国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      采用自定義表規(guī)則的細(xì)粒度內(nèi)核防火墻實現(xiàn)方法

      文檔序號:9436056閱讀:256來源:國知局
      采用自定義表規(guī)則的細(xì)粒度內(nèi)核防火墻實現(xiàn)方法【
      技術(shù)領(lǐng)域
      】[0001]本發(fā)明涉及計算機網(wǎng)絡(luò)安全
      技術(shù)領(lǐng)域
      ,具體涉及一種采用自定義表規(guī)則的細(xì)粒度內(nèi)核防火墻實現(xiàn)方法。【
      背景技術(shù)
      】[0002]Netfilter/iptables,這是Linux系統(tǒng)自帶的免費防火墻,功能十分強大。Netfilter/iptables可以對流入和流出的信息進行細(xì)化控制,且可以在一臺低配置機器上很好地運行,被認(rèn)為是Linux中實現(xiàn)包過濾功能的第四代應(yīng)用程序。Netfilter/iptables包含在Linux2.4以后的內(nèi)核中,可以實現(xiàn)防火墻、NAT(網(wǎng)絡(luò)地址翻譯)和數(shù)據(jù)包的分割等功能。netfilter工作在內(nèi)核內(nèi)部,而iptables則是讓用戶定義規(guī)則集的表結(jié)構(gòu)。Netfilter/iptables從ipchains和ipwadfm(IP防火墻管理)演化而來,功能更加強大。[0003]netfilter是一內(nèi)核防火墻框架,該框架既簡潔又靈活,可實現(xiàn)安全策略應(yīng)用中的許多功能,如數(shù)據(jù)包過濾、數(shù)據(jù)包處理、地址偽裝、透明代理、動態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換(NetworkAddressTranslat1n,NAT),以及基于用戶及媒體訪問控制(MediaAccessControl,MAC)地址的過濾和基于狀態(tài)的過濾、包速率限制等。[0004]通俗的說,netfilter的架構(gòu)就是在整個網(wǎng)絡(luò)流程的若干位置放置了一些檢測點(Η00Κ),而在每個檢測點上登記了一些處理函數(shù)進行處理(如包過濾,NAT等,甚至可以是用戶自定義的功能)。[0005]netfilter提供了一個抽象、通用化的框架,作為中間件,為每種網(wǎng)絡(luò)協(xié)議(IPv4、IPv6等)定義一套鉤子函數(shù)。Ipv4定義了5個鉤子函數(shù),這些鉤子函數(shù)在數(shù)據(jù)報流過協(xié)議棧的5個關(guān)鍵點被調(diào)用,也就是說,IPv4協(xié)議棧上定義了5個“允許垂釣點”。在每一個“垂釣點”,都可以讓netfilter放置一個“魚鉤”,把經(jīng)過的網(wǎng)絡(luò)包(Packet)釣上來,與相應(yīng)的規(guī)則鏈進行比較,并根據(jù)審查的結(jié)果,決定包的下一步命運,即是被原封不動地放回IPv4協(xié)議棧,繼續(xù)向上層遞交;還是經(jīng)過一些修改,再放回網(wǎng)絡(luò);或者干脆丟棄掉。[0006]iptables是Linux內(nèi)核集成的IP信息包過濾系統(tǒng)。如果Linux系統(tǒng)連接到因特網(wǎng)或LAN、服務(wù)器或連接LAN和因特網(wǎng)的代理服務(wù)器,則該系統(tǒng)有利于在Linux系統(tǒng)上更好地控制IP信息包過濾和防火墻配置。[0007]防火墻在做信息包過濾決定時,有一套遵循和組成的規(guī)則,這些規(guī)則存儲在專用的信息包過濾表中,而這些表集成在Linux內(nèi)核中。在信息包過濾表中,規(guī)則被分組放在我們所謂的鏈(chain)中。而netfilter/iptablesIP信息包過濾系統(tǒng)是一款功能強大的工具,可用于添加、編輯和移除規(guī)則。[0008]這里所說的iptables是ipchains的后繼工具,但具有更強的可擴展性。內(nèi)核模塊可以注冊一個新的規(guī)則表(table),并要求數(shù)據(jù)包流經(jīng)指定的規(guī)則表。這種數(shù)據(jù)包選擇用于實現(xiàn)數(shù)據(jù)報過濾(filter表),網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT表)及數(shù)據(jù)報處理(mangle表)。Linux2.4內(nèi)核及其以上版本提供的這三種數(shù)據(jù)報處理功能都基于netfilter的鉤子函數(shù)和IP表,都是相互間獨立的模塊,完美地集成到了由netfilter提供的框架中。netfilter主要提供了如下三項功能:包過濾:filter表格不會對數(shù)據(jù)報進行修改,而只對數(shù)據(jù)報進行過濾。iptables優(yōu)于ipchains的一個方面就是它更為小巧和快速。它是通過鉤子函數(shù)NF_IP_LOCAL_IN、NF_IP_FORWARD及NF_IP_L0CAL_0UT接入netfilter框架的。[0009]NAT:NAT表格監(jiān)聽三個netfilter鉤子函數(shù):NF_IP_PRE_ROUTING、NF_IP_P0ST_ROUTING及NF_IP_L0CAL_0UT。NF_IP_PRE_ROUTING實現(xiàn)對需要轉(zhuǎn)發(fā)數(shù)據(jù)報的源地址進行地址轉(zhuǎn)換,而NF_IP_P0ST_R0UTING則對需要轉(zhuǎn)發(fā)的數(shù)據(jù)報目的地址進行地址轉(zhuǎn)換。對于本地數(shù)據(jù)報目的地址的轉(zhuǎn)換,則由NF_IP_L0CAL_0UT來實現(xiàn)。[0010]數(shù)據(jù)報處理:mangle表格在NF_IP_PRE_ROUTING和NF_IP_L0CAL_0UT鉤子中進行注冊。使用mangle表,可以實現(xiàn)對數(shù)據(jù)報的修改或給數(shù)據(jù)報附上一些外帶數(shù)據(jù)。當(dāng)前mangle表支持修改TOS位及設(shè)置skb的nfmard字段?!?br/>發(fā)明內(nèi)容】[0011]本發(fā)明要解決的技術(shù)問題是:在如今的netfilter&iptables框架中,它本身定義的標(biāo)規(guī)則不夠精細(xì),不夠具體,針對netfilter&iptables的實現(xiàn),本發(fā)明提出一種采用自定義表規(guī)則的netfilter&iptables實現(xiàn)方法。[0012]所以本發(fā)明的基本思想是要編寫規(guī)則策略定義更加明確更加精細(xì)的自定義表。對所到來的數(shù)據(jù)包,轉(zhuǎn)發(fā)的數(shù)據(jù)包,以及發(fā)出的數(shù)據(jù)包有更加細(xì)致的控制,以到達安全要求。[0013]本發(fā)明所采用的技術(shù)方案為:采用自定義表規(guī)則的細(xì)粒度內(nèi)核防火墻實現(xiàn)方法,所述實現(xiàn)方法針對netfilter&iptables的實現(xiàn),采用明確和精細(xì)的自定義表規(guī)則,對所到來的數(shù)據(jù)包,轉(zhuǎn)發(fā)的數(shù)據(jù)包,以及發(fā)出的數(shù)據(jù)包有更加細(xì)致的控制,以到達安全要求。[0014]本發(fā)明的基本思想是要編寫規(guī)則策略定義更加明確更加精細(xì)的自定義表。[0015]所述實現(xiàn)方法通過自定義明確和精細(xì)的表規(guī)則,編寫一系列滿足要求的鉤子函數(shù),按照不同需求掛載到HOOK點上。[0016]所述實現(xiàn)方法通過構(gòu)建一個方便用戶使用的具有UI的應(yīng)用,使得用戶能夠在應(yīng)用層面配置自己的規(guī)則跟策略。[0017]本發(fā)明的有益效果為:本發(fā)明針對netfilter&iptables框架本身定義的標(biāo)規(guī)則不夠精細(xì),不夠具體,編寫規(guī)則策略定義更加明確更加精細(xì)的自定義表,對所到來的數(shù)據(jù)包,轉(zhuǎn)發(fā)的數(shù)據(jù)包,以及發(fā)出的數(shù)據(jù)包有更加細(xì)致的控制,以到達安全要求?!靖綀D說明】[0018]圖1為本發(fā)明系統(tǒng)架構(gòu)圖?!揪唧w實施方式】[0019]下面通過說明書附圖,結(jié)合【具體實施方式】對本發(fā)明進一步說明:實施例1:如圖1所示,采用自定義表規(guī)則的細(xì)粒度內(nèi)核防火墻實現(xiàn)方法,所述實現(xiàn)方法針對netfilter&iptables的實現(xiàn),采用明確和精細(xì)的自定義表規(guī)則,對所到來的數(shù)據(jù)包,轉(zhuǎn)發(fā)的數(shù)據(jù)包,以及發(fā)出的數(shù)據(jù)包有更加細(xì)致的控制,以到達安全要求。[0020]本發(fā)明的基本思想是要編寫規(guī)則策略定義更加明確更加精細(xì)的自定義表。[0021]實施例2:在實施例1的基礎(chǔ)上,本實施例所述實現(xiàn)方法通過自定義明確和精細(xì)的表規(guī)則,編寫一系列滿足要求的鉤子函數(shù),按照不同需求掛載到HOOK點上。[0022]實施例3:在實施例2的基礎(chǔ)上,本實施例所述實現(xiàn)方法通過構(gòu)建一個方便用戶使用的具有UI的應(yīng)用,使得用戶能夠在應(yīng)用層面配置自己的規(guī)則跟策略。[0023]以上實施方式僅用于說明本發(fā)明,而并非對本發(fā)明的限制,有關(guān)
      技術(shù)領(lǐng)域
      的普通技術(shù)人員,在不脫離本發(fā)明的精神和范圍的情況下,還可以做出各種變化和變型,因此所有等同的技術(shù)方案也屬于本發(fā)明的范疇,本發(fā)明的專利保護范圍應(yīng)由權(quán)利要求限定?!局鳈?quán)項】1.采用自定義表規(guī)則的細(xì)粒度內(nèi)核防火墻實現(xiàn)方法,其特征在于:所述實現(xiàn)方法針對netfilter&iptables的實現(xiàn),采用明確和精細(xì)的自定義表規(guī)則,對所到來的數(shù)據(jù)包,轉(zhuǎn)發(fā)的數(shù)據(jù)包,以及發(fā)出的數(shù)據(jù)包有更加細(xì)致的控制。2.根據(jù)權(quán)利要求1所述的采用自定義表規(guī)則的細(xì)粒度內(nèi)核防火墻實現(xiàn)方法,其特征在于:所述實現(xiàn)方法通過自定義明確和精細(xì)的表規(guī)則,編寫一系列滿足要求的鉤子函數(shù),按照不同需求掛載到HOOK點上。3.根據(jù)權(quán)利要求2所述的采用自定義表規(guī)則的細(xì)粒度內(nèi)核防火墻實現(xiàn)方法,其特征在于:所述實現(xiàn)方法通過構(gòu)建一個方便用戶使用的具有UI的應(yīng)用,使得用戶能夠在應(yīng)用層面配置自己的規(guī)則跟策略?!緦@勘景l(fā)明公開了一種采用自定義表規(guī)則的細(xì)粒度內(nèi)核防火墻實現(xiàn)方法,所述實現(xiàn)方法針對netfilter&amp;iptables的實現(xiàn),采用明確和精細(xì)的自定義表規(guī)則,對所到來的數(shù)據(jù)包,轉(zhuǎn)發(fā)的數(shù)據(jù)包,以及發(fā)出的數(shù)據(jù)包有更加細(xì)致的控制,以到達安全要求。本發(fā)明針對netfilter&amp;iptables框架本身定義的標(biāo)規(guī)則不夠精細(xì),不夠具體,編寫規(guī)則策略定義更加明確更加精細(xì)的自定義表,對所到來的數(shù)據(jù)包,轉(zhuǎn)發(fā)的數(shù)據(jù)包,以及發(fā)出的數(shù)據(jù)包有更加細(xì)致的控制,以到達安全要求。【IPC分類】H04L29/06【公開號】CN105187427【申請?zhí)枴緾N201510576177【發(fā)明人】王俊杰,戴鴻君,于治樓【申請人】浪潮集團有限公司【公開日】2015年12月23日【申請日】2015年9月11日
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評論。精彩留言會獲得點贊!
      1