专利名称:一种家庭网关用防火墙的实现方法
技术领域:
本发明属于家庭网关网络设备安全领域,更具体地说,特别涉及一种家庭网关用防火墙的实现方法。
背景技术:
随着网络技术的飞速发展,对家庭网关产品的安全性能要求也越来越高,传统的包过滤和代理防火墙功能已经不能满足当前家庭网关产品的安全需求,目前先进的状态数据包检查(SPI)防火墙提供最高级别的安全性。在家庭网关中使用最多的是Linux操作系统,Linux系统使用Netfilter框架来实现SPI防火墙功能,netfilter主要采用连接跟踪(Connection Tracking)关键技术,连·接跟踪是包过滤的基础,它作为一个独立的模块运行。采用连接跟踪技术在协议栈低层截取数据包,将当前数据包及其状态信息与历史数据包及其状态信息进行比较,从而得到当前数据包的控制信息,根据这些信息决定对网络数据包的操作,达到保护网络的目的。当下层网络接收到初始化连接同步(Synchronize, SYN)包,将被netfilter规则库检查。该数据包将在规则链中依次序进行比较。如果该包应被丢弃,发送一个复位(Reset,RST)包到远端主机,否则连接接收。这次连接的信息将被保存在连接跟踪信息表中,并表明该数据包所应有的状态。这个连接跟踪信息表位于内核模式下,其后的网络包就将与此连接跟踪信息表中的内容进行比较,根据信息表中的信息来决定该数据包的操作。因为数据包首先是与连接跟踪信息表进行比较,只有SYN包才与规则库进行比较,数据包与连接跟踪信息表的比较都是在内核模式下进行的,所以速度很快。连接跟踪技术是在协议栈低层截取数据包,将当前数据包及其状态信息与历史数据包及其状态信息进行比较,从而得到当前数据包的控制信息,根据这些信息决定对网络数据包的操作,达到保护网络目的,可以说连接跟踪是全状态数据包检测的基础。
发明内容
本发明要解决的技术问题为提供一种家庭网关用防火墙的实现方法,该家庭网关用防火墙的实现方法能够为家庭用户提供一种高级别防火墙。为解决上述技术问题,本发明提供了一种家庭网关用防火墙的实现方法,基于SPI全状态数据包检测方式对外网访问进行检测,并创建跟踪状态连接表。其中,所述SPI全状态数据包检测方式对外网连接信息以及协议类型进行检测并判断是否过滤。其中,所述SPI全状态数据包检测方式首先接受外网服务连接请求,并将所述外网服务连接请求发送至用户,并由用户选择是否接受连接;所述SPI全状态数据包检测方式接受用户选择后对外网服务进行连接。其中,所述SPI全状态数据包检测方式直接屏蔽外网用户的连接请求。其中,所述SPI全状态数据包检测方式为Linux网络架构下基于Netfilter的网络安全技术。其中,所述SPI全状态数据包检测方式的内核模块包括nf-conntrack模块。本发明提供的家庭网关用防火墙的实现方法,是一种SPI全状态数据包检测方式对外网访问进行检测的防外网访问的方法。SPI (Stateful Packet Inspection)全状态数据包检测型防火墙,是指通过对每个连接信息(包括套接字对(socket pairs):源地址、目的地址、源端口和目的端口 ;协议类型、TCP协议连接状态和超时时间等)进行检测从而判断是否过滤数据包的防火墙。它除了能够完成简单包过滤防火墙的包过滤工作外,还在自己的内存中维护一个跟踪连接状态的表,比简单包过滤防火墙具有更大的安全性。目前最为先进的状态数据包检查(SPI)防火墙提供最高级别的安全性。它在默认情况下拒绝所有来自外网的请求,并且对通过防火墙的发自内网请求的连接动态地维护所有通信的状态(连接),只有是对内网请求回复的连接并符合已建立的状态数据库的包才能通过防火墙进入内网。这种方案不仅可使网络用户访问Internet资源,同时又能防止Internet上的黑客访问内部网络资源。·“状态检查”一词是指防火墙记忆连接状态和在其内存中为每个数据流建立上下文的能力。凭借这些信息,该防火墙能够比不支持SPI的防火墙作出更有根据的策略决策。只有具有基于硬件的采用目前最为先进的状态数据包检查(SPI)技术的防火墙才是真正意义上的防火墙(True Firewall)。
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。图I为本发明的一种家庭网关用防火墙的实现方法的流程图;图2为本发明的一种家庭网关用防火墙的执行过程的流程图。
具体实施例方式本发明的核心为提供一种家庭网关用防火墙的实现方法,该家庭网关用防火墙的实现方法能够为家庭用户提供一种高级别防火墙为了使本领域的技术人员更好地理解本发明的技术方案,下面结合附图和具体实施例对本发明作进一步的详细说明。请参考图1,图I为本发明的一种家庭网关用防火墙的实现方法的流程图。办发明提供的家庭网关用防火墙的实现方法,是一种SPI全状态数据包检测方式对外网访问进行检测的防外网访问的方法。SPI (Stateful Packet Inspection)全状态数据包检测型防火墙,是指通过对每个连接信息(包括套接字对(socket pairs):源地址、目的地址、源端口和目的端口 ;协议类型、TCP协议连接状态和超时时间等)进行检测从而判断是否过滤数据包的防火墙。它除了能够完成简单包过滤防火墙的包过滤工作外,还在自己的内存中维护一个跟踪连接状态的表,比简单包过滤防火墙具有更大的安全性。目前最为先进的状态数据包检查(SPI)防火墙提供最高级别的安全性。它在默认情况下拒绝所有来自外网的请求,并且对通过防火墙的发自内网请求的连接动态地维护所有通信的状态(连接),只有是对内网请求回复的连接并符合已建立的状态数据库的包才能通过防火墙进入内网。这种方案不仅可使网络用户访问Internet资源,同时又能防止Internet上的黑客访问内部网络资源。“状态检查”一词是指防火墙记忆连接状态和在其内存中为每个数据流建立上下文的能力。凭借这些信息,该防火墙能够比不支持SPI的防火墙作出更有根据的策略决策。只有具有基于硬件的采用目前最为先进的状态数据包检查(SPI)技术的防火墙才是真正意义上的防火墙(True Firewall)。具体地,SPI全状态数据包检测方式对外网连接信息以及协议类型进行检测并判断是否过滤。SPI全状态数据包检测方式首先接受外网服务连接请求,并将外网服务连接请求发送至用户,并由用户选择是否接受连接;SPI全状态数据包检测方式接受用户选择后对外网服务进行连接。
·
本发明中,SPI全状态数据包检测方式直接屏蔽外网用户的连接请求。本发明中,SPI全状态数据包检测方式为Linux网络架构下基于Netfilter的网络安全技术。其中,SPI全状态数据包检测方式的内核模块包括nf-conntrack模块。本发明的目的是满足家庭网关用户对网关高安全性的要求,我们在默认情况下拒绝所有外网的请求,并且对通过家庭网关的发自内网请求的连接动态地维护所有通信的状态(连接),只有是对内网请求回复的连接并符合已建立的状态数据库的包才允许通过家庭网关进入内网。这种方案不仅可使家庭网关用户访问Internet资源,同时又能防止Internet上的黑客访问内部网络资源。本发明为了实现其发明目的所采用的技术方案是一种基于Linux的Netf i Ier网络架构下的SPI防火墙方法,包括以下步骤步骤I :实现Netfilter的连接跟踪状态技术的连接状态(state)匹配功能;支持连接的New,ESTABLISHED, RELATED状态匹配规则。步骤2 :针对内网流出数据进行对应连接跟踪信息的添加处理,针对外网流入数据进行连接跟踪查询匹配处理;步骤3 :针对无法建立连接状态信息而导致可能被丢弃的特定外网业务(MGP/MLD/RIP/DHCPv6/TR069等)数据。建立指定外网业务数据允许通过规则表。请参考图2,图2为本发明的一种家庭网关用防火墙的执行过程的流程图。具体实施例一I、当家庭网关用户访问外面服务时,数据包经过SPI防火墙,SPI防火墙在连接跟踪信息表添加对应用户请求的连接跟踪信息,连接请求到达外网服务器,外网服务器的应答报文到达SPI防火墙,SPI防火墙查询该报文信息是否匹配连接跟踪状态表,匹配则允许通过SPI防火墙到达家庭网关用户。这样实现家庭网关用户可以正常的访问外网服务。具体实施例二2、当外面用户主动向家庭网关请求访问时,SPI防火判断该报文是否匹配连接跟踪状态信息表项,不匹配情况下,则继续查询是否是SPI防火墙指定业务数据报文,不是指定业务数据则进行丢包处理,则外面用户不能访问家庭网关,这样外网用户不能访问家庭网关。
具体实施例三3、当家庭网关用户进行IGMP点播服务。组播服务器的组播流报文到达SPI防火墙时,该报文不能匹配到连接跟踪表状态信息,则进行指定业务数据规则匹配处理,匹配指定业务规则通过SPI防火墙则到达家庭网关用户,这样实现家庭网关用户可以正常点播IGMP服务。以上本领域普通技术人员可以理解实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括R0M、RAM、磁碟或者光盘等各种可以存储程序代码的介质。对本发明所提供的一种家庭网关用防火墙的实现方法进行了详细介绍。本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离·本发明原理的前提下,还可以对本发明进行若干改进和修饰,这些改进和修饰也落入本发明权利要求的保护范围内。
权利要求
1.一种家庭网关用防火墙的实现方法,其特征在于,基于SPI全状态数据包检测方式对外网访问进行检测,并创建跟踪状态连接表。
2.根据权利要求I所述的家庭网关用防火墙的实现方法,其特征在于,所述SPI全状态数据包检测方式对外网连接信息以及协议类型进行检测并判断是否过滤。
3.根据权利要求2所述的家庭网关用防火墙的实现方法,其特征在于,所述SPI全状态数据包检测方式首先接受外网服务连接请求,并将所述外网服务连接请求发送至用户,并由用户选择是否接受连接;所述SPI全状态数据包检测方式接受用户选择后对外网服务进行连接。
4.根据权利要求2所述的家庭网关用防火墙的实现方法,其特征在于,所述SPI全状态数据包检测方式直接屏蔽外网用户的连接请求。
5.根据权利要求I至4任一项所述的家庭网关用防火墙的实现方法,所述SPI全状态数据包检测方式为Linux网络架构下基于Netfilter的网络安全技术。
6.根据权利要求5所述的家庭网关用防火墙的实现方法,其特征在于,所述SPI全状态数据包检测方式的内核模块包括nf_conntrack模块。
全文摘要
发明公开了一种家庭网关用防火墙的实现方法,是一种SPI全状态数据包检测方式对外网访问进行检测的防外网访问的方法。SPI(Stateful Packet Inspection)全状态数据包检测型防火墙,是指通过对每个连接信息(包括套接字对(socket pairs)源地址、目的地址、源端口和目的端口;协议类型、TCP协议连接状态和超时时间等)进行检测从而判断是否过滤数据包的防火墙。它除了能够完成简单包过滤防火墙的包过滤工作外,还在自己的内存中维护一个跟踪连接状态的表,比简单包过滤防火墙具有更大的安全性。
文档编号H04L29/06GK102790773SQ20121026478
公开日2012年11月21日 申请日期2012年7月30日 优先权日2012年7月30日
发明者邓艳兵 申请人:深圳市共进电子股份有限公司