網(wǎng)絡(luò)終端及其ip端口過濾系統(tǒng)和ip端口過濾方法【
技術(shù)領(lǐng)域:
】[0001]本發(fā)明公開一種無線信道自適應(yīng)技術(shù),具體涉及一種小型家庭無線網(wǎng)關(guān)設(shè)備及其IP端口過濾系統(tǒng)和IP端口過濾方法?!?br>背景技術(shù):
】[0002]端口過濾功能指的是使用IP地址過濾器拒絕特定的IP地址存取互聯(lián)網(wǎng)上的資料或者信息。即可以拒絕特定的端口,同時(shí)也可過濾特定IP地址的所有端口。[0003]路由器逐一審查數(shù)據(jù)包以判定它是否與其它包過濾規(guī)則相匹配。每個(gè)包有兩個(gè)部分:數(shù)據(jù)部分和包頭。過濾規(guī)則以用于IP順行處理的包頭信息為基礎(chǔ),不理會(huì)包內(nèi)的正文信息內(nèi)容。包頭信息包括:IP源地址、IP目的地址、封裝協(xié)議(TCP、UDP、或IPTunnel)、TCP/UDP源端口、ICMP包類型、包輸入接口和包輸出接口。如果找到一個(gè)匹配,且規(guī)則允許這包,這一包則根據(jù)路由表中的信息前行。如果找到一個(gè)匹配,且規(guī)則拒絕此包,這一包則被舍棄。如果無匹配規(guī)則,一個(gè)用戶配置的缺省參數(shù)將決定此包是前行還是被舍棄。[0004]包過濾規(guī)則允許Router取舍以一個(gè)特殊服務(wù)為基礎(chǔ)的信息流,因?yàn)榇蠖鄶?shù)服務(wù)檢測(cè)器駐留于眾所周知的TCP/UDP端口。例如,TelnetService為TCPport23端口等待遠(yuǎn)程連接,而SMTPService為TCPPort25端口等待輸入連接。如要封鎖輸入Telnet、SMTP的連接,則Router舍棄端口值為23、25的所有的數(shù)據(jù)包。[0005]現(xiàn)有技術(shù)的家庭網(wǎng)關(guān)設(shè)備中的IP端口過濾功能主要是通過網(wǎng)絡(luò)防火墻IPtables添加白名單或者黑名單的方式來實(shí)現(xiàn),造成的主要缺點(diǎn)如下:1)黑名單和白名單分別單獨(dú)工作;2)對(duì)網(wǎng)絡(luò)數(shù)據(jù)沒有分上下行方向的控制;3)黑白名單無法同時(shí)工作;4)端口過濾功能無法滿足較為復(fù)雜的應(yīng)用場(chǎng)景。【
發(fā)明內(nèi)容】[0006]本發(fā)明提供一種網(wǎng)絡(luò)終端及其IP端口過濾系統(tǒng)和IP端口過濾方法,在單獨(dú)支持黑名單、白名單機(jī)制的基礎(chǔ)上,實(shí)現(xiàn)黑名單、白名單同時(shí)生效且互不影響。[0007]為實(shí)現(xiàn)上述目的,本發(fā)明提供一種IP端口過濾方法,其特點(diǎn)是,該過濾方法包含:當(dāng)網(wǎng)絡(luò)防火墻中無白名單過濾規(guī)則,則開啟新的白名單過濾規(guī)則時(shí),不添加dropall規(guī)則;當(dāng)網(wǎng)絡(luò)防火墻中已有白名單過濾規(guī)則,則開啟新的白名單過濾規(guī)則時(shí),添加dropall規(guī)則;當(dāng)網(wǎng)絡(luò)防火墻中刪除任意數(shù)量條白名單過濾規(guī)則后,若網(wǎng)絡(luò)防火墻中僅存有dropall規(guī)則,則一并刪除dropall規(guī)則。[0008]上述過濾方法還包含:黑名單過濾規(guī)則的作用范圍定義在IP端口的上行。[0009]上述過濾方法還包含:白名單過濾規(guī)則的作用范圍定義在IP端口的下行。[0010]上述網(wǎng)絡(luò)防火墻刪除任意數(shù)量條白名單過濾規(guī)則后,若網(wǎng)絡(luò)防火墻中還留存有白名單過濾規(guī)則,則不刪除dropall規(guī)則。[0011]上述網(wǎng)絡(luò)防火墻添加新的黑名單過濾規(guī)則后,該黑名單過濾規(guī)則僅對(duì)Ian側(cè)發(fā)送至wan側(cè)的數(shù)據(jù)包進(jìn)行篩選和過濾。[0012]上述網(wǎng)絡(luò)防火墻添加新的白名單過濾規(guī)則后,該白名單過濾規(guī)則僅對(duì)wan側(cè)發(fā)送至Ian側(cè)的數(shù)據(jù)包進(jìn)行篩選和過濾。[0013]一種IP端口過濾系統(tǒng),其特點(diǎn)是,該IP端口過濾系統(tǒng)包含:過濾模塊,其存儲(chǔ)并執(zhí)行上行的黑名單過濾規(guī)則,下行的白名單過濾規(guī)則,以及白名單和黑名單同時(shí)生效的過濾規(guī)則;白名單和黑名單同時(shí)生效的過濾規(guī)則包含:當(dāng)網(wǎng)絡(luò)防火墻中無白名單過濾規(guī)則,則開啟新的白名單過濾規(guī)則時(shí),不添加dropall規(guī)則;當(dāng)網(wǎng)絡(luò)防火墻中已有白名單過濾規(guī)則,則開啟新的白名單過濾規(guī)則時(shí),添加dropalI規(guī)則;當(dāng)網(wǎng)絡(luò)防火墻中刪除任意數(shù)量條白名單過濾規(guī)則后,若網(wǎng)絡(luò)防火墻中僅存有dropall規(guī)則,則一并刪除dropall規(guī)貝丨J;Ian側(cè)連接端,用于將過濾模塊與內(nèi)部局域網(wǎng)進(jìn)行通信連接;wan側(cè)連接端,用于將過濾模塊與外網(wǎng)進(jìn)行通信連接。[0014]一種網(wǎng)絡(luò)終端,其特點(diǎn)是,該網(wǎng)絡(luò)終端包含有上述的IP端口過濾系統(tǒng)。[0015]上述網(wǎng)絡(luò)終端為有線或無線的網(wǎng)關(guān)路由器。[0016]本發(fā)明網(wǎng)絡(luò)終端及其IP端口過濾系統(tǒng)和IP端口過濾方法和現(xiàn)有技術(shù)的IP端口過濾技術(shù)相比,其優(yōu)點(diǎn)在于,本發(fā)明定義了上行黑名單過濾規(guī)則,僅僅對(duì)Ian側(cè)發(fā)送wan側(cè)的包進(jìn)行篩選和過濾,而不影響wan側(cè)發(fā)送到Ian側(cè)方向的數(shù)據(jù),可有效的控制上行數(shù)據(jù)的IP通信;本發(fā)明定義了下行白名單過濾規(guī)則,僅僅對(duì)wan側(cè)發(fā)送到Ian側(cè)的包進(jìn)行篩選和過濾,而不影響Ian側(cè)發(fā)送到wan方向的數(shù)據(jù)可以有效的控制下行數(shù)據(jù)的IP通信;本發(fā)明改進(jìn)了下行白名單的生效機(jī)制,使白名單和黑名單同時(shí)生效,且互不影響;使得IP端口過濾機(jī)制更加靈活;本發(fā)明提供上行的黑名單過濾規(guī)則、下行的白名單過濾規(guī)則,以及白名單和黑名單同時(shí)生效的過濾規(guī)則,可以提供給用戶更為復(fù)雜和靈活的IP端口過濾功能和實(shí)現(xiàn)機(jī)制?!靖綀D說明】[0017]圖1為本發(fā)明白名單過濾規(guī)則的添加方法的方法流程圖;圖2為本發(fā)明白名單過濾規(guī)則的刪除方法的方法流程圖;圖3為本發(fā)明一種IP端口過濾系統(tǒng)的框圖?!揪唧w實(shí)施方式】[0018]以下結(jié)合附圖,進(jìn)一步說明本發(fā)明的具體實(shí)施例。[0019]本發(fā)明針對(duì)以上傳統(tǒng)的IP端口過濾機(jī)制的不足之處,考慮到當(dāng)用戶對(duì)端口過濾的需求較為復(fù)雜的情況下,以及可以更加靈活的實(shí)現(xiàn)此功能,設(shè)計(jì)并提出了一種適用于小型家用有線或無線網(wǎng)關(guān)設(shè)備的IP端口過濾方法,該過濾方法具體包含:分別定義上下行過濾規(guī)則;以及,改進(jìn)白名單生成規(guī)則使得白、黑名單同時(shí)生效。[0020]一、分別定義上下行過濾規(guī)則具體包含以下兩方面:I)定義上行的黑名單過濾規(guī)則:黑名單過濾規(guī)則的作用范圍定義在IP端口的上行。[0021]具體的,如果需要添加黑名單的過濾規(guī)則,則此過濾規(guī)則限制的從Ian側(cè)至wan側(cè)的數(shù)據(jù)通信走向。即如果在黑名單里添加一條過濾規(guī)則,那么對(duì)應(yīng)的是將Ian側(cè)數(shù)據(jù)向wan側(cè)方向進(jìn)行過濾和生效,僅僅對(duì)Ian側(cè)發(fā)送wan側(cè)的包進(jìn)行篩選和過濾,而不影響wan側(cè)發(fā)送到Ian側(cè)方向的數(shù)據(jù)。[0022]2)定義下行的白名單過濾規(guī)則:白名單過濾規(guī)則的作用范圍定義在IP端口的下行。[0023]具體的,如果需要添加白名單的過濾條件,則此過濾規(guī)則限制的從wan側(cè)至Ian側(cè)的數(shù)據(jù)通信走向,即如果在白名單里添加一條過濾規(guī)則,那么對(duì)應(yīng)的是將wan側(cè)數(shù)據(jù)向Ian側(cè)方向進(jìn)行過濾和生效,僅僅對(duì)wan側(cè)發(fā)送到Ian側(cè)的包進(jìn)行篩選和過濾,而不影響Ian側(cè)發(fā)送到wan方向的數(shù)據(jù)二、定義完上下行黑白名單的作用范圍后,用戶開啟IP端口過濾會(huì)根據(jù)黑白名單中定義的過濾規(guī)則對(duì)報(bào)文進(jìn)行過濾,但如果需要是黑名單和白名單同時(shí)生效,必須要對(duì)白名單的生產(chǎn)規(guī)當(dāng)前第1頁1 2