硬件項(xiàng)來(lái)具體體現(xiàn)。單詞第一�����、第二��、以及第三等的使用不表示任何順序�。可將這些單詞解釋為名稱����。當(dāng)前第1頁(yè)1 2 3 當(dāng)前第1頁(yè)1 2 3