[发明专利]一种内核防火墙的管理方法

说明书

一种内核防火墙的管理方法，当客户端向服务器发起的业务请求被服务器的内核防火墙拒绝时，允许合法的客户端连接服务器的私有连接端口，通过该私有连接端口向服务器发起防火墙修改请求，请求内核防火墙接受客户端发出的客户端请求，服务器收到合法的客户端的防火墙修改请求后，解析并执行防火墙修改请求，对内核防火墙进行修改，使该合法的客户端发送的业务请求能够通过服务器的内核防火墙，并得到服务器的响应。本发明方便了合法的客户端得到服务器连接权限，减轻了管理员的工作负荷。

技术领域

本发明涉及一种内核防火墙的管理方法。

背景技术

Iptables是基于内核的防火墙，功能非常强大，通过向防火墙提供有关对来自某个源、到某个目的地或具有特定协议类型的信息包要做些什么的指令的规则，从而来控制信息包的过滤。如果服务器的内核防火墙中的某个规则没有被设置，则客户端是没有办法访问到系统的服务器，比如，系统的服务器上的21号端口未开，客户端就无法访问系统的ftp服务，这就需要管理员登陆到系统服务器，在内核防火墙中设置该规则，使客户端可以具有访问服务器的权限。这种操作增加了管理员的工作负荷，对于一些合法的客户端的登录访问来说，也是一个麻烦的过程。

发明内容

本发明提供一种内核防火墙的管理方法，方便了合法的客户端得到服务器连接权限，减轻了管理员的工作负荷。

为了达到上述目的，本发明提供一种内核防火墙的管理方法，当客户端向服务器发起的业务请求被服务器的内核防火墙拒绝时，允许合法的客户端连接服务器的私有连接端口，通过该私有连接端口向服务器发起防火墙修改请求，请求内核防火墙接受客户端发出的客户端请求，服务器收到合法的客户端的防火墙修改请求后，解析并执行防火墙修改请求，对内核防火墙进行修改，使该合法的客户端发送的业务请求能够通过服务器的内核防火墙，并得到服务器的响应。

自定义所述的私有连接端口的端口号，以保证该私有连接端口的私有性和安全性。

所述的防火墙修改请求的数据格式采用通用的报文数据格式或者自定义的报文数据格式。

客户端对防火墙修改请求进行数据加密，服务器对接收到的防火墙修改请求进行数据解密。

当客户端连接服务器的私有连接端口时，服务器验证客户端的合法性，如果客户端合法，则接受客户端的连接请求，如果客户端不合法，则拒绝客户端的连接请求。

当服务器解析后的防火墙修改请求是可执行的，则服务器执行防火墙修改请求，对内核防火墙进行修改后，将执行结果发送给客户端。

当服务器解析后的防火墙修改请求是不可执行的，则服务器不执行防火墙修改请求，将执行结果发送给客户端。

本发明通过为合法的客户端建立私有连接端口，方便了合法的客户端得到服务器连接权限，减轻了管理员的工作负荷。

附图说明

图1是客户端的处理流程。

图2是服务器的处理流程。

具体实施方式

以下根据图1和图2，具体说明本发明的较佳实施例。

本发明提供一种内核防火墙的管理方法，当客户端向服务器发起的业务请求被服务器的内核防火墙拒绝的时候，客户端连接服务器的私有连接端口，通过该私有连接端口向服务器发起防火墙修改请求，请求内核防火墙接受客户端发出的客户端请求，服务器收到合法的客户端的防火墙修改请求后，解析并执行防火墙修改请求，对内核防火墙进行修改，使该合法的客户端发送的业务请求能够通过服务器的内核防火墙，并得到服务器的响应。

所述的私有连接端口的端口号是自定义的，而不是采用公知的端口号，以保证该私有连接端口的私有性和安全性。