[发明专利]一种防火墙系统及其实现方法

说明书

技术领域

本发明涉及防火墙技术，尤其涉及一种防火墙系统及其实现方法。

背景技术

网络通信的发展使得人们能够自由获得网络资源，而由此产生的网络安全问题则会影响网络通信内容的安全并继而导致网络的非法操作。因此，防火墙技术应运而生，而目前防火墙的主流技术是基于内核空间的防火墙，例如，基于Linux操作系统的内核空间的防火墙，其运行在Linux操作系统的内核空间，并接收用户通过用户空间传递的配置及策略等信息，利用Netfilter内核模块完成诸如策略匹配、数据包过滤和网络地址转换（Network Address Translation，简称NAT）等防火墙功能。

但是，由于Linux操作系统的内核本身要消耗一部分的系统资源和带宽，使得运行在内核空间的防火墙的数据处理和策略匹配的性能较低，同时由于策略的下发和用户的配置都要通过用户空间传递到内核空间，也要消耗系统资源，从而影响系统的性能。

发明内容

本发明的目的在于提供一种防火墙系统及其实现方法，以解决现有技术中防火墙运行在操作系统的内核空间而影响系统性能的问题。

本发明的第一个方面是提供一种防火墙系统的实现方法，所述防火墙系统设置在用户空间，所述方法包括：

调用用户空间驱动UIO获取网络中传输的数据包，所述数据包包括用于标识数据包编码格式的包头字段；

根据所述包头字段调用用户空间的解码器对所述数据包进行与所述数据包编码格式相对应的第一解码处理，以获取所述数据包的源IP地址和源MAC地址；

根据所述数据包的源IP地址和源MAC地址查询预设的访问绑定列表，所述访问绑定列表中预先存储了允许访问的IP地址和MAC地址的对应关系，若确定所述访问绑定列表中存在所述数据包的源IP地址、但不存在所述数据包的源IP地址和源MAC地址的对应关系，则丢弃所述数据包。

本发明的另一个方面是提供一种防火墙系统，其设置在用户空间，所述系统包括：

用户空间驱动UIO调用模块，用于调用用户空间的UIO获取网络中传输的数据包，所述数据包包括用于标识数据包编码格式的包头字段；

解码器调用模块，用于根据所述包头字段调用用户空间的解码器对所述数据包进行与所述数据包编码格式相对应的第一解码处理，以获取所述数据包的源IP地址和源MAC地址；

数据包过滤模块，用于根据所述数据包的源IP地址和源MAC地址查询预设的访问绑定列表，所述访问绑定列表中预先存储了允许访问的IP地址和MAC地址的对应关系，若确定所述访问绑定列表中存在所述数据包的源IP地址、且不存在所述数据包的源IP地址和源MAC地址的对应关系，则丢弃所述数据包。

采用上述本发明技术方案的有益效果是：通过设置于用户空间的防火墙系统调用用户空间的UIO以获取网络中传输的数据包，并调用用户空间的解码器对数据包进行解码处理，且在用户空间对数据包进行数据包过滤，从而避免了用户空间与内核空间的传递过程，进而提高了系统的性能。

附图说明

图1为本发明实施例一提供的一种防火墙系统的实现方法的流程示意图；

图2为本发明实施例二提供的一种防火墙系统的结构示意图；

图3为本发明防火墙系统部署示意图。

具体实施方式

图1为本发明实施例一提供的一种防火墙系统的实现方法的流程示意图，如图1所示，所述方法可以包括如下步骤：

步骤101，调用用户空间驱动（Userspace Input Output，简称UIO）获取网络中传输的数据包，所述数据包包括用于标识数据包编码格式的包头字段；

步骤102，根据所述包头字段调用用户空间的解码器对所述数据包进行与所述数据包编码格式相对应的第一解码处理，以获取所述数据包的源IP地址和源MAC地址；

步骤103，根据所述数据包的源IP地址和源MAC地址查询预设的访问绑定列表，若确定所述访问绑定列表中存在所述数据包的源IP地址、但不存在所述数据包的源IP地址和源MAC地址的对应关系，则丢弃所述数据包。