[发明专利]一种linux网络架构下应用连接防火墙的实现方法

说明书

技术领域

本发明涉及通用网络设备安全领域，尤其涉及一种linux网络架构下应用连接防火墙的实现方法。

背景技术

随着网络技术的飞速发展，对网络通讯设备的安全性能要求也越来越高，传统的包过滤和代理防火墙功能，以及目前比较先进的基于TCP/UDP层的状态数据包检查(SPI) 防火墙已经不能满足当前linux网络架构下的安全需求。目前迫切需要一种基于七层应用连接技术的高安全级别的防火墙。

发明内容

本发明的目的在于提供一种linux网络架构下应用连接防火墙的实现方法，通过基于连接跟踪技术，实现一种基于七层应用连接的高安全级别的防火墙。

本发明的目的是通过以下技术方案实现的。

一种linux网络架构下应用连接防火墙的实现方法，包括步骤：

a：系统启动时，正则表达式匹配引擎模块通过调用初始化接口函数对应用层的特征码配置文件进行初始化处理；

b：数据报文到达连接跟踪模块时，系统将连接跟踪模块进行扩展处理；

c：数据报文经网络层、传输层连接过滤处理后，由应用层对数据报文进行匹配分析处理连接。

优选的，步骤a所述初始化处理包括获取应用层各种特征数据的匹配参数信息。

优选的，所述特征码配置文件为应用连接防火墙的配置文件。

优选的，步骤b具体包括：连接跟踪模块中保存了网络层连接数据、传输层连接数据和应用层连接数据，由网络层、传输层根据对应层的防御策略对数据报文进行连接过滤处理。

优选的，所述连接过滤处理包括对数据报文进行通过、修改、删除或断开连接等处理。

优选的，步骤c具体包括：通过正则表达式匹配引擎模块对应用层的字符串进行比较匹配，如匹配上，则设置可识别的应用连接;否则，设置为不可识别应用连接。

优选的，通过正则表达式匹配引擎模块对应用层的字符串进行比较匹配，如匹配上，则还包括更新连接跟踪中对应用识别标志信息参数。

本发明与现有技术相比，有益效果在于：本发明提供的linux网络架构下应用连接防火墙的实现方法，在基于连接跟踪技术基础上，linux系统添加一个正则表达式匹配引擎模块，对匹配连接跟踪的报文进行应用层字符串的匹配处理，从而进行应用层信息识别处理，如果匹配上则设置可识别的应用连接和更新应用标示信息，不匹配则设置为不可识别应用连接。从而解决现有的Netfilter架构无法识别七层应用的问题，实现对数据报文进行从IP层到应用层的全方位识别和控制。

附图说明

图1为本发明应用连接防火墙的实现方法的系统架构图。

图2为本发明应用连接防火墙的实现方法流程图。

具体实施方式

在网络通讯设备中使用最多的是Linux操作系统，Linux系统使用Netfilter框架来实现连接跟踪状态防火墙功能，netfilter主要采用连接跟踪(Connection Tracking)技术，连接跟踪是包过滤的基础，它作为一个独立的模块运行。采用连接跟踪模块在协议栈低层截取数据包，将当前数据包及其状态信息与历史数据包及其状态信息进行比较，从而得到当前数据包的控制信息，根据这些控制信息决定对网络数据包的操作，达到保护网络的目的。

具体地，当下层网络接收到初始化连接同步(Synchronize，SYN)包，将被netfilter规则库检查。该数据包将在规则库中依次序进行比较。如果该包应被丢弃，发送一个复位(Reset，RST)包到远端主机，否则连接接收。并将该次连接的信息保存在连接跟踪信息表中，且表明该数据包所应有的状态。连接跟踪信息表位于内核模式下，其后的网络数据包将与此连接跟踪信息表中的内容进行比较，根据信息表中的信息来决定该数据包的操作。因为数据包首先是与连接跟踪信息表进行比较，只有SYN包才与netfilter规则库进行比较，数据包与连接跟踪信息表的比较都是在内核模式下进行的，所以速度很快。

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

请参阅图1所示，本发明应用连接防火墙的实现方法的系统架构图，包括：正则表达式匹配引擎模块、连接跟踪模块。

正则表达式匹配引擎模块用于对连接跟踪的报文进行应用层的数据深入比较匹配分析处理；