本发明专利技术公开了一种数据包过滤规则的处理方法及装置,涉及信息处理技术领域,主要目的在于解决在用户不是系统管理员的前提下,实现调用操作系统内核Kernel,以创建过滤规则时,需要通过root方式成为系统中唯一的超级用户,实现过程复杂繁琐。本发明专利技术的主要技术方案包括:获取客户端发送的数据包过滤设置请求,所述数据包过滤设置请求中包含过滤目标及过滤类别;根据所述过滤目标及过滤类别确定与所述过滤目标对应的网络协议类型,并将所述过滤目标与所述网络协议类型的对应关系记录于预设规则表中;基于预置模组,并根据所述预设规则表创建数据包过滤规则。应用于防火墙对网络数据安全进行防护的过程中。
【技术实现步骤摘要】
数据包过滤规则的处理方法及装置
本专利技术涉及信息处理
,特别是涉及一种数据包过滤规则的处理方法及装置。
技术介绍
伴随着终端及通信技术的快速发展,人们对通信过程中数据的安全性越来越重视,通常的做法为在终端中安装防火墙,通过该防火墙(Firewall)对通信过程中的数据安全进行防护。目前,以安卓系统的终端为例,防火墙允许用户配置过滤数据包的规则,具体实现过程如下:防火墙通过预设接口接收用户发送的设置请求,该设置请求中包含包过滤规则,防火墙调用操作系统内核Kernel,由操作系统内核Kernel实现包过滤规则的创建,待操作系统内核Kernel创建完包过滤规则后,将创建结果通知防火墙,以便防火墙根据包过滤规则维护数据通信过程中的数据安全。专利技术人在实现上述专利技术过程中,发现现有技术中在调用操作系统内核Kernel时,只有系统管理员才拥有调用及使用权限;若用户不是系统管理员,则需要通过root方式成为系统中唯一的超级用户,以获得调用操作系统内核Kernel的权限,实现过程复杂繁琐。
技术实现思路
有鉴于此,本专利技术提供的一种数据包过滤规则的处理方法及装置,主要目的在于解决在用户不是系统管理员的前提下,实现调用操作系统内核Kernel,以创建过滤规则时,需要通过root方式成为系统中唯一的超级用户,实现过程复杂繁琐。依据本专利技术一个方面,本专利技术提供了一种数据包过滤规则的处理方法,包括:获取客户端发送的数据包过滤设置请求,所述数据包过滤设置请求中包含过滤目标及过滤类别;根据所述过滤目标及过滤类别确定与所述过滤目标对应的网络协议类型,并将所述过滤目标与所述网络协议类型的对应关系记录于预设规则表中;基于预置模组,并根据所述预设规则表创建数据包过滤规则。可选的,基于预置模组,并根据所述预设规则表创建数据包过滤规则包括:向所述预置模组发送建立通信连接请求,并向所述预置模组发送创建数据包过滤规则的请求,以便所述预置模组根据所述预设规则表创建所述数据包过滤规则;接收所述预置模组返回的创建所述数据包过滤规则的状态码,所述状态码用于反映所述预置模组创建数据包过滤规则的当前状态。可选的,将所述过滤目标与所述网络协议类型的对应关系记录于预设规则表中包括:获取所述过滤目标对应的网络协议类型;其中,所述网络协议类型包括:TCP类型、TCP范围类型、UDP类型、HTTP类型;根据所述过滤类别将所述过滤目标与网络协议类型的对应关系存储于预设黑名单规则表/预设白名单规则表中;所述预设规则表包括预设黑名单规则表以及预设白名单规则表。可选的,在将所述过滤目标与所述网络协议类型的对应关系记录于预设规则表中之后,所述方法还包括:设置网络协议类型的优先级;根据优先级对所述预设黑名单规则表/预设白名单规则表中过滤目标与网络协议类型的对应关系进行重新排序。可选的,在基于预置模组,并根据所述预设规则表创建数据包过滤规则之后,所述方法还包括:将所述预置模组返回的状态码通过异步广播方式发送至所述客户端。可选的,在获取客户端发送的数据包过滤设置请求之前,所述方法还包括:基于软件开发工具包SDK验证客户端访问权限的合法性,以及验证数据包过滤设置请求中过滤目标格式的合法性;所述获取客户端发送的数据包过滤设置请求包括:若所述客户端访问权限及数据包过滤设置请求中过滤目标格式均合法,则获取所述客户端发送的数据包过滤设置请求。可选的,所述预置模组为IP信息包过滤系统IPtables。依据本专利技术另一个方面,本专利技术提供了一种数据包过滤规则的处理装置,包括:获取单元,用于获取客户端发送的数据包过滤设置请求,所述数据包过滤设置请求中包含过滤目标及过滤类别;确定单元,用于根据所述获取单元获取的所述过滤目标及过滤类别确定与所述过滤目标对应的网络协议类型;记录单元,用于将所述确定单元确定的所述过滤目标与所述网络协议类型的对应关系记录于预设规则表中;创建单元,用于基于预置模组,并根据所述记录单元记录的所述预设规则表创建数据包过滤规则。可选的,所述创建单元包括:第一发送模块,用于向所述预置模组发送建立通信连接请求;第二发送模块,用于在所述第一发送模块向所述预置模组发送建立通信连接请求之后,向所述预置模组发送创建数据包过滤规则的请求,以便所述预置模组根据所述预设规则表创建所述数据包过滤规则;接收模块,用于接收所述预置模组返回的创建所述数据包过滤规则的状态码,所述状态码用于反映所述预置模组创建数据包过滤规则的当前状态。可选的,所述记录单元包括:获取模块,用于获取所述过滤目标对应的网络协议类型;其中,所述网络协议类型包括:TCP类型、TCP范围类型、UDP类型、HTTP类型;存储模块,用于根据所述过滤类别将所述过滤目标与网络协议类型的对应关系存储于预设黑名单规则表/预设白名单规则表中;所述预设规则表包括预设黑名单规则表以及预设白名单规则表。可选的,所述装置还包括:设置单元,在所述记录单元将所述过滤目标与所述网络协议类型的对应关系记录于预设规则表中之后,设置网络协议类型的优先级;排序单元,用于根据所述设置单元设置的优先级对所述预设黑名单规则表/预设白名单规则表中过滤目标与网络协议类型的对应关系进行重新排序。可选的,所述装置还包括:发送单元,用于在所述创建单元基于预置模组,并根据所述预设规则表创建数据包过滤规则之后,将所述预置模组返回的状态码通过异步广播方式发送至所述客户端。可选的,所述装置还包括:验证单元,用于在所述获取单元获取客户端发送的数据包过滤设置请求之前,基于软件开发工具包SDK验证客户端访问权限的合法性,以及验证数据包过滤设置请求中过滤目标格式的合法性;所述获取单元,还用于当所述验证单元验证所述客户端访问权限及数据包过滤设置请求中过滤目标格式均合法时,获取所述客户端发送的数据包过滤设置请求。可选的,所述预置模组为IP信息包过滤系统IPtables。借由上述技术方案,本专利技术提供的数据包过滤规则的处理方法及装置,FrameWorks组件获取客户端发送的数据包过滤设置请求,该数据包过滤设置请求中包含过滤目标及过滤类别,根据过滤目标及过滤类别确定与过滤目标对应的网络协议类型,并将过滤目标及网络协议类型的对应关系记录于预设规则表中,基于预置模组,并根据预设规则表创建数据包过滤规则,与现有技术相比,本专利技术通过FrameWorks组件实现对数据包过滤规则的创建,无需要求用户为系统管理员身份,或者,将操作系统进行root升级等操作,操作过程简单。上述说明仅是本专利技术技术方案的概述,为了能够更清楚了解本专利技术的技术手段,而可依照说明书的内容予以实施,并且为了让本专利技术的上述和其它目的、特征和优点能够更明显易懂,以下特举本专利技术的具体实施方式。附图说明通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本专利技术的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:图1示出了本专利技术实施例提供的一种数据包过滤规则的处理方法的流程图;图2示出了本专利技术实施例提供的一种数据包过滤规则的处理装置的组成框图;图3示出了本专利技术实施例提供的另一种数据包过滤规则的处理装置的组成框图。具体实施方式下面将参照附图更详细地描述本公开的示例本文档来自技高网...
【技术保护点】
一种数据包过滤规则的处理方法,其特征在于,包括:获取客户端发送的数据包过滤设置请求,所述数据包过滤设置请求中包含过滤目标及过滤类别;根据所述过滤目标及过滤类别确定与所述过滤目标对应的网络协议类型,并将所述过滤目标与所述网络协议类型的对应关系记录于预设规则表中;基于预置模组,并根据所述预设规则表创建数据包过滤规则。
【技术特征摘要】
1.一种数据包过滤规则的处理方法,其特征在于,包括:获取客户端发送的数据包过滤设置请求,所述数据包过滤设置请求中包含过滤目标及过滤类别;根据所述过滤目标及过滤类别确定与所述过滤目标对应的网络协议类型,并将所述过滤目标与所述网络协议类型的对应关系记录于预设规则表中;基于预置模组,并根据所述预设规则表创建数据包过滤规则。2.根据权利要求1所述的方法,其特征在于,基于预置模组,并根据所述预设规则表创建数据包过滤规则包括:向所述预置模组发送建立通信连接请求,并向所述预置模组发送创建数据包过滤规则的请求,以便所述预置模组根据所述预设规则表创建所述数据包过滤规则;接收所述预置模组返回的创建所述数据包过滤规则的状态码,所述状态码用于反映所述预置模组创建数据包过滤规则的当前状态。3.根据权利要求2所述的方法,其特征在于,将所述过滤目标与所述网络协议类型的对应关系记录于预设规则表中包括:获取所述过滤目标对应的网络协议类型;其中,所述网络协议类型包括:TCP类型、TCP范围类型、UDP类型、HTTP类型;根据所述过滤类别将所述过滤目标与网络协议类型的对应关系存储于预设黑名单规则表/预设白名单规则表中;所述预设规则表包括预设黑名单规则表以及预设白名单规则表。4.根据权利要求3所述的方法,其特征在于,在将所述过滤目标与所述网络协议类型的对应关系记录于预设规则表中之后,所述方法还包括:设置网络协议类型的优先级;根据优先级对所述预设黑名单规则表/预设白名单规则表中过滤目标与网络协议类型的对应关系进行重新排序。5.根据权利要求2所述的方法,其特征在于,在基于预置模组,并根据所述预设规则表创建数据包过滤规则之后,所述方法还包括:将所述预置模组返回的状态码通过异步广播方式发送至所述客户端。6.根据权利要求1-5中任一项所述的方法,其特征在于,在获取客户端发送的数据包过滤设置请求...
【专利技术属性】
技术研发人员:陶怡然,刘德启,
申请(专利权)人:东软集团股份有限公司,
类型:发明
国别省市:辽宁,21
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。