The invention relates to a filtering module applied to a multi protocol secure gateway system and its application. The filtering module of the invention is applied to the system security gateway multi protocol parsing, filtering, in accordance with the matching strategy, provide the speed of the two channel by channel selection provides greater speed of data flow, filtering module for screening strategy matching of Baotou network packet according to the channel through the filter module through the fast through large traffic network screening package, other data packet into the slow channel, to filter network packet content. The design of fast and slow channels improves the throughput of the gateway system, reduces the delay of data transmission, and realizes the traffic diversion through the design of fast and slow channels.
【技术实现步骤摘要】
一种应用于多协议安全网关系统的过滤模块及其应用
本专利技术涉及一种应用于多协议安全网关系统的过滤模块及其应用,属于网络安全的
技术介绍
网关又称网间连接器、协议转换器。网关在传输层上以实现网络互连,是最复杂的网络互连设备,仅用于两个高层协议不同的网络互连。网关既可以用于广域网互连,也可以用于局域网互连。它是一种充当转换重任的计算机系统或设备。同时,也可以提供过滤和安全功能。采取适当的技术措施,对互联网不良信息进行过滤,既可阻止不良信息对人们的侵害,适应社会对意识形态方面的要求,通过规范用户的上网行为,提高工作效率,合理利用网络资源,减少病毒对网络的侵害。现有的网关系统,很难满足数据传输过程中针对多样化协议对数据进行过滤保护的需求,导致网间传输数据安全性不足。
技术实现思路
针对现有技术的不足,本专利技术提供一种应用于多协议安全网关系统的过滤模块。本专利技术还提供一种利用上述过滤模块对访问数据控制的方法。专利技术概述:本专利技术所述应用于多协议安全网关系统的过滤模块的主要工作包括对通信协议的解析、对源IP和目的IP的过滤、系统自身参数配置以及审计工作。其中,系统自身参数配置,除了Linux操作系统无用服务和端口一律关闭外,还与网关系统的上层形成联动。数据包经过网关系统时,Netfilter/Iptables机制对数据包内的特征信息进行检测;网关系统内的安全规则按照白名单和黑名单相结合的方式对数据包进行过滤处理。本专利技术的技术方案为:一种应用于多协议安全网关系统的过滤模块,包括内核层、应用处理层和数据库;所述内核层通过Netfilter框架处理IP层数 ...
【技术保护点】
一种应用于多协议安全网关系统的过滤模块,其特征在于,包括内核层、应用处理层和数据库;所述内核层通过Netfilter框架处理IP层数据包,通过自定义Iptables规则集表结构、自定义协议过滤过程和通过Netfilter提供hook函数的管理机制实现对数据包的过滤;所述数据库内设置有过滤规则和安全策略,并将系统生成的系统日志和审计日志计入数据库,再由上层交互呈现;所述应用处理层按照所述过滤规则和安全策略进行匹配,并基于白名单和黑名单方式实现数据包检测、协议信息解析,IP、端口协议策略过滤和数据包处理。
【技术特征摘要】
1.一种应用于多协议安全网关系统的过滤模块,其特征在于,包括内核层、应用处理层和数据库;所述内核层通过Netfilter框架处理IP层数据包,通过自定义Iptables规则集表结构、自定义协议过滤过程和通过Netfilter提供hook函数的管理机制实现对数据包的过滤;所述数据库内设置有过滤规则和安全策略,并将系统生成的系统日志和审计日志计入数据库,再由上层交互呈现;所述应用处理层按照所述过滤规则和安全策略进行匹配,并基于白名单和黑名单方式实现数据包检测、协议信息解析,IP、端口协议策略过滤和数据包处理。2.根据权利要求1所述的应用于多协议安全网关系统的过滤模块,其特征在于,数据库中的安全策略包括规则表、策略表、规则-策略表,设备表。3.根据权利要求1所述的应用于多协议安全网关系统的过滤模块,其特征在于,通过Netfilter提供hook函数的管理机制实现对数据包的过滤的具体方法为,将编写的Hook函数注册到Netfilter监控的5个关键点对数据包进行处理。4.根据权利要求1所述的应用于多协议安全网关系统的过滤模块,其特征在于,所述过滤规则和安全策略由上层配置交互模块设置在数据库内。5.一种利用权利要求1-4任意一项所述过滤模块对访问数据控制的方法,其特征在于,包括三方面安全防护:可信IP地址的认证、串行数据的端口控制及数据校验处理、协议格式检查及协议过滤;过滤模块总体应用Linux的Netfilter/Iptables机制实现,过程如下:1)下行数据上传时,对源IP进行访问控制;如果源IP在网关的安全规则中已经配置,则设备与网关系统建立连接;在网关中已经配置的源IP为可信源IP;2)设备与网关系统建立连接后,应用处理层检测数据是否为业务数据,如果是业务数据,则检测目标IP是否为可信源IP对应的目标IP,并检...
【专利技术属性】
技术研发人员:朱书杉,张小亮,李若寒,刘强,
申请(专利权)人:山东超越数控电子有限公司,
类型:发明
国别省市:山东,37
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。