專利名稱：防火墻內(nèi)核安全組件一體化的方法
技術(shù)領(lǐng)域：
本發(fā)明涉及一種防火墻內(nèi)核安全組件組織的方法，特別是將包過濾、攻擊檢測、應(yīng)用代理結(jié)合為一體的方法，屬于計(jì)算機(jī)網(wǎng)絡(luò)安全領(lǐng)域。
背景技術(shù)：
由于防火墻主要安全組件攻擊檢測、包過濾、應(yīng)用代理通常都被分別單獨(dú)實(shí)現(xiàn)，它們使用的安全策略也相對獨(dú)立。對用戶而言，這樣的架構(gòu)缺乏直觀性，在邏輯上也比較分散，很難體現(xiàn)實(shí)際的相關(guān)性，容易產(chǎn)生矛盾和錯誤的配置；對系統(tǒng)而言，相互協(xié)作困難，效率上由于分別進(jìn)行安全策略檢查，存在很多重復(fù)的匹配項(xiàng)，特別是應(yīng)用代理通常實(shí)現(xiàn)在應(yīng)用層，數(shù)據(jù)傳遞時需要進(jìn)行多次內(nèi)存復(fù)制，對系統(tǒng)性能影響很大。因此，將各個安全組件在內(nèi)核中進(jìn)行一體化實(shí)現(xiàn)，無疑是一種很好地解決手段。

發(fā)明內(nèi)容
本發(fā)明的主要目的在于提供一種將防火墻安全組件，如包過濾、攻擊檢測、應(yīng)用代理，在操作系統(tǒng)內(nèi)核中一體化實(shí)現(xiàn)的方法，在策略配置上它將更加具備統(tǒng)一性和直觀性，在系統(tǒng)工作中，它將有更簡便的協(xié)作手段和更高的處理效率。
本發(fā)明的目的是這樣實(shí)現(xiàn)的對防火墻系統(tǒng)的設(shè)計(jì)，采用一體化構(gòu)架的流水線方式處理的系統(tǒng)結(jié)構(gòu)，一體化組織的安全策略，以及一條內(nèi)核中數(shù)據(jù)包和當(dāng)前策略匹配點(diǎn)的傳輸路徑。
對于一體化系統(tǒng)結(jié)構(gòu)的實(shí)現(xiàn)，統(tǒng)一定義在操作系統(tǒng)內(nèi)核的調(diào)用接口點(diǎn)，包過濾、攻擊檢測和應(yīng)用代理根據(jù)功能目標(biāo)，分別在最合適的接口點(diǎn)插入檢查函數(shù)，相互之間可進(jìn)行有效的協(xié)作。
對一體化組織的安全策略的實(shí)現(xiàn)，使用從保護(hù)目標(biāo)為根結(jié)點(diǎn)出發(fā)的樹形結(jié)構(gòu)組織安全策略，策略樹的不同分支之間互斥，保證每次匹配都唯一確定一個子分支或葉結(jié)點(diǎn)，葉結(jié)點(diǎn)即表明防火墻應(yīng)當(dāng)采取的動作；包過濾對安全策略的檢查最終結(jié)果若是送交代理分支，則代理可以繼續(xù)從這個檢查點(diǎn)向下進(jìn)行匹配；策略樹在內(nèi)核中由各安全組件共享，當(dāng)前檢查點(diǎn)隨數(shù)據(jù)包在協(xié)議棧中傳遞，使得檢查可具有延續(xù)性。
防火墻對數(shù)據(jù)包進(jìn)行安全檢查的一個完整步驟包括步驟1在底半隊(duì)列中進(jìn)行混合模式處理，判定當(dāng)前數(shù)據(jù)包交網(wǎng)關(guān)還是網(wǎng)橋處理模塊；步驟2在路由前做以下工作步驟201基本安全檢查；步驟202組播廣播處理；步驟203進(jìn)行目的NAT；步驟204進(jìn)行攻擊檢測；步驟205上層協(xié)議檢查-對TCP協(xié)議首先進(jìn)行攻擊檢測，然后查全狀態(tài)表并根據(jù)結(jié)果丟棄或轉(zhuǎn)發(fā)，對syn包在全狀態(tài)表中未查到的，進(jìn)行安全策略檢查，根據(jù)結(jié)果丟棄/送代理/添加全狀態(tài)表并轉(zhuǎn)發(fā)；對UDP協(xié)議先查狀態(tài)表，能查到的進(jìn)行轉(zhuǎn)發(fā)，查不到的進(jìn)行安全策略檢查，并根據(jù)結(jié)果決定是丟棄還是添加狀態(tài)表并轉(zhuǎn)發(fā)；對ICMP協(xié)議如果是差錯包，直接轉(zhuǎn)發(fā)，否則查狀態(tài)表，能查到的進(jìn)行轉(zhuǎn)發(fā)，查不到的進(jìn)行安全策略檢查，并根據(jù)結(jié)果決定是丟棄還是添加狀態(tài)表并轉(zhuǎn)發(fā)。
步驟3應(yīng)用代理支撐對匹配到的需要應(yīng)用代理檢查的數(shù)據(jù)包，將當(dāng)前檢查點(diǎn)和數(shù)據(jù)包同時送交TCP層。
步驟4應(yīng)用代理從隊(duì)列中獲取數(shù)據(jù)包以及相關(guān)安全策略檢查點(diǎn)，繼續(xù)進(jìn)行安全策略檢查，并實(shí)行代理功能。
步驟5路由后做以下工作步驟501進(jìn)行攻擊檢測；步驟502進(jìn)行流量控制；步驟503進(jìn)行源NAT。
在內(nèi)核中數(shù)據(jù)包和當(dāng)前策略匹配點(diǎn)傳遞的實(shí)現(xiàn)，是利用skb傳遞當(dāng)前安全策略檢查狀態(tài)，通過協(xié)議棧專用通道傳送數(shù)據(jù)包。


圖1為本發(fā)明的內(nèi)核一體化安全組件的結(jié)構(gòu)圖；圖2為本發(fā)明的方法流程圖對路由前數(shù)據(jù)包，根據(jù)防火墻開/關(guān)狀態(tài)的流程，以及安全檢查，并根據(jù)組播/廣播策略對組播/廣播包進(jìn)行處理的流程。
圖3為本發(fā)明的方法流程圖對TCP數(shù)據(jù)包進(jìn)行傳輸層的攻擊檢測，并根據(jù)策略樹進(jìn)行安全檢查的流程4為本發(fā)明的方法流程圖，對UDP數(shù)據(jù)包查詢狀態(tài)表判斷是否存在虛連接，并根據(jù)策略樹進(jìn)行安全檢查的流程5為本發(fā)明的方法流程圖，對ICMP數(shù)據(jù)包查詢狀態(tài)表判斷是否存在虛連接，并根據(jù)策略樹進(jìn)行安全檢查的流程6為本發(fā)明內(nèi)核協(xié)議棧一體化結(jié)構(gòu)圖具體實(shí)施方式
以下結(jié)合附圖和具體實(shí)施例對本發(fā)明做進(jìn)一步說明參見圖1，包過濾、供給檢測、應(yīng)用代理等防火墻核心安全組件共存于操作系統(tǒng)內(nèi)核中，在Ip_rcv調(diào)用點(diǎn)，Arp代理、全狀態(tài)模塊、策略樹模塊共同實(shí)現(xiàn)包過濾的功能，攻擊檢測和地址轉(zhuǎn)換模塊完成其相應(yīng)功能，透明代理支撐則對skb進(jìn)行修改，提過對TCP層的應(yīng)用代理的支持；對直接轉(zhuǎn)發(fā)的包進(jìn)行路由查找后發(fā)出，對需要送交代理的包，經(jīng)協(xié)議棧專用通道傳送到TCP層，代理分析處理后發(fā)出；在Ip_output調(diào)用點(diǎn)，透明代理支撐對代理發(fā)出的包再次做修改后發(fā)出，攻擊檢測和地址轉(zhuǎn)換模塊再次進(jìn)行操作，此外，流量控制模塊實(shí)現(xiàn)包過濾對數(shù)據(jù)包流量的控制功能。
圖2、圖3、圖4、圖5說明了防火墻對數(shù)據(jù)包的主要處理流程。
參見圖2，對路由前數(shù)據(jù)包，首先檢查防火墻開/關(guān)狀態(tài)，如果狀態(tài)為關(guān)，直接按操作系統(tǒng)原有流程進(jìn)行操作，否則開始基本的安全檢查，并根據(jù)組播/廣播策略對組播/廣播包進(jìn)行處理，然后根據(jù)收包網(wǎng)卡的區(qū)域?qū)傩裕M(jìn)行目的NAT，接下來調(diào)用攻擊檢測對網(wǎng)絡(luò)層攻擊進(jìn)行探測，最后對傳輸層協(xié)議分別進(jìn)行后續(xù)處理，分別如圖3、圖4、圖5所示。
參見圖3，對TCP數(shù)據(jù)包，首先對其進(jìn)行傳輸層的攻擊檢測，然后分析其是不是syn包，如果不是直接查全狀態(tài)表判斷對其進(jìn)行的操作，如果是，接下來查其源端口，判斷是否是某些協(xié)議的動態(tài)連接，如果可能是則查狀態(tài)表判斷是否當(dāng)前確實(shí)有相應(yīng)的該協(xié)議的通訊，若存在即可放行，如果不是動態(tài)連接，則根據(jù)策略樹進(jìn)行安全檢查，最后根據(jù)結(jié)果丟棄/轉(zhuǎn)發(fā)數(shù)據(jù)包、或者通過專用通道送代理處理。
參見圖4，對UDP數(shù)據(jù)包，先查狀態(tài)表判斷是否存在虛連接，如果存在則轉(zhuǎn)發(fā)，如果不存在，則根據(jù)策略樹進(jìn)行安全檢查，并根據(jù)結(jié)果丟棄/轉(zhuǎn)發(fā)數(shù)據(jù)包，轉(zhuǎn)發(fā)數(shù)據(jù)包時，同時添加狀態(tài)表相應(yīng)項(xiàng)。
參見圖5，對ICMP數(shù)據(jù)包，如果承載的是差錯返回?cái)?shù)據(jù)，則直接轉(zhuǎn)發(fā)，否則查詢狀態(tài)表判斷是否存在虛連接，如果存在則直接轉(zhuǎn)發(fā)，如果不存在，則根據(jù)策略樹進(jìn)行安全檢查，并根據(jù)結(jié)果丟棄/轉(zhuǎn)發(fā)數(shù)據(jù)包，轉(zhuǎn)發(fā)數(shù)據(jù)包時，同時添加狀態(tài)表相應(yīng)項(xiàng)。
當(dāng)數(shù)據(jù)包經(jīng)過專用通道到達(dá)TCP層應(yīng)用代理時，應(yīng)用代理從其中抽取數(shù)據(jù)進(jìn)行分析，并從skb中取得包過濾已經(jīng)分析到的安全檢查點(diǎn)，從而接著根據(jù)策略樹進(jìn)行應(yīng)用層安全的檢查工作，具體代理過程以及數(shù)據(jù)包發(fā)出流程在此不再贅述。
最后應(yīng)當(dāng)說明上述實(shí)施例僅用以說明本發(fā)明，而并非限制本發(fā)明的技術(shù)方案，盡管參照上述的實(shí)例對本發(fā)明已經(jīng)進(jìn)行了詳細(xì)說明，但是，本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解，仍然可以對本發(fā)明進(jìn)行修改或者等同替換，因此，一切不脫離本發(fā)明的精神和范圍的技術(shù)方案及其相關(guān)改進(jìn)，均應(yīng)涵蓋在本發(fā)明的權(quán)利要求范圍當(dāng)中。
權(quán)利要求
1.防火墻內(nèi)核安全組件一體化的方法，其特征在于對防火墻系統(tǒng)的設(shè)計(jì)，采用一體化構(gòu)架的流水線方式處理的系統(tǒng)結(jié)構(gòu)，一體化組織的安全策略，以及一條內(nèi)核中數(shù)據(jù)包和當(dāng)前策略匹配點(diǎn)的傳輸路徑；對于一體化系統(tǒng)結(jié)構(gòu)的實(shí)現(xiàn)，統(tǒng)一定義在操作系統(tǒng)內(nèi)核的調(diào)用接口點(diǎn)，包過濾、攻擊檢測和應(yīng)用代理根據(jù)功能目標(biāo)，分別在最合適的接口點(diǎn)插入檢查函數(shù)，相互之間可進(jìn)行有效的協(xié)作；對一體化組織的安全策略的實(shí)現(xiàn)，使用從保護(hù)目標(biāo)為根結(jié)點(diǎn)出發(fā)的樹形結(jié)構(gòu)組織安全策略，策略樹的不同分支之間互斥，保證每次匹配都唯一確定一個子分支或葉結(jié)點(diǎn)，葉結(jié)點(diǎn)即表明防火墻應(yīng)當(dāng)采取的動作；包過濾對安全策略的檢查最終結(jié)果若是送交代理分支，則代理可以繼續(xù)從這個檢查點(diǎn)向下進(jìn)行匹配；策略樹在內(nèi)核中由各安全組件共享，當(dāng)前檢查點(diǎn)隨數(shù)據(jù)包在協(xié)議棧中傳遞，使得檢查可具有延續(xù)性。
2.根據(jù)權(quán)利要求1所述的防火墻內(nèi)核安全組件一體化的方法，其特征在于防火墻進(jìn)行數(shù)據(jù)包檢查的方法包含以下步驟步驟1在底半隊(duì)列中進(jìn)行混合模式處理，判定當(dāng)前數(shù)據(jù)包交網(wǎng)關(guān)還是網(wǎng)橋處理模塊；步驟2在路由前做以下工作步驟201基本安全檢查；步驟202組播廣播處理；步驟203進(jìn)行目的NAT；步驟204進(jìn)行攻擊檢測；步驟205上層協(xié)議檢查-對TCP協(xié)議首先進(jìn)行攻擊檢測，然后查全狀態(tài)表并根據(jù)結(jié)果丟棄或轉(zhuǎn)發(fā)，對syn包在全狀態(tài)表中未查到的，進(jìn)行安全策略檢查，根據(jù)結(jié)果丟棄/送代理/添加全狀態(tài)表并轉(zhuǎn)發(fā)；對UDP協(xié)議先查狀態(tài)表，能查到的進(jìn)行轉(zhuǎn)發(fā)，查不到的進(jìn)行安全策略檢查，并根據(jù)結(jié)果決定是丟棄還是添加狀態(tài)表并轉(zhuǎn)發(fā)；對ICMP協(xié)議如果是差錯包，直接轉(zhuǎn)發(fā)，否則查狀態(tài)表，能查到的進(jìn)行轉(zhuǎn)發(fā)，查不到的進(jìn)行安全策略檢查，并根據(jù)結(jié)果決定是丟棄還是添加狀態(tài)表并轉(zhuǎn)發(fā)。步驟3應(yīng)用代理支撐對匹配到的需要應(yīng)用代理檢查的數(shù)據(jù)包，將當(dāng)前檢查點(diǎn)和數(shù)據(jù)包同時送交TCP層。步驟4應(yīng)用代理從隊(duì)列中獲取數(shù)據(jù)包以及相關(guān)安全策略檢查點(diǎn)，繼續(xù)進(jìn)行安全策略檢查，并實(shí)行代理功能。步驟5路由后做以下工作步驟501進(jìn)行攻擊檢測；步驟502進(jìn)行流量控制；步驟503進(jìn)行源NAT。
3.根據(jù)權(quán)利要求1所述的防火墻內(nèi)核安全組件一體化的方法，其特征在于在內(nèi)核中數(shù)據(jù)包和當(dāng)前策略匹配點(diǎn)傳遞的實(shí)現(xiàn)利用skb傳遞當(dāng)前安全策略檢查狀態(tài)，通過協(xié)議棧專用通道傳送數(shù)據(jù)包。
4.根據(jù)權(quán)利要求1所述的防火墻內(nèi)核安全組件一體化的方法，其特征在于對路由前數(shù)據(jù)包，首先檢查防火墻開/關(guān)狀態(tài)，如果狀態(tài)為關(guān)，直接按操作系統(tǒng)原有流程進(jìn)行操作，否則開始基本的安全檢查，并根據(jù)組播/廣播策略對組播/廣播包進(jìn)行處理，然后根據(jù)收包網(wǎng)卡的區(qū)域?qū)傩?，進(jìn)行目的NAT，接下來調(diào)用攻擊檢測對網(wǎng)絡(luò)層攻擊進(jìn)行探測，最后對傳輸層協(xié)議分別進(jìn)行后續(xù)處理。
5.根據(jù)權(quán)利要求1所述的防火墻內(nèi)核安全組件一體化的方法，其特征在于對TCP數(shù)據(jù)包，首先對其進(jìn)行傳輸層的攻擊檢測，然后分析其是不是syn包，如果不是直接查全狀態(tài)表判斷對其進(jìn)行的操作，如果是，接下來查其源端口，判斷是否是某些協(xié)議的動態(tài)連接，如果可能是則查狀態(tài)表判斷是否當(dāng)前確實(shí)有相應(yīng)的該協(xié)議的通訊，若存在即可放行，如果不是動態(tài)連接，則根據(jù)策略樹進(jìn)行安全檢查，最后根據(jù)結(jié)果丟棄/轉(zhuǎn)發(fā)數(shù)據(jù)包、或者通過專用通道送代理處理。
6.根據(jù)權(quán)利要求1所述的防火墻內(nèi)核安全組件一體化的方法，其特征在于對UDP數(shù)據(jù)包，先查狀態(tài)表判斷是否存在虛連接，如果存在則轉(zhuǎn)發(fā)，如果不存在，則根據(jù)策略樹進(jìn)行安全檢查，并根據(jù)結(jié)果丟棄/轉(zhuǎn)發(fā)數(shù)據(jù)包，轉(zhuǎn)發(fā)數(shù)據(jù)包時，同時添加狀態(tài)表相應(yīng)項(xiàng)。
7.根據(jù)權(quán)利要求1所述的防火墻內(nèi)核安全組件一體化的方法，其特征在于對ICMP數(shù)據(jù)包，如果承載的是差錯返回?cái)?shù)據(jù)，則直接轉(zhuǎn)發(fā)，否則查詢狀態(tài)表判斷是否存在虛連接，如果存在則直接轉(zhuǎn)發(fā)，如果不存在，則根據(jù)策略樹進(jìn)行安全檢查，并根據(jù)結(jié)果丟棄/轉(zhuǎn)發(fā)數(shù)據(jù)包，轉(zhuǎn)發(fā)數(shù)據(jù)包時，同時添加狀態(tài)表相應(yīng)項(xiàng)。
全文摘要
一種防火墻內(nèi)核安全組件一體化的方法，防火墻各組件的開發(fā)往往是相對獨(dú)立的，對用戶而言也是割裂的幾個部分。本發(fā)明首先構(gòu)架應(yīng)當(dāng)一體化，在結(jié)構(gòu)上不嚴(yán)格區(qū)分各組件間的差異；其次安全策略的配置和檢查應(yīng)當(dāng)一體化，對用戶而言配置是統(tǒng)一的，對系統(tǒng)而言檢查工作時前后相承的，再次應(yīng)當(dāng)有一條完整的數(shù)據(jù)包和當(dāng)前策略匹配點(diǎn)的傳輸途徑，可以使數(shù)據(jù)包經(jīng)過各個檢查點(diǎn)并最終通過防火墻。對于一體化系統(tǒng)結(jié)構(gòu)的實(shí)現(xiàn)，統(tǒng)一定義在操作系統(tǒng)內(nèi)核的調(diào)用接口點(diǎn)，包過濾、攻擊檢測和應(yīng)用代理根據(jù)功能目標(biāo)，分別在最合適的接口點(diǎn)插入檢查函數(shù)，相互之間可進(jìn)行有效的協(xié)作等。
文檔編號H04L12/24GK1604539SQ20041006518
公開日2005年4月6日 申請日期2004年10月29日 優(yōu)先權(quán)日2004年10月29日
發(fā)明者蔡圣聞, 李論, 金毅, 齊競艷 申請人:江蘇南大蘇富特軟件股份有限公司, 南京大學(xué)