[发明专利]一种用于分布式防火墙系统的数据包过滤方法

权利要求书

1.一种用于分布式防火墙系统的数据包过滤方法，其特征在于，包括步骤：

S1、策略中心预设5元组过滤规则和内容过滤规则，所述5元组过滤规则应用于网络防火墙，所述内容过滤规则应用于主机防火墙；

S2、提取到达网络防火墙的数据包，判断所述数据包的5元组与所述5元组过滤规则是否匹配，若是，则丢弃该数据包，若否，则将该数据包发送对应的主机防火墙；

S3、主机防火墙接收数据包，判断所述数据包是否为加密的IPSec数据包，若是，则采用具有IPSec数据包加密处理能力的钩子来提取和解密IPSec数据包并在解密后转至步骤S4，若否，则转至步骤S4；

S4、主机防火墙根据所述内容过滤规则对接收到的数据包进行过滤，若所述数据包的内容与内容过滤规则匹配，则丢弃该数据包，若所述数据包的内容与内容过滤规则不匹配，则接收该数据包。

2.根据权利要求1所述的用于分布式防火墙系统的数据包过滤方法，其特征在于，在所述步骤S3中，所述IPSec数据包被解释成IPv6结构数据包，并且对数据包进行分类。

3.根据权利要求2所述的用于分布式防火墙系统的数据包过滤方法，其特征在于，在所述步骤S4中，主机防火墙还检测所述数据包中是否包含敏感字段，当检测到敏感字段时，通知策略中心更新一个新的规则并将该新规则发送给所有的网络防火墙；

当网络防火墙检测到包含有敏感字段的数据包时，则将该数据包丢弃掉。

4.根据权利要求1所述的用于分布式防火墙系统的数据包过滤方法，其特征在于，所述“具有IPSec数据包加密处理能力的钩子”为一组Linux内核中具有IPSec数据包加密处理能力的钩子。