[发明专利]防火墙及其方法

权利要求书

1.一种防火墙，包括：

侦听装置，用于侦听并拦截访问程序；

引擎装置，用于根据所述访问程序而输出指示所述访问程序的危 险等级的信息，其中所述引擎装置包括：

分析装置，用于分析所侦听的访问程序的特性；

数据库，包括程序控制表，用于存储有关程序特性的信息，由以 下域构成：Path域，用于定义程序名称和/或路径；connection域，用 于定义是否允许相应的程序访问网络；Post域，用于定义是否允许相 应的程序发送邮件；service域，用于定义对应的程序是否是服务器程 序；MD5域，用于定义相应程序的MD5值，

匹配装置，将所分析的程序特性与所述数据库进行匹配判断；

输出装置，用于根据匹配结果来判断所述访问程序的危险等级供 用户决策。

2.如权利要求1所述的防火墙，其中所述数据库包括危险数据 表，用于存储敏感数据信息；所述匹配装置进一步包括一数据保护单 元，其中

当所述分析装置指示该访问程序为一数据传输程序时，所述数据 保护单元判断所述访问程序是否包含了存储在所述危险数据表中的 安全数据。

3.如权利要求2所述的防火墙，其中所述匹配装置进一步包括 邮件匹配器，用于查询所述程序控制表以确定所述访问程序是否是注 册在所述程序控制表中的邮件程序。

4.如权利要求3所述的防火墙，其中当所述分析装置指示所述 访问程序为一网络动作程序时，所述匹配装置查询所述程序控制表以 确定该访问程序是否注册在所述程序控制表中。

5.如权利要求4所述的防火墙，所述匹配装置进一步包括木马 扫描单元，当所述访问程序未包含在所述程序控制表中时，用于对该 访问程序和/或该访问程序加载的程序模块执行木马扫描程序。

6.如权利要求5所述的防火墙，所述数据库进一步包括一个危 险地址表，用于存储预定的地址信息，其中所述匹配装置进一步包括 第一危险地址判断单元，用于在未找到木马病毒的情况下，判断所述 访问程序是否包含了上述预定的地址信息。

7.如权利要求6所述的防火墙，所述匹配装置进一步包括验证 装置，在所述访问程序未包含上述预定的地址信息情况下，用于验证 所述访问程序是否具有数字签名。

8.如权利要求7所述的防火墙，其中在所述访问程序具有数字 签名的情况下，所述验证装置进一步验证所述签名是否通过预定的验 证算法。

9.如权利要求6-8中任一个所述的防火墙，所述匹配装置进一 步包括MD5计算单元，当所述访问程序包含在所述程序控制表中时， 用于计算该访问程序的MD5值，并与所述程序控制表中预先存储的 MD5进行比较以判断访问程序的危险性。

10.如权利要求9所述的防火墙，所述匹配装置进一步包括权限 验证单元，用于验证所述访问程序是否作为服务器程序运行，并且根 据所述程序控制表判断是否允许其作为服务器程序运行。

11.如权利要求9所述的防火墙，所述匹配装置进一步包括第二 危险地址判断单元，其中当所述访问程序是所述程序控制表允许的程 序时，所述第二危险地址判断单元进一步判断该访问程序是否使用了 所述危险地址表中的预定地址。

12.如权利要求4所述的防火墙，其中如果所述访问程序记载在 所述程序控制表中且标记为不允许执行时，则阻止该访问程序。

13.如权利要求11所述的防火墙，进一步包括更新装置，用于 根据所述用户基于风险指示的决策来更新所述程序控制表的相应项。