本发明专利技术公开了一种IP端口过滤方法,该过滤方法包含:当黑名单过滤规则的作用范围定义在IP端口的上行;当白名单过滤规则的作用范围定义在IP端口的下行;当网络防火墙中无白名单过滤规则,开启新的白名单过滤规则时不添加drop all规则;网络防火墙中已有白名单过滤规则,开启新的白名单过滤规则时添加drop all规则;网络防火墙中删除白名单过滤规则,若网络防火墙中仅存有drop all规则即一并删除drop all规则。本发明专利技术定义上行黑名单过滤机制,下行白名单过滤机制,黑白名单同时存在并共同生效的端口过滤机制,通过调整白名单中的规则生产条件,来满足更复杂、更灵活的IP端口过滤功能。
【技术实现步骤摘要】
本专利技术公开一种无线信道自适应技术,具体涉及一种小型家庭无线网关设备及其IP端口过滤系统和IP端口过滤方法。
技术介绍
端口过滤功能指的是使用IP地址过滤器拒绝特定的IP地址存取互联网上的资料或者信息。即可以拒绝特定的端口,同时也可过滤特定IP地址的所有端口。路由器逐一审查数据包以判定它是否与其它包过滤规则相匹配。每个包有两个部分:数据部分和包头。过滤规则以用于IP顺行处理的包头信息为基础,不理会包内的正文信息内容。包头信息包括:IP源地址、IP目的地址、封装协议(TCP、UDP、或IP Tunnel)、TCP/UDP源端口、ICMP包类型、包输入接口和包输出接口。如果找到一个匹配,且规则允许这包,这一包则根据路由表中的信息前行。如果找到一个匹配,且规则拒绝此包,这一包则被舍弃。如果无匹配规则,一个用户配置的缺省参数将决定此包是前行还是被舍弃。包过滤规则允许Router取舍以一个特殊服务为基础的信息流,因为大多数服务检测器驻留于众所周知的TCP/UDP端口。例如,Telnet Service为TCP port 23端口等待远程连接,而SMTP Service为TCP Port 25端口等待输入连接。如要封锁输入Telnet、SMTP的连接,则Router舍弃端口值为23、25的所有的数据包。现有技术的家庭网关设备中的IP端口过滤功能主要是通过网络防火墙IPtables添加白名单或者黑名单的方式来实现,造成的主要缺点如下:1)黑名单和白名单分别单独工作;2)对网络数据没有分上下行方向的控制;3)黑白名单无法同时工作;4)端口过滤功能无法满足较为复杂的应用场景。
技术实现思路
本专利技术提供一种网络终端及其IP端口过滤系统和IP端口过滤方法,在单独支持黑名单、白名单机制的基础上,实现黑名单、白名单同时生效且互不影响。为实现上述目的,本专利技术提供一种IP端口过滤方法,其特点是,该过滤方法包含: 当网络防火墙中无白名单过滤规则,则开启新的白名单过滤规则时,不添加drop all规则; 当网络防火墙中已有白名单过滤规则,则开启新的白名单过滤规则时,添加drop all规则; 当网络防火墙中删除任意数量条白名单过滤规则后,若网络防火墙中仅存有drop all规则,则一并删除drop all规则。上述过滤方法还包含:黑名单过滤规则的作用范围定义在IP端口的上行。上述过滤方法还包含:白名单过滤规则的作用范围定义在IP端口的下行。上述网络防火墙删除任意数量条白名单过滤规则后,若网络防火墙中还留存有白名单过滤规则,则不删除drop all规则。上述网络防火墙添加新的黑名单过滤规则后,该黑名单过滤规则仅对Ian侧发送至wan侧的数据包进行筛选和过滤。上述网络防火墙添加新的白名单过滤规则后,该白名单过滤规则仅对wan侧发送至Ian侧的数据包进行筛选和过滤。一种IP端口过滤系统,其特点是,该IP端口过滤系统包含: 过滤模块,其存储并执行上行的黑名单过滤规则,下行的白名单过滤规则,以及白名单和黑名单同时生效的过滤规则;白名单和黑名单同时生效的过滤规则包含:当网络防火墙中无白名单过滤规则,则开启新的白名单过滤规则时,不添加drop all规则;当网络防火墙中已有白名单过滤规则,则开启新的白名单过滤规则时,添加drop alI规则;当网络防火墙中删除任意数量条白名单过滤规则后,若网络防火墙中仅存有drop all规则,则一并删除drop all规贝丨J ; Ian侧连接端,用于将过滤模块与内部局域网进行通信连接; wan侧连接端,用于将过滤模块与外网进行通信连接。一种网络终端,其特点是,该网络终端包含有上述的IP端口过滤系统。上述网络终端为有线或无线的网关路由器。本专利技术网络终端及其IP端口过滤系统和IP端口过滤方法和现有技术的IP端口过滤技术相比,其优点在于,本专利技术定义了上行黑名单过滤规则,仅仅对Ian侧发送wan侧的包进行筛选和过滤,而不影响wan侧发送到Ian侧方向的数据,可有效的控制上行数据的IP通信; 本专利技术定义了下行白名单过滤规则,仅仅对wan侧发送到Ian侧的包进行筛选和过滤,而不影响Ian侧发送到wan方向的数据可以有效的控制下行数据的IP通信; 本专利技术改进了下行白名单的生效机制,使白名单和黑名单同时生效,且互不影响;使得IP端口过滤机制更加灵活; 本专利技术提供上行的黑名单过滤规则、下行的白名单过滤规则,以及白名单和黑名单同时生效的过滤规则,可以提供给用户更为复杂和灵活的IP端口过滤功能和实现机制。【附图说明】图1为本专利技术白名单过滤规则的添加方法的方法流程图; 图2为本专利技术白名单过滤规则的删除方法的方法流程图; 图3为本专利技术一种IP端口过滤系统的框图。【具体实施方式】以下结合附图,进一步说明本专利技术的具体实施例。本专利技术针对以上传统的IP端口过滤机制的不足之处,考虑到当用户对端口过滤的需求较为复杂的情况下,以及可以更加灵活的实现此功能,设计并提出了一种适用于小型家用有线或无线网关设备的IP端口过滤方法,该过滤方法具体包含:分别定义上下行过滤规则;以及,改进白名单生成规则使得白、黑名单同时生效。一、分别定义上下行过滤规则具体包含以下两方面: I)定义上行的黑名单过滤规则:黑名单过滤规则的作用范围定义在IP端口的上行。具体的,如果需要添加黑名单的过滤规则,则此过滤规则限制的从Ian侧至wan侧的数据通信走向。即如果在黑名单里添加一条过滤规则,那么对应的是将Ian侧数据向wan侧方向进行过滤和生效,仅仅对Ian侧发送wan侧的包进行筛选和过滤,而不影响wan侧发送到Ian侧方向的数据。2)定义下行的白名单过滤规则:白名单过滤规则的作用范围定义在IP端口的下行。具体的,如果需要添加白名单的过滤条件,则此过滤规则限制的从wan侧至Ian侧的数据通信走向,即如果在白名单里添加一条过滤规则,那么对应的是将wan侧数据向Ian侧方向进行过滤和生效,仅仅对wan侧发送到Ian侧的包进行筛选和过滤,而不影响Ian侧发送到wan方向的数据 二、定义完上下行黑白名单的作用范围后,用户开启IP端口过滤会根据黑白名单中定义的过滤规则对报文进行过滤,但如果需要是黑名单和白名单同时生效,必须要对白名单的生产规当前第1页1 2 本文档来自技高网...
【技术保护点】
一种IP端口过滤方法,其特征在于,该过滤方法包含:当网络防火墙中无白名单过滤规则,则开启新的白名单过滤规则时,不添加drop all规则;当网络防火墙中已有白名单过滤规则,则开启新的白名单过滤规则时,添加drop all规则;当网络防火墙中删除任意数量条白名单过滤规则后,若网络防火墙中仅存有drop all规则,则一并删除drop all规则。
【技术特征摘要】
【专利技术属性】
技术研发人员:张珠明,
申请(专利权)人:上海斐讯数据通信技术有限公司,
类型:发明
国别省市:上海;31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。