[发明专利]多级过滤防火墙系统及多级过滤方法

说明书

技术领域

本发明涉及网络安全技术，尤其涉及一种多级过滤防火墙系统及多级过滤方法。

背景技术

防火墙作为网络安全领域常采用的技术手段之一，可以主动地对用户信息进行有效的防护，以保证其完整性、保密性和可靠性。而防火墙的核心在于数据包过滤，因此，如何有效地进行数据包过滤，这成为当前防火墙领域越来越重要的问题。通常，在防火墙进行访问控制时，由管理员配置相应的过滤规则集，用于限制网络中的数据包是否可以通过。尽管现有技术中已经可以采用多规则进行数据包过滤，但是，这些技术还是限于单级过滤，即只限于网络通信系统的某一层上进行过滤，在提高系统安全性方面还有待完善。

发明内容

本发明的目的是提供一种多级过滤防火墙系统及多级过滤方法，以有效提升系统安全性。

根据本发明的一个方面，提供了一种多级过滤防火墙系统，该系统包括以下装置：

数据包截获装置，用于从网卡上截获每一个输入和输出的网络数据包；

数据包过滤装置，基于网络层访问规则，对所述截获的网络数据包进行合法性判断和过滤；

应用程序进程监控装置，用于截获和监控传输层中所有需要访问网络的应用程序，确认所述应用程序是否具有访问网络的权限；

木马攻击行为检测装置，用于分析和检测应用层中所述数据包中的木马攻击行为，进一步对所述数据包进行过滤。

根据本发明的另一个方面，还提供了一种防火墙多级过滤方法，包括：

从网卡上截获每一个输入和输出的网络数据包；

基于网络层访问规则，对所述截获的网络数据包进行合法性判断和过滤；

截获和监控传输层中所有需要访问网络的应用程序，确认所述应用程序是否具有访问网络的权限；

分析和检测应用层中所述数据包中的木马攻击行为，进一步对所述数据包进行过滤。

与现有技术相比，本发明具有以下优点：本发明提供的多级过滤防火墙系统及过滤方法可以有效提升网络安全性和防火墙本身的性能。

附图说明

通过阅读参照以下附图所作的对非限制性实施例所作的详细描述，本发明的其它特征、目的和优点将会变得更明显：

图1为根据本发明一个优选实施例的多级过滤防火墙系统的示意性框图；

图2为本申请一个优选实施例的对数据包进行过滤的流程图；

图3为本发明一个优选实施例的木马攻击行为检测示意图；

图4为本发明一个优选实施例的聚类分析示意图；

图5为根据本发明一个优选实施例的防火墙多级过滤方法流程图。

具体实施方式

下面结合附图对本发明作进一步详细描述。

根据本发明的一个方面，提供了一种多级过滤防火墙系统，该系统将网络数据包分为用户态和核心态两个层面进行。其中，核心态过滤对应网络通信模型中网络层和传输层的过滤，具体地，在网络层利用NDIS(网络接口驱动，Network Driver Interface Specification)技术实现对数据包的过滤，在传输层利用TDI(传输驱动程序接口，Transport Driver Interface)技术实现对应用进程的过滤。而用户态过滤主要对应网络通信模型中应用层的过滤，即利用Winsock(Windows下的一种网络编程接口)技术实现对数据包内容的过滤，并通过多级过滤，提升系统安全性的目的。为了更清楚地描述其中的多级过滤，下文将对其进行详述。

请参考图1，图1为根据本发明一个优选实施例的多级过滤防火墙系统的示意性框图。

如图1所示，本发明所提供的防火墙系统包括以下装置：

数据包截获装置101，用于从网卡上截获每一个输入和输出的网络数据包。

具体地，所述数据包截获装置通过网卡驱动程序和传输驱动程序之间的网络接口驱动，截获通过所述网卡的网络数据包。更具体地，所述数据包截获装置通过以下步骤截获所述数据包：

i)在NDIS网络驱动层中注册一个小端口驱动(Miniport)接口和一个协议驱动(Protoco1)接口；

ii)所述数据包截获装置利用协议驱动与底层的链路层通讯，当所述链路层有数据包向上传输时，由所述协议驱动及时截获所述数据包；

iii)所述数据包截获装置利用小端口驱动与高层的协议层通讯，当所述传输层有数据包向外发送时，由所述小端口驱动及时截获所述数据包。

数据包过滤装置102，基于网络层访问规则，对所述截获的网络数据包进行合法性判断和过滤。