[发明专利]一种防火墙的报文过滤方法

说明书

技术领域

本发明涉及网络安全领域，特别涉及防火墙的报文过滤方法和系统。

背景技术

网络应用的多样性伴随着各种网络安全应运而生，对防御网络入侵的有效机制需求越来越迫切。随着防火墙技术的快速发展，它已成为实现Internet网络安全的最重要的保障之一。当前网络防火墙都是基于路由的三层业务实现安全防控，例如当前的防火墙无法独立地并且针对性地实现web页面方式的email邮件进行管控。现有的防火墙实现的对邮件的管控过滤机制主要包括以下两种：

第一种主要是使用第三方服务器进行web的mail清洗，当用户想使用防火墙来进行全面的邮件管控时，必须要增加第三方设备，如一台外部应用审计服务器，来进行间接的第三方web类型mail邮件的操作控制，将防火墙的HTTP流量引入到第三方的web清洗服务器中，进行解析后过滤出需要的含有mail信息的web报文，并进行相应的阻断动作。

第二种，在不使用单独的第三方服务器控制的情况下，当前防火墙只对特定软件类型的mail邮件进行管控，这是由于软件类型的mail邮件是基于应用和端口号的，也就是使用的是UDP类型的指定端口号，如果要想控制的用户的邮件行为，只需填写对应邮件软件的收发端口号即可，如此一来，就可以达到软件类型的mail邮件控制。如果要只使用一台设备进行软件的全mail禁止，只能使用关闭HTTP业务的总端口号的形式。

从上述两种机制中明显看出，如果不想使用第三方的服务器设备而只想使用防火墙，则必须进行网络的HTTP类型报文全阻断，这显然是需要付出很大代价的，因为在全阻断模式中，显然其他HTTP类型业务也被禁止，从而影响用户正常使用网络资源。另一方面，如果使用第三方设备，势必会大大增加组网的成本。

针对相关技术中所存在的上述问题，目前尚未提出有效的解决方案。

发明内容

本发明的目的是提供一种防火墙的过滤方法和系统，利用DPI扫描集成系统，进行HTTP类型的框架动态加载，以实现在一台防火墙上即可完成web类型的邮件管控和过滤。

根据本发明的一个方面，提供了一种用于防火墙的报文过滤方法，其特征在于，包括以下步骤：

步骤S101：获取用户设置的特征属性，所述特征属性包括需要阻断的业务类型和用户消息动作；

步骤S102：使用特征框架库工具对报文进行特征抓取，并形成特征库；

步骤S103：将所述需要阻断的业务类型和用户消息动作以及所述特征库导入到防火墙中；

步骤S104：基于所述特征库的特征框架，对经过防火墙的后续的报文的属性特征与所述特征库进行第一匹配，若匹配通过，再将报文的属性与所述需要阻断的业务类型以及用户消息动作进行第二匹配；

步骤S105：根据第一匹配和第二匹配结果对报文进行过滤。

优选地，在所述步骤S103之后，还包括：

防火墙首先对经过服务器的报文进行路由处理，若未找到对应的出接口，则直接丢弃该报文，否则对报文进行应用层应用类型分类，如果是ICMP业务或组播业务，则交给ACL处理，如果是UDP或者是TCP端口业务，则进入步骤S104。

优选地，所述报文为应用层报文，包括web类型的邮件数据；

所述对报文进行过滤包括：

当收到业务报文时，对该报文进行解析，得到报文的属性的关键值，并根据关键值获取与所述报文的属性对应的策略动作，执行对应的策略动作；

优选地，所述用户设置的特征属性遵循以下模式中的一个或多个：黑名单模式、白名单模式、加密模式、行为过滤模式；

并且所述策略动作包括下列中的一个或多个：承诺接入速率、数据报文整形、数据报文阻断、数据报文重定向、数据报文复制。

优选地，步骤S105包括：

确定报文是否为邮件动作，

如果是邮件动作，则检查邮件发件人是否被限制，

如果发件人被限制则丢弃该邮件web消息，

如果没有被限制，检查邮件的收件人是否被限制，

如果收件人被限制则丢弃该邮件web消息，

如果没有被限制则直接进行接收或转发。

根据本发明的另一方面，提供了一种报文过滤系统，其特征在于，包括：

用户规则模块，用于获取用户设置的特征属性，所述特征属性包括需要阻断的业务类型和用户消息动作；

特征模块，用于对报文进行特征抓取，形成特征库；

导入模块，用于将所述需要阻断的业务类型和用户消息动作以及所述特征库导入到防火墙中；