[发明专利]一种为用户态网络协议栈提供防火墙功能的方法和系统

权利要求书

1.一种为用户态网络协议栈提供防火墙功能的方法，其特征在于，包括：

使用具备基于二层链路报文的转发、过滤能力的交换芯片，作为最前端的管理交换模块，基于MAC层的信息，分发数据报文；

采用分析器提取并分析经管理交换模块导流到内核栈方向的报文，以决定这部分报文是丢弃还是向下游继续传递；

对进入内核栈的报文进行是否已知类型的判断并进行过滤处理；

基于用户态网络协议栈收发报文，由用户态网络协议栈自身进行检查；

对导入到服务与行为管理模块中的报文，由服务与行为管理模块基于报文的来源确定如何开启服务，并根据处理的结果，向分析器注册对应的信息，以便影响未来的报文如何抵达用户态网络协议栈。

2.根据权利要求1所述的为用户态网络协议栈提供防火墙功能的方法，其特征在于，对于输入到管理交换模块的数据报文，其输入方式包括：

作为首站时，本站的管理交换模块对外端口直连北向管理端，所有的数据报文均为管理报文；

不作为首站时，本站的管理交换模块连接业务处理芯片的镜像输出端口，数据报文有与业务随路的管理报文，也允许配置部分业务报文经本站防火墙处理。

3.根据权利要求1所述的为用户态网络协议栈提供防火墙功能的方法，其特征在于，所述采用分析器提取并分析经管理交换模块导流到内核栈方向的报文，以决定这部分报文是丢弃还是向下游继续传递具体包括：

对于不通过安全设置检查的报文，直接丢弃；

对于通过安全设置检查，且属于特殊的管理配置的报文，执行用户态网络协议栈侧的服务与行为管理模块在启动时向分析器注册的回调接口，以增加相关的配置；具体的配置包括：管理交换模块的报文路径设置、内核栈的过滤行为；

对于通过了安全设置检查，并属于防火墙暂无法判断是否属于安全类型的报文，防火墙不对这类报文执行任何动作，此时相关数据报文能够经过内核协议栈抵达用户态网络协议栈一侧。

4.根据权利要求3所述的为用户态网络协议栈提供防火墙功能的方法，其特征在于，所述不通过安全设置检查的报文具体包括MAC地址不匹配的报文、同一MAC多次发起同样的建立连接请求的报文、同一MAC频繁发起多次尝试连接请求但是多次不通过后端要求的密钥验证环节的报文中的一种或多种。

5.根据权利要求3所述的为用户态网络协议栈提供防火墙功能的方法，其特征在于，所述对进入内核栈的报文进行是否已知类型的判断并进行过滤处理具体包括：

对于未知类型报文，认为其不安全，直接丢弃；

对于已知类型报文，暂时认可其安全性，交给下游环节检查；

对于已知类型报文，在下游环节检查后认为存在攻击行为的，执行相关动作，该相关动作通过分析器的回调手段，交给分析器处理。

6.根据权利要求5所述的为用户态网络协议栈提供防火墙功能的方法，其特征在于，所述基于用户态网络协议栈收发报文，由用户态网络协议栈自身进行检查具体包括：

用户态网络协议栈对应用层提供封装过的用户态网络协议栈套接字，所述用户态网络协议栈套接字能够同时接收到通过内核栈过来的数据，或直接使用业务交换DMA通道获取的数据；

当用户态网络协议栈接收到来源为内核栈的数据后，判断是否已建立连接，若没有建立则建立连接，生成用户态网络协议栈套接字，并通过服务与行为管理模块拉起对应的服务。

7.根据权利要求6所述的为用户态网络协议栈提供防火墙功能的方法，其特征在于，在所述判断是否已建立连接时，若已有建立连接，则报文不会从内核栈进入用户态网络协议栈。