一种应用于多协议安全网关系统的过滤模块及其应用技术方案

本发明专利技术涉及一种应用于多协议安全网关系统的过滤模块及其应用。本发明专利技术所述应用于多协议安全网关系统的过滤模块，进行解析过滤时，按照策略匹配，提供快慢两种通道，通过快慢通道选择提供更大数据流量的处理，过滤模块按照策略匹配对网络包的包头进行筛选，通过筛选的大流量网络包可通过快通道通过过滤模块，其他数据网络包进入慢通道，对网络包的内容进行过滤。快慢通道的设计提高了网关系统的吞吐量，降低了数据传输的时延，通过快慢通道设计实现了业务分流。

A filter module applied to multi protocol secure gateway system and its application

The invention relates to a filtering module applied to a multi protocol secure gateway system and its application. The filtering module of the invention is applied to the system security gateway multi protocol parsing, filtering, in accordance with the matching strategy, provide the speed of the two channel by channel selection provides greater speed of data flow, filtering module for screening strategy matching of Baotou network packet according to the channel through the filter module through the fast through large traffic network screening package, other data packet into the slow channel, to filter network packet content. The design of fast and slow channels improves the throughput of the gateway system, reduces the delay of data transmission, and realizes the traffic diversion through the design of fast and slow channels.

【技术实现步骤摘要】
一种应用于多协议安全网关系统的过滤模块及其应用
本专利技术涉及一种应用于多协议安全网关系统的过滤模块及其应用，属于网络安全的

技术介绍
网关又称网间连接器、协议转换器。网关在传输层上以实现网络互连，是最复杂的网络互连设备，仅用于两个高层协议不同的网络互连。网关既可以用于广域网互连，也可以用于局域网互连。它是一种充当转换重任的计算机系统或设备。同时，也可以提供过滤和安全功能。采取适当的技术措施，对互联网不良信息进行过滤，既可阻止不良信息对人们的侵害，适应社会对意识形态方面的要求，通过规范用户的上网行为，提高工作效率，合理利用网络资源，减少病毒对网络的侵害。现有的网关系统，很难满足数据传输过程中针对多样化协议对数据进行过滤保护的需求，导致网间传输数据安全性不足。
技术实现思路
针对现有技术的不足，本专利技术提供一种应用于多协议安全网关系统的过滤模块。本专利技术还提供一种利用上述过滤模块对访问数据控制的方法。专利技术概述：本专利技术所述应用于多协议安全网关系统的过滤模块的主要工作包括对通信协议的解析、对源IP和目的IP的过滤、系统自身参数配置以及审计工作。其中，系统自身参数配置，除了Linux操作系统无用服务和端口一律关闭外，还与网关系统的上层形成联动。数据包经过网关系统时，Netfilter/Iptables机制对数据包内的特征信息进行检测；网关系统内的安全规则按照白名单和黑名单相结合的方式对数据包进行过滤处理。本专利技术的技术方案为：一种应用于多协议安全网关系统的过滤模块，包括内核层、应用处理层和数据库；所述内核层通过Netfilter框架处理IP层数据包，通过自定义Iptables规则集表结构、自定义协议过滤过程和通过Netfilter提供hook函数的管理机制实现对数据包的过滤；所述数据库内设置有过滤规则和安全策略，并将系统生成的系统日志和审计日志计入数据库，再由上层交互呈现；所述应用处理层按照所述过滤规则和安全策略进行匹配，并基于白名单和黑名单方式实现数据包检测、协议信息解析，IP、端口协议策略过滤和数据包处理。系统自身参数配置，除了Linux操作系统无用服务和端口一律关闭外，还与网关系统的上层形成联动，完成系统IP地址、子网掩码、ID、串口信息、时间等相关参数的设置，并且与上层形成交互，完成对每台受保护设备配置专门的策略和规则。过滤模块中的审计功能主要生成系统产生的系统日志以及对数据包过滤解析时产生的审计日志，记录操作时间、设备ID、源IP地址、目的IP地址、子网掩码、通信协议、数据包类型以及通信结果，在上层交互模块中可由系统管理员查看。根据本专利技术优选的，数据库中的安全策略包括规则表、策略表、规则-策略表，设备表；所述设备表用于存储设备的ID及过滤协议，通过设备的ID关联到策略表，通过规则-策略表可由安全策略查找到对应的安全规则，通过多表联查，可以查找该设备所对应的规则，最终在应用处理层中按照安全规则实现数据过滤。根据本专利技术优选的，通过Netfilter提供hook函数的管理机制实现对数据包的过滤的具体方法为，将编写的Hook函数注册到Netfilter监控的5个关键点对数据包进行处理。根据本专利技术优选的，所述过滤规则和安全策略由上层配置交互模块设置在数据库内。一种利用上述过滤模块对访问数据控制的方法，包括三方面安全防护：可信IP地址的认证、串行数据的端口控制及数据校验处理、协议格式检查及协议过滤；过滤模块总体应用Linux的Netfilter/Iptables机制实现，过程如下：1)下行数据上传时，对源IP进行访问控制；如果源IP在网关的安全规则中已经配置，则设备与网关系统建立连接；在网关中已经配置的源IP为可信源IP；2)设备与网关系统建立连接后，应用处理层检测数据是否为业务数据，如果是业务数据，则检测目标IP是否为可信源IP对应的目标IP，并检测目标IP对应的端口是否为可信端口，如果不是业务数据，则将数据丢弃，并记录审计日志；如果目标IP为可信源IP对应的目标IP且目标IP对应的端口为可信端口，则通过可信端口对所述对业务数据的包头进行检查，即协议过滤，从包头中过滤出的数据长度满足安全策略中设置的快速通道数据长度，则数据包进入快通道进行协议过滤，如果从包头中解析出的数据长度不满足安全策略中设置的快通道数据长度，则数据包进入慢通道进行协议过滤；如果目标IP地址不是可信IP，或者目标IP对应的端口不是可信端口，则数据包直接丢弃，不进行解析；数据包通过本专利技术实现的过滤模块进行解析过滤时，按照策略匹配，提供快慢两种通道，通过快慢通道选择提供更大数据流量的处理，过滤模块按照策略匹配对网络包的包头进行筛选，通过筛选的大流量网络包可通过快通道通过过滤模块，其他数据网络包进入慢通道，对网络包的内容进行过滤。快慢通道的设计提高了网关系统的吞吐量，降低了数据传输的时延，通过快慢通道设计实现了业务分流。根据本专利技术优选的，所述协议过滤的具体过程为，通过数据库中的过滤规则和安全策略对业务数据进行过滤；内核层从所述设备表中读取发送数据包的设备对应的过滤协议和过滤协议对应的安全策略，由安全策略关联到对应的过滤规则；具体过程如下：内核层根据设备ID从安全策略表中查找对应的安全策略ID，然后根据安全策略ID从安全规则-策略表查找对应的安全规则ID，最后根据安全规则ID从安全规则表中查找对应的过滤规则内容；如果业务数据的规格符合对应的安全策略和过滤规则，则网关对数据进行接收或者转发，否则网关将数据丢弃。通过多表联查，最终通过过滤程序实现过滤过程。根据本专利技术优选的，所述安全规则包括IP、端口和协议策略；每台受保护设备配置有不同的协议策略。根据本专利技术优选的，所述特征信息存储于数据包的包头内。根据本专利技术优选的，所述特征信息包括IP地址信息和协议信息。根据本专利技术优选的，所述过滤过程在应用处理层进行。应用层进行过滤过程对通过网关的所有数据包都会进行检测和过滤。根据本专利技术优选的，源IP的配置和通信端口的配置在每台设备添加时完成。本专利技术的有益效果为：1、本专利技术所述应用于多协议安全网关系统的过滤模块，对每台受保护的设备都配置专门的安全策略和规则进行工作，于每台设备启动一个进程，能够解析多种常见通信协议，并通过对源IP地址及目的IP地址的过滤，增强通信过程中的安全性，达到更好的保护效果。2、本专利技术所述应用于多协议安全网关系统的过滤模块，采用白名单和黑名单的双重过滤机制，使数据过滤速度加快，同时双重保障机制，保证了数据的安全性；3、本专利技术所述应用于多协议安全网关系统的过滤模块，进行解析过滤时，按照策略匹配，提供快慢两种通道，通过快慢通道选择提供更大数据流量的处理，过滤模块按照策略匹配对网络包的包头进行筛选，通过筛选的大流量网络包可通过快通道通过过滤模块，其他数据网络包进入慢通道，对网络包的内容进行过滤。快慢通道的设计提高了网关系统的吞吐量，降低了数据传输的时延，通过快慢通道设计实现了业务分流；4、本专利技术所述应用于多协议安全网关系统的过滤模块中的数据库，采用四表联查的方式，可由设备ID查找到对应的安全规则，按照匹配的安全规则实现数据包的过滤。附图说明图1为本专利技术所述应用于多协议安全网关系统的过滤模块的结构示意图；图2为本专利技术所述协议过滤的流程图。具体实施本文档来自技高网...

【技术保护点】
一种应用于多协议安全网关系统的过滤模块，其特征在于，包括内核层、应用处理层和数据库；所述内核层通过Netfilter框架处理IP层数据包，通过自定义Iptables规则集表结构、自定义协议过滤过程和通过Netfilter提供hook函数的管理机制实现对数据包的过滤；所述数据库内设置有过滤规则和安全策略，并将系统生成的系统日志和审计日志计入数据库，再由上层交互呈现；所述应用处理层按照所述过滤规则和安全策略进行匹配，并基于白名单和黑名单方式实现数据包检测、协议信息解析，IP、端口协议策略过滤和数据包处理。

【技术特征摘要】
1.一种应用于多协议安全网关系统的过滤模块，其特征在于，包括内核层、应用处理层和数据库；所述内核层通过Netfilter框架处理IP层数据包，通过自定义Iptables规则集表结构、自定义协议过滤过程和通过Netfilter提供hook函数的管理机制实现对数据包的过滤；所述数据库内设置有过滤规则和安全策略，并将系统生成的系统日志和审计日志计入数据库，再由上层交互呈现；所述应用处理层按照所述过滤规则和安全策略进行匹配，并基于白名单和黑名单方式实现数据包检测、协议信息解析，IP、端口协议策略过滤和数据包处理。2.根据权利要求1所述的应用于多协议安全网关系统的过滤模块，其特征在于，数据库中的安全策略包括规则表、策略表、规则-策略表，设备表。3.根据权利要求1所述的应用于多协议安全网关系统的过滤模块，其特征在于，通过Netfilter提供hook函数的管理机制实现对数据包的过滤的具体方法为，将编写的Hook函数注册到Netfilter监控的5个关键点对数据包进行处理。4.根据权利要求1所述的应用于多协议安全网关系统的过滤模块，其特征在于，所述过滤规则和安全策略由上层配置交互模块设置在数据库内。5.一种利用权利要求1-4任意一项所述过滤模块对访问数据控制的方法，其特征在于，包括三方面安全防护：可信IP地址的认证、串行数据的端口控制及数据校验处理、协议格式检查及协议过滤；过滤模块总体应用Linux的Netfilter/Iptables机制实现，过程如下：1)下行数据上传时，对源IP进行访问控制；如果源IP在网关的安全规则中已经配置，则设备与网关系统建立连接；在网关中已经配置的源IP为可信源IP；2)设备与网关系统建立连接后，应用处理层检测数据是否为业务数据，如果是业务数据，则检测目标IP是否为可信源IP对应的目标IP，并检...

【专利技术属性】
技术研发人员：朱书杉，张小亮，李若寒，刘强，
申请(专利权)人：山东超越数控电子有限公司，
类型：发明
国别省市：山东,37