[发明专利]信息包过滤方法及网络防火墙

说明书

技术领域

本发明设涉及网络安全领域，特别涉及一种网络防火墙及自动配置网络防火墙的方法。

背景技术

随着网络技术的广泛应用，日常生产、生活中的各种事务越来越多地依赖网络，但病毒入侵、黑客攻击也时常发生，因此网络安全问题日显重要。

在互联网上防火墙是一种非常有效的网络安全模型，通过它可以隔离风险区域(即Internet或有一定风险的网站)与安全区域(局域网或PC)的连接。同时可以监控进出网络的通信，让安全的信息进入。防火墙通常作为网络安全防护带的第一道防线，根据所配置的规则来分析处理通过该防火墙的信息包，决定是否允许具有某种特征的信息包通过。

现有的一种防火墙的基本结构由静态规则表和报文处理模块组成。静态规则表里存储用来决定防火墙行为的规则，由用户通过设置接口来手工配置，配置主要通过增加、删除或修改报文完成。报文处理模块把通过防火墙的每个报文的特征字段跟规则表中的规则的匹配参数进行逐条比较。如果所比较的特征字段与某条规则的匹配参数完全相同，则表明该规则匹配成功。然后报文处理模块根据该规则所指定的策略决定允许该报文通过防火墙，还是丢弃该报文。

这种防火墙的业务规则配置是由用户根据业务的安全需求手工配置一系列常用规则。一旦业务安全需求有变化，又需要用户手工去更改规则配置。因此，现有的防火墙规则的配置和维护缺乏自动化；防火墙规则都是静态配置的，不能根据业务状态的变化进行实时的适应性调整。

由于上述静态防火墙规则的不够灵活，目前还有一种被称为端口触发的功能用来实现防火墙的部分动态配置。该功能通常应用于NAT(网络地址转换)中， 在进行NAT地址转换时对防火墙也起作用。端口触发在防火墙上的应用主要分为两部分，一部分是用于控制的触发端口，另一部分是防火墙对外动态打开的开放端口，前者属于触发控制条件，后者为防火墙端口的动态配置。当通过防火墙模块的报文满足控制条件后，端口触发功能生效，防火墙对外打开相应的开放端口，当控制条件失效后，防火墙便关闭对外开放的这些端口，以达到是否允许某些特定端口的报文进入防火墙的动态配置。

该技术虽然可以实现防火墙的部分动态配置，但只局限于端口的触发及开放，其原理与实现均嵌入到NAT功能中，没有自己成型的框架，不能满足用户自由设置防火墙各式各样的规则并能根据业务情况自动调整规则的应用与否的要求。

发明内容

本发明的发明目的是提供了一种网络防火墙及自动配置网络防火墙的方法，该防火墙可根据业务的安全需求自动生成相关动态规则和根据业务的状态自适应地动态地优化防火墙规则的配置。

本发明一方面提供了以下技术方案来达到本发明的目的：

一种网络防火墙，包括内网接口、外网接口、规则表存储器、规则模板存储器、自动规则处理器和信息包处理器。其中，内网接口用于接收/发送内部网络信息；外网接口用于接收/发送外部网络信息；规则表存储器用于存储规则表，该规则表中可以包括动态规则和控制规则；规则模板存储器用于存储业务相关的规则集；自动规则处理器与所述规则表存储器和规则模板存储器耦合；信息包处理器，与所述内网接口、外网接口、规则表存储器和自动规则处理器耦合，用于将从所述内网接口或外网接口接收到的信息包的内容与规则表存储器中的规则进行匹配处理；其中所述自动规则处理器用于当信息包的内容与规则匹配后，分析信息包处理器发送过来的处理结果，根据所述处理结果从规则模板存储器中获取业务相关的规则集，生成符合业务安全需求的动态规则，并且向所述规则表存储器中添加该动态规则。

本发明提供的这种防火墙通过设置规则模板存储器、自动规则处理器并且在规则表存储器中配置了控制规则。当信息包的内容触发控制规则后，会从规则模板存储器中动态的向规则表存储器中添加动态规则。使得本发明提供的防火墙是可以根据实际业务需求自动地动态添加或删除业务规则，提高了防火墙的自动化的程度，克服了现有防火墙配置维护缺乏自动化，不能根据业务状态的变化进行实时的适应性调整的缺陷；从而使得网络安全防务能力得到很大提高，达到优化网络的作用，并且减少了配置丰富多样的防火墙规则所花费的代价。