本发明专利技术公开一种模块可配的防火墙功能构建方法,涉及工控安全技术领域。所述方法包括:整体框架满足模块无关性,通过配置文件描述模块的功能及优先级;通过配置文件数量确定创建调用链的个数;通过读取配置文件,挂载到一个调用链;通过定义返回值或者参数来确定下一步的动作;每个模块通过组件的方式实现,通过动态加载模块的方式进行模块扩展,而不需要修改主框架。本发明专利技术根据需要动态的调整模块的优先级,并根据返回值或者参数来确定下一步动作,调用链和模块无关性可以很好屏蔽模块的差异,模块采用动态加载方式,可以再不修改主框架的情况下,满足模块的扩展,能够快速构建不同场景的模型。景的模型。景的模型。
【技术实现步骤摘要】
一种模块可配的防火墙功能构建方法
[0001]本专利技术涉及工控安全
,尤其涉及一种模块可配的防火墙功能构建方法。
技术介绍
[0002]目前主流的防火墙的功能,包括数据报文的解析、包过滤、NAT、VRRP、路由、白名单等等在实现的时候,往往是固定的,而在处理不同的网络场景的时候,有时候不得不做一些特殊处理来满足,不够灵活,切场景满足性差。因此本方法提出了一种可以灵活配置模块的多少级优先级的方法,可以快速构建不同场景的模型。
技术实现思路
[0003]本专利技术提供了一种模块可配的防火墙功能构建方法,包括:
[0004]整体框架满足模块无关性要求,通过回调、参数及返回值确定每个回调的模块的行为,以及通过配置文件,对模块的功能及优先级进行描述;
[0005]通过配置文件的数量来确定需要创建的调用链的个数;
[0006]通过读取配置文件,挂载到一个调用链,根据不同的场景动态调整调用链,满足在不同场景下的模块配置及模块的优先级;
[0007]通过定义返回值或者参数来确定下一步的动作;
[0008]每个模块通过组件的方式实现,通过动态加载模块的方式进行模块扩展,而不需要修改主框架。
[0009]如上所述的一种模块可配的防火墙功能构建方法,其中,每个调用链为一个配置文件。
[0010]如上所述的一种模块可配的防火墙功能构建方法,其中,每个调用链根据配置文件来确定本调用链的节点数量。
[0011]本专利技术还提供一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中包含一个或多个程序指令,所述一个或多个程序指令用于被处理器执行上述任一项所述的一种模块可配的防火墙功能构建方法。
[0012]本专利技术实现的有益效果如下:本专利技术根据需要动态的调整模块的优先级,并根据返回值或者参数来确定下一步动作,调用链和模块无关性可以很好屏蔽模块的差异,模块采用动态加载方式,可以再不修改主框架的情况下,满足模块的扩展,能够快速构建不同场景的模型。
附图说明
[0013]为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术中记载的一些实施例,对于本领域普通技术人员来讲,还可以根据这些附图获得其他的附图。
[0014]图1是本专利技术实施例提供的一种模块可配的防火墙功能构建方法流程图;
[0015]图2是调用链示意图;
[0016]图3是根据配置文件创建的调用链实例图;
[0017]图4是增加模块后的调用链实例图。
具体实施方式
[0018]下面结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。
[0019]实施例一
[0020]如图1所示,本专利技术实施例一提供一种模块可配的防火墙功能构建方法,包括:
[0021]步骤110、整体框架满足模块无关性要求,通过回调、参数及返回值确定每个回调的模块的行为,以及通过配置文件,对模块的功能及优先级进行描述;
[0022]步骤120、通过配置文件的数量来确定需要创建的调用链的个数;
[0023]每个调用链为一个配置文件,主框架可以通过配置文件的数量来确定需要创建的调用链的个数。
[0024]步骤130、通过读取配置文件,挂载到一个调用链,根据不同的场景动态调整调用链,满足在不同场景下的模块配置及模块的优先级;
[0025]每个调用链都可以根据配置文件来确定本调用链的节点数量,如图2所示的调用链,包括n个挂载点,每个挂载点回调对应的模块,即挂载点1回调模块1、挂载点2回调模块2、
……
、挂载点n回调模块n。
[0026]步骤140、通过定义返回值或者参数来确定下一步的动作;
[0027]例如,当模块1确定报文需要丢弃的时候,可以通过返回值告诉回调它的调用链,那么调用链就可以忽略后面需要回调的模块,可以有效提升处理速度。
[0028]步骤150、每个模块通过组件的方式实现,通过动态加载模块的方式进行模块扩展,而不需要修改主框架。
[0029]例如linux系统中的动态库,通过xxx.so来实现,由此通过动态加载模块的方式进行模块扩展,不需要修改主框架。
[0030]在图3所示的调用链中,按照配置文件用挂载点1回调报文解析模块,回调报文解析模块的返回值或参数确定下一步的动作为包过滤,则由挂载点2回调包过滤模块,
……
,挂载点n回调路由,依次根据前一模块的返回值或参数确定下一步动作。
[0031]当需要增加模块的时候,可以快速调整到图4所示的调用链,在挂载点2回调包过滤模块之后增加VRRP模块,则在挂载点2之后再增加一个挂载点3,其他挂载点依次后移。这个过程只需要升级一个配置文件和一个动态库就可以完成。除了上述情况,还可以根据实际情况来调整优先级,增减模块等,可以用最小的代价快速构建不同的应用场景。
[0032]与上述实施例对应的,本专利技术实施例提供一种模块可配的防火墙功能构建的装置,包括:至少一个存储器和至少一个处理器;
[0033]存储器用于存储一个或多个程序指令;
[0034]处理器,用于运行一个或多个程序指令,用以执行一种模块可配的防火墙功能构建方法。
[0035]与上述实施例对应的,本专利技术实施例提供一种计算机可读存储介质,计算机存储介质中包含一个或多个程序指令,一个或多个程序指令用于被处理器执行一种模块可配的防火墙功能构建方法。
[0036]本专利技术所公开的实施例提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机程序指令,当所述计算机程序指令在计算机上运行时,使得计算机执行上述的一种模块可配的防火墙功能构建方法。
[0037]在本专利技术实施例中,处理器可以是一种集成电路芯片,具有信号的处理能力。处理器可以是通用处理器、数字信号处理器(Digital Signal Processor,简称DSP)、专用集成电路(Application Specific Integrated Circuit,简称ASIC)、现场可编程门阵列(FieldProgrammable Gate Array,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
[0038]可以实现或者执行本专利技术实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本专利技术实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种模块可配的防火墙功能构建方法,其特征在于,包括:整体框架满足模块无关性要求,通过回调、参数及返回值确定每个回调的模块的行为,以及通过配置文件,对模块的功能及优先级进行描述;通过配置文件的数量来确定需要创建的调用链的个数;通过读取配置文件,挂载到一个调用链,根据不同的场景动态调整调用链,满足在不同场景下的模块配置及模块的优先级;通过定义返回值或者参数来确定下一步的动作;每个模块通过组件的方式实现,通过动态加载模块的方式进行模块扩展,而不需要...
【专利技术属性】
技术研发人员:王方立,黄敏,龙国东,
申请(专利权)人:北京威努特技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。