本发明专利技术涉及路由器防火墙领域,尤其涉及一种报文过滤系统及方法。本发明专利技术通过对一数据是否进行了网络层的封装进行判断,如果进行了网络层的封装则对网络层的封装进行解除封装以获得封装的第一过滤信息,之后对第一过滤信息进行过滤,从而实现对数据的网络层的封装的第一过滤信息进行过滤,完善了路由器防火墙的过滤功能,提高了数据通过路由设备传输的安全系数。
【技术实现步骤摘要】
本专利技术涉及路由器防火墙领域,尤其涉及一种报文过滤系统及方法。
技术介绍
网络转发设备上的防火墙能够对报文的传输进行过滤,通常企业级的网络转发设备工作于无线桥接模式下,工作于桥接模式下的网络转发设备能够解析OSI(Open System Interconnection,开放式系统互联)参考模型中的物理层和报文链路层的过滤信息,而对于位于第三层的网络层的过滤信息并不能进行解析,因此防火墙在桥接模式下的过滤机制不尽完善。
技术实现思路
针对现有技术存在的问题,现提供了一种报文过滤系统及方法。具体的技术方案如下:一种报文过滤系统,应用于无线桥接模式下的网络转发设备转发报文的过程中,所述网络转发设备包括:存储模块1,存储有过滤规则;判断模块2,与所述存储模块1连接,用以判断所述报文是否为
DNS(Domain Name System,域名系统)特征的报文;解析模块3,与所述判断模块2连接,用以于所述报文为DNS报文时,读取所述DNS报文的域名,并且所述解析模块3用以对所述DNS报文进行域名解析以获取所述DNS报文的IP地址;过滤模块4,分别与所述存储模块1、所述判断模块2、所述解析模块3连接,用以获取并利用所述过滤规则对所述域名和所述IP(Internet Protocol,网络协议)地址进行过滤。优选的,所述网络转发设备设有多个无线接口,每个所述无线接口均对应一所述过滤规则,所述网络转发设备还包括标志模块,与所述过滤模块4连接,用以利用一桥接转发表对各个所述无线接口进行标识,以使不同的所述无线接口的所述报文通过所述网络转发设备时分别附加有对应的标识;以及所述过滤模块4用以根据所述标识获取并利用所述DNS报文对应无线接口的过滤规则对所述域名和所述IP地址进行过滤。优选的,所述桥接转发表为broute链表,以及所述标志模块用以利用ebtables的规则于所述broute链表中对各个所述无线接口进行标识。优选的,所述网络转发设备还包括:第一过滤模块,与所述判断模块连接,用以利用所述过滤规则对所述报文的源MAC地址和目的MAC地址进行过滤。优选的,所述网络转发设备还包括:第二过滤模块,与所述判断模块连接,用以利用所述过滤规则对
所述报文的传输路径进行过滤。一种报文过滤方法,包括:步骤S1,提供一预存储有过滤规则的网络转发设备,所述网络转发设备转发一报文时,判断所述报文是否为DNS特征的报文;步骤S2,读取所述DNS报文的域名,并且对所述DNS报文进行域名解析以获取所述DNS报文的IP地址;步骤S3,于所述报文为DNS报文时,获取并利用所述过滤规则对所述域名和所述IP地址进行过滤。优选的,所述网络转发设备设有多个无线接口,每个所述无线接口均对应一所述过滤规则,所述步骤S3具体包括:步骤S31,利用一桥接转发表对各个所述无线接口进行标识,使不同的所述无线接口的所述报文通过所述网络转发设备时附加有一对应的标识;步骤S32,于所述报文为DNS报文时,通过所述标识获取所述DNS报文对应的无线接口,获取并利用所述DNS报文对应无线接口的过滤规则对所述域名和所述IP地址进行过滤。优选的,所述桥接转发表为broute链表,以及所述标志模块用以利用ebtables的规则于所述broute链表中对各个所述无线接口进行标识。优选的,所述步骤S1之后还包括:步骤S11,利用所述过滤规则对所述报文的源MAC地址和目的MAC地址进行过滤。优选的,所述步骤S1之后还包括:步骤S12,利用所述过滤规则对所述报文的传输路径进行过滤。上述技术方案的有益效果是:上述技术方案通过对一报文是否为DNS报文进行判断,如果为DNS报文,则对该DNS报文进行域名解析,以对DNS报文访问的域名和IP地址进行过滤,完善了网络转发设备防火墙的过滤功能,提高了报文通过网络转发设备传输的安全系数。附图说明图1为本专利技术一种报文过滤系统的实施例的结构示意图;图2为本专利技术一种报文过滤方法的实施例的流程图。具体实施方式需要说明的是,在不冲突的情况下,下述技术方案,技术特征之间可以相互组合。下面结合附图对本专利技术的具体实施方式作进一步的说明:本实施例提供了一种报文过滤系统,应用于无线桥接模式下的网络转发设备转发报文的过程中,如图1所示,网络转发设备包括:存储模块1,存储有过滤规则;判断模块2,与存储模块1连接,用以判断报文是否为DNS特征的报文;解析模块3,与判断模块2连接,用以于报文为DNS报文时,读取DNS报文的域名,并且解析模块3用以对DNS报文进行域名解析以获取DNS报文的IP地址;过滤模块4,分别与存储模块1、判断模块2、解析模块3连接,用以获取并利用过滤规则对域名和IP地址进行过滤。本实施例中,若是传输的报文为DNS特征的报文简称为DNS报文,则需要读取DNS报文的域名并且进行域名解析,以获取需要访问的域名以及报文接收端的终端设备的IP地址,过滤模块4可以通过预存储的过滤规则对域名和报文接收端的终端设备的IP地址进行过滤,通过上述技术方案可以对DNS报文进行过滤,完善了防火墙的过滤功能。本专利技术一个较佳的实施例中,网络转发设备设有多个无线接口,每个无线接口均对应一过滤规则,网络转发设备还包括:标志模块,与过滤模块4连接,用以利用一桥接转发表对各个无线接口进行标识,以使不同的无线接口的报文通过网络转发设备时分别附加有对应的标识;以及过滤模块4用以根据标识获取并利用DNS报文对应无线接口的过滤规则对域名和IP地址进行过滤。本实施例中,网络转发设备可以包括一标志模块,例如,该标志模块在网络转发设备的每一个无线接口上进行标识,网络转发设备的第一个无线接口标识为mark1,网络转发设备的第二个无线接口标识为mark2等,在报文经过第一个无线接口后,网络转发设备中的一个捕捉模块可以将报文拦截,捕捉模块的功能为捕捉转发的报文,读
取报文既可获知该报文时从那一个无线接口发送的。本实施例中的无线接口可用其广播的服务集标识(Service Set Identifier,SSID)进行区分。进一步的,以Linux系统下的网络转发设备为例,本实施例的链表中的每个节点采用sk_buffer结构进行存储,捕捉模块通过读取sk_buffer->mark获知是哪一个无线接口转发的报文。本专利技术一个较佳的实施例中,桥接转发表为broute链表,以及标志模块用以利用ebtables的规则于broute链表中对各个无线接口进行标识。上述的每个过滤规则可以包括四个部分,其中,四个部分分别为发送报文的终端设备的MAC地址、接收报文的终端设备的IP地址,接收报文的终端设备的无线接口信息和访问的域名。本专利技术一个较佳的实施例中,网络转发设备还包括:第一过滤模块,与判断模块连接,用以利用过滤规则对报文的源MAC地址和目的MAC地址进行过滤。本专利技术一个较佳的实施例中,网络转发设备还包括:第二过滤模块,与判断模块连接,用以利用过滤规则对报文的传输路径进行过滤,此处路径指统一资源定位符URL。上述实施例中,例如,对源MAC地址发送报文的终端设备的MAC地址和目的MAC地址接收报文的终端设备的MAC地址以及对报文的传输路径进行过滤的方法可以是通过现有的方式,本实施例在此不进行赘述。本实施本文档来自技高网...
【技术保护点】
一种报文过滤系统,其特征在于,应用于无线桥接模式下的网络转发设备转发报文的过程中,所述网络转发设备包括:存储模块(1),存储有过滤规则;判断模块(2),与所述存储模块(1)连接,用以判断所述报文是否为DNS报文;解析模块(3),与所述判断模块(2)连接,用以于所述报文为DNS报文时,读取所述DNS报文的域名,并且所述解析模块(3)用以对所述DNS报文进行域名解析以获取所述DNS报文的IP地址;过滤模块(4),分别与所述存储模块(1)、所述判断模块(2)、所述解析模块(3)连接,用以获取并利用所述过滤规则对所述域名和所述IP地址进行过滤。
【技术特征摘要】
1.一种报文过滤系统,其特征在于,应用于无线桥接模式下的网络转发设备转发报文的过程中,所述网络转发设备包括:存储模块(1),存储有过滤规则;判断模块(2),与所述存储模块(1)连接,用以判断所述报文是否为DNS报文;解析模块(3),与所述判断模块(2)连接,用以于所述报文为DNS报文时,读取所述DNS报文的域名,并且所述解析模块(3)用以对所述DNS报文进行域名解析以获取所述DNS报文的IP地址;过滤模块(4),分别与所述存储模块(1)、所述判断模块(2)、所述解析模块(3)连接,用以获取并利用所述过滤规则对所述域名和所述IP地址进行过滤。2.根据权利要求1所述的报文过滤系统,其特征在于,所述网络转发设备设有多个无线接口,每个所述无线接口均对应一所述过滤规则,所述网络转发设备还包括标志模块,与所述过滤模块(4)连接,用以利用一桥接转发表对各个所述无线接口进行标识,以使不同的所述无线接口的所述报文通过所述网络转发设备时分别附加有对应的标识;以及所述过滤模块(4)用以根据所述标识获取并利用所述DNS报文对应无线接口的过滤规则对所述域名和所述IP地址进行过滤。3.根据权利要求2所述的报文过滤系统,其特征在于,所述桥接转发表为broute链表,以及所述标志模块用以利用ebtables的规则于所述broute链表中对各个所述无线接口进行标识。4.根据权利要求1所述的报文过滤系统,其特征在于,所述网络转发设备还包括:第一过滤模块,与所述判断模块连接,用以利用所述过滤规则对所述报文的源MAC地址和目的MAC地址进行过滤。5.根据权利要求1所述的报文过滤系统,其特征在...
【专利技术属性】
技术研发人员:吴振华,
申请(专利权)人:上海斐讯数据通信技术有限公司,
类型:发明
国别省市:上海;31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。