[发明专利]一种基于规则描述语言的动态配置过滤规则的方法

权利要求书

1.一种基于规则描述语言的动态配置过滤规则的方法，其特征在于，所述方法包括以下操作步骤：

步骤1、建立规则描述语言：

步骤1.1、建立会话连接

建立会话连接，所述会话连接包括会话连接正向与会话连接逆向，所述会话连接正向即由客户机向服务器发出连接请求的方向，由关键字forward link整数表示，从0开始，0，1，2……；所述会话连接逆向，即由服务器向客户机做出响应的方向；由关键字backrwardlink整数表示，从0开始，0，1，2……；

步骤1.2、确定会话连接状态

所述一个会话连接由两个或两个以上的状态组成，由关键字stat整数表示，整数从0开始，按序增加为0，1，2……；会话创建时的状态为会话开始状态，会话结束时为会话结束状态；

步骤1.3、进行过滤字段

过滤字段是指网络帧中的一段16进制字节数据，过滤字段的属性是：开始地址，从网络帧开始计算，以字节为单位；字段长度，以字节为单位；

步骤1.4、匹配规则字段

用于匹配网络帧中过滤字段的16进制字节数据，所述规则字段的属性是：字段长度，以字节为单位，所述规则字段以关键字加整数后缀表示为：rule整数，rule整数表示为字段长度，所述整数为0，1，2……；

步骤1.5、赋予操作语句表达式

所述赋予操作语句表达式是指用匹配规则字段对网络帧中的特定过滤字段进行比对时进行的操作；

步骤1.6、会话连接的操作动作

会话连接的操作动作是指用匹配规则字段对网络帧中的某一过滤字段进行比对后要采取的操作，会话连接的操作动作：1表示放行，2表示丢弃，3表示记日志，4表示创建新的会话连接，5表示转入另一个状态；

步骤1.7、定义操作运算符

操作运算符包括运算符含义/运算符类型/结合方向，用于对网络帧中的过滤字段进行操作；

步骤1.8、过滤字段字符的转换操作

所述过滤字段字符的转换操作是指把两字节网络过滤字段字符，即用2字节表示数字的字符转换成两字节整数，把4字节的网络过滤字段数据转换成4字节的浮点数；

步骤2、动态过滤的实现：

防火墙以包过滤状态检测技术为基础，并预置了：

步骤2.1、动态增加深度过滤的接口；

步骤2.2、预留了状态转换处理函数；

步骤2.3、建立各类过滤算法库；

所述步骤2.2依据会话连接状态还能够包含会话连接其它多个状态，当客户机基于TCP的应用协议，向服务器发起连接的SYN帧时进入stat0，服务器同意建立连接发SYN、ACK帧时进入stat1，客户机收到后发ACK确认帧进入stat2，即为所称的TCP建立连接时的三次交互的握手过程；另外，所述TCP协议正常结束时有四次交互的断开连接的过程，这同样能够用四个状态表示，所述TCP协议从建立连接到结束断开连接的过程即为一个会话，中间还需要有有效数据的传输以及构成需要的应用协议，并依据对内容过滤的需要，中间还分为若干个状态，所述会话连接状态的作用域为一个会话连接，包括会话连接正向和会话连接逆向。

2.按照权利要求1所述基于规则描述语言的动态配置过滤规则的方法，其特征在于，所述步骤1.1中所述会话连接正向和会话连接逆向的整数相等。

3.按照权利要求1所述基于规则描述语言的动态配置过滤规则的方法，其特征在于，所述步骤1.3中所述过滤字段表示为filter整数：filter整数表示为开始地址，字段长度，所述整数为0，1，2……，过滤字段的作用域为一个会话连接，包括话连接正向和会话连接逆向。

4.按照权利要求1所述基于规则描述语言的动态配置过滤规则的方法，其特征在于，所述步骤1.6中所述会话连接的操作动作也能够包含中间运算的结果，所述中间运算的结果是一个待过滤的帧的开始地址，以及待创建新的会话连接的TCP协议的目的端口号。

5.按照权利要求1所述基于规则描述语言的动态配置过滤规则的方法，其特征在于，所述步骤2中，当防火墙应用中出现了新的结构特征或对网络数据内容有了进一步的过滤要求，而现有的防火墙设计未能覆盖这些要求时，则修改或设计防火墙软件，再升级更新防火墙，配置过滤规则后，再进行动态过滤。