[发明专利]一种动态调整车载防火墙策略的方法

权利要求书

1.一种动态调整车载防火墙策略的方法，其特征在于，包括：

定义动态调整车载防火墙策略管理模型和动态调整车载防火墙策略模型，所述动态调整车载防火墙策略管理模型响应于数据链路层接收到数据包时启动；所述动态调整车载防火墙策略模型根据所述动态调整车载防火墙策略管理模型输出结果，进行包过滤防火墙的生成或删除；

所述动态调整车载防火墙策略管理模型，还包括：

复制组合数据包模块，用于复制流经所述数据链路层并完成组合的数据包；

数据处理模块，用于提取所述复制组合数据包模块中的数据包信息；所述数据包信息至少包括ip地址、网口、通讯协议；

判断模块，用于根据所述数据包信息识别需要调整的数据包；

动态调整策略单元，包括策略增加模块和策略删除模块；所述策略增加模块使用netfilter/iptables的语法生成netfilter/iptables策略；所述策略删除模块用于在预设时间段内，如果所述策略增加模块所生成的新防火墙策略数据包中的信息没有再出现，则删除这条策略。

2.根据权利要求1所述的动态调整车载防火墙策略的方法，其特征在于，所述判断模块还包括：收集每一应用的需求，将任一所使用的端口是不固定的应用的ip地址、端口、网口作为所述判断模块的判断依据；根据网络数据包的源ip地址，通讯协议和网口，判断是否需要为该数据包动态调整包过滤防火墙策略，如果不需要，则结束本流程；如果需要，则进入策略增加模块。

3.根据权利要求2所述的动态调整车载防火墙策略的方法，其特征在于，所述策略增加模块，还包括：根据所述不固定的应用的数据包的源端口信息、目的端口信息，源IP地址和目的IP地址和通讯网口参数，生成netfilter/iptables策略。

4.根据权利要求 1所述的动态调整车载防火墙策略的方法，其特征在于，所述netfilter/iptables的语法为：iptables/ip6tables - A 链名 - i eth0 -p 协议 - s源ip 地址 – sport - d 目的ip地址 - -dport 目标端口。

5.根据权利要求1所述的动态调整车载防火墙策略的方法，其特征在于，所述新防火墙策略数据包中的信息至少包括：源ip地址、目的ip地址、源端口、目的端口、通讯协议和网口中的任一条。

6.根据权利要求2-5任一项所述的动态调整车载防火墙策略的方法，其特征在于，还包括：分别经所述策略增加模块或所述策略删除模块，所增加或删除的包过滤防火墙策略用于拦截流经网络层和传输层的数据包。

7.根据权利要求1所述的动态调整车载防火墙策略的方法，其特征在于，所述数据链路层接收到数据包，并在完成数据包复制后，将所述数据包向上传递给网络层，最终经传输层流至应用层。